Secure boot control что это: [Десктоп/ Игровой десктоп] Устранение неполадок — при загрузке ПК появляется ”Secure Boot Violation” | Официальная служба поддержки

Как включить SecureBoot и TPM 2.0 для Windows 11

Объясните, как включить безопасную загрузку и TPM 2.0 для Windows 11.

Не удается установить Windows 11 из-за ошибок «SecureBoot» и / или «TPM 2.0»? Вот как включить и то, и другое, и быстрое решение, которое полностью устраняет необходимость в этом.

С выпуском Windows 11 пользователи во всем мире взволнованы и взволнованы. Новый интерфейс выглядит свежим, привлекательным и простым в использовании для большинства пользователей. Однако, прежде чем приступить к делу, вам следует знать несколько вещей.

Несколько пользователей сообщили, что они столкнулись с ошибками при установке Windows 11 посредством установки или при проверке, поддерживает ли их компьютер Windows 11 с помощью приложения PC Validation.

Распространенные ошибки совместимости с Windows 11

Если вы получаете сообщение об ошибке «Этот компьютер не может запустить Windows 11» в приложении «Проверка работоспособности ПК», вы, вероятно, увидите следующие ошибки. Внимательно прочтите, чтобы понять смысл каждой из этих ошибок.

⚠️ TPM 2.0 должен поддерживаться и включаться на этом компьютере.

Если вы получаете ошибку совместимости TPM 2.0 в Windows 11, вам необходимо включить ее в настройках BIOS вашего компьютера. Если у вас новое оборудование, ваша система, вероятно, поддерживает TPM 2.0, если нет, вам, возможно, придется использовать обходной путь для обхода требований TPM 2.0 в Windows 11. (Мы объясним альтернативное решение в следующих статьях) .

⚠️ 

Процессор не поддерживается для Windows 11

заявляет минимум Системные требования для Windows 11 Однако для установки Windows 11 у вас должен быть процессор Intel XNUMX-го поколения или выше. Все процессоры Intel Core менее XNUMX-го поколения больше не поддерживаются последней версией Windows.

Вы можете проверить список поддерживаемых процессоров для каждого производителя оборудования здесь → AMD | Intel | Qualcomm .

⚠️ 

Компьютер должен поддерживать безопасную загрузку

Windows 11 требует, чтобы в вашей системе была включена безопасная загрузка, чтобы можно было запускать последнюю версию Windows. К счастью, безопасная загрузка поддерживается множеством систем, и есть вероятность, что ваш компьютер поддерживает ее, но это не так. Самый быстрый способ проверить поддержку безопасной загрузки на вашем компьютере — это загрузить BIOS и посмотреть, есть ли в настройках безопасности BIOS способ включить безопасную загрузку в вашей системе.

⚠️ Размер системного диска должен быть 64 ГБ или больше.

Windows 11 PC Health Check также проверяет размер раздела диска, на котором в настоящее время установлена ​​Windows. Если он меньше 64 ГБ, вам необходимо расширить его до 64 ГБ или более, чтобы иметь возможность установить Windows 11 в вашей системе. Или вы всегда можете выбрать установку Windows 11 на другой раздел диска в вашей системе, когда Установить Windows 11 С загрузочного USB-накопителя.


Исправить ошибку «Безопасная загрузка»

Несколько пользователей столкнулись с ошибкой «На этом компьютере не может работать Windows 11» с причиной «Ваш компьютер должен поддерживать безопасную загрузку» при запуске установщика Windows 11.

В этом случае вам необходимо включить безопасную загрузку в настройках BIOS. Но прежде чем включить его, важно понять, о чем идет речь.

Что такое безопасная загрузка?

Это стандарт безопасности, разработанный для обеспечения того, чтобы ваш компьютер мог работать только с программным обеспечением, которому доверяет OEM (производитель оригинального оборудования). Предотвращает загрузку вредоносных или вредоносных программ при запуске компьютера. Если этот параметр включен, будут загружены только драйверы с сертификатом от Microsoft.

Как включить безопасную загрузку в настройках BIOS

ملاحظة: Приведенный ниже процесс относится к ноутбуку HP. Различные опции и ключи доступа к интерфейсу могут различаться в зависимости от производителя. Однако концепция осталась прежней. Прочтите руководство, прилагаемое к системе, или выполните поиск в Интернете, чтобы найти ключи и понять интерфейс.

Чтобы включить безопасную загрузку, выключите систему и снова запустите ее. Когда экран загорится, нажмите ESCКлюч — войти в меню запуска.

Затем нажмите F10Ключ для входа в BIOS Setup. Клавиши, которые вы видите ниже для доступа к различным параметрам, могут отличаться для вашего компьютера. Проверьте это на экране своего компьютера или поищите в Интернете модель своего компьютера.

Затем перейдите на вкладку «Дополнительно» в программе настройки BIOS.

Если вы обнаружите, что параметр безопасной загрузки неактивен, возможно, ваш текущий режим загрузки установлен на устаревший.

Чтобы получить доступ к параметру безопасной загрузки, выберите параметр «UEFI Native (без CSM)» в разделе «Режим загрузки», а затем установите флажок «Безопасная загрузка».

После того, как вы установите флажок, вам будет предложено подтвердить изменение. Щелкните «Принять».

Наконец, нажмите «Сохранить» внизу, чтобы применить новые настройки, а затем перезагрузите компьютер.

SecureBoot теперь включен в вашей системе.

ملاحظة: После включения SecureBoot вы, возможно, не сможете загрузить систему, как это было со мной. Итак, войдите в меню «Startup» после перезапуска системы, выберите «Device Boot Option» иВыберите USB-накопитель который вы запускаете Операционная система Windows 11 на нем , и продолжил установку.

Как включить TPM 2.0 в настройках BIOS

Еще одно системное требование для Windows 11 — поддержка TPM 2.0. Установщик Windows 11 показывает ошибку «Ваш компьютер должен поддерживать TPM 2.0», когда вы запускаете установщик только из Windows, а не с загрузочного USB. Там может просто появиться ошибка «Этот компьютер не может запустить Windows 11».

К счастью, TPM 2.0 легко включить в настройках BIOS. Но прежде чем мы продолжим включение TPM 2.0 в BIOS, давайте сначала также проверим его текущее состояние в системе.

Чтобы проверить статус «TPM 2.0» , Нажмите WINDOWS + RЧтобы запустить команду «Выполнить», введите tpm.mscв текстовом поле, затем нажмите ОК или нажмите ENTERДля запуска диалогового окна диспетчера TPM.

Затем проверьте раздел Статус. Если он показывает «TPM готов к использованию», значит, он уже включен.

Если вы видите «Не удается найти совместимый TPM», Пора включить его в настройках BIOS.

ملاحظة: Процесс может отличаться для разных производителей, рекомендуется посетить страницу поддержки производителя вашего устройства, если следующие шаги не применимы к вашей системе.

Чтобы включить «TPM 2.0»,  Перезагрузите компьютер и нажмите  ESC Ключ, когда загорается экран, — это войти в меню запуска. Вам будут представлены различные основные параметры для разных меню. Выберите один для «BIOS Setup» и нажмите на него. В моем случае (ноутбук HP) это было  F10 ключ.

Теперь вы найдете несколько вкладок, перечисленных вверху, перейдите на вкладку «Безопасность».

На вкладке «Безопасность» найдите и выберите параметр «Встроенная безопасность TPM».

ملاحظة: В некоторых случаях опция может быть неактивной. Чтобы получить доступ к этой опции, вы должны установить «Пароль администратора BIOS». После установки пароля вы можете получить доступ к TPM и другим параметрам, которые ранее были отключены.

Затем выберите параметр «Устройство TPM» и установите для него значение «Доступно». Наконец, нажмите «Сохранить» внизу, чтобы применить изменения.

Теперь TPM включен на вашем компьютере.

Ошибка античита «Secure Boot is disabled» — Teletype

На конфигурациях пользователей с Windows 11 при игре на FASTCUP.NET с античитом GameGuard требуется наличие включенной опции Secure Boot. Такое требование позволяет улучшить защиту античита от модификации загрузчика системы и обычно не требует лишних действий со стороны пользователя, поскольку Secure Boot является обязательным требованием при установке Windows 11.

Secure Boot is disabled, please enable it and reboot your PC

Если античит выдаёт ошибку Secure Boot is disabled / Secure Boot выключен, тогда необходимо выполнить инструкцию ниже:

Secure Boot выключен, пожалуйста, включите и перезагрузите компьютер

Наличие включенной опции Secure Boot нужно проверить следующим образом: нажмите кнопку Windows на клавиатуре для открытия меню с поиском и введите msinfo32, затем нажмите Enter.

Открыть строку поиска Windows 11 — ввести msinfo32 — открыть Сведения о системе

В появившемся окне необходимо проверить состояние безопасной загрузки, оно должно быть в состоянии «Вкл.»

Если же оно выключено, рекомендуем запомнить название материнской платы в поле «Модель основной платы», которое может оказаться полезным, поскольку наиболее детальные инструкции по включению Secure Boot содержатся в мануале от производителя.

Правильная конфигурация, когда Secure Boot включён и режим загрузки UEFI

Ниже приведём примеры включения для основных производителей материнских плат. Для включения функции Secure Boot должны быть соблюдены определенные условия:

1. Зайти в оболочку UEFI — современный графический аналог BIOS. Чтобы зайти в UEFI, необходимо перезагрузить компьютер, затем сразу же после запуска компьютера непрерывно нажимать на кнопки F2 или Delete ДО загрузки Windows

(Если не получилось, перезагружайтесь и пробуйте заново, возможно, на Вашем производителе материнской платы другая комбинация клавиш)

Интерфейс UEFI для MSI

2. Проверить, что отключен режим Legacy/CSM и включен режим загрузки UEFI. Обычно подобную опцию можно найти во вкладках Boot или BIOS, а также тип операционной системы должен стоять не Other OS, а Windows 8/10 Features.

CSM Support установлен в Disabled; опция Windows 8/10 Features установлена верноОпция OS Type должна быть переведена в Windows UEFI mode

3. Включена сама опция Secure Boot. Обычно эта настройка находится во вкладках Boot, Security, BIOS. Ниже приведены некоторые примеры включения Secure Boot:

ASUS

Включение Secure Boot на ASUS

ASRock

Включение Secure Boot на ASRock

Gigabyte / AORUS

Включение Secure Boot на Gigabyte / AORUS

MSI

Включение Secure Boot на MSI

4. Если Secure Boot не включается или находится в состоянии Not active, возможно, необходимо перевести Secure Boot Mode с Custom на Standard или сбросить ключи на версию по умолчанию. Например, за сброс ключей могут отвечать кнопки Install default Secure Boot keys или Restore factory keys, или Load Default PK.

Необходимо переключить Secure Boot Mode на Standard и/или выбрать Restore Factory Keys

5. Стоит отметить, что если операционная система перестала загружаться после включения Secure Boot и вместо нее вы видите экран UEFI, то вам необходимо вернуть внесенные изменения. Скорее всего, проблема происходит из-за того, что для запуска операционной системы с отключенной функцией CSM вам потребуется конвертация диска из MBR в GPT — это можно сделать через стороннее ПО. После этого нужно вернуться к шагу 1

Также обратите внимание на то, что информация в статье — приблизительная, поскольку каждый производитель имеет свои собственные графические интерфейсы для UEFI и самые точные указания могут быть найдены только в руководстве к материнской плате.

Как исправить ошибку 000000057 — отключить изоляцию ядра (hvci)

https://help.gameguard.ac/ru-error-00000057-disable-core-isolation-hvci

Что такое безопасная загрузка?

По мере того, как кибератаки становятся все более изощренными, хакеры теперь пытаются проникнуть на сервер на самом низком уровне (прошивка) еще до того, как он будет включен.

В этом блоге вы узнаете, что такое безопасная загрузка, как она работает и как решения Trenton обеспечивают целостность прошивки для предотвращения несанкционированного доступа.

Что такое безопасная загрузка?

Спецификация UEFI определяет механизм под названием «Безопасная загрузка» для обеспечения целостности встроенного ПО и программного обеспечения, работающего на платформе. Безопасная загрузка устанавливает доверительные отношения между UEFI BIOS и программным обеспечением, которое он в конечном итоге запускает (например, загрузчиками, операционными системами или драйверами и утилитами UEFI).

После включения и настройки безопасной загрузки разрешено выполнение только программного обеспечения или встроенного ПО, подписанного утвержденными ключами. И наоборот, программное обеспечение, подписанное ключами из черного списка, не может быть запущено. Таким образом, система может защититься от вредоносных атак, руткитов и несанкционированных обновлений программного обеспечения, которые могут произойти до запуска ОС.

Механизм безопасной загрузки использует пары открытого и закрытого ключей для проверки цифровой подписи всех микропрограмм и программного обеспечения перед выполнением. Прежде чем углубляться в детали безопасной загрузки UEFI, давайте начнем с небольшого общего сведения о цифровых подписях.

Механизм безопасной загрузки использует пары открытого и закрытого ключей для проверки цифровой подписи всех микропрограмм и программного обеспечения перед выполнением.

Что такое цифровые подписи и как они работают?

Основная идея цифровых подписей заключается в создании пары ключей:

  • Закрытый ключ, который должен храниться и защищаться составителем.
  • Открытый ключ, который можно распространять бесплатно.

Математическая корреляция между этой парой открытого и закрытого ключей позволяет проверить подлинность цифровой подписи сообщения. Чтобы выполнить проверку, необходим только открытый ключ, и сообщение может быть проверено как подписанное закрытым ключом, даже не зная самого закрытого ключа.

Еще одна особенность этой пары открытый/закрытый ключ заключается в том, что нецелесообразно вычислять закрытый ключ по содержимому открытого ключа. Эта функция позволяет распространять открытый ключ без ущерба для закрытого ключа.

Наконец, сообщение нельзя подписать открытым ключом. Только закрытый ключ может правильно подписать сообщение. Это основной механизм, используемый технологией цифровой подписи для проверки целостности сообщения без нарушения деталей или содержимого закрытого ключа.

Как работает безопасная загрузка?

При таком понимании цифровых подписей технология UEFI «Secure Boot» состоит из набора ключей, классифицированных следующим образом:

  • Платформенный ключ (PK)
  • Ключ обмена ключами (KEK)
  • База данных белого списка (БД)
  • База данных черного списка (DBX)

В системе с включенной и настроенной безопасной загрузкой каждый из этих элементов будет содержать общедоступные части пар открытого и закрытого ключей. Ключи используются для авторизации различных компонентов прошивки и программного обеспечения.

  • Ключ платформы (PK) устанавливает доверительные отношения между владельцем платформы и микропрограммой (UEFI BIOS), контролируя доступ к базе данных KEK. Для каждой платформы существует один ПК, а общедоступная часть ПК устанавливается в систему, как правило, во время производства у OEM-производителя. Частная часть PK необходима для изменения базы данных KEK.
  • База данных ключей обмена ключами (KEK) устанавливает доверительные отношения между микропрограммой и ОС. KEK состоит из списка открытых ключей, которые можно проверить на предмет авторизации для изменения базы данных белого списка (DB) или базы данных черного списка (DBX). Для каждой платформы может быть несколько KEK. Частная часть KEK необходима для модификации DB или DBX.
  • База данных белого списка (БД) — это список открытых ключей, которые используются для проверки цифровой подписи данной микропрограммы или программного обеспечения. Чтобы обсудить БД, давайте предположим, что система загружается и собирается выполнить загрузчик для выбора ОС для загрузки. Система проверит цифровую подпись загрузчика с помощью открытых ключей в БД, и если этот загрузчик был подписан соответствующим закрытым ключом, то запуск загрузчика разрешен. В противном случае он блокируется как несанкционированный.
  • И наоборот, база данных черного списка (DBX) представляет собой список открытых ключей, о которых известно, что они соответствуют вредоносным или неавторизованным микропрограммам или программам. Любое программное обеспечение, подписанное соответствующим закрытым ключом из этой базы данных, будет заблокировано.

Secure Boot и Trenton Systems

В Trenton Systems все защищенные компьютеры, процессорные платы и/или объединительные платы PCIe поставляются с настраиваемой, безопасной BIOS и новейшими технологиями кибербезопасности, включая технологию Secure Boot, которые имеют заводские конфигурации ключей по умолчанию. которые поддерживают все основные операционные системы и их загрузчики, включая Microsoft Windows и загрузчик-оболочку Linux.

Имея на руках надлежащие закрытые ключи, конечные пользователи могут добавлять свои собственные ключи для авторизации (или блокировки) пользовательских ОС и загрузчиков для работы в среде безопасной загрузки.

По запросу клиента могут быть реализованы дополнительные настройки, включая изменение заводских ключей по умолчанию, обновление состояния безопасной загрузки по умолчанию и изменение баз данных белого и черного списков.

Есть вопросы? Просто свяжитесь с нами в любое время здесь. Будем рады помочь. 🙂

Кто управляет тем, что может работать? – Нерабочее время

Windows 10

By Michael Niehaus on • ( 4 комментариев )

Идея функции безопасной загрузки UEFI заключается в том, чтобы гарантировать, что устройство сможет запускать только доверенный код, по крайней мере, до тех пор, пока операционная система не будет запущена и не сможет самостоятельно определить это. Функция работает на уровне прошивки и помогает защититься от руткитов — пока прошивка является доверенной (т. е. никто не устанавливал кастомную прошивку без вашего ведома, поэтому важно ограничить доступ к прошивке), эта прошивка сохранит устройство. от запуска вредоносного ПО.

Но как прошивка устройства решает, что она разрешает запускать (при условии, что вы не отключили безопасную загрузку, что означает «запускайте все, что хотите»)? Это делается на основе сертификатов, предварительно загруженных на устройство в конфигурацию UEFI «db», которая действует как «разрешающий» список — все, что подписано одним из этих сертификатов, будет разрешено для запуска.

Но какие сертификаты есть в этом списке? Согласно документации Microsoft по запуску Windows на устройстве их должно быть как минимум два:

  • Microsoft Windows Production PCA 2011. Загрузчик Windows (bootmgr.efi) подписан с его помощью, что позволяет запускать Windows (и Windows PE).
  • Microsoft Corporation UEFI CA 2011. Этот код используется Microsoft для подписи загрузчиков UEFI сторонних производителей, таких как те, которые используются для загрузки Linux или других операционных систем. Технически он описывается как «необязательный», но было бы необычно найти устройство, в котором его нет. (Устройства Windows RT, если вы их помните, не включали этот или какие-либо другие сертификаты, поэтому в результате на нем работала только Windows RT. Посмотрим, какие сертификаты включены в устройства Windows 10x…)

После этого OEM-производители могут свободно добавлять свои собственные дополнительные сертификаты, чтобы они могли запускать свои собственные компоненты встроенного ПО (например, меню, которые вы получаете при входе в настройку «BIOS»). Если я посмотрю на некоторые из своих устройств, я увижу этот вариант. С моего Lenovo ThinkStation P620:

На виртуальной машине VMware список другой:

Но если я посмотрю на свою виртуальную машину Hyper-V, я увижу только одну:

Это не означает, что Hyper-V не может запускать другие ОС — очевидно, что может. Существует параметр конфигурации для управления доступными сертификатами:

Если я изменю это значение с «Microsoft Windows» (значение по умолчанию, соответствующее производственному сертификату Windows) на «Центр сертификации Microsoft UEFI», то вы увидите только второй сертификат — если вы можете заставить Windows загружаться, что вы можете’ т без первого сертификата. Так что это сложная конфигурация, если вы хотите запускать разные ОС на одной виртуальной машине.

Интересно, что устройства Surface, которые я пробовал, которые теоретически используют ту же прошивку, что и Hyper-V, имеют разные параметры: они позволяют выбрать «Только Microsoft», «Microsoft и сторонний ЦС» и «Нет» в прошивке. настройки. Это более гибкая настройка, так как она означает «только Windows» или «Windows и прочее».

Если вы случайно отключили безопасную загрузку, вы не сможете увидеть, какие там сертификаты, потому что при проверке переменной UEFI «db» ее там нет. Поэтому включите его, а затем проверьте (при условии, что вы можете загрузиться).

Если вам интересно, откуда берется этот командлет Get-UEFISecureBootCerts, он из нового модуля UEFIv2, который я опубликовал сегодня утром в галерее PowerShell. Так что попробуйте сами. Этот новый командлет следует спецификации UEFI для декодирования содержимого переменной UEFI «db» для извлечения сведений о сертификате.

Итак, вернемся к первоначальному вопросу: кто контролирует, что может работать на устройстве, когда включена безопасная загрузка? (Пока вы можете отключить безопасную загрузку, у вас всегда есть окончательные полномочия.) Как видно из вышеизложенного, это Microsoft и OEM-производители. И поскольку вы, вероятно, не хотите иметь загрузчик OEM или конкретной модели, это фактически означает, что это Microsoft. Только двоичные файлы Windows подписываются с помощью сертификата «Windows Production», но любой может получить код, подписанный с использованием сертификата «UEFI», если вы соответствуете требованиям Microsoft. Вы можете получить представление о том, что влекут за собой эти требования, из этого сообщения в блоге.

Читайте также: