Запуск csm в биосе что это: Что такое Launch CSM в БИОС

Содержание

launch csm в bios что это

В данной статье мы поговорим о такой важной настройке в BIOS, как Launch csm. Также она может иметь названия CMS Boot, UEFI and Legacy OS, CMS OS и обычно находится в разделе BOOT. Вы узнаете на что она влияет и когда ее следует активировать.

Содержание

Что делает Launch CSM?
Когда нужно включать Launch csm?
Поддержка CSM в биосе — что это такое?
Поддержка CSM — включать или нет?
Заключение
Добавить комментарий Отменить ответ
Простой компьютерный блог для души)

Что делает Launch CSM?

Данная опция расшифровывается как Launch Compatibility Support Module что в переводе с английского звучит «Модуль поддержки запуска в режиме совместимости». Проще говоря Launch csm при переводе в режим «Enabled» активирует специальный режим расширенной совместимости. Этот режим позволяет загружаться и устанавливать различные версии более старых операционных систем, к которым уже можно отнести Windows 7.

Следует учесть, что в большинстве ноутбуков, которые идут с предустановленной версией Windows также нужно отключать режим защищенной загрузки Secure Boot.

Когда нужно включать Launch csm?

Когда вы собираетесь переустанавливать Windows данную опцию лучше активировать, ведь она в большинстве случаев по умолчанию отключена. Иначе не исключено, что вы попросту не загрузитесь со своего загрузочного носителя или он будет отсутствовать в списке загрузочных устройств.

launch csm в отключенном состоянии

launch csm в UEFI

Также стоит учесть, что сначала активируется Launch csm переводом в состояние Enabled, затем изменения сохраняются и компьютер перезагружается. Далее вы снова входите в настройки BIOS и только теперь меняете приоритеты загрузки для установки Windows.

Приветствую друзья. Продолжаем изучать биос, его настройки, сегодня разбор полетов будет по поводу поддержки CSM в биосе. Постараюсь найти адекватную информацию и написать простыми словами.

Поддержка CSM в биосе — что это такое?

CSM — функция, позволяющая установить более старую операционку. Например Windows 7, да, это уже к сожалению считается устаревшей системой, а вот можно ли установить XP — неизвестно, вполне возможно что нет..

CSM расшифровывается как Launch Compatibility Support Module, переводится примерно как модуль поддержки запуска в режиме совместимости.

Название функции зависит от модели материнской платы, примеры названия:

Launch CSM
CMS Boot
UEFI and Legacy OS
CMS OS

Часто расположение настройки — раздел Boot (либо раздел, в названии которого указано данное слово).

Все дело в том, что новый формат биоса UEFI не поддерживает загрузку с MBR (Master Boot Record). Теперь используется новый способ разметки — GPT (GUID Partion Table), который поддерживает жесткие диски более 2 ТБ, неограниченное количество разделов и другое. А вот для поддержки и загрузки с MBR — нужна функция CSM.

Опция Launch CSM в биосе ASUS:

Enabled — включено.
Disabled — отключено.
Auto — автоматически режим, в принципе, можно его использовать, если биос корректно распознает тип загрузочной записи (MBR или GPT).

Просто так настройки биоса никогда не изменяйте. Чревато неприятными последствиями, например винда вообще перестанет загружаться!

Настройка в биосе Гигабайт, здесь она называется CSM Support:

Поддержка CSM — включать или нет?

Наверно уже догадались — включать нужно если вы хотите установить старую винду. Но перед этим убедитесь о наличии дров под ваше оборудование, а также учтите, то новые процы все таки лучше работают с Windows 10. Почему? Новейшие инструкции в процессорах. Касается и Intel и AMD.
Кроме отключения CSM еще часто нужно отключать настройку Secure Boot, которая запрещает устанавливать стороннюю операционную, которая отличается от той, которую предусмотрел производитель. Например — человек купил ноут с Windows 8, а семерку или даже десятку установить не может. Причина именно в этой настройке Secure Boot.

Заключение

Поддержка CSM — режим, при котором могут работать старые виндовсы. Какие? Именно те, которые используют загрузочную запись MBR.
Включать или нет — зависит от ситуации. Нужно установить старую винду — соответственно включать.

Удачи и добра, до новых встреч!

Добавить комментарий

Отменить ответ

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Простой компьютерный блог для души)

Всем приветук. Эй, вы что изучаете биос? Похвально, похвально! Вот только если не знаете, то ничего не трогайте там просто так! Ибо в биосе много СЕРЬЕЗНОЧАЙШИХ настроек. Там можно даже влиять на работу вашего железа, можно повышать напряжение, частоту.. Это называется разгон. Ну это я вам так написал, на заметочку так бы сказать.

А сегодня у нас пойдет речь о Launch CSM, я расскажу что это за пункт в биосе. Итак, я все узнал. Launch CSM расшифровывается как Launch Compatibility Support Module и отвечает за активацию режима совместимости. Иногда из-за того что этот режим не включен, то люди не могут поставить Windows 7, вот блин. Кстати как я понял, то этот режим по умолчанию отключен.

Итак, вот я нашел картинку, это пункт Launch CSM в обычном биосе (уже можно сказать что в устаревшем):

Ну а вот пункт Launch CSM уже в новой версии биоса (идет почти на всех новых материнских платах):

Кстати вроде как после включения Launch CSM у вас появятся дополнительные пункты. Если вы в них не разбираетесь, то оставьте значения по умолчанию.

Так ребята, вот некая инфушка еще. Узнал, что для установки Windows 7 на ноут с UEFI нужно еще отключить Secure Boot. То есть включить режим Launch CSM и отключить Secure Boot. Еще узнал что вроде как Launch CSM может и по-другому называться, например CMS Boot, UEFI and Legacy OS, CMS OS, и это все может быть в разделе Advanced > BOOT MODE / OS Mode Selection.

Надеюсь вам эта инфа помогла чучуть хоть. Удачи вам и позитивчика!

MSI Россия

Перед использованием интерфейса BIOS мы рекомендуем скачать руководство пользователя по материнской плате и ознакомиться с введением в интерфейс BIOS.

Как найти Руководство пользователя

Введение в интерфейс BIOS

Как найти Руководство пользователя

Введите название устройства в строке поиска на официальном сайте MSI.

Например, введите «MPG Z390M GAMING EDGE AC» и нажмите клавишу Enter.

Щелкните по ссылке Manual («Руководство пользователя») под строкой с названием устройства.

Выберите файл на нужном языке и скачайте его, щелкнув по пиктограмме со стрелкой.

Щелкните правой кнопкой мыши по загруженному файлу и выберите пункт меню Extract All («Извлечь все»).

Щелкните по кнопке Extract («Извлечь»).

Откройте извлеченный из архива PDF-файл.

Найдите в файле раздел BIOS Setup («Настройки BIOS»).

Введение в интерфейс BIOS

EZ MODE — Упрощенный режим

Advanced MODE — Расширенный режим

SETTINGS — Настройки

OC — Разгон

M-FLASH — M-FLASH (утилита для обновления BIOS)

HARDWARE MONITOR — Аппаратный мониторинг

BOARD EXPLORER — Обзор материнской платы

EZ MODE — Упрощенный режим

Advanced MODE — Расширенный режим

В расширенном режиме интерфейс BIOS разделен на шесть частей: Настройки, Разгон, M-FLASH, Разгонные профили, Аппаратный мониторинг и Обзор платы.

SETTINGS — Настройки

System Status: обзор состояния компьютерной системы

Advanced: расширенные настройки

Boot: настройки, связанные с загрузкой компьютера

Security: параметры безопасности

Save and Exit: сохранение настроек и выход из интерфейса BIOS

System Status — Статус системы

Настройка системных даты и времени, идентификация накопителей, сведения об интерфейсе DMI.

Advanced — Расширенные настройки

PCI sub-system Settings: Настройки шины PCI/PCIe

ACPI Settings：Настройки электропитания ACPI

Integrated peripherals: Встроенные периферийные контроллеры (сеть, звук, накопители и т.д.)

Integrated graphics configuration: Настройки встроенного графического ядра

USB Settings: Настройки шины USB

Super IO settings: Настройки контроллера ввода/вывода

Power management Settings: Управление питанием (ErP)

Windows operating system configuration: Настройки операционной системы Windows

Wake up event settings: Выход из спящего режима

Secure Erase+: Функция Secure Erase+

PCI Subsystem Settings («Настройки подсистемы PCI»)

Настройки протокола PCIe, латентности, многопроцессорной графической конфигурации.

ACPI Settings («Настройки интерфейса ACPI»)

Настройка индикатора питания и извещений о высокой температуре процессора.

Integrated Peripherals («Встроенные компоненты»)

Настройки встроенных контроллеров (сеть, SATA, звук).

Integrated Graphics Configuration («Конфигурация встроенной графики»)

Настройки, связанные со встроенным графическим ядром.

USB Configuration («Конфигурация шины USB»)

Настройки встроенного контроллера USB.

Super IO Configuration («Настройки контроллера ввода/вывода»)

Настройка параметров COM-порта.

Power Management («Управление энергопотреблением»)

Настройки энергосбережения (ErP).

Реакция компьютера на временное отключение питания от сети.

Защита от перепадов напряжения.

Настройки питания USB в состояниях S4/S5.

Windows OS Configuration («Конфигурация Windows»)

Настройки аутентификации Windows 10 (CSM/UEFI).

Функция ускоренной загрузки MSI.

Сведения о протоколе GOP.

Безопасная загрузка (Secure Boot).

Wake Up Event Setup («Настройки выхода из спящего режима»)

Выход компьютера из спящего режима по сигналу от сети или периферийных устройств.

Secure Erase+

Функция Secure Erase применяется только для твердотельных накопителей, работающих в режиме AHCI.

Boot («Загрузка»)

Настройка параметров загрузки компьютера. Указание порядка опроса загрузочных устройств:

Enable boot configuration settings

Enable boot mode settings

Boot order priorities

Hard drive priorities

Security («Безопасность»)

Пароль для интерфейса BIOS, настройки TPM-модуля, извещение об открытии корпуса компьютера:

BIOS password settings

TPM module settings

Set chassis intrusion warning

Save And Exit («Сохранить и выйти»)

Сохранение или отказ от внесенных в настройки BIOS изменений. Выход из интерфейса BIOS:

Save and cancel BIOS changes

Exit BIOS settings

Overclocking («Разгон»)

Разгон автоматически и вручную, Настройки напряжения питания, Расширенные параметры процессора:

Automatic overclocking

Manual overclocking

Voltage settings

CPU advanced parameter settings

CPU features («Параметры процессора»)

Число активных ядер, технология Hyper-Threading, виртуализация, мониторинг температуры, параметры энергосбережения и т. д.:

Number of Active processor cores

hyper-threading

Intel Virtualization technology

Temperature monitor

C-State

power mode and other Settings

M-FLASH

Данная утилита служит для обновления кода BIOS.

HARDWARE MONITOR

Информация о состоянии процессора и других системных компонентов.

BOARD EXPLORER

Обзор установленных периферийных устройств и компонентов.

Руководство по выбору параметра проверки UEFI

Статья

12/01/2022

Чтение занимает 16 мин

Версия 1.3

Этот документ помогает изготовителям оборудования и ODM проверить, проверяет ли встроенное ПО подписи параметров РОМ в рамках цепочки доверия безопасной загрузки.

В этом руководстве предполагается, что вы знаете основы UEFI, базовое понимание безопасной загрузки (главы 1, 2, 13, 20 и 27 спецификации UEFI) и модель безопасности PKI.

Введение

Параметры ROM (или OpROM) — это встроенное ПО, выполняемое BIOS компьютера во время инициализации платформы. Они обычно хранятся на карте подключаемого модуля, хотя они могут находиться на системной плате.

Устройства, для которых обычно требуются параметры ROM, являются видеоадаптерами, сетевыми адаптерами и драйверами хранения для модулей RAID. Эти варианты ROM также обычно предоставляют драйверы встроенного ПО на компьютере.

К ним относятся различные типы драйверов встроенного ПО, включая устаревшие roms PC-AT, Open Firmware и EFI. Примеры драйверов встроенного ПО включают BIOS видео на видеоадаптерах, загрузочных драйверах PXE для адаптеров Ethernet и драйверах хранения на контроллерах RAID. Как правило, эти устройства имеют параметры ROM, которые предоставляют драйверы встроенного ПО.

Единый расширяемый интерфейс встроенного ПО (UEFI) имеет поддержку параметров ROM в устаревшем режиме.

Согласно последней спецификации UEFI (в настоящее время в версии 2.3.1 Errata C — раздел 2.5.1.2), roms isA (legacy) не являются частью спецификации UEFI. В целях этого обсуждения будут рассматриваться только совместимые с СТАНДАРТом UEFI параметры, совместимые с PCI.

Параметр ROM можно использовать, если невозможно внедрить встроенное ПО устройства в встроенное ПО компьютера. Если параметр rom содержит драйвер, IHV может использовать этот драйвер и держать драйвер и устройство в одном месте.

В этом документе рассказывается о том, почему необходимо проверить параметры ROM и показаны некоторые методы его выполнения.

Поддержка BIOS UEFI и прежних версий BIOS

Многие производители создают устройства, которые включают в себя варианты ROM и встроенное ПО для многих типов компьютеров. Распространенные со списком:

Только устаревшие диски
UEFI Native OpROM
Устаревшие rom + UEFI EBC OpROM
Устаревшие rom + UEFI x64 OpROM
Устаревшие ДИСКИ + UEFI x64 + UEFI IA32
Устаревшие rom + UEFI x64 + UEFI IA32 + UEFI EBC OpROM

BIOS UEFI может загружать и выполнять устаревшие драйверы встроенного ПО, если включен модуль поддержки совместимости (CSM). Обратите внимание, что при включенной безопасной загрузке выполнение модуля поддержки совместимости и устаревших ROM запрещено, так как устаревшие драйверы встроенного ПО не поддерживают проверку подлинности. Если для параметра в конфигурации BIOS задан устаревший ДИСК, он всегда будет использовать устаревшие диски на устройстве.

Если для формата option ROM задано значение UEFI Compatible, он будет использовать более новые диски EFI, если они присутствуют, и устаревшие диски, если они отсутствуют.

Драйверы UEFI необходимы для многих новых функций безопасности на уровне встроенного ПО, а также для включения последовательностей загрузки UEFI. Например, установка Windows с оптического диска, подключенного к контроллеру хранилища, не совместимому с UEFI, невозможна, если система загружается в режиме UEFI, если включена безопасная загрузка.

1. UEFI и параметры ROM

Рис. 2. Вопросы безопасности драйвера UEFI, источник: UEFI 2.3.1 Errata C

Следующий текст возник в UEFI 2. 3.1 Errata C, но с тех пор был изменен с помощью аналитических сведений от партнеров:

Так как профиль пользователя UEFI содержит ряд привилегий, связанных с безопасностью, важно, чтобы диспетчер удостоверений пользователей и поставщики учетных данных пользователя и среда, в которой они выполняются, являются доверенными.

В том числе:

Защита области хранения, в которой хранятся эти драйверы.
Защита средств, с помощью которых выбраны эти драйверы.
Защита среды выполнения этих драйверов от непроверенных драйверов.
Структуры данных, используемые этими драйверами, не должны быть повреждены несанкционированными драйверами во время их использования.

Такие компоненты, как Диспетчер удостоверений пользователей, драйверы учетных данных пользователя и драйверы платы, возможно, находятся в безопасном расположении, например защищенном для записи флэш-накопитель, который доверяется политике платформы.

Некоторые другие драйверы могут находиться в незащищенных местах хранения, таких как параметры ROM или раздел жесткого диска, и их можно легко заменить. Эти драйверы должны быть проверены.

Например, политика платформы по умолчанию должна успешно проверить драйверы, перечисленные в параметрах загрузки Driver##### или определить пользователя перед обработкой этих драйверов. В противном случае выполнение драйвера должно быть отложено. Если профиль пользователя изменяется с помощью последующего вызова для определения () или с помощью динамической проверки подлинности, параметры Driver#### могут не обрабатываться повторно.

База данных профиля пользователя закрывается с помощью различных событий сигнала UEFI в зависимости от того, можно ли защитить ее.

Параметры UEFI драйверов & UEFI будут выполняться только для устройств в пути загрузки.

Спецификация PCI позволяет использовать несколько вариантов образов rom на одном устройстве. Эти варианты ROMS могут быть устаревшими x86 & UEFI. Встроенное ПО UEFI задает политику платформы для выбора параметра ROM. Это может сделать диск дополнительного адаптера выполняться в качестве собственного устройства управления.

Встроенное ПО проверяет подписи на этапах BDS и DXE. Ниже представлена последовательность событий.

Инициализация PCI и производных автобусов
Проба устройств PCI для параметров ROM
Найденные roms сопоставляются в памяти
Этап DXE загружает все драйверы UEFI в roms

UEFI-параметры ROM могут находиться в любом месте памяти. По умолчанию диск на карточке может управлять устройством. UEFI позволяет платформе управлять политикой о том, какой вариант управления диском управляет устройством с помощью EFI_PLATFORM_DRIVER_OVERRIDE. UEFI поддерживает параметры ROM для регистрации интерфейса конфигурации.

На компьютере с включенной безопасной загрузкой драйверы параметров могут представлять угрозу безопасности, если они не подписаны или не проверены. Проверка подписи для параметров ROM — это требование WHCK. То же самое верно при выполнении параметров обслуживания, чтобы убедиться, что обновление проверено перед установкой.

Из спецификаций и политик программы совместимости оборудования Windows версии 1809:

Проверка целостности кода встроенного ПО со знаком. Встроенное ПО, установленное изготовителем оборудования и защищенное либо доступное только для чтения, либо защищенное процессом обновления встроенного ПО, как определено выше, может считаться защищенным. Системы должны убедиться, что все незащищенные компоненты встроенного ПО, драйверы UEFI и приложения UEFI подписаны с использованием минимальной версии RSA-2048 с SHA-256 (MD5 и SHA-1 запрещены) и убедитесь, что приложения и драйверы UEFI, не подписанные согласно этим требованиям, не будут выполняться (это политика по умолчанию для допустимых алгоритмов подписи). Если подпись изображений не найдена в авторизованной базе данных или найдена в запрещенной базе данных, образ не должен быть запущен, а вместо этого сведения о нем должны быть помещены в таблицу сведений о выполнении образа.

Некоторые сборки UEFI BIOS с поддержкой безопасной загрузки, включая Tiano Core, по умолчанию не прошли проверку подлинности UEFI, так как подписанные параметры UEFI не были доступны во время разработки безопасной загрузки. Это предоставляет уязвимую зону или уязвимость в безопасной загрузке UEFI.

2.1. Уязвимость

Эта уязвимость по-прежнему присутствует в EDK II и UDK2010 по состоянию на август 2013 года. Поддержку источника известно о проблеме, и подается ошибка. Любое встроенное ПО, производное от EDK II и UDK2010, должно проверить, как управляется проверка параметров диска. Поведение проверки параметров диска управляется значением PcdOptionRomImageVerificationPolicy PCD в пакете EDK II SecurityPkg.

Исходный код уязвимости TianoCore — файл SecurityPkg\SecurityPkg.dec:

## Pcd for OptionRom.
  #  Image verification policy settings:
  #  ALWAYS_EXECUTE                         0x00000000
  #  NEVER_EXECUTE                          0x00000001
  #  ALLOW_EXECUTE_ON_SECURITY_VIOLATION    0x00000002
  #  DEFER_EXECUTE_ON_SECURITY_VIOLATION    0x00000003
  #  DENY_EXECUTE_ON_SECURITY_VIOLATION     0x00000004
  #  QUERY_USER_ON_SECURITY_VIOLATION       0x00000005
gEfiSecurityPkgTokenSpaceGuid. PcdOptionRomImageVerificationPolicy|0x00|UINT32|0x00000001

Значение по умолчанию (0x00) — это ALWAYS_EXECUTE, что неправильно выполняет проверку подписанных драйверов в параметрах ROM для периферийных устройств надстройки. Это не идеальное значение для любой системы, реализующего функциональность безопасной загрузки UEFI.

Рекомендуемое значение (оптимальная безопасность): DENY_EXECUTE_ON_SECURITY_VIOLATION (0x04)

Рекомендуемое значение (оптимальная гибкость): QUERY_USER_ON_SECURITY_VIOLATION (0x05)

В EDK II & UDK2010 правильная практика написания кода использует механизм переопределения для изменения значений PCD для встроенного ПО платформы. Таким образом, значение для PcdOptionRomImageVerificationPolicy не должно быть изменено в SecurityPkg\SecurityPkg.dec. Значение переопределения должно быть задано в DSC-файле платформы. Ниже приведен пример использования Nt32Pkg\Nt32Pkg.dsc:

[PcdsFixedAtBuild]
gEfiSecurityPkgTokenSpaceGuid. PcdOptionRomImageVerificationPolicy|0x04

Переопределение PCD должно быть помещено в [PcdsFixedAtBuild] раздел DSC-файла. Точный механизм переопределения параметров может отличаться в зависимости от средств поставщика BIOS.

Примечание

Эта уязвимость может существовать в ранних реализациях BIOS безопасной загрузки UEFI от независимых поставщиков BIOS. Обратитесь к поставщику BIOS, чтобы определить, может ли повлиять ваша версия.

3. Кто пострадал?

Компьютер UEFI, который реализует безопасную загрузку и имеет драйвер UEFI UEFI, который не подписан. Кроме того, встроенное ПО для обеспечения совместимости для получения существующих карточек может иметь уязвимость системы безопасности, которая не проверяет параметры ROM.

Ноутбуки, netbook, ультрабуки, & планшеты: большинство из них не затрагиваются. Варианты ROM обычно присутствуют на внутренних шинах, таких как PCI/e, ISA и их производные (ExpressCard, miniPCI, CardBus, PCCard, LPC, ThunderBolt и т. д.). Если ноутбук не имеет таких разоблачен, то его поверхность атаки значительно уменьшается. Кроме того, скорее всего, драйверы UEFI для подключенных ноутбуков интегрированы в основной том встроенного ПО BIOS, а не находятся на отдельном компьютере. Таким образом, большинство ноутбуков не подвергаются риску. Кроме того, если устаревшие параметры ROM отключены, похоже, UEFI поддерживает только roMs на основе PCI.

Однако если у вас есть настольный компьютер, системная плата или сервер с BIOS UEFI и реализация безопасной загрузки, может возникнуть проблема. На выделенном контроллере RAID-контроллера сервера или контроллере хранилища надстроек для SATA, FC и т. д. или сетевых карт Ethernet PCIe могут быть варианты РОМ. Контроллеры надстроек, поддерживающие широкий набор функциональных возможностей на серверах, являются общими, поэтому это особенно относится к пространству сервера.

Это может повлиять на 32-разрядные и 64-разрядные компьютеры, как класс 2, так и класс 3.

Если платформа безопасной загрузки поддерживает параметры ROM с устройств, не подключенных к платформе, и поддерживает возможность проверки подлинности этих параметров, то она должна поддерживать методы проверки параметров РОМ, описанные в разделе UDP и MTFTP, а также проверенные переменные EFI, описанные в спецификации UEFI 2. 3.1 Errata C Section 7.2.

4. Как проверить его?

Если вы разрабатываете встроенное ПО и основано на Tiano Core, проверьте наличие уязвимости, упомянутой в разделе 2.1. Если вы используете другое встроенное ПО IBV, обратитесь к ним. Или вы можете сделать тест самостоятельно, как упоминалось ниже.

Кроме этого, вам понадобится следующее ПО:

Тестируемый компьютер с встроенного ПО UEFI
Устройство PCI с параметром ROM на тестируемом компьютере (например, видеоадаптер)
Убедитесь, что безопасная загрузка включена

Действия по тестированию:

Вставьте добавление UEFI на карту PCI с UEFI Option ROM на тестируемый компьютер.
Если вы используете видеоадаптер PCI для тестирования, подключите внешний монитор.
Включите безопасную загрузку с помощью следующих параметров:
- PK: ваш PK или самозаверяющий тест PK
- KEK: MS KEK, PK-signed Fabrikam test KEK или другой KEK
- DB: NULL. (Это должно быть ЗНАЧЕНИЕ NULL. )
- DBX: NULL.
- SecureBoot: переменная UEFI должна иметь значение true
Перезагрузка компьютера
Предполагался следующий результат:
- Если встроенное ПО UEFI реализовано правильно, драйвер UEFI UEFI не будет загружаться, так как наличие параметра РОМ выполнит проверку встроенного ПО для сертификата. Так как «База данных» имеет значение NULL, драйвер UEFI не сможет загрузиться. Например, если вы используете видеоадаптер для тестирования, вы увидите, что на экране ничего не отображается.
- Если встроенное ПО не реализовано правильно, драйвер UEFI загружается из параметров РОМ, так как встроенное ПО не проверяет наличие подписей в «Db». Например, если вы используете видеоадаптер для тестирования, вы увидите, что монитор, подключенный к параметру, будет отображаться.
! [примечание] Независимо от того, подписан ли драйвер UEFI UEFI, параметр ROM не будет загружаться, если база данных имеет значение NULL и включенА SB (PK и KEK регистрируются).

Ознакомьтесь с примерами сценариев, доступными в WHCK для создания PK и KEK. Приложение Б содержит примеры скриптов и дополнительные сведения.

Вы также можете ссылаться на приложение А для другого подхода к выполнению приведенного выше теста. Этот подход не требует установки для базы данных значения NULL, но требуется драйвер UEFI без знака UEFI из IHV.

5. Исправление

Если приведенный выше тест завершается сбоем, обратитесь к IBV, чтобы получить необходимые версии и настроить их для проверки параметров РОМ. Убедитесь, что встроенное ПО проходит тест. Для компьютеров, которые поставляются, вам потребуется выполнить безопасное обновление встроенного ПО. Ознакомьтесь с публикацией NIST 800-147 и(или) см. Windows 8.1 руководства по созданию и управлению ключами безопасной загрузки.

Вы можете протестировать компьютер и использовать Windows HCK в качестве средства тестирования (а не средства сертификации) для тестирования безопасного обновления встроенного ПО.

5.1. Подписывание драйвера

Если вы обнаружите, что у вас могут быть неподписанные драйверы на ролях UEFI, ознакомьтесь с приведенными ниже сведениями о том, как это исправить.

Подписывая каждый параметр драйвера РОМ по отдельности. Это приведет к разрыву формата ПАРАМЕТРОВ PCI. Перед созданием объединенного РОМ параметра необходимо подписать драйвер UEFI.

Перед вставкой драйвера UEFI в OpROM подпишите образ UEFI и протестируйте его с помощью secure Boot ON & OFF в оболочке UEFI (загрузите или выгрузите файл драйвера). Затем переместите подписанный драйвер в объединенный параметр ROM.

Вы можете направить IHV в центр Microsoft SysDev, чтобы получить их параметры UEFI, подписанные через службу, доступную через Центр SysDev.

5.2. Проверка обновления

Выполните тест, упомянутый выше, чтобы убедиться, что уязвимость не существует. Используйте тесты HCK, чтобы убедиться, что функциональных регрессий нет.

6. Ресурсы

Спецификация инициализации платформы UEFI, стандарты тома 5, 1. 2.1 Errata A: https://go.microsoft.com/fwlink/p/?linkid=220187
Соответствующие сведения из спецификации UEFI 2.3.1:
2.5.1. Проблемы с устаревшими вариантами РОМ
10. Протоколы –модель драйвера UEFI
13.4.2: РОМ параметров PCI
20. Виртуальная машина eFI Byte Code
28. Обзор HII
29. Протоколы HII
30. Обработка конфигурации HII и протокол браузера
Центр обучения форума UEFI
Ресурсы UEFI IHV @ intel.com
Использование списка рассылки TianoCore edk2 для поддержки других разработчиков UEFI
TechNet: рекомендации по обеспечению безопасности предприятия: стратегии безопасности
Спецификация UEFI errata C
Группа доверенных вычислений
Пакет средств разработки Tianocore UEFI
Встроенное ПО UEFI
Intel Press: Beyond BIOS 2nd Edition
Руководство по созданию и управлению ключами безопасной загрузки
Проверка функциональных возможностей платформы обновления встроенного ПО Windows UEFI

Этот подход основан на получении средств из IHV, чтобы убедиться, что драйвер UEFI UEFI был подписан.

Кроме этого, вам понадобится следующее ПО:

Тестируемый компьютер с встроенного ПО UEFI
Устройство PCI с неподписанным драйвером ПАРАМЕТРОВ, подключенным к тестируемой пк (например, видеоадаптер)
Убедитесь, что безопасная загрузка включена
Средства IHV option IHV для обнаружения подписи в драйвере параметров РОМ, если он не очевиден, что драйвер ПАРАМЕТРОВ РОМ подписан или не подписан.

Если встроенное ПО реализовано правильно, а параметр РОМ не подписан, карточка должна завершиться ошибкой проверки встроенного ПО и не загрузить драйвер на карту. Компьютер должен сообщить об ошибке, например EFI_IMAGE_EXECUTION_AUTH_SIG_FOUND. Если вы используете видеоадаптер, вы можете увидеть, что компьютер отображает только черный экран, так как драйвер параметров не загружен.

Если встроенное ПО реализовано неправильно, этот тест будет работать.

Приложение Б. Скрипты для включения безопасной загрузки с помощью базы данных NULL

Вы можете использовать текущий набор переменных безопасной загрузки (PK и KEK) или создать тестовые переменные для тестирования.

Ниже приведены шаги, используемые для создания тестового PK, KEK и установки значения NULL для базы данных. Убедитесь, что безопасная загрузка не включена; в противном случае для выполнения этих действий потребуются подписанные двоичные файлы UEFI.

Примечание

Мы задаем переменную безопасной загрузки — Db, KEK и PK в обратном порядке, чтобы нам не нужно подписывать двоичные файлы UEFI.

До этого шага компьютер должен находиться в режиме установки.

Создание сертификатов KEK и PK

Для этого шага требуется средство makecert.exe, доступное в пакете WINDOWS SDK.

MakeCert.exe -cy authority -len 2048 -m 60 -a sha256  -pe -ss my -n "CN=DO NOT SHIP - Fabrikam Test KEK CA" Fabrikam_Test_KEK_CA.cer
MakeCert.exe -cy authority -len 2048 -m 60 -a sha256  -pe -ss my -n "CN=DO NOT SHIP - Fabrikam Test PK" TestPK.cer

Скрипт для создания тестового PK

Ниже приведен образец.

this scripts demonstrates how to format the Platform key
NOTE The PK is actually set in the Enable_OEM_SecureBoot. ps1 script
Import-Module secureboot
$d = (pwd).Path
###############################################################################
Complete the following parameters
###############################################################################
$certname = "TestPK"
TODO change this path to where you have the PK.cer file
This is where you plugin the certificate generated by the HSM
$certpath = $d + "\" + $certname + ".cer"
Each signature has an owner SignatureOwner, which is a GUID identifying the agent which inserted the signature in the database.
Agents might include the operating PC or an OEM-supplied driver or application.
Agents may examine this field to understand whether they should manage the signature or not.
TODO replace with OEM SignatureOwner GUID.
You can use tools like Guidgen.exe tool in SDK or a similar tool to generate a GUID
$sigowner = "55555555-5555-5555-5555-555555555555"
$var = "PK"
$efi_guid = "{8BE4DF61-93CA-11d2-AA0D-00E098032B8C}"
$append = $false
###############################################################################
Everything else is calculated
###############################################################################
Workaround relative path bug
TODO substitute OEM with your OEM name
$siglist =  $certname + "_SigList. bin"
$serialization = $certname + "_SigList_Serialization_for_" + $var + ".bin"
$signature = $serialization + ".p7"
$appendstring = "set_"
$attribute = "0x27"
$example = "Example_SetVariable_Data-" + $certname + "_" + $appendstring + $var + ".bin"
Format-SecureBootUEFI -Name $var -SignatureOwner $sigowner -ContentFilePath $siglist -FormatWithCert -Certificate $certpath -SignableFilePath $serialization -Time 2011-05-21T13:30:00Z  -AppendWrite:$append
OutputFilePath - Specifies the name of the file created that contains the contents of what is set.
If this parameter is specified, then the content are not actually set, just stored into this file.
Please note if -OutputFilePath is provided the PK is not set like in this case. The master script sets it at the end.
Time - you can change the time below as long as it isn't in the future. Nothing wrong with keeping it as is.
Set-SecureBootUEFI -Name $var -Time 2011-05-21T13:30:00Z -ContentFilePath $siglist  -OutputFilePath $example -AppendWrite:$append

Создание тестового KEK или использование собственного KEK изготовителя оборудования

Для этого вы можете использовать собственный KEK изготовителя оборудования или скрипты из WHCK.

Ниже приведен образец.

script to add option OEM KEK
Import-Module secureboot
$d = (pwd).Path
###############################################################################
Complete the following parameters
###############################################################################
$certname = "Fabrikam_Test_KEK_CA"
TODO change this path to where you have the PK.cer file
This is where you plugin the certificate generated by the HSM
$certpath = $d + "\" + $certname + ".cer"
TODO change this path to where you have the OEM_KEK.cer file
Each signature has an owner SignatureOwner, which is a GUID identifying the agent which inserted the signature in the database.
Agents might include the operating system or an OEM-supplied driver or application.
Agents may examine this field to understand whether they should manage the signature or not.
TODO replace with OEM SignatureOwner GUID.
You can use tools like Guidgen.exe tool in SDK or a similar tool to generate a GUID
$sigowner = "00000000-0000-0000-0000-000000000000"
$var = "KEK"
$efi_guid = "{8BE4DF61-93CA-11d2-AA0D-00E098032B8C}"
$append = $false
###############################################################################
Everything else is calculated
###############################################################################
$siglist = $certname + "_SigList. bin"
$serialization = $certname + "_SigList_Serialization_for_" + $var + ".bin"
$signature = $serialization + ".p7"
if ($append -eq $false)
{
$appendstring = "set_"
$attribute = "0x27"
} else
{
$appendstring = "append_"
$attribute = "0x67"
}
$example = "Example_SetVariable_Data-" + $certname + "_" + $appendstring + $var + ".bin"
Format-SecureBootUEFI -Name $var -SignatureOwner $sigowner -ContentFilePath $siglist -FormatWithCert -CertificateFilePath $certpath -SignableFilePath $serialization -Time 2011-05-21T13:30:00Z -AppendWrite:$append
-Time You can change the time below as long as it isn't in the future. Nothing wrong with keeping it as is.
Set-SecureBootUEFI -Name $var -Time 2011-05-21T13:30:00Z -ContentFilePath $siglist -OutputFilePath $example -AppendWrite:$append

Задайте для базы данных значение NULL и задайте KEK и PK
Первое, что делает этот скрипт, — задать для базы данных значение NULL.
Примечание
Помните, что если ЦС Fabrikam Test KEK является единственным центром сертификации KEK (то есть нет ЦС Windows KEK), компьютер может загрузиться в Windows RE.
Перед выполнением скрипта выполните команду Set-ExecutionPolicy Bypass -Force.
```
Import-Module secureboot
try
{
Write-Host "Deleting db..."
Set-SecureBootUEFI -Name db -Time "2011-06-06T13:30:00Z" -Content $null
}
catch
{
}
Write-Host "Setting Fabrikam KEK..."
Set-SecureBootUEFI -Time 2011-05-21T13:30:00Z  -ContentFilePath Fabrikam_Test_KEK_CA_SigList.bin  -Name KEK
Write-Host "Setting self-signed Test PK..."
Set-SecureBootUEFI -Time 2011-05-21T13:30:00Z -ContentFilePath TestPK_SigList.bin  -Name PK
Write-Host "`n... operation complete.  `nSetupMode should now be 0 and SecureBoot should also be 0. Reboot and verify that Windows is correctly authenticated, and that SecureBoot changes to 1."
```
Подключите карточку параметров и проверьте ее
Тест должен пройти или завершиться сбоем на основе правильности встроенного ПО. Пример:
Если параметр РОМ в встроенном ПО реализован правильно и используется видеоадаптер для тестирования, то на подключенном мониторе не должно отображаться.
Однако если вы используете неправильное встроенное ПО, видеоадаптер должен иметь выходные данные на дисплее.

Руководство по созданию и управлению ключами безопасной загрузки Windows

Общие сведения о безопасной загрузке

Проверка функциональности платформы обновления встроенного ПО Windows UEFI

О UEFI | Русскоязычная документация по Ubuntu

Содержание

О UEFI
- BIOS
- (U)EFI
- Совместимость
- ESP раздел
MBR и GPT
Что нужно для того что бы ОС грузилась через BIOS?
Что нужно для установки ОС, что бы она грузилась через UEFI?
Менеджер загрузки UEFI
Secure Boot
- Ключи системы Secure Boot
- Собственные ключи
Как Ubuntu загружается в режиме Secure Boot
Другие интересные возможности UEFI
- UEFI Shell
- Загрузка ядра Linux непосредственно из UEFI
Полезные утилиты для UEFI
🙂 Патч Бармина живе всех живых
Ссылки

Вообще, представленный в статье материл не относятся исключительно к Ubuntu. В статье освящены и вопросы на прямую не зависящие от ОС.

Статья сфокусирована на объяснении понятий и принципов, а также важных и интересных возможностях UEFI. Более детально сам процесс установки и настройки загрузки Ubuntu в UEFI режиме описан в этой статье или в этой.

Практически все современные компьютеры оснащены системной прошивкой позволяющей загрузиться через UEFI. На более старых компьютерах за загрузку отвечал BIOS. В чем разница и как с этим всем жить — давайте разберемся.

BIOS

Старый добрый BIOS отвечает за первичное тестирование (POST), инициализацию практически всего аппаратного обеспечения компьютера и за инициализацию загрузки ОС с дискового носителя (хотя сегодня уже не все носители имеют в своей конструкции диск ). Собственно вся процедура инициализации загрузки ОС заключалась в двух шагах:

по настройкам BIOS найти устройство (диск) с которого надо загрузиться.
считать в память MBR, т.е. первый сектор (512 байт) диска и запустить находящийся там код на исполнение.

За все остальное (даже за работу с таблицей разделов, которая располагается в конце MBR) отвечает тот самый маленький код, который расположен в первых 446 байтах MBR.

Проблемой BIOS принято считать то, что много работы он делает зря (чем затягивает процесс загрузки системы). Практически всю его работу по инициализации и поддержке оборудования компьютера все современные ОС попросту игнорируют и повторно инициализируют и далее работают через свои драйвера. Все, что дает BIOS, было реально востребовано только в ранних версиях DOS…

Другой проблемой являются ограничения, которые установлены для поддержки BIOS: это 16-разрядный реальный режим работы процессора с набором команд i8086, 1Мб адресуемого пространства памяти и периферия (клавиатура, видео адаптер, контроллер прямого доступа в память) совместимая с IBM AT. На сегодняшний день, требовать от 64-х разрядного многоядерного, многопоточного процессора совместимости с одноядерным и однопоточным 16-разрядным i8086 — уже немного смешно, а требование совместимости по периферии с IBM PC-AT(компьютер 1984-го года выпуска) уже даже не смешно, а очень грустно.

(U)EFI

Идеи отказаться от всего того ненужного, что делает BIOS, снять архаичные ограничения BIOS и сделать процесс инициализации и загрузки более гибким возникали уже очень давно, и различные попытки сделать это предпринимались, но IT-индустрия реально созрела к принятию нового общего стандарта загрузки персональных компьютеров только в начале этого века. В 2005 был создан консорциуму UEFI Forum, которому INTEL передал свою наработки по проекту Intel Boot Initiative (позже переименованному в EFI — Extensible Firmware Interface), начатому еще середине 90-х. Помимо Intel в консорциум вошли AMD, Apple, IBM, Microsoft и многие другие крупные IT-компании. Вместе с созданием консорциума спецификация EFI была переименована в UEFI (Unified Extensible Firmware Interface)¹⁾.

Основные концепции положенные в основу UEFI — «минималистичность», «модульность» и поддержка разных процессоров. Прошивка UEFI может быть собрана под 32-битный или 64-битный процессоры Intel, 32- или 64-битный процессор ARM, а также для процессоров Intel Itanium. Кроме того UEFI имеет собственный менеджер загрузки и умеет работать с файловыми системами на диске (по умолчанию только FAT32), а также умеет загружать драйверы для поддержки различного оборудования и любых файловых систем.
После включения компьютера и проведения первичного теста оборудования (на этом этапе разницы с BIOS нет) инициализируются только те подсистемы, которые необходимые для загрузки.

В некоторых режимах загрузки, которые обычно называют Fast-boot (или Fast-Startup), даже клавиатура может оставаться не инициализированной, пока не загрузится ОС. Некоторые настройки Fast-boot могут отключать работу со всеми USB устройствами и не будет возможности даже выбрать с чего грузиться компьютеру, ведь клавиатура не работает до тех пор, пока не загрузится ОС.

Причем, в отличии от BIOS, все компоненты которого записаны в постоянную (флеш) память, UEFI может хранить часть своего кода на диске — в специальном разделе ESP²⁾. Это позволяет легко расширять, менять и обновлять код поддерживающий различные устройства компьютера без необходимости перепрограммировать постоянное ЗУ компьютера. А кроме драйверов для поддержки устройств на ESP разделе может хранится и поддержка протоколов, утилиты и даже собственная EFI-оболочка (shell), из-под которой можно запускать собственные EFI-приложения. Т.е. UEFI по сути — маленькая ОС (или псевдо-ОС). При этом загрузчик операционной системы становится обычным приложением, которое исполняется в окружении, предоставляемом псевдо-ОС UEFI. Подробнее о EFS разделе мы поговорим в главе ESP раздел.

UEFI реализует свой менеджер загрузки, он поддерживает мульти-загрузку: позволяет выбирать загрузку из нескольких ОС и/или утилит. Загрузчик ОС — это просто efi-приложение, которое хранится на ESP разделе. В ESP может храниться много приложений, и пункты меню загрузки могут ссылаться каждый на свое приложение (или на одно, но с передачей разных параметров). Кроме того, UEFI поддерживает ассоциацию нажатия клавиш с пунктами загрузки (выбор пункта загрузки осуществляется в зависимости от того какая нажата клавиша в момент загрузки). Т.о. UEFI берет на себя большую часть задач, которые раньше могли решать только загрузчики ОС (типа GRUB).
Более подробно мы поговорим о менеджере загрузки UEFI в разделе Менеджер загрузки UEFI

Архитектура UEFI позволяет также загрузить драйвера устройств (необходимые для работы ОС и для процедуры загрузки). Да и само ядро ОС можно загрузить (по крайней мере ядро Linux, собранное с опцией UEFISTUB) непосредственно из UEFI (т.е. устранить загрузчик из процесса загрузки). Такую возможность мы разберем более детально чуть позже в разделе Загрузка ядра Linux непосредственно из UEFI.

Как и в случае с BIOS, UEFI — это стандарт, практической реализацией которого занимаются разные поставщики решений. Поэтому в реализации стандарта UEFI в прошивках разных поставщиков могут значительно отличаться (как визуально так и функциональным наполнением). Могут встречаться сильно урезанные по функционалу реализации (чаще в компьютерах выпущенных в 2000-х годах). Но базовые принципы работы UEFI в процессе загрузки различаться сильно не должны (он был определен и зафиксирован в самых ранних стандартах UEFI). Интерфейсы утилиты настройки могут сильно различаться, но значение имеет не способ оформления интерфейса, а те настройки, которые доступны для изменения через этот интерфейс.

Совместимость

Само собой, современные прошивки умеют эмулировать работу BIOS. Отвечает за совместимость с BIOS модуль CSM (Compatibility Support Module иногда он еще называется Legasy support). Когда CSM включен и при загрузке загрузиться в UEFI не удалось, то CSM пытается найти загрузчик ОС в первом секторе диска (MBR) или в специальном служебном разделе (при GPT разбивке диска). Если код загрузчика найден, то CSM считает, что установлена ОС, требующая поддержки режима BIOS, и, прежде чем загрузить и запустить код из MBR, CSM проделывает все те же шаги инициализации оборудования, что предусмотрены для BIOS.

Если вы планируете использовать только загрузку в варианте UEFI, то работу этого модуля лучше запретить в системной утилите вашей материнской платы (Firmware setup utility). Кроме того, загрузка в режиме SecureBoot (о ней будет рассказано ниже) явно требует, что бы работа модуля CSM была запрещена.

Собственно использовать сразу оба варианта загрузки (для разных ОС) — не стоит. Лучше для всех ОС установленных на данном компьютере использовать один вариант загрузки: через CSM или UEFI.

ESP раздел

Отдельно стоит рассмотреть служебный раздел UEFI.
Раздел обязательно должен иметь специальный идентификатор UUID = C12A7328-F81F-11D2-BA4B-00A0C93EC93B (или тип EF если он создан на диске с таблицей разделов в MBR).
По стандарту этот раздел должен иметь файловую систему FAT32 (в принципе стандарт допускает использование других ФС, но на практике это не распространено).
Предусмотренная в стандарте структура каталогов довольно проста.

В корне системного раздела могут располагаться системные утилиты (например тот же шелл-интерпретатор).
В каталогах EFI\<Поставщик>³⁾ должны лежать загрузчики ОС указанного поставщика.
Если у UEFI нет явного указания какой загрузчик загружать, то он загружает файл EFI\BOOT\BOOTx64. EFI (…x32.EFI для 32-х битных платформ).

При установке UBUNTU (с загрузкой через UEFI) служебный раздел ESP монтируется в /boot/efi. И на ESP разделе создается каталог EFI\ubuntu в котором размещается загрузчик⁴⁾ GRUB и/или Shim (о них — чуть позже).

EFS раздел лучше создавать из установщика. Когда вы делаете его сами через gparted/parted/fdisk, то есть шанс сделать что-то не так (например выберете FAT16 вместо FAT32) и тогда UEFI не поймет, что это EFS раздел и не будет с него загружаться. Доверьте установщику выполнить работу, которую он умеет делать хорошо — делайте EFS раздел из установщика.

MBR и GPT

Еще одно «новшество» в индустрии относится к таблице разделов диска.

Во времена IBM-PC/AT и BIOS таблица разделов размещалась в первом секторе на диске, т.е. в MBR (Master Boot Record). В MBR хранится и исполняемый код загрузчика ОС и таблица разделов. Т.к. в 512⁵⁾ байт много не запихнешь, то таблица разделов была рассчитана только на 4 раздела. 21 байт (на сегодня этот размер вновь выглядит астрономически большим… )

К чему я упомянул про таблицы разбиения дисков? А к тому, что, несмотря на то, что первоначально UEFI планировалось использовать только с GPT, а BIOS умел работать с MBR (вернее код в MBR работает с таблицей разделов расположенной в конце MBR), но в реальной жизни и BIOS (вернее сказать CSM) научили понимать GPT, и для UEFI предусмотрели использование таблицы разделов из MBR.

EFS раздел может быть также создан в таблице разделов формата ISO9660 (стандарт используемый для разметки CD/DVD оптических лисков). Это позволяет загружаться в режиме UEFI и с CD/DVD.

Получившаяся в результате «солянка» (из 4-х допустимых вариантов: UEFI + MBR, UEFI + GPT, BIOS/CSM + MBR и BIOS/CSM + GPT) создает некоторую путаницу и недопонимание. Давайте попробуем во всем этом разобраться более детально.

Что нужно для того что бы ОС грузилась через BIOS?

Несмотря на то, что загрузка в режиме BIOS уже не современна, не модна , а главное — технологически устарела, но, уверен, будет еще много сторонников этого пути, на протяжении долгих лет… Однако я не могу найти ни одного разумного довода использовать этот вариант если и ОС и компьютер поддерживают загрузку через UEFI.

В первую очередь, для загрузки через BIOS, в утилите настройки вашего компьютера должна быть разрешена работа модуля CSM. Само собой, режим SecureBoot (о нем рассказано чуть ниже) в таком варианте организовать невозможно в принципе.

Если разбивка диска — c таблицей разделов в MBR (вариант «BIOS/CSM + MBR»), то ничего дополнительно не нужно (это сочетание собственно и есть оригинальная конфигурация для варианта загрузки через BIOS).

А вот если у вас диск размечен через GPT (вариант «BIOS/SCM + GPT»), то возникают некоторые сложности.
В первую очередь: не совсем ясно — куда разместить код, который ранее размещался в MBR. Да, в GPT первый блок размером в 512 байт зарезервирован и в нем даже есть защитная версия таблицы разделов (в формате принятом для MBR). В защитной таблице разделов записан единственный раздел размером на все адресуемое пространство диска⁸⁾ и с типом EE. Само собой, с единственной фейковой записью в таблице разделов никакой код в MBR не сможет корректно отработать процесс загрузки⁹⁾.
Еще одно проблемное место возникает когда загрузчик использует для размещения своего кода сектора на первом треке диска за MBR (к примеру так поступает GRUB). В GPT на этом месте уже идут служебные записи (заголовок таблицы разделов и сами записи о разделах).
Для решения обоих этих проблем предусмотрен специальный бинарный (он не форматируется ни в какую ФС) раздел BIOS-Boot (Тип = EF02 или UUID = 21686148-6449-6E6F-744E-656564454649). Установщик ОС может прописать на этот раздел весь тот код, который ранее размещался в MBR и на незанятом пространстве за MBR. Этот раздел должен иметь установленный флаг boot. Размер этого раздела может быть совсем маленьким, ведь MBR — это всего 512 байт, а размер неиспользуемого пространства за MBR, составляет всего 31Кb или 1023,5Кb¹⁰⁾. Однако, некоторые современные загрузчики требуют раздел BIOS-Boot размером в 10-30Мb.
В процессе загрузки CSM модуль (эмулирующий работу BIOS) отвечает за то, что находит в GPT раздел BIOS-Boot, загружает первые 512 байт с этого раздела, и передает управление загруженному коду. За дальнейший процесс загрузки отвечает этот код, а CSM берет на себя задачу эмулировать обращение к секторам диска за MBR (вместо этих секторов производится подстановка секторов из раздела BIOS-Boot).

Пожалуй вот на этом и закончим обсуждать CSM и BIOS, все дальнейшее будет относится только к UEFI.

Что нужно для установки ОС, что бы она грузилась через UEFI?

На самом деле все не так сложно как кажется. Как уже было сказано UEFI требует специального раздела ESP (с файловой системой FAT32 и флагами boot и esp). И, несмотря на то, что для этого раздела был предусмотрен специальный длинный идентификатор (UUID = C12A7328-F81F-11D2-BA4B-00A0C93EC93B) для GPT, который в таблицу разделов MBR ну никак не запихнешь, этому разделу дали еще и короткий идентификатор (EF), который можно «впихнуть» в таблицу разделов в MBR. Т.е. ESP раздел можно создать и на диске с GPT и на диске с таблицей разделов в MBR (однако такой вариант поддерживает не любая ОС).

Т.о. при установке системы, помимо создания нужных для работы ОС разделов, нужно создать специальный раздел ESP:

— для варианта «UEFI + MBR» : c типом EF

— для варианта «UEFI + GPT» : c типом EF00 и UUID = C12A7328-F81F-11D2-BA4B-00A0C93EC93B

Этот раздел должен быть отформатирован в FAT32 и иметь установленные флаги boot и esp. Размер раздела можно выбрать небольшим 200-300Мб (занято там будет, скорее всего, гораздо меньше, но делать его совсем маленьким, при современных объемах дисков — просто бессмысленно).

Если ESP раздел создается из установщика Ubuntu, то нужный формат, точку монтирования и необходимые флаги установщик сделает сам: нужно только выбрать тип раздела «EFI Boot» и задать его размер.

Если на компьютере уже стоит ОС загружающаяся через UEFI, то ESP раздел уже должен быть на диске и новый ESP создавать не нужно. В установщике Ubuntu надо только убедиться, что этот раздел используется как «EFI Boot». Более того, если создать несколько разделов ESP (на одном диске), то некоторые прошивки UEFI могут «окриветь» из-за такого неожиданного разнообразия. Общее правило — на диске должен быть только один раздел ESP. На разных устройствах ESP разделов может быть несколько — это вполне штатная ситуация для UEFI.

Ядро Linux загруженное не через UEFI не обеспечивает доступа к переменным UEFI, а это не позволяет изменять настройки загрузки UEFI. Поэтому, поставить новый Linux (что бы он загружался через UEFI) можно только предварительно загрузившись с установочного носителя через UEFI.

Некоторые дистрибутивы не умеют загружаться через UEFI, если у вас таблица разделов в MBR.

Для загрузки через UEFI модуль CSM не нужен, и, если все установленные на компьютере ОС грузятся через UEFI, то CSM лучше отключить. А вот если вы организуете загрузку в режиме SecureBoot, то CSM модуль отключить просто необходимо: без этого, обычно, просто не включить режим SecureBoot или включение SecureBoot автоматически запрещает работу CSM.

Менеджер загрузки UEFI

Кроме кода отвечающего за первичную инициализацию системы UEFI имеет свой менеджер загрузки. Работу менеджера загрузки задают переменные UEFI, хранящиеся в энергонезависимой памяти NVRAM¹¹⁾.

Переменные, которые задают работу менеджера загрузки это:

, где #### — шестнадцатеричный номер записи.

Переменные Driver#### инициализируют загрузку UEFI драйверов. Переменная DriverOrder определяет последовательность загрузки драйверов.

Драйвера остаются в памяти после своей инициализации. Однако загруженные драйвера сразу не связываются с устройствами, которые они обслуживают. Процесс такого связывания необходимо инициализировать отдельно. Но нужно отметить, что происходит не просто связывание загруженных драйверов, а повторное связывание, т.к. некоторые драйвера уже были связаны со своими устройствами в процессе первичной инициализации системы. За запуск процесса инициализации отвечает флаг LOAD_OPTION_FORCE_RECONNECT, который можно установить в поле атрибутов загрузочной записи Driver####. Если хоть у одного из загруженных драйверов этот флаг установлен, то после окончания загрузки всех драйверов менеджер загрузки UEFI инициализирует процедуру пере-связывания всех драйверов и устройств.

Переменные SysPrep#### инициализируют загрузку системных утилит. Переменная SysPrepOrder определяет последовательность утилит. Системных утилита должна выполнить свои действия и вернуть управление менеджеру загрузки UEFI. Утилиты не остаются в памяти, если нужен резидентный код, то его нужно загружать как Driver####.

Переменные Boot#### отвечают за загрузку загрузчиков ОС. Переменная BootOrder определяет приоритет загрузки загрузчиков ОС. Загрузчик обязан определить возможность загрузки ОС и принять решение — будет он загружать ОС или нет. Если ОС не будет загружаться, то загрузчик должен просто вернуть управление менеджеру загрузки UEFI. Если же ОС будет загружаться, то загрузчик должен уведомить об этом менеджера загрузки UEFI специальным вызовом. Этот вызов имеет принципиальное значение, т.к. те услуги которые UEFI обеспечивает для ОС гораздо уже и более ограничены чем те, которые доступны в процессе инициализации системы. И Именно для переключения режима услуг необходимо такое уведомление от загрузчика.

На работу менеджера загрузки влияют как переменные DriverOrder, SysPrepOrder и BootOrder, так и значение флага LOAD_OPTION_ACTIVE устанавливаемого в поле атрибутов загрузочной записи (Driver####, SysPrep#### или Boot####). Загрузочные записи с неактивным флагом LOAD_OPTION_ACTIVE игнорируются менеджером загрузки UEFI даже если эти записи указаны в переменной задающей порядок/приоритет (DriverOrder, SysPrepOrder или BootOrder). Также игнорируются записи с активным флагом LOAD_OPTION_ACTIVE, но не включенные в переменную задающую порядок/приоритет.

Менеджер загрузки UEFI в нормальном режиме работы сначала загружает все активные Driver#### упомянутые в DriverOrder и в том порядке, в котором они записаны в DriverOrder, затем загружает все активные SysPrep####, указанные в SysPrepOrder, в указанном там порядке, а после этого пытается загрузить активный загрузчик ОС (Boot####) в порядке указанном в BootOrder. А вот если ни одна из активных записей упомянутых BootOrder не смогла загрузить ОС (все вернули управление менеджеру загрузки UEFI), то запускается процесс восстановления.

Процесс восстановления настраивается переменными OsRecovery#### и PlatformRecovery####. Если эти переменные не заданы, то менеджер загрузки UEFI пытается произвести загрузку по умолчанию: загружается загрузчик хранящийся по пути \EFI\BOOT\BOOT{machine type short-name}.EFI, где {machine type short-name} — одно из:

IA32 — для 32-х битной платформы c INTEL-подобным процессором
x64 — для 64-х битной платформы c INTEL-подобным процессором
IA64 — для 64-х битной платформы с INTEL Itanium процессором
ARM — для 32-х битной платформы c ARM процессором
AA64 — для 64-х битной платформы c ARM процессором

Если загрузка по умолчанию не прошла, то менеджер загрузки UEFI сдается и выводит сообщение о невозможности дальнейшей загрузки системы.

Если заданы OsRecovery#### и/или PlatformRecovery####, то сначала выполняются OsRecovery#### и после этого менеджер загрузки UEFI пробует снова загрузить одну из Boot#### указанных в BootOrder и пробует загрузку по умолчанию.

Если и после этого ни один загрузчик не начал загрузку ОС, то выполняются PlatformRecovery####, но после выполнения записей PlatformRecovery#### загрузка начинается сначала: с Driver####, затем SysPrep####, а только после этого пробует снова загрузить одну из Boot#### указанных в BootOrder и загрузку по умолчанию. И вот если уже и после этого не удалось запустить загрузку ОС, то менеджер загрузки UEFI сдается и выводит сообщение о невозможности дальнейшей загрузки системы.

Отдельно нужно упомянуть возможность манипуляции приоритетом загрузки ОС заданным в BootOrder. Если задана переменная BootNext (в ней указывается номер одной из записей Boot####, которая должна быть активной), то менеджер загрузки пробует сначала загрузить запись Boot#### указанную в BootNext, и только если загрузить ОС по этой записи не удалось, то менеджер загрузки переходит к загрузке в соответствии с BootOrder. При этом BootNext удаляется в любом случае.

Еще один способ изменения приоритета загрузки ОС — выбор записи Boot#### по нажатию кнопки на клавиатуре в процессе загрузки. Для реализации такого механизма нужно привязать кнопку к записи Boot####. И если кнопка будет нажата, то менеджер загрузки пробует сначала загрузить запись Boot#### привязанную к кнопке, и только если загрузить ОС по этой записи не удалось, то менеджер загрузки переходит к загрузке в соответствии с BootOrder.

Практически все функции и настройки менеджера загрузки UEFI позволяет настроить утилита efibootmgr (смотрите man efibootmgr что бы узнать как).

Вот такие серьезные возможности обеспечивает менеджер загрузки UEFI. Фактически в нем реализован весь функционал классических менеджеров загрузки ОС поддерживающих мультизагрузку (загрузку нескольких ос или нескольких версий одной ОС). Причем в вопросах восстановления функционал менеджера загрузки UEFI даже шире за счет того, что он реализуется в процессе инициализации системы.

Таким образом UEFI делает такие загрузчики (например GRUB) фактически ненужными. И ниже мы поговорим о том, как можно организовать загрузку ОС Linux из UEFI без дополнительных загрузчиков.

Secure Boot

Особого упоминания требует такая особенность UEFI как Secure Boot.

Как уже было сказано EFI раздел (ESP) находится на диске, к которому может быть организован доступ во время работы ОС. Это означает не только легкость в изменении загрузки и инициализации оборудования системы, но и то, что туда можно подсунуть заведомо зловредный код, который (О!!! УЖАС!!!) будет загружен еще ДО!! загрузки ОС. На самом деле, перепрограммировать микросхемы BIOS или подменить код в MBR из запущенной ОС тоже можно было, но на это практически никто раньше не обращал внимания .

Закрыть эту «ужасающую дыру» в безопасности и призван Secure Boot. Вот как он работает:

При программировании системной памяти UEFI загрузчика (firmware), производители, вместе с кодом, записывают и сертификаты (содержащие ключи), и при загрузке в режиме Secure Boot UEFI проверяет по этим ключам подписи у любого исполняемого кода, который он загружает из ESP раздела (подписи добавляются к коду). Если верификация не прошла — такому коду отказывают в запуске.

Большая шумиха поднялась когда Microsoft заявили, что производители оборудования, желающие получить сертификат совместимости с Windows 8, обязаны исключить возможность загрузки с отключенным режимом Secure Boot. Дело в том, что это бы не позволило загрузить ни одну ОС, которая была бы не подписана колючем Microsoft.

Однако, довольно быстро шумиха улеглась. Во-первых Secure Boot практически все производители компьютеров разрешают отключать (Microsoft позже насколько переформулировал свои требования: от оборудования сертифицированного под Windows 8 не требуется запрещать загрузку без Secure Boot, зато требуется сообщить загрузчику Windows 8, что загрузка была не в SecureBoot режиме, и уже самой Windows решать — грузится ей дальше или нет). А во-вторых, в рамках консорциума UEFI были предусмотрены интерфейсы для управления ключами. «Подсуетились» и Canonical, и RedHat вместе с фондом FSF (Free Software Foundation). Как результат всех этих мероприятий и событий — и GRUB, и другие загрузчики обзавелись методами загрузки в режиме Secure Boot, а кроме того, стали доступны утилиты по управлению ключами UEFI. Вы даже можете свой собственный код подписать своим собственным ключом, загрузить ключ в UEFI (утилитами из пакета efitools) и это позволит загружать ваш собственный код в Secure Boot режиме.

Чуть хуже дело обстоит с планшетами и телефонами с предустановленной Windows — в прошивках этих устройств SecureBoot может быть не отключаем, а иногда нет и управления ключами.

Все дистрибутивы Ubuntu поддерживающие загрузку через UEFI уже имеют в своем составе все необходимое для загрузки в Secure Boot режиме практически на любом компьютере. Но, если загрузка с установочной флешки или диска не идет, то Secure Boot следует отключить (конечно же Secure Boot — не единственная причина по которой может не происходить загрузка с установочной флешки или диска).

В Ubuntu раздел ESP монитруется (при стандартной установке) в каталог /boot/efi/. Но правами доступа туда обладает только root (остальные пользователи даже прочитать из этого каталога ничего не могут). Т.е. даже без Secure Boot защита от атак через доступ в ESP раздел предусмотрена на том же уровне, на котором защищена и вся система: если рута взломали — то уже в принципе ничего не помешает злоумышленнику сделать с системой все, что он пожелает.

Обратите внимание: режим SecureBoot включается для всего компьютера, а это означает, что правильно подписанными должны быть все загрузчики (всех установленных ОС), утилиты и драйвера, которые загружаются с ESP раздела.

Ключи системы Secure Boot

На самом деле в энергонезависимой памяти компьютера (NVRAM) рассчитанного на работу с UEFI предусмотрено место не на один сертификат, более того, сертификаты хранятся в специально организованной, иерархической системе. Давайте рассмотри этот вопрос более детально, но начнем с того, что определим — что такое сами ключи, о которых мы тут говорим.

Ключи

Что же представляют собой эти ключи?
На самом деле хранятся все ключи UEFI в сертификате — бинарном файле контейнере специального формата (специальное расширение стандарта x. 509).
Внутри сертификата могут содержаться открытый ключ, информация о владельце ключа, удостоверяющий ключ подписи и иная информация.
Сами используемые ключи — это пары ключей (открытый/публичный и закрытый/секретный) сформированные алгоритмом RSA. UEFI стандарт рекомендует использовать ключи длинной 2048 bit.

Набор ключей системы SecureBoot

UEFI стандарт предусматривает следующие ключи (или списки ключей):

PK (Platform Key) — Это основной (единственный) ключ системы. Часто это ключ производителя оборудования.
KEK (Key Exchange Keys) — Ключ используемый для обмены ключами. Этих ключей может быть несколько.
db (база разрешенных ключей) — А вот в этом списке и хранятся те самые ключи, которые используются для проверки подписи загружаемых UEFI программ.
dbx (база отозванных ключей) — Здесь хранятся скомпрометированные ключи. Программный код подписанный такими ключами не будет загружаться и исполняться.
dbt (база временных меток) — тут хранятся ключи с отметкой времени ¹²⁾) (оставим пока детальное рассмотрение вопроса использования этих ключей за рамками статьи).
dbr (база ключей для восстановления) — тут хранятся ключи восстановления системы (оставим пока детальное рассмотрение вопроса использования этих ключей за рамками статьи).

В зависимости от реализации часть ключей может отсутствовать (или даже все, если система вовсе не поддерживает SecureBoot). В самых старых реализациях (поддерживающих SecureBoot) набор ключей мог быть: PK и db. В более свежих могут отсутствовать dbr и/или dbt.

Кроме того в NVRAM UEFI могут быть созданы кастомные списки ключей. Примером такого списка служит список ключей MOK (Mashine Owner Keys). MOK ключи используются не самим UEFI, а загрузчиком Shim. Shim (подписанный ключем из db) загружается как обычное UEFI приложение и сам проверяет подпись загружаемого им кода по ключам из MOK.

Если вам неохота/лень разбираться в режимах работы UEFI и ключей описанных далее, то можете условно считать, что PK ключ должен быть само-подписанным, KEK ключ — должен быть подписан ключем PK, а db (dbx|dbt|dbr) ключ должен быть подписан ключем KEK или PK. Если вас устраивает такая упрощенная модель (на самом деле там все несколько сложнее, что и описано далее), то вы можете смело пропустить остаток этого раздела и перейти сразу к разделу Собственные ключи

Состояния системы SecureBoot

Работа с ключем PK сильно зависит от состояния в котором находится UEFI. В спецификации UEFI v2.5 предусмотрено 4 состояния, на два из них наиболее важны, а еще два — служебные (они могут быть вовсе не реализованы в некоторых прошивках UEFI). Состояния определяются значениями глобальных переменных UEFI (хранящимися в NVRAM). При этом, в разных состояниях меняется не только значение переменных, но и возможность записать в эти переменные новое значение. Далее будет использоваться следующая нотация: <Переменная>=<значение>/[RO|RW], где признаки RO и RW говорят о доступности переменной для изменения (RO, от ReadOnly — только чтение; RW, от ReadWrite — чтение и запись).

Setup — Режим настройки системы (SetupMode = 1/RO): PK — не определен, SecureBoot — не разрешен (SecureBoot = 0/RO), переход в состояние Audit разрешен (AuditMode == 0/RW), а переход в состояние Deployed запрещено (DeployedMode = 0/RO).
В этом режиме можно задать PK: он должен иметь удостоверяющую подпись своим собственным секретным ключем (т.е. он должен быть само-подписанным). При задании PK система сразу переходит состояние User.
Можно также перейти в состояние Audit, присвоив переменной AuditMode значение 1.
User — Рабочий режим (SetupMode = 0/RO): в этом режиме можно включить или выключить режим SecureBoot (SecureBoot=0/RW) или¹³⁾ он включается автоматом, при переходе из состояния Setup (SecureBoot=1/RW), а может включаться и фиксироваться (SecureBoot=1/RO).
В этом режиме тоже можно поменять PK, но новый PK должен иметь удостоверяющую подпись секретным ключем текущего PK.
Из этого режима можно перейти в Audit (AuditMode = 0/RW) или в Deployed (DeployedMode == 0/RW). Так же можно удалить или очистить PK (реализация зависит от платформы) с автоматическим переходом в состояние Setup.
Audit — служебное состояние для проведения аудита системы — в этом режиме возможна загрузка любых модулей без проверки подписи, но о каждой загрузке создается запись в специальной таблице. При присвоении переменной AuditMode значения 1 (возможно в User и Setup) сразу происходят несколько действий: система переходит в состояние аналогичное состоянию Setup (SetupMode = 1/RO), отключается SecureBoot (SecureBoot = 0), текущий PK сбрасывается (очищается), DeployedMode = 0/RO.
Фактически это сброс системы SecureBoot в состояние Setup (что разрешает записать само-подписанный PK). Однако выход из этого режима иной чем из состояния Setup: При установке нового PK — состояние меняется на Deployed (AuditMode = 0/RO, DeployedMode = 1/RO, SetupMode = 0/RO). При этом в состоянии Deployed будет отключен SecureBoot.
Deployed — служебное состояние в котором запрещена любая работа с ключами, состояние SecureBoot тоже нельзя изменить (если включено — не отключить и наоборот). Как раз в этот режим переведены производителями UEFI на виндо-планшетах и виндо-смартфонах. Перевести в этот режим можно: из состояния User, присвоив глобальной переменной UEFI «DeployedMode» значение 1 или из состояния Audit, задав PK. Как вы правильно понимаете после этого и саму переменную «DeployedMode» уже будет не изменить.
Выход из этого режима возможен в User или Setup, а вот механизм выхода — зависит от реализации UEFI (Platform specific DeployedMode clear — как написано в спецификации). Т.е. либо какие-то шаманские действия (возможно и недокументированные) либо вовсе — никак (по крайней мере без аппаратного обнуления NVRAM).

KEK ключ может быть добавлен в состояниях Setup (без подписи или само-подписанный) и User (обязательно подписанный секретным ключем от PK).

С ключами в db* (db, dbx, dbt, dbr) — все значительно проще и одновременно сложнее: Т.к. существует огромное количество операционных систем и их различных версий, а также загрузчиков этих ОС, драйверов и утилит от разных поставщиков, то поставить (от производителя) систему сразу со всеми нужными ключами — просто нереально. То же касается и ключей, которые были скомпрометированы и ключей восстановления. Поэтому предусмотрен режим добавления этих ключей. При этом если система находится в состоянии Setup, то ключи в db* можно добавлять без подписей или само-подписанные, а если в User, то добавляемые ключи должны быть подписаны приватной ключем от одного из KEK ключей или от PK.

Причем в ключи в db (dbt) могут добавляться и автоматически (если это предусмотрено конкретной реализацией UEFI): когда подпись загружаемого модуля не может быть проверена, то могут быть предусмотрены механизмы (поиск в массиве на диске или интерактивное подтверждение от авторизованного пользователя), которые разрешат добавить публичный ключ от подписи (подпись содержит публичный ключ для своей проверки) в db (или dbt).

Собственные ключи

Так как все ключи/сертификаты UEFI (PK, KEK, db) построены на основе открытых стандартов, то и весь набор этих ключей можно сформировать самостоятельно. Далее рассмотрим как это можно сделать, а вот тут описано все тоже другим толковым автором.

Прежде чем вы приступите к манипуляциям с ключами, настоятельно рекомендуется убедится в том, что ваша прошивка UEFI позволяет отключить SecureBoot из утилиты настройки или удалить/обнулить PK. Если этой возможности прошивка не предоставляет, то подумайте десять раз прежде чем что-либо делать с ключами — ваши шансы трансформировать ваш компьютер/ноутбук в кирпич крайне высоки!

Для работы нам потребуются утилита openssh (практически во всех дистрибутивах Linux эта утилита уже установлена) и утилиты из пакета efitools (доступна в репозиориях ubuntu¹⁴⁾).

Создание ключей

Для начала создадим наш тестовый ключ и само-подписанный сертификат:

$ openssl genrsa -out test-key. rsa 2048
$ openssl req -new -x509 -sha256 -subj '/CN=test-key' -key test-key.rsa -out test-cert.pem
$ openssl x509 -in test-cert.pem -inform PEM -out test-cert.der -outform DER

Как показали мои эксперименты с UEFI прошивкой от AMI — срок действия сертификата в db не имеет значения для загрузки в режиме SecureBoot (подписанный моим собственным ключем UEFI-Shell продолжал загружаться в режиме SecureBoot и после окончания срока действия сертификата). Однако я не берусь гарантировать, что это не может быть важно для какой-либо другой реализации UEFI. Если это окажется важно, то нужно задать разумное время действия сертификата во второй команде через опцию -days <n> : где <n> — число дней в течении которых сертификат действует (по умолчанию задается — один месяц, чего самом собой — маловато…).

Для дальнейших действий нам потребуется GUID для идентификации нашего ключа. Его очень просто сформировать через утилиту uuidgen, а для удобства новый GUID мы запишем в переменную.

$ guid=$(uuidgen)
$ echo $guid
c752155d-093f-4441-87c3-20e2352205ac

Создание UEFI ключей

Для того что бы установить наш ключ в базу ключей UEFI, нам потребуется специальны контейнер EFI_SIGNATURE_LIST, в котором будет задана переменная EFI_VARIABLE_AUTHENTICATION_2. Для упрощения, ключи в контейнере будут само-подписанными.

Сначала мы создаем контейнер EFI_SIGNATURE_LIST содержащий сертификат:

$ sbsiglist --owner $guid --type x509 --output test-cert.der.siglist test-cert.der

Далее создадим подписанные ключи для последующей загрузки в энергонезависимую память UEFI. Наши файлы будут содержать сертификат с префиксом в виде EFI_VARIABLE_AUTHENTICATION_2 описателя. Описатель будет подписывать ключ, и содержать название переменной и другие атрибуты. Т.к. в файл будет включено название переменной (PK, KEK and db), нам придется создать отдельный контейнер для каждой переменной.

$ for n in PK KEK db
> do
>   sbvarsign --key test-key. rsa --cert test-cert.pem \
>     --output test-cert.der.siglist.$n.signed \
>     $n test-cert.der.siglist
> done

Здесь мы несколько упрощаем стандарт работы ключей UEFI: у нас не будет выстроена цепочка удостоверяющих подписей различающихся ключей: PK → KEK → db. Все три ключа у нас — само-подписанные и в PK, KEK и в db будет записан одинаковый ключ (чисто формально они удостоверяют подписи друг друга по цепочке). Ключ который мы будем записывать — тот самый rsa ключ, который мы сформировали самой первой командой. Можно, конечно, сформировать различающиеся ключи для PK, KEK и db, но не совсем понятно — зачем нужно такое усложнение в нашем случае.

Кроме того, все известные сертификаты от разработчиков linux (Canonical, Fedora, AltLinux, openSUSE и др.) — тоже само-подписанные, их вы можете найти в на сайте проекта rEFInd или в проекте UEFI-Boot на github

Создание хранилища ключей

Далее нам потребуется создать хранилище ключей в стандартном месте, где утилита sbkeysync будет их искать.

$ sudo mkdir -p /etc/secureboot/keys/{PK,KEK,db,dbx}
$ sudo cp *.PK.signed /etc/secureboot/keys/PK/
$ sudo cp *.KEK.signed /etc/secureboot/keys/KEK/
$ sudo cp *.db.signed /etc/secureboot/keys/db/

На самом деле вы можете создать хранилище где угодно и указать утилите sbkeysync где оно находится в значении ключа –keystore.

Загрузка ключей

Через утилиту прошивки

Загрузка ключей в UEFI может быть выполнена из утилиты настройки вашей материнской платы. Там нужно будет найти раздел (обычно Security) где задаются параметры SecureBoot. Возможно потребуется явно разрешить работу с ключами — выбрать режим управления ключами custom или как либо еще.
Попав в окно утилиты по управлению ключами, первым делом сохраните (на всякий случай) фабричные ключи¹⁵⁾. После этого удалите все фабричные ключи, и по одному добавляйте ключи из вашего хранилища ключей (скорее всего, его придется перенести на ESP раздел, т.к. только этот раздел доступен для UEFI).

PK ключ желательно записывать последним (почему? — детально описано в финальной части раздела «Ключи системы SecureBoot»).

Следует также отметить, что формат, в котором прошивка умеет загружать ключи может разниться в разных прошивках UEFI. Например прошивка AMI из недавно купленного мини-PC может взять сертификат и из подготовленного контейнера, и непосредственно из файла .pem. Т.о. вся эта возня со специальными контейнерами, в этом случае, вовсе не нужна: один и тот же само-подписанный сертификат можно загрузить и в PK, и в KEK, и в db.

Используя sbkeysync

Если UEFI находится в Setup режиме, то ключи можно загрузить и из ОС, используя утилиту sbkeysync. Но для начала воспользуйтесь опцией –dry-run, что бы убедится, что у вас все верно настроено и готово к этому важному процессу:

$ sbkeysync --verbose --pk --dry-run
Filesystem keystore:
  /etc/secureboot/keys/db/test-cert.der.siglist.db.signed [2116 bytes]
  /etc/secureboot/keys/KEK/test-cert.der.siglist.KEK.signed [2116 bytes]
  /etc/secureboot/keys/PK/test-cert.der.siglist.PK.signed [2116 bytes]
firmware keys:
  PK:
  KEK:
  db:
  dbx:
filesystem keys:
  PK:
    /CN=test-key
     from /etc/secureboot/keys/PK/test-cert. der.siglist.PK.signed
  KEK:
    /CN=test-key
     from /etc/secureboot/keys/KEK/test-cert.der.siglist.KEK.signed
  db:
    /CN=test-key
     from /etc/secureboot/keys/db/test-cert.der.siglist.db.signed
  dbx:
New keys in filesystem:
 /etc/secureboot/keys/db/test-cert.der.siglist.db.signed
 /etc/secureboot/keys/KEK/test-cert.der.siglist.KEK.signed
 /etc/secureboot/keys/PK/test-cert.der.siglist.PK.signed

Вывод покажет списки ключей найденных в базе данных UEFI, ключей найденных в хранилище ключей и список синхронизации (какой ключ куда будет загружен).

Если все выглядит правильно, удалите –dry-run параметр из команды для фактического обновления ключей в UEFI базе данных.

Будьте предельно осторожны выполняя загрузку ключей, т.к. как только PK будет записан прошивка UEFI перейдет в режим User, а в некоторых прошивках это еще автоматом включит SecureBoot режим. Вы должны быть уверены, что прошивка UEFI позволит вам вернутся в Setup режим и/или удалить PK.

Некоторые прошивки требуют перезагрузки для применения этих изменений в переменных UEFI. Прежде чем вы выполните перезагрузку, обязательно подпишите ваш загрузчик, иначе просто ничего не загрузится, ведь SecureBoot активирован и в db прописан ключ, которым будет проверяться подпись любого кода, который будет загружаться UEFI.

Подписывание загрузчика

Т.к. мы активировали SecureBoot, то теперь нам нужно подписать наш загрузчик что бы он мог быть загружен UEFI в этом режиме.
В нашем примере мы подпишем код загрузчика GRUB2.

Это не рекомендуется в работающих системах, т.к. код этого загрузчика довольно регулярно обновляется, подписывать его придется каждый раз после обновления!

$ sbsign --key test-key.rsa --cert test-cert.pem \
        --output grubx64.efi /boot/efi/EFI/ubuntu/grubx64.efi
$ sudo cp /boot/efi/EFI/ubuntu/grubx64.efi{,.bak}
$ sudo cp grubx64.efi /boot/efi/EFI/ubuntu/

Теперь, можно скрестить пальцы, плюнуть три раза через левое плечо и попробовать перегрузиться

Возврат в режим Setup

Переключаться обратно в режим Setup лучше всего из прошивки UEFI, однако теоретически это возможно и внутри OS. Т.к. мы имеем секретный ключ от нашего PK, мы можем попробовать вернуть UEFI из режима User в режим Setup. Для этого потребуется подготовить пустой ключ и записать его в переменную PK:

$ : > empty
$ sbvarsign --key test-key.rsa --cert test-cert.pem \
        --attrs NON_VOLATILE,BOOTSERVICE_ACCESS,RUNTIME_ACCESS \
        --include-attrs --output empty.PK.signed PK empty
$ sudo dd bs=4k if=empty.PK.signed \
        of=/sys/firmware/efi/vars/PK-8be4df61-93ca-11d2-aa0d-00e098032b8c

Хотя лучше убедиться, что вернуть UEFI в режим Setup можно из самой прошивки (утилиты настройки) перед тем как прописывать PK.

Как Ubuntu загружается в режиме Secure Boot

Как уже было сказано выше, сертификаты с ключами для загрузки в режиме Secure Boot записываются производителем оборудования (довольно подробно о ключах UEFI (англ.)). И, как правило, набор сертификатов состоит из: сертификата производителя, KEK и db ключей от Microsoft (конечно же). Крайне редко, но все же попадаются такие машины, у которых в db есть и ключ от Canonical и/или RedHad. Как же на машине c ключами только от Microsoft загрузить Ubuntu в режиме SecureBoot?
Решение было найдено: Microsoft согласился (не без активности со стороны Canonical) подписать своим ключом простенький загрузчик от Red Hat — shim (есть еще мини-загрузчик — PRELoader, о его подписании ключом Microsoft похлопотал фонд FSF).
Shim, в свою очередь, содержит (в MOK) UEFI сертификат от Canonical и проверяет подпись GRUB2 (версия которого, распространяемая через репозитории Ubuntu, подписана ключем Canonical). А GRUB2 проверяет подпись ядра (из пакета linux-signed-generic, которое подписано Canonical).

Введение дополнительного звена в виде shim продиктовано тем, что GRUB довольно часто обновляется и каждый раз после обновления его надо подписывать. Само собой, его гораздо проще подписать собственным ключом Canonical нежели каждый раз снова договариваться с Microsoft.

Если вы не хотите оставлять сертификаты Microsoft и производителя на своей машине¹⁶⁾, то из утилиты настройки вашей материнской платы или с помощью утилит efitools можно стереть сертификаты прописанные производителем, и записать в UEFI (db) ключ от Canonical, тогда уже Grub (так же как и само ядро Linux) сможет загружаться в режиме Secure Boot, и shim (со своим MOK) — не нужен.

Если вам не хочется даже сертификат от Canonical оставлять в своем компьютере¹⁷⁾, то вы можете создать свои собственные ключи и сертификаты (как описано выше), подписать grub или само ядро Linux (утилитой sbsign из пакета sbsigntool) и записать ключи в базу данных ключей EFI (утилитами efitools).
Подробно этот процесс описан выше и тут (англ.).

ВНИМАНИЕ, если ваш компьютер не позволяет отключить Secure Boot режим, то все манипуляции с ключами и подписями нужно проделывать с предельной осторожностью, т.к. любая ошибка может привести к тому, что ваш компьютер превратится в «кирпич»!!!

Проверяйте все ваши настройки, проверяйте, что в UEFI записаны именно те ключи, что вы хотели и не забудьте проверить правильность подписей.

Хорошая идея: проделать все сначала на виртуальной машине.

ВНИМАНИЕ, если вы организовали загрузку GRUB (или другого загрузчика что вы используете) на основе только своего собственного ключа, то внимательно следите за обновлениями: при обновлении GRUB вам необходимо подписать новую версию GRUB своим ключом, иначе он не загрузится в Secure Boot режиме.

Несколько слов о ISO образе UBUNTU. Он — гибридный, на нем в мастер запись стандарта ISO9660 (CD/DVD формат дисков) внедрена MBR запись.
Используется одновременно два загрузчика:

isolinux (вариант загрузчика syslinux) он используется для загрузки в BIOS режиме и размещается в MBR и специальной загрузочной записи ISO9660 стандарта, подробнее — тут).
grub (вариант grub-efi) он используется для загрузки в UEFI режиме.

EFS раздел (необходимый для загрузки в UEFI режиме) прописан и в таблицу разделов в MBR, и в каталог разделов iso9660 формата. По UEFI стандарту загрузчик по умолчанию должен находится в EFS разделе по пути: EFI\BOOT\BOOTx64.EFI

Такой «винегрет» позволяет грузиться с такого образа в следующих режимах:

в режиме BIOS/SCM
1. как с CD/DVD (код isolinux берется из загрузочной записи ISO9660 стандарта)
2. как с HDD/USB-Flash (код isolinux берется из MBR)
в режиме UEFI
1. как с CD/DVD (EFS раздел находится в каталоге записей ISO9660, и оттуда запускается EFI\BOOT\BOOTx64. EFI)
2. как с HDD/USB-Flash (EFS раздел находится в таблице разделов MBR, и оттуда запускается EFI\BOOT\BOOTx64.EFI)

Кстати в EFI\BOOT\BOOTx64.EFI (EFI\BOOT\BOOTia32.EFI для 32-х битных платформ) лежит не сам GRUB, а SHIM. Сам grubx64.efi/grubia32.efi (начальная стадия grub-efi) лежит рядом (в EFI\BOOT\) и его запускает SHIM. SHIM имеет валидную подпись ключом от Microsoft для загрузки в режиме SecureBoot, что позволяет загрузиться из образа на большинстве компьютеров.

Такой образ легко записать на флешку простой командой:

ВНИМАНИЕ! запись таким способом приводит к потере данных ранее хранившихся на флешке

sudo cp <путь и имя образа UBUNTU>.iso /dev/sd<буква девайса под которой в компьютере видна флешка>

Второй параметр — именно девайс, а не раздел. Посмотреть диски и разделы можно в выводе команды

sudo fdisk -l

Образ Ubuntu копируется начиная с первого сектора устройства, MBR и таблица разделов ISO9660 стандарта попадают в необходимые для их правильной работы места, что позволяет с загрузиться с такой флешки как c USB-СD/DVD и как с USB-HDD/USB-Flash. Причем в обоих вариантах доступна загрузка как в UEFI, так и в BIOS/CSM режимах.

Другие интересные возможности UEFI

UEFI Shell

UEFI shell часто уже установлен в разделе ESP или прямо в прошивке UEFI. Некоторые UEFI прошивки умеют загружать командный интерпретатор UEFI прямо из консоли настройки UEFI (BIOS).

Если вы ставили Ubuntu на чистый диск, а в прошивке нет встроенного UEFI shell, то его можно доставить руками. Сам бинарный файл легко находится через любой поисковик. Вам нужно будет только скопировать его в корень ESP раздела с именем shellx64.efi (для 32-х битных платформ: shellx32.efi). Само собой копировать надо через sudo (т.е. с правами root).

В режиме загрузки SecureBoot для загрузки UEFI Shell потребуется:

Либо отключать для его загрузки режим SecureBoot
Либо подписать бинарный код UEFI Shell парным секретным ключем от одного из ключей записанных в переменной db базы данных ключей UEFI.

Если из настроек UEFI нет возможности запустить UEFI shell, то можно его прописать как вариант загрузки (как вы помните UEFI поддерживает мульти-загрузку). Для этого воспользуемся утилитой efibootmg:

# efibootmgr -c -l \\shellx64.efi -L UEFIshell

После этой команды у вас появится новый пункт меню загрузки UEFI, и это новый пункт станет первым по приоритету. Если такой приоритет загрузки вас не устраивает, то поменяйте его с помощью опции «-o» утилиты efibootmgr.

Справочник по командам UEFI shell встроенный — команда help. Если вы хотите останавливать вывод постранично (некий аналог more) то используйте в командах ключ -b. Кроме того поддерживается история вывода на 3 страницы которые можно просмотреть используя кнопки PageUp и PageDown.

Команда map покажет известные UEFI диски и разделы. Обычно диск fs0: — это и есть раздел ESP. Для того, что бы просмотреть содержимое каталогов ESP раздела (ls) выполните переход на ESP раздел — введите в строке приглашения fs0: — это очень похоже на dos команды типа а: с: (если кто еще помнит такое).

Разделитель в путях тоже в стиле DOS — обратный слеш (\).

EFI shell имеет довольно обширный набор команд, все их тут описывать смысла нет — если не достаточно встроенной подсказки, то есть краткие руководства в Internet. Наиболее полное писание UEFI Shell и его команд я нашел только в спецификации UEFI Shell 2.0 на сайте UEFI.org.

Загрузка ядра Linux непосредственно из UEFI

Если вы взгляните в файловом менеджере на ядро (/boot/vmlinuz*) то вы можете немало удивиться, заметив что тип будет указан как «DOS/Windows executable» — не удивляйтесь. Все последние ядра в Ubuntu собираются с опцией UEFISTUB (поддержка загрузки в режиме UEFI). А это добавляет заголовок аналогичный ДОСовскому .exe (именно так должны собираться все UEFI приложения). Т.е. само ядро можно загрузить как UEFI приложение. Для этого нужно разобраться с двумя основными вопросами:

1. Как правильно передать ядру параметры? Т.е. указать на корневую файловую систему, образ initrd, и указать опции загрузки ядра.
2. Как обеспечить UEFI доступ к самому ядру (и initrd)?

По первому пункту все достаточно просто: параметры, которые нужно передать ядру для загрузки можно подсмотреть в /boot/grub/grub.cfg, в команде загрузки linux (там стандартно передаются указание на корневой раздел и опции типа «ro», «quiet» и «splash»). Дополнительно ядру надо будет сообщить, где найти initrd (в ядрах версии 3.3 и выше это можно сделать через параметр intrd). В итоге, та команда, которую должен выполнить UEFI будет выглядеть примерно так:

vmlinuz.efi root=UUID=0160863a-1468-422b-8bbb-f80e98e3600d ro quiet splash initrd=initrd

В этом примере ядро и initrd лежат непосредственно в корне ESP раздела. Ядро переименовано в «vmlinuz.efi», а соответствующий ему образ рамдиска начальной инициализации ядра в «initrd». В команде указан UUID (моего корня, вам нужно прописать свой UUID) как путь к корневому разделу, но можно написать и что-то типа root=/dev/sda2 (UUID все же — лучше).

Если нужно организовать загрузку в режиме SecureBoot, то придется решить еще вопрос и с подписью ядра. Возможны два варианта:

Использовать подписанное Canonical ядро (пакет linux-signed-generic из репозитоиев Ubuntu). В этом случае сертификат от Canonical должен быть помещен в переменную db базы данных ключей UEFI.
Подписывать ядро своим собственным ключем, сертификат (с публичной частью ключа) которого размещен переменной db базы данных ключей UEFI.

В первом варианте — для загрузки из UEFI нужно использовать подписанный вариант ядра (vmlinuz*.efi.signed).
Во втором варианте нужно организовать (это можно даже автоматизировать) подписывание каждого нового ядра, которое приходит с обновлениями системы.

Некоторые сложности может вызвать указание пути к initrd. Ядра выше 3.3 вообще не различают прямые и обратные слеши в параметре initrd, но нужно указать такой путь, что бы ядро смогло найти initrd при загрузки в окружение UEFI.

В целом, нам необходимо организовать доступ из UEFI и к ядру, и к initrd (напомню: UEFI имеет доступ только к ESP разделу и умеет работать только с файловой системой FAT32). Это может быть решено одним из трех вариантов:

Вариант 1: Загрузить ядро и intrd непосредственно из корневого раздела или раздела boot

Для этого нужно загрузить в UEFI драйвер для поддержки той файловой системы, в которую отформатирован ваш корень или /boot. (UEFI «из коробки» знает только FAT32, драйвера для чтения других FS можно найти например тут).

Вот какие команды надо выполнить в UEFI Shell для загрузки ядра прямо из корня, находящегося на разделе с EXT4 (boot не вынесен в отдельный раздел).
— загрузить драйвер поддержки ext2-3-4 (в нашем примере он был предварительно размещен на ESP разделе в каталоге EFI/drivers)

load fs0:\EFI\drivers\ext2_x64.efi

ВНИМАНИЕ: Если UEFI функционирует в режиме SecureBoot, то драйвер также необходимо подписать одним из ключей находящихся в списке ключей db, иначе ему будет отказано в загрузке!

— смонтировать корневую FS (эта команда пытается все доступные устройства смапить всеми доступными драйверами)

map -r

— перейти (изменить текущий путь) в новую FS

fs1:

— запустить ядро с параметрами

vmlinuz root=UUID=0160863a-1468-422b-8bbb-f80e98e3600d ro queit initrd=initrd. img

В этом примере я воспользовался тем, что в корне корневой FS автоматически создаются линки на самую свежую версию установленного ядра и его initrd. Перейдя (сменив текущий путь) в корневую ФС мне уже не нужно мудрить с указанием полного пути к ядру и initrd — они находятся в текущем каталоге (из которого и запускается ядро).

Все эти действия можно записать в скрипт (для скриптов UEFI Shell принято расширение .nsh), и запускать ОС вызвав его. К сожалению, непосредственно скрипт файл нельзя указать как исполняемый файл в пункте меню загрузки UEFI. Согласно спецификации UEFI Shell может исполнить скрипт, имя которого передано ему как параметр, но мне это сделать не удалось. UEFI Shell может автоматом исполнить (после паузы) скрипт startup.nsh, находящийся в корне ESP раздела (можно записать эту последовательность команд туда).

Но можно пойти другим путем. Спецификация UEFI поддерживает автоматическую загрузку драйверов при загрузке системы. А это собственно и есть то, что нам нужно для того, что бы получить доступ к файловой системе с ядром без скрипта. Однако и тут есть один подводный камень.

Дело в том, что просто загрузить драйвер — недостаточно, нужно еще вызвать процедуру ремаппинга устройств (т.е. выполнить ту самую команду map -r). При ремапинге каждый драйвер пытается «прицепиться» ко всем доступным устройствам, т.е. наш драйвер EXT2-4 сделает доступными все разделы на всех дисках с файловыми системами EXT2-4.

Добавить автоматическую загрузку драйвера можно командой

sudo efibootmgr -crl "EFI\drivers\ext2_x64.efi" -L "EXT2-4 Driver"

То же самое можно сделать командой bcfg из UEFI-Shell. Следующая команда добавит пункт загрузки Driver0000 (номер задает первый аргумент команды add), который будет загружать драйвер из файла EFI\drivers\ext2_x64.efi (с ESP раздела). Драйвер получит описание «EXT2-4 Driver»:

bcfg driver add 0 EFI\drivers\ext2_x64.efi "EXT2-4 Driver"

Все замечательно и этот драйвер, при каждом запуске системы, будет загружаться во время инициализации UEFI автоматически, но ремапинга не будет. Для того, чтобы после загрузки драйвера инициировать ремапинг нужно в опции загрузки драйвера указать специальный атрибут LOAD_OPTION_FORCE_RECONNECT, однако ни одной командой UEFI-Shell или опцией efibootmgr этот атрибут не установить (по крайней мере мне не удалось найти такой команды). Перелопатив спецификацию UEFI можно понять, что нужно то всего прописать значение 3 вместо 1 в первом 32-битном слове UEFI переменной отвечающей за загрузку драйвера (той самой Driver0000, что мы создали командой bcfg или efibootmgr). Сделать это изменение можно любым HEX редактором (из загруженной системы), запущенным с правами рута, в котором на редактирование открывается файл /sys/firmware/efi/efivars/Driver0000-8be4df61-93ca-11d2-aa0d-00e098032b8c (это маппинг в файловую систему sys переменной UEFI). В редакторе нужно 5-й байт от начала поменять с значения 01 на 03 и сохранить файл.

После серии окирпиченных патчем Бармина машин (см. ниже эту замечательную историю) все UEFI переменные теперь защищены от изменений специальным атрибутом. Снять его перед редактированием можно командой chattr -i от рута.

Хорошим тоном будет вернуть защиту после редактирования командой chattr +i

Я конечно понимаю, что такой хакерский метод — это уже просто за гранью разумного для большинства пользователей UBUNTU, но пока мне не удалось найти другого пути задать атрибут LOAD_OPTION_FORCE_RECONNECT в опции загрузки драйвера. Поэтому я завел ишью на гитхабе с просьбой авторам efibootmgr реализовать эту возможность. Позднее я даже оформил PR (Pull Request) с реализацией этой возможности. Однако этот PR добавили в мастер ветку только 7 месяцев спустя. И, видимо, эта новая возможность efibootmgr появится в версии 17.

После нашей хакерской атаки на UEFI можно перегрузиться в UEFI-Shell и там прямо при запуске увидеть, что все EXT4 разделы уже отмаплены в FS<n> «диски», а значит на них можно сослаться при задании команды загрузки для опции загрузки ОС.
В моем примере EXT4 раздел с корневой FS отмапился в FS2. А это позволяет задать в опции загрузки (используя команду bcfg из UEFI-Shell или efibootmgr из загруженной системы) команду такого вида:

FS2:\vmlinuz root=UUID=0160863a-1468-422b-8bbb-f80e98e3600d ro queit initrd=FS2:\initrd. img

Если вы все сделали правильно и не забыли подписать драйвер (если у вас включен SecureBoot), то поле перезагрузки система успешно должна загрузится прямо с вашего корневого раздела.

В принципе, несмотря на некоторую сложность этого метода в реализации, это САМЫЙ ПРАВИЛЬНЫЙ вариант загрузки ядра Linux из UEFI.
Дополнительные удобства создают постоянно обновляемые ссылки на последнее и предыдущее ядра и их initrd в корне файловой системы Linux. На них можно однократно создать пункты загрузки UEFI и не нужно никаких обновлений после установки/удаления ядер и обновления initrd. Также однократно надо скопировать в EFS раздел драйвер для ФС корня и однократно настроить его загрузку.

Вариант 2: Скопировать ядро и intrd в ESP раздел

Преимущество в том, что не нужно мудрить с организацией поддержки другой FS. Однако, каждый раз при обновлении ядра или initrd их нужно вновь копировать в ESP раздел. Решить задачу автоматизации этого процесса можно одним из методов описанных в этой статье (англ. ) или подобно тому как это реализовано в проекте UEFI Boot.

Вы можете выполнить команду запуска ядра из UEFI Shell, или записать ее в командный файл и запускать его из UEFI Shell, или, воспользовавшись утилитой efibootmgr, записать эту команду как пункт меню загрузки UEFI:

# efibootmgr -c -l vmlinuz.efi -u "root=UUID=0160863a-1468-422b-8bbb-f80e98e3600d ro quiet initrd=initrd" -L LinuxKernel

Эта команда добавит пункт загрузки LinuxKernel и сделает его первым в списке приоритета загрузки.

Вариант 3: Смонтировать ESP раздел как /boot

Преимущества этого решения в том, что новые ядра и initrd будут находится (устанавливаться и обновляться) прямо на ESP раздел (который станет одновременно boot разделом). Правда, неприятность в том, что название файла с ядром и initrd есть версия, и для каждого нового ядра нужно заново прописывать команду в пункт загрузки UEFI. Можно, конечно, переименовать в короткие имена (которые однократно будут записаны в пункты загрузки UEFI), однако переименование приводит нас к ситуации близкой к предыдущему случаю — initrd будет при обновлении снова получать номер версии и его каждый раз придется переименовывать. Воспользоваться автоматически создаваемыми ссылками в корневом разделе — не получится (они останутся в файловой сиcтеме корневого раздела, к которому нет доступа без доп. драйверов), а создать ссылки на FAT разделе — невозможно (этого FAT просто не умеет от рождения).

Команда для записи пункта загрузки UEFI через утилиту efibootmgr не отличается принципиально от той, что указана для способа с копированием ядра в ESP раздел:

# efibootmgr -c -l vmlinuz-3.12.0-22-generic -u "root=UUID=0160863a-1468-422b-8bbb-f80e98e3600d ro quiet initrd=initrd.img-3.12.0-22-generic" -L Ubuntu-3.12.0-22-generic

Более детальная проработка этого варианта описана в отдельной статье UEFI Boot. Там реализовано автоматическое обновление пунктов загрузки UEFI при установке, обновлении и удалении ядер.

Загрузка, организованная одним из вышеописанных способов, не требует наличия загрузчика (GRUB и Shim можно и нужно удалить из системы), ведь мы передаем UEFI все функции загрузчика ОС.

Устранение из процесса загрузки загрузчиков (оригинально это цепочка из двух: shim + GRUB) заметно (но не так что бы очень значительно) сокращает время загрузки ОС. Вот как это выглядит в цифрах на примере одного mini-pc (I5 5257U, 8Gb RAM, SSD): утилита systemd-analyze сообщает, что на стадию работы загрузчиков в случае цепочки UEFI-Shim-GRUB-Kernel требуется чуть меньше секунды — 967ms, а на прямую загрузку UEFI-Kernel — 153ms. При полной (холодной) загрузке системы за ~14 секунд выигрыш составляет порядка 6%.

Полезные утилиты для UEFI

В стандартных репозиториях Ubuntu есть несколько полезных пакетов с утилитами для работы с настройками UEFI.

efibootmgr — утилита, которой можно менять настройки загрузки UEFI, в частности: настраивать приоритет загрузки, создавать/изменять/удалять загрузочные записи UEFI.
efivar — простая утилита для работы с переменными UEFI.
efitool — набор утилит и efi-приложений для работы с ключами/сертификатами, используемыми при загрузке в режиме Secure Boot.
sbsigntool — утилиты для подписывания и проверки подписей UEFI-приложений, для организации загрузки в Secure Boot режиме.

У всех этих утилит есть вполне толковые man-руководства и есть примеры использованию в Интернете, поэтому я не стану останавливаться на деталях использования этих утилит.

🙂 Патч Бармина живе всех живых

Ну и напоследок, последняя «веселая» история связанная с бородатым (по некоторым сведениям 1996 года рождения) патчем Бармина.

В конце января 2016 некий арчевод решил посмотреть — как работает этот известный патч.
И он старательно вписал в команду даже специальный ключ, без которого этот патч уже не запускается… Ну… и получил кирпич из своего MCI нетбука — он даже после сброса не включился!

Как нетрудно догадаться корень беды — в кривой прошивке UEFI. Патч вытер вместе с корнем еще и переменные UEFI в NVRAM, которые монтируются в /sys/firmware/efi/efivars/, но принципиально это не могло быть проблемой, потому как стандартом UEFI предусматривается нарушение целостности данных в NVRAM: при обнаружении такой ситуации прошивка ОБЯЗАНА осуществить инициализацию NVRAM до состояния настроек по умолчанию/фабричных (Factory Default).
Но вот в MCI решили забить на проверку целостности NVRAM, и незадачливый арчевод потащил свой ~~нетбук~~ кирпич в сервис.

После этой новости состоялся наезд на разработчиков SystemD (ну на них многие любят наезжать и ругаться, а те собственно сами довольно часто дают повод для вполне обоснованной и справедливой ругани в свой адрес): мол какого лешего, SystemD монтирует эти переменные с возможностью записи!? Давайте типа быстро переделайте на монтирование в режиме только-чтение. На что был дан резонный ответ — доступ на запись нужен утилитам, и разрешена запись только руту, который при желании премонтирует эти переменные в режиме записи. Так что, это не защитит от ~~идиотов~~ ~~дураков~~ «умников», которые экспериментируют с патчем Бармина.

Правда позже некоторые контрмеры все-таки были предприняты: теперь все UEFI переменные монтируются со специальным атрибутом, который запрещает запись и удаление этих файлов даже руту. Однако root в состоянии снять эти флаги (сhattr -i <имя файла>). Так что теперь для повторения судьбы арчевода с ноутбуком MCI нужно не только специальный ключ в команде rm -rf задавать, но еще и предварительно снять защиту с перемнных UEFI.

Самое же примечательное в этой ситуации ИМХО в том, что 20 лет назад отпущенная шутка, до сих пор стреляет, да еще с невиданной доселе мощью.

Т.е. если раньше патч успешно уничтожал ОС на компьютере, то теперь стало возможным еще и вывести из строя компьютер (при кривой реализации UEFI).

Ссылки

Обсуждение на форуме
Википедия о UEFI
Википедия о GPT
Очень подробная Wiki по UEFI (к сожалению не полностью переведенная на русский язык)
Очень толковая статья о SecureBoot и методах борьбы с ним.

uefi,
boot

¹⁾

Не смущайтесь тем, что во многих местах UEFI упоминается как EFI — по сути это не совсем правильно, но по факту — речь об одном и том же.

²⁾

на самом деле ESP раздел может быть и во флеш-памяти и даже на сетевом хранилище, но эта экзотика (предусмотренная стандартом) вряд ли будет востребована простыми пользователями

³⁾

в UEFI используются обратные косые в качестве разделителей

⁴⁾

Виндовый загрузчик размещается в EFI\Microsoft\Boot\Bootmgfw. efi

⁵⁾

это стандартный размер сектора, который и по сей день фигурирует как логический, хотя практически все современные диски имеют физический размер сектора 2048, 4096 или даже 8192 байта

⁶⁾

теоретически неограниченное количество, т.к. каждый логический раздел содержит указатель на начало следующего

⁷⁾

который уже не обойти такими выкрутасами как с расширенным разделом и логическими томами

⁸⁾

или на первые 2ТБ, если диск имеет объем более чем 2ТБ

⁹⁾

Само собой, в таблицу разделов можно добавить еще 3 записи, это хоть и делает возможной загрузку кодом из MBR, но создает ситуацию, при которой на диске одновременно действуют две таблицы разделов разного формата. Такие гибридные системы удается реализовать энтузиастам, но массовому пользователю использовать такие схемы не рекомендуется в виду сложности настройки и поддержания работоспособности такой системы

¹⁰⁾

в зависимости от того с какого сектора начинается первый раздел, обычно это либо 64 сектор либо 2047 секторов

¹¹⁾

это та самая, для которой на материнской плате стоит батарейка, хотя в последнее время батарейка чаще ставится только для часов реального времени, а энергонезависимую память обеспечивает флеш-память

¹²⁾

RFC3161

¹³⁾

Зависит от реализации, т. к. в стандарте это не оговорено

¹⁴⁾

для установки выполните: sudo apt-get install efitools

¹⁵⁾

Если ваша прошивка предоставляет опцию установки/восстановления фабричных ключей, то свою резервную копию фабричных ключей вам создавать не обязательно.

¹⁶⁾

не станем называть это паранойей… кто там знает, что могло быть подписано парными ключами от тех, что лежат в этих сертификатах…

¹⁷⁾

ну… и это тоже — не будем считать паранойей…

Что делать, если при включении компьютера открывается BIOS

Сама по себе ситуация, когда компьютер без ведома пользователя при включении запускает BIOS, встречается достаточно редко. Если исключить случайное нажатие клавиши, инициирующей запуск микропрограммного кода, ответственного за работу базовой системы ввода-вывода (именно так расшифровывается эта аббревиатура), то можно утверждать, что это довольно серьёзная проблема. Особенно в тех случаях, когда она происходит часто или вообще не позволяет стартовать операционной системе. Но у каждой проблемы имеется своё решение, а в случае с компьютером – и не одно.

Почему при включении ноутбука или ПК запускается BIOS

Автоматический запуск BIOS является превентивным механизмом, в большинстве случаев свидетельствующим о проблемах с железом. Но нужно учесть, что не все производители предусматривают возможность остановки загрузки компьютера с открытием BIOS – в подобных случаях ПК просто зависает или уходит в циклическую перезагрузку, что ещё больше усложняет диагностирование проблемы.

Автоматический запуск микропрограммы как бы свидетельствует о том, что с компьютером не всё в порядке и штатный запуск системы невозможен. Рассмотрим основные причины возникновения такой неприятной ситуации:

банальное залипание клавиши или неисправность клавиатуры. Клавиатуру никак нельзя назвать герметичным устройством ввода информации: со временем под клавишами неизбежно накапливается пыль и мелкий мусор, которые при попадании влаги превращаются в липкую инстанцию. Но если выносную клавиатуру можно почистить, да и то далеко не всегда, то у ноутбуков это очень серьёзная проблема, приводящая к залипанию клавиш. И если это клавиша, ответственная за вход в BIOS, то вот вам и истинная причина;
не все знают, что настройки BIOS хранятся в энергозависимой памяти, а источником питания является обычная батарейка в виде таблетки. Почему, спросите вы? Дело в том, что при таком способе хранения данных нет проблем с их частым изменением, и, хотя сегодня есть и альтернативные решения (взять ту же флеш-память), по традиции все материнские платы используют именно такую устаревшую технологию. Поскольку объём памяти, в которой хранятся базовые настройки, невелик, (от 256 байтов до килобайта), заряда батарейки достаточно для 5-7 лет работы. Неисправность батареи – наиболее частая причина запуска BIOS при старте системы, опытные пользователи знают об этом;
к таким же последствиям может привести сбой настроек BIOS, например, при частых отключениях электричества. Обычно при включении компьютера микропрограмма начинает тестировать оборудование, сравнивая конфигурацию ПК с теми значениями, которые записаны в энергозависимой CMOS-памяти. И если они из-за произошедшего сбоя не совпадают, автоматически запустится BIOS, возможно, с выводом сообщения, указывающего на источник проблем. Но не обязательно;
наконец, вход в BIOS осуществляется при серьёзных проблемах с железом, не позволяющих компьютеру работать в штатном режиме. Примером таких проблем можно назвать отсутствие носителя с ОС, недопустимый разгон процессора или оперативной памяти и прочее.

В большинстве случаев проблема решаема, и сейчас вы узнаете, что для этого нужно сделать.

Как исправить открытие BIOS при включении компьютера

Если для некоторых проблем решение может быть единственным (например, если села батарейка, питающая CMOS), то при сбое настроек придётся перепробовать немало вариантов, прежде чем найти причину, почему при запуске компьютера открывается BIOS, и устранить её.

Включение Launch CSM (режим совместимости BIOS/UEFI)

Напомним, что в новых компьютерах используется усовершенствованная версия BIOS, UEFI. Её поддержка реализована, начиная с Windows 7, но ранние релизы могут и не поддерживать UEFI. В таких случаях необходимо убедиться, что активирована функция Launch CSM, как раз и призванная обеспечивать совместимость со старыми операционными системами.

Итак, нам нужно найти и деактивировать опцию Secure Boot, перезагрузить ПК, снова войти в BIOS, если такой вход не осуществился автоматически, и активировать функцию Launch CSM. После перезагрузки компьютер должен стартовать в штатном режиме.

Если включение Launch CSM не помогло, нужно зайти в раздел Boot Device Control и поэкспериментировать с переключением присутствующий там опций (UEFI&Legacy/ LegacyOnly/UEFIOnly).

Некоторые BIOS/UEFI могут иметь функцию выбора типа ОС, и если у вас установлена операционная система, не поддерживающая UEFI, нужно просто выбрать опцию Other OS.

Проверка дискового накопителя

По окончании тестирования железа BIOS ищет на подключённом системном носителе главную загрузочную запись, и именно с MBR происходит загрузка операционной системы. Если MBR не найдена или накопитель не обнаружен на этапе тестирования, BIOS отреагирует соответствующим образом, сообщив о проблеме.

В таких случаях нужно убедиться, что в разделе Main имеются сведения о подключённых дисках. Если таких записей нет, стоит попробовать демонтировать HDD (или твердотельный накопитель) и вставить его в другой компьютер, чтобы убедиться в его физической исправности.

Второй вариант – загрузиться с загрузочного носителя и запустить утилиту тестирования дисков, например, Victoria (требует наличия соответствующего опыта) или CrystalDiskInfo. В случае наличия значительных проблем накопитель подлежит замене.

Проверка подключения дискового накопителя

Если диск не определяется, существует вероятность, что он исправен, просто возникли проблемы с интерфейсом: ослабло крепление шлейфа, соединяющего накопитель с материнской платой.

Выключаем ПК, снимаем боковую крышку, отсоединяем шлейф, убеждаемся в отсутствии пыли на коннекторах разъёма, подключаем снова, убеждаемся, что BIOS увидел диск. Если нет, пробуем подключить шлейф к другому разъёму на материнской плате или используем другой кабель, новый или тот, который точно рабочий.

Сброс настроек BIOS

Достаточно часто BIOS запускается при включении ПК/ноутбука из-за сбоя настроек, произошедших в результате пропадания питания или неправильного выключения компьютера. Иногда к таким же результатам приводят преднамеренные эксперименты с настройками микропрограммы (любопытство – качество полезное, но не всегда).

Лечится это достаточно проста: в разделе «Exit» должен присутствовать параметр Load Default, выбираем его, жмём Enter и подтверждаем свой выбор.

В некоторых случаях для сброса к заводским настройкам приходится вынимать и ставить на место батарейку, гарантированно обнуляющую пользовательские настройки.

Замена батарейки

Если при включении компьютер постоянно заходит в BIOS, но после выхода из него ПК работает нормально – это говорит о севшей батарейке. Если компьютер нормально работает с заводскими настройками, то единственным проявлением именно такой неисправности будет сбой настроек даты и времени, если нет, то возможно появление сообщения типа CMOS checksum error.

Проблема «лечится» заменой батарейки, при этом покупать элемент питания нужно только такого же типа, ориентируясь на его маркировку.

Настройка раздела Boot (выставление правильного приоритета загрузки)

Время от времени случаются ситуации, требующие изменения порядка загрузки ОС (к примеру, при загрузке с флешки или с другого диска), и достаточно часто пользователи забывают вернуть правильные настройки. В таких случаях BIOS пытается следовать установленному приоритету, но, не найдя загрузочной флешки, автоматически запускается. Всё, что нам нужно сделать для устранения проблемы, – перейти в раздел Boot menu и изменить порядок загрузки на правильный.

Пустой диск (на котором нет операционной системы)

Повреждение системного накопителя не обязательно бывает аппаратным: файловая система плохо защищена от манипуляций владельца или внешних воздействий, и если повреждены файлы, относящиеся к операционной системе, её загрузка станет невозможной. В таких случаях нужно просто переустановить ОС.

Проверка клавиатуры

Как мы уже говорили, клавиши со временем могут начать залипать, особенно это касается редко используемых клавиш, в число которых входят и кнопки вызова BIOS (Del, F2 или иные, в зависимости от версии BIOS).

Если постукивание по клавишам временно решило проблему, клавиатуру нужно почистить или заменить. Самостоятельная чистка не рекомендуется, а в случае с ноутбуков настоятельно не рекомендуется – лучше доверить эту работу специалисту.

Выключение компьютера

Даже при исправной батарейке нельзя исключить, что при загрузке ПК произошёл сбой в работе BIOS (неважно, на каком этапе – чтения данных из CMOS или тестирования железа). Попробуйте выключить ПК, обязательно с отключением кабеля питания, с последующим включением секунд через 8-10. Если у вас ноутбук, нужно также вытащить батарею на такое же время.

Сохранение настроек

Если ПК или ноутбук при включении сразу запускает BIOS, возможной причиной может быть внесение изменений в настройки (к примеру, при замене оборудования) и выход без их сохранения.

Лечится просто – «правильным» выходом из BIOS с сохранением текущих настроек.

Обновление BIOS

Иногда ситуацию можно исправить, выполнив перепрошивку BIOS. Дело в том, что эта микропрограмма тоже обновляется. Не так часто, как Windows, и всё же стоит зайти на официальный сайт разработчика и оценить, имеются ли более свежие версии. Если да, скачайте их, обычно вместе с прошивкой идёт и детальная инструкция.

Отметим, что на старых компьютерах перепрошивка в домашних условиях может оказаться невозможной.

Перегрев компьютера

Если во время работы компьютер неожиданно ушёл в перезагрузку и при этом включилась BIOS, вероятной причиной такого поведения может быть перегрев центрального процессора, особенно если он подвергся разгону. Дайте компьютеру остыть примерно на 30 минут, а если ситуация повторится, убрать запуск BIOS при включении компьютера можно чисткой внутренностей ПК от пыли, может потребоваться замена термопасты.

Настройка даты и времени

Если батарейка практически исчерпала свой ресурс, данные, хранимые в памяти CMOS, могут обнулиться, в том числе системная дата и время. BIOS такие ситуации отслеживает, не позволяя загрузиться операционной системе. Ситуацию легко исправить, установив правильные значения даты и времени, но, если она повторится, придётся менять батарейку.

Восстановление загрузчика

Некоторые ошибки файловой системы не являются свидетельством того, что требуется переустановка Windows. Эта ОС имеет механизмы, позволяющие восстанавливать критически важные для стабильной работы операционной системы файлы.

Если эти файлы относятся к загрузчику Windows, то нам потребуется запуск процедуры восстановления ОС с загрузочного диска, где в режиме командной строки потребуется ввести последовательно две команды:

bootrec. exe /fixmbr
bootrec.exe /fixboot

Если после перезагрузки система загрузилась нормально, больше ничего делать не нужно. Если же опять происходит включение BIOS, повторяем процедуру, но с другим набором команд:

bootrec.exe /scanos
bootrec.exe /rebuildbcd

Перезагружаем компьютер, проверяем запуск Windows.

Восстановление системы

Один из самых действенных инструментов, позволяющий решить большинство возникающих проблем, если они не связаны с поломками оборудования – это откат системы до даты, предшествующей дате возникновения проблем.

Если вы не помните, когда впервые произошла ситуация, связанная с заходом в BIOS сразу после включения ПК или ноутбука, возможно, придётся выбирать несколько контрольных точек, при этом нужно понимать, что все установленные позже программы пропадут и их нужно будет устанавливать заново.

Отключение быстрой загрузки

Иногда помогает отключения быстрой загрузки. Эта опция (Fast Boot) присутствует в BIOS в меню Boot (или BIOS Features, или Advanced, в зависимости от версии микропрограммы), ей нужно присвоить значение Disabled.

ВНИМАНИЕ. Опция «Quick Boot», хотя и имеет похожее по смыслу название, никак не относится к функции быстрой загрузки, её трогать не рекомендуется.

Нажатие кнопки Reset до момента загрузки BIOS

Ещё один недокументированный способ добиться желаемого – после включения ПК нажимать кнопку Reset с интервалом в 1-2 секунды. Важно сделать это до загрузки BIOS, возможно, потребуется 4-6 нажатий. Как утверждают пользователи, такие действия могут привести к сбросу определённых настроек BIOS.

Итак, мы рассмотрели самые действенные способы, что делать, если при включении компьютера вместо загрузки Windows 10/8/7 открывается BIOS. Как видим, этих способов довольно много, так что процедура приведения компьютера в порядок может занять немало времени. Но большинство приведённых методов не требует наличия большого опыта – достаточно обычной компьютерной грамотности, чем сегодня могут похвастаться и школьники.

Поддержка cms bios

Главная » Разное » Поддержка cms bios

Поддержка CSM — что это в биосе? (Launch CSM)

Поддержка CSM в биосе — что это такое?

CSM расшифровывается как Launch Compatibility Support Module, переводится примерно как модуль поддержки запуска в режиме совместимости.

Название функции зависит от модели материнской платы, примеры названия:

Launch CSM
CMS Boot
UEFI and Legacy OS
CMS OS

Часто расположение настройки — раздел Boot (либо раздел, в названии которого указано данное слово).

Опция Launch CSM в биосе ASUS:

Разумеется:

Enabled — включено.
Disabled — отключено.
Auto — автоматически режим, в принципе, можно его использовать, если биос корректно распознает тип загрузочной записи (MBR или GPT).

Просто так настройки биоса никогда не изменяйте. Чревато неприятными последствиями, например винда вообще перестанет загружаться!

Настройка в биосе Гигабайт, здесь она называется CSM Support:

Поддержка CSM — включать или нет?

Наверно уже догадались — включать нужно если вы хотите установить старую винду. Но перед этим убедитесь о наличии дров под ваше оборудование, а также учтите, то новые процы все таки лучше работают с Windows 10. Почему? Новейшие инструкции в процессорах. Касается и Intel и AMD.

Кроме отключения CSM еще часто нужно отключать настройку Secure Boot, которая запрещает устанавливать стороннюю операционную, которая отличается от той, которую предусмотрел производитель. Например — человек купил ноут с Windows 8, а семерку или даже десятку установить не может. Причина именно в этой настройке Secure Boot.

Заключение

Выяснили:

Поддержка CSM — режим, при котором могут работать старые виндовсы. Какие? Именно те, которые используют загрузочную запись MBR.
Включать или нет — зависит от ситуации. Нужно установить старую винду — соответственно включать.

Удачи и добра, до новых встреч!

На главную! 08.10.2019

Load Legacy Option Rom (CSM) — поддержка загрузки старых ОС (с фото)

Legacy BIOS Option ROM Allocation Considerations

In Legacy BIOS boot mode, PC architecture constraints are placed on Legacy Option ROM allocation.

These constraints are not placed on UEFI Option ROMs, which are commonly referred to as UEFI drivers.

The system BIOS allocates 128 Kbytes of address space for Option ROMs. This address space is shared between on-board devices and PCIe plug-in cards. This fixed address space limitation is imposed by the PC architecture and not by the BIOS itself.

You can to exhaust the available address space when installing PCIe plug-in cards. When the address space is exhausted, the BIOS displays an Option ROM Space Exhausted message, which means that one or more devices cannot load Option ROMs.

For example, if you install a SCSI PCIe card, you might encounter the following message :

Option ROM Space Exhausted — Device XXX Disabled

By default, all on-board Options ROMs are enabled in the BIOS. However, you can disable most of these Option ROMs, unless they are required to support booting from the associated device or to provide some other boot-time function. For example, it is not necessary to load the Option ROM for the on-board network ports unless you mean to boot from one or more network ports (even then, you can disable the Options ROMs for the remaining ports).

To minimize server boot time and reduce the likelihood of exhausting the available Option ROM address space, disable the Option ROMs for all devices that you do not intend to boot from. Enable Option ROMs only for those devices from which you intend to boot.

Legacy BIOS Option ROM

В режиме загрузки Legacy Option ROM (наследния совместимости) BIOS, архитектура ПК накладываются ограничения на выделение ресурсов.

Эти ограничения не распространяются на UEFI дополнительных ПЗУ (ROMs) , которые обычно называют драйверами UEFI.

Система BIOS выделяет 128 Кбайт адресного пространства для дополнительных Option ROMs — Вариантов загрузок.

Это адресное пространство делится между бортовыми устройствами и PCIe и сменными картами. Эта фиксированная адресное пространство ограничение налагается архитектурой ПК, а не самим BIOS.

Вы можете исчерпать доступное адресное пространство при установке PCIe — съемных плат. Когда адресное пространство исчерпаны, BIOS отображает сообщение исчерпаны ресурсы — (Option ROM Space Exhausted) , это означает, что одно или несколько устройств не может загрузить дополнительных ПЗУ.

Например, если вы установите SCSI PCIe карты, вы можете столкнуться со следующим сообщением:

Option ROM Space Exhausted — Device XXX Disabled

По умолчанию, все на борту Опции диски включены в BIOS. Тем не менее, вы можете отключить большинство из этих дополнительных ПЗУ, если они не требуются для поддержки загрузки с соответствующего устройства или предоставить какую-либо другую функцию во время загрузки. Например, не стоит загружать дополнительного ПЗУ для сетевых портов на борту, если вы имеете в виду, чтобы загрузиться с одного или нескольких сетевых портов (даже тогда, вы можете отключить опции диски для остальных портов).

Чтобы свести к минимуму время загрузки и снизить вероятность исчерпания доступного Option ROM — адресного пространства, отключите диски с которых вы не намерены загрузиться.

ASUSTeK Computer Inc. -Support- Поддержка CPU

PRIME h510I-PLUS/CSM

В следующей таблице показано, какие процессоры совместимы с этой материнской платой

Процессор	Начиная с ревизии	Начиная с BIOS	Примечание
Pentium G5420 (3.8GHz, 2C, L3:4M, 54W, rev.U0)	ALL	1404

Если версия BIOS вашей материнской платы является более новой, чем версия, указанная выше, то вам не нужно обновлять BIOS. Если же версия BIOS вашей материнской платы старше, вам следует скачать и установить новую версию. Напоминаем вам, что процесс обновления BIOS чреват определенным риском, о котором можно узнать на странице «Метод прошивки BIOS», поэтому в случае отсутствия у вас соответствующего опыта мы рекомендуем обратиться за помощью к профессионалу или продавцу компьютерного оборудования.

Часто задаваемые вопросы о драйвере встраиваемой графической и…

BIOS и встроенное ПО

1. Что такое UEFI?

UEFI расшифровывается как Unified Extensible Firmware Interface (унифицированный расширяемый интерфейс встроенного ПО). UEFI заменяет стандартные решения BIOS и отличается более высокой гибкостью, быстродействием, эффективностью и отсутствием ограничений по размеру драйверов. Предзагрузочное встроенное ПО может быть построено на базе 32-разрядной архитектуры, 64-разрядной архитектуры или архитектуры IA64. Двоичная совместимость отсутствует. Модуль поддержки совместимости (CSM) используется для загрузки старых операционных систем и взаимодействия со старым встроенным ПО.

Драйверы страиваемой графической и мультимедийной системы Intel® (Intel® EMGD) для процессоров Intel® Atom™ серии E6xx и блока системных контроллеров Intel® US15W поддерживают драйверы протокола вывода графики (GOP) расширяемого интерфейса встроенного ПО (EFI), включаемые в предзагрузочное встроенное системное ПО UEFI. Драйвер EFI GOP поддерживает быструю загрузку.

2. Совпадает ли Video BIOS (VBIOS) с драйвером протокола вывода графики (GOP)?

Нет. Драйвер GOP (в некоторой документации Intel EMGD также называемый видеодрайвером EFI) представляет собой замену стандартного VBIOS и позволяет использовать предзагрузочное встроенное ПО UEFI без модуля поддержки совместимости (CSM). Существуют ли драйверы Intel EMGD GOP для быстрой загрузки (с оптимизацией скорости и привязкой к платформе) и стандартные драйверы (поддерживающие несколько платформ).

Ниже приведено краткое сравнение GOP и BIOS графической системы:

GOP: нет ограничения в 64 КБ. 32-разрядный защищенный режим. Модуль CSM не требуется. Оптимизирован для скорости (быстрая загрузка).
VBIOS: ограничение в 64 КБ (блок системных контроллеров Intel® US15W) и ограничение 127 КБ (процессоры Intel Atom серии E6xx). 16-разрядные команды. Модуль CSM требуется со встроенным ПО UEFI. Производительность ниже, чем у модуля GOP CSM. vBIOS поддерживает 32-разрядную и 64-разрядную архитектуры.

3. Можно ли использовать VBIOS и драйвер GOP на одной платформе?

Нет.

4. Как связана память vBIOS с адаптером дисплея во встроенной предзагрузочной микропрограмме EFI?

Встроенная память VBIOS связана с ИД устройства PCI VGA (обычно шина 0, устройство 2, функция 0). Эта информация встраивается в предзагрузочное ПО EFI при компиляции или встраивается в изображение через программу для объединения встроенного ПО.

5. Какая версия VBIOS активируется при одновременном использовании внешней видеокарты (например, Matrox*) и внутренней графической системы (например, внутренней системы LVDS)?

Ответ зависит от параметра предзагрузочного ПО EFI. Если параметр «PCI as primary» доступен и включен, то встроенная память VBIOS с карты Matrox активируется. Если параметр «PCI as primary» не включен, активируется Intel EMGD VBIOS. Учтите, что на платформе может работать только один экземпляр vBIOS.

6. Какие существуют сценарии использования vBIOS в Windows* XP?

Windows XP использует VBIOS через прерывание INT 10h для вывода заставки и любых сообщений, пока не загрузятся драйверы графической системы. Учтите, что во время загрузки операционной системы она осуществляет запись изображения непосредственно в буфер кадров, минуя vBIOS. После загрузки драйвера графической системы ОС передает управление vBIOS в полноэкранном режиме DOS и при выводе голубого экрана с отображением информации стека.

7. Поддерживает ли Intel® EMGD версии 1.18 для Windows Embedded* Compact 7 комплект Intel® для разработки загрузчика (Intel® BLDK) на основе UEFI?

Да, он поддерживается платформой на базе процессора Intel® Atom™ серии E6xx.

8. Почему CED создал для процессора Intel Atom серии E6xx 127K VBIOS вместо 64K VBIOS?

VBIOS драйвера Intel® EMGD версии 1.16 (и выше) поддерживает файлы 127K VBIOS для платформы на базе процессора Intel Atom E6xx и 64K VBIOS для блоков системных контроллеров Intel серии US15W. Начиная с Intel EMGD версии 1.16 и выше, 64K VBIOS для процессоров Intel Atom серии E6xx не поддерживается из-за ограничений размера файлов, так как в VBIOS были добавлены новые функции, которые увеличили размер файлов до 64 КБ и выше. Если вам требуется 64K VBIOS, рассмотрите возможность использования пакета VBIOS Intel EMGD версии 1.10 для ОС Windows* XP и Linux* или пакета VBIOS Intel EMGD версии 1.14 для ОС Windows 7, Windows Embedded Standard 7 и Windows Embedded Compact 7.

Объявлена дата окончательных «похорон» BIOS

20 Ноября 2017 17:0720 Ноя 2017 17:07 | Поделиться

Компания Intel намерена отказаться от поддержки BIOS к 2020 г. Четвертая версия интерфейса UEFI под названием Class 3 будет лишена возможности работать с системами и устройствами, требующими наличия этого набора микропрограмм. На практике это означает отказ от 16-битных и 32-битных ОС.

Смерть BIOS

Intel намерена полностью отказаться от поддержки унаследованного набора микропрограмм BIOS к 2020 г., о чем уже предупреждены производители материнских плат. Компания сообщила об этом на конференции UEFI Plugfest 2017 в Тайбэе, Тайвань. По словам представителя Intel Брайана Ричардсона (Brian Richardson), к этому времени поддержка BIOS будет полностью удалена из клиента и дата-центра компании.

Технически отказ от BIOS выразится в том, что Intel будет использовать интерфейс UEFI Class 3 или выше, который наследие BIOS уже не поддерживает, в отличие от версий Class 0, Class 1 и Class 2. Это означает потерю режима загрузки CSM, присутствующего в наследии BIOS. С утратой CSM на устройствах перестанут запускаться 16-битные ОС, которые применяются в диагностике жестких дисков и для некоторых других целей. Также невозможно будет запустить 32-битные версии Windows, в том числе 32-разрядную Windows 7. Однако 32-битные программы по-прежнему можно будет запускать в 64-битных версиях Windows, используя специально для этого предназначенную подсистему WoW64.

Модуль CSM необходим и для работы десктопных дистрибутивов Linux. Если говорить об аппаратуре, без поддержки BIOS не смогут работать устаревшие сетевые адаптеры, адаптеры RAID и видеокарты.

Начиная с версии Class 3 интерфейс UEFI не поддерживает BIOS

При этом Intel обещает, что в отсутствие BIOS уровень безопасности систем возрастает, поскольку появится возможность перманентно использовать режим Secure Boot. Он и будет производить проверку наличия UEFI Class 3. Однако его применение не является обязательным, что сохраняет пользователям возможность запуска неподписанных дистрибутивов Linux на ПК с UEFI.

Для чего нужен BIOS

Базовая система ввода-вывода (BIOS) — это набор микропрограмм для начальной загрузки компьютера, которая имеет место после включения питания и до запуска ОС и других программ. В BIOS реализован API для взаимодействия с внутренними устройствами компьютера и внешней аппаратурой. На современные компьютеры устанавливается интерфейс UEFI (Unified Extensible Firmware Interface), однако поддержка BIOS сохраняется на случай использования 16-битных программ через CSM (Compatibility Support Module).

Руслан Рахметов, Security Vision: Прорывные технологии рождаются при быстром принятии решений в сложных обстоятельствах

Безопасность

BIOS представляет собой набор микропрограмм для IBM-PC-совместимых устройств — то есть, фактически, совместимых с первым 16-битным процессором Intel, выпущенным в 1978 г. и послужившим основой для архитектуры x86. Например, набор микропрограмм для архитектуры компьютеров архитектуры SPARC будет называться PROM или Boot.

Валерия Шмырова

Настройка материнской платы для майнинга. Как настроить bios (биос) материнской платы под майнинг?

Без определенных настроек в биос, майнить на материнской плате может быть невозможно. Особенно эти настройки критичны если вы устанавливаете майнерские Linus подобные системы Rave OS или Hive OS. Они либо могут не загружаться после перезагрузки, а перезагрузки будут, либо материнская плата не будет видеть все карты подключенные в порты PCI-Express.

Даже если вы собираетесь майнить на Windows, могут быть проблемы с идентификацией нескольких карт. Как настроить биос? Все эти проблемы можно решить правильной настройкой биоса (bios) материнской платы. Для примера будет использована плата от MSI на B450 чипсете.

Еще не выбрали пул? Рекомендуем Binance Pool, как самый надежный, удобный и прибыльный пул. Как майнить на Binance Pool, читайте на сайте.

Настройка bios под майнинг на примере MSI B450 Gaming

Как настроить bios? Заходим в настройки bios, нажав Del при загрузки фермы или компьютера. Как настроить ферму под майнинг, читайте на нашем сайте. Настройка биоса msi аналогична настройкам на ASUS, Gigabyte и других производителей. Некоторые функции могут называться по другому.

При запуске главной страницы bios, переходим в режим Advanced Mode (F7).

Входим в Advanced Mode (F7)

Включаем режим 4G memory/Crypto Currency mining

Заходим в Settings\Advanced\PCI Subsystem Settings.

Settings\Advanced\PCI Subsystem Settings

Above 4G memory/Crypto Currency mining переводим в режим Enabled. Данная опция позволяет эффективно распределять ресурсы между видеокартами.
PCI_E1 Gen Switch переключаем в Gen1.
Chipset Gen Switch переключаем в Gen1.

Данная настройка гарантирует работу всех PCI-Express слотов (если они работают раздельно по спецификации материнской платы), а не дублируют друг друга.

Как сделать майнинг ферму которая будет работать стабильно.

Выключаем CSM Mode

Следующий этап настройки материнской платы для майнинга, выключение CSM Mode.

В Settings\Advanced\Windows OS Configuration находим Bios UEFI/CSM Mode и выставляем в режим UEFI.

Settings\Advanced\Windows OS Configuration

Настраиваем приоритет загрузки

Настраиваем приоритет загрузки. Переходим в Settings\Boot.

В Boot mode select выбираем UEFI. Boot Option #1 выбираем то устройство с которого будет загружаться система. В нашем случае UEFI Hard Disk. Это SSD с системой Hive OS. Как установить Hive OS читайте на сайте.

Настраиваем автоматическое включение фермы при потере и возобновления питания

Переходим – Settings\Advanced\Power Management Setup.

Settings\Advanced\Power Management Setup

Restore after AC Power Loss – Power On. Теперь если ферма потеряет питание, она автоматически включится при подаче напряжения.

Так же на сайте есть рейтинг видеокарт для майнинга доступен в удобной таблице.

Настраиваем встроенную графику

Если у вас процессор с встроенной графикой, переходим в Settings\Advanced\Intergrated Graphics Configuration.

В разделе Initiate Graphic Adapter выставляем PEG. Этим мы даем приоритет внешней видеокарте.

Settings\Advanced\Intergrated Graphics Configuration

Включаем USB Legacy mode, на случай если ваша система запускается с флешки

Settings\Advanced\USB Configuration

Settings\Adanced\USB Configuration

После внесения данных настроек в биос материнской платы, проблемы с определением нескольких карт и корректной их работы (только в случае если мат. плата это физически поддерживает), а так же при загрузке Hive OS или Rave OS быть не должно.

ТОП 5 бирж для торговли и инвестирования в криптовалюты

Что означает CSM в BIOS?

Для обратной совместимости большинство реализаций UEFI также поддерживают загрузку с дисков с разделами MBR через модуль поддержки совместимости (CSM), который обеспечивает совместимость с устаревшей BIOS. В этом случае загрузка Linux из систем UEFI такая же, как и для старых систем на основе BIOS.

Вы отключаете CSM в биосе??

На материнских платах Intel CSM (модуль поддержки совместимости) следует отключать, только если ваш графический процессор совместим с UEFI. В противном случае вы столкнетесь с проблемой, о которой сообщаете. И да, на материнских платах Intel для включения безопасной загрузки CSM должен быть отключен, чтобы безопасная загрузка была включена.

Должен ли я включать CSM в BIOS??

Вам не нужно его включать. Он нужен только в том случае, если вам нужно установить более старую операционную систему, не поддерживающую UEFI. Если вы накосячили в настройках BIOS, сбросьте его до настроек по умолчанию и посмотрите, перезагрузится ли ваш компьютер. В большинстве BIOS есть сочетание клавиш для восстановления заводских настроек по умолчанию.

В чем разница между загрузкой UEFI и CSM?

CSM использует MBR (основную загрузочную запись) в специальном 512-байтовом формате для загрузки операционной системы. UEFI использует файлы в большом разделе (обычно 100 МБ) для загрузки операционной системы. … MBR и GPT — это разные спецификации для форматирования раздела диска. Вы можете иметь загрузку UEFI на диске в формате MBR.

См. также Лучший ответ: Требуется ли обновление BIOS для материнской платы B450?

Что такое материнская плата CSM?

Программа ASUS Corporate Stable Model (CSM) предназначена для предоставления стабильных материнских плат для предприятий любого масштаба деятельности, со сроком поставки до 36 месяцев, уведомлением об окончании срока службы и контролем ECN, а также ПО для управления ИТ — ASUS Control Center Express.

Что такое отключение CSM??

Это делает материнскую плату действительно похожей на BIOS, что позволяет вам загружаться с NTFS и MBR диска, но теряет функции UEFI и в основном использует только BIOS. Если вы хотите загрузиться как UEFI, вам необходимо отключить CSM через интерфейс материнской платы перед установкой Windows.

Какая система лучше UEFI или BIOS?

BIOS

использует основную загрузочную запись (MBR) для записи информации о данных на жесткий диск, а UEFI использует таблицу разделов GUID (GPT). По сравнению с BIOS UEFI более мощный и имеет более продвинутые функции. Это новейший метод загрузки, предназначенный для замены BIOS.

Как включить CSM в биосе??

Включить поддержку загрузки Legacy/CSM в прошивке UEFI

Щелкните Дополнительные параметры. Выберите настройки программного обеспечения UEFI. Нажмите «Перезагрузить», компьютер перезагрузится, и вы перейдете к настройке UEFI, которая выглядит как старый экран BIOS.Найдите параметр «Безопасная загрузка» и, если возможно, установите для него значение «Отключено».

Что такое ASUS CSM?

Программа ASUS Corporate Stable Model (CSM) предназначена для предоставления стабильных материнских плат компаниям по всему миру. … Программа ASUS Corporate Stable Model (CSM) предназначена для предоставления стабильных мини-ПК предприятиям по всему миру.

Что такое режим загрузки UEFI?

UEFI — это, по сути, небольшая операционная система, которая работает поверх прошивки компьютера и может делать гораздо больше, чем BIOS. Он может храниться во флэш-памяти на материнской плате или загружаться с жесткого диска или сетевого ресурса во время загрузки системы. Реклама. Разные компьютеры с UEFI будут иметь разные интерфейсы и функции..

См. также Как скопировать и вставить в терминал Unix?

Должен ли я загружаться с UEFI или более старой системы?

UEFI, преемник Legacy, теперь является основным режимом загрузки. По сравнению с устаревшим режимом UEFI предлагает лучшие возможности программирования, большую масштабируемость, более высокую производительность и более высокий уровень безопасности.Windows поддерживает UEFI, начиная с Windows 7, а Windows 8 начинает использовать UEFI по умолчанию.

Должен ли я включать UEFI в BIOS??

Как правило, Windows следует устанавливать в более новом режиме UEFI, так как в нем больше функций безопасности, чем в старом режиме BIOS. Если вы загружаетесь из сети, которая поддерживает только BIOS, вы должны загрузиться в устаревшем режиме BIOS. После установки Windows устройство запускается автоматически в том же режиме, в котором оно было установлено.

Является ли Windows 10 UEFI или устаревшей?

Чтобы проверить, использует ли Windows 10 UEFI или устаревший BIOS, используйте команду BCDEDIT. 1 Откройте командную строку с повышенными привилегиями или командную строку при запуске системы. 3. Проверьте раздел «Загрузчик Windows» для вашей системы Windows 10 и убедитесь, что указан путь Windowssystem32winload.exe (старый BIOS) или Windowssystem32winload. ефи (UEFI).

Что такое программное обеспечение CSM?

Программное обеспечение CSM позволяетуспех клиентов, разработка многомиллионного кошелька с сотнями учетных записей, эффективно и результативно. … Программная платформа CSM должна поддерживать менеджера успеха на многих фронтах. Менеджеры по работе с клиентами ежедневно решают множество основных задач CSM.

Что такое CSM в маркетинге??

CSM (управление обслуживанием клиентов), ESM (управление корпоративными услугами) и SIAM — это три аббревиатуры, которые появились в последние годы, чтобы помочь определить постоянно меняющиеся требования в сфере услуг.

Что такое нативный UEFI без CSM??

— UEFI Native без CSM. Если для параметра «Безопасная загрузка» установлено значение «Включить», BIOS проверяет подпись загрузчика перед загрузкой операционной системы. Если для режима загрузки на ноутбуках установлено значение «Устаревший» или для параметра «Поддержка гибридного режима UEFI» установлено значение «Включить», CSM загружается, а безопасная загрузка автоматически отключается.

Как включить CSM в биосе?

Щелкните Дополнительные параметры. Выберите Параметры встроенного ПО UEFI. Нажмите «Перезагрузить», ваш компьютер перезагрузится, и вы перейдете к настройке UEFI, которая очень похожа на старый экран BIOS. Найдите параметр «Безопасная загрузка» и, если возможно, установите для него значение «Отключено».

Должен ли я включать CSM в BIOS?

Включать не обязательно. Это необходимо только в том случае, если вам нужно установить более старую операционную систему, которая не поддерживает UEFI. Если вы перепутали настройки BIOS, сбросьте их на значения по умолчанию и посмотрите, перезагрузится ли компьютер. В большинстве BIOS есть сочетание клавиш для сброса к заводским настройкам.

Как включить CSM в HP BIOS?

Нажмите кнопку питания, чтобы включить компьютер, а затем сразу же несколько раз нажмите клавишу Esc, пока не откроется меню запуска. Нажмите клавишу F10, чтобы открыть настройки BIOS. С помощью клавиши со стрелкой вправо выберите «Конфигурация системы», с помощью клавиши со стрелкой вниз выберите «Параметры загрузки» и нажмите «Ввод».Проверьте список для поддержки более старых версий.

В чем разница между загрузкой UEFI и CSM?

CSM использует MBR (главную загрузочную запись) в указанном 512-байтовом формате для запуска операционной системы. UEFI использует файлы в большом разделе (обычно 100 МБ) для загрузки операционной системы. … MBR и GPT — это разные спецификации форматирования разделов диска. Вы можете загрузить UEFI на диск в формате MBR.

Что означает CSM в BIOS?

Для обратной совместимости большинство реализаций UEFI также поддерживают загрузку с дисков с разделами MBR через модуль поддержки совместимости (CSM) для обратной совместимости с устаревшими системами BIOS.В этом случае загрузка Linux в системах UEFI такая же, как и в старых системах на основе BIOS.

Что такое режим загрузки UEFI?

UEFI — это, по сути, небольшая операционная система, которая работает на встроенном программном обеспечении вашего компьютера и может делать гораздо больше, чем BIOS. Он может храниться во флэш-памяти на материнской плате или загружаться с жесткого диска или сетевого ресурса во время загрузки. Реклама. Разные компьютеры с UEFI будут иметь разные интерфейсы и функции…

Не удается найти режим загрузки BIOS?

Самое простое решение этой ошибки — убедиться, что порядок загрузки вашего компьютера правильно отображает жесткий диск в качестве первого варианта. б. Войдите в меню BIOS.
…
Причины этой ошибки …

Неправильный порядок загрузки.
Раздел не активен.
Сбой жесткого диска.

8 ноября. 2016

Как включить устаревший режим в BIOS?

Выберите режим загрузки UEFI или устаревший режим загрузки BIOS (BIOS)

Доступ к утилите настройки BIOS. Загрузите систему.…
Выберите Boot на экране главного меню BIOS.
На экране загрузки выберите режим загрузки UEFI/BIOS и нажмите Enter. …
С помощью стрелок вверх и вниз выберите Legacy BIOS Boot Mode или UEFI Boot Mode и нажмите Enter.
Чтобы сохранить изменения и закрыть экран, нажмите клавишу F10.

Что такое поддержка старых версий BIOS?

Разница между загрузкой Unified Extensible Firmware Interface (UEFI) и устаревшей загрузкой заключается в том, что микропрограмма использует микропрограмму для поиска цели загрузки. Устаревшая загрузка — это процесс загрузки, используемый прошивкой базовой системы ввода-вывода (BIOS). … Загрузка UEFI является преемником BIOS.

Как загрузиться в BIOS?

Для доступа к BIOS необходимо нажать клавишу в процессе загрузки. Эта клавиша часто отображается в процессе загрузки с сообщением «Нажмите F2 для доступа к BIOS», «Нажмите для входа в настройку» или чем-то подобным. Общие клавиши, которые вам могут понадобиться, это Delete, F1, F2 и Escape.

Как исправить текущую настройку BIOS, которая не полностью поддерживает загрузочное устройство?

Сброс настроек BIOS

Перейдите в раздел «Устранение неполадок»> «Дополнительные параметры»> «Настройки встроенного ПО UEFI» и нажмите «Перезагрузить». После входа в BIOS нажмите F9, чтобы открыть диалоговое окно «Загрузить параметры по умолчанию». Выберите «Да» с помощью клавиш со стрелками, чтобы сбросить настройки BIOS до заводских.Выйдите, перезагрузите компьютер и проверьте наличие улучшений.

Что такое BIOS PXE Opprom?

Для загрузки PXE пользователь должен включить PXE OPROM в конфигурации BIOS. PXE — это технология, которая запускает компьютеры через сетевой интерфейс без устройства хранения данных, такого как жесткий диск или установленная операционная система.

Должен ли я загружаться с UEFI или более старой версии?

UEFI, преемник Legacy, теперь является основным режимом загрузки.По сравнению с Legacy, UEFI обладает лучшей программируемостью, большей масштабируемостью, более высокой производительностью и более высоким уровнем безопасности. Windows поддерживает UEFI, начиная с Windows 7, а Windows 8 начинает использовать UEFI по умолчанию.

Должен ли я включать UEFI в BIOS?

Как правило, Windows устанавливается в более новом режиме UEFI, так как в нем больше функций безопасности, чем в устаревшем режиме BIOS. Если вы загружаетесь из сети, которая поддерживает только BIOS, вы должны загрузиться в режиме BIOS Legacy.После установки Windows устройство запускается автоматически в том же режиме, в котором оно было установлено.

Должен ли я использовать BIOS или UEFI?

UEFI обеспечивает более быструю загрузку. UEFI поддерживает дискретные драйверы, в то время как BIOS поддерживает диски, хранящиеся в ПЗУ, поэтому обновить прошивку BIOS немного сложно. UEFI предлагает функции безопасности, такие как «Безопасная загрузка», чтобы предотвратить загрузку вашего компьютера из неавторизованных/неподписанных приложений.

Как включить CSM в биосе?

Должен ли я включать CSM в BIOS?

Включать не обязательно. Это необходимо только в том случае, если вам нужно установить более старую операционную систему, которая не поддерживает UEFI.Если вы перепутали настройки BIOS, сбросьте их на значения по умолчанию и посмотрите, перезагрузится ли компьютер. В большинстве BIOS есть сочетание клавиш для сброса к заводским настройкам.

Как включить CSM в HP BIOS?

В чем разница между загрузкой UEFI и CSM?

Что означает CSM в BIOS?

Что такое режим загрузки UEFI?

Не удается найти режим загрузки BIOS?

Неправильный порядок загрузки.
Раздел не активен.
Сбой жесткого диска.

8 ноября. 2016

Как включить устаревший режим в BIOS?

Выберите режим загрузки UEFI или устаревший режим загрузки BIOS (BIOS)

Доступ к утилите настройки BIOS. Загрузите систему.…
Выберите Boot на экране главного меню BIOS.
На экране загрузки выберите режим загрузки UEFI/BIOS и нажмите Enter. …
С помощью стрелок вверх и вниз выберите Legacy BIOS Boot Mode или UEFI Boot Mode и нажмите Enter.
Чтобы сохранить изменения и закрыть экран, нажмите клавишу F10.

Что такое поддержка старых версий BIOS?

Как загрузиться в BIOS?

Как исправить текущую настройку BIOS, которая не полностью поддерживает загрузочное устройство?

Сброс настроек BIOS

Что такое BIOS PXE Opprom?

Должен ли я загружаться с UEFI или более старой версии?

Должен ли я включать UEFI в BIOS?

Должен ли я использовать BIOS или UEFI?

Как включить CSM в биосе?

Должен ли я включать CSM в BIOS?

Включать не обязательно. Это необходимо только в том случае, если вам нужно установить более старую операционную систему, которая не поддерживает UEFI.Если вы перепутали настройки BIOS, сбросьте их на значения по умолчанию и посмотрите, перезагрузится ли компьютер. В большинстве BIOS есть сочетание клавиш для сброса к заводским настройкам.

Как включить CSM в HP BIOS?

В чем разница между загрузкой UEFI и CSM?

Что означает CSM в BIOS?

Что такое режим загрузки UEFI?

Не удается найти режим загрузки BIOS?

Неправильный порядок загрузки.
Раздел не активен.
Сбой жесткого диска.

8 ноября. 2016

Как включить устаревший режим в BIOS?

Выберите режим загрузки UEFI или устаревший режим загрузки BIOS (BIOS)

Доступ к утилите настройки BIOS. Загрузите систему.…
Выберите Boot на экране главного меню BIOS.
На экране загрузки выберите режим загрузки UEFI/BIOS и нажмите Enter. …
С помощью стрелок вверх и вниз выберите Legacy BIOS Boot Mode или UEFI Boot Mode и нажмите Enter.
Чтобы сохранить изменения и закрыть экран, нажмите клавишу F10.

Что такое поддержка старых версий BIOS?

Как загрузиться в BIOS?

Как исправить текущую настройку BIOS, которая не полностью поддерживает загрузочное устройство?

Сброс настроек BIOS

Что такое BIOS PXE Opprom?

Должен ли я загружаться с UEFI или более старой версии?

Должен ли я включать UEFI в BIOS?

Должен ли я использовать BIOS или UEFI?

Система в режиме UEFI не запускается после обслуживания или поддержки действий

Симптомы

Режим System Unified Extensible Firmware Interface (UEFI), представляющий собой загрузочный раздел размером более 2 терабайт (ТБ), не может загружаться после обслуживания или поддержки действий. (Например, система не может загрузиться после установки исправления, дефрагментации или восстановления из резервной копии. )

Причина

Спецификация UEFI не дает указаний о том, следует ли использовать традиционные драйверы ПЗУ или драйверы UEFI в режиме UEFI класса 2.Это изменение привело к тому, что в некоторых реализациях UEFI в этом режиме предпочтение отдавалось традиционным драйверам ПЗУ, а не драйверам UEFI. В некоторых случаях эти традиционные драйверы дополнительных ПЗУ поддерживают только 32-разрядную логическую адресацию LBA (LBA) для доступа к хранилищу. Такое поведение ограничивает возможности того, сколько свободного места они могут получить в 2 ТБ.

При широкой доступности устройств хранения объемом более 2 ТБ можно создать загрузочный раздел Windows размером более 2 ТБ.Это представляет риск в описанном здесь сценарии, поскольку действия по обслуживанию или обслуживанию (например, установка исправлений, дефрагментация или восстановление из резервной копии) могут привести к тому, что загрузка файла превысит ограничение в 2 ТБ, налагаемое 32-разрядной адресацией LBA. . Поскольку Pre-Boot не может получить доступ к этому файлу, Windows не запустится.

Решение

Чтобы уменьшить влияние этой проблемы, используйте один из следующих вариантов:

OEM-производители могут предоставить исправление для этой проблемы, обновив прошивку, а также LBA или 64-битную поддержку адресации в параметрах традиционных ПЗУ, драйверах или приоритетных драйверах UEFI при загрузке традиционных дополнительных ПЗУ.Обратитесь к OEM-производителю, чтобы узнать, есть ли обновление программного обеспечения.
Некоторые реализации UEFI предоставляют возможность выбора драйверов для использования в этом режиме. Администратор может выбрать драйверы UEFI вместо традиционных драйверов ПЗУ для доступа к хранилищу объемом более 2 ТБ.
Администратор также может уменьшить размер операционной системы и загрузочных разделов, чтобы адрес последнего загрузочного логического блока и разделы операционной системы были меньше 2 ТБ. Эта конфигурация предотвращает случайную передачу на адрес выше 2 ТБ, где загрузочная среда не может прочитать их из файлов, необходимых для загрузки.

Подробнее

Согласно правилам Windows 8 и Windows 8.1, для запуска операционной системы требуется прошивка UEFI. UEFI предоставляет базовые услуги, такие как доступ к загрузочному устройству в предзагрузочной среде.Windows Server и более ранние версии клиента Windows не требуют режима UEFI и могут загружаться из традиционного BIOS или UEFI, если это поддерживается прошивкой. Чтобы сделать эти операционные системы загружаемыми на компьютере с UEFI, модуль поддержки совместимости (CSM) в UEFI обеспечивает традиционную поддержку совместимости с BIOS. Windows 7 и более ранние версии Windows требуют поддержки INT 10H для загрузочной графики. Это обеспечивается CSM в режиме UEFI.Диспетчер ds также может полностью поддерживать традиционный режим BIOS в системе с прошивкой UEFI. Эти режимы известны как режим UEFI класса 2 и режим BIOS класса 2.

Нужен ли нам еще BIOS для поддержки наших компьютеров

Развитие мира электроники все время заставляет нас понимать, что решения, к которым мы привыкли, устарели и от них нужно отказаться.

На этот раз это был BIOS (Basic Input/Output System), особый тип прошивки, который имеет дело с низким уровнем связи между программным обеспечением и оборудованием (вкратце). Этот термин все еще используется сегодня, хотя BIOS уже давно заменен более мощным и современным UEFI (Unified Extensible Firmware Interface) в новых компьютерах.

Intel прекратит поддержку BIOS в 2020 году

И именно на мероприятии UEFI Plugfest представитель Intel Брайан Ричардсон поделился с участниками интересной информацией. Intel планирует полностью прекратить поддержку BIOS с 2020 года. На практике это означает использование как минимум UEFI Class 3, т.е. в версии, лишенной CSM (Compatibility Support Module). Именно этот модуль позволил изменить настройки в режим Legacy, эмулируя BIOS и допуская взаимодействие со старым оборудованием и, прежде всего, программным обеспечением.

По словам Intel, это должно облегчить соответствие программного обеспечения UEFI, обеспечить возможность применения новых решений и повысить безопасность. Некоторые наблюдатели задаются вопросом, не означает ли это, что безопасная загрузка должна быть включена на каждой машине, к которой относятся весьма недоверчиво. Однако есть много признаков того, что статус-кво будет сохраняться, по крайней мере, в настоящее время, поэтому его активация будет необязательной.

Кого коснутся последствия?

Еще одним важным последствием отказа от CSM является отсутствие поддержки 32-битных версий операционных систем.И для Windows, и для 32-разрядной версии Linux требуется, чтобы он функционировал. Не беспокойтесь о запуске 32-битных приложений. Устройства с 16-битной OpROM, такие как старые сетевые карты или RAID-контроллеры, также будут иметь проблемы. Интересно, что видеокарты тоже могут быть не готовы к UEFI, причем это касается даже моделей 2012 года.

В любом случае, из вышеприведенного описания легко сделать вывод, что большинству обычных пользователей компьютеров не о чем беспокоиться, так как их машины уже давно не нуждаются в использовании BIOS. У производителей аппаратного и программного обеспечения также есть три года, чтобы подготовиться к объявленным изменениям. Безусловно, это менее спорный ход, чем заявление Intel о несовместимости компьютеров с процессорами Kaby Lake, с операционными системами Microsoft старше Windows 10 (что было не совсем так).

Некоторые профессиональные приложения могут представлять больший интерес. Сюда входят, например, встроенные решения. Или приложения, несовместимые с UEFI, что заставит компании нести действительно большие затраты на серьезные изменения в своей инфраструктуре.Времени на изменения еще много, но пусть это не закончится, как в случае с прекращением поддержки Windows XP со стороны Microsoft. Крупные корпорации вместо внесения изменений предпочитали платить MS огромные деньги за дальнейшую поддержку уже мертвой системы, специально для них.

Однако это не наша забота. Скорее, мы должны держать пальцы скрещенными за быстрое использование новых возможностей, которые призван создать Goodbye BIOS.

Источник: твикеры, фороникс через лилипутирование

Преобразование карты UE в UEFI — Configuration Manager

Статья
17.02.2022
Время считывания: 3 мин
Соавторы: 2

Была ли эта страница полезной?

да Нет

Хотите что-нибудь добавить к этому мнению?

Отзыв будет отправлен в Microsoft: когда вы нажмете «Отправить», отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

Windows

включает множество функций безопасности, для которых требуются устройства с поддержкой UEFI. У вас может быть более новая Windows, поддерживающая UEFI, но более старые ВЕРСИИ. Раньше для преобразования устройства в UEFI требовалось обращаться к каждому устройству, перераспределять жесткий диск и перенастраивать прошивку.

В Configuration Manager можно автоматизировать следующее:

Подготовка жесткого диска для преобразования UE в UEFI
Преобразование ВОЗМОЖНОСТЕЙ В UEFI в рамках процесса обновления на месте
Сбор информации UEFI для инвентаризации оборудования

Инвентаризация оборудования собирает информацию о UEFI

Доступны классы инвентаризации оборудования

( SMS_Firmware ) и свойства ( UEFI ), которые помогут вам определить, загружается ли ваш компьютер в режиме UEFI.Когда компьютер загружается в режиме UEFI, для свойства UEFI устанавливается значение TRUE (ИСТИНА ). Инвентаризация оборудования разрешает этот класс по умолчанию. Дополнительные сведения об инвентаризации оборудования см. в разделе Настройка инвентаризации оборудования.

Создайте пользовательскую последовательность задач для подготовки жесткого диска

Последовательность задач развертывания ОС можно настроить с помощью переменной JIEFIDrive . Шаг Перезагрузите компьютер. подготавливает раздел FAT32 на жестком диске к переходу в UEFI.В следующей процедуре приведены примеры создания шагов последовательности задач для выполнения этого действия.

Подготовить раздел FAT32 для преобразования в UEFI

В существующей последовательности задач по установке операционной системы добавить новую группу с действиями, которые необходимо выполнить для преобразования ДАННЫХ из UEFI.

Создайте новую группу последовательности задач после действий по захвату файлов и параметров, а затем перед этапом установки операционной системы.Например, вы можете создать группу после группы File Capture и Settings с именем WHEN-TO-UEFI .
На вкладке Параметры новой группы добавьте новую переменную последовательности задач в качестве условия. Установите для _SMSTSBootUEFI значение true . В этом случае последовательность задач будет выполняться только на устройствах ZIM.
В новой группе добавьте шаг Последовательность задач Перезагрузите компьютер.На панели Укажите, что должно запускаться после перезапуска, выберите Загрузочный образ, назначенный для этой последовательности задач, выбран . Это действие перезагружает компьютер в Windows PE.
На вкладке Параметры добавьте переменную последовательности задач в качестве условия. Задайте для _SMSTSInWinPE значение false . В этом случае последовательность задач не выполняет этот шаг, если компьютер уже находится в Windows PE.
Добавьте шаг для запуска инструмента OEM для преобразования встроенного ПО из UE в UEFI. Этот шаг обычно представляет собой Запуск командной строки с командой для запуска инструмента OEM.
Добавьте шаг последовательности задач для форматирования и создания разделов диска. На этом шаге настройте следующие параметры:
1. Перед установкой операционной системы создайте раздел FAT32 для преобразования в UEFI.Для для типа диска выберите GPT .
2. Зайдите в свойства раздела FAT32. В поле Variable введите значение TSUEFIDrive . Когда последовательность задач обнаруживает эту переменную, она подготавливает переходный раздел UEFI перед перезагрузкой компьютера.
3. Создайте раздел NTFS, который будет использоваться последовательностью задач для записи состояния и хранения файлов журнала.
Добавить еще один шаг последовательности задач Перезагрузить компьютер. В приглашении Укажите, что должно запускаться после перезагрузки, выберите Образ загрузки, назначенный этой последовательности задач, выбран для запуска компьютера в Windows PE.
Совет
По умолчанию размер раздела EFI составляет 500 МБ. В некоторых средах загрузочный образ слишком велик для хранения в этом разделе.Чтобы обойти эту проблему, увеличьте размер раздела EFI. Например, установите его на 1 ГБ.

Преобразование из GDYNIM в UEFI во время обновления на месте

Windows включает в себя простую утилиту для преобразования MBR2GPT . Это позволяет автоматизировать процесс перезаписи жесткого диска для оборудования с поддержкой UEFI. Вы можете интегрировать инструмент преобразования в процесс обновления на месте. Объедините этот инструмент с последовательностью задач обновления и OEM-инструментом, который преобразует встроенное ПО из UC в UEFI.

Требования

Поддерживаемая версия для Windows 10 и выше
Компьютеры с поддержкой UEFI
OEM-инструмент, преобразующий прошивку компьютера из GDYNIC в UEFI

Процесс преобразования GDYOKI в UEFI во время последовательности задач обновления на месте

Создание последовательности задач для обновления операционной системы
Изменить последовательность задач. В группе После обработки вносим следующие изменения:
1. Добавить шаг Запустить командную строку . Укажите командную строку MBR2GPT. После загрузки в полном режиме операционной системы настройте ее так, чтобы на диске она не меняла и не удаляла данные из MBR в GPT. В строке команды введите следующую команду: MBR2GPT.exe /convert/disk:0/AllowFullOS
Совет
Вы также можете запустить утилиту MBR2GPT.EXE в Windows PE, а не в полном режиме операционной системы. Перед запуском утилиты Windows MBR2GPT.EXE PE добавьте шаг перезагрузки компьютера. Затем удалите параметр /AllowFullOS из командной строки.
Дополнительные сведения об этом инструменте и доступных параметрах см. в MBR2GPT.EXE.
1. Добавьте шаг для запуска OEM-инструмента, который преобразует прошивку из EU в UEFI. Этот шаг обычно представляет собой Запуск командной строки с командной строкой для запуска инструмента OEM.
2. Добавить шаг Перезагрузите компьютер и выберите Операционная система по умолчанию в настоящее время установлена.
Реализовать последовательность задач.

Смотрите также

Что делать если документ в ворде не сохранился
Что такое фишинг аккаунтов
Как оплачивать через apple pay
Ошибка принтер не подключен что делать
Как отключить на компьютере спящий режим виндовс 7
Как записать в zoom конференцию
Тимс для дистанционного обучения
Сервер в дискорде
Программа abbyy finereader
Как найти гугл аккаунт по номеру
Как изменить шрифт на клавиатуре

Что такое поддержка CSM и нужно ли включать ее в BIOS? [Отвечено]

Что такое CSM в BIOS? Должен ли я включать или отключать поддержку CSM? Как решить проблему с загрузкой CSM? Поддержка CSM и связанные с ней вопросы бурно обсуждаются на различных форумах и в сообществах. В этом посте MiniTool подробно объяснит эти вопросы.

Многие пользователи заметили поддержку CSM в BIOS. Они не знают, следует ли его включать или отключать при установке Windows 10 на новый SSD или переустановке ОС. Кроме того, некоторые из них больше не могут загружаться в Windows из-за проблемы с загрузкой CSM. Вот реальный пример с форума tomshardware:

Недавно я установил Windows 10 на свой твердотельный накопитель NVMe. При установке я отключил свой CSM. Нужно ли включать его после установки или можно оставить? Какое преимущество или недостаток у включенного CSM по сравнению с отключенным?https://forums.tomshardware.com/threads/csm-enable-or-disable.3415336/

Реализации прошивки UEFI могут загружаться с дисков с разделами MBR? Ответ — поддержка CSM. Он обеспечивает поддержку обратной совместимости устаревшего BIOS с системами UEFI.

Совет: Если вы хотите узнать больше о различиях между UEFI и BIOS, прочитайте этот пост «UEFI против BIOS, в чем различия и какой из них лучше».

При работе на ПК с прошивкой UEFI загрузка UEFI может переключиться на устаревшую загрузку BIOS на основе поддержки CSM. Это может предотвратить загрузку UEFI из системного раздела EFI на дисках с разделами MBR. Проще говоря, CSM BIOS — это то, что позволяет вам загружаться в устаревшем режиме BIOS в системе UEFI.

Если вы все еще не уверены в поддержке CSM, вы можете обратиться к авторитетному объяснению из Википедии. CSM, также известный как модуль поддержки совместимости, является компонентом встроенного ПО UEFI, который обеспечивает совместимость с устаревшей BIOS путем эмуляции среды BIOS, позволяя по-прежнему использовать устаревшие операционные системы и некоторые дополнительные ПЗУ, не поддерживающие UEFI.

Теперь у вас должно быть общее представление о поддержке CSM BIOS. Здесь возникает новый вопрос — следует ли включать или отключать CSM BIOS? Пожалуйста, продолжайте читать.

Следует ли включать или отключать поддержку CSM

Следует ли включать или отключать CSM BIOS? Ответ зависит от вашей версии Windows. Если ваш компьютер относительно новый и поставляется с предустановленной ОС Windows, BIOS CSM обычно отключен по умолчанию. Например, если вы готовы установить/переустановить Windows 10 на новый SSD, вам не нужно включать поддержку CSM при установке.

Однако, если вам необходимо установить более старую ОС Windows, которая не поддерживает UEFI, вам необходимо включить ее вручную. Как это сделать? Давайте прочитаем следующий контекст.

Как включить или отключить поддержку CSM

Если вам нужно включить или отключить поддержку CSM в BIOS, вы можете обратиться к простому руководству ниже. Здесь мы покажем вам, как это сделать на ASUS, Gigabyte, ASRock и MSI.

Шаги для материнской платы Asus:

Шаг 1. Запустите компьютер, а затем удерживайте F2 и Удалить горячую клавишу до загрузки компьютера. Сделав это, вы войдете в BIOS.

Примечание: Горячие клавиши BIOS могут различаться у разных производителей ПК. Большинство современных материнских плат используют клавишу Delete. Обычно на экране запуска Windows вы можете увидеть сообщение о том, какую клавишу нужно нажать для входа в BIOS.

Шаг 2. Перейдите на вкладку Boot с помощью клавиши со стрелкой влево или вправо.

Шаг 3. Прокрутите вниз до категории CSM (модуль поддержки совместимости) .

Шаг 4. Теперь установите для параметра Launch CSM значение Enabled/Disabled .

— изображение с Asus com

Шаг 5. Прокрутите вниз до последнего и выберите Сохранить и выйти . Затем ваш компьютер перезагрузится.

Шаги для материнской платы Gigabyte:

Шаг 1. Войдите в BIOS, как описано выше.

Шаг 2. Перейдите на вкладку BIOS или Security и дважды щелкните категорию CSM Support под ней.

Шаг 3. Установите для параметра CSM Support значение Enabled или Disabled в зависимости от вашей ситуации.

—картинка с гигабайтного форума

Шаг 4. Перейдите на вкладку Power и выберите параметр Save & Exit Setup . Затем ваш компьютер выйдет из BIOS CSM и перезагрузится.

Шаги для материнской платы ASRock:

Шаг 1. Перезагрузите систему, а затем нажмите клавишу F2 на экране запуска, чтобы войти в BIOS.

Шаг 2. Перейдите на вкладку Boot в верхней части меню BIOS.

Шаг 3. Прокрутите вниз до параметра CSM и установите для него значение Enabled или Disabled .

—image from asrock com

Шаг 4. Перейдите на вкладку Exit и выберите Save and Exit , чтобы ваш компьютер перезагрузился с примененными изменениями.

Шаги для материнской платы MSI:

Шаг 1. Перезагрузите систему и нажмите клавишу Delete , чтобы войти в меню BIOS.

Шаг 2. Перейдите на вкладку Boot в верхнем меню, а затем перейдите в режим Boot выберите раздел и выберите UEFI only . Эта опция эквивалентна отключению загрузки CSM.

Примечание: Режим Legacy эквивалентен включению CSM BIOS, а режим UEFI plus Legacy позволяет материнской плате MSI автоматически определять и использовать оптимальные настройки для вашей ОС.

Шаг 3. Нажмите клавишу F10 , чтобы сохранить изменения и выйти из BIOS. Затем ваш компьютер автоматически перезагрузится.

В чем разница между загрузкой UEFI и CSM

Многие пользователи до сих пор не понимают разницы между загрузкой UEFI и CSM. Режим загрузки CSM обеспечивает совместимость с устаревшим BIOS, который поддерживает загрузочный диск емкостью до 2 ТБ, а режим загрузки UEFI поддерживает до 9 ЗБ.

Кроме того, два режима загрузки по-разному поддерживают тип раздела диска. Для загрузки CSM требуется жесткий диск с типом раздела MBR, а для режима загрузки UEFI требуется диск с таблицей разделов GPT. Если вы неправильно установили режим загрузки при установке/переустановке ОС на новый диск, ваша Windows может перестать загружаться.

Здесь мы суммируем различия между режимами загрузки CSM и UEFI в виде таблицы:

Режим загрузки	КСМ	UEFI
Поддержка загрузки с диска	До 2 ТБ	До 9 ЗБ
Тип раздела диска	МБР	GPT
Скорость прошивки системы	Работает на 32-битной скорости	Работает на 64-битной скорости
Совместимость с доверенным платформенным модулем	Не поддерживается	Поддерживает TPM безопасным способом
Система безопасности	Менее защищенный	Более защищенный

Многие пользователи сообщали о проблемах, связанных с загрузкой CSM, на форумах. Самая распространенная проблема заключается в том, что система Windows не может загрузиться после установки/переустановки Windows 10. Почему? Это может произойти, если загрузка CSM настроена неправильно или тип раздела не поддерживается.

Что такое опция CSM в BIOS? Я больше не могу загрузиться в Windows, потому что CSM отключен? Будет ли ASUS K55 поставляться с отключенным CSM? https://superuser.com/questions/857117/what-is-csm-option

Режимы загрузки UEFI и CSM идут рука об руку. Если один из них отключен, другой будет автоматически включен. Например, если вы отключите CSM, это означает, что поддержка UEFI будет включена на вашей материнской плате.

Однако режим загрузки UEFI совместим только с таблицами разделов GPT. То есть вам нужно преобразовать ваш жесткий диск в GPT, если вы хотите отключить CSM. Точно так же, если вы включаете CSM и не можете загрузиться в Windows, вам необходимо преобразовать таблицу разделов в MBR.

Как конвертировать MBR в GPT или конвертировать GPT в MBR без потери данных? Мастер MiniTool Partition Wizard может помочь вам сделать это легко. Это многофункциональный эксперт по разделам, который может перестроить MRB, преобразовать NTFS в FAT без ОС, перенести ОС на SSD, расширить раздел и т. д. Если ваш компьютер не загружается нормально, вы можете использовать MiniTool Partition Wizard Bootable Edition для преобразования системного диска в MBR или GPT. Для этого выполните следующие действия:

Бесплатная загрузка

Шаг 1. Создайте загрузочный CD/DVD/USB-накопитель с помощью мастера создания носителей MiniTool Partition Wizard.

Шаг 2. Вставьте загрузочный носитель MiniTool в компьютер, а затем войдите в BIOS, как описано выше, установите носитель в качестве первого порядка загрузки и нажмите F10 и Введите , чтобы сохранить изменения. Затем ваш компьютер перезагрузится с носителем.

Шаг 3. В главном интерфейсе программного обеспечения MiniTool выберите этот системный диск и нажмите Конвертировать MBR-диск в GPT-диск с левой панели действий.

Примечание: Если вы включили CSM/Legacy BIOS, вы должны преобразовать диск GPT в диск MBR. Напротив, если вы выберете параметр CSM отключен (режим UEFI), вам необходимо преобразовать диск MBR в диск GPT.

Шаг 4. Нажмите Применить , чтобы выполнить отложенную операцию. Затем ваш жесткий диск будет преобразован в GPT.

Шаг 5. Выйдите из программного обеспечения MiniTool, перезагрузите систему и нажмите кнопку 9.0003 F2 или Удалите клавишу на экране запуска, чтобы снова войти в BIOS, установите жесткий диск в первый порядок загрузки и нажмите F10 и Введите , чтобы сохранить изменения. Затем ваш компьютер должен нормально перезагрузиться с системного диска.

Мой компьютер больше не может загружаться после установки Windows 10 на новый SSD. Это потому, что CSM отключен? Должен ли я повторно включить CSM в BIOS? К счастью, я нашел подробные объяснения из этого поста. Нажмите, чтобы твитнуть

Ваше мнение

Что такое CSM в BIOS? Должны ли вы включать или отключать поддержку CSM? Прочитав приведенную выше информацию, я считаю, что вы уже очистили ответы. Если вас беспокоит проблема с загрузкой CSM, вы также можете использовать метод устранения неполадок, который мы объяснили.

Есть ли у вас какие-либо мнения об объекте поддержки CSM? Если у вас есть, пожалуйста, оставьте их в следующей области комментариев. Что ж, вы можете отправить нам письмо по адресу [email protected], если у вас возникнут трудности с использованием программного обеспечения MiniTool.

Facebook
Твиттер
Линкедин
Reddit

Что такое CSM в вашем BIOS и для чего он нужен?

СОДЕРЖАНИЕ

Что такое CSM и как его использовать, чтобы получить максимальную отдачу от компьютера?

Я рассмотрю этот вопрос и все остальное, что вам нужно знать о CSM, в этой статье.

Начнем.

Что такое BIOS и UEFI?

Прежде чем мы углубимся в CSM, вам нужно знать, что CSM является компонентом вашей прошивки UEFI.

Изображение предоставлено: Wikimedia Commons

BIOS и UEFI — это низкоуровневое программное обеспечение, которое выполняет проверки вашего оборудования, а затем передает процесс загрузки вашей операционной системе при включении компьютера.

BIOS расшифровывается как Basic Input/Output System. Это первое, что появляется при включении компьютера, когда он прокручивает несколько строк или экранов текста.

Когда вы включаете компьютер, BIOS обеспечивает его работу.

BIOS обеспечивает связь между всеми микросхемами и компонентами вашего компьютера. Он проверяет, что все аппаратные устройства работают.

Как только он закончит проверку всего, он может сказать операционной системе загрузиться.

UEFI (Unified Extensible Firmware Interface) начал заменять BIOS в качестве начальной прошивки в 2007 году из-за жестких ограничений BIOS.

Система, которую обычная BIOS использует для доступа к жесткому диску или твердотельному накопителю, называемая главной загрузочной записью (MBR), может обрабатывать только разделы размером менее 2 ТБ. Это стало серьезной проблемой для BIOS, когда накопители начали превышать этот предел емкости.

Подавляющее большинство современных компьютеров теперь используют UEFI, а не традиционный BIOS, хотя в большинстве случаев он по-прежнему называется BIOS.

Возвращаясь к исходному вопросу этой статьи: при переходе от традиционного BIOS к UEFI появился новый параметр с именем 9.0073 CSM был представлен.

CSM отображается как компонент в меню настройки UEFI .

Но что такое CSM и для чего он используется?

Что такое CSM?

CSM означает модуль поддержки совместимости .

Это дополнительный инструмент, включенный в прошивку UEFI, который обеспечивает совместимость с устаревшей версией BIOS.

CSM обеспечивает обратную совместимость, загружая машину, как если бы вы работали с устаревшей системой BIOS.

Это также позволяет вам использовать более старые операционные системы, которые не поддерживают UEFI. Вы создаете устаревшую совместимость с BIOS, эмулируя среду BIOS, совместимую с вашей текущей операционной системой.

Если ваш компьютер относительно новый и поставляется с предустановленной Windows, CSM, скорее всего, был бы отключен по умолчанию .

Включать его не нужно, если только вы не хотите установить более старую операционную систему, не поддерживающую UEFI, или если вы пытаетесь загрузиться со старого накопителя, который вы недавно подключили и на котором уже установлена ОС. установлен, если уж на то пошло.

Как узнать, какую схему загрузки использует мой компьютер?

Вот как проверить, загружается ли ваша операционная система Windows через BIOS или UEFI.

Нажмите кнопку поиска « Windows » на своем компьютере и запустите (введите) « Информация о системе ».

Режим BIOS из системной информации моего ПК

Теперь найдите « BIOS Mode» , и рядом с ним будет написано либо UEFI , либо Legacy .

Если написано UEFI , ваш BIOS на самом деле является UEFI и опция CSM в вашем BIOS отключена (иначе вы не смогли бы загрузить ОС в режиме UEFI)
Если он говорит Legacy , ваш BIOS либо несколько устарел, либо у вас, скорее всего, есть UEFI BIOS с параметром CSM, установленным на Enabled/Legacy

Для чего используется CSM?

Два распространенных сценария вызывают CSM.

Первая ситуация — если вы устанавливаете старую операционную систему, которая не поддерживает загрузку UEFI. Это будет Windows Vista до SP1 или более ранняя.

Еще одна причина использовать CSM — если вам нужно установить операционную систему с другой «разрядностью», чем у прошивки.

Например, если вы хотите установить 32-разрядную ОС на машину с 64-разрядным UEFI, вам потребуется использовать CSM.

Также важно отметить, что для загрузки BIOS обычно требуется создание разделов MBR. Однако некоторые загрузчики поддерживают схемы разбиения, например GPT.

Для загрузки UEFI обычно требуется, чтобы разрядность ОС соответствовала разрядности микропрограммы, а большинство машин на базе UEFI имеют 64-битную микропрограмму.

Что делать, если я устанавливаю первую ОС на новую машину?

Вы можете задаться вопросом, какой режим загрузки лучше подходит для установки вашей операционной системы.

Во-первых, вы должны проверить, есть ли у вас возможность установки как с UEFI, так и с BIOS.

Это включает перезагрузку компьютера и нажатие необходимой клавиши для входа в режим настройки BIOS или UEFI. (Обычно клавиша DEL или F2)

После входа в настройки BIOS/UEFI найдите параметры « Boot Mode» , которые можно переключать между « UEFI », « Legacy » или « UEFI + Legacy ».

Его также можно назвать чем-то вроде « Включить загрузку UEFI » или « Включить устаревшую загрузку ». Может даже упоминаться термин CSM или модуль поддержки совместимости .

Источник: MSI

Если в вашем BIOS/UEFI нет таких параметров, ваша материнская плата не поддерживает CSM.

При установке новой операционной системы вам придется придерживаться любого режима загрузки прошивки.

Если у вас ДЕЙСТВИТЕЛЬНО есть доступные варианты CSM, я рекомендую вам сначала попробовать UEFI, и если это не сработает, вы можете использовать CSM для установки вашей ОС.

Вот почему:

Преимущества UEFI

Более быстрая загрузка и лучшее управление питанием

UEFI с быстрой загрузкой может быть в два раза быстрее, чем устаревшая загрузка на машинах Windows.

Такие функции, как спящий режим, режим гибернации, перезагрузка и т. д., могут частично или полностью обходить POST (самотестирование при включении питания). Это означает, что ваш компьютер почти мгновенно готов к работе из таких энергосберегающих режимов.

Опция безопасной загрузки

Безопасная загрузка может быть скорее проблемой, чем преимуществом, в зависимости от ваших потребностей.

Вот почему большинство аппаратных средств позволяют отключить его. Однако наличие дополнительной проверки подписи на уровне прошивки является дополнительной функцией защиты от руткитов.

Нативная мультизагрузка

UEFI позволяет заявить, что на одном жестком диске установлено более одной ОС.

Затем вы можете выбирать между ними в пользовательском интерфейсе прошивки. Это означает, что вам не нужен дополнительный загрузчик.

Улучшенная поддержка больших дисков

Разделы MBR из BIOS поддерживают только до 2 ТБ. UEFI теоретически достигает ~9 зетабайт.

Вы по-прежнему можете загружать большие диски в BIOS, используя гибридные таблицы разделов и дополнительный раздел загрузчика. Тем не менее, он лучше поддерживается в UEFI без необходимости дополнительных патчей.

Лучшее управление программным обеспечением

Некоторые настройки UEFI, такие как порядок загрузки, могут быть изменены непосредственно операционной системой.

Это позволяет вам заказывать такие вещи, как «выключение и перезагрузка с компакт-диска» из операционной системы, без необходимости входа в пользовательский интерфейс прошивки.

Преимущества BIOS

Более простой процесс загрузки

BIOS предлагает более простой процесс загрузки. С UEFI можно последовательно загружать только несъемные носители.

Это связано с тем, что записи загрузчика для операционных систем на внутренних дисках хранятся на материнской плате.

Более гибкие варианты ОС

Большинство систем UEFI являются 64-разрядными, что означает, что 32-разрядные системы должны будут прибегать к CSM для загрузки. Версии Windows старше Vista SP1 не могут загружаться с UEFI.

Меньше ошибок

Реализации UEFI могут иметь незаметные, но фатальные ошибки и недостатки. Это может привести к поломке материнской платы из-за загрузки неправильного драйвера или удаления конфигурации прошивки.

BIOS существует с 1981 года, и способ его взаимодействия с ОС за это время не сильно изменился.

В настоящее время это очень тонкий слой, который используется только во время загрузки.

ОС почти не имеет доступа к тому, что находится внутри BIOS, поэтому фатально сломать что-либо гораздо сложнее.

Как включить CSM?

Включение CSM отличается для каждой марки материнской платы. Это включает в себя вход в BIOS при запуске компьютера и поиск вкладки « Boot » или « Security ».

Найдите меню с надписью « Безопасная загрузка 9».0004», и должна быть опция « Launch CSM ».

Включение CSM на материнских платах ASRock

После включения « Запустить CMS » выберите « Сохранить изменения и сбросить », и ваш компьютер будет готов к запуску с CSM.

Заключение

CSM — это конфигурация UEFI, обеспечивающая совместимость с устаревшей версией BIOS путем эмуляции среды BIOS.

Через CSM можно использовать устаревшие операционные системы и дополнительные ПЗУ, не поддерживающие UEFI.

Я рекомендую использовать CSM для загрузки через устаревший BIOS, только если вы:

Настраиваете виртуальную машину – UEFI на гипервизорах виртуальных машин обычно ограничен и экспериментальен; Загрузка BIOS намного лучше поддерживается
Необходимо загрузить 32-разрядную операционную систему на 64-разрядной машине
Иметь прошивку, о которой известно, что она содержит ошибки
Часто меняйте местами жесткие диски между машинами
Хотите установить более старую ОС

В других случаях лучше использовать UEFI. UEFI быстрее, безопаснее и обладает превосходной функциональностью.

Если вы включите CSM для установки более старой операционной системы, ваше устройство автоматически загрузится в том же режиме, в котором оно было установлено.

Часто задаваемые вопросы

Что произойдет, если я отключу CSM?

Вы не сможете загрузиться с помощью BIOS, если отключите CSM.

Будет включен UEFI, необходимый для установки и загрузки самых современных совместимых операционных систем.

В чем разница между CSM и UEFI?

CSM — это функция UEFI, обеспечивающая поддержку устаревшей версии BIOS.

В настоящее время UEFI и BIOS взаимозаменяемы, но ваша материнская плата, скорее всего, использует UEFI.

Включение CSM позволяет использовать устаревшие функции BIOS, которые не поддерживаются в обычном режиме UEFI.

CSM использует MBR (основную загрузочную запись) для загрузки операционной системы. UEFI использует файлы в большем разделе для загрузки ОС.

GPT и MBR — это разные спецификации для форматирования разделов диска. Это позволяет использовать загрузку UEFI на диске в формате MBR.

Должен ли я загружаться с UEFI или Legacy?

UEFI является преемником BIOS. Это означает, что UEFI в настоящее время является основным режимом загрузки.

UEFI обеспечивает лучшую безопасность, повышенную производительность, большую масштабируемость и лучшую программируемость по сравнению с устаревшей BIOS. Я рекомендую вам использовать UEFI для загрузки вашего ПК.

Вам слово

Это ответило на все ваши вопросы о CSM? Остались еще вопросы без ответов? Не стесняйтесь спрашивать нас в комментариях или в наших форум !

CGDirector поддерживает Reader. Когда вы покупаете по нашим ссылкам, мы можем получать партнерскую комиссию.

CSM и режим UEFI BIOS: чем они отличаются?

Выбор правильного режима BIOS для вашего компьютера может привести к путанице. Вот разбивка двух режимов (CSM и UEFI) и их различий.

Что такое БИОС?

BIOS — это аббревиатура, обозначающая базовую систему ввода/вывода. Это микропрограмма, которая используется для выполнения аппаратной инициализации в процессе загрузки. BIOS также обеспечивает среду выполнения для приложений и операционных систем. Кроме того, BIOS предоставляет множество услуг, таких как управление питанием, поддержка устройств ввода/вывода и поддержка загрузки с различных устройств хранения. BIOS хранится в постоянной памяти (ПЗУ) и обычно находится на материнской плате. Когда компьютер включается, BIOS выполняет POST (самотестирование при включении питания), чтобы проверить состояние оборудования. Если все работает правильно, BIOS загрузит загрузчик с запоминающего устройства и передаст ему выполнение.

Что такое режим CSM BIOS?

Режим CSM bios или «Режим поддержки совместимости» — это процесс загрузки, используемый некоторыми компьютерными системами. Во время этого процесса система эмулирует старый интерфейс BIOS для поддержки устаревшего программного обеспечения и устройств. Это может быть полезно при работе со старыми операционными системами или при использовании специализированного оборудования, несовместимого с более новыми системами. В некоторых случаях режим CSM bios может также предлагать улучшенную совместимость с определенными типами программного обеспечения для виртуализации. Однако важно отметить, что режим CSM bios также может привести к потенциальным проблемам со стабильностью и должен использоваться только в случае крайней необходимости.

Что такое режим UEFI BIOS?

UEFI, или Unified Extensible Firmware Interface, — это тип BIOS, обеспечивающий повышенную безопасность и производительность по сравнению с традиционным BIOS. Чтобы использовать режим UEFI, материнская плата вашего компьютера должна его поддерживать. Одним из самых больших преимуществ UEFI является то, что он поддерживает жесткие диски большего размера, чем BIOS, а также диски со схемой разбиения GPT. UEFI также предлагает лучшие функции безопасности, чем BIOS, что затрудняет заражение вашей системы вредоносными программами. Наконец, UEFI предлагает более быстрое время загрузки, чем BIOS, а также поддержку таких функций, как безопасная загрузка и быстрая загрузка. UEFI — это будущее BIOS, и оно постепенно становится новым стандартом для ПК. Если ваш компьютер поддерживает его, вам определенно следует подумать об его использовании.

CSM против UEFI BIOS: безопасность

Когда дело доходит до безопасности BIOS, есть два основных претендента: CSM (модуль поддержки совместимости) и UEFI (унифицированный расширяемый интерфейс встроенного ПО). У обоих есть свои преимущества и недостатки, но какой из них более безопасен? Давайте посмотрим поближе.

CSM — более старая из двух технологий, основанная на традиционной модели BIOS. Он предназначен для обеспечения обратной совместимости со старыми операционными системами и оборудованием. Однако это также означает, что он более уязвим для атак, использующих известные уязвимости. Кроме того, CSM не поддерживает такие функции, как безопасная загрузка или полное шифрование диска, что делает его менее безопасным, чем UEFI.

UEFI был разработан как замена BIOS, при этом безопасность была главной задачей. Он включает в себя такие функции, как безопасная загрузка и полное шифрование диска, что значительно затрудняет злоумышленникам доступ к вашей системе. Кроме того, UEFI поддерживает современные операционные системы и оборудование, что снижает вероятность возникновения проблем с совместимостью. Однако UEFI сложнее настроить, чем CSM, и некоторые старые системы могут его не поддерживать.

Так какой из них более безопасный? Это действительно зависит от ваших конкретных потребностей. Если вам нужна максимальная безопасность, то UEFI — лучший вариант . Однако, если вам нужна обратная совместимость или простота настройки, CSM может быть лучшим вариантом.

CSM и UEFI BIOS: совместимость

CSM совместим с более широким спектром оборудования и устройств, тогда как UEFI более требователен. Это связано с тем, что UEFI — это более новый стандарт, использующий преимущества новых аппаратных функций. Если ваша материнская плата не имеет этих функций, она несовместима с UEFI.

Однако то, что материнская плата совместима с UEFI, не означает, что она несовместима с CSM. Фактически, большинство материнских плат в наши дни поддерживают оба стандарта BIOS. Поэтому, если вы не уверены, какой из них выбрать, обычно вы можете просто выбрать 9.0003 по умолчанию (CSM) .

Конечно, между CSM и UEFI BIOS есть и другие различия, такие как время загрузки и безопасность, но совместимость — это самый важный фактор, который следует учитывать при принятии решения.

CSM и UEFI BIOS: скорость

CSM BIOS использует 16-битный код, который может быть медленнее, чем 32-битный код, используемый UEFI BIOS. Кроме того, CSM BIOS обычно требует нажатия клавиши для доступа к утилите настройки BIOS, в то время как доступ к UEFI BIOS можно получить из Windows. В результате UEFI BIOS обычно быстрее и проще в использовании, чем CSM BIOS.

Кроме того, UEFI также поддерживает быструю загрузку , которая может значительно сократить время загрузки компьютера.

CSM и UEFI BIOS: разделы диска

Одно из ключевых различий между UEFI и CSM заключается в том, как они обрабатывают разделы диска. В то время как CSM использует стандартную схему разделов MBR (основная загрузочная запись), UEFI использует более продвинутую схему разделов GPT (таблица разделов GUID). GPT предлагает множество преимуществ по сравнению с MBR, таких как повышенная гибкость и совместимость с большими дисками. В результате UEFI теперь является предпочтительным загрузчиком для большинства пользователей .

GPT поддерживает устройства хранения до 9 ЗБ.

CSM и UEFI BIOS: диски

CSM поддерживает только диски размером до 2 ТБ, а UEFI поддерживает диски размером до 16 ТБ. В результате, если у вас большой диск, вам нужно будет использовать режим UEFI для доступа к нему. Однако, если у вас небольшой диск, вы можете использовать режим CSM или UEFI. В конечном счете, выбор между CSM и UEFI BIOS сводится к поддержке размера диска и совместимости. Если у вас новый компьютер с большим диском, вам нужно будет использовать режим UEFI. Однако если у вас старый компьютер с небольшим диском, вы можете использовать любой режим.

Преимущества использования режима CSM BIOS

Режим CSM BIOS — это устаревшая функция BIOS, которая позволяет материнским платам поддерживать операционные системы, работающие только на старых версиях BIOS. Этот режим постепенно заменяется UEFI BIOS, который обеспечивает лучшую безопасность и совместимость с более новыми операционными системами. Тем не менее, использование режима CSM BIOS по-прежнему имеет некоторые преимущества, особенно если вы используете более старую операционную систему или если вам необходимо поддерживать устаревшее оборудование.

Одним из преимуществ является то, что режим CSM BIOS обеспечивает лучшую совместимость со старыми операционными системами. Например, если вы все еще используете Windows XP или Vista, вам может потребоваться использовать режим CSM BIOS для установки и запуска вашей ОС.
Еще одним преимуществом является то, что режим CSM BIOS обеспечивает лучшую поддержку устаревшего оборудования. Если у вас есть старый принтер или другое оборудование, несовместимое с UEFI, вам может потребоваться использовать режим CSM BIOS, чтобы заставить его работать.

В целом, использование режима CSM BIOS по-прежнему имеет некоторые преимущества, хотя от него постепенно отказываются. Однако, если вы используете более новую ОС или вам не нужно поддерживать устаревшее оборудование, вам может быть лучше использовать вместо этого UEFI BIOS.

Преимущества использования режима UEFI BIOS

Преимущества использования режима UEFI BIOS включают улучшенную безопасность, более быстрое время запуска и поддержку больших жестких дисков. Что касается безопасности, UEFI предоставляет ряд функций, которые могут помочь защитить вашу систему от вредоносных программ и других угроз. Например, UEFI включает поддержку безопасной загрузки, что помогает гарантировать, что в вашей системе может работать только доверенное программное обеспечение. Кроме того, UEFI предоставляет ряд других функций безопасности, таких как измеряемая загрузка и модули кода с проверкой подлинности. Что касается времени запуска, режим UEFI BIOS может помочь ускорить процесс загрузки, позволяя операционной системе загружаться непосредственно с жесткого диска. Наконец, с точки зрения поддержки жестких дисков режим UEFI BIOS позволяет использовать диски размером более 2 ТБ. В целом преимущества использования режима UEFI BIOS делают его привлекательным вариантом как для домашних пользователей, так и для предприятий.

Как узнать, какой режим BIOS использовать?

Чтобы понять, какой режим BIOS (CSM или UEFI) подходит для вашего компьютера, важно сначала понять, что делает каждый режим. CSM (модуль поддержки совместимости) — это традиционный режим BIOS, который уже много лет используется на компьютерах. В этом режиме компьютер загружается с использованием устаревших систем BIOS. Иногда это может вызывать проблемы совместимости с новым оборудованием и программным обеспечением.

UEFI (Unified Extensible Firmware Interface) — это новый режим BIOS, который постепенно становится все более популярным. В этом режиме компьютер загружается с использованием более современной системы, предназначенной для работы с более новым оборудованием и программным обеспечением. Важно отметить, что не все компьютеры поддерживают режим UEFI, поэтому вам необходимо проверить технические характеристики вашего компьютера, прежде чем вносить какие-либо изменения. Как правило, режим UEFI является рекомендуемой настройкой для большинства пользователей.

Как переключаться между режимами CSM и UEFI BIOS?

Современные компьютеры могут работать в двух разных режимах BIOS: CSM и UEFI. CSM (модуль поддержки совместимости) — это традиционный режим BIOS, который десятилетиями использовался на ПК. UEFI (Unified Extensible Firmware Interface) — это более новый режим BIOS, предназначенный для замены CSM. Хотя UEFI предлагает множество преимуществ по сравнению с CSM, в некоторых случаях необходимо переключаться между двумя режимами. Вот как это сделать:

Перезагрузите компьютер и войдите в программу настройки BIOS. Обычно это можно сделать, нажав клавишу во время загрузки, например F1, F2 или Esc. Обратитесь к документации вашего компьютера для получения конкретных инструкций.
В утилите настройки BIOS найдите параметр «Режим загрузки» или «Тип загрузки». Используйте клавиши со стрелками, чтобы выбрать UEFI или CSM, в зависимости от того, какой режим вы хотите использовать.
Сохраните изменения и выйдите из утилиты настройки BIOS. Теперь ваш компьютер загрузится в выбранном режиме BIOS.

Однако в большинстве случаев для переключения с CSM на UEFI может потребоваться помощь специалиста по компьютерам.

Что означает CSM в BIOS?

Для обратной совместимости большинство реализаций UEFI также поддерживают загрузку с дисков с разделами MBR через модуль поддержки совместимости (CSM), который обеспечивает совместимость с устаревшей версией BIOS. В этом случае загрузка Linux в системах UEFI такая же, как и в устаревших системах на основе BIOS.

Índice de contenidos

Должен ли я отключить CSM в BIOS?

На материнских платах Intel CSM (модуль поддержки совместимости) следует отключать, только если ваш графический процессор совместим с UEFI. Если нет, вы столкнетесь с проблемой, о которой сообщаете. И да, на платах Intel, чтобы включить безопасную загрузку, CSM должен быть отключен, чтобы включить безопасную загрузку.

Должен ли я включать CSM в BIOS?

Включать не нужно. Это необходимо только в том случае, если вы должны установить более старую ОС, которая не поддерживает UEFI. Если вы покопались в настройках BIOS, сбросьте их до значений по умолчанию и посмотрите, загрузится ли ваш компьютер снова. В большинстве BIOS есть сочетание клавиш для сброса до заводских настроек по умолчанию.

В чем разница между загрузкой UEFI и CSM?

CSM использует MBR (основную загрузочную запись) в специальном формате размером 512 байт для загрузки операционной системы. UEFI использует файлы в большом разделе (обычно 100 МБ) для загрузки операционной системы. … MBR и GPT — это разные спецификации форматирования разделов диска. Вы можете иметь загрузку UEFI на диске в формате MBR.

Что такое материнская плата CSM?

Программа ASUS Corporate Stable Model (CSM) разработана для предоставления стабильных материнских плат предприятиям любого масштаба с поставкой до 36 месяцев, уведомлением об окончании срока службы и контролем ECN, а также программным обеспечением для управления ИТ — ASUS Control Center Express.

Что отключает CSM?

Это делает материнскую плату действительно похожей на систему BIOS, позволяя ей загружаться с диска NTFS и MBR, но вы теряете функции UEFI и, по сути, просто используете BIOS. Если вы хотите запустить свою систему как UEFI, вам необходимо отключить CSM через интерфейс материнской платы перед установкой Windows.

Что лучше UEFI или BIOS?

BIOS использует основную загрузочную запись (MBR) для сохранения информации о данных жесткого диска, в то время как UEFI использует таблицу разделов GUID (GPT). По сравнению с BIOS UEFI более мощный и имеет более продвинутые функции. Это новейший метод загрузки компьютера, предназначенный для замены BIOS.

Как включить CSM в BIOS?

Включить поддержку загрузки Legacy/CSM в прошивке UEFI

Нажмите «Дополнительные параметры». Выберите Параметры встроенного ПО UEFI. Нажмите «Перезагрузить», компьютер перезагрузится, и вы перейдете к настройке UEFI, которая очень похожа на старый экран BIOS. Найдите параметр «Безопасная загрузка» и, если возможно, установите для него значение «Отключено».

Что такое CSM ASUS?

Программа ASUS Corporate Stable Model (CSM) предназначена для предоставления стабильных материнских плат компаниям во всем мире. … Программа ASUS Corporate Stable Model (CSM) предназначена для предоставления стабильных мини-ПК предприятиям по всему миру.

Что такое режим загрузки UEFI?

UEFI — это, по сути, крошечная операционная система, работающая поверх прошивки ПК, и она может делать гораздо больше, чем BIOS. Он может храниться во флэш-памяти на материнской плате или загружаться с жесткого диска или сетевого ресурса при загрузке. Реклама. Разные ПК с UEFI будут иметь разные интерфейсы и функции…

Должен ли я загружаться с UEFI или с устаревшей версии?

UEFI, преемник Legacy, в настоящее время является основным режимом загрузки. По сравнению с Legacy, UEFI имеет лучшую программируемость, большую масштабируемость, более высокую производительность и более высокий уровень безопасности. Система Windows поддерживает UEFI из Windows 7, а Windows 8 начинает использовать UEFI по умолчанию.

Должен ли я включать UEFI в BIOS?

Как правило, устанавливайте Windows в более новом режиме UEFI, так как он включает больше функций безопасности, чем устаревший режим BIOS. Если вы загружаетесь из сети, которая поддерживает только BIOS, вам необходимо загрузиться в устаревшем режиме BIOS. После установки Windows устройство автоматически загружается в том же режиме, в котором оно было установлено.

Является ли Windows 10 UEFI или устаревшей?

Чтобы проверить, использует ли Windows 10 UEFI или Legacy BIOS, с помощью команды BCDEDIT. 1 Откройте командную строку с повышенными привилегиями или командную строку при загрузке. 3 Найдите в разделе «Загрузчик Windows» свою Windows 10 и проверьте, является ли путь Windowssystem32winload.exe (старый BIOS) или Windowssystem32winload. ефи (UEFI).

Что такое программное обеспечение CSM?

CSM Программное обеспечение позволяет менеджеру по работе с клиентами эффективно и действенно увеличить многомиллионный портфель с сотнями клиентов. … Программная платформа CSM должна поддерживать успешного менеджера по нескольким направлениям. Менеджеры по работе с клиентами каждый день переключаются между множеством основных задач CSM.

Что такое CSM в маркетинге?

CSM (управление обслуживанием клиентов), ESM (управление корпоративными услугами) и SIAM — три аббревиатуры, которые появились в последние годы, чтобы помочь определить постоянно меняющиеся требования отрасли услуг.

Что такое собственный UEFI без CSM?

• UEFI Native без CSM. Если для параметра «Безопасная загрузка» установлено значение «Включить», BIOS будет проверять подпись загрузчика перед загрузкой ОС. Если для режима загрузки на ноутбуках установлено значение «Устаревший» или для параметра «Поддержка гибридного режима UEFI» установлено значение «Включить», CSM загружается, а безопасная загрузка автоматически отключается.

Установка

— Должен ли я устанавливать ОС, используя режим загрузки UEFI или BIOS (устаревший/CSM)?

Я видел, как этот вопрос задавали в разных местах, и только с частичными ответами, поэтому я стремлюсь предоставить что-то вроде полного руководства по схемам загрузки 😉

Прежде всего, немного дополнительной информации, которая вам понадобится:

Загрузка BIOS обычно требует разметки MBR, хотя некоторые загрузчики поддерживают другие схемы разметки, например GPT.

Для загрузки

UEFI обычно требуется разрядность ОС, чтобы соответствовать разрядности прошивки, а подавляющее большинство машин на основе UEFI имеют 64-разрядную прошивку.

Сценарии, когда необходимо использовать BIOS

Вы устанавливаете старую ОС, которая не поддерживает загрузку UEFI (например, Windows Vista до SP1 или более ранняя), или
Вам необходимо установить ОС разрядностью, отличной от разрядности прошивки (т. е. 32-разрядную ОС на машину с 64-разрядным UEFI или наоборот)

Обратите внимание, что операционные системы, для которых номинально требуется UEFI , часто могут принудительно загружаться на компьютерах с BIOS с помощью специально разработанного загрузчика ¹ . Например, так обстоит дело с OS X — вам подтвердит любой энтузиаст Хакинтоша.

Если вы планируете двойную загрузку и устанавливаете вторую ОС…

Хотя это сложно, можно преобразовать схемы MBR и GPT и переустановить загрузчик для другого режима.

Также возможна загрузка одной ОС через UEFI, а другой через BIOS. Иногда у вас не будет выбора, например. если у вас уже установлена 64-разрядная версия Windows на основе UEFI и вы хотите установить вместе с ней 32-разрядную версию Linux. Или какая-то старая и/или экзотическая ОС, которая не поддерживает UEFI. Но дважды подумайте, действительно ли вам нужен , чтобы сделать это.

Итого: просто придерживайтесь схемы загрузки, которая уже есть на вашей машине , если у вас нет такого выбора. Это почти всегда правильный путь.

Как узнать, какую схему загрузки использует моя машина?

Практическое правило:

Если это Mac, он использует UEFI; некоторые ранние модели на базе Intel использовали EFI32, все модели с 2008 года используют стандартный 64-битный UEFI.
Если это фирменный ПК, поставляемый с Windows 8 или более поздней версии, он использует UEFI; Microsoft требует, чтобы безопасная загрузка (для которой требуется UEFI) была включена по умолчанию на всех компьютерах, которые соответствуют спецификации логотипа Windows, начиная с Windows 8.
Если это ПК с Windows XP или более ранней версией, он использует BIOS.

С ПК, которые поставляются с Windows Vista или 7 или с Linux, а также с ПК, сделанными своими руками или продаваемыми небольшими местными предприятиями, никогда нельзя быть уверенным только на вид. В этом случае есть несколько способов определить режим загрузки:

Вы можете изучить таблицу разделов. Если это GPT-диск с системным разделом EFI (обычно перед основным томом ОС), он загружается в режиме UEFI. В противном случае это режим BIOS.
Вы можете войти в программу настройки BIOS/UEFI и выполнить поиск параметров приоритета загрузки. Если он отображает записи, говорящие об EFI или UEFI, и/или они несколько описывают операционную систему (например, «Диспетчер загрузки Windows» или «Ubuntu»), он загружается в режиме UEFI. Если он показывает только номер модели диска, это режим BIOS.

Если вы устанавливаете первую ОС на новую машину или собираетесь очистить жесткий диск…

Прежде всего проверьте, есть ли у вас выбор. Войдите в программу настройки BIOS/UEFI и найдите такие параметры, как «Режим загрузки», которые можно переключать между «UEFI», «Legacy», «UEFI + Legacy» и что-то в этом роде. Его также можно назвать чем-то вроде «Включить загрузку UEFI» или «Включить устаревшую загрузку» или упомянуть термин CSM. Если в вашей прошивке нет такой опции, вам не повезло, и вам придется придерживаться того, что у вас есть — на старых машинах это будет режим BIOS; есть также некоторые более новые машины (например, линейка Microsoft Surface), которые поддерживают только режим UEFI. Если вы все еще не уверены, что у вас есть — поищите «Secure Boot» в настройках — если это где-то упоминается, это UEFI.

Предположим, у вас есть выбор… Давайте посмотрим на преимущества обоих режимов.

Преимущества UEFI

Более быстрая загрузка и лучшее управление питанием . ² Это особенно актуально для Windows — в зависимости от различных факторов UEFI с быстрой загрузкой может быть даже в два раза быстрее, чем устаревшая загрузка. В Linux разница будет меньше, но все равно будет. Это связано с тем, что ОС, загружаемая через BIOS, должна повторно инициализировать некоторое оборудование, которое могло быть уже инициализировано, исходный код ОС необходимо загружать в очень медленных устаревших режимах и т. д. В Linux вы также можете полностью отказаться от GRUB (или его эквивалента) и загрузите ядро прямо из прошивки, что также может немного ускорить процесс. Кроме того, такие вещи, как перезагрузка, спящий режим, гибернация и т. д., могут иногда частично или полностью обходить POST, дополнительно повышая общую скорость операций, связанных с загрузкой и питанием.
Вариант безопасной загрузки. В зависимости от вашего варианта использования это может быть скорее хлопотно, чем преимущество (но большинство аппаратных средств позволяет отключить его), а также его фактические достоинства безопасности ограничены, но, тем не менее, наличие дополнительной проверки подписи на уровне прошивки может быть дополнительной защитой от руткитов. Только не думайте, что ваша система безопасна только потому, что она использует безопасную загрузку, она слишком несовершенна для таких предположений.
Улучшенная поддержка больших дисков. 9Схема разбиения MBR 0004 не поддерживает диски размером более 2 ТиБ. Вы по-прежнему можете загружаться с таких больших дисков в BIOS, используя гибридные таблицы разделов и дополнительный раздел загрузчика (который в любом случае создается большинством операционных систем по умолчанию), но он лучше поддерживается в UEFI. Кроме того, у GPT нет ограничения MBR на 4 раздела, что избавляет вас от такой ерунды, как «расширенные разделы». Практически нет ничего такого, что нельзя было бы сделать поверх MBR через пэтчворк — но поддерживается элегантно и нативно, без пэчворка 😉
Штатный мультизагрузчик. UEFI позволяет изначально заявить, что на одном жестком диске установлено более одной операционной системы — затем вы можете выбирать между ними в пользовательском интерфейсе встроенного ПО без необходимости в дополнительном загрузчике. Хотя это не всегда самый удобный вариант для работы с мультизагрузкой, это должно уменьшить количество проблем, таких как обновление ОС или перезапись загрузчика некоторыми антивирусными программами и т. д.
Лучшее управление программным обеспечением. Некоторые настройки UEFI (в частности, порядок загрузки) могут быть изменены ОС стандартным способом. Это позволяет вам заказывать такие вещи, как «выключение и перезагрузка с компакт-диска» (или «загрузка другой ОС» в описанном выше случае) из операционной системы без необходимости входа в пользовательский интерфейс встроенного ПО.

Преимущества BIOS

Более простой процесс загрузки. Проще, проще по дизайну – не обязательно проще для современного железа (поэтому и медленнее). С UEFI всегда можно последовательно загрузить только съемные носители — записи загрузчика для ОС на внутренних дисках хранятся на материнской плате. Вот почему на машине на основе UEFI при замене жесткого диска или перемещении дисков между машинами вам понадобится среда восстановления на съемном носителе (или встроенная оболочка EFI, которая иногда доступна на материнских платах DIY-рынка, но почти не существует в машинах известных марок), чтобы перестроить внутреннюю конфигурацию загрузчика для нового диска. В отличие от этого, BIOS просто загружает первый сектор диска, что позволяет легко клонировать и перемещать жесткие диски между машинами (при условии, конечно, что нет проблем, связанных с драйверами).
Более гибкий выбор ОС. Версии Windows старше Vista SP1 не могут загружаться через UEFI. Аналогично для старых дистрибутивов Linux. Более того, вообще невозможно загрузить ОС с другой разрядностью, чем прошивка — а подавляющее большинство систем на основе UEFI являются 64-битными, что означает отсутствие 32-битных ОС без использования устаревшей загрузки. Напротив, почти все можно загрузить через BIOS. ¹
Меньше ошибок. Реализации UEFI довольно часто имеют тонкие, но фатальные недостатки и ошибки, которые могут привести к блокировке материнской платы из-за удаления конфигурации прошивки или загрузки неправильного драйвера. Напротив, BIOS существует с 1981, и, по крайней мере, способ его взаимодействия с ОС за это время не сильно изменился. В современном использовании это очень тонкий слой, который используется только во время загрузки, а также в основном однонаправленный, при этом ОС почти не имеет доступа к тому, что остается внутри BIOS. Это означает, что гораздо сложнее смертельно сломать вещи.

Итог

Мой совет: загружайтесь через устаревший BIOS, если вы:

на самом деле настраиваете виртуальную машину — UEFI на гипервизорах виртуальных машин имеет тенденцию быть ограниченным и экспериментальным; Загрузка BIOS намного лучше поддерживается
необходимо загрузить 32-битную ОС на 64-битной машине
имеют заведомо глючную прошивку
часто меняют местами или перемещают жесткие диски между машинами

В противном случае лучше использовать UEFI. Это быстрее, безопаснее и имеет лучшую функциональность.

Сноски

Можно даже установить среду UEFI поверх BIOS . Сборки DUET от TianoCore делают именно это, но такая настройка обычно непрактична для реальных установок. Если у вас нет машины только с BIOS и вы устанавливаете какую-то экспериментальную ОС, которую нельзя загрузить никаким другим способом, кроме как через загрузчик UEFI, вам не стоит этого делать.
В некоторых ранних прошивках UEFI загрузчик UEFI может быть «прикручен болтами» к прошивке, в остальном основанной на BIOS. В этих редких случаях загрузка BIOS может быть быстрее, но это не относится к большинству аппаратных средств.

Должен ли я отключить Csm в биосе? [Ответ 2023] — Droidrant

Если вам интересно, следует ли вам отключить CSM в BIOS, вы можете проверить настройку «Legacy» или «Boot Mode». Вы найдете эти настройки на вкладке «Загрузка» в разделе «Безопасность». Если на вашем ПК включена безопасная загрузка, эти параметры выделены серым цветом. Чтобы включить CSM, вы должны сначала отключить безопасную загрузку. Если они отключены, ваш компьютер по-прежнему сможет загружаться в устаревшем режиме, но вы потеряете совместимость.

Если вы используете материнскую плату MSI, вы можете отключить CSM в BIOS. Большинство материнских плат MSI используют клавишу «Del» во время процесса POST для входа в меню BIOS. Вы найдете вкладку «Загрузка» в верхней части экрана. На материнских платах MSI вы можете включить Legacy, чтобы отключить CSM, и вы можете отключить его оттуда, если вы используете UEFI с Legacy.

Вы также можете изменить настройки параметра загрузки. Обычно это находится на вкладке Boot, но зависит от материнской платы. Обычно вы можете изменить параметр загрузки с UEFI на Legacy/CSM, чтобы включить поддержку загрузки CSM. Чтобы изменить параметр загрузки, перейдите на вкладку Advanced Setup и установите флажок CSM. Если вы не уверены, стоит ли включать его, попробуйте сначала включить его и посмотреть, исчезнет ли проблема.

Связанные вопросы / Содержание

Должен ли CSM быть включен или отключен?
Безопасно ли отключать поддержку CSM?
Должен ли BIOS быть UEFI или CSM?
Можно ли отключить CSM в BIOS?
Для чего используется CSM в BIOS?
Что такое роль CSM?
Что произойдет, если отключить CSM?

Должен ли CSM быть включен или отключен?

Если вам интересно, следует ли включать CSM в BIOS, у вас есть несколько вариантов. Некоторые устаревшие операционные системы, такие как Windows XP, требуют CSM для загрузки. Другие системы, такие как Windows 10, не требуют этого параметра для загрузки. Чтобы включить CSM, убедитесь, что безопасная загрузка отключена. Читайте дальше, чтобы узнать, как это сделать. Но сначала давайте посмотрим на проблему.

Многие современные ПК теперь имеют безопасную загрузку и UEFI. В отличие от BIOS, UEFI использует таблицу разделов GUID вместо основной загрузочной записи. UEFI предназначен для замены BIOS. Экран настройки UEFI очень похож на старый экран BIOS. Нажмите «Дополнительные параметры системы». Найдите возможность отключить безопасную загрузку. Этот параметр управляет порядком загрузки, и он полезен, если вы устанавливаете более старую операционную систему, которая не поддерживает UEFI.

Настройки BIOS для CSM могут отличаться от одного производителя к другому. Некоторые материнские платы автоматически отключают CSM, в то время как другие используют его как опцию для включения UEFI. Затем отключите устаревшую поддержку и отключите CSM. Этот процесс следует выполнять во время POST-теста на всех материнских платах. Этот процесс должен занять около 5 минут. Затем вы должны войти в меню BIOS, нажав F2.

Безопасно ли отключать поддержку CSM?

Если у вас есть материнская плата MSI, вы можете отключить поддержку CSM в BIOS. Большинство материнских плат позволяют сделать это, нажав «Del» во время процесса POST. Оказавшись в BIOS, найдите вкладку «Boot» в верхней части экрана. Выберите Legacy, который отключает поддержку CSM, или UEFI и Legacy, которые включают поддержку CSM.

Вы можете включить или отключить поддержку CSM в BIOS, выбрав вкладки Security, Boot и Authentication. Как правило, вы можете включить или отключить эту функцию, выбрав Legacy/CSM в настройках загрузки UEFI. Если вы отключите поддержку CSM в BIOS, ваш компьютер не запустится в устаревшем режиме. Это хороший вариант, если вы хотите сохранить совместимость с Windows Vista.

Хотя новые компьютеры обычно поддерживают UEFI, некоторые его не поддерживают. Если вы не уверены, является ли ваш компьютер UEFI или Legacy, проверьте информацию о системе. Как правило, UEFI указывается как Legacy. Отключение поддержки CSM в биосе повлияет только на параметры загрузки для старых и устаревших операционных систем. Также необходимо убедиться, что загрузочный диск соответствует режиму загрузки BIOS.

Должен ли BIOS быть UEFI или CSM?

Вам может быть интересно, следует ли использовать UEFI или CSM в BIOS. Ответ зависит от типа операционной системы, установленной на вашем ПК. Обе системы работают одинаково, но есть некоторые отличия. Например, CSM доступен на некоторых материнских платах, а UEFI — нет. Чтобы переключаться между ними, вам нужно изменить настройки в BIOS.

И UEFI, и BIOS предназначены для загрузки ПК и подготовки системы к установке операционной системы. BIOS также известен как BIOS и является жизненно важной частью компьютерного оборудования. BIOS является неотъемлемой частью вашего компьютера, так как он пробуждает другие аппаратные компоненты и загружает операционную систему. Как правило, интерфейсы BIOS бывают двух режимов — CSM и UEFI. CSM, или устаревшая версия BIOS, используется по умолчанию в системах загрузки компьютеров, а UEFI — самая последняя и самая безопасная версия.

Вы можете установить CSM в BIOS, но этот режим требуется не во всех случаях. Вы можете включить CSM, выбрав параметр «Безопасная загрузка» в меню загрузки. Если на вашем компьютере нет этой опции, он отключит режим CSM. Этот режим более безопасный и быстрый, но он не позволяет вам использовать устаревшие ПЗУ BIOS. В результате многие ПК теперь имеют UEFI.

Могу ли я отключить CSM в BIOS?

Меню BIOS — отличное место для отключения CSM. Эта функция обычно находится на вкладке «Дополнительно» или «Загрузка», в зависимости от материнской платы. При необходимости его можно включить или отключить. Убедитесь, что вы включили безопасную загрузку, которая необходима для отключения CSM. В зависимости от вашей версии BIOS может быть доступно несколько вариантов. На некоторых материнских платах функция безопасной загрузки не включена по умолчанию.

Проблема с загрузкой CSM обычно вызвана либо неправильно настроенными параметрами загрузки CSM, либо неподдерживаемым типом раздела. Распространенным решением является включение режима UEFI, который включает поддержку загрузки CSM. Точно так же вы можете включить Legacy Boot Mode в BIOS, чтобы отключить CSM. Независимо от того, какой режим вы выберете, убедитесь, что загрузочный диск соответствует режиму загрузки. Если ваша система не в UEFI, вам необходимо отключить CSM.

Вы также можете отключить безопасный режим загрузки, перейдя на вкладку «Загрузка» и «Безопасность». Перейдите на вкладку «Наследие», где вы найдете параметр «Режим загрузки». Опция должна быть неактивна. Обратите внимание, что вы должны отключить безопасную загрузку, прежде чем вы сможете включить CSM. Этот шаг также позволит вам загрузить Windows в устаревшем режиме. Это самый простой способ выключить CSM и восстановить предыдущее состояние вашей системы.

Для чего используется CSM в BIOS?

Что такое CSM в BIOS? Это загрузочный модуль, используемый для установки старых операционных систем на компьютеры. На разных материнских платах он разный и включается или отключается в зависимости от модели. Чтобы включить CSM, войдите в BIOS и перейдите в меню Secure Boot. Выберите «Запустить CSM» и «Сохранить изменения и сброс», чтобы включить CSM. CSM эмулирует среду BIOS, обеспечивая устаревшую совместимость и использование дополнительных ПЗУ. Однако не рекомендуется использовать CSM в BIOS, так как UEFI быстрее, безопаснее и функциональнее.

После того, как вы нашли CSM, вы можете изменить его настройки, чтобы включить или отключить его. Вы также можете использовать вкладку Boot для изменения приоритета загрузки. Как правило, CSM включается, когда ПК поддерживает UEFI. Устаревшие ОС, такие как Windows XP, не поддерживают UEFI. Если вы используете Windows XP, вы должны включить CSM, чтобы иметь возможность загружаться, а Windows 10 — нет.

Что такое роль CSM?

Роль менеджера по обслуживанию клиентов является связующим звеном между компанией и ее клиентами. CSM должен иметь возможность направлять запросы в соответствующие отделы или торговых представителей. CSM должен быть в состоянии действовать как голос клиента и гарантировать, что они довольны общим опытом. Независимо от того, большая компания или маленькая, CSM должен быть в состоянии удовлетворить потребности обоих. Вот несколько советов, как сделать роль CSM полезной и приятной:

Самой большой обязанностью и приоритетом менеджера по работе с клиентами является адаптация. Плохой адаптационный опыт — одна из главных причин ухода клиентов из компании. CSM должен гарантировать, что процесс адаптации будет положительным и поможет клиенту привыкнуть к продукту. Процесс адаптации должен быть сосредоточен на том, что клиент должен знать о продукте, например, о функциях и проектах, которые он надеется реализовать с его помощью.

Что произойдет, если отключить CSM?

Если у вас устаревшая ОС, проверьте, нужен ли CSM. Если нет, вы можете отключить CSM и позволить вашей системе выйти из загрузочной среды. Отключение CSM в BIOS не повлияет на производительность вашей системы. Однако, если у вас обновленная ОС, вам следует подумать об изменении настроек CSM, чтобы избежать этой проблемы. В конце концов, это ваш компьютер, и вы хотите использовать его по максимуму.

Экран BIOS можно найти на вкладке загрузки или в расширенной настройке. Первая вкладка называется «Безопасность», а вторая — «Загрузка». Там вы найдете настройку для CSM или модуль поддержки совместимости.