Uefi secure boot что это: Secure Boot — что это такое в BIOS и как отключить

Как правильно настроить Secure Boot

Некоторые пользователи устройств под управлением операционной системы Windows 8 и 8.1 после установки обновлений столкнулись с ошибками системы, которые связаны с так называемой «безопасной загрузкой». Что же это такое? Это функция, которая препятствует запуску неавторизованных ОС и ПО при включении ПК. Нужна она для дополнительной защиты вашего компьютера от вирусов и руткитов, которые могут нанести вред системе в тот момент, когда она загружается. Но что же делать, если указанная функция становится причиной постоянных ошибок? Всё дело в заданных параметрах. В этой статье подробно рассмотрим, как правильно настроить Secure Boot. Давайте разбираться. Поехали!

Если есть такая проблема, данная статья для вас.

Существует ряд проблем, связанных с режимом безопасной загрузки. Чаще всего это сообщение об ошибке «Безопасная загрузка Secure Boot настроена неправильно» или «Secure Boot Violation Invalid signature detected». Что же делать в таком случае? Часто бывает достаточно просто включить указанную функцию через BIOS. Но у некоторых пользователей такой пункт в BIOS отсутствует вовсе. Тогда следует попробовать отключить его. О том, как это сделать, далее в статье.

Нарушение Secure Boot

Первым делом зайдите в BIOS. Для этого необходимо нажать определённую клавишу (зависит от девелопера вашего ПК) в процессе включения компьютера.

Обратите внимание, что если вы пользуетесь Windows 8.1 или 8, можно просто перейти к меню параметров, открыть раздел «Изменение параметров компьютера», а затем выбрать пункт «Обновление и восстановление». Далее, необходимо зайти в «Восстановление» и кликнуть по кнопке «Перезагрузить». Затем выберите дополнительные параметры «Настройки ПО UEFI». После перезагрузки ПК получит нужные параметры.

Диалоговое окно Windows 8 (8.1)

Другой способ касается юзеров всех остальных версий ОС Windows. Откройте BIOS или UEFI (более современный аналог). Далее, для каждой марки ноутбука процесс настройки может незначительно отличаться, поэтому рассмотрим каждый случай отдельно.

ASUS

Зайдите во вкладку «Boot». Затем откройте раздел «Secure Boot». Выберите «Other OS» в пункте «OS Type». В более старых версиях просто поставьте «Disabled» в нужном пункте. Сохраните настройки, нажав на клавиатуре клавишу F10.

Проверяем состояние и настраиваем параметры

HP

Откройте раздел «System Configuration», а затем нажмите «Boot Options». Найдите там соответствующую строку и выберите режим «Disabled». Сохраните параметры перед выходом.

Lenovo, Toshiba

Запустив BIOS, откройте раздел «Security». Найдите соответствующий пункт и выберите для него состояние «Disabled».

В зависимости от версии БИОСа, параметры могут немного отличаться

Для ноутбуков Dell и Acer всё выполняется аналогичным образом, с той разницей, что нужный пункт находится во вкладке «Boot» (для Dell) и «Authentication» или «System Configuration» (для Acer).

Алгоритм действий похож

Если ваш компьютер с материнской платой от компоновщика Gigabyte, то нужный раздел следует искать во вкладке «BIOS Features». Дальнейшие действия такие же, как в выше рассмотренных случаях.

В ОС Windows 8 и более новых версиях можно узнать, включена или отключена на компьютере безопасная загрузка. Для этого воспользуйтесь комбинацией клавиш Win+R, чтобы открыть окно «Выполнить», а затем пропишите в поле для ввода (без кавычек) «msinfo32». В разделе «Сведения о системе» вы найдёте необходимую информацию. Так вы можете узнать о состоянии функции безопасной загрузки на вашем ПК.

В общем, в случае возникновения каких-либо неисправностей с режимом безопасной загрузки, попробуйте включить или отключить его, перейдя в BIOS или UEFI. Это поможет вам решить проблемы с системой и комфортно пользоваться компьютером.

Теперь вы точно будете знать, что делать, если на вашем компьютере неправильно заданы параметры безопасной загрузки. Как видите, эту ситуацию несложно исправить. Каких-то несколько минут, и ваша система снова работает как надо. Пишите в комментариях, помогла ли вам статья разобраться с ошибкой, и делитесь с другими пользователями своим опытом в решении указанной проблемы.

Поставщики ПО должны создать «цепочку доверия»

Linux Foundation: Поставщики ПО должны создать «цепочку доверия»

15:49 / 31 октября, 20112011-10-31T15:49:58+04:00

Alexander Antipov

UEFI

Ведущие поставщики GNU\Linux опубликовали рекомендации к реализации технологии UEFI Secure Boot.

Linux Foundation и Red Hat опубликовали собственные рекомендации по реализации функционала «безопасной загрузки».

Безопасная загрузка UEFI – это технология, интегрированная в последнюю версию (v2.3.1) спецификации UEFI, в которой реализована часть «подлинного программного стека». Подлинный программный стек осуществляет проверку подлинности и целостности критических элементов программного обеспечения, запущенного на текущем устройстве. Это достигается путем внедрения системы криптографии с использованием публичного ключа для проверки подлинности различных подписей в ходе загрузки каждого последующего слоя в процессе загрузки операционной системы.

Функционал безопасной загрузки участвует в нескольких этапах данного процесса: проверке прошивки системы, драйверов и ПО, загружаемого встроенной прошивкой. Обычно, данное ПО выступает «загрузчиком», ответственным за запуск образа операционной системы. Применяя безопасную загрузку, публичные ключи в прошивке UEFI используются для проверки загрузчика, считываемого с диска. Таким образом, осуществляется предоставление загрузчику прав на запуск.

Для того, чтобы реализовать защиту всего программного стека, загрузчик обычно выполняет проверку подписи ядра операционной системы, которая, в свою очередь, выполняет проверку подписи остального ПО.

Если заменить или модифицировать один из этих компонентов, то проверка подписи завершиться неудачей, и система не загрузится. Например, если подпись загрузчика не будет сходиться с указанной в прошивке UEFI, пользоваться системой будет невозможно.

Участники проекта Linux Foundation отмечают, что для обеспечения стабильной работы «открытых систем», при изготовлении данной технологии необходимо исполнить ряд требований. Среди этих требований можно отметить следующие:

• Все платформы, поддерживающие функционал UEFI, должны поставляться в режиме настройки, и владелец должен иметь возможность выбора устанавливаемого ключа платформы. Также отмечается необходимость возможности возвращения к заводским настройкам.
• При первом запуске операционной системы, она должна определяться автоматически. Также автоматически должен загрузиться ключ замены ключа (key-exchange key, KEK), который загрузит ключ платформы, обеспечив безопасную загрузку.
• Настройки прошивки должны позволять пользователю добавлять новые KEK, позволяющие устанавливать операционные системы, не имеющие собственного ключа в заводской сборке.
• Прошивка должна содержать механизм для установки ОС из съемных устройств.
• В будущем необходимо создать независимую от поставщиков аппаратного и программного обеспечения службу подтверждения подлинности KEK.

Также авторы уведомления Linux Foundation отметили, что путем создания «цепочки доверия» между ведущими поставщиками аппаратного и программного обеспечения можно решить множество проблем технологии.

Сотрудники Red Hat, помимо требований к спецификациям и доводов в пользу реализации системы безопасной загрузки UEFI, подняли также ряд проблем, которые могут возникнуть, и на которые стоит обратить внимание разработчикам технологии.

Так, согласно описанию технологии, цифровую подпись должна иметь не только операционная система, но и все аппаратные компоненты компьютера. Пользователю ПК, который желает заменить, например, дисковый привод, необходимо позаботиться о том, чтобы ключ нового устройства содержался в базе, предоставленной изготовителем оборудования.

Также, в случае намерения пользователя сменить операционную систему, ему придется выбирать только ОС, для которой существует ключ. Таким образом, либо каждый поставщик ОС должен предоставить свой ключ всем поставщикам аппаратного обеспечения, либо разработчики системы безопасной загрузки UEFI должны продумать способ ручного добавления ключей на систему пользователем.

С уведомлениями ведущих разработчиков GNU\Linux систем можно ознакомиться по адресам:

Уведомление Linux Foundation

Уведомление Red Hat

Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!

Поделиться новостью:

Что такое безопасная загрузка UEFI и как она работает?

Перейти к навигации
Перейти к основному содержанию

Инфраструктура и управление

Облачные вычисления

Хранение

запусков

Интеграция и автоматизация

Secure Boot — это функция безопасности встроенного ПО UEFI, разработанная консорциумом UEFI, которая гарантирует загрузку только неизменного и подписанного программного обеспечения во время загрузки. Безопасная загрузка использует цифровые подписи для проверки подлинности, источника и целостности загружаемого кода. Эти шаги проверки предпринимаются для предотвращения загрузки вредоносного кода и предотвращения атак, таких как установка определенных типов руткитов.

Безопасная загрузка разделена на несколько частей и этапов. Первая важная концепция — базы данных Allow DB (DB) и Disallow DB (DBX). В базе данных Allow DB (DB) хранятся хэши и ключи для доверенных загрузчиков и приложений EFI, которые разрешено загружать прошивкой машины. В базе данных Disallow DB (DBX) хранятся отозванные, скомпрометированные и ненадежные хэши и ключи. Любая попытка загрузить подписанный код с использованием ключей Disallow DB или в случае совпадения хэша с записью Disallow DB приведет к сбою загрузки.

Доверенные приложения подписываются центральным центром сертификации. Открытый сертификат хранится в аппаратном обеспечении, что позволяет успешно загружать сторонние приложения EFI, подписанные этим сертификатом.

В версиях Red Hat Enterprise Linux, поддерживающих безопасную загрузку, подписанным и доверенным приложением является пакет оболочки, который является первым приложением, загружаемым микропрограммой машины. Сам пакет shim содержит сертификат Red Hat и собственные базы данных доверенных ключей и хэшей кода, которые разрешено загружать. Эти данные используются для проверки подписи загрузчика, которой является GRUB 2, чтобы убедиться, что она не была скомпрометирована или изменена злоумышленником. После успешной проверки загружается GRUB, проверяет подпись ядра и подтверждает, что она соответствует сертификату Red Hat или любому хэшу, зарегистрированному самим пользователем в базе данных Allow DB. Если есть совпадение, GRUB загрузит ядро, которое завершит процесс начальной загрузки.

Дополнительные сведения о UEFI и безопасной загрузке см. в разделе «Безопасная загрузка UEFI» в современных решениях для компьютерной безопасности.

• 
  
  Товар(ы)
  
• Red Hat Enterprise Linux

• 
  
  Категория
  
• Безопасность

• 
  
  Компонент
  
• личинка

• 
  
  Артикул Тип
  
• Техническое описание

Требования к прошивке

UEFI | Microsoft Узнайте

Твиттер

LinkedIn

Фейсбук

Электронное письмо

• Статья
• 17. 12.2020
• 2 минуты на чтение

При запуске устройств интерфейс прошивки управляет процессом загрузки ПК, а затем передает управление Windows или другой операционной системе.
UEFI является заменой старого интерфейса прошивки BIOS и спецификаций Extensible Firmware Interface (EFI) 1.10.
В форуме Unified EFI участвуют более 140 ведущих технологических компаний, в том числе AMD, AMI, Apple, Dell, HP, IBM, Insyde, Intel, Lenovo, Microsoft и Phoenix Technologies.

Преимущества UEFI

Микропрограмма, соответствующая спецификациям UEFI 2.3.1, обеспечивает следующие преимущества:

• Возможность поддержки функций безопасности Windows 10, таких как безопасная загрузка, Microsoft Defender Credential Guard и Microsoft Defender Exploit Guard. Все требуют прошивки UEFI.
• Более быстрое время загрузки и возобновления работы.
• Возможность более простой поддержки больших жестких дисков (более 2 терабайт) и дисков с более чем четырьмя разделами.
• Поддержка многоадресного развертывания, что позволяет производителям ПК транслировать образ ПК, который может быть получен несколькими ПК без перегрузки сети или сервера образов.
• Поддержка драйверов встроенного ПО UEFI, приложений и дополнительных ПЗУ.

Рекомендации по установке носителя

Чтобы загрузить Windows, перейдите на страницу загрузки Windows 10. Если вы хотите использовать такие носители, как флэш-накопитель USB, DVD или ISO, загрузите инструмент для создания Windows Media.

Требования к загрузке и минимальные требования безопасности

Как OEM-производитель вы должны обеспечить поддержку функций, описанных в Спецификациях и политиках программы совместимости оборудования Windows, в частности следующих элементов, которые разделены на две группы: требования к загрузке и минимальные требования безопасности.

Требования к среде выполнения UEFI

Для различных версий Windows требуются некоторые или все следующие службы среды выполнения UEFI.