Нужен ли secure boot для windows 10

Что такое Secure Boot (Безопасная загрузка) и когда может потребоваться ее отключение?

Secure Boot — одно из новшеств, привнесенных при внедрении UEFI. Это в свою очередь приемник БИОСа. Он, соответственно, отвечает за подготовку и загрузку ОС. BIOS можно считать очень простой утилитой с примитивным дизайном, которая прошита в материнскую плату. UEFI выполняет те же функции, но это уже весьма красивая и продвинутая программа. Например, при упорстве с помощью UEFI можно даже просматривать содержимое подключенных накопителей, что для BIOS считалось бы невероятным новшеством.

Не одними только эстетическими побуждениями руководствовались творцы UEFI. Одной из важных целей при разработке было обнаружить и ограничить влияние вредоносного ПО. Предполагалось, что технология станет препятствовать его загрузке вместе с операционной системой (ОС), а также исполнению на уровня ядра ОС после ее запуска. Честь исполнять эту важную миссию выпала на протокол Secure Boot. Техническая реализация была такой: использовалась криптографическая схема с открытыми и закрытыми сигнатурами (электронными цифровыми подписями, ЭЦП). В общем виде цели были достигнуты, но на практике это требовало определенных и правильных действий не только со стороны пользователей, но и со стороны производителей компьютерного оборудования. Описание всего процесса займет много времени, так что остановимся на ключевых особенностях:

• программные компоненты (драйвера, загрузчики ОС) имеют специальные ЭЦП, также они есть и в прошивке материнки, но характеристики этих ЭЦП отличается;
• при использовании ресурсов компьютера компоненты должны доказать при помощи ЭЦП, что они не вирусы;
• ключевой фактор безопасности — закрытый ключ, который в идеале должен быть уникальным у каждого ПК.

Сложности с технологией начались еще на этапе внедрения, когда Microsoft заявила, что с помощью протокола будет ограничивать установку других ОС на компьютеры с предустановленной Windows. Тогда от таких планов отказались под натиском общественности, но осадок остался. На сегодня основная сложность заключается в том, что производители материнских плат используют одинаковые закрытые ключи для всей своей продукции либо для отдельных линеек. В любом случае благие намерения привели к тупику.

В подавляющем большинстве случаев отключать Secure Boot стоит для решения двух проблем:

1. Если не устанавливается или не загружается ОС.
2. При невозможности загрузиться с загрузочной флешки.

Secure Boot сам по себе никаким образом не нагружает систему, так как работает на более низком программном уровне. Отключение протокола однозначно не улучшит отзывчивость системы и не повысит быстродействие процессора.

Исправление неполадок

Иногда настройки Secure Boot могут оказаться неправильными.

В этом случае, даже установив систему, в углу рабочего стола можно увидеть сообщение об ошибке типа «Профессиональная Безопасная загрузка (SecureBoot) настроена неправильно Build 9600».

Причина появления этой информации заключается вовсе не в том, что операционная система оказалась нелицензионной или была неправильно активирована, а только о снижении безопасности компьютера и необходимости в следующих действиях:

• Определение одним из трёх известных способов, работает ли в настоящее время Secure Boot;
• Проверка типа политики безопасности;
• Если режим отключён, для устранения надписи о проблемах с безопасностью следует его включить (при установке системы можно снова выбрать отключение SB), перезагрузить компьютер, войти в БИОС и включить Secure Boot.

Рис.5. Включение SB в настройках UEFI материнской платы AsRock для решения неполадки.

Если применённый метод не помог устранить проблему, настройки UEFI следует попробовать сбросить до заводских.

Для этого в БИОС есть пункт Factory Default. При отсутствии поддержки этого режима у компьютера решить вопрос, скорее всего, не получится.

Единственный возможный вариант – установка таких обновлений от Microsoft, как KB288320, которое находится в составе пакета GA Rollup A.

Скачать его можно с официального сайта производителя, обязательно учитывая разрядность вашей системы – х86 или 64.

How Does Secure Boot Work?

Once you power on a PC, it starts the process of executing code that configures the processor, memory, and hardware peripherals to make a preparation for the operating system to boot.

During the preparation, Secure Boot checks the signature of firmware code that exists on hardware peripherals like storage deices.

During the boot process, secure Boot will check for an embedded signature inside of the fireware module. If the signature match against a database of signature in Secure Boot, the nodule is allowed to execute.

It can be said that Secure Boot works like a security gate. Code with valid credentials can get through the security gate and execute. Surely, code with bad credentials or no credential will be refused.

Примеры отключения Secure Boot на разных ноутбуках и материнских платах

Ниже — несколько примеров отключения в разных интерфейсах UEFI. Указанные варианты используются и на большинстве другим материнских плат с поддержкой данной функции. Если вашего варианта нет в списке, то просмотрите имеющиеся и, вероятнее всего, в вашем БИОСе найдется аналогичный пункт для отключения Secure Boot.

Материнские платы и ноутбуки Asus

Для того, чтобы отключить Secure Boot на оборудовании Asus (современных его вариантах), в настройках UEFI зайдите на вкладку Boot (Загрузка) — Secure Boot (Безопасная загрузка) и в пункте OS Type (Тип операционной системы) установите «Other OS» (Другая ОС), после чего сохраните настройки (клавиша F10).

На некоторых вариантах материнских плат Asus для этой же цели следует зайти на вкладку Security или Boot и установить параметр Secure Boot в значение Disabled.

Отключение Secure Boot на ноутбуках HP Pavilion и других моделях HP

Для отключения безопасной загрузки на ноутбуках HP проделайте следующее: сразу при включении ноутбука, нажимайте клавишу «Esc», должно появиться меню с возможностью входа в настройки БИОС по клавише F10.

В БИОС перейдите на вкладку System Configuration и выберите пункт Boot Options. В этом пункте найдите пункт «Secure Boot» и установите его в состояние «Disabled». Сохраните сделанные настройки.

Ноутбуки Lenovo и Toshiba

Для отключения функции Secure Boot в UEFI на ноутбуках Lenovo, и Toshiba, зайдите в ПО UEFI (как правило, для этого при включении нужно нажать клавишу F2 или Fn+F2).

После этого зайдите на вкладку настроек «Security» и в поле «Secure Boot» установите «Disabled». После этого сохраните настройки (Fn + F10 или просто F10).

На ноутбуках Dell

На ноутбуках Dell c InsydeH2O настройка Secure Boot находится в разделе «Boot» — «UEFI Boot» (см. Скриншот).

Для отключения безопасной загрузки, установите значение в «Disabled» и сохраните настройки, нажав клавишу F10.

Отключение Secure Boot на Acer

Пункт Secure Boot на ноутбуках Acer находится на вкладке Boot настроек БИОС (UEFI), однако по умолчанию вы не можете его отключить (поставить из значения Enabled в Disabled). На настольных компьютерах Acer эта же функция отключается в разделе Authentication. (Также возможен вариант нахождения в Advanced — System Configuration).

Для того, чтобы изменение этой опции стало доступным (только для ноутбуков Acer), на вкладке Security вам необходимо установить пароль с помощью Set Supervisor Password и только после этого станет доступным отключение безопасной загрузки. Дополнительно может потребоваться включение режима загрузки CSM или Legacy Mode вместо UEFI.

Gigabyte

На некоторых материнских платах Gigabyte отключение Secure Boot доступно на вкладке BIOS Features (настройки БИОС).

Для запуска компьютера с загрузочной флешки (не UEFI) также потребуется включить загрузку CSM и прежнюю версию загрузки (см. скриншот).

Еще варианты отключения

На большинстве ноутбуков и компьютеров вы увидите те же варианты нахождения нужной опции, что и в уже перечисленных пунктах. В некоторых случаях некоторые детали могут отличаться, например, на некоторых ноутбуках отключение Secure Boot может выглядеть как выбор операционной системы в БИОС — Windows 8 (или 10) и Windows 7. В таком случае выбираем Windows 7, это равнозначно отключению безопасной загрузки.

Generic instructions

Disable Secure Boot

1. Enter the BIOS:
   1. Reboot system and press Del repeatedly at system start. Some OEM PC(HP, Dell, Acer, Lenovo, Toshiba etc.) and notebooks use keys like F1, F2, F8, F10 or F12 for entering BIOS.
   2. If that does not work, go in Windows, hold the «Shift» key and select Restart from the Start Menu. After restart, the Advanced Startup menu options will appear. Go to Troubleshoot > Advanced options > UEFI Firmware Settings and press Restart.
2. Look for «Secure Boot» option under under Boot, Security or Authentication menu categories.
3. Set «Secure Boot» to Disabled.
4. Save and exit.

Enable Secure Boot

Precautionary notice: If you haven’t had this enabled before, your OS will not boot if your boot disk partition style is not GPT. See «Checking MBR or GPT partition style» of this guide.

1. Enter the BIOS:
   1. Reboot system and press Del repeatedly at system start. Some OEM PC(HP, Dell, Acer, Lenovo, Toshiba etc.) and notebooks use keys like F1, F2, F8, F10 or F12 for entering BIOS.
   2. If that does not work, go in Windows, hold the «Shift» key and select Restart from the Start Menu. After restart, the Advanced Startup menu options will appear. Go to Troubleshoot > Advanced options > UEFI Firmware Settings and press Restart.
2. Look for «Secure Boot» option under under Boot, Security or Authentication menu categories.
3. Set «Secure Boot» to Enabled.
4. Save and exit.

Возможно, вам также будет интересно

В статье рассматриваются принципы работы фильтров на поверхностных акустических волнах (ПАВ) — в том числе в системах сотовой и спутниковой связи.

Радиомодули XBee компании Digi относятся к классу ZigBee-модулей с уже предустановленным программным обеспечением, благодаря которому значительно сокращаются сроки разработки конечного изделия и упрощается процесс передачи данных. При этом предполагается, что модуль, в большинстве случаев, работает под управлением внешнего хост-процессора. В то же время производитель допускает загрузку в модуль…

Согласно новому исследовательскому отчету специализированной аналитической компании IoT Berg Insight, рынок POS-терминалов, готовых к использованию NFC, продолжал демонстрировать значительную динамику в 2019 году, а ежегодные поставки достигли, по оценкам, 47,8 миллионов единиц по всему миру.
Рост пользователей NFC был самым высоким в EU28 + 2 и Северной Америке, где 94 процента отгруженных …

Как отключить Secure Boot в BIOS ноутбука

Доброго времени суток.

Довольно часто многие пользователи задают вопросы насчет Secure Boot (например, данную опцию иногда требуется отключить при установке Windows). Если ее не отключить, то эта защитная функция (разработанная Microsoft в 2012г.) будет проверять и искать спец. ключи, которые имеются только у ОС Windows 8 (и выше). Соответственно, загрузить ноутбук с какого-либо носителя вы не сможете…

В этой небольшой статье я хочу рассмотреть несколько популярных марок ноутбуков (Acer, Asus, Dell, HP) и показать на примере, как отключить Secure Boot.

В ажная заметка! Чтобы отключить Secure Boot, необходимо зайти в BIOS — а для этого нужно нажать соответствующие кнопки сразу после включения ноутбука. Этому вопросу посвящена одна из моих статей — https://pcpro100.info/kak-voyti-v-bios-klavishi-vhoda/. В ней указаны кнопки для разных производителей и подробно рассказано, как войти в BIOS. Поэтому, в этой статье я на этом вопросе останавливаться не буду…

(Скриншоты из BIOS ноутбука Aspire V3-111P)

После того, как вошли в BIOS, необходимо открыть вкладку «BOOT» и посмотреть активна ли вкладка « Secure Boot «. Скорее всего, она будет не активной и ее нельзя будет изменить. Такое происходит из-за того, что не установлен пароль администратора в разделе BIOS « Security «.

Чтобы его установить, следует открыть данный раздел и выбрать пункт « Set Supervisor Password » и нажать на Enter.

Далее ввести и подтвердить пароль и нажать Enter.

Собственно, после этого можно открыть раздел « Boot » — вкладка « Secure Boot » будет активна и ее можно переключить в Disabled (т.е. выключить, см. скриншот ниже).

После проведенных настроек, не забудьте сохранить их — кнопка F10 позволит сохранить все произведенные изменения в BIOS и выйти из него.

После перезагрузки ноутбука, он должен грузиться с любого* загрузочного устройства (например, с флешки с Windows 7).

Некоторые модели ноутбуков Asus (особенно новые) ставят, порой, начинающих пользователей в тупик. На самом деле, как в них можно отключить защищенную загрузку?

1. Сначала заходим в BIOS и открываем раздел « Security «. В самом низу будет пункт « Secure Boot Control » — его нужно переключить в disabled, т.е. выключить.

Далее нажимайте кнопку F10 — настройки будут сохранены, а ноутбук отправиться перезагружаться.

2. После перезагрузки снова войтдите в BIOS и затем в разделе «Boot» сделайте следующее:

• Fast Boot — переводим в режим Disabled (т.е. отключаем быструю загрузку. Вкладка есть не везде! Если у вас ее нет — то просто пропустите эту рекомендацию);
• Launch CSM — переключаем в режим Enabled (т.е. включаем поддержку и совместимость со «старыми» ОС и ПО);
• Затем снова жмем F10 — сохраняем настройки и перезагружаем ноутбук.

3. После перезагрузки входим в BIOS и открываем раздел « Boot » — в пункте « Boot Option» можно бужет выбрать загрузочный носитель, который подключен к USB порту (например). Скриншот ниже.

Затем сохраняем настройки BIOS и перезагружаем ноутбук (кнопка F10).

(Скриншоты с ноутбука Dell Inspiron 15 3000 Series)

В ноутбуках Dell отключение Secure Boot, наверное, одно из самых простых — достаточно одного захода в Bios и ненужно никаких паролей администраторов и пр.

После входа в BIOS — откройте раздел «Boot» и задайте следующие параметры:

• Boot List Option — Legacy (этим мы включаем поддержку старых ОС, т.е. совместимость);
• Security Boot — disabled (отключаем защищенную загрузку).

Собственно, далее можно отредактировать очередь загрузки. Большинство устанавливает новую ОС Windows с загрузочных USB флешек — поэтому ниже привожу скриншот, какую строку нужно подвинуть на самый верх, чтобы можно было загрузиться с флешки (USB Storage Device).

После введенных настроек нажмите кнопку F10 — этим вы сохраните введенные настройки, а затем кнопку Esc — благодаря ей вы выйдите из BIOS и перезагрузите ноутбук. Собственно, на этом отключение защищенной загрузки на ноутбуке Dell — завершено!

После входа в BIOS, откройте раздел « System Configuration «, а затем перейдите во вкладку « Boot Option » (см. скриншот ниже).

Далее переключите « Secure Boot » в Disabled, а « Legacy Support » в Enabled. Затем сохраните настройки и перезагрузите ноутбук.

После перезагрузки появиться текст «A change to the operating system secure boot mode is pending…».

Нас предупреждают о внесенных изменениях в настройки и предлагают подтвердить их кодом. Просто нужно ввести код, показанный на экране и нажать на Enter.

После этого изменения ноутбук перезагрузиться, а Secure Boot будет отключен.

Чтобы загрузиться с флешки или диска: при включении ноутбука HP нажмите на ESC, а в стартовом меню выберите пункт «F9 Boot Device Options», дальше сможете выбрать устройство, с которого хотите загрузиться.

Secure Boot – что это за утилита и как её отключить

Что такое Secure Boot, и как её отключать?

Эта утилита – специфический предохранитель, который не дает пользователям устанавливать на компьютер с Windows 8, 8.1 и 10 любую другую ОС .

Работа встроенной в BIOS (UEFI) утилиты заключается в сравнении специальных ключей с подписями загрузочного кода системы.

При несовпадении Secure Boot прекращает загрузку с целью защиты компьютера от взлома и использования нелицензионного программного обеспечения.

Для загрузки любой другой операционной системы на ПК от пользователя требуется сначала отключить эту утилиту в интерфейсе UEFI.

Рис.1. Сообщение при попытке поставить новую систему на компьютер с Security Boot.

Как правильно настроить Secure Boot

Некоторые пользователи устройств под управлением операционной системы Windows 8 и 8.1 после установки обновлений столкнулись с ошибками системы, которые связаны с так называемой «безопасной загрузкой». Что же это такое? Это функция, которая препятствует запуску неавторизованных ОС и ПО при включении ПК. Нужна она для дополнительной защиты вашего компьютера от вирусов и руткитов, которые могут нанести вред системе в тот момент, когда она загружается. Но что же делать, если указанная функция становится причиной постоянных ошибок? Всё дело в заданных параметрах. В этой статье подробно рассмотрим, как правильно настроить Secure Boot. Давайте разбираться. Поехали!

Если есть такая проблема, данная статья для вас.

Существует ряд проблем, связанных с режимом безопасной загрузки. Чаще всего это сообщение об ошибке «Безопасная загрузка Secure Boot настроена неправильно» или «Secure Boot Violation Invalid signature detected». Что же делать в таком случае? Часто бывает достаточно просто включить указанную функцию через BIOS. Но у некоторых пользователей такой пункт в BIOS отсутствует вовсе. Тогда следует попробовать отключить его. О том, как это сделать, далее в статье.

Нарушение Secure Boot

Первым делом зайдите в BIOS. Для этого необходимо нажать определённую клавишу (зависит от девелопера вашего ПК) в процессе включения компьютера.

Обратите внимание, что если вы пользуетесь Windows 8.1 или 8, можно просто перейти к меню параметров, открыть раздел «Изменение параметров компьютера», а затем выбрать пункт «Обновление и восстановление». Далее, необходимо зайти в «Восстановление» и кликнуть по кнопке «Перезагрузить». Затем выберите дополнительные параметры «Настройки ПО UEFI»

После перезагрузки ПК получит нужные параметры

Затем выберите дополнительные параметры «Настройки ПО UEFI». После перезагрузки ПК получит нужные параметры.

Диалоговое окно Windows 8 (8.1)

Другой способ касается юзеров всех остальных версий ОС Windows. Откройте BIOS или UEFI (более современный аналог). Далее, для каждой марки ноутбука процесс настройки может незначительно отличаться, поэтому рассмотрим каждый случай отдельно.

ASUS

Зайдите во вкладку «Boot». Затем откройте раздел «Secure Boot». Выберите «Other OS» в пункте «OS Type». В более старых версиях просто поставьте «Disabled» в нужном пункте. Сохраните настройки, нажав на клавиатуре клавишу F10.

Проверяем состояние и настраиваем параметры

HP

Откройте раздел «System Configuration», а затем нажмите «Boot Options». Найдите там соответствующую строку и выберите режим «Disabled». Сохраните параметры перед выходом.

Lenovo, Toshiba

Запустив BIOS, откройте раздел «Security». Найдите соответствующий пункт и выберите для него состояние «Disabled».

В зависимости от версии БИОСа, параметры могут немного отличаться

Для ноутбуков Dell и Acer всё выполняется аналогичным образом, с той разницей, что нужный пункт находится во вкладке «Boot» (для Dell) и «Authentication» или «System Configuration» (для Acer).

Алгоритм действий похож

Если ваш компьютер с материнской платой от компоновщика Gigabyte, то нужный раздел следует искать во вкладке «BIOS Features». Дальнейшие действия такие же, как в выше рассмотренных случаях.

В ОС Windows 8 и более новых версиях можно узнать, включена или отключена на компьютере безопасная загрузка. Для этого воспользуйтесь комбинацией клавиш Win+R, чтобы открыть окно «Выполнить», а затем пропишите в поле для ввода (без кавычек) «msinfo32». В разделе «Сведения о системе» вы найдёте необходимую информацию. Так вы можете узнать о состоянии функции безопасной загрузки на вашем ПК.

В общем, в случае возникновения каких-либо неисправностей с режимом безопасной загрузки, попробуйте включить или отключить его, перейдя в BIOS или UEFI. Это поможет вам решить проблемы с системой и комфортно пользоваться компьютером.

How can I do non-automated signing of drivers?

Some projects may require the use of custom kernel drivers that are not set up in such a way as to work with DKMS. In these cases, people should make use of the tools included in the shim-signed package: the update-secureboot-policy script is available to generate a new MOK (if no DKMS-built modules have triggered generating one already).

Use the following command to enroll an existing key into shim:

sudo update-secureboot-policy --enroll-key

If no MOK exists, the script will exit with a message to that effect. If the key is already enrolled, the script will exit, doing nothing. If the key exists but it not shown to be enrolled, the user will be prompted for a password to use after reboot, so that the key can be enrolled.

One can generate a new MOK using the following command:

sudo update-secureboot-policy --new-key

And then enroll the newly-generated key into shim with the previously-mentioned command for that task.

Kernel modules can then be signed with the kmodsign command (see UEFI/SecureBoot/Signing) as part of their build process.

Настройка Secure Boot

Корневые ключи генерируются посредством SSL-сертификата, хэшируются и записываются в ЦП в результате однократного программируемого и необратимого процесса. Как только в процессор был установлен такой ключ, его нельзя изменить, что служит одной из гарантий безопасности.

Поступающий образ загрузки помечается с помощью этого ключа, и данные, полученные при подписи, объединяются с образом. Процессор сверяет поступающий ключ образа со своим ключом и, если они совпадают, сверяет образ с ключом, только что согласованным с процессором. Если они соответствуют друг другу, образ выполняется. Так выстраивается цепочка от загрузчика ЦП к загрузчику операционной системы. Существуют и другие особенности Secure Boot, но для простоты мы ограничимся примером с процессором i.MX6.

В этом процессе используются инструменты для подписи кода CST (Code Signing Tools) и средство MfgTool (см. рис. 2),которые предоставляются компанией NXP для Secure Boot и разработки приложений. Набор CST служит для создания сертификатов подписи, а также для данных Secure Boot, добавляемых в код загрузчика операционной системы, и для защищенных данных, записанных путем пережигания плавких перемычек в ЦП.

Рис. 2. Окно для работы со средством MfgTool, которое используется для загрузки подписанного кода на устройство

На устройстве, выполненном на основе i.MX6, при безопасной загрузке применяется средство MfgTool для записи защищенных данных в процессор на производстве и для загрузки и выполнения кода.

Как осуществляется безопасная загрузка i.MX6

После создания загрузочных образов программ в устройствах на базе процессора i.MX6 процесс Secure Boot генерирует набор защищенных ключей в соответствии с SSL-сертификатом, созданным для этой цели (рис. 1).

Рис. 1. Процесс создания сертификата в Secure Boot

* HAB (High Assurance Boot) — загрузка с высоким уровнем защиты

В дальнейшем такие ключи понадобятся при создании защищенного набора команд, которые скомпилированы и добавлены к загрузочному образу определенной программы с помощью инструментов от поставщика процессора. На следующем этапе процессор воспользуется начальным загрузчиком и проверит данные сертификата, сгенерированные средствами компиляции Secure Boot.

Защищенные команды станут выполняться только в том случае, если данные ключей в загрузочном образе операционной системы в точности совпадут с данными ключей, хранящимися в защищенном хранилище в процессоре. Далее он проверит криптографический хэш образов на соответствие тем, что определены защищенными командами. Если они совпадают, процессор загрузит и выполнит образ программы.

При прохождении этого процесса через внутренний загрузчик центрального процессора (ЦП) у пользователя имеется возможность обратиться в библиотеку Secure Boot из своего загрузчика кода. Это позволяет загружать образ операционной системы и проверять ее подлинность тем же способом, которым загрузчик ЦП устанавливает подлинность загрузчика программного обеспечения.

К концу этого процесса ОС загрузится в проверенной защищенной среде. Можно быть полностью уверенным, что это допустимая загрузка, поскольку каждый ее этап прошел проверку на аутентичность с помощью хэширования ключей в процессоре.

Примеры отключения Secure Boot на разных ноутбуках и материнских платах

Общий алгоритм всегда один и тот же:

1. Вход в UEFI.
2. Поиск нужной опции.
3. Отключение SecureBoot.
4. Запись изменений.

Важно, что этот протокол безопасности поддерживается только в Windows 8 и более поздних версиях. Следовательно, если у вас в прошивке материнской платы включен Secure Boot, но на ПК установлена Windows 7, то ничего отключать не надо

Опция безопасной загрузки все равно не работает, а возможные проблемы с запуском ОС нужно искать в других местах.

Как отключить Secure Boot и UEFI на ноутбуке Acer Aspire?

Есть много моделей ноутбуков этого производителя, но специфика такова, что сначала требуется создать собственный пароль. Общий алгоритм действия следующий:

• заходите в BIOS-UEFI нажатием на клавишу F2 или Delete;
• переходите во вкладку «Security», выбираете опцию «Set Supervisor Password»;
• в специальном окошке 2 раза вводите пароль. Не изощряйтесь, используйте простую комбинацию;
• успешность будет подтверждена сообщением «Changes have been saved»;
• переходите во вкладку «Boot» и в строке «Boot Mode» указываете значение «Legacy»;
• жмете F10 и выполняете запись модификаций установок;
• при последующей перегрузке снова войдите в UEFI;
• переходите во вкладку «Security», выбираете опцию «Set Supervisor Password», вводите ранее указанный пароль;
• переходите во вкладку «Boot» и в строке «Secure Boot» указываете значение «Disabled»;
• снова сохраняете изменения.

Отключение Secure Boot на ноутбуках Pavilion и других моделях HP?

1. Для входа в биос жмите на ESC или ESC => F10 перед запуском Windows.
2. Перейдите во вкладку «System Configuration», а в ней отыщите строчку «Boot Options».
3. Установите для критерия «Secure Boot» опцию «Disabled», а для критерия «Legacy support» — «Enabled».
4. Система спросит, действительно ли вы готовы изменить настройки — подтвердите это нажатием на «Yes».
5. В конце нужно сохранить выполненные изменения нажатием на F10 и подтверждением «Yes».

При последующей перезагрузке будьте внимательны. Система перестрахуется и включит «защиту от дурака». Нужно смотреть на то, что идет после надписи «Operating System Boot Mode Change (021)» — там будет указана цифровая последовательность. Наберите ее и нажмите Enter. Если вам нужно просто отключить Secure Boot, то дальше ничего делать не нужно. Если же изначально все делалось ради возможности загрузиться с USB-носителя, то сразу после прохождения «защиты от дурака» жмите ESC, а потом F9. Установите требуемой флешке максимальный приоритет, чтобы она грузилась первой на жесткий диск.

На ноутбуках Dell

1. F12 сразу после включения компьютера и перед стартом ОС.
2. В верхней панели переходите во вкладку Boot и заходите в подраздел UEFI BOOT.
3. Устанавливаете для критерия «Secure Boot» опцию «Disabled».
4. Сохраняете изменения (F10 => «Yes») и перезагружаете ноутбук.

Secure Boot на ноутбуках Леново и Тошиба

Для входа в UEFI на этих устройствах нужно жать F12, после чего выполнять следующие действия:

• перейдите во вкладку «Security»;
• установите для критерия «Secure Boot» опцию «Disabled»;
• перейдите на вкладку «Advanced», а в ней зайдите в меню «System Configuration»;
• установите для критерия «Boot Mode (OS Mode Selection)» опцию «CSM Boot (CMS OS), (UEFI and Legacy OS)»;
• сохраните все нажатием на F10 => «Yes».

Исправление неполадок

Иногда настройки Secure Boot могут оказаться неправильными.

В этом случае, даже установив систему, в углу рабочего стола можно увидеть сообщение об ошибке типа «Профессиональная Безопасная загрузка (SecureBoot) настроена неправильно Build 9600».

Причина появления этой информации заключается вовсе не в том, что операционная система оказалась нелицензионной или была неправильно активирована, а только о снижении безопасности компьютера и необходимости в следующих действиях:

• Определение одним из трёх известных способов, работает ли в настоящее время Secure Boot;
• Проверка типа политики безопасности;
• Если режим отключён, для устранения надписи о проблемах с безопасностью следует его включить (при установке системы можно снова выбрать отключение SB), перезагрузить компьютер, войти в БИОС и включить Secure Boot.

Рис.5. Включение SB в настройках UEFI материнской платы AsRock для решения неполадки.

Если применённый метод не помог устранить проблему, настройки UEFI следует попробовать сбросить до заводских.

Для этого в БИОС есть пункт Factory Default. При отсутствии поддержки этого режима у компьютера решить вопрос, скорее всего, не получится.

Единственный возможный вариант – установка таких обновлений от Microsoft, как KB288320, которое находится в составе пакета GA Rollup A.

Скачать его можно с официального сайта производителя, обязательно учитывая разрядность вашей системы – х86 или 64.

Re-enable Secure Boot

1. Uninstall any graphics cards, hardware, or operating systems that aren’t compatible with Secure Boot.

2. Open the PC BIOS menu. You can often access this menu by pressing a key during the bootup sequence, such as F1, F2, F12, or Esc.

   Or, from Windows: go to Settings charm > Change PC settings > Update and Recovery > Recovery > Advanced Startup: Restart now. When the PC reboots, go to Troubleshoot > Advanced Options: UEFI Firmware Settings.

3. Find the Secure Boot setting, and if possible, set it to Enabled. This option is usually in either the Security tab, the Boot tab, or the Authentication tab.

   On some PCs, select Custom, and then load the Secure Boot keys that are built into the PC.

   If the PC does not allow you to enable Secure Boot, try resetting the BIOS back to the factory settings.

4. Save changes and exit. The PC reboots.

5. If the PC is not able to boot after enabling Secure Boot, go back into the BIOS menus, disable Secure Boot, and try to boot the PC again.

6. In some cases, you may need to refresh or Remove everything to its original state before you can turn on Secure Boot. For more info, see How to restore, refresh, or Remove everything.

7. If the above steps don’t work, and you still want to use the Secure Boot feature, contact your manufacturer for help.

   For additional troubleshooting steps for PC manufacturers: see Secure Boot isn’t configured correctly: Determine if the PC is in a manufacturing mode (info for manufacturers).

Как зайти в безопасный режим

Для начала, стоит отметить, что не для кого не станет секретом, что “Safe Mod” представляет собой запуск ОС в такой конфигурации, которая будет обеспечивать лишь несколько ключевых функциональных возможностей операционной системы, без загрузки сторонних драйверов и служб, что позволяет выявить наличие программных проблем в работе программного обеспечения

Открывающийся потенциал по-настоящему значителен, например, “открываются двери” для удаления ПО, которое не хотело добровольно удаляться в обычном режиме, можно провести удаление драйверов по той же причине, и что немаловажно, позволяет выявить возможное вирусное заражение

Среди существующих вариантов следует выделить три наиболее распространённых (а также один дополнительный — очень полезный), которые выглядят следующим образом:

1 Вариант — Использование конфигурации системы

Данный метод, он же наиболее распространённый среди пользователей, реализуется достаточно просто и на Windows 10 и в других версиях операционной системы, так как для его осуществления потребуется сделать лишь следующее:

• нажмите на “WIN+R” и введите “msconfig”;
• в открывшемся окне “Конфигурация системы” и перейдите на вкладку “Загрузка”;

• Активируйте строку “Безопасный режим” и выберите один из предложенных вариантов:

  • “Минимальный” — запуск операционной системы с минимальным набором драйверов и служб;
  • “Другой режим” — запуск с поддержкой командной строки;
  • “Восстановление Active Directory” — запуск диагностического режима только с самыми важными службами и с поддержкой Active Directory;
  • “Сеть” — загрузка с поддержкой сетевых драйверов.

  Останется нажать на кнопку “ОК” и перезагрузить компьютер.

2 Вариант — Использование раздела “Восстановление”

Данный вариант получил своё отражение именно в Windows 10 и пришёлся многим пользователем по душе, так как предлагает более интересное оформление привычного интерфейса, аналогично тому, что было описано выше.

Для его применения потребуется:

• Нажмите “Пуск” — “Параметры” и откройте раздел “Обновление и безопасность”;
• Откройте строку “Восстановление” и нажмите на кнопку “Перезагрузить сейчас”;
• Дождитесь появление окна особых вариантов загрузки и выберите “Поиск и устранение неисправностей”;
• Далее, откройте “Дополнительные параметры” и “Просмотреть другие параметры восстановления”;
• На экране появиться девять вариантов, которые может применить пользователей, нажав на кнопки от “F1” до “F2”.

В рамках рассматриваемой темы это режимы “4”,”5” и “6”.

Также стоит отметить, что инициировать запуск особых вариантов загрузки можно, нажав на кнопку “SHIFT” и не отпуская её начать перезагрузку компьютера.

3 Вариант — Использование носителя с дистрибутивом операционной системы

Это наиболее действенный вариант, когда нормальной загрузки Windows мешает появление критической ошибки (BSOD/синий экрана смерти), так как подобный носитель позволяет не только зайти в безопасный режим, но и осуществить множество манипуляций с загрузочным сектором, что и является ключом к решению большинства возникающих BSOD.

Соответственно, для его реализации потребуется анонсированный носитель с образом операционной системы, а дальнейший порядок действий достаточно прост:

• Используя “Boot Menu” или настройки приоритета загрузки в BIOS загрузитесь с используемого носителя;
• На экране с предложение нажать на кнопку “Установить” выберите “Восстановление системы” или нажмите на кнопки “SHIFT+F10” для открытия командной строки
• Если вы выбрали раздел “Восстановление”, то следом откройте “Диагностика — Дополнительные параметры — Командная строка”;
• В открывшуюся консоль командной строки введите и выполните одну из команд (в зависимости от необходимого режима):
  • bcdedit /set {default} safeboot minimal — запустит безопасный режим при последующей перезагрузки
  • bcdedit /set {default} safeboot network — запустит безопасный режим, с наличием поддержки сетевых параметров

  Если требуется дополнительная поддержка командной строки в безопасном режиме, то необходимо выполнить первую команду + команду bcdedit /set {default} safeboot network

• Останется только инициировать перезагрузку и применить необходимый функционал для решения возникшей проблемы.

А для того, чтобы отметить произведённые действия достаточно будет выполнить команду bcdedit /deletevalue {default} safeboot после загрузки операционной системы.

Заключение

1. Secure Boot появился в компьютерном мире относительно недавно и этот протокол безопасности является составляющей UEFI — современным и актуальным видом прошивки материнских плат.
2. Протокол безопасности препятствует запуску вредоносного ПО на более низком уровне, чем это делают обычные антивирусы. Поэтому при правильной настройке эта технология может существенно повысить устойчивость ПК к вирусам.
3. Secure Boot стоит отключать по необходимости, если он препятствует старту системы с загрузочной флешки или при переустановке Windows. Просто для эксперимента технологию деактивировать не стоит.
4. Для любого компьютера схема деактивации одна и та же — за счет указания подходящего критерия в нужном меню UEFI. Главное — это найти правильный путь к такому меню. Даже при существенных сложностях это займет не больше 10 минут.