Secure boot не отключается: Как отключить «Secure Boot» в BIOS на ноутбуке Acer

Что такое Secure Boot (Безопасная загрузка) и когда может потребоваться ее отключение – WindowsTips.Ru. Новости и советы

Проникнув на компьютер, большинство вредоносных программ обычно начинают делать свое черное дело уже после запуска основных компонентов Windows, но есть и такие вирусы, которые запускаются еще до старта системы. Так поступают буткиты – вредоносные программы, изменяющие на жестком диске загрузочный сектор. Обнаружить присутствие буткита обычными методами, используемыми большинством антивирусных инструментов не всегда возможно. Обзаведясь максимальными привилегиями в системе, буткиты получают контроль над многими процессами и легко обходят защиту.

Тем не менее, способы защиты от буткитов существуют. Одной из самых эффективных технологий защиты от этого типа вредоносных программ является технология Secure Boot, входящая в спецификацию UEFI 2.2. Суть ее работы заключается в предотвращении загрузки кода несертифицированного программного обеспечения. Когда какая-нибудь программа или операционная системы пытается загрузиться в память компьютера, Secure Boot сравнивает сигнатуру загрузочного кода с ключами, зашитыми непосредственно в BIOS и, если загрузочный код не проходит проверку подписи, загрузка тут же блокируется.

Появление Secure Boot, однако, было встречено неоднозначно. В частности, много споров было вызвано внедрением этой технологии в Windows 8 компанией Microsoft в 2012 году. Встречались опасения, что из-за Secure Boot на компьютер с предустановленной Windows 8 нельзя будет установить другую операционную системы. Это, конечно, не так. Все сертифицированные для установки десктопные компьютеры и ноутбуки поддерживают отключение Secure Boot на уровне BIOSа. Исключение составляют только планшеты с ARM-архитектурой и предустановленной Windows 8. На них отключить Secure Boot нельзя.

Как отключить Secure Boot

В зависимости от производителя устройства, опция Secure Boot может находиться в разных разделах BIOS/UEFI. На компьютерах Asus чаще всего эта опция находится в разделе Boot или Security. В другом варианте нужно перейти Boot -> Secure Boot -> OS Type и выбрать Other OS. На машинах HP опция Secure Boot обычно находится в разделе System Configuration -> Boot Options, в ноутбуках Dell ищите настройку в разделе Boot -> UEFI Boot.

В ноутбуках Lenovo и Toshiba опция отключения Secure Boot чаще всего находится в разделе Security. А вот с ноутбуками Samsung все немного сложнее. Secure Boot в них отключается в разделе Boot, но при этом также нужно будет согласиться с предупреждением о возможной ошибке при загрузке компьютера, затем выделить появившийся параметр OS Mode Selеction, нажать ввод и установить его в положение CMS OS или UEFI and Legacy OS. И последнее. После отключения функции Secure Boot независимо от модели устройства нужно будет обязательно найти и включить режим совместимости Legacy.

А убедиться, что Secure Boot отключена можно через штатный инструмент «Сведения о системы» (Msinfo32. exe) в разделе «Состояние безопасной загрузки».

Установка Windows 11 без TPM, Secure Boot и других проверок

Для установки Windows 11 (или при обновлении с Windows 10), ваш компьютер должен соответствовать определённом минимальным системам требованиям: наличие чипа TPM 2.0 (Trusted Platform Module), режим UEFI + Secure Boot, 4 Гб RAM, 64 Гб диск и совместимый двухъядерный процессор 1 ГГц (не все процессоры поддерживаются!). Microsoft ограничивает установку Windows 11 на несовместимые компьютеры, выполняя проверку на соответствие системным требования перед началом установки Windows. В этой статье мы покажем, как установить Windows 11 на несовместимые устройства без проверки требований к CPU, TPM, Secure Boot (и т.д.)

Если компьютер не соответствует минимальным требованиям для Windows 11, то при установке ОС появится ошибка:

• 
  Запуск Windows 11 на этом компьютере не возможен
  . Этот компьютер не соответствует минимальным требованиям к системе для установки этой версии Windows. Дополнительные сведения см. на сайте aka.ms/WindowsSysReq
• 
  This PC can’t run Windows 11
  . This PC doesn’t meet the minimum system requirements to install this version of Windows. For more information, visit aka.ms/WindowsSysReq<

Чтобы понять, каким конкретно требованиям не соответствует вашим компьютер, нужно изучить лог ошибок установки Windows 11 setuperr.log. В этом файле содержаться только ошибки установки Windows (полный лог установки находится в файле setupact.log, но изучать его сложно из-за большого объема).

Чтобы открыть файл лога ошибок установки Windows, откройте командную строку прямо на экране установки, нажав
Shift + F10
и выполните команду:

notepad x:\windows\panther\setuperr.log

В нашем случае ошибка говорит, что на компьютере недостаточно оперативной памяти (всего 2 Гб вместо 3).

2021-11-11 10:57:51, Error VerifyRAMRequirements: System has INSUFFICIENT system memory: [2048 MB] vs [3686 MB]

Обратите внимание, что если ваш компьютер не соответствует нескольким системным требованиям для установки Windows, то в логе будет указана только первая из причин. Т.е. если вы исправили (или пропустили) одну из ошибок несовместимости, то при следующем запуске установки Windows 11 в логе будет содержаться следующая ошибка совместимости.

После того, как мы добавили RAM появилась другая ошибка:

2021-11-11 11:13:37, Error VerifyTPMSupported:Tbsi_GetDeviceInfo function failed - 0x8028400f[gle=0x0000007a]

Т.е. установщик определил, что на компьютере отсутствует TPM чип.

Если вы устанавливаете Windows 11 в виртуальную машину VMWare, вы можете добавить виртуальный TPM чип в соответствии с этой статьей. Для Hyper-V используется другая инструкция.

Однако вы можете продолжить установку Windows 11, просто игнорировал одно или все требования совместимости.

Для этого нужно в командной строке на экране установки Windows 11:

1. Запустить редактор реестра
   regedit.exe
   ;
2. Перейти в раздел HKEY_LOCAL_MACHINE\SYSTEM\Setup и создать новую ветку с именем LabConfig;
3. В этой ветке нужно создать DWORD параметры со значением 1 для тех проверок совместимости, которые вы хотите пропустить при установке

Доступны следующие параметры, позволяющие установить Windows 11 на устройства:

• BypassCPUCheck
  – с несовместимыми процессорами;
• BypassTPMCheck
  – без чипа TPM 2;
• BypassRAMCheck
  – не проверять минимальное количество RAM
• BypassSecureBootCheck
  –с Legacy BIOS (или UEFI с отключенным Secure Boot)
• BypassStorageCheck
  – не проверять размер системного диска

Например, чтобы не проверять наличие TPM модуля при установке, нудно создать параметр реестра BypassTPMCheck со значением 1. Параметр можно создать с помощью графического редактора реестра или с помощью команды:

reg add HKLM\SYSTEM\Setup\LabConfig /v BypassTPMCheck /t REG_DWORD /d 1

Аналогичным образом нужно создать другие параметры для проверок, который вы хотите пропустить при установке Windows 11.

Затем вернитесь в окно установки Window 11, вернитесь на шаг назад и продолжите обычную установки без проверки совместимости.

Вы можете модифицировать установочный ISO образ Windows 11, чтобы все эти проверки TPM, SecureBoot, диск, память, CPU) пропускались автоматически при установке ОС.

Для этого создайте текстовый файл AutoUnattend.xml со следующим содержимым:

<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="windowsPE">
<component name="Microsoft-Windows-Setup" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas. microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<RunSynchronous>
<RunSynchronousCommand wcm:action="add">
<Order>1</Order>
<Path>reg add HKLM\System\Setup\LabConfig /v BypassTPMCheck /t reg_dword /d 0x00000001 /f</Path>
</RunSynchronousCommand>
<RunSynchronousCommand wcm:action="add">
<Order>2</Order>
<Path>reg add HKLM\System\Setup\LabConfig /v BypassSecureBootCheck /t reg_dword /d 0x00000001 /f</Path>
</RunSynchronousCommand>
<RunSynchronousCommand wcm:action="add">
<Order>3</Order>
<Path>reg add HKLM\System\Setup\LabConfig /v BypassRAMCheck /t reg_dword /d 0x00000001 /f</Path>
</RunSynchronousCommand>
<RunSynchronousCommand wcm:action="add">
 <Order>5</Order>
<Path>reg add HKLM\System\Setup\LabConfig /v BypassCPUCheck /t reg_dword /d 0x00000001 /f</Path>
</RunSynchronousCommand>
<RunSynchronousCommand wcm:action="add">
<Order>4</Order>
<Path>reg add HKLM\System\Setup\LabConfig /v BypassStorageCheck /t reg_dword /d 0x00000001 /f</Path>
</RunSynchronousCommand>
</RunSynchronous>
<UserData>
<ProductKey>
<Key></Key>
</ProductKey>
</UserData>
</component>
</settings>
</unattend>

Скопируйте данный файл в корень установочной USB флешки с Windows 11.

Если вам нужно добавить файл ответов в ISO образ Windows 11, распаккуйте его содержимое в любую папку на компьютере, скопируйте в этот каталог файл AutoUnattend.xml и пересоберите ISO образ.

Я использовал для создания образа бесплатную утилиту DISM++ (Toolkit -> ISO maker).

Теперь никакие проверки совместимости не будут производится при установке Windows 11.

GNOME для предупреждения пользователей, если безопасная загрузка отключена, подготовка справки по безопасности других микропрограмм

Написано Майклом Ларабелем в GNOME 29 июля 2022 года в 06:11 по восточному поясному времени. 117 комментариев

Разработчики GNOME и Red Hat работают над интеграцией советов и рекомендаций по безопасности встроенного ПО в рабочий стол, чтобы предупреждать пользователей о проблемах безопасности платформы/прошивки, таких как отключенная безопасная загрузка UEFI и других возможных возможностях их системы.

В Центре управления GNOME работает область безопасности встроенного ПО, чтобы показать, активна ли безопасная загрузка UEFI, различные сведения о защите, такие как состояние TPM, наличие и включенность Intel BootGuard, состояние защиты IOMMU и многое другое. В конечном итоге те, кто участвует, надеются разрешить инициировать действия в некоторых областях для устранения этих проблем, когда они будут находиться в далеком от идеального состоянии.

Экран-заставка загрузки Plymouth также подготавливает предупреждающее изображение, которое будет отображаться, если безопасная загрузка не включена. В этом открытом запросе на слияние от Red Hat утверждается: « Безопасная загрузка используется против нескольких угроз безопасности, когда вредоносное ПО пытается заразить прошивку системы. Пользователи могут непреднамеренно отключить или программное обеспечение может намеренно отключить безопасную загрузку. Следовательно, система работает на небезопасная платформа с неправильной конфигурацией. Если бы Plymouth могла предложить пользователю предупреждение, пользователь мог бы перезагрузить и перенастроить свою систему или немедленно обратиться за помощью. »

GNOME готовится предупредить пользователей, если безопасная загрузка отключена, среди прочих шагов для обеспечения безопасности состояния системы, по крайней мере, на уровне платформы.

Точно так же в диспетчере отображения GDM есть этот MR, который открыт для добавления проверки безопасной загрузки и предупреждающего уведомления, чтобы пользователь был предупрежден во время входа в систему, может ли его система быть уязвимой.

Опираясь на это, Ричард Хьюз из Red Hat написал в блоге о работе, проводимой с помощью Fwupd для обеспечения возможности эмуляции профилей хостов. Эта эмулируемая поддержка предназначена для помощи в тестировании состояний безопасности встроенного ПО в произвольных конфигурациях для тестирования предлагаемых дополнений Центра управления GNOME и других работ.

Новости по теме

GNOME 43.1 для поддержки Wayland на AMD-Xilinx Kria KR260

GNOME 43 выпущен с большим количеством приложений, перенесенных на GTK4, усовершенствования Wayland Поддержка свойств для решения проблем с монитором

Бэкэнд GTK4 Broadway HTML5 возвращается в Ubuntu, Debian

Выпущена бета-версия GNOME 43 с дополнительным портированием GTK 4, другими улучшениями рабочего стола

Об авторе

Майкл Ларабель является основным автором Phoronix.com и основал этот сайт в 2004 году, стремясь расширить возможности аппаратного обеспечения Linux. Майкл написал более 20 000 статей, посвященных поддержке оборудования Linux, производительности Linux, графическим драйверам и другим темам. Майкл также является ведущим разработчиком программного обеспечения для автоматизированного тестирования Phoronix Test Suite, Phoromatic и OpenBenchmarking.org. За ним можно следить через Twitter, LinkedIn или связаться через MichaelLarabel.com.

Популярные новости на этой неделе

Показатели Steam по Linux заканчивают 2022 год с некоторыми нечетными числами Миграция как большая производительность Win

Темпы разработки серверов X11 упали до минимума за два десятилетия0003

Новые исправления направлены на сокращение использования памяти при компиляции ядра Linux

Проверка включения или отключения безопасной загрузки

1629 View

Безопасная загрузка — это функция, включенная в компьютеры на базе UEFI под управлением Microsoft Windows 8 или Windows Server 2012 и более поздних версий. Это стандарт безопасности, разработанный представителями индустрии ПК, чтобы убедиться, что устройство загружается с использованием только программного обеспечения, которому доверяют Производитель оригинального оборудования (OEM).

При запуске компьютера микропрограмма проверяет подпись каждой части загрузочного программного обеспечения, включая драйверы микропрограммы UEFI, приложения EFI и операционную систему. Это означает; Перед передачей управления операционной системе выполняется ряд проверок.

Если подписи верны, компьютер загружается, но если проверка не проходит на каком-либо этапе, появляется экран с ошибкой, и система не может загружаться. В итоге; безопасная загрузка обеспечивает безопасную среду для запуска Windows и предотвращает захват системы вредоносными программами во время процесса загрузки.

Как я узнаю, включен ли безопасная загрузка

Только Windows 11 , Windows 10 и Windows 8 имеют Secure Boot Serciates , если вам нужно установить Windows 7 или Linux , если вам нужно установить Windows 7 или Linux на компьютере с поддержкой безопасной загрузки вам необходимо отключить безопасную загрузку .

Как правило, пункт «Безопасная загрузка» часто встречается в меню или на странице «Параметры загрузки». Измените настройку с « Enabled » до « Отключено ».

Узнать, включена или отключена Безопасная загрузка , можно без входа в BIOS. Утилиту системной информации можно запустить из окна Выполнить , выполнив команду msinfo32.

 msinfo32 

Проверить состояние безопасной загрузки . Вы также можете найти состояние безопасной загрузки с помощью команды Powershell. Для этого необходимо запустить PowerShell от имени администратора . Запустите следующий командлет в Окно PowerShell :

 Confirm-SecureBootUEFI 

Вы увидите « True», если безопасная загрузка включена , « False », если Secure Boot отключена . Если оборудование вашего ПК не поддерживает Secure Boot , вы увидите сообщение об ошибке « Командлет не поддерживается на этой платформе ».