Secure boot windows 7: Windows 7 неожиданно получила поддержку Secure Boot » Community

Загрузка Windows 7 в режиме SecureBoot / Песочница / Хабр

Многие в курсе, что официально поддержка SecureBoot внедрена в операционные системы компании Microsoft начиная с Windows 8. Однако пользователи не спешат переходить с проверенной «семерки», благо расширенная поддержка этой ОС будет осуществляться до 2020 года. Поскольку 64-битные версии Windows 7 способны загружаться в режиме UEFI, возникает вопрос: что нужно сделать, чтобы включение SecureBoot не сломало загрузку?

Ответ на этот вопрос в технической части полностью раскрыт вот здесь. Если вкратце, в UEFI есть несколько хранилищ сертификатов шифрования: PK, KEK, db и dbx. Сертификатом из PK проверяются KEK, сертификатами из KEK проверяются db и dbx, а сертификатами из db и dbx проверяются загрузчики. Если ключ, которым подписан загрузчик, содержится в db и не содержится в dbx, то загрузка разрешается. Изначально ваш новенький (или старенький, но раз уж вы читаете эту статью, поддерживающий SecureBoot) компьютер находится в режиме настройки, т. е. в PK, KEK, db и dbx находятся ключи, которые туда заранее положил производитель вашего ПК. При сбросе настроек SecureBoot они восстановятся, но в принципе обычно вы можете сохранить их куда-нибудь при помощи интерфейса вашего UEFI.

Поскольку мы немного параноики (если совсем не параноики, можно отключить SecureBoot и прочитать эту статью просто для развлечения), мы хотим доверять только нашим ключам, а не каким-то чужим. Поэтому нам нужно прописать свои сертификаты в PK и KEK, и подписать нашим KEK-сертификатом сертификат загрузчика. Как и чем это всё можно сделать, включая создание сертификатов, прекрасно и подробно описано в уже упомянутой статье. Если нет линукса, можно взять лайв-образ или виртуалку, но у меня уже была готовая ОС, так что с подготовкой сертификатов и файлов PK и KEK проблем не возникло. А вот при создании DB мы натыкаемся на одну маленькую загвоздку: в поиске не удается найти сертификат от Microsoft, которым подписан загрузчик от Windows 7 (файл называется bootmgfw. efi).

В принципе, ничего страшного в этом нет. С ходу в голову приходят несколько вариантов решения проблемы без отключения БезопаснойЗагрузки и не имея сертификата:

1. Создать свой собственный сертификат DB и подписать им загрузчик
2. Взять загрузчик от Windows 8
3. Погуглить еще
4. В принципе в db и dbx можно кроме сертификатов запихать также хэш от файла загрузчика, как описано вот здесь. Правда, описан способ только для dbx, но для db должно быть аналогично.

Первый способ, как самый очевидный, был тут же и опробован. Однако оказалось, что не все так просто: в процессе загрузки выдается предупреждение, что файл загрузчика не подписан или подписан неверной подписью, и его нужно восстановить. Так как в момент загрузки наверняка используется не системное хранилище сертификатов, а что-то еще, замену сертификата на свой осуществить простым способом, видимо, не удастся.

Второй способ я серьезно не рассматривал, т. к. образа восьмерки у меня не было, а качать N Гб ради файла размером порядка мегабайта было лень. Да и после первого пункта были определенные сомнения относительно того, поймет ли Windows 7 сертификат от загрузчика Windows 8.

Третий способ в очередной раз не дал результатов.

Четвертый способ у меня так и не получилось «добить» — видимо, я проигнорировал фразу о том, что хэш нужно брать от неподписанного файла, сейчас уже нет смысла проверять. Но в процессе изучения команд, описанных на той странице, с целью понять, что происходит, я заметил, что в detached подписи загрузчика есть ссылки на файлы .crt на сайт microsoft.com. Вы можете достичь того же результата, выполнив команду:

strings bootmgfw.efi | grep -Po 'http.*crt'

В результате вы получите следующие ссылки на сертификаты:
http://www.microsoft.com/pki/certs/MicrosoftTimeStampPCA.crt
http://www.microsoft.com/pki/certs/MicrosoftWinPCA.crt
http://www.microsoft.com/pki/certs/MicrosoftRootCert.crt

К слову, даже зная, что искать, я так и не смог найти какие-то ссылки на сайте Microsoft, которые бы указывали на эти файлы.

RootCert и TimeStampPCA нам вряд ли интересны, а вот WinPCA я обработал и добавил в db. В результате Windows 7 в режиме SecureBoot загрузилась и работает успешно.

Еще хотел бы заметить, что на самом деле существует пятый способ: взять загрузчик наподобие grub2, умеющий загружать что угодно, и загружать Windows 7 им. Но тут сразу несколько препятствий: если загрузчик не проверяет подписи, то проще и осмысленней отключить SecureBoot, а если проверяет, то ему все равно нужно с чем-то сравнивать подпись. Grub2, кстати, по крайней мере в убунте, отказывается загружать винду, хотя с отключенным SecureBoot тот же пункт меню работает.

Как исправить «Secure Boot Violation» в Windows 7, 8 и 10?

Ошибка «Secure Boot Violation – Invalid Signature Detected» появляется при запуске компьютера под управлением Windows. Вы можете нажать Enter при ее появлении, чтобы войти в систему, но она будет возникать каждый раз при загрузке ПК.

Содержание

• Что вызывает «Secure Boot Violation»?
• Решение «Secure Boot Violation»
  • Решение №1 Отключение протокола
  • Решение №2 Удаление обновления KB3084905
  • Решение №3 Отключение проверки цифровых подписей

Что вызывает «Secure Boot Violation»?

Как правило, причину за появлением этого сообщение невероятно трудно определить. Посудите сами: короткое сообщение на красном фоне, которое предоставляет минимальное количество информации, причем непонятной для многих пользователей. Однако первая часть сообщения все же дает намек о том, как можно избавиться от данной проблемы.

Secure Boot (безопасная загрузка) — особый протокол для BIOS, который запрещает запуск не авторизованных операционных систем на устройстве. Благодаря этому протоколу в BIOS «запоминается» подписи загрузочного кода первоначальной системы и если эти подписи не совпадают — Secure Boot блокирует загрузку другой системы.

Решение «Secure Boot Violation»

Решение №1 Отключение протокола

Верно, чтобы избавиться от ошибки «Secure Boot Violation» зачастую достаточно просто отключить в BIOS соответствующий протокол. Возможно, вы пытались загрузиться в какую-то иную, дополнительную ОС, что не понравилось Secure Boot.

Так или иначе войдите BIOS, нажатием выделенной для этого кнопки (у каждого она разная — гуглим) при загрузке компьютера. Например, часто этими кнопками являются DEL, F1, F2 и так далее. Как только войдете в BIOS, начинаем искать пункт Secure Boot. Опять-таки, в каждом BIOS он может располагаться в разных вкладках.

Найдя необходимый параметр, выставьте для него значение «Disabled». Сохраните внесенные изменения в BIOS и перезагрузите компьютер. Ошибка «Secure Boot Violation» должна исчезнуть.

Решение №2 Удаление обновления KB3084905

Оказывается, обновление KB3084905, выпущенное для Windows Server 2012 и Windows 8.1, может вызывать некоторые проблемы с Secure Boot на компьютерах, которые подключены к одному и тому же контроллеру доменов. Решение — удалить указанное выше обновление из системы. Для этого нужно сделать следующее:

1. нажмите Windows+R;
2. пропишите значение «control.exe» и нажмите Enter;
3. выберите «Удаление программ» в категориях;
4. нажмите на строчку «Просмотр установленных обновлений»;
5. найдите в списке обновление KB3084905, нажмите на него ПКМ и выберите «Удалить»;
6. следуйте инструкциям на экране для удаления обновления;
7. перезагрузите компьютер.

Проверяем, появится ли ошибка «Secure Boot Violation» или нет.

Решение №3 Отключение проверки цифровых подписей

Давайте попробуем отключить обязательную проверку цифровой подписи драйверов. Некоторые пользователи утверждают, что им удалось избавиться от проблемы с Secure Boot после отключения этой функции. Так или иначе попробовать не помешает. Сделайте следующее:

1. откройте Параметры системы;
2. выберите раздел «Обновление и безопасность»;
3. перейдите во вкладку «Восстановление»;
4. нажмите на кнопку «Перезагрузить сейчас»;
5. на экране выбора действий выберите пункт «Диагностика»;
6. откройте «Дополнительные параметры»;
7. выберите пункт «Параметры загрузки» и нажмите кнопку «Перезагрузить»;
8. теперь нажмите на кнопку F7 для отключения обязательной проверки подписей драйверов.

Если вы нормально войдете в систему, то сообщение «Secure Boot Violation» действительно появлялось из-за проверки цифровых подписей. Мы надеемся, что данная статья была полезна для вас.

Компьютеры #Windows

Расширенная поддержка системы безопасности Windows 7 завершена (обновлено)

При покупке по ссылкам на нашем сайте мы можем получать партнерскую комиссию. Вот как это работает.

(Изображение предоставлено Беата Заврзель/NurPhoto через Getty Images)

Обновление , 11 января: Нам стало известно, что, несмотря на отчеты, Windows 7 не поддерживает безопасную загрузку. Microsoft подтвердила, что скриншот, который показывает, что машина VMWare с параметрами безопасной загрузки на хосте Windows 7 не указывает на то, что Windows 7 получает эту функцию. Безопасная загрузка была добавлена ​​в Windows 8.
—
Налейте один для Windows 7, 13-летней операционной системы, которая больше не получает никаких обновлений безопасности. Однако ненадолго выяснилось, что Microsoft оставила один большой прощальный подарок для пользователей, заботящихся о безопасности.

Windows 7 технически подошла к концу 14 января 2020 г., но предприятия и образовательные учреждения могут получить расширенные обновления безопасности до сегодняшнего дня. Действительно кажется, что для большинства людей настало время обновиться, но для тех, кто этого не делает, Neowin сообщает, что Microsoft добавила UEFI и безопасную загрузку в устаревшую ОС. Позже это было опровергнуто из-за путаницы из-за настроек виртуальной машины.

Безопасная загрузка (открывается в новой вкладке) использует прошивку ПК для проверки того, что все программное обеспечение и драйверы прошивок, используемые при загрузке, должным образом подписаны OEM и производителем. Довольно поздно для появления такой функции в ОС, но это может стать приличным последним вздохом для организаций, которые отказываются обновляться до Windows 10 или 11.

Neowin увидел разговор о безопасной загрузке на китайском языке CSDN форумы. У некоторых людей были некоторые проблемы с включением UEFI и безопасной загрузки, и, похоже, они застряли на логотипе запуска из-за определенных драйверов дисплея, которые необходимо обновить.

Windows 11 требует, чтобы на ПК была включена безопасная загрузка, если вы выполняете обновление с Windows 10, и большинство OEM-компьютеров поставляются с уже настроенной.

Для тех из вас, кто упорно держится за Windows 7, она продолжит работать, но вы больше не будете получать исправления для новых или существующих уязвимостей. Windows 8.1, по которой никто не будет скучать, сегодня также подходит к концу (открывается в новой вкладке) (и, в отличие от Windows 7, не получит программу расширенного обновления безопасности).

Неясно, сколько из 1,5 миллиарда пользователей Windows в настоящее время используют Windows 7 или 8.1. Но если вы оказались на одном из них, вероятно, пришло время обновиться до Windows 10 или 11 в целях безопасности.

Эта история была первоначально опубликована 11 января и обновлена ​​10 января с добавлением дополнительной информации .

Получите мгновенный доступ к последним новостям, подробным обзорам и полезным советам.

Свяжитесь со мной, чтобы сообщить о новостях и предложениях от других брендов Future. Получайте электронные письма от нас от имени наших надежных партнеров или спонсоров.

Эндрю Э. Фридман — старший редактор Tom’s Hardware, специализирующийся на ноутбуках, настольных компьютерах и играх. Он также следит за последними новостями. Любитель игр и технологий, его предыдущая работа появлялась в Tom’s Guide, Laptop Mag, Kotaku, PCMag и Complex, среди прочих. Подпишитесь на него в Твиттере: @FreedmanAE

Темы

Windows

Как включить безопасную загрузку в Windows 7? [Ответ 2023] — Droidrant

Если вы ищете инструкции о том, как включить безопасную загрузку в Windows 7, читайте дальше. Безопасная загрузка — это функция UEFI (Unified Extensible Firmware Interface) вашего ПК, которая позволяет загружать только утвержденные операционные системы. Это предотвращает захват вредоносными программами контроля над вашим компьютером во время загрузки. К счастью, безопасная загрузка бесплатна и ее легко включить. Вот несколько шагов, которые нужно выполнить.

Убедитесь, что на вашем ПК установлена ​​последняя версия UEFI. Если это не так, вам может потребоваться установить другую операционную систему. Первым шагом в установке Secure Boot является включение UEFI. Для безопасной загрузки требуется последняя версия UEFI (интерфейс загрузки на основе UEFI), а Windows 7 несовместима с UEFI. Вам также может потребоваться отключить безопасную загрузку перед установкой Windows.

Откройте средство msinfo32, чтобы узнать, включена или отключена безопасная загрузка. Эта опция находится в разделе «Сводка системы». Если указано «включено», безопасная загрузка включена. Если он говорит «выключено», он отключен. Включить безопасную загрузку очень просто! Чтобы проверить, отключена ли она, запустите программу Restoro и выберите вариант устранения неполадок. Если безопасная загрузка по-прежнему не работает, обратитесь за помощью к представителю службы поддержки Windows.

Связанные вопросы / содержание

• Может ли Windows 7 использовать безопасную загрузку?
• Как включить безопасную загрузку?
• Как включить или отключить безопасную загрузку?
• Как отключить безопасную загрузку в Windows 7?
• Как включить UEFI в Windows 7?
• Как получить UEFI в Windows 7?
• Как узнать, включена ли безопасная загрузка?

Может ли Windows 7 использовать безопасную загрузку?

Может ли Windows 7 использовать безопасную загрузку? — очень распространенный вопрос, особенно если вы используете 64-разрядную версию операционной системы. Хотя эта функция поддерживается многими ПК, если у вас более старая модель, вы должны отключить ее перед установкой Windows. Эта функция безопасности предотвращает захват вредоносными программами процесса загрузки вашего компьютера. Это требуется для многих ПК, использующих прошивку UEFI.

Чтобы проверить, включена ли безопасная загрузка на вашем ПК, запустите msinfo32 и перейдите к сводке системы. Под этим нажмите на вкладку «Безопасное состояние загрузки». Выберите «Вкл.», если безопасная загрузка включена, в противном случае она отключена. Как только вы найдете правильный параметр, отключите его и включите снова. После того, как вы исправите это, вы можете начать процесс установки Windows. Если проблема не устранена, вы можете запустить инструмент восстановления, такой как Restoro, чтобы определить проблему и исправить ее.

Безопасная загрузка — это функция спецификации UEFI 2.3.1. Это новый интерфейс для операционной системы и BIOS. Он защищает ваш компьютер от несанкционированного доступа, предотвращая загрузку несанкционированных загрузчиков и драйверов. Эта функция безопасности также предотвращает двойную загрузку, что позволяет установить две операционные системы одновременно. Отключить безопасную загрузку на ПК легко, но вы должны быть осторожны, чтобы не изменить прошивку вашего ПК, если она не соответствует вашим потребностям.

Как включить безопасную загрузку?

Чтобы включить безопасную загрузку в Windows 7, вам необходимо настроить оборудование и операционную систему. Самый простой способ изменить этот параметр — открыть дополнительные параметры запуска и щелкнуть вкладку «Безопасная загрузка». Затем щелкните параметр «Безопасная загрузка» и измените его значение на «включено». Теперь ваш компьютер должен быть настроен для безопасной загрузки. Чтобы проверить правильность настроек, посетите документацию по оборудованию для разработчиков Windows и обратитесь в службу поддержки Windows за дополнительной информацией.

Вы также можете использовать стрелки клавиатуры для перехода на вкладку «Безопасность». Если в вашей системе используется система графического меню, вы можете использовать стрелки мыши для перехода к подменю «Настройка». Кроме того, вы можете перейти к подменю «Безопасная загрузка» в системе текстового меню, нажав клавишу «Ввод». После включения безопасной загрузки перезагрузите компьютер, чтобы увидеть изменения. Как только ваша система будет защищена, вы можете безопасно выбрать, какую операционную систему вы хотите запустить.

Как включить или отключить безопасную загрузку?

Как включить безопасную загрузку в Windows 7 — довольно простой процесс. Получив операционную систему и совместимое оборудование, просто зайдите в меню BIOS и выберите «Дополнительные параметры» > «Безопасность». Это отобразит меню, которое включает настройку безопасной загрузки. Нажатие F1 или F12 откроет меню, или вы можете удерживать клавишу Shift при выборе «Перезагрузить». Найдя параметр «Безопасная загрузка», перейдите на вкладку «Загрузка» в разделе «Безопасность» и выберите вкладку «Аутентификация UEFI». Если вам нужно загрузить ключи, вы можете сделать это в BIOS или Custom.

Чтобы изменить параметры безопасности по умолчанию, необходимо сначала отключить параметр поддержки старых версий и отключить безопасную загрузку. Вы также можете отключить безопасную загрузку в меню «Конфигурация системы» в разделе «Безопасность». Убедитесь, что на компьютере сохранен пароль. После того, как вы это сделаете, нажмите клавишу Enter и выберите нужный вариант. Если вы не хотите включать безопасную загрузку в Windows 7, вы можете изменить значение по умолчанию, чтобы включить этот параметр.

Как отключить безопасную загрузку в Windows 7?

Чтобы отключить безопасную загрузку в Windows 7, перейдите в меню «Конфигурация системы», нажав клавишу со стрелкой вправо. Выберите вкладку Безопасность. На вкладке «Аутентификация» выберите параметр загрузки, а затем нажмите «Отключить». Введите четырехзначный код и нажмите Enter. Вашему компьютеру будет предложено ввести код, и вам нужно будет ввести его снова, чтобы включить безопасную загрузку. Затем перезагрузите компьютер.

Если вы случайно отключили безопасную загрузку, ваш компьютер не загрузится. Чтобы вернуть его, вы можете выполнить сброс BIOS. Это не сотрет ваши данные, но удалит ваши пользовательские настройки BIOS. Обратите внимание: если вы не можете найти ключ, попробуйте удерживать Shift при выборе «Перезагрузить», чтобы войти в расширенное меню загрузки. Оттуда выберите «Устранение неполадок»> «Дополнительные параметры» и выберите «Настройки прошивки UEFI».

Чтобы включить безопасную загрузку, начните с нажатия F1 или F12 во время загрузки. Удерживая Shift при выборе «Перезагрузить», вы также получите доступ к меню. На вкладке «Безопасность» найдите параметр «Безопасная загрузка». Затем выберите вкладку «Загрузка». Если на вашем компьютере нет Secure Boot, вы можете загрузить его в BIOS. Сделав это, вы сможете загрузить свою систему, используя доверенную прошивку.

Как включить UEFI в Windows 7?

Если у вас есть компьютер, совместимый с UEFI, вам может быть интересно, как включить UEFI в Windows 7. Несмотря на свое название, прошивка в UEFI отличается от BIOS. Если вы обнаружите, что ваш компьютер с Windows 7 работает неправильно, вам может потребоваться включить UEFI. В этой статье показано, как включить UEFI в Windows 7.

Чтобы проверить, работает ли ваш компьютер в UEFI, запустите утилиту «Сведения о системе» из меню «Пуск». Нажмите «Информация о системе» и выберите «Наследие» или «UEFI». Вариант UEFI предпочтительнее, если на вашем компьютере есть место для хранения более двух терабайт. Безопасная загрузка также гарантирует, что для загрузки ПК будут разрешены только файлы, необходимые для загрузки системы. Выбрав UEFI, нажмите «Изменить режим загрузки», а затем «Включить UEFI», чтобы начать процесс.

При включении UEFI ваш компьютер не загружается в режиме BIOS. Он будет загружаться в режиме UEFI, если вы снимите флажок «Безопасная загрузка». Возможно, вам потребуется отформатировать жесткий диск вашего ПК, чтобы изменить режим прошивки. Вместо этого некоторые ПК с UEFI загружаются в режиме BIOS. Если это не сработает, вы можете использовать среду предустановки Windows или программу установки Windows, чтобы изменить режим загрузки.

Как получить UEFI в Windows 7?

Чтобы использовать UEFI, ваш компьютер должен быть сначала настроен для него. Если вы не знаете, как настроить BIOS, вы можете проверить руководство вашего ПК или проконсультироваться с производителем. Если производитель не предоставляет драйверы UEFI, лучший способ настроить BIOS — использовать рекомендуемые. Вы также можете попробовать использовать ключ продукта только для розничного обновления, чтобы активировать Windows 7 и получить UEFI.

После выполнения всех этих действий перезагрузите компьютер. Процесс отличается для каждого компьютера. Если у вас есть рабочий стол, нажмите Del, а затем F2. На ноутбуке нажмите F2, чтобы открыть полное меню. Отсюда выберите «Настройка BIOS». В настройках BIOS найдите конфигурацию режима загрузки Legacy/UEFI. Отключите его и включите UEFI. Нажмите F10, чтобы сохранить изменения.

Вы можете установить Windows 7 в режиме UEFI, загрузившись с диска UEFI. Однако, чтобы сделать UEFI загрузочным, ваш компьютер должен поддерживать UEFI на материнской плате. Также важно отметить, что устаревшие системы не будут совместимы с UEFI. Чтобы загрузиться с GPT-диска, вам понадобится розничный диск Windows 7 x64.

Как узнать, включена ли безопасная загрузка?

Если вы пытаетесь выяснить, включена ли безопасная загрузка на вашем компьютере, вам следует сделать несколько вещей. Первый шаг — открыть BIOS и выбрать вкладку безопасности. В этом окне вы увидите опцию «Безопасная загрузка».