- Как запустить безопасный режим Windows 10 [6 способов]
- Содержание
- Запускаем безопасный режим используя приложение Параметры Windows 10
- Используйте клавишу Shift на экране входа в Windows 10
- Прервите нормальный процесс загрузки Windows 10 несколько раз подряд
- Используйте установочный диск Windows 10 и командную строку
- Загрузитесь с USB-накопителя для восстановления Windows 10
- Используйте инструмент настройки системы (msconfig.exe) для включения безопасного режима
- Secure the Windows 10 boot process
- The threat: rootkits
- The countermeasures
- Secure Boot
- Trusted Boot
- Early Launch Anti-Malware
- Measured Boot
- Summary
Как запустить безопасный режим Windows 10 [6 способов]
Если вы уже достаточно давно используете Windows 10, то могли заметить, что нажатие клавиш F8 или SHIFT+F8 на клавиатуре для входа в безопасный режим больше не работает (может работать, когда используется более старое «железо»), как это было в Windows 7. Этот метод перестал работать, потому что процедура запуска Windows 10 стала быстрее, чем в «семерке». Однако это не означает, что в Windows 10 нет безопасного режима. Просто чтобы добраться до него, вы должны использовать другие методы.
Когда вы загружаетесь в безопасном режиме в Windows 10, операционная система загружает минимальный пользовательский интерфейс, содержащий только основные службы и драйверы, необходимые для его работы. Этот режим упрощает устранение неполадок, поскольку он не загружает дополнительные службы, которые могут привести к сбою Windows. Ниже будут перечислены все решения, которые можно использовать для запуска Windows 10 в безопасном режиме, прочтите это руководство до конца и выберите наиболее подходящий для себя.
Содержание
Запускаем безопасный режим используя приложение Параметры Windows 10
Если ваша система начинает зависать или происходят сбои в её работе по непонятным причинам, но вы можете войти в учетную запись, то используйте данный метод. Приложение Параметры позволяет легко войти в безопасный режим, для выполнения этой задачи выполните следующую процедуру:
- Совместно нажмите горячую клавишу Win+I, чтобы запустить приложение Параметры.
- В открывшемся окне нажмите раздел Обновление и безопасность, а затем на левой панели выберите Восстановление.
- Переключитесь на правую панель и нажмите кнопку Перезагрузить сейчас в разделе Особые варианты загрузки.
Когда компьютер перезагрузится, появится экран Выбор действия, выберите пункт Поиск и устранение неисправностей. Если компьютер перезагрузился и открылся экран входа в систему, то повторите Шаги 1-3.
Далее на экране Диагностика нажмите Дополнительные параметры.
Когда откроется экран Дополнительные параметры выберите Параметры загрузки.
Теперь для запуска безопасного режима Windows 10 нажмите кнопку Перезагрузить.
После перезагрузки компьютера выберите из списка нужный параметр запуска безопасного режима, для этого нажмите нужную функциональную клавишу на клавиатуре, например, для запуска безопасного режима нажмите 4 или F4, для запуска безопасного режима с загрузкой сетевых драйверов 5 или F5, чтобы загрузить безопасный режим с поддержкой командной строки 6 или F6.
Используйте клавишу Shift на экране входа в Windows 10
- Если вы не можете войти в Windows 10, но операционная система догружается до экрана входа, удерживайте клавишу Shift на клавиатуре, нажмите кнопку питания на экране входа, затем выберите пункт Перезагрузка.
Windows 10 перезагрузится и предложит вам несколько вариантов дальнейших действий, выберите Поиск и устранение неисправностей.
В окне Диагностика выберите пункт Дополнительные параметры.
На экране Дополнительные параметры выберите Параметры загрузки. В зависимости от сборки Windows 10 установленной на вашем компьютере вы можете сначала не увидеть эту опцию, тогда нажмите на ссылку Посмотреть другие параметры восстановления.
На экране появится страница Параметры загрузки, также будет сообщено, что вы можете перезагрузить устройство, чтобы изменить дополнительные параметры загрузки, в том числе включить безопасный режим. Нажмите Перезагрузить.
После того, как Windows 10 перезагрузится еще раз, вы можете выбрать, какие параметры загрузки вы хотите включить. Чтобы войти в безопасный режим, у вас есть три разных варианта:
- Стандартный безопасный режим — нажмите клавишу 4 или F4 на клавиатуре, чтобы запустить его.
- Безопасный режим с загрузкой сетевых драйверов — нажмите 5 или F5
- Безопасный режим с командной строкой — нажмите 6 или F6.
Войдите в безопасный режим Windows 10 с учетной записью пользователя с правами администратора и внесите необходимые изменения.
Прервите нормальный процесс загрузки Windows 10 несколько раз подряд
- Если Windows 10 два или три раза не загружается нормально, то после этого она по умолчанию переходит в режим автоматического восстановления. Используя этот режим, вы можете загрузиться в безопасном режиме. Чтобы запустить режим автоматического восстановления, вы должны несколько раз подряд прервать нормальный процесс загрузки: используйте кнопку Перезагрузка или кнопку Питание на системном блоке вашего компьютера. Если вы используете кнопку Питание, возможно, вам придется удерживать ее нажатой не менее 4 секунд, чтобы выключить питание. Когда Windows 10 переходит в режим автоматического восстановления, первое, что вы видите, это экран, который сообщает вам, что операционная система находится в состоянии Подготовка автоматического восстановления.
На экране Автоматическое восстановление нажмите кнопку Дополнительные параметры.
Затем выберите Поиск и устранение неисправностей.
Используйте установочный диск Windows 10 и командную строку
- Если у вас есть установочный DVD-диск с Windows 10 или USB-накопитель или вы можете создать его прямо сейчас, вы можете использовать его для загрузки вашего сломанного ПК с Windows 10 в безопасном режиме. Итак, загрузитесь с установочного диска или загрузочного USB-накопителя с Windows 10 и дождитесь загрузки среды установки. Выберите предпочитаемый язык и раскладку клавиатуры и нажмите Далее.
Щелкните ссылку Восстановление системы в нижнем левом углу экрана.
Когда вас спросят, какой вариант вы предпочитаете, выберите Поиск и устранение неисправностей.
На экране Дополнительные параметры нажмите Командная строка (Командную строку можно применять для расширенного устранения неполадок).
После этого у вас на экране появится окно выбора учетной записи, выберите ту, которая обладает правами администратора, затем введите пароль от нее и нажмите кнопку Продолжить.
После того, как откроется командная строка Windows 10 введите команду:
Закройте командную строку и выберите Продолжить в следующем окне.
Предупреждение! Важная деталь этого метода заключается в том, что после процедур выше Windows 10 автоматически будет переходить в безопасный режим каждый раз, когда вы запускаете его, пока вы не отмените его. Чтобы отключить эту функцию и снова вернуть Windows 10 в нормальный режим запуска, повторите ту же процедуру еще раз и в командную строку введите команду:
bcdedit / deletevalue
Загрузитесь с USB-накопителя для восстановления Windows 10
В Windows 10 вы можете создать USB-накопитель для восстановления системы. Поскольку ваш компьютер может не работать, создайте этот USB-накопитель восстановления на другом компьютере с Windows 10. Для этого в строке поиска Windows 10 введите Диск восстановления и следуйте дальнейшим инструкциям на экране.
- Создав USB-накопитель для восстановления, используйте его для загрузки ПК или устройства с Windows 10 и, когда вас попросят загрузить его содержимое, сделайте это. На первом экране вас попросят выбрать раскладку клавиатуры. Выберите тот, который вы хотите использовать, или, если вы не видите его в списке, нажмите Просмотреть другие раскладки клавиатуры, чтобы вывести на экран полный список доступных раскладок.
После того, как вы выбрали раскладку клавиатуры, которую хотите использовать, на экране Выбор действия перейдите в раздел Поиск и устранение неисправностей.
Используйте инструмент настройки системы (msconfig.exe) для включения безопасного режима
Если вы можете войти в Windows 10, одним из самых простых способов загрузки в безопасном режиме является использование инструмента Конфигурация системы. Многие пользователи знают этот инструмент по имени файла: msconfig.exe.
- Одновременно нажмите кнопки Win+R, чтобы открыть диалоговое окно Выполнить.
- В пустой области введите msconfig и нажмите OK, чтобы открыть окно Конфигурация системы.
- Теперь перейдите на вкладку Загрузка, затем установите флажок Безопасный режим и нажмите кнопку OK.
Предупреждение! После проделанных шагов Windows 10 будет постоянно загружаться в безопасном режиме, чтобы вернуть операционную систему в нормальный режим работы снимите флажок Безопасный режим на вкладке Загрузка.
Secure the Windows 10 boot process
Applies to:
The Windows operating system has many features to help protect you from malware, and it does an amazingly good job. Except for apps that businesses develop and use internally, all Microsoft Store apps must meet a series of requirements to be certified and included in the Microsoft Store. This certification process examines several criteria, including security, and is an effective means of preventing malware from entering the Microsoft Store. Even if a malicious app does get through, the WindowsВ 10 operating system includes a series of security features that can mitigate the impact. For instance, Microsoft Store apps are sandboxed and lack the privileges necessary to access user data or change system settings.
Windows 10 has multiple levels of protection for desktop apps and data, too. Windows Defender uses signatures to detect and quarantine apps that are known to be malicious. Windows Defender SmartScreen warns users before allowing them to run an untrustworthy app, even if it’s recognized as malware. Before an app can change system settings, the user would have to grant the app administrative privileges by using User Account Control.
Those are just some of the ways that Windows 10 protects you from malware. However, those security features protect you only after Windows 10 starts. Modern malware—and bootkits specifically—are capable of starting before Windows, completely bypassing operating system security, and remaining completely hidden.
When you run Windows 10 on a PC or any PC that supports Unified Extensible Firmware Interface (UEFI), Trusted Boot protects your PC from malware from the moment you power on your PC until your anti-malware starts. In the unlikely event that malware does infect a PC, it can’t remain hidden; Trusted Boot can prove the system’s integrity to your infrastructure in a way that malware can’t disguise. Even on PCs without UEFI, Windows 10 provides even better startup security than previous versions of Windows.
First, let’s examine what rootkits are and how they work. Then, we’ll show you how Windows 10 can protect you.
The threat: rootkits
Rootkits are a sophisticated and dangerous type of malware that run in kernel mode, using the same privileges as the operating system. Because rootkits have the same rights as the operating system and start before it, they can completely hide themselves and other applications. Often, rootkits are part of an entire suite of malware that can bypass local logins, record passwords and keystrokes, transfer private files, and capture cryptographic data.
Different types of rootkits load during different phases of the startup process:
- Firmware rootkits. These kits overwrite the firmware of the PC’s basic input/output system or other hardware so the rootkit can start before Windows.
- Bootkits. These kits replace the operating system’s bootloader (the small piece of software that starts the operating system) so that the PC loads the bootkit before the operating system.
- Kernel rootkits. These kits replace a portion of the operating system kernel so the rootkit can start automatically when the operating system loads.
- Driver rootkits. These kits pretend to be one of the trusted drivers that Windows uses to communicate with the PC hardware.
The countermeasures
WindowsВ 10 supports four features to help prevent rootkits and bootkits from loading during the startup process:
- Secure Boot. PCs with UEFI firmware and a Trusted Platform Module (TPM) can be configured to load only trusted operating system bootloaders.
- Trusted Boot. Windows checks the integrity of every component of the startup process before loading it.
- Early Launch Anti-Malware (ELAM). ELAM tests all drivers before they load and prevents unapproved drivers from loading.
- Measured Boot. The PC’s firmware logs the boot process, and Windows can send it to a trusted server that can objectively assess the PC’s health.
FigureВ 1 shows the WindowsВ 10 startup process.
.png)
Figure 1. Secure Boot, Trusted Boot, and Measured Boot block malware at every stage
Secure Boot and Measured Boot are only possible on PCs with UEFIВ 2.3.1 and a TPM chip. Fortunately, all Windows 10 PCs that meet Windows Hardware Compatibility Program requirements have these components, and many PCs designed for earlier versions of Windows have them as well.
The sections that follow describe Secure Boot, Trusted Boot, ELAM, and Measured Boot.
Secure Boot
When a PC starts, it first finds the operating system bootloader. PCs without Secure Boot simply run whatever bootloader is on the PC’s hard drive. There’s no way for the PC to tell whether it’s a trusted operating system or a rootkit.
When a PC equipped with UEFI starts, the PC first verifies that the firmware is digitally signed, reducing the risk of firmware rootkits. If Secure Boot is enabled, the firmware examines the bootloader’s digital signature to verify that it hasn’t been modified. If the bootloader is intact, the firmware starts the bootloader only if one of the following conditions is true:
- The bootloader was signed using a trusted certificate. In the case of PCs certified for WindowsВ 10, the MicrosoftВ® certificate is trusted.
- The user has manually approved the bootloader’s digital signature. This allows the user to load non-Microsoft operating systems.
All x86-based Certified For WindowsВ 10 PCs must meet several requirements related to Secure Boot:
- They must have Secure Boot enabled by default.
- They must trust Microsoft’s certificate (and thus any bootloader Microsoft has signed).
- They must allow the user to configure Secure Boot to trust other bootloaders.
- They must allow the user to completely disable Secure Boot.
These requirements help protect you from rootkits while allowing you to run any operating system you want. You have three options for running non-Microsoft operating systems:
- Use an operating system with a certified bootloader. Because all Certified For Windows 10 PCs must trust Microsoft’s certificate, Microsoft offers a service to analyze and sign any non-Microsoft bootloader so that it will be trusted by all Certified For Windows 10 PCs. In fact, an open source bootloader capable of loading Linux is already available. To begin the process of obtaining a certificate, go to https://partner.microsoft.com/dashboard.
- Configure UEFI to trust your custom bootloader. All Certified For WindowsВ 10 PCs allow you to trust a non-certified bootloader by adding a signature to the UEFI database, allowing you to run any operating system, including homemade operating systems.
- Turn off Secure Boot. All Certified For WindowsВ 10 PCs allow you to turn off Secure Boot so that you can run any software. This does not help protect you from bootkits, however.
To prevent malware from abusing these options, the user must manually configure the UEFI firmware to trust a non-certified bootloader or to turn off Secure Boot. Software cannot change the Secure Boot settings.
Like most mobile devices, ARM-based Certified For WindowsВ RT devices, such as the Microsoft Surface RT device, are designed to run only WindowsВ 8.1. Therefore, Secure Boot cannot be turned off, and you cannot load a different operating system. Fortunately, there is a large market of ARM devices designed to run other operating systems.
Trusted Boot
Trusted Boot takes over where Secure Boot leaves off. The bootloader verifies the digital signature of the WindowsВ 10 kernel before loading it. The WindowsВ 10 kernel, in turn, verifies every other component of the Windows startup process, including the boot drivers, startup files, and ELAM. If a file has been modified, the bootloader detects the problem and refuses to load the corrupted component. Often, WindowsВ 10 can automatically repair the corrupted component, restoring the integrity of Windows and allowing the PC to start normally.
Early Launch Anti-Malware
Because Secure Boot has protected the bootloader and Trusted Boot has protected the Windows kernel, the next opportunity for malware to start is by infecting a non-Microsoft boot driver. Traditional anti-malware apps don’t start until after the boot drivers have been loaded, giving a rootkit disguised as a driver the opportunity to work.
Early Launch Anti-Malware (ELAM) can load a Microsoft or non-Microsoft anti-malware driver before all non-Microsoft boot drivers and applications, thus continuing the chain of trust established by Secure Boot and Trusted Boot. Because the operating system hasn’t started yet, and because Windows needs to boot as quickly as possible, ELAM has a simple task: examine every boot driver and determine whether it is on the list of trusted drivers. If it’s not trusted, Windows won’t load it.
An ELAM driver isn’t a full-featured anti-malware solution; that loads later in the boot process. Windows Defender (included with Windows 10) supports ELAM, as does Microsoft System Center 2012 Endpoint Protection and several non-Microsoft anti-malware apps.
Measured Boot
If a PC in your organization does become infected with a rootkit, you need to know about it. Enterprise anti-malware apps can report malware infections to the IT department, but that doesn’t work with rootkits that hide their presence. In other words, you can’t trust the client to tell you whether it’s healthy.
As a result, PCs infected with rootkits appear to be healthy, even with anti-malware running. Infected PCs continue to connect to the enterprise network, giving the rootkit access to vast amounts of confidential data and potentially allowing the rootkit to spread across the internal network.
Working with the TPM and non-Microsoft software, Measured Boot in WindowsВ 10 allows a trusted server on the network to verify the integrity of the Windows startup process. Measured Boot uses the following process:
- The PC’s UEFI firmware stores in the TPM a hash of the firmware, bootloader, boot drivers, and everything that will be loaded before the anti-malware app.
- At the end of the startup process, Windows starts the non-Microsoft remote attestation client. The trusted attestation server sends the client a unique key.
- The TPM uses the unique key to digitally sign the log recorded by the UEFI.
- The client sends the log to the server, possibly with other security information.
Depending on the implementation and configuration, the server can now determine whether the client is healthy and grant the client access to either a limited quarantine network or to the full network.
FigureВ 2 illustrates the Measured Boot and remote attestation process.
.png)
Figure 2. Measured Boot proves the PC’s health to a remote server
Windows 10 includes the application programming interfaces to support Measured Boot, but you’ll need non-Microsoft tools to implement a remote attestation client and trusted attestation server to take advantage of it. For an example of such a tool, download the TPM Platform Crypto-Provider Toolkit from Microsoft Research or Microsoft Enterprise Security MVP Dan Griffin’s Measured Boot Tool.
Measured Boot uses the power of UEFI, TPM, and WindowsВ 10 to give you a way to confidently assess the trustworthiness of a client PC across the network.
Summary
Secure Boot, Trusted Boot, and Measured Boot create an architecture that is fundamentally resistant to bootkits and rootkits. In Windows 10, these features have the potential to eliminate kernel-level malware from your network. This is the most ground-breaking anti-malware solution that Windows has ever had; it’s leaps and bounds ahead of everything else. With Windows 10, you can truly trust the integrity of your operating system.
