В windows 10 нет пункта uefi: Как зайти в UEFI на Windows 10

Как получить доступ к UEFI для установки Windows 8/10 на новый ПК.

Для новых ПК с предустановленной операционной системой Windows 8/10- UEFI – это стандартный интерфейс встроенного ПО , который заменил старый БИОС. Теперь на новый ПК с Windows 10/8.1/8 были установлены новые UEFI вместо традиционного BIOS. И опция “безопасной загрузки” в UEFI БИОС применяется для автоматического предотвращения вредоносных программ и несанкционированных операционных систем от нагрузки во время пуска. Конечно, это делает компьютеры безопасными. Но, если он постоянно включен, будет много вещей, которые нельзя сделать.
1. Загрузка Windows с внешнего устройства, например, USB или CD.
2. Запуск компьютера Windows с Linux, Ubuntu или Fedora.
3. Работать на предыдущих версиях систем Windows.
4. При запуске Windows, нельзя  восстановить пароль .

Пожалуйста, см. следующие четыре метода. Они помогут вам открыть настройки экрана UEFI БИОС  (иногда его называют настройки BIOS), когда компьютер работает или заблокирован.

Метод 1: получите доступ к UEFI для установки BIOS с помощью горячей клавиши.
Если на компьютере есть предварительно установленное ПО UEFI BIOS и вы быстро хотите получить доступ к UEFI для установки загрузки через BIOS, вы можете войти в настройки BIOS или UEFI через этот традиционный метод – нажать горячий ключ. При загрузке ПК просто нажмите горячую клавишу на компьютере логотип когда система запускается и получите доступ к UEFI для установки.

Но, если вы не можете войти в UEFI БИОС, может быть, вы просто пропускаете, чтобы нажать горячую клавишу. Так что если клавиша не смогла вам помочь, после нескольких попыток, пожалуйста, перейдите на остальные три метода, описанные ниже.

Способ 2: доступ к UEFI БИОС через настройки ПК
Процесс чтобы получить доступ к UEFI и попасть в настройки BIOS, через параметры компьютера в Windows 8 похож на Windows 10. Самая большая разница в том, как войти в Расширенный запуск.

ОС Windows 10: Пуск > параметры > обновление и безопасность > восстановление > особые варианты загрузки > перезагрузить сейчас – > диагностика > Дополнительные параметры > параметры встроенного по UEFI > Перезагрузка

Шаг 1: войдите в Windows 8/10 в вариант Расширенный запуск.

1. Получите доступ к системе Windows 8 через вариант Расширенный запуск:

В Windows 8, вы можете переместить курсор мыши к верхней правой части окна и выбираем настройки.

Затем выберите пункт изменение параметров компьютера снизу настройки. После, в открывшемся окне параметры компьютера выберите общие, и вы можете увидеть предварительный запуск.

2. Войти в Windows 10 ы параметры запуска:

В Windows 10, нажмите кнопку Пуск и выберите Настройки.

Затем в окне настройки, нужно выбрать “обновление и безопасность”.

Когда появится новое окно “обновление и безопасность”, нажмите кнопку Recovery на левой панели и вы увидите особые варианты загрузки справа.

Шаг 2: Нажмите кнопку перезагрузить сейчас в разделе особые варианты загрузки.

Шаг 3: Выберите устранение неполадок в нескольких вариантах.

Шаг 4: выберите пункт Дополнительные параметры в устранение неполадок.

Шаг 5: В окне Дополнительные параметры, вы увидите настройки UEFI. Просто нажмите на него.

Шаг 6: перезагрузите ПК чтобы получить доступ к настройкам UEFI БИОС для изменения параметров встроенного ПО UEFI.

Способ 3: доступ к БИОС UEFI с помощью командной строки
С помощью этого метода, вы сможете легко получить доступ к UEFI для установки BIOS с помощью одной команды и нескольких кликов.

1. Неважно, вы находитесь в настольном компьютере или нет, нажмите клавиши Windows + X , чтобы открыть меню и выберите в меню пункт командная строка (Администратор).

2. Выскакивает диалоговое окно, чтобы попросить вас разрешить открыть командную строку, чтобы внести изменения на этом компьютере, введите пароль администратора и нажмите кнопку Да.

3. Введите следующую команду и нажмите клавишу ввод.

shutdown.exe /r /o

В центре экрана отображается сообщение, предупреждающее, что вы должны быть подписаны. После этого Windows 8/10 автоматически перезагрузится менее чем за минуту. Если все вышеперечисленное работает нормально, вы сможете открыть Дополнительные параметры запуска, и вы можете выбрать устранение неполадок. Следующие шаги будут одинаковыми для способа 2 (Шаг 3 – 6).

Способ 4: войти в биос UEFI, удерживая нажатой клавишу Shift при выборе перезагрузки.
Этот метод работает, даже если Вы не вошли в Windows 8/10, покуда вы на экране входа в систему и есть доступ к меню перезагрузка.

По сравнению с выше описанными двумя методами, это более быстрый способ получить доступ к меню БИОС UEFI.

Шаг 1: просто найдите Выключить или перезагрузить кнопку на экране входа, и удерживайте ключ при нажатии на перезагрузку.

Шаг 2: После того как вы сделали это, будет не полная перезагрузка, и появится синий экран меню с вариантами загрузки. Для того, чтобы использовать дополнительные инструменты, нажмите кнопку устранение неполадок. Затем вы можете выбрать открыть Дополнительные параметры.

Шаг 3: все опции доступны в меню дополнительные опции. Измените как Windows 8/10 будет запускаться, теперь нажмите кнопку параметры запуска.

Шаг 4: теперь у вас есть несколько вариантов и они будут доступны после перезагрузки Windows в следующий раз. Так что нажмите кнопку Перезагрузка, чтобы перезагрузить систему Windows, и получить доступ к этим опциям.

Шаг 5: Нажмите клавишу F10 , чтобы получить больше возможностей.

Если вы хотите, чтобы были доступны параметры листинга для вас сейчас, просто нужно выбрать опцию, используя номер или функциональные клавиши F1-F9. Если Вы не хотите использовать любой из этих вариантов, вы можете загрузиться в нормальном режиме, нажав клавишу Enter.

Шаг 6: Нажмите клавишу F1 , чтобы запустить среду восстановления.

Запуск среды восстановления – это дополнительная возможность которую можно получить, нажав клавишу F10. Чтобы вернуться к другим параметрам, нажмите клавишу F10.

Если вы успешно попали в экран Настройка UEFI БИОС  выберите опцию загрузки в интерфейсе настройки BIOS, и выберите USB-накопитель или CD/DVD-диск в качестве первого загрузочного устройства, хотя способ установить USB-накопитель или CD-ROM как первого загрузочного устройства по-разному для разных видов компьютеров.

Доступна только схема питания Сбалансированная в Windows 10

Что делать, доступна только схема питания Сбалансированная в Windows 10 если на компьютере с UEFI. По умолчанию в Windows 10 есть несколько схем управления питанием, такие как Высокая производительность, Сбалансированная, Экономия энергии. Эти схемы предназначены для быстрого переключения группы параметров оборудования и питания системы (например, дисплея, режима сна). Иногда в параметрах электропитания Windows 10 доступна только сбалансированная схема управления питанием.

В операционной системе, помимо стандартных, могут быть определены и дополнительные схемы управления питанием. Например, вы можете создать собственный план управления питанием, который будет учитывать ваши личные предпочтения, или же такие схемы могут быть заданы производителем вашего компьютера или ноутбука. Эти параметры питания влияют на продолжительность работы аккумулятора и количество потребляемой им энергии. Параметры схемы управления питанием можно настроить с помощью Дополнительных параметров питания — апплета классической Панели управления.

Если у вас современный компьютер, вы можете быть удивлены, обнаружив, что единственный доступный вам план электропитания — Сбалансированная схема. Все остальные схемы управления питанием скрыты и недоступны в графическом интерфейсе.

Почему схемы электропитания отсутствуют

Причина этой проблемы заключается в том, что в современных ПК используется новая энергоэффективная технология, известная как S0 Low Power Standby или Modern Standby.

Это особое состояние сна, которое обеспечивает мгновенное включение / выключение компьютера, аналогично тому, что есть сейчас на смартфонах. Так же, как и телефон, режим S0 с низким энергопотреблением позволяет системе оставаться в режиме готовности и даже сохранять сетевые соединения (Connected Modern Standby), при этом потребляя минимальное количество энергии.

Когда оборудование поддерживает такой современный режим ожидания, управляющая микропрограмма материнской платы (BIOS, UEFI Firmware) может ограничивать работу вашего компьютера исключительно в этом режиме и предотвращать передачу ОС сведений о поддержке других режимов питания. В результате доступна только Сбалансированная схема питания.

Это не ошибка, это сделано намеренно. Если вам понадобились другие схемы управления питанием в Windows 10, необходимо перенастроить BIOS материнской платы вашего устройства (конечно, если это предусмотрено производителем).

Доступна только схема питания Сбалансированная в Windows 10 — решение

  1. Откройте BIOS вашего компьютера. Обратитесь к руководству ноутбука или вашей материнской платы, чтобы узнать, как это можно сделать. Обычно это клавиша DEL или F2 при запуске. См. примечание ниже.
  2. Проверьте, есть ли у вас параметр OS Type в категории Boot.
  3. Параметр может быть установлен в значение Windows UEFI или Windows 10, и должна присутствовать опция Other OS.
  4. Если для него установить значение Other OS, все остальные схемы управления питанием станут доступны в Windows 10.

Примечание #1. Попасть в современный BIOS можно, открыв меню Пуск, нажав и удерживая Shift, и выбрав «Перезагрузка» в меню питания в меню Пуск.

Выберите пункт «Перезагрузка», и щёлкните на нём, удерживая клавишу Shift.

Windows 10 перезагрузится в дополнительные параметры запуска. Там вы найдете пункт «Параметры встроенного ПО UEFI».

Параметры встроенного ПО UEFI

 

Примечание #2. Параметр «Other OS/Другая ОС» на самом деле предназначен для того, чтобы вы могли установить ОС, отличные от Windows 10, например Linux. Установка этого параметра может мешать Secure Boot и режиму загрузки UEFI. Это сильно зависит от конкретного устройства и его конкретной прошивки. Если после изменения параметра у вас возникнут проблемы, верните все значения в BIOS обратно.

💡Узнавайте о новых статьях быстрее. Подпишитесь на наши каналы в Telegram и Twitter.

Судя по тому, что вы читаете этот текст, вы дочитали эту статью до конца. Если она вам понравилась, поделитесь, пожалуйста, с помощью кнопок ниже. Спасибо за вашу поддержку!




Автор Сергей ТкаченкоОпубликовано Рубрики Windows 10Метки Электропитание

Общие сведения о безопасной предварительной загрузке Windows 10 UEFI

Эта статья является частью 1 ( Windows 10 UEFI Secure Boot ) новой серии статей о Windows, в которой я объясню встроенные меры безопасности, реализованные в Windows 10 для защитить этапы загрузки ОС, чтобы обеспечить целостность платформы ОС для корпоративного использования.

Введение

В моей предыдущей статье под названием «Понимание проверки работоспособности устройства Intune на соответствие требованиям» я кратко рассказал о Безопасная загрузка , Целостность кода и Измерение загрузки TPM . Если вы еще этого не читали, то я бы посоветовал сначала прочитать.

В этом посте я расскажу вам о UEFI Secure Boot и о том, как он помогает защитить предзагрузочную фазу Windows. Итак, давайте начнем.

Классификация потока загрузки Windows

Процесс загрузки ОС Windows можно разделить на три части –

  • Предзагрузочная фаза
  • Фаза загрузчика
  • Фаза инициализации ядра

Схематическое представление фазы загрузки Windows — безопасная загрузка Windows 10 UEFI Процесс загрузки

  • Современный поток загрузки/UEFI
  • Традиционный поток загрузки Windows — почему он небезопасен?

    В традиционном/устаревшем потоке загрузки — при включении питания системы On

    • Микропрограмма выполняет Самотестирование при включении питания — последовательность диагностического тестирования для проверки компонентов системы и определения возможности перехода системы к следующему этапу. Если все в порядке, прошивка инициализирует аппаратные компоненты.
    • Затем микропрограмма считывает загрузочную информацию с CMOS для вызова диспетчера загрузки Windows , который считывает данные конфигурации загрузки  для вызова загрузчика Windows , который, в свою очередь, загружает ядро ​​ОС в ОЗУ , а ядро ​​ берет на себя управление.

    До Windows 10 это была инициализация после ядра, когда запускалась служба Защитника Windows — встроенная защита от вредоносных программ, поставляемая с ОС Windows.

    Таким образом, в традиционном или устаревшем потоке загрузки ни на одном этапе не реализована мера безопасности для проверки на наличие поврежденного или вредоносного кода (руткитов/буткитов) и предотвращения их выполнения во время процесса загрузки.

    Таким образом, параметры загрузки можно легко изменить для запуска вредоносного кода во время процесса загрузки, что может привести к нестабильной загрузке системы или нарушению безопасности во время выполнения. Это серьезная угроза, если мы рассмотрим последствия в корпоративных сценариях.

    Улучшает ли Windows 10 сценарий?

    В Windows 10 Microsoft представила ряд функций безопасности, встроенных в ОС, чтобы справиться с вышеуказанными проблемами и защитить процесс загрузки Windows.

    • Надежная загрузка Windows
    • Ранний запуск драйвера защиты от вредоносных программ
    • Измеряемая загрузка Windows (зависимость TPM для аттестации работоспособности)
    • Device Guard
    • Credential Guard
    • Widows Defender Appliction Guard
    • 7 безопасная платформа Windows — это Secure Boot — в центре внимания этой статьи.

      Вход в безопасную загрузку UEFI Windows 10

      Безопасная загрузка UEFI Windows 10, функция UEFI в соответствии со спецификацией 2.3.1 errata C, помогает защитить предзагрузочную фазу Windows, снижая риски, связанные с руткитами и буткитами.

      Для системы UEFI при запуске она сначала проверяет, имеет ли прошивка цифровую подпись, тем самым снижая риск руткитов прошивки. Если в UEFI включена безопасная загрузка, микропрограмма проверяет цифровую подпись загрузчика, чтобы убедиться, что она не была изменена и что ее выполнение можно доверять.

      Давайте снова пройдем тот же процесс загрузки, но на этот раз с включенной функцией безопасной загрузки в UEFI.

      • При включении устройства Core Root of Trust Management  ( обычно реализуется в ЦП, первый блок кода, который выполняется при включении устройства и которому неявно доверяется для формирования корня доверия ) проверяет подпись загрузчика UEFI , предоставленную SoC (System на чипе) поставщика и запускает его.
      • Загрузчик UEFI проверяет подпись образа прошивки UEFI перед его загрузкой.
      • Прошивка UEFI затем проверяет подписи Драйверы UEFI и OEM-приложения UEFI перед их инициализацией. Затем микропрограмма проверяет подпись диспетчера загрузки Windows (bootmgfw. efi) , расположенную по адресу \EFI\Microsoft\Boot\ в системном разделе EFI, и запускает его.

      Безопасная загрузка Windows 10 UEFI — диспетчер загрузки Windows

      Если UEFI обнаружит проблему с диспетчером загрузки Windows (bootmgfw.efi), он заменит его резервной копией и попытается продолжить процесс загрузки. В случае, если это также не удается, микропрограмма UEFI инициирует исправление, указанное OEM.

      • Учитывая отсутствие проблем с диспетчером загрузки Windows, bootmgfw.efi считывает данные конфигурации загрузки (BCD) , расположенные по адресу \EFI\Microsoft\Boot\BCD в системном разделе EFI, найдите загрузчик OS3 900 (winload.efi) , который обычно находится по адресу %SystemRoot%\System32\

      Безопасная загрузка Windows 10 UEFI — загрузчик Windows

      С Bitlocker Device Encryption и ключ Bitlocker, запечатанный в TPM, в зависимости от значения измерения PCR, TPM автоматически распечатывает ключ Bitlocker, чтобы расшифровать том ОС, чтобы диспетчер загрузки Windows мог получить доступ и вызвать загрузчик Windows. Однако, если значение измерения PCR не соответствует значению, которым был запечатан ключ, TPM не распечатает ключ, и поэтому будет запущено восстановление Bitlocker.

      • Учитывая отсутствие изменений в значении измерения PCR, Bitlocker автоматически разблокирует диск ОС на bootmgfw.efi для проверки подписи winload.efi перед передачей ему управления .

      В случае возникновения какой-либо проблемы, связанной с повреждением драйверов начальной загрузки или образа ядра NTOS, микропрограмма UEFI инициирует среду восстановления Windows (WinRE) для восстановления/восстановления драйверов/ядра ОС.

      Выполнение загрузчика ОС означает конец юрисдикции безопасной загрузки. Хотя его юрисдикция заканчивается, но не его роль, поскольку он закладывает основу проверки целостности кода, которая будет продолжать проверять фазу загрузки ядра ОС Windows.

      Схема потока безопасной загрузки

      Поскольку все компоненты EFI проверяются на доверие перед выполнением, создавая цепочку доверия, это помогает снизить риски руткитов/буткитов, как если бы подпись/хэш не соответствовали базе данных подписей UEFI, это будет предотвращено от выполнения, что устраняет риск.

      Защищенный поток безопасной загрузки для загрузки загрузчика ОС схематически представлен ниже

      Безопасная загрузка Windows 10 UEFI — схема предзагрузочного потока Windows

      Безопасная загрузка не поддерживается на устаревших платформах BIOS или UEFI с включенным режимом модуля поддержки совместимости (CSM). Он доступен только в чистом режиме UEFI.

      Windows 10 UEFI Secure Boot Internals

      Он основан на криптографии с открытым ключом для проверки подлинности кода перед его выполнением. Ниже представлено представление переменных UEFI Secure в соответствии с иерархией.

      Безопасная загрузка Windows 10 UEFI — рабочие внутренние компоненты

      Компонент EFI считается доверенным, если он

      • является беззнаковым , но имеет хэш SHA256 изображения в db , а не в dbx ,
      • подписанный или 49032
          подписанный, а подпись 49032

            имеет подпись 0 или 39032

              . db , но не в dbx .

            Связанные ключи:

            • Ключ платформы (pk)
            • База данных ключей обмена ключами (KEK)
            • База данных подписей (db)
            • База данных запрещенных подписей (dbx)

            OEM сохраняет их в UEFI NVRAM во время производства как UEFI Secure Variables в соответствии с разделом 7.2 спецификации UEFI 2.3.1 errata C.

            Безопасная переменная UEFI хранит как ключ, так и время создания переменной или монотонный счетчик. Это делается для того, чтобы более новое обновление имело либо более позднее время, либо более высокое монотонное количество.

            Требуется, чтобы каждый компонент EFI был снабжен цифровой подписью OEM-производителя с использованием закрытого ключа, открытый ключ которого должен присутствовать в базе данных подписи UEFI (db), чтобы ему можно было доверять и разрешать выполнение на этапе загрузки. Если подпись компонента EFI не соответствует какому-либо открытому ключу, присутствующему в базе данных подписи ключа UEFI (db), или совпадает с открытым ключом, присутствующим в базе данных отозванных/запрещенных подписей (dbx), то этот компонент не может быть выполнен. и процесс загрузки останавливается.

            Назначение Платформенный ключ (PK)

            Назначение этого ключа — установить доверительные отношения между владельцем платформы (производителем ПК/OEM) и прошивкой (UEFI BIOS) и контролировать доступ к базе данных KEK . Это считается корнем доверия .

            Для каждой платформы может быть только один ПК. Однако по собственному усмотрению OEM-производитель решает, будет ли он создавать уникальный PK для каждого ПК, для каждой модели ПК или для каждой линейки продуктов ПК. Открытая часть этого ключа хранится в UEFI NV-RAM OEM во время производства. Частная часть остается у OEM.

            Назначение базы данных ключей обмена ключами (KEK)  

            Назначение ключа KEK — установить доверительные отношения между ОС (и каждым сторонним приложением, которому требуется взаимодействие с микропрограммой) и микропрограммой. Частная часть KEK (KEK_Priv) используется для обновления/модификации баз данных сигнатур или подписания двоичных файлов для действительного выполнения. OEM регистрирует общедоступную часть ключа (KEK_Pub) в UEFI NV-RAM.

            База данных KEK может содержать несколько ключей типа x.509 или RSA-2048 , любой из которых может выполнять функцию KEK и защищен PK_Pub. Любое обновление базы данных KEK должно быть подписано с помощью PK_Priv, и поэтому обычно OEM-производитель обновляет содержимое базы данных KEK с помощью обновлений прошивки, которые подписаны ключом EK_Priv или Secure Firmware Update , как известно.

            Хотя для каждой платформы может быть несколько KEK, в основном все OEM-производители ПК включают

            • Microsoft Corporation KEK CA 2011  как KEK_Pub, который позволяет Microsoft управлять списком загрузчиков ОС, разрешенных безопасной загрузкой, а также обновлять базы данных подписей, чтобы разрешить более новые версии Windows или отозвать неверные образы.
            • KEK, специфичный для OEM-производителя, который позволяет OEM-производителю также обновлять базы данных сигнатур

            Таким образом, с помощью безопасной загрузки Microsoft каким-то образом контролирует разрешенную ОС, которой разрешено загружаться на платформе. По этой причине при включенной безопасной загрузке у вас не может быть системы с двойной загрузкой, если загрузчик 2-й ОС подписан или не подписан пользователем или не подписан Microsoft.

            Вот почему многие дистрибутивы Linux не загружаются с включенной безопасной загрузкой, поскольку она не может проверить свою подпись загрузчика. Однако Microsoft предлагает услугу подписи пользовательских загрузчиков по адресу https://sysdev.microsoft.com. Загрузчики Ubuntu и Fedora подписываются с использованием этого процесса, а также некоторых других прокладок и предварительных загрузчиков Linux, что позволяет использовать их для безопасной загрузки.

            Назначение базы данных подписей (db)

            Эта переменная UEFI Secure используется для хранения набора ключей, подписей или хэшей, которым доверяют. Подпись двоичного файла EFI (или хэш SHA265, если подпись отсутствует) сравнивается с записями, хранящимися в этой переменной, и разрешается выполняться, если найдено только совпадение. Содержимое этой переменной UEFI можно обновить, только подписав дескриптор аутентификации с помощью KEK_Priv, при условии, что KEK_Pub присутствует в KEK_db.

            Назначение базы данных запрещенных подписей (dbx)

            Эта переменная UEFI Secure используется для хранения набора ключей, подписей или хэшей, которые, как известно, являются вредоносными или ненадежными. Подпись двоичного файла EFI (или хэш SHA265, если подпись отсутствует) сравнивается с записями, хранящимися в этой переменной, и, если совпадение найдено, выполнение отклоняется. Бинарные файлы EFI, которые не подписаны и не имеют хэша ни в db, ни в dbx, автоматически отказываются выполняться. Как и в случае с db, содержимое этой переменной UEFI можно обновить только путем подписания дескриптора аутентификации с помощью KEK_Priv при условии, что KEK_Pub присутствует в KEK_db.

            Проверка переменных безопасной загрузки UEFI, присутствующих в вашей системе

            Я использовал инструмент Insyde® UEFI Secure Boot Checkup, чтобы проверить содержимое переменной безопасной загрузки UEFI. Программа предназначена только для диагностики и не может вносить какие-либо изменения в конфигурацию безопасной загрузки.

            Безопасная загрузка Windows 10 UEFI — проверка переменных UEFI Secure

            Как видно, PK взят из Lenovo , OEM-производителя для моей системы.

            Присутствуют два KEK — один из OEM (Lenovo) и один из Microsoft (Microsoft Corporation KEK CA 2011), который позволяет обновлять/изменять базу данных сигнатур (db) и базу данных отозванных сигнатур (dbx). ).

            База данных подписей (db) имеет 4 сертификата —

            • 3 зависят от поставщика (от Lenovo), что позволяет инициализировать прошивку UEFI с помощью приложений Lenovo UEFI и корневых драйверов Lenovo.
            • Microsoft Windows Production PCA 2011 сертификат, который используется Microsoft для подписи диспетчера загрузки Windows EFI (bootmgfw.efi) и загрузчика Windows EFI (winload. efi)

            Однако база данных подписей не включает сертификат Microsoft Corporation UEFI CA 2011 который используется Microsoft для подписи загрузчиков ОС других производителей.

            Таким образом, моя система не разрешает загрузку любой ОС от стороннего поставщика с включенной безопасной загрузкой.

            Что делать, если вам нужно запустить пользовательскую ОС или дистрибутив Linux?

            Варианты, которые у вас есть:

            • Отключить безопасную загрузку ( Не совсем рекомендуется )
            • Подписать пользовательский загрузчик ОС с помощью службы подписи Microsoft Secure Boot ( Проверить наличие Microsoft Corporation 1 UE разрешенная база данных подписи, иначе это тоже не будет работать )
            • Очистить безопасные переменные UEFI, чтобы сбросить все значения и добавить свои пользовательские ключи (только для высокотехнических пользователей)

            Это связано с тем, что для обновления/изменения содержимого базы данных сигнатур (db) требуется наличие KEK_Priv, который должен совпадать с KEK_Pub, хранящимся в базе данных KEK. Теперь для обновления/изменения базы данных KEK требуется PK_Priv, который принадлежит OEM-производителю и не может быть извлечен отдельным пользователем.

            В соответствии со спецификацией UEFI версии 2.7, раздел 31.3.2, очистка ключа платформы возможна с помощью

            • Подписание нового ПК с помощью существующего ПК (PK_Priv), что невозможно для физического лица. Это используется OEM через капсулы обновления микропрограммы для обновления платформы новым ПК, если существующий ПК каким-либо образом скомпрометирован.
            • Использование утилит настройки UEFI для загрузки UEFI в режим настройки, но эта функция зависит от поддержки встроенного ПО и не является универсальной.
            • Использование специальных инструментов для очистки содержимого переменной безопасности UEFI. Для этого у Intel есть SYSCFG, который работает на платформах Intel. Или, если вам удобно работать в Linux, вы можете использовать efitools , чтобы очистить переменные безопасной загрузки и добавить к ним свои собственные.

            Конец? Продолжение…

            Если вы дочитали до этого, то теперь у вас есть четкое представление и знания о безопасной загрузке UEFI и о том, как она помогает защитить предзагрузочную фазу Windows 10.

            В следующей статье этой серии я продолжу этап инициализации ядра Windows , объясняя роль функции Trusted Boot/Code Integrity и ELAM , которая использует преимущества основы, предоставляемой UEFI Secure Boot. .

            Ресурсы

            • Общие сведения об аттестации работоспособности устройства Проверка соответствия устройств Intune
            • Безопасная загрузка — документы Microsoft
            • Знакомство с UEFI — Майкл Нихаус
            • Работа с переменными UEFI из PowerShell

            Как восстановить загрузчик EFI/GPT в Windows 10?

            Пытаетесь восстановить загрузчик EFI/GPT в Windows 10? Мы можем помочь вам с этим.

            Здесь, в Bobcares, мы видели несколько таких запросов, связанных с Windows, как часть наших служб управления сервером для веб-хостов и поставщиков онлайн-услуг.

            Сегодня мы увидим, как восстановить загрузчик EFI/GPT в Windows.

             

            Как восстановить загрузчик EFI/GPT в Windows 10

            Сегодня мы увидим, как восстановить загрузчик Windows, использующий UEFI вместо BIOS и таблицу разделов диска GPT. Это полезно, если Windows не загружается из-за отсутствия или повреждения файла конфигурации загрузки \EFI\Microsoft\Boot\BCD.

            Повреждение загрузчика Windows может произойти после установки второй ОС. Это может произойти из-за некорректных действий при восстановлении Windows, удаления некоторых данных на скрытых разделах, вредоносных программ (вирусов, программ-вымогателей и т. д.) и по некоторым другим причинам.

             

            Отсутствуют данные конфигурации загрузки для вашего ПК: EFI\Microsoft\Boot\BCD

            Компьютер с Windows 10, установленной в собственном режиме UEFI, может не загрузиться, если загрузчик EFI поврежден. При попытке загрузить компьютер появляется следующая ошибка BSOD:

             Данные конфигурации загрузки для вашего ПК отсутствуют или содержат ошибки. 
            Файл:\EFI\Microsoft\Boot\BCD
            Код ошибки: 0xc000000f 

            или

             Код ошибки: 0xc000014c 

            Здесь ошибка указывает на то, что конфигурация загрузчика Windows — данные конфигурации загрузки повреждены или даже полностью удалены. Однако, если мы попытаемся восстановить загрузчик на компьютере с UEFI с помощью инструмента bcdedit, мы получим следующую ошибку:

             Не удалось найти хранилище данных конфигурации загрузки.
            Запрошенное системное устройство не может быть найдено. 

            Собственно, дело в том, что если Windows 10 установлена ​​в родном режиме UEFI на диск GPT. Затем загрузчик Windows 10 EFI (диспетчер загрузки Windows) сохраняет диспетчер загрузки и конфигурацию BCD на отдельном скрытом томе EFI. Инструмент bcdedit не видит этот раздел EFI и не может управлять на нем конфигурацией загрузчика.

            В случае, если компьютер загружается с черным экраном с сообщением «Операционная система не найдена», это означает, что загрузчик Windows полностью удален.

             

            Автоматическое восстановление загрузчика Windows

            Процедура автоматического восстановления загрузчика, используемая в среде восстановления Windows (WinRE), обычно бесполезна в таких случаях. Но в любом случае попробовать стоит.

            • Сначала пробуем загрузить устройство с диска восстановления или установить носитель Windows 10.
            • Далее на экране установки нажимаем Восстановить систему.
            • Затем мы выбираем «Устранение неполадок» >> «Восстановление при загрузке» и выбираем ОС, загрузчик которой мы хотим попытаться восстановить.
            • Однако, скорее всего, результат будет отрицательным: автоматическое восстановление не смогло восстановить ваш компьютер.

             

            Использование BCDBoot для ручного восстановления загрузчика EFI в Windows 10

            Теперь давайте посмотрим, как наши инженеры службы поддержки вручную восстанавливают загрузчик EFI Windows.

            Чтобы восстановить конфигурацию загрузчика, мы должны загрузиться с оригинальной установки носителя Windows 10. После загрузки в среду восстановления открываем командную строку: выбираем Восстановление системы >> Устранение неполадок >> Командная строка.

            В командной строке запускаем средство управления дисками:

             diskpart 

            Затем выводим список дисков:

             list disk 

            Теперь выбираем диск с установленной Windows (если в system, его индекс должен быть равен 0):

             sel disk 0 

            Выводим список разделов и томов на диске.

             список разделов
            list volume 

            В этом примере мы видим, что загрузочный раздел EFI имеет индекс раздела 2 (он же том 5 со скрытой меткой). Основной раздел с установленной Windows с файловой системой NTFS — это том 2. Также есть раздел MSR размером 16 МБ для Windows 10 (или 128 МБ для Windows 8.1).

            Затем мы назначаем букву диска K: скрытому тому EFI:

             выберите том 1
            назначьте букву K: 

            В результате появится следующее сообщение:

             DiskPart успешно назначена буква диска или точка монтирования.  

            Теперь закрываем diskpart:

             exit 

            Затем переходим в каталог загрузчика на скрытом томе:

             cd /d K:\efi\microsoft\boot\ 

            В данном случае K: это диск буква, присвоенная разделу EFI. Если каталог \EFI\Microsoft\Boot\ отсутствует (ошибка Система не может найти указанный путь), то пробуем следующие команды:

             cd /d K:\Boot\ 

            или

             cd /d K:\ESD\Windows\EFI\Microsoft\Boot\ 

            Мы используем команду attrib для удаления скрытых, доступных только для чтения и системных атрибутов из файла BCD:

             attrib BCD -s -h -r 

            Чтобы удалить текущий файл конфигурации BCD, мы переименовываем его, выполнив приведенную ниже команду (это сохранит старую конфигурацию загрузки в качестве резервной копии).

             ren BCD BCD.bak 

            Затем с помощью утилиты bcdboot.exe воссоздаем хранилище BCD, скопировав файлы среды загрузки UEFI на загрузочный раздел из каталога Windows:

             bcdboot C:\Windows /l en-us /s k: /f ALL 

            Теперь, если мы запустим команду bcdedit, мы увидим следующее:

             В разделе диспетчера загрузки Windows должна появиться запись, содержащая полный путь к загрузочному файлу UEFI (\EFI\MICROSOFT\BOOT\BOOTMGFW. EFI). В этом примере он находится на томе 2 (partition=\Device\HarddiskVolume2). 

             

            Возможные ошибки:

            Ошибка BFSVC: не удалось открыть хранилище шаблонов BCD. статус – [c000000f]

            Проверяем правильность введенной команды и установлена ​​ли у вас локализованная версия Windows. В этом случае мы должны указать правильный код местного языка. Инструмент bcdboot копирует файлы шаблонов BCD из каталога \Windows\System32\Config. Если шаблоны BCD в этой папке повреждены или удалены, попробуйте проверить целостность системных файлов в автономном режиме с помощью инструмента sfc.exe (нужен установочный диск Windows — диск D :):

             sfc /scanow /OFFBOOTDIR=C :\ /OFFWINDIR=D:\WINDOWS 

             

            Ошибка BFSVC: Ошибка копирования загрузочных файлов из последней ошибки = 0x570

            Мы пытаемся проверить диск с помощью следующей команды:

             CHKDSK K: /F 

            Ошибка BFSVC Fail

            7 установить устройство приложения элемента. Status = [c000000bb]

            Проверяем разделы EFI и Windows 10 с помощью chkdsk.exe. Убедитесь, что скрытый и системный атрибут файла BCD очищен. Удаляем его:

             attrib -s -h \EFI\Microsoft\Boot\BCD
            Дел \EFI\Microsoft\Boot\BCD
            bcdboot: ошибка bfsvc 

             

            Ошибка при инициализации системного тома библиотеки

            Убедитесь, что вы используете правильный раздел FAT32 с EFI (у вас может быть несколько похожих разделов).

            Наконец, теперь перезагружаем компьютер и отключаем загрузочный носитель. Затем в списке загрузочных устройств появляется Windows Boot Manager, где мы можем выбрать желаемую операционную систему для загрузки. Ваш загрузчик EFI и конфигурация BCD успешно восстановлены!

            [Нужна дополнительная помощь с запросами Windows? – Мы здесь, чтобы помочь вам]

             

            Заключение

            Сегодня мы увидели, как наши инженеры службы поддержки ремонтируют загрузчик EFI/GPT на сервере Windows.

    Читайте также: