Windows secure boot windows 7. Secure Boot: как отключить защиту или настроить правильно в UEFI

Как отключить (включить) безопасную загрузку (Secure Boot) в UEFI BIOS

В данной статье показаны деяния, с помощью которых можно отключить либо включить безопасную загрузку (Secure Boot) в интерфейсе BIOS UEFI.

Безопасная загрузка — это эталон сохранности, который гарантирует юзеру, что его комп при загрузке употребляет лишь программное обеспечение, которому доверяет изготовитель компьютера.

В неких вариантах может появиться необходимость отключить безопасную загрузку (Secure Boot) в интерфейсе UEFI BIOS, к примеру при установке операционных систем Windows 7, Windows XP либо Linux, а также для обеспечения работоспособности неких графических адаптеров и другого оборудования, потому-что функция безопасная загрузки может посчитать операционную систему, драйвер либо приложение ненадежными, так как они не указаны как доверенные в базе данных безопасной загрузки.

Чтобы отключить безопасную загрузку (Secure Boot), войдите в опции характеристик встроенного ПО UEFI используя методы выставленные в статье ➯ Как войти в опции BIOS UEFI и ➯ Как войти в опции характеристик UEFI BIOS из интерфейса системы Windows 10.

Отключение безопасной загрузки

Чтобы отключить безопасную загрузку (Secure Boot), войдите в опции характеристик встроенного ПО UEFI и выберите пункт Advanced либо нажмите кнопку F7.

Затем в режиме Advanced Mode перейдите на вкладку и выберите параметр Меню безопасной загрузки

В меню безопасной загрузки вы увидите состояние безопасной загрузки (в данный момент состояние ), чтоб отключить безопасную загрузку выберите параметр .

Затем выберите .

Подтвердите удаление ключей безопасной загрузки нажав клавишу .

Теперь необходимо сохранить конфигурации, для этого перейдите на вкладку и выберите опцию .

Подтвердите сохранение модифицированных характеристик и опосля перезагрузки компа, режим безопасной загрузки будет отключен.

Читайте также  Как загрузить iso образ на флешку. Гайд по записи ISO образа на flash-накопитель

В неких моделях материнских плат Asus, для отключения безопасной загрузки следует зайти на вкладку либо и установить для параметра Secure Boot значение .

Включение безопасной загрузки

Чтобы включить безопасную загрузку (Secure Boot), войдите в опции характеристик встроенного ПО UEFI и выберите пункт Advanced либо нажмите кнопку F7

Затем в режиме Advanced Mode перейдите на вкладку и выберите параметр Меню безопасной загрузки

В меню безопасной загрузки выберите параметр .

Затем выберите .

Подтвердите установку ключей безопасной загрузки по умолчанию нажав клавишу .

Теперь необходимо сохранить конфигурации, для этого перейдите на вкладку и выберите опцию .

Подтвердите сохранение модифицированных характеристик и опосля перезагрузки компа, режим безопасной загрузки будет включен.

Способ отключения в интерфейсе BIOS InsydeH2O

Чтобы отключить безопасную загрузку в интерфейсе BIOS InsydeH2O, перейдите на вкладку , потом выберите параметр Secure Boot и установите для него значение , потом сохраните опции нажав кнопку F10.

Загрузка Windows 7 в режиме SecureBoot

Многие в курсе, что официально поддержка SecureBoot внедрена в операционные системы компании Microsoft начиная с Windows 8. Но юзеры не торопятся перебегать с проверенной "семерки", благо расширенная поддержка данной ОС будет осуществляться до 2020 года. Так как 64-битные версии Windows 7 способны загружаться в режиме UEFI, возникает вопрос: что необходимо сделать, чтоб включение SecureBoot не сломало загрузку?

Ответ на этот вопросец в технической части вполне раскрыт вот тут. Ежели кратко, в UEFI есть несколько хранилищ сертификатов шифрования: PK, KEK, db и dbx. Сертификатом из PK проверяются KEK, сертификатами из KEK проверяются db и dbx, а сертификатами из db и dbx проверяются загрузчики. Ежели ключ, которым подписан загрузчик, содержится в db и не содержится в dbx, то загрузка разрешается. Вначале ваш новый (или старенький, но раз уж вы читаете эту статью, поддерживающий SecureBoot) комп находится в режиме опции, т. е. в PK, KEK, db и dbx находятся ключи, которые туда заблаговременно положил производитель вашего ПК. При сбросе опций SecureBoot они восстановятся, но в принципе традиционно вы сможете сохранить их куда-нибудь при помощи интерфейса вашего UEFI.

Читайте также  Как записать на ps3 игру с флешки. Как установить игру на PS3

Поскольку мы мало параноики (если совершенно не параноики, можно отключить SecureBoot и прочесть эту статью просто для развлечения), мы желаем доверять лишь нашим ключам, а не каким-то чужим. Потому нам необходимо прописать свои сертификаты в PK и KEK, и подписать нашим KEK-сертификатом сертификат загрузчика. Как и чем это всё можно сделать, включая создание сертификатов, отлично и тщательно описано в уже упомянутой статье. Ежели нет линукса, можно взять лайв-образ либо виртуалку, но у меня уже была готовая ОС, так что с подготовкой сертификатов и файлов PK и KEK заморочек не появилось. А вот при разработке DB мы натыкаемся на одну небольшую загвоздку: в поиске не удается отыскать сертификат от Microsoft, которым подписан загрузчик от Windows 7 (файл именуется bootmgfw.efi).

В принципе, ничего ужасного в этом нет. С ходу в голову приходят несколько вариантов решения препядствия без отключения БезопаснойЗагрузки и не имея сертификата:

  1. Создать собственный свой сертификат DB и подписать им загрузчик
  2. Взять загрузчик от Windows 8
  3. Погуглить еще
  4. В принципе в db и dbx можно не считая сертификатов запихать также хэш от файла загрузчика, как описано вот тут. Правда, описан метод лишь для dbx, но для db обязано быть аналогично.

Первый метод, как самый тривиальный, был здесь же и опробован. Но оказалось, что не все так просто: в процессе загрузки выдается предупреждение, что файл загрузчика не подписан либо подписан неправильной подписью, и его необходимо вернуть. Так как в момент загрузки наверное употребляется не системное хранилище сертификатов, а что-то еще, подмену сертификата на собственный выполнить обычным методом, видимо, не удастся.

Второй метод я серьезно не разглядывал, т. к. вида восьмерки у меня не было, а качать N Гб ради файла размером порядка мб было лень. Да и опосля первого пт были определенные сомнения относительно того, усвоит ли Windows 7 сертификат от загрузчика Windows 8.

Читайте также  Install mac os on mac. Как переустановить ОС macOS

Третий метод в очередной раз не отдал результатов.

Четвертый метод у меня так и не вышло "добить" — видимо, я проигнорировал фразу о том, что хэш необходимо брать от неподписанного файла, на данный момент уже нет смысла инспектировать. Но в процессе исследования команд, обрисованных на той страничке, с целью осознать, что происходит, я увидел, что в detached подписи загрузчика есть ссылки на файлы .crt на веб-сайт microsoft.com. Вы сможете достичь того же результата, выполнив команду:

В итоге вы получите последующие ссылки на сертификаты:
http://www.microsoft.com/pki/certs/MicrosoftTimeStampPCA.crt
http://www.microsoft.com/pki/certs/MicrosoftWinPCA.crt
http://www.microsoft.com/pki/certs/MicrosoftRootCert.crt
К слову, даже зная, что находить, я так и не сумел отыскать какие-то ссылки на веб-сайте Microsoft, которые бы указывали на эти файлы.

RootCert и TimeStampPCA нам вряд ли увлекательны, а вот WinPCA я обработал и добавил в db. В итоге Windows 7 в режиме SecureBoot загрузилась и работает успешно.

Еще желал бы увидеть, что на самом деле существует 5-ый способ: взять загрузчик наподобие grub2, умеющий загружать что угодно, и загружать Windows 7 им. Но здесь сходу несколько препятствий: ежели загрузчик не инспектирует подписи, то проще и осмысленней отключить SecureBoot, а ежели инспектирует, то ему все равно необходимо с кое-чем ассоциировать подпись. Grub2, кстати, по последней мере в убунте, отрешается загружать винду, хотя с отключенным SecureBoot тот же пункт меню работает.

Оставьте комментарий