Где находится secure boot в биосе: Secure Boot — что это такое в BIOS и как отключить
Содержание
Как включить безопасную загрузку в Windows 11?
- Зачем включать режим безопасной загрузки на Windows 11?
- Как проверить, включена ли безопасная загрузка?
- Включение безопасной загрузки из-под Windows 10
- Включение безопасной загрузки из настроек BIOS/UEFI
Сразу обозначим такой момент — безопасную загрузку в Windows 11 включить не то чтобы невозможно, это, скажем так, нелогично. Ведь требования к компьютеру со стороны данной версии операционной системы гласят, что для ее установки тот должен поддерживать Secure Boot (это и есть «Безопасная загрузка»). Т.е. если установка Windows 11 прошла успешно, это значит, что функция Secure Boot уже и так активна.
Потому мы будем рассматривать вопрос, как включить безопасную загрузку для последующей установки Windows 11. А это уже можно сделать через Windows 10, точнее — из среды восстановления (WinRE). Есть и «традиционный» способ активации Secure Boot — из пользовательского интерфейса (настроек) чипа BIOS/UEFI.
Зачем включать режим безопасной загрузки на Windows 11?
Если вкратце функция Secure Boot предназначена для защиты Windows и, как следствие, компьютера от вредоносных программ, способных загружаться вместе с операционной системой. Подобные вирусы считаются наиболее опасными, т.к. они загружаются до антивируса, благодаря чему последний не может их обнаружить. Обычно так действуют самые изощренные вирусы — шифровальщики данных (и по совместительству — вирусы-вымогатели), руткиты (открывают удаленный доступ к компьютеру), майнеры («добывают» криптовалюту, используя мощности компьютера) и т.д.
И, конечно, безопасная загрузка просто необходима для пользователей Windows 10, решивших обновиться до Windows 11 через «Центр обновлений» либо путем записи на загрузочную флешку оригинального образа системы (у неоригинальных, т.е. пиратских/модифицированных образов эта функция проверки наличия Secure Boot может быть отключена).
Как проверить, включена ли безопасная загрузка?
Невозможность обновиться с 10-ки до Windows 11 может быть связана с несколькими причинами. Потому сначала не мешало бы убедиться, действительно ли на компьютере отключена безопасная загрузка. Для этого:
- Вызовите сочетанием клавиш «Win + R» окно «Выполнить», введите в него без кавычек команду «msinfo32» и нажмите «ОК»:
1
- Откроется окно «Сведения о системе». В правой его части найдите элемент «Состояние безопасной загрузки»:
- Если здесь указано «Откл.», значит, Secure Boot либо не включен, либо вообще не поддерживается компьютером.
Другой способ — использование бесплатной программы WhyNotWin11, которая предназначена для определения совместимости компьютера с Windows 11:
- Скачать программу WhyNotWin11 можно на нашем сайте.
- Просто запустите ее и посмотрите, что указано напротив «Secure Boot»:
Теперь, когда мы выяснили, что причина невозможности обновления до Windows 11 кроется в отключенной функции Secure Boot, можно приступать к ее включению.
Включение безопасной загрузки из-под Windows 10
Для начала откройте окно «Параметры» сочетанием клавиш «Win + I» (или кликнув по значку «Параметры» с изображением шестеренки в меню «Пуск»). Далее откройте в этом окне вкладку «Восстановление», затем в правой его части в блоке «Особые варианты загрузки» кликните по кнопке «Перезагрузить сейчас»:
Дальнейшие действия будут выполняться после перезагрузки компьютера:
- После включения компьютера операционная система войдет в режим восстановления «WinRE». Кликните по кнопке «Поиск и устранение неисправностей»:
- Далее выбираем «Дополнительные параметры»:
- Далее «Параметры встроенного ПО UEFI»:
Включение безопасной загрузки из настроек BIOS/UEFI
Для начала нам нужно попасть в сами настройки (пользовательский интерфейс) чипа BIOS/UEFI. Обычно это можно сделать путем нажатия функциональной клавиши (от F1 до F10, а чаще всего — F2) или клавиши Del/Delete сразу после включения компьютера. Но существуют и другие варианты открытия настроек BIOS/UEFI — здесь все зависит от модели материнской платы.
Это можно выяснить самому — при включении компьютера на экране обычно присутствует надпись с указанием клавиши, нажатие на которую приведет к открытию настроек BIOS/UEFI. Например, «Press <Del> to enter setup», «Press <F2> to run setup» или «Press F1 to continue, DEL to enter SETUP», как здесь:
После входа в пользовательский интерфейс BIOS/UEFI, предстоит немного «покопаться» в нем (мы не может точно сказать, где находится нужная опция, т.к. данный интерфейс может иметь разную структуру). Нам требуется найти опцию, которая отвечает за активацию безопасной загрузки. В большинстве случаев она находится во вкладке/в разделе «Boot», но не всегда. Опция, как правило, прямо так и называется — «Secure Boot».
Вот пример пользовательского интерфейса BIOS/UEFI, в котором нужная опция расположена в разделе «System Configuration»:
А в этом конкретном случае нужная нам опция находится в меню «Security»:
Вот пример расположения опции «Secure Boot» в современном графическом интерфейсе UEFI материнской платы Asus:
Если опцию «Secure Boot» не удается найти, возможно, что предварительно нужно активировать или перенастроить какой-либо другой параметр BIOS/UEFI. Об этом можно узнать из документации к материнской плате или просто в интернете. Но чтобы начать поиски, потребуется сначала определить модель платы. Это можно сделать из рассмотренного раньше системного приложения «msinfo32», т.е. «Сведения о системе»:
На этом и завершим.
Как отключить UEFI Secure Boot для двойной загрузки любой системы
Вы когда-нибудь пытались установить вторую операционную систему вместе с Windows? В зависимости от ОС вы могли столкнуться с функцией безопасной загрузки UEFI.
Если Secure Boot не распознает код, который вы пытаетесь установить, он остановит вас. Безопасная загрузка удобна для предотвращения запуска вредоносного кода в вашей системе. Но это также останавливает загрузку некоторых законных операционных систем, таких как Kali Linux, Android x86 или TAILS.
Но есть способ обойти это. Это краткое руководство покажет вам, как отключить безопасную загрузку UEFI, чтобы вы могли выполнять двойную загрузку любой операционной системы, которая вам нравится.
Что такое UEFI Secure Boot?
Давайте на секунду рассмотрим, как именно Secure Boot обеспечивает безопасность вашей системы.
Безопасная загрузка — это функция унифицированного расширяемого интерфейса прошивки (UEFI). UEFI сам по себе является заменой интерфейса BIOS на многих устройствах. UEFI — это более продвинутый интерфейс прошивки с множеством настроек и технических опций.
Безопасная загрузка — это что-то вроде ворот безопасности. Он анализирует код, прежде чем выполнить его в вашей системе. Если код имеет действительную цифровую подпись, Secure Boot пропускает его через шлюз. Если код имеет нераспознанную цифровую подпись, Secure Boot блокирует его запуск, и система потребует перезагрузки.
Иногда код, который вы знаете, является безопасным и поступает из надежного источника, может не иметь цифровой подписи в базе данных безопасной загрузки.
Например, вы можете загрузить многочисленные дистрибутивы Linux прямо с их сайта разработчика, даже проверив контрольную сумму дистрибутива для проверки на фальсификацию. Но даже с этим подтверждением Secure Boot будет по-прежнему отклонять некоторые операционные системы и другие типы кода (например, драйверы и оборудование).
Как отключить безопасную загрузку
Теперь я не советую слегка отключать безопасную загрузку. Это действительно защищает вас (например, посмотрите видео «Защищенная загрузка против NotPetya Ransomware» ниже), особенно в отношении некоторых более вредоносных вариантов вредоносного ПО, таких как руткиты и буткиты (другие утверждают, что это была мера безопасности, чтобы остановить пиратство Windows). Тем не менее, иногда это мешает.
Обратите внимание, что для включения безопасной загрузки может потребоваться сброс BIOS. Это не приводит к потере вашей системы каких-либо данных. Однако он удаляет любые пользовательские настройки BIOS. Более того, есть несколько примеров, когда пользователи больше не могут включать безопасную загрузку, поэтому имейте это в виду.
Хорошо, вот что вы делаете:
- Выключи компьютер. Затем включите его снова и нажмите клавишу ввода BIOS во время процесса загрузки. Это зависит от типа оборудования. , но обычно это F1, F2, F12, Esc или Del; Пользователи Windows могут удерживать Shift при выборе « Перезагрузка», чтобы войти в Расширенное меню загрузки . Затем выберите Устранение неполадок> Дополнительные параметры: настройки прошивки UEFI.
- Найдите опцию безопасной загрузки . Если возможно, установите для него значение « Отключено» . Обычно он находится на вкладке «Безопасность», «Загрузка» или «Проверка подлинности».
- Сохранить и выйти . Ваша система перезагрузится.
Вы успешно отключили безопасную загрузку. Не стесняйтесь захватить ближайший ранее не загружаемый USB-накопитель и, наконец, изучить операционную систему. Наш список лучших дистрибутивов Linux — отличное место для начала !
Как повторно включить безопасную загрузку
Конечно, вы можете захотеть снова включить Secure Boot. В конце концов, это помогает защитить от вредоносных программ и другого неавторизованного кода . Если вы непосредственно устанавливаете неподписанную операционную систему, вам нужно будет удалить все следы, прежде чем пытаться снова включить Secure Boot. В противном случае процесс не удастся.
- Удалите все неподписанные операционные системы или оборудование, установленное при отключенной безопасной загрузке.
- Выключите компьютер Затем включите его снова и нажмите клавишу ввода BIOS во время процесса загрузки, как описано выше.
- Найдите опцию « Безопасная загрузка» и установите для нее значение « Включено» .
- Если Secure Boot не активирован, попробуйте сбросить BIOS до заводских настроек. После восстановления заводских настроек попробуйте снова включить безопасную загрузку.
- Сохранить и выйти . Ваша система перезагрузится.
- Если система не загружается, снова отключите безопасную загрузку.
Устранение неполадок при сбое безопасной загрузки
Есть несколько небольших исправлений, которые мы можем попытаться запустить для загрузки вашей системы с включенной безопасной загрузкой.
- Обязательно включите настройки UEFI в меню BIOS; это также означает, что Legacy Boot Mode и его эквиваленты отключены.
- Проверьте тип раздела вашего диска. Для UEFI требуется стиль раздела GPT, а не MBR, используемый в устаревших настройках BIOS. Для этого введите « Управление компьютером» в строке поиска в меню «Пуск» Windows и выберите лучшее соответствие. Выберите Управление дисками в меню. Теперь найдите основной диск, щелкните правой кнопкой мыши и выберите « Свойства» . Теперь выберите громкость . Ваш стиль раздела указан здесь. (Если вам нужно переключиться с MBR на GPT, изменить стиль раздела можно только одним способом: создать резервную копию данных и стереть диск. )
- Некоторые менеджеры прошивок имеют возможность восстановить заводские ключи , которые обычно находятся на той же вкладке, что и другие параметры безопасной загрузки. Если у вас есть эта опция, восстановите заводские ключи Secure Boot. Затем сохраните и выйдите , и перезагрузите компьютер.
Надежный ботинок
Доверенная загрузка запускается там, где останавливается безопасная загрузка, но в действительности применяется только к цифровой подписи Windows 10. Когда UEFI Secure Boot передает эстафету, Trusted Boot проверяет все остальные аспекты Windows , включая драйверы, файлы запуска и многое другое.
Во многом как Secure Boot, если Trusted Boot находит поврежденный или вредоносный компонент, он отказывается загружаться. Однако, в отличие от Secure Boot, Trusted Boot может автоматически устранять проблему в зависимости от серьезности проблемы. Изображение ниже объясняет, где Secure Boot и Trusted Boot сочетаются друг с другом в процессе загрузки Windows.
Вы должны отключить безопасную загрузку?
Отключение безопасной загрузки несколько рискованно. В зависимости от того, кого вы спрашиваете, вы можете поставить под угрозу безопасность вашей системы.
Безопасная загрузка, возможно, более полезна, чем когда-либо в настоящее время. Bootloader атакующий вымогателей вполне реально. Руткиты и другие особенно неприятные варианты вредоносных программ также в дикой природе. Secure Boot предоставляет системы UEFI с дополнительным уровнем проверки системы, чтобы дать вам душевное спокойствие.
Включить безопасную загрузку и TPM для Windows 11: Руководство по BIOS!
Включить безопасную загрузку и доверенный платформенный модуль для Windows 11: Руководство по BIOS!
Спонсор. Пожалуйста, используйте нашу партнерскую ссылку для поклонников Noctua Redux по адресу
AmazonUS:https://amzn.to/3gV0dnk AmazonUK:https://amzn.to/3xHz0KK
AmazonCA:https://amzn.to/3tbOrHC AmazonIN : https://amzn. to/33aFu6Z
По рекламным ссылкам и в качестве партнера Amazon мы зарабатываем на соответствующих покупках. Узнать больше
Windows 11 требует дополнительной безопасности
ОБНОВЛЕНИЕ 10.10.2021: Возможно, вам потребуется преобразовать ваш текущий системный диск, если это MBR, в GPT. Попробуйте обновить БИОС до последней. Если у вас все еще есть проблемы, попробуйте новую установку Windows на запасной диск.
С выпуском Windows 11 корпорация Майкрософт усиливает защиту вашего ПК в сегодняшнем онлайн-режиме и при работе из дома, что делает обеспечение безопасности вашего ПК необходимостью. Два требования к ПК для установки Windows 11 заключаются в том, что в вашей системе должны быть включены как TPM, так и безопасная загрузка. Сегодня мы рассмотрим обе настройки в BIOS, которые, возможно, потребуется включить, и это будет здорово, если вы будете следовать нашему руководству.
Мы будем делать это с MSI B550 Tomahawk, которая является платой AMD, и мы также тестировали Intel z390 Tomahawk, b360 Gaming Arctic и более старую z270 XPower Gaming, и это работает со всеми этими моделями. Кстати, не забудьте быстро следить за нами в социальных сетях, а также подписываться и звонить, все такое хорошее, и если вы пробовали собственное обновление или у вас есть вопросы, оставьте свои комментарии внизу.
Так что это можно быстро и легко сделать в BIOS, выполнив несколько шагов, а также дать вам несколько советов по устранению неполадок, когда вы будете готовы получить Windows 11. Если вы делаете это сейчас, у вас есть другое устройство, например ноутбук. или телефон с этим видео сделает эту прогулку легкой и приятной.
Зачем нужно включать безопасную загрузку?
Так зачем же Windows 11 нужна эта дополнительная защита? Быстро, безопасная загрузка является частью UEFI, который является более новым интерфейсом между вашим BIOS и вашей ОС. Безопасная загрузка предотвращает заражение вредоносными программами, в том числе загрузчиками. Более старый тип — CSM, поэтому сначала мы изменим интерфейс ОС на UEFI.
Доверенный платформенный модуль или TPM — это микросхемы, встроенные в большинство материнских плат и ноутбуков корпоративного уровня, которые защищают оборудование с помощью ключей. Если вы купили компьютер после 2016 года, он должен иметь TPM 2.0, но если он старше, у него может быть TPM 1.2 или вообще не быть TPM.
Прежде чем мы включим безопасную загрузку, установите UEFI
Итак, нажав «Удалить», чтобы войти в BIOS, мы перейдем в расширенный режим, нажав F7. В настройках перейдите в «Дополнительно», затем «Конфигурация ОС Windows». Убедитесь, что для режима BIOS установлено значение UEFI. Если это не так, вам нужно сначала изменить это на UEFI, а затем нажать F10, чтобы сохранить и выйти. В немного более старых версиях BIOS это может быть указано как поддержка WHQL для Windows 10, а более старые платы могут иметь строку поддержки WHQL для Windows 8.1/10, которую мы включим.
На этом этапе важно нажать F10, чтобы сохранить и перезапустить, и нажать Удалить, чтобы вернуться в BIOS. Если вы попытаетесь установить ключи безопасной загрузки до того, как сделаете это, конечным диалоговым окном будет «Сброс без сохранения», что поставит вас в цикл, в котором в ОС Windows 10 все еще выбран CSM, и это заблокирует включение безопасной загрузки. Поэтому сначала сохраните и перезапустите.
Кроме того, при смене CSM на UEFI компьютер может несколько раз перезагрузиться или издать звуковой сигнал, а не POST. Если вы ждете 30 секунд, а на экране ничего не происходит, просто выключите источник питания, подождите 10 секунд, снова включите его, включите питание и снова начните нажимать «Удалить». Кстати, если вы пропустите нажатие «Удалить» и войдете в Windows, удерживая Alt и нажимая пару раз F4, вы получите окно «Завершение работы», нажмите стрелку вниз, чтобы выбрать «Перезагрузить», нажмите «Ввод» и снова начните нажимать «Удалить», чтобы попасть в БИОС.
Установите заводские ключи и включите безопасную загрузку
Теперь мы перезагрузились с помощью UEFI, мы перейдем в «Настройки»… «Дополнительно»… «Конфигурация ОС Windows» и перейдем к «Безопасной загрузке» и нажмем Enter, и сначала мы установим ключи. Перейдя в режим безопасной загрузки, мы изменим стандартный на пользовательский, после чего станут активными параметры ниже. Мы выберем «Зарегистрировать все заводские ключи по умолчанию». В первом диалоговом окне подтверждается установка ключей по умолчанию, а во втором предлагается выполнить сброс без сохранения. Вы можете нажать «Нет», но вам может потребоваться «Сохранить» и выйти, если у вас возникнут проблемы со следующим шагом.
Теперь, когда мы установили ключи, мы можем выбрать «Безопасная загрузка» и выбрать «Включено».
Включите TPM и посмотрите статус BIOS
Несколько раз нажав клавишу Escape, мы вернемся в главное меню «Настройки», и теперь мы выберем «Безопасность…», а затем «Доверенные вычисления», затем мы включим поддержку устройств безопасности. . Мы не увидим обновления в информации о состоянии, пока не нажмем F10, чтобы сохранить конфигурацию и выйти, что мы и сделаем сейчас.
Если вы хотите проверить, что вы сделали, чтобы увидеть новую информацию о состоянии, нажмите «Удалить» в BIOS и вернитесь к «Настройки… Безопасность… Надежные вычисления», вы должны увидеть в информации о состоянии список TPM 2. 0 как активный.
Проверка Windows: Включить безопасную загрузку сработало?
Мы загрузимся в Windows и сможем проверить, работает ли TPM, щелкните поиск, введите tpm.msc и нажмите Enter. Статус будет готов к использованию, а в средней колонке, если вы прокрутите вправо, появится версия спецификации 2.0.
Итак, как узнать, работает ли безопасная загрузка в Windows? Просто нажмите «Поиск», введите «msinfo» и нажмите «Ввод», и на полпути вниз по списку вы увидите «Состояние безопасной загрузки», и это должно быть «Вкл.».
Вы можете увидеть, готовы ли вы к Windows 11, в поиске или в браузере с помощью «Обновить до новой ОС Windows 11». Если вы нажмете Ctrl + F, чтобы найти, начните вводить «Загрузить», а затем нажмите «Загрузить приложение». Запустите его, примите, установите и затем Готово. Microsoft работает над этой проверкой работоспособности ПК или отключила ее во время производства, но мы нажали «Проверить сейчас» и получили зеленую галочку.
С включенной безопасной загрузкой и TPM вы должны быть готовы к Windows 11. Этот инструмент проверки работоспособности ПК действительно дал ложноотрицательные результаты и на самом деле ничего не сказал вам, что вам нужно исправить, поэтому надеемся, что Microsoft скоро выпустит лучшую версию. Не забывайте, что на компьютерах старше 5 лет или ноутбуках без TPM 2.0 могут возникнуть проблемы при обновлении до Windows 11.
Так что это было не слишком сложно, и, надеюсь, это помогло вам обезопасить себя и подготовиться, и если вы думаете о материнской плате AMD или другой, покупка по нашим партнерским ссылкам поможет нам здесь без каких-либо дополнительных затрат для вас. И следите за нами в Twitter, Instagram и Facebook на techspinreview.
Нужна материнская плата MSI B550 Tomahawk или другая материнская плата? Пожалуйста, перейдите по нашим партнерским ссылкам для:
AmazonUS: https://amzn.to/3zJTrXO AmazonUK: https://amzn.to/2WosOJn
AmazonCA: https://amzn.to/3iYGClo AmazonIN: https://amzn .к/3x9cwRo
У нас на канале есть технические обзоры, поэтому обязательно ознакомьтесь с ними, и спасибо Noctua за то, что они были нашим спонсором этого эпизода, с обширной линейкой вентиляторов с высоким статическим давлением, идеально подходящих для охлаждения вашей установки, проверьте их по ссылкам. выше.
Нам интересно услышать, что вы хотите увидеть в обзоре, дайте нам знать, и мы постараемся сделать это. И оставьте свои лучшие вступительные реплики к эпизоду, и мы, возможно, просто выберем ваши в следующий раз. Пожалуйста, найдите секунду, чтобы нажать Нравится, подписаться, колокольчик, и дайте нам знать, как мы можем улучшить. Мы читаем и отвечаем на множество комментариев, поэтому, если у вас есть вопрос или мы что-то упустили, сообщите нам об этом ниже. Мы очень ценим ваше время и увидимся в следующий раз. А сейчас до свидания!
См. другие продукты MSI, технические обзоры или руководства
Безопасная загрузка UEFI — понимание цепочки безопасной загрузки UEFI
Безопасная загрузка UEFI — это функция, определенная в спецификации UEFI. Это гарантирует, что в среде прошивки производителя оригинального оборудования (OEM) может работать только действительный код прошивки стороннего производителя. Безопасная загрузка UEFI предполагает, что микропрограмма системы является доверенным объектом. Любой сторонний код прошивки не является доверенным, включая загрузчик, установленный поставщиком операционной системы (OSV), и периферийные устройства, предоставленные независимым поставщиком оборудования (IHV). Конечный пользователь может регистрировать и отзывать записи в базе данных безопасности образа UEFI Secure Boot в рамках управления политикой проверки.
Безопасная загрузка UEFI включает две части — проверку загрузочного образа и проверку обновлений базы данных безопасности образа. Рисунок 2-1 показывает процесс проверки безопасной загрузки UEFI. В Табл. 2-1 показана база данных безопасности ключей/образов, используемая в безопасной загрузке UEFI.
Рисунок 2-1: UEFI Secure Boot
Таблица 2-1: Использование ключей в UEFI Secure Boot
Verifies | ОБНОВЛЕНИЕ. 0090 | |||
Новый ПК | Ключ платформы | |||
Новый db/dbx/dbt/dbr | Ключ обменной обменной ключ | |||
Изображение UEFI | PK/KEK | Авторизованный изображение DataBase 9009 | .2 | |
UEFI Image | PK/KEK | Forbidden Image Database | ||
UEFI Image + dbx | PK/KEK | Timestamp Database | ||
Новый ОсРековериОрдер | PK/KEK | База данных восстановления |
Проверка образа безопасной загрузки UEFI
Таблица 2-2: Проверка изображения безопасного загрузки UEFI
Entity | Провайдер | . | Первоначально на флэш-памяти, загруженной в DRAM | ||
Код производственной прошивки | Первоначально на флэш-памяти, загруженной в DRAM | ||||
UEFI Secure Boot Image Security Database (Policy) | End user (or OEM default) | Originally on flash, authenticated variable region, loaded into DRAM | |||
3rd Код прошивки стороннего производителя (загрузчик ОС) | Изначально на внешнем носителе (например, на жестком диске, USB), загруженном в DRAM | ||||
Код прошивки стороннего производителя (дополнительное ПЗУ PCI) | Первоначально на карте PCI, загруженная в DRAM | ||||
Сторонний код прошивки, (Eafi Shell Tool) | . |
В Табл. 2-2 показаны компоненты, участвующие в проверке образа безопасной загрузки UEFI.
Подписание
В безопасной загрузке UEFI UDI — это любой сторонний код микропрограммы, включая загрузчик ОС, дополнительные ПЗУ PCI или инструмент оболочки UEFI. Поставщик компонентов должен подписать эти компоненты закрытым ключом и опубликовать открытый ключ.
Хранилище открытых ключей
OEM-производитель или конечный пользователь могут зарегистрировать открытый ключ в качестве CDI (база данных безопасности UEFI Secure Boot Image). База данных находится в регионе переменных, прошедших проверку подлинности UEFI. База данных также может быть
обновлена во время выполнения. Он может быть прочитан кем угодно, но может быть записан только после проверки подлинности данных. См. Таблицу 2 ниже.
Проверка
Во время загрузки TP (процедура проверки образа) проверяет UDI (код встроенного ПО стороннего производителя) в соответствии с CDI (база данных безопасности образа безопасной загрузки UEFI) в качестве политики. Если проверка проходит успешно, UDI преобразуется в CDI и выполняется код прошивки стороннего производителя. Если проверка не пройдена, код прошивки стороннего производителя сбрасывается.
На рис. 2-2 показан поток проверки с использованием db/dbx.
Рисунок 2-2: Процесс проверки изображения
Рисунок 2-3 показывает поток проверки, вводящий dbt. Требуется дополнительная проверка на основе подписи dbx.
Рисунок 2-3: Проверка образа с базой данных сигнатур меток времени0084
Entity
Provider
Location
UEFI Authenticated Variable Verification
Originally on flash, loaded into SMRAM
Производственный код прошивки в SMM.
Первоначально на флэш-памяти, загруженной в SMRAM
UEFI Secure Boot Boot Base Database Dateer Security (Policy)
Конечный пользователь (или OEM по умолчанию)
Первоначально на Flash, загружен в SMRAM
New UEFE Secure Boot Boot -Image Database 92
New UEF Secure Boot Boot -Image Datebase 2
4
Конечный пользователь
Первоначально в обычном DRAM, загруженном в SMRAM
В таблице 2-2 CDI (база данных UEFI Secure Boot Image Security) является обновляемой. Сама база данных находится в области UEFI Authenticated Variable. В Табл. 2-3 показан компонент, участвующий в проверке UEFI Authenticated Variable Verification.
Подписание
Чтобы обновить существующую базу данных безопасности изображений (CDI), необходимо подписать новую базу данных безопасности изображений (UDI), если включена безопасная загрузка UEFI.
Хранилище открытых ключей
Открытый ключ подписывающей стороны должен быть зарегистрирован в микропрограмме системы. Это то же самое, что и открытый ключ, используемый для проверки образа безопасной загрузки UEFI. База данных хранится в области переменных, прошедших проверку подлинности UEFI.
Проверка
Во время обновления во время выполнения TP (процедура проверки переменных с проверкой подлинности) проверяет UDI (новую базу данных безопасности образов) в соответствии с CDI (база данных безопасности образов безопасной загрузки UEFI) в качестве политики.