Що таке Secure Boot, і як її відключати? Ця утиліта - специфічний запобіжник, який не дає користувачам встановлювати на комп'ютер з Windows 8, 8.1 і 10 будь-яку іншу ОС.
Робота вбудованої в BIOS (UEFI) утиліти полягає в порівнянні спеціальних ключів з підписами завантажувального коду системи. При розбіжності Secure Boot припиняє завантаження з метою захисту комп'ютера від злому і використання неліцензійного програмного забезпечення.
Для завантаження будь-який інший операційної системи на ПК від користувача потрібно спочатку відключити цю утиліту в інтерфейсі UEFI.
Принцип роботи та особливості Secure Boot
Технологію захисту системи від перевстановлення придумав не розробники Microsoft, а фахівці з компанії Unified EFI Forum, яка створила новий інтерфейс БІОС - UEFI.
Функція передбачає можливість відключення заборони встановлення іншої ОС і управління ключами на будь-якому ноутбуці і стаціонарному ПК. Чи не вийде відключити Secure Boot (SB) тільки на планшеті під управлінням Windows.
Рис.1. Повідомлення при спробі поставити нову систему на комп'ютер з Security Boot.
Для комп'ютерів з Windows 8 і 10 утиліта працює в двох режимах:
- Режим Setup, необхідний для настройки і дозволяє замінити основні ключі Platform Key і KEK, а також бази дозволених і відкликаних ключів DB і DBX;
- Режим User або режим користувача, в якому комп'ютер працює за замовчуванням.
Для того, щоб прибрати функцію слід скористатися першим режимом.
Заміна ключів, які порівнюються з підписами коду, дозволить обійти обмеження на переустановку.
Визначення режиму завантаження
Дізнатися про те, що на вашому ПК або ноутбуці включена функція Secure Boot можна трьома способами:
- вже під час спроби поставити нову Windows замість старої, коли у вас не вийде це зробити, а система видасть відповідне повідомлення;
- через меню msinfo32, яке можна викликати за допомогою вікна «Виконати» і введеної в ньому однойменної команди. Тут слід знайти пункт «Стан безпечного завантаження» і прочитати там інформацію про режим захисту;
- шляхом запуску в командному рядку (відкритої від імені адміністратора) команди Confirm-SecureBootUEFI. Якщо режим працює, на екрані з'явиться напис True, якщо не працює - False. Інші повідомлення, включаючи Cmdlet not supported on this platform, кажуть про повну відсутність підтримки SB комп'ютером.
Рис.3. Повідомлення, що показує відсутність підтримки UEFI і Secure Boot.
Після визначення режиму, в якому працює Secure Boot, слід перевірити тип його політики за допомогою тієї ж командного рядка. Для цього вводиться вже інша команда - Get-SecureBootPolicy.
Вона може повернути значення, що говорить про правильно налаштованої політики безпеки. Будь-які інші символи показують, що безпечна завантаження працює в тестовому режимі.
Повідомлення типу Secure Boot policy is not enabled on this machine означає, що режим не підтримується материнською платою.
відключення утиліти
Якщо на вашому комп'ютері потрібно відключити безпечний режим і забезпечити завантаження нової ОС, слід виконати наступні дії:
- Увійти в налаштування інтерфейсу UEFI;
- Змінити налаштування БІОС одним з можливих способів, залежно від виробника материнської плати.
На комп'ютерах з Віндовс 8 і вище існує 2 основних способи входу в БІОС:
Після того як вдалося увійти в інтерфейс, слід знайти в його налаштуваннях пункт, який відповідає за відключення.
Він залежить від конкретної моделі комп'ютера та марки материнської плати.
Наприклад, для ноутбуків HP в БІОС слід знайти вкладку System Configuration, перейти до пункту Boot Options і змінити значення показника Secure Boot на Disabled.
Після збереження змін і перезавантаження комп'ютера ніяких обмежень на установку ОС залишитися не повинно.
Пристрої Lenovo і Toshiba мають вкладку Security, а Dell - меню UEFI Boot, де теж слід відключити Secure Boot.
Рис.4. Відключення безпечного завантаження для моделі ноутбука Lenovo.
Для пристроїв Asus, крім відключення, потрібно додатково вибрати можливість установки нової ОС, встановивши параметр Other OS в пункті OS Type.
На стаціонарних комп'ютерах Asus функцію відключають, перейшовши в розділ Authentication. А для плат марки Gigabyte потрібен перехід в меню BIOS Features.
виправлення неполадок
Іноді настройки Secure Boot можуть виявитися неправильними.
В цьому випадку, навіть встановивши систему, в кутку робочого столу можна побачити повідомлення про помилку типу «Професійна Безпечне завантаження (SecureBoot) налаштована неправильно Build 9600».
Причина появи цієї інформації полягає зовсім не в тому, що операційна система виявилася неліцензійної або була неправильно активована, а тільки про зниження безпеки комп'ютера і необхідності в таких діях:
- Визначення одним з трьох відомих способів, чи працює в даний час Secure Boot;
- Перевірка типу політики безпеки;
- Якщо режим відключений, для усунення написи про проблеми з безпекою слід його включити (при установці системи можна знову вибрати відключення SB), перезавантажити комп'ютер, увійти в БІОС і включити Secure Boot.
Рис.5. Включення SB в налаштуваннях UEFI материнської плати AsRock для вирішення проблеми.
Якщо застосований метод не допоміг усунути проблему, настройки UEFI слід спробувати скинути до заводських.
Для цього в БІОС є пункт Factory Default. При відсутності підтримки цього режиму біля комп'ютера вирішити питання, швидше за все, не вийде.
Єдиний можливий варіант - установка таких оновлень від Microsoft, як KB288320, яке знаходиться в складі пакету GA Rollup A.
Завантажити його можна з офіційного сайту виробника, обов'язково враховуючи розрядність вашої системи - х86 або 64.
Чи потрібен користувачам Secure Boot?
Поява функції було неоднозначно сприйнято користувачами Windows. З одного боку, її використання заважає перевстановлення операційної системи і, таким чином, обмежує власника ноутбука або ПК в своїх діях.
З іншого ця ж опція, за словами розробників, дозволяє запобігти дію руткітів - шкідливих скриптів, що негативно впливають на працездатність системи.
Для того щоб розібратися з цим питанням, варто докладніше розглянути особливості утиліти:
- Конкретне призначення Secure Boot - ініціалізація операційної системи при її завантаженні і передача управління завантажувачу ОС;
- Secure Boot являє собою не вбудовану в Windows 8 або 10 функцію, а версію протоколу UEFI. Але вже сам інтерфейс входить до складу завантаження Віндовс;
- Система використовує SB для безпеки завантаження платформи, і настройка утиліти виконується виробником пристрою, а не операційної системи - тобто компаніями HP, Dell, Lenovo і т. Д .;
- Microsoft не контролює установку Secure Boot на комп'ютери, незалежно від того яку систему на них встановлена (Windows 7, 8 або 10 з розрядністю 32 або 64).
Функція безпеки починає працювати відразу ж після включення живлення комп'ютера, забороняючи установку нових систем.
Таким чином, користувач не може використовувати для зміни ОС ні жорстким диском, ні мережевою картою, ні CD, DVD або USB-флешкою.
І, хоча виробник стверджує, що функція легко може бути відключена (нехай навіть це і не дасть завантажуватися встановленої ліцензійної системі), сертифікація Win-8 може привести до іншого результату.
Microsoft вимагає від розробників ПК і ноутбуків тільки установки Secure Boot, але не зобов'язує передбачити можливість її відключення. Крім того, згідно з вимогами сертифікації Win-8, встановлювати ключі, відмінні від захисту MS, теж не обов'язково.
Виходить, що можлива така ситуація, коли виробник випустить комп'ютер з Secure Boot, який буде не можна відключити, і системою, яка вже встановлена на пристрої, доведеться користуватися постійно. А, значить, користувачеві необхідно знати про таку можливість перед покупкою ноутбука або ПК, щоб не відключається SB не став неприємним сюрпризом.