Безопасная загрузка secure boot настроена неправильно Windows 8.1

Безопасная загрузка (SecureBoot) настроена неправильно в Windows 8.1

После установки Windows 8.1 (или при обновлении с Win 8 до Win 8.1 через Windows Store) в правом нижнем углу рабочего стола у части пользователей появляется надпись:

Windows 8.1 Профессиональная Безопасная загрузка(SecureBoot) настроена неправильно Build 9600.

В английской версии ошибка, соответственно:

Попробуем разобраться, что означает эта запись и к каким последствиям она может привести.

Во первых, сразу всех успокоим и скажем, что появление надписи о неправильности настройки безопасной загрузки ни в коем случае не говорит о том, что ваша Windows 8.1 является пиратской или нелегально активированной. Это также не сообщение о серьезных ошибках или проблемах с Windows 8.1. Скорее, это некое информационное предупреждение (хотя и очень навязчивое) о том, что безопасность системы находится не на высоком уровне, т.к. режим безопасной загрузки (Secure Boot) не настроен.

Как в Windows 8.1 убрать на рабочем столе надпись «Безопасная загрузка (SecureBoot) настроена неправильно»?

В первую очередь нужно определить включен ли режим Secure Boot в вашей системе. В командной строке PowerShell с правами администратора выполните команду:

Согласно статье на TechNet http://technet.microsoft.com/en-us/library/dn441535.aspx командлет может вернуть следующие значения:

С помощью следующей команды проверяется тип политики Secure Boot:

  • — настроена корректная политика Secure Boot.
  • Любой другой GUID – используется непродуктивная (тестовая или отладочная) политика безопасной загрузки.
  • Secure Boot policy is not enabled on this machine (Политика безопасной загрузки на этом компьютере не включена) — компьютер не поддерживает Secure Boot или работает в Legacy режиме

В том случае, если компьютер поддерживает Secure Boot, можно просто активировать безопасную загрузку:

  1. Перезагрузить компьютер и войти в UEFI (aka BIOS) и включите Secure Boot. Конкретные местонахождения параметров настройки зависят от производителя ПК и настроек среды UEFI (ниже мы привели список типовых настроек Secure Boot в различных UEFI)

  2. Если первый вариант не помог, попробуйте сбросить настройки BIOS/UEFI на заводские (factory default)

Если же использование Secure Boot в вашем случае невозможно (например, вы используете систему с двойной загрузкой ОС, отличных от Win 8/ 8.1), то официального решения пока нет – есть несколько методик (в том числе ручной через Resource Hacker FX), которые вносят изменения в библиотеки basebrd.dll.mui и shell32.dll.mui, убирая предупреждающую надпись. Однако рекомендовать использовать эту методику мы не будем, т.к. она вносит нестандартные изменения в системные файлы и потенциально опасна.

В том случае если ваша система в принципе не поддерживает Secure Boot, а надпись все равно присутствует (скорее всего разработчики Windows 8.1 допустили ошибку), убрать надпись можно, установив свежий набор обновлений от Microsoft KB 2883200(выпущенный, кстати меньше чем через сутки после официального релиза Windows 8.1). Описание пакета обновления тут: http://support.microsoft.com/kb/2883200 . В состав пакета входят KB2894179, KB2883200, KB2894029.

Скачать пакет можно:

Статья будет обновляться по мере появления новой информации.

Исправление ошибок Secure Boot

Некоторые пользователи устройств под управлением операционной системы Windows 8 и 8.1 после установки обновлений столкнулись с ошибками системы, которые связаны с так называемой «безопасной загрузкой». Что же это такое? Это функция, которая препятствует запуску неавторизованных ОС и ПО при включении ПК. Нужна она для дополнительной защиты вашего компьютера от вирусов и руткитов, которые могут нанести вред системе в тот момент, когда она загружается. Но что же делать, если указанная функция становится причиной постоянных ошибок? Всё дело в заданных параметрах. В этой статье подробно рассмотрим, как правильно настроить Secure Boot. Давайте разбираться. Поехали!

Если есть такая проблема, данная статья для вас.

Существует ряд проблем, связанных с режимом безопасной загрузки. Чаще всего это сообщение об ошибке «Безопасная загрузка Secure Boot настроена неправильно» или «Secure Boot Violation Invalid signature detected». Что же делать в таком случае? Часто бывает достаточно просто включить указанную функцию через BIOS. Но у некоторых пользователей такой пункт в BIOS отсутствует вовсе. Тогда следует попробовать отключить его. О том, как это сделать, далее в статье.

Нарушение Secure Boot

Первым делом зайдите в BIOS. Для этого необходимо нажать определённую клавишу (зависит от девелопера вашего ПК) в процессе включения компьютера.

Обратите внимание, что если вы пользуетесь Windows 8.1 или 8, можно просто перейти к меню параметров, открыть раздел «Изменение параметров компьютера», а затем выбрать пункт «Обновление и восстановление». Далее, необходимо зайти в «Восстановление» и кликнуть по кнопке «Перезагрузить». Затем выберите дополнительные параметры «Настройки ПО UEFI». После перезагрузки ПК получит нужные параметры.

Диалоговое окно Windows 8 (8.1)

Другой способ касается юзеров всех остальных версий ОС Windows. Откройте BIOS или UEFI (более современный аналог). Далее, для каждой марки ноутбука процесс настройки может незначительно отличаться, поэтому рассмотрим каждый случай отдельно.

Зайдите во вкладку «Boot». Затем откройте раздел «Secure Boot». Выберите «Other OS» в пункте «OS Type». В более старых версиях просто поставьте «Disabled» в нужном пункте. Сохраните настройки, нажав на клавиатуре клавишу F10.

Проверяем состояние и настраиваем параметры

Откройте раздел «System Configuration», а затем нажмите «Boot Options». Найдите там соответствующую строку и выберите режим «Disabled». Сохраните параметры перед выходом.

Lenovo, Toshiba

Запустив BIOS, откройте раздел «Security». Найдите соответствующий пункт и выберите для него состояние «Disabled».

В зависимости от версии БИОСа, параметры могут немного отличаться

Для ноутбуков Dell и Acer всё выполняется аналогичным образом, с той разницей, что нужный пункт находится во вкладке «Boot» (для Dell) и «Authentication» или «System Configuration» (для Acer).

Алгоритм действий похож

Если ваш компьютер с материнской платой от компоновщика Gigabyte, то нужный раздел следует искать во вкладке «BIOS Features». Дальнейшие действия такие же, как в выше рассмотренных случаях.

В ОС Windows 8 и более новых версиях можно узнать, включена или отключена на компьютере безопасная загрузка. Для этого воспользуйтесь комбинацией клавиш Win+R, чтобы открыть окно «Выполнить», а затем пропишите в поле для ввода (без кавычек) «msinfo32». В разделе «Сведения о системе» вы найдёте необходимую информацию. Так вы можете узнать о состоянии функции безопасной загрузки на вашем ПК.

В общем, в случае возникновения каких-либо неисправностей с режимом безопасной загрузки, попробуйте включить или отключить его, перейдя в BIOS или UEFI. Это поможет вам решить проблемы с системой и комфортно пользоваться компьютером.

Теперь вы точно будете знать, что делать, если на вашем компьютере неправильно заданы параметры безопасной загрузки. Как видите, эту ситуацию несложно исправить. Каких-то несколько минут, и ваша система снова работает как надо. Пишите в комментариях, помогла ли вам статья разобраться с ошибкой, и делитесь с другими пользователями своим опытом в решении указанной проблемы.

Безопасная загрузка secure boot настроена неправильно Windows 8.1

Почти сразу после выхода обновления Windows 8.1 многие пользователи стали наблюдать, что возникла ошибка, сообщение о которой отображается в правой нижней части экрана и гласит «Безопасная загрузка Secure boot настроена неправильно» или же, для англоязычной версии — «Secure boot isn’t configured correctly». Теперь это можно легко исправить.

В некоторых случаях, проблему оказалось несложно исправить самостоятельно, просто включив Secure Boot в BIOS. Однако не всем это помогло, к тому же не во всех версиях BIOS обнаружился данный пункт. См. также: Как отключить Secure Boot в UEFI

Теперь же появилось официальное обновление Windows 8.1, которое исправляет эту ошибку. Данное обновление убирает сообщение Безопасная загрузка настроена неправильно. Скачать это исправление (KB2902864) можно с официального сайта Microsoft как для 32-х так и для 64-разрядной версии Windows 8.1.

А вдруг и это будет интересно:

  • Windows 11
  • Windows 10
  • Android
  • Загрузочная флешка
  • Лечение вирусов
  • Восстановление данных
  • Установка с флешки
  • Настройка роутера
  • Всё про Windows
  • В контакте
  • Одноклассники

04.12.2013 в 17:38

После обновления Windows 8 до Windows 8.1 перестал работать Office 2007. Какой Офис надо устанавливать?

04.12.2013 в 17:43

Не подскажу. В первый раз слышу о такой проблеме. У меня 2013, работает исправно (лицензия).

12.03.2016 в 19:41

Компьютер Lenovo E50-00 с установленной W. 8.1 купил 11.02.2016 после автоматического обновления до Windows 10 стал включаться следующим образом: после нажатия кнопки включения питания на системном блоке, кнопка подсвечивается, индикатор диска мигает, но через несколько секунд гаснет и компьютер не включается, потом еще раз нажимаю кнопку и тогда компьютер включается нормально. Случайно заменил клавиатуру Lenovo на BTC, подал питание и первый раз компьютер включился с первого раза, но при следующих включениях опять только со второго раза. Поменял клавиатуру наоборот и ситуация повторилась, т.е. при первом включении после замены включился с первого раза, а при повторных включениях только со второго. То же проделал с заменой мышки и все повторилось, как и с заменой клавиатуры. В остальном компьютер работает нормально, без каких-либо проблем, поэтому не хочется возвращать компьютер в исходное состояние и ловить новые проблемы при следующем обновлении до Windows 10, к тому же я не имею достаточного опыта в этих вопросах. Подскажите, может быть можно решить эту проблему другим путем?
С уважением, Виктор.

13.03.2016 в 08:51

Здравствуйте. Попробуйте для начала отключить быструю загрузку https://remontka.pro/fast-startup-windows-10/
перезагрузить компьютер, а уже потом попробовать как он работает при включении-выключении.
Скорее всего, поможет.

27.04.2018 в 15:55

Здравствуйте. Не видит НР жесткий диск, в биос при нажатии Clear all secure boot keys выдаёт the secure boot key database is empty

28.04.2018 в 08:46

Так проблема в том что не видит жесткий диск или в безопасной загрузке?

05.07.2018 в 00:23

У меня после вашего обновления на устранение этой ошибки перестал работать интернет какие то проблемы с драйвером теперь я раздаю интернет через юзб с телефона что теперь делать?

05.07.2018 в 10:58

Смотря что именно там случилось (слетел драйвер — переустановить, отключили сетевую карту в биосе случайно — включить, изменили параметры интернета — изменить обратно), т.е. это не из-за «моего обновления» явно.

17.11.2021 в 19:45

ASUS SonicMaster, в BIOS соответствующий пункт отсутствует. После установки предложенного обновления надпись исчезла… вместе с надписью «Windows 8.1 Профессиональная Build 9600». Админу печенек!

Укрощаем UEFI SecureBoot

Введение

С ликбезом закончили, теперь к делу. Несмотря на то, что про создание своих ключей и настройку SecureBoot написано за три последних года с десяток отличных статей (ссылки на часть из которых приведены в разделе Литература), воз и ныне там. Основная проблема с информацией о настройке SecureBoot даже в англоязычном сегменте сети (не говоря уже о рунете) — большая часть статей, текстов и постов обрывается на «вот у нас теперь есть ключи в формате EFI Signature List, добавьте их зависимым от вашего вендора прошивки способом и готово». При этом сами вендоры не торопятся описывать меню настройки SecureBoot ни в документации на свои платформы для OEM’ов, ни в мануалах на конечные системы, в результате пользователь теряется на незнакомой местности и либо отключает SecureBoot, мешающий загружать его любимую OpenBSD (или что там у него), либо оставляет его на настройках по умолчанию (а чего, Windows грузится же). Именно этот последний шаг я и попытаюсь описать более подробно, но не в ущерб остальным необходимым шагам.

Тестовая конфигурация

Специально для этой статьи я достал из закромов пару не самых новых ноутбуков с прошивками на платформах Phoenix SCT и Insyde H2O, а также совершенно новую плату congatec (разработкой прошивки для которой я занят в данный момент) на платформе AMI AptioV. Встречайте, наши тестовые стенды:

1. AMI, они же “треугольные“: congatec conga-TR3 @ conga-TEVAL, AMD RX-216GD (Merlin Falcon), AMI AptioV (UEFI 2.4)

2. Insyde, они же “квадратные“: Acer Aspire R14 R3-471T (Quanta ZQX), Intel Core i3-4030U (Ivy Bridge), Insyde H2O (UEFI 2.3.1C)

3. Phoenix, они же “полукруглые“: Dell Vostro 3360 (Quanta V07), Intel Core i7-3537U (Ivy Bridge), Phoenix SCT (UEFI 2.3.1C)

Об интерфейсах для настройки SecureBoot
Готовим плацдарм

Начнем с лирического отступления о наличии нужного софта для разных ОС. Несмотря на то, что Microsoft является одним из разработчиков технологии, в открытом доступе до сих пор отсутствуют нормальные средства для работы с ней из Windows (ключи можно сгенерировать утилитой MakeCert из Windows SDK, а для всего остального предлагается использовать HSM третьих лиц за большие деньги). Я подумывал сначала взять и написать нужную утилиту на Qt, но потому решил, что ключи и подписи каждый день генерировать не нужно, а на пару раз хватит и существующих решений. Можете попробовать переубедить меня в комментариях, если хотите.
В общем, для всего нижеперечисленного вам понадобится Linux (который можно запустить с LiveUSB, если он у вас не установлен). Для него существует целых два набора утилит для работы с SecureBoot: efitools/sbsigntool и EFIKeyGen/pesign. У меня есть положительный опыт работы с первым набором, поэтому речь пойдет именно о нем.
В итоге, кроме Linux, нам понадобятся несколько вещей:
1. Пакет openssl и одноименная утилита из него для генерирования ключевых пар и преобразования сертификатов из DER в PEM.
2. Пакет efitools, а точнее утилиты cert-to-efi-sig-list, sign-efi-sig-list для преобразования сертификатов в формат ESL и подписи файлов в этом формате, и KeyTool.efi для управления ключами системы, находящейся в SetupMode.
3. Пакет sbsigntool, а точнее утилита sbsign для подписи исполняемых файлов UEFI (т.е. загрузчиков, DXE-драйверов, OptionROM’ов и приложений для UEFI Shell) вашим ключом.
Загрузите Linux, установите вышеуказанные пакеты, откройте терминал в домашней директории и переходите к следующему шагу.

Генерируем собственные ключи для SecureBoot

Как обычно, есть несколько способов сделать что-либо, и чем мощнее используемый инструмент, тем таких способов больше. OpenSSL же как инструмент развит настолько, что кажется, что он умеет делать вообще всё, а если почитать к нему man — то и абсолютно всё остальное. Поэтому в этой статье я ограничусь непосредственной генерацией ключевых файлов, а танцы вокруг создания собственного CA оставлю на самостоятельное изучение.

Генерируем ключевые пары
Конвертируем открытые ключи в формат ESL

Теперь нужно сконвертировать открытые ключи из формата PEM в понятный UEFI SecureBoot формат ESL. Этот бинарный формат описан в спецификации UEFI (раздел 30.4.1 в текущей версии 2.5) и интересен тем, что файлы в нем можно соединять друг с другом конкатенацией, и этот факт нам еще пригодится.
Ключ -g добавляет к сгенерированному ESL-файлу GUID, в нашем случае — случайный, полученый запуском утилиты uuidgen и использованием ее вывода. Если этой утилиты у вас нет — придумывайте GUIDы сами или оставьте значение по умолчанию.

Подписываем ESL-файлы

С другой стороны, если вы не хотите терять возможность загрузки Windows и подписанных ключом Microsoft исполняемых компонентов (к примеру, GOP-драйверов внешних видеокарт и PXE-драйверов внешних сетевых карточек), то к нашему ISK.esl надо будет добавить еще пару ключей — ключ Microsoft Windows Production CA 2011, которым MS подписывает собственные загрузчики и ключ Microsoft UEFI driver signing CA, которым подписываются компоненты третьих сторон (именно им, кстати, подписан загрузчик Shim, с помощью которого теперь стартуют разные дистрибутивы Linux, поддерживающие SecureBoot из коробки).
Последовательность та же, что и под спойлером выше. Конвертируем из DER в PEM, затем из PEM в ESL, затем добавляем к db.esl, который в конце концов надо будет подписать любым ключом из KEK:

Теперь подписываем PK самим собой:
Подписываем KEK.esl ключом PK:
Подписываем db.esl ключом KEK:

Если еще не надоело, можно добавить чего-нибудь еще в db или создать хранилище dbx, нужные команды вы теперь знаете, все дальнейшее — на ваше усмотрение.

Подписываем загрузчик

Осталось подписать какой-нибудь исполняемый файл ключом ISK, чтобы проверить работу SecureBoot после добавления ваших ключей. Для тестов я советую подписать утилиту RU.efi, она графическая и яркая, и даже издалека видно, запустилась она или нет. На самом деле, утилита эта чрезвычайно мощная и ей можно натворить немало добрых и не очень дел, поэтому после тестов лучше всего будет её удалить, и в дальнейшем подписывать только загрузчики.
В любом случае, подписываются исполняемые файлы вот такой командой:
Здесь я заодно переименовал исполняемый файл в bootx64.efi, который нужно положить в директорию /EFI/BOOT тестового USB-носителя с ФС FAT32. Для 32-битных UEFI (избавь вас рандом от работы с ними) используйте bootia32.efi и RU32.efi.

В результате вот этого всего у вас получились три файла .auth, которые нужно будет записать «как есть» в NVRAM-переменные db, KEK и PK, причем именно в таком порядке. Скопируйте все три файла в корень другого USB-носителя с ФС FAT32, на котором в качестве /EFI/BOOT/bootx64.efi выступит /usr/share/efitools/efi/KeyTool.efi (скопируйте его еще и в корень, на всякий случай) и ваш «набор укротителя SecureBoot» готов.

Укрощение строптивого
AMI AptioV

У большинства прошивок, основанных на коде AMI, управление технологией SecureBoot находится на вкладке Security, у меня это управление выглядит так:

Заходим в меню Key Management (раньше оно было на той же вкладке, сейчас его выделили в отдельное) и видим там следующее:

Выбираем нужную нам переменную, после чего сначала предлагают выбрать между установкой нового ключа и добавлением к уже имеющимся, выбираем первое:

Теперь предлагается либо установить значение по умолчанию, либо загрузить собственное из файла, выбираем последнее:

Далее нужно устройство и файл на нем, а затем выбрать формат этого файла, в нашем случае это Authenticated Variable:

Затем нужно подтвердить обновление файла, и если все до этого шло хорошо, в результате получим лаконичное сообщение:

Повторяем то же самое для KEK и PK, и получам на выходе вот такое состояние:

Все верно, у нас есть единственный PK, всего один ключ в KEK и три ключа в db, возвращаемся в предыдущее меню кнопкой Esc и включаем SecureBoot:

Готово, сохраняем настройки и выходим с перезагрузкой, после чего пытаемся загрузиться с нашей флешки и видим вот такую картину:

Отлично, неподписанные загрузчики идут лесом, осталось проверить подписанный. Вставляем другую флешку, перезагружаемся и видим что-то такое:

Вот теперь можно сказать, что SecureBoot работает как надо.
Если у вашего AMI UEFI такого интерфейса для добавления ключей нет, то вам подойдет другой способ, о котором далее.

Insyde H2O

Здесь все несколько хуже, чем в предыдущем случае. Никакого интерфейса для добавления собственных ключей нет, и возможностей настройки SecureBoot предлагается всего три: либо удалить все переменные разом, переведя SecureBoot в Setup Mode, либо выбрать исполняемый файл, хеш которого будет добавлен в db, и его можно будет запускать даже в том случае, если он не подписан вообще, либо вернуться к стандартным ключам, в качестве которых на этой машине выступают PK от Acer, по ключу от Acer и MS в KEK и куча всякого от Acer и MS в db.
Впрочем, нет интерфейса — ну и черт с ним, у нас для этого KeyTool есть, главное, что в Setup Mode перейти можно. Интересно, что BIOS Setup не дает включить SecureBoot, если пароль Supervisor Password не установлен, поэтому устанавливаем сначала его, затем выполняем стирание ключей:

После чего на соседней вкладке Boot выбираем режим загрузки UEFI и включаем SecureBoot:

Т.к. фотографии у меня посреди ночи получаются невыносимо отвратительными, то скриншоты KeyTool‘а я сделаю на предыдущей системе, и придется вам поверить в то, что на этой все выглядит точно также (мамой клянусь!).
Загружаемся с нашего носителя в KeyTool, и видим примерно следующее:

Выбираем Edit Keys, попадаем в меню выбора хранилища:

Там сначала выбираем db, затем Replace Keys, затем наше USB-устройство, а затем и файл:

Нажимаем Enter и без всяких сообщений об успехе нам снова показывают меню выбора хранилища. Повторяем то же самое сначала для KEK, а затем и для PK, после выходим в главное меню двойным нажатием на Esc. Выключаем машину, включаем заново, пытаемся загрузить KeyTool снова и видим такую картину (которую я утащил из дампа прошивки, ее фото на глянцевом экране еще кошмарнее, чем предыдущие):

Ну вот, одна часть SecureBoot’а работает, другая проверяется запуском подписанной нами RU.efi и тоже работает. У меня на этой системе Windows 8 установлена в UEFI-режиме, так вот — работает и она, Microsoft с сертификатом не подвели.

Phoenix SCT

Здесь возможностей еще меньше, и во всем меню Secure Boot Configuration на вкладке Security всего два пункта: возврат к стандартным ключам и удаление всех ключей с переводом системы в SetupMode, нам нужно как раз второе:

Затем на вкладке Boot нужно выбрать тип загрузки UEFI, включить SecureBoot, и создать загрузочную запись для KeyTool‘а, иначе на этой платформе его запустить не получится:

Нажимаем Yes, выходим с сохранением изменений, перезагружаемся, нажимаем при загрузке F12, чтобы попасть в загрузочное меню, оттуда выбираем KeyTool, работа с которым описана выше. После добавления ключей и перезагрузки попытка повторного запуска KeyTool‘а заканчивается вот так:

При этом установленный на той же машине Linux продолжает исправно загружаться, как и подписанная нами RU.efi, так что SecureBoot можно признать работоспособным.

Заключение

В итоге, благодаря утилитам с открытым кодом, удалось завести SecureBoot на системах с UEFI трех различных вендоров, сгенерировать свои собственные ключи и подписать ими нужные нам исполняемые файлы. Теперь загрузка платформы целиком в наших руках, но только в случае, если пароль на BIOS стойкий и не хранится открытым текстом, как у некоторых, а в реализации SecureBoot нет каких-либо известных (или еще неизвестных) дыр. Сам по себе SecureBoot — не панацея от буткитов, но с ним ситуация с безопасной загрузкой все равно намного лучше, чем без него.
Надеюсь, что материал вам поможет, и спасибо за то, что прочитали эту портянку.

Безопасная загрузка неправильно настроена в Windows 8.1 / 10

Функция безопасной загрузки в Windows 10 или Windows 8.1 / 8 гарантирует пользователю, что его компьютер будет загружаться только с прошивки что производитель и никто больше не верит. Таким образом, если есть неправильные конфигурации, конечный пользователь может увидеть водяной знак Secure Boot не настроен в правом нижнем углу рабочего стола.

Поэтому, если вы видите, что водяной знак на рабочем столе настроен неправильно, это, вероятно, означает, что безопасная загрузка Windows отключена или не настроена на вашем ПК. Эта проблема не была известна до тех пор, пока первые пользователи Windows 8 не начали обновление до последнего обновления Windows 8.1, которое было доступно бесплатно в магазине Windows.

Чтение: Что такое безопасная загрузка, надежная загрузка, мерная загрузка.

Безопасная загрузка не настроена правильно

Горстка пользователей получила сообщение Безопасная загрузка не настроена правильно после обновления до новой Windows 8.1. Хотя в настоящее время нет обходного решения, Microsoft предоставляет некоторые инструкции для решения этой проблемы.

Сначала проверьте, отключена ли безопасная загрузка в BIOS, и если да, активируйте его повторно. Затем вы должны попробовать сбросить BIOS до заводских настроек, и если это не сработает, вы можете попробовать сбросить свой компьютер до заводских значений по умолчанию, а затем повторно активировать безопасную загрузку.

Чтение: Как сохранить процесс загрузки Windows 10.

Отключить или включить безопасную загрузку

Хотя я не рекомендую отключать безопасную загрузку, если эта опция присутствует в вашей системе, вы можете отключить безопасную загрузку, настроив свой BIOS. Используя дополнительные параметры в Windows 8, нажмите «Параметры встроенного ПО UEFI» и перезагрузите компьютер. На экране настроек BIOS в настройках UEFI вашей материнской платы вы увидите опцию включить или отключить безопасную загрузкугде-то в разделе безопасности.

Просмотр и проверка просмотра событий

Вы можете проверить журналы Windows, чтобы узнать, почему. Средство просмотра событий Windows отображает журнал приложений и системных сообщений – ошибок, информационных сообщений и предупреждений.

  • Перейдите в Просмотр журналов событий> Журналы приложений и служб.
  • На правой панели выберите Microsoft, затем Windows.
  • В Microsoft выберите папку Windows и перейдите к Verify HardwareSecurity> Admin.

Затем найдите одно из этих зарегистрированных событий:

  1. Политика безопасных ботинок без производства была определена. Удалите политику отладки и предварительной версии из системной прошивки. (ПК имеет непроизводственную политику.)

Вы также можете использовать команды PowerShell для проверки состояния.

Чтобы узнать, отключена ли безопасная загрузка, используйте PowerShell: Подтверждение-Save-SaveUEFЯ командую. Вы получите один из этих ответов:

  1. True: безопасная загрузка включена, а водяной знак не отображается.
  2. False: безопасная загрузка отключена, и появляется водяной знак.
  3. Командлет не поддерживается на этой платформе: ПК может не поддерживать безопасную загрузку или ПК может быть настроен в существующем режиме BIOS. Водяной знак не появляется.

Используйте команду PowerShell, чтобы определить, установлена ​​ли непроизводственная политика: Get-SecureBootPolicy, Вы получите один из этих ответов:

  1. <77FA9ABD-0359-4D32-BD32-BD60-28F4E78F784B>: установлена ​​правильная политика безопасного запуска.
  2. Все остальное GUID: есть непроизводительная политика безопасной загрузки.
  3. Политика безопасной загрузки не включена на этом компьютере: ПК может не поддерживать безопасную загрузку или ПК может быть настроен на существующий режим BIOS. Водяной знак не появляется.

Microsoft выпустила обновление, которое удаляет Windows SecureBoot не настроен правильно водяной знак в Windows 8.1 и Windows Server 2012 R2. Получите это в KB2902864.

Только сообщения, принадлежащие администратору, могут выполнять шорткод “включить меня” [toggle title = ”Related Video”][/ Toggle]

Secure Boot: как отключить защиту или настроить правильно в UEFI

Компьютерные вирусы стали неотъемлемой частью нашей жизни. О них слышали даже те люди, которые сроду не пользовались компьютерами. Для улучшение защиты от зловредного ПО и был внедрен протокол Secure Boot. О том, с чем его едят и как его отключать будет подробно описано в статье.

Что такое Secure Boot (Безопасная загрузка) и когда может потребоваться ее отключение?

Secure Boot – одно из новшеств, привнесенных при внедрении UEFI. Это в свою очередь приемник БИОСа. Он, соответственно, отвечает за подготовку и загрузку ОС. BIOS можно считать очень простой утилитой с примитивным дизайном, которая прошита в материнскую плату. UEFI выполняет те же функции, но это уже весьма красивая и продвинутая программа. Например, при упорстве с помощью UEFI можно даже просматривать содержимое подключенных накопителей, что для BIOS считалось бы невероятным новшеством.

Не одними только эстетическими побуждениями руководствовались творцы UEFI. Одной из важных целей при разработке было обнаружить и ограничить влияние вредоносного ПО. Предполагалось, что технология станет препятствовать его загрузке вместе с операционной системой (ОС), а также исполнению на уровня ядра ОС после ее запуска. Честь исполнять эту важную миссию выпала на протокол Secure Boot. Техническая реализация была такой: использовалась криптографическая схема с открытыми и закрытыми сигнатурами (электронными цифровыми подписями, ЭЦП). В общем виде цели были достигнуты, но на практике это требовало определенных и правильных действий не только со стороны пользователей, но и со стороны производителей компьютерного оборудования. Описание всего процесса займет много времени, так что остановимся на ключевых особенностях:

  • программные компоненты (драйвера, загрузчики ОС) имеют специальные ЭЦП, также они есть и в прошивке материнки, но характеристики этих ЭЦП отличается;
  • при использовании ресурсов компьютера компоненты должны доказать при помощи ЭЦП, что они не вирусы;
  • ключевой фактор безопасности – закрытый ключ, который в идеале должен быть уникальным у каждого ПК.

Сложности с технологией начались еще на этапе внедрения, когда Microsoft заявила, что с помощью протокола будет ограничивать установку других ОС на компьютеры с предустановленной Windows. Тогда от таких планов отказались под натиском общественности, но осадок остался. На сегодня основная сложность заключается в том, что производители материнских плат используют одинаковые закрытые ключи для всей своей продукции либо для отдельных линеек. В любом случае благие намерения привели к тупику.

В подавляющем большинстве случаев отключать Secure Boot стоит для решения двух проблем:

  1. Если не устанавливается или не загружается ОС.
  2. При невозможности загрузиться с загрузочной флешки.

Secure Boot сам по себе никаким образом не нагружает систему, так как работает на более низком программном уровне. Отключение протокола однозначно не улучшит отзывчивость системы и не повысит быстродействие процессора.

Как отключить защиту Secure Boot в БИОСе?

Отметим, что некоторые пользователи ошибочно думают, что протокол Secure Boot отключается в BIOS. У этой достаточно примитивной прошивки нет, не было, и не может быть поддержки СекюрБут. Этот протокол безопасности работает исключительно на UEFI и отключение нужно производить именно там. Природа этой ошибки вполне простая. За многие годы пользователи привыкли, что все, что возникает на экране до загрузки ОС это и есть БИОС. В действительности времена этой программной надстройки уходят и она уже является устарелой в любом отношении.

Примеры отключения Secure Boot на разных ноутбуках и материнских платах

Общий алгоритм всегда один и тот же:

  1. Вход в UEFI.
  2. Поиск нужной опции.
  3. Отключение SecureBoot.
  4. Запись изменений.

Важно, что этот протокол безопасности поддерживается только в Windows 8 и более поздних версиях. Следовательно, если у вас в прошивке материнской платы включен Secure Boot, но на ПК установлена Windows 7, то ничего отключать не надо. Опция безопасной загрузки все равно не работает, а возможные проблемы с запуском ОС нужно искать в других местах.

Как отключить Secure Boot и UEFI на ноутбуке Acer Aspire?

Есть много моделей ноутбуков этого производителя, но специфика такова, что сначала требуется создать собственный пароль. Общий алгоритм действия следующий:

  • заходите в BIOS-UEFI нажатием на клавишу F2 или Delete;
  • переходите во вкладку “Security”, выбираете опцию “Set Supervisor Password”;
  • в специальном окошке 2 раза вводите пароль. Не изощряйтесь, используйте простую комбинацию;
  • успешность будет подтверждена сообщением “Changes have been saved”;
  • переходите во вкладку “Boot” и в строке “Boot Mode” указываете значение “Legacy”;
  • жмете F10 и выполняете запись модификаций установок;
  • при последующей перегрузке снова войдите в UEFI;
  • переходите во вкладку “Security”, выбираете опцию “Set Supervisor Password”, вводите ранее указанный пароль;
  • переходите во вкладку “Boot” и в строке “Secure Boot” указываете значение “Disabled”;
  • снова сохраняете изменения.

Отключение Secure Boot на ноутбуках Pavilion и других моделях HP?

  1. Для входа в биос жмите на ESC или ESC => F10 перед запуском Windows.
  2. Перейдите во вкладку “System Configuration”, а в ней отыщите строчку “Boot Options”.
  3. Установите для критерия “Secure Boot” опцию “Disabled”, а для критерия “Legacy support” – “Enabled”.
  4. Система спросит, действительно ли вы готовы изменить настройки – подтвердите это нажатием на “Yes”.
  5. В конце нужно сохранить выполненные изменения нажатием на F10 и подтверждением “Yes”.

При последующей перезагрузке будьте внимательны. Система перестрахуется и включит “защиту от дурака”. Нужно смотреть на то, что идет после надписи “Operating System Boot Mode Change (021)” – там будет указана цифровая последовательность. Наберите ее и нажмите Enter. Если вам нужно просто отключить Secure Boot, то дальше ничего делать не нужно. Если же изначально все делалось ради возможности загрузиться с USB-носителя, то сразу после прохождения “защиты от дурака” жмите ESC, а потом F9. Установите требуемой флешке максимальный приоритет, чтобы она грузилась первой на жесткий диск.

На ноутбуках Dell

  1. F12 сразу после включения компьютера и перед стартом ОС.
  2. В верхней панели переходите во вкладку Boot и заходите в подраздел UEFI BOOT.
  3. Устанавливаете для критерия “Secure Boot” опцию “Disabled”.
  4. Сохраняете изменения (F10 => “Yes”) и перезагружаете ноутбук.

Secure Boot на ноутбуках Леново и Тошиба

Для входа в UEFI на этих устройствах нужно жать F12, после чего выполнять следующие действия:

  • перейдите во вкладку “Security”;
  • установите для критерия “Secure Boot” опцию “Disabled”;
  • перейдите на вкладку “Advanced”, а в ней зайдите в меню “System Configuration”;
  • установите для критерия “Boot Mode (OS Mode Selection)” опцию “CSM Boot (CMS OS), (UEFI and Legacy OS)”;
  • сохраните все нажатием на F10 => “Yes”.

Отключения Secure Boot на материнских платах

Рынок материнских плат для настольных компьютеров достаточно консервативен и явными лидерами являются 2 компании: Asus и Gigabyte. Они поставляют более половины всего оборудования, так что рассматривать способы деактивации Secure Boot рациональней всего именно в разрезе этих производителей. В любом случае третье и четвертое место давно оккупировали MSI и ASRock, – первая четверка полностью состоит из компаний Тайваня. Итог: принципиальных различий в инструкции по отключению все равно не будет и большая часть пользователей найдет ниже именно то, что ищет.

Отметим, что перейти сразу в UEFI можно в некоторых случаях напрямую с Windows (от 8 версии и более поздних). Для этого пробуйте следующее:

  • На рабочем столе справа вызовите выдвижную панель.
  • После следуйте по пути: “Параметры” => “Изменение параметров…” => “Обновление и…” => “Восстановление”;
  • В возникшем окне найдите опцию перезагрузки системы и установите в этой строке значение “Настройки по UEFI” или “Параметры встроенного ПО UEFI”;
  • После жмите на “Перезагрузить” и в дальнейшем должен автоматически запуститься UEFI.

Как отключить Secure Boot на материнской плате Gigabyte?

После входа в UEFI (нажатием на F12 перед запуском ОС) действуйте следующим образом:

  • перейдите во вкладку “BIOS Features”;
  • установите для критерия “Windows 8 Features” опцию “Other OS”;
  • для критерия “Boot Mode Selection” — “Legacy only” или “UEFI and Legacy” (между ними нет особой разницы);
  • для критерия “Other PCI Device ROM Priority” – “Legacy OpROM”.

После всего нужно выполнить запись изменений, то есть нажать F10 => “OK”.

Материнские платы и ноутбуки Асус

Сразу отметим, что чаще всего на материнках именно этого производителя появляется ошибка при загрузке ОС: Invalid signature detected. Check Secure Boot Policy in Setup. В большинстве случаев для устранения проблемы следует выключить Secure Boot, а для этого необходимо:

  • зайти в UEFI – жмите перед загрузкой ОС на F2, Delete или комбинацию клавиш Fn+F2;
  • на начальном экране жмите на F7 (Advanced Mode), а потом перейдите в меню “Boot” => “Secure Boot Menu”;
  • укажите в строчке “Secure Boot State” значение “Enabled”, а в строчке “OS Type” – “Other OS”;
  • вернитесь на один уровень назад в меню “Boot” => “Compatibility Support Module (CSM)”;
  • установите в строчке “Launch CSM” значение “Enabled”, а в строчке “Boot Device Control” – “UEFI and Legacy …” либо “Legacy OpROM …”, а в строке “Boot From Storage Devices” – “Both Legacy opROM first”, либо “Legacy opROM first”;
  • после этого жмите на F10 и сохраняйте все изменения, а после проверяйте корректность выполненных настроек.

Конкретно для ноутбуков Asus алгоритм будет следующим:

  • зайдите в UEFI;
  • перейдите во вкладку “Security”;
  • отыщите строчку “Secure Boot Control”, укажите в ней значение “Disabled”;
  • перейдите во вкладку “Boot”;
  • отыщите строчку “Fast Boot”, установите в ней значение “Disabled”, а в строке “Launch CSM” значение “Enabled”.

Как узнать активирована ли функция Secure Boot на Windows?

Этот протокол несложно активировать и деактивировать, а для понимания текущего статуса есть несколько проверенных подходов:

  1. При помощи сведений о системе. Запустите утилиту “Выполнить”. Для этого необходимо зажать комбинацию клавиш Win+R, в появившейся строке ввести msinfo32 и нажать на Enter. Возникнет новое окно. Убедитесь, что в его левой панели выбрана строчка “Сведения о системе”. В правой панели ищите строку “Состояние безопасной загрузки”, у которой есть только 2 значения “Включить” и “Отключить”.
  2. При помощи PowerShell. В утилите “Выполнить” запустите команду powershell. Откроется новое окно, в которое скопируйте следующее: Confirm-SecureBootUEFI. Если на этот запрос выдаст ответ “True”, то значит опция активна, а если “False”, то деактивированна. Если же появится уведомление иного характера, то значит материнка не поддерживает функцию Secure Boot.
  3. Эмпирическим путем. Создайте загрузочную флешку с Windows и попробуйте загрузиться с нее после перезагрузки компьютера. Если все получается успешно, то значит опция выключена, при иных обстоятельствах будет отображаться соответствующее сообщение о невозможности загрузки по соображениям безопасности.

Заключение

  1. Secure Boot появился в компьютерном мире относительно недавно и этот протокол безопасности является составляющей UEFI – современным и актуальным видом прошивки материнских плат.
  2. Протокол безопасности препятствует запуску вредоносного ПО на более низком уровне, чем это делают обычные антивирусы. Поэтому при правильной настройке эта технология может существенно повысить устойчивость ПК к вирусам.
  3. Secure Boot стоит отключать по необходимости, если он препятствует старту системы с загрузочной флешки или при переустановке Windows. Просто для эксперимента технологию деактивировать не стоит.
  4. Для любого компьютера схема деактивации одна и та же – за счет указания подходящего критерия в нужном меню UEFI. Главное – это найти правильный путь к такому меню. Даже при существенных сложностях это займет не больше 10 минут.

Secure Boot – что это за утилита и как её отключить

Что такое Secure Boot, и как её отключать?

Эта утилита – специфический предохранитель, который не дает пользователям устанавливать на компьютер с Windows 8, 8.1 и 10 любую другую ОС .

Работа встроенной в BIOS (UEFI) утилиты заключается в сравнении специальных ключей с подписями загрузочного кода системы.

При несовпадении Secure Boot прекращает загрузку с целью защиты компьютера от взлома и использования нелицензионного программного обеспечения.

Для загрузки любой другой операционной системы на ПК от пользователя требуется сначала отключить эту утилиту в интерфейсе UEFI.

Рис.1. Сообщение при попытке поставить новую систему на компьютер с Security Boot.

Принцип работы и особенности Secure Boot

Технологию защиты системы от переустановки придумали не разработчики Microsoft, а специалисты из компании Unified EFI Forum, создавшей новый интерфейс БИОС – UEFI.

Функция предусматривает возможность отключения запрета установки другой ОС и управления ключами на любом ноутбуке и стационарном ПК.

Не получится отключить Secure Boot (SB) только на планшете под управлением Windows.

Для компьютеров с Windows 8 и 10 утилита работает в двух режимах:

  • Режим Setup, необходимый для настройки и позволяющий заменить основные ключи Platform Key и KEK, а также базы разрешённых и отозванных ключей DB и DBX;
  • Режим User или режим пользователя, в котором компьютер работает по умолчанию.

Для того, чтобы убрать функцию следует воспользоваться первым режимом.

Замена ключей, которые сравниваются с подписями кода, позволит обойти ограничение на переустановку.

Определение режима загрузки

Узнать о том, что на вашем ПК или ноутбуке включена функция Secure Boot можно тремя способами:

  • уже во время попытки поставить новую Windows вместо старой, когда у вас не получится это сделать, а система выдаст соответствующее сообщение;
  • через меню msinfo32, которое можно вызвать с помощью окна «Выполнить» и введённой в нём одноимённой команды. Здесь следует найти пункт «Состояние безопасной загрузки» и прочитать там информацию о режиме защиты;

Рис.2. Вход в меню «Свойств системы».

  • путём запуска в командной строке (открытой от имени администратора) команды Confirm-SecureBootUEFI. Если режим работает, на экране появится надпись True, если не работает – False. Другие сообщения, включая Cmdlet not supported on this platform, говорят о полном отсутствии поддержки SB компьютером.

Рис.3. Сообщение, показывающее отсутствие поддержки UEFI и Secure Boot.

После определения режима, в котором работает Secure Boot, следует проверить тип его политики с помощью той же командной строки. Для этого вводится уже другая команда – Get-SecureBootPolicy.

Она может вернуть значение <77FA9ABD-0359-4D32-BD60-28F4E78F784B>, что говорит о правильно настроенной политике безопасности.

Любые другие символы показывают, что безопасная загрузка работает в тестовом режиме.

Сообщение типа Secure Boot policy is not enabled on this machine означает, что режим не поддерживается материнской платой.

Отключение утилиты

Если на вашем компьютере требуется отключить безопасный режим и обеспечить загрузку новой ОС, следует выполнить следующие действия:

  • Войти в настройки интерфейса UEFI;
  • Изменить настройки БИОС одним из возможных способов, в зависимости от производителя материнской платы.

На компьютерах с Виндовс 8 и выше существует 2 основных способа входа в БИОС:

  • Перейти в правой панели в меню «Параметры», выбрать изменение параметров, затем «Обновление и восстановление» и просто «Восстановление»;
  • После этого выбирается пункт «Перезагрузить», затем настройки ПО UEFI. Осталось подождать перезагрузки, после чего вход в интерфейс БИОС будет выполнен автоматически;
  • Нажать при включении компьютера функциональную клавишу (Delete, F2 или другие).

После того как удалось войти в интерфейс, следует найти в его настройках пункт, отвечающий за отключение.

Он зависит от конкретной модели компьютера и марки материнской платы.

Например, для ноутбуков HP в БИОС следует найти вкладку System Configuration, перейти к пункту Boot Options и изменить значение показателя Secure Boot на Disabled.

После сохранения изменений и перезагрузки компьютера никаких ограничений на установку ОС остаться не должно.

Устройства Lenovo и Toshiba имеют вкладку Security, а Dell – меню UEFI Boot, где тоже следует отключить Secure Boot.

Рис.4. Отключение безопасной загрузки для модели ноутбука Lenovo.

Для устройств Asus, кроме отключения, требуется дополнительно выбрать возможность установки новой ОС, установив параметр Other OS в пункте OS Type.

На стационарных компьютерах Asus функцию отключают, перейдя в раздел Authentication. А для плат марки Gigabyte требуется переход в меню BIOS Features.

Исправление неполадок

Иногда настройки Secure Boot могут оказаться неправильными.

В этом случае, даже установив систему, в углу рабочего стола можно увидеть сообщение об ошибке типа «Профессиональная Безопасная загрузка (SecureBoot) настроена неправильно Build 9600».

Причина появления этой информации заключается вовсе не в том, что операционная система оказалась нелицензионной или была неправильно активирована, а только о снижении безопасности компьютера и необходимости в следующих действиях:

  • Определение одним из трёх известных способов, работает ли в настоящее время Secure Boot;
  • Проверка типа политики безопасности;
  • Если режим отключён, для устранения надписи о проблемах с безопасностью следует его включить (при установке системы можно снова выбрать отключение SB), перезагрузить компьютер, войти в БИОС и включить Secure Boot.

Рис.5. Включение SB в настройках UEFI материнской платы AsRock для решения неполадки.

Если применённый метод не помог устранить проблему, настройки UEFI следует попробовать сбросить до заводских.

Для этого в БИОС есть пункт Factory Default. При отсутствии поддержки этого режима у компьютера решить вопрос, скорее всего, не получится.

Единственный возможный вариант – установка таких обновлений от Microsoft, как KB288320, которое находится в составе пакета GA Rollup A.

Скачать его можно с официального сайта производителя, обязательно учитывая разрядность вашей системы – х86 или 64.

Нужен ли пользователям Secure Boot?

Появление функции было неоднозначно воспринято пользователями Windows.

С одной стороны, её использование мешает переустановке операционной системы и, таким образом, ограничивает владельца ноутбука или ПК в своих действиях.

С другой эта же опция, по словам разработчиков, позволяет предотвратить действие руткитов – вредоносных скриптов, отрицательно влияющих на работоспособность системы.

Для того чтобы разобраться с этим вопросом, стоит подробнее рассмотреть особенности утилиты:

  1. Конкретное назначение Secure Boot – инициализация операционной системы при её загрузке и передача управления загрузчику ОС;
  2. Secure Boot представляет собой не встроенную в Windows 8 или 10 функцию, а версию протокола UEFI. Но уже сам интерфейс входит в состав загрузки Виндовс;
  3. Система использует SB для безопасности загрузки платформы, и настройка утилиты выполняется производителем устройства, а не операционной системы – то есть компаниями HP, Dell, Lenovo и т. д.;
  4. Microsoft не контролирует установку Secure Boot на компьютеры, независимо от того какая система на них установлена (Windows 7, 8 или 10 с разрядностью 32 или 64).

Функция безопасности начинает работать сразу же после включения питания компьютера, запрещая установку новых систем.

Таким образом, пользователь не может использовать для изменения ОС ни жёстким диском, ни сетевой картой, ни CD, DVD или USB-флешкой.

И, хотя производитель утверждает, что функция легко может быть отключена (пусть даже это и не даст загружаться установленной лицензионной системе), сертификация Win-8 может привести к другому результату.

Microsoft требует от разработчиков ПК и ноутбуков только установки Secure Boot, но не обязывает предусмотреть возможность её отключения.

Кроме того, согласно требованиям сертификации Win-8, устанавливать ключи, отличные от защиты MS, тоже не обязательно.

Получается, что возможна такая ситуация, когда производитель выпустит компьютер с Secure Boot, который будет нельзя отключить, и системой, которая уже установлена на устройстве, придётся пользоваться постоянно.

А, значит, пользователю необходимо знать о такой возможности перед покупкой ноутбука или ПК, чтобы не отключаемый SB не стал неприятным сюрпризом.

Читайте также:
Лучший архиватор для Windows
Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: