- Что такое безопасная загрузка (SecureBoot) и ошибка в Windows 8.1
- Что такое безопасная загрузка (SecureBoot)
- Как убрать надпись «Безопасная загрузка (SecureBoot) настроена неправильно»
- Secure boot
- Secure boot requirements
- Signature Databases and Keys
- Опция BIOS Secure Boot
- Программа Aptio Setup Utility — BIOS фирмы American Megatrends Inc на системных платах Dell Inc.
- Как отключить (включить) безопасную загрузку (Secure Boot) в UEFI BIOS
- Отключение безопасной загрузки
- Включение безопасной загрузки
- Способ отключения в интерфейсе BIOS InsydeH2O
Что такое безопасная загрузка (SecureBoot) и ошибка в Windows 8.1
После установки на ноутбук Windows 8.1 в правом нижнем углу рабочего стола появилась надпись: «Безопасная загрузка (SecureBoot) настроена неправильно» .
Данное сообщение вовсе не связано с тем, что ваша копия Windows 8.1 является пиратской или нелегально активированной, такое предупреждение может появиться и при обновлении с Windows 8 до Windows 8.1 через магазин Windows Store . Оно лишь информирует, в довольно навязчивой форме, о том что режим безопасной загрузки (Secure Boot) не настроен.
Что такое безопасная загрузка (SecureBoot)
Secure Boot создавалась для защиты компьютеров под OC Windows от вирусов, прописывающихся в загрузчик системы, низкоуровневых эксплойтов, руткитов и является одной из опцией UEFI (Unified Extensible Firmware Interface), современного наследника BIOS. EFI — это программный интерфейс, который работает между операционной системой и прошивкой платформы, что позволяет заменить BIOS.
Не буду вдаваться с технические детали, суть в том, что в режиме безопасной загрузки, менеджер загрузки UEFI выполняет только подписанный цифровым ключом код. Все новые компьютеры, сертифицированные для Windows 8/8.1 должны поставляться с включенной функцией Secure Boot — это обязательное требование Microsoft. Однако, должна присутствовать возможность отключения Secure Boot и функция управления ключами, для установки систем которые не поддерживают UEFI.
Как убрать надпись «Безопасная загрузка (SecureBoot) настроена неправильно»
Есть два варианта решения данной проблемы:
- Если ваш компьютер поддерживает SecureBoot в UEFI (бывший BIOS), следует перезагрузиться и войдя в UEFI, включить Secure Boot. Конкретное местонахождение параметра Secure boot в настройках UEFI вашего компьютера зависит от производителя ПК.
- Тем, кто вообще не планирует использовать Secure Boot, либо ваш компьютер или ноутбук в принципе не поддерживает такую загрузку, Microsoft выпустил специальное обновление KB2902864 .
Обновление устраняет водяной знак «SecureBoot Windows 8.1 не настроен правильно» в Windows Server 2012 R2 и Windows 8.1
Рекомендую использовать именно второй вариант. Скачивайте нужную вам версию обновления, в зависимости от разрядности используемой системы. После установки обновления, систему нужно перезагрузить. Активация не совсем легальных копий Windows 8.1 при этом не слетает.
ЕСЛИ СЧИТАЕТЕ СТАТЬЮ ПОЛЕЗНОЙ,
НЕ ЛЕНИТЕСЬ СТАВИТЬ ЛАЙКИ И ДЕЛИТЬСЯ С ДРУЗЬЯМИ.
Secure boot
Secure boot is a security standard developed by members of the PC industry to help make sure that a device boots using only software that is trusted by the Original Equipment Manufacturer (OEM). When the PC starts, the firmware checks the signature of each piece of boot software, including UEFI firmware drivers (also known as Option ROMs), EFI applications, and the operating system. If the signatures are valid, the PC boots, and the firmware gives control to the operating system.
The OEM can use instructions from the firmware manufacturer to create Secure boot keys and to store them in the PC firmware. When you add UEFI drivers, you’ll also need to make sure these are signed and included in the Secure Boot database.
For information on how the secure boot process works included Trusted Boot and Measured Boot, see Secure the Windows 10 boot process.
Secure boot requirements
In order to support Secure boot, you must provide the following.
| Hardware requirement | Details |
|---|---|
| UEFI Version 2.3.1 Errata C variables | Variables must be set to SecureBoot=1 and SetupMode=0 with a signature database (EFI_IMAGE_SECURITY_DATABASE) necessary to boot the machine securely pre-provisioned, and including a PK that is set in a valid KEK database. For more information, search for the System.Fundamentals.Firmware.UEFISecureBoot system requirements in PDF download of the Windows Hardware Compatibility Program Specifications and Policies. |
| UEFI v2.3.1 Section 27 | The platform must expose an interface that adheres to the profile of UEFI v2.3.1 Section 27. |
| UEFI signature database | The platform must come provisioned with the correct keys in the UEFI Signature database (db) to allow Windows to boot. It must also support secure authenticated updates to the databases. Storage of secure variables must be isolated from the running operating system such that they cannot be modified without detection. |
| Firmware signing | All firmware components must be signed using at least RSA-2048 with SHA-256. |
| Boot manager | When power is turned on, the system must start executing code in the firmware and use public key cryptography as per algorithm policy to verify the signatures of all images in the boot sequence, up to and including the Windows Boot Manager. |
| Rollback protection | The system must protect against rollback of firmware to older versions. |
| EFI_HASH_PROTOCOL | The platform provides the EFI_HASH_PROTOCOL (per UEFI v2.3.1) for offloading cryptographic hash operations and the EFI_RNG_PROTOCOL (Microsoft defined) for accessing platform entropy. |
Signature Databases and Keys
Before the PC is deployed, you as the OEM store the Secure Boot databases on the PC. This includes the signature database (db), revoked signatures database (dbx), and Key Enrollment Key database (KEK). These databases are stored on the firmware nonvolatile RAM (NV-RAM) at manufacturing time.
The signature database (db) and the revoked signatures database (dbx) list the signers or image hashes of UEFI applications, operating system loaders (such as the Microsoft Operating System Loader, or Boot Manager), and UEFI drivers that can be loaded on the device. The revoked list contains items that are no longer trusted and may not be loaded. If an image hash is in both databases, the revoked signatures database (dbx) takes precedent.
The Key Enrollment Key database (KEK) is a separate database of signing keys that can be used to update the signature database and revoked signatures database. Microsoft requires a specified key to be included in the KEK database so that in the future Microsoft can add new operating systems to the signature database or add known bad images to the revoked signatures database.
After these databases have been added, and after final firmware validation and testing, the OEM locks the firmware from editing, except for updates that are signed with the correct key or updates by a physically present user who is using firmware menus, and then generates a platform key (PK). The PK can be used to sign updates to the KEK or to turn off Secure Boot.
You should contact your firmware manufacturer for tools and assistance in creating these databases.
Опция BIOS Secure Boot
Опция Secure Boot — разрешает, запрещает возможность установки других ОС на данном устройстве.
Secure Boot — это версия протокола загрузки, его работа основана на «зашивании» в BIOS ключей для проверки сигнатур загрузочного кода. Secure Boot отказываться от выполнения любой загрузки при не совпадении подписей. данная технология защиты от взлома и нелицензионного использования ОС основана на модульности UEFI (Unified Extensible Firmware Interface ) BIOS. Модуль БИОС — UEFI — предназначена для инициализирования оборудование при включении системы и передачи управления загрузчику ОС.
Протокол безопасной загрузки Secure Boot работает через сертифицированные ключи Windows 8 (на текущее время только восьмерка), и заблокирует загрузку машины с любого другого загрузочного диска кроме диска с Windows 8.
Для того что бы установить любую другую ОС (даже W7), необходимо отключить данную опцию Secure Boot в БИОСе UEFI.
Опция Secure Boot BIOS может находиться на следующих вкладках :
- Boot (см фото ниже);
- Boot Security;
- System Configuration.
Если после отключения опции Secure Boot и включения Режима загрузки в режиме «Наследия- Совместимости — Legac — CSM» друга ОС все равно не становиться, можно попробовать следующий вариант:
- Берем установочный диск с Win 8, следуемым указаниям установщика, доходим до этапа форматирования жесткого диска — форматируем диск и прерываем установку — перегружаемся и уже затем пытаемся поставить нужную вам операционку.
Но в теории такого происходить не должно, так как сертифицированные для Win 8 ПК по текущим требованиям обязательно имеют возможность отключения Secure Boot и возможность управления ключами.
Значения опции Secure Boot :
- Disabled (или No) – отключить данную технологию;
- Enabled (или Yes) – разрешить данную проверку подлинности загрузчика.
Опция также может иметь другие названия:
Примечание 1. Если у вас установлена ОС с включенной данной опцией — отключить опцию с данной ОС ее не получиться. Поэтому включать данную опцию не рекомендуется.
Программа Aptio Setup Utility — BIOS фирмы American Megatrends Inc на системных платах Dell Inc.
Название данной опции у данного производителя в данной версии BIOS:
Secure Boot значение по умолчанию [Legacy]
| Обозначение опции BIOS | Описание опции в БИОСе | Переведенное значение опции БИОС |
|---|---|---|
