Как проверить включена ли безопасная загрузка windows

В данной статье показаны действия, с помощью которых можно проверить, включена или отключена Безопасная загрузка (Secure Boot) в интерфейсе операционной системы Windows 10.

Чтобы обеспечить дополнительную безопасность компьютера от воздействия вредоносных программ, изготовители компьютеров используют безопасную загрузку.

Безопасная загрузка предотвращает загрузку сложного и опасного типа вредоносных программ, rootkit, при запуске устройства. Пакеты программ rootkit используют такие же права доступа, как и операционная система, и запускаются раньше нее, что позволяет им полностью скрыть себя.

Зачастую программы rootkit входят в набор вредоносных программ, которые могут обходить процедуры входа, записывать пароли и нажатые клавиши, перемещать конфиденциальные файлы и получать криптографические данные.

Безопасная загрузка — это стандарт безопасности, который гарантирует пользователю, что его компьютер при загрузке использует только программное обеспечение, которому доверяет изготовитель компьютера.

При запуске компьютера встроенное программное обеспечение проверяет подписи всех компонентов, включая драйверы, приложения EFI и операционную систему. Если подписи являются надежными, то компьютер загружается, и микропрограмма передает управление операционной системе.

Проверка через службу «Безопасность Windows»

Чтобы проверить, включена или отключена «Безопасная загрузка», откройте службу Безопасность Windows (прежнее название Центр безопасности Защитника Windows) и выберите Безопасность устройства.

В разделе Безопасная загрузка (если поддерживается) проверьте, включена ли безопасная загрузка или выключена.

Используя сведения о системе

Чтобы проверить, включена или отключена «Безопасная загрузка» в окне «Сведения о системе», нажмите сочетание клавиш + R, в открывшемся окне Выполнить введите msinfo32 и нажмите клавишу Enter↵.

В открывшемся окне «Сведения о системе», в правой области окна в строке Состояние безопасной загрузки вы увидите значение Вкл., Откл., или Не поддерживается (см. скриншоты ниже).

Компьютер поддерживает безопасную загрузку и безопасная загрузка в настоящее время включена.

Компьютер поддерживает безопасную загрузку и безопасная загрузка в настоящее время отключена.

Компьютер не поддерживает безопасную загрузку или Windows установлена с устаревшей версией BIOS

Просмотр состояния в Windows PowerShell

Чтобы проверить, включена или отключена «Безопасная загрузка», откройте консоль Windows PowerShell от имени администратора и выполните следующую команду:

Confirm-SecureBootUEFI

В зависимости от того какое значение возвращает выполненная команда вы будете знать, включена ли безопасная загрузка, отключена или не поддерживается.

True — компьютер поддерживает безопасную загрузку и безопасная загрузка в настоящее время включена.

False — компьютер поддерживает безопасную загрузку и безопасная загрузка в настоящее время отключена.

Отображение ошибки — компьютер не поддерживает безопасную загрузку или Windows установлена с устаревшей версией BIOS

Ужесточение системных требований для Windows 11 изначально было предметом острых дискуссий – очень многие компьютеры, даже достаточно мощные, не обладают такими функциями, как TPM 2.0 и/или Secure Boot. Сегодня мы поговорим о безопасной загрузке (она же Secure Boot): что это такое, для чего нужна, как проверить наличие, включить или отключить.

Кратко о назначении Secure Boot

Под этим термином следует понимать специальный протокол, разработанный для тестирования операционных систем в момент их загрузки. Он является частью микропрограммного кода UEFI, а его деятельность заключается в проверке цифровой подписи загружаемых компонентов ОС, включая драйвера, и, если таковая не будет обнаружена, дальнейший запуск операционной системы останавливается с выдачей соответствующего ошибочного сообщения.

Такая проверка предотвращает загрузку вместе с операционной системой вредоносного кода, который может внедриться, например, в драйверы. Самый известный пример такого заражения – вирус Petya из категории вымогателей, который активно распространялся в сети в 2017 году.

Поскольку речь не идёт о проверке сигнатур и прочих хитростях, используемых антивирусными программами, сам модуль Secure Boot достаточно компактен, чтобы включить его в UEFI.

Такой подход имеет и недостатки – это совместимость на уровне операционных систем. В семействе Windows поддержка безопасной загрузки реализована, начиная с «восьмёрки», есть она и у некоторых ОС семейства Linux (Fedora, Debian, CentOS, Ubuntu и др.).

Но только в Windows 11 компьютер должен поддерживать безопасную загрузку на безусловном уровне, как и модуль TPM 2.0, реализуемый на аппаратном уровне. Впрочем, на программном уровне необходимость наличия этих функций реализована только факультативно, на этапе установки системы. В обычной работе компьютер вполне может обходиться и без них.

Как узнать наличие и статус Secure Boot

Если на вашем компьютере отсутствует или неактивны функция безопасной загрузки, вы просто не сможете обновиться с «десятки» до Windows 11. Так что первым делом нужно узнать, как конкретно у вас обстоят дела с этой фишкой. Сделать это можно несколькими способами. Например, с помощью встроенных в Windows 10 системных утилит (здесь и далее мы предполагаем, что будем обновляться или производить чистую установку именно с «десятки»):

Если в графе «Режим BIOS» указано Legacy, то в графе «Состояние безопасной загрузки» будет указано, что такой режим не поддерживается. Это не приговор, если у вас в UEFI и активирована эмуляция устаревшего BIOS, так иногда делают для обеспечения совместимости со старым ПО. В этом случае функцию эмуляцию (чаще всего она обозначается аббревиатурой CSM) нужно выключить, и проблема будет решена.

Если речь идёт об устаревшем BIOS, то здесь ситуация безвыходная, то есть придётся делать апгрейд или прибегать к другим не рекомендуемым Microsoft ухищрениям.

Итак, если вы убедились, что безопасная загрузка на вашем компьютере присутствует, можно приступать к её активации. Существует два способа, как сделать активной безопасную загрузку: через «параметры» Windows 10, и при загрузке ПК. Рассмотрим оба варианта – они равноценные, хотя первый намного проще.

Включение Secure Boot через «Параметры»

Последовательность действий должна быть такой:

ПК перезагрузится с активированной функцией Secure Boot. Если параметр Secure Boot Control отсутствует, скорее всего, безопасная загрузка здесь не поддерживается.

Включение безопасной загрузки при запуске Windows

Первым делом нам необходимо попасть в пользовательский интерфейс UEFI – у разных производителей чипсетов вход в настройки реализован по-своему, единого стандарта здесь не существует. Чаще всего для этого используются клавиши Delete и F2, но могут быть задействованы и другие функциональные клавиши.

Обычно эта информация выводится на стартовую заставку при загрузке системы, но она мелькает так быстро, что что-либо прочитать зачастую не представляется возможным. Можно найти эту информацию в документации, бумажной или онлайн, указав модель материнской платы.

Мы для удобства приводим таблицу, в которой указаны используемые ведущими производителями Motherboard клавиши для входа в BIOS:

Итак, после включения питания компьютера и появления заставки нажимаем нужную клавишу 2-4 раза ИП дожидаемся загрузки пользовательского интерфейса UEFI. Здесь жёстких стандартов тоже нет, поэтому состав меню UI может быть организован по-разному, хотя смысловая нагрузка микропрограммы будет примерно одинаковой.

Нам нужно искать параметр, включающий безопасную загрузку, то есть содержащий фразу Secure Boot. Чаще всего эта опция расположена в разделе «Boot», но в вашем случае это может быть и другая локация, например, раздел «System Configuration» или «Security».

Если ваши поиски не увенчались успехом, скорее всего, сам параметр необходимо где-то активировать, но здесь поможет только фирменная документация материнской платы или интернет. В последнем случае вам нужно определить модель своей МП, например, с помощью встроенной утилиты msinfo32, о которой мы уже упоминали, в разделе «Сведения о системе».

Найдя параметр Secure Boot, останется активировать его, присвоив значение Enabled и выйти из настроек UEFI с сохранением произведённых изменений.

Отключение безопасной загрузки

Если у вас стоит «десятка», может возникнуть необходимость в установке младших версий Windows или Linux. С включённой опцией Secure Boo вы этого не сможете сделать. Безопасная загрузка может стать помехой и для работы некоторых видеоадаптеров или другого «железа», особенно если это оборудование не оснащено цифровой подписью и будет определено при загрузке как ненадёжное. Сама загрузка ОС при этом прервётся.

Так что в этих случаях Secure Boot необходимо деактивировать. Способов, как отключить функцию безопасной загрузки Windows, существует тоже два, через «Параметры» и через настройки UEFI. Всё, что вам нужно сделать, – воспользоваться описанными выше инструкциями, а на завершающей стадии изменить значение параметра Secure Boot на Disabled.

Заключение

Включение Secure Boot – задача несложная. Может ли Windows 11 работать без этой функции? Вполне, она действительно нужна только при установке операционной системы. Но в сети уже выкладываются способы, как обойти такую проверку при инсталляции ОС, и эти методы можно использовать и для тех компьютеров, BIOS которых не поддерживает безопасную загрузку.

Что означает безопасная загрузка (Secure Boot)

Опубликовано 02.03.2022

Безопасная загрузка — что это и для чего нужна

Безопасная загрузка, или Secure Boot — это протокол в составе UEFI, который проверяет на запуске операционную систему и драйверы. При наличии либо отсутствии цифровой подписи у компонентов он разрешает или запрещает их дальнейшую работу. Главная задача Secure Boot состоит в том, чтобы защитить систему от проникновения вредоносного софта, который загружается вместе с ОС. Эти программы крайне опасны, т. к. проникают в компьютер до запуска антивируса, вследствие чего последний их не обнаруживает. К такому ПО относят вирусы-вымогатели, руткиты (предоставляют злоумышленникам удаленный доступ к ПК), майнеры и т. п. Еще одна задача Secure Boot — ограничение перечня систем, способных функционировать на конкретном компьютере.

Как узнать, активен ли Secure Boot

Для проверки активности безопасной загрузки на ПК применим стандартную утилиту Windows. Нажимаем win+r и набираем msinfo32, подтверждаем OK. В блоке «Сведения» смотрим:

• «Режим BIOS» — UEFI или Legacy («Устаревший»). 
• «Состояние безопасной загрузки» — «Вкл.», «Откл.» или «Не поддерживается».

Если безопасная загрузка активна, то будут прописаны значения UEFI и «Вкл.». Иначе мы увидим UEFI и «Откл.» и, при необходимости (например, для обновления операционной системы), пойдем включать протокол в BIOS. Есть и третья вариация — Legacy и «Не поддерживается». Эта картина наблюдается, если мы используем несовременное «железо» или UEFI функционирует в режиме совместимости, как эмулятор «БИОС». В последнем случае эмуляцию нужно деактивировать и включить безопасную загрузку в настройках.

ОС тормозит после активации Secure Boot

Если «Виндовс» 10 уже инсталлирована, и пользователь решил включить протокол безопасности, то ОС может затормозить при запуске и выдать сообщение об отсутствии загрузочного устройства. Причиной выступает использование на диске разметки MBR. Решение проблемы — конвертирование из MBR в GPT. Рассмотрим, как это сделать из рабочей операционной системы.

Нажимаем win+I, из открывшихся параметров выбираем «Обновление и …», переходим в блок «Восстановление» и в особых вариантах активируем немедленную перезагрузку. На экране появляется меню дополнительных действий. Выбираем «Поиск и устранение неисправностей», «Дополнительные параметры» и «Командная строка».

Далее действуем так (после набора каждой команды нажимаем Enter, чтобы запустить ее):

• Проверяем, возможно ли конвертировать диск — mbr2gpt /validate.
• Если система разрешает операцию, то выдает уведомление Validation completed successfully, и мы запускаем конвертирование — mbr2gpt /convert.
• В случае отказа мы видим сообщение Failed и пробуем действовать командой mbr2gpt /disk:0 /validate. На месте нуля ставим номер нашего диска. Чтобы его узнать, активируем специальную оснастку командой diskpart. Далее набираем list disk и запоминаем номер диска. Выходим обратно в консоль командой exit.
• Если на этот раз система разрешила конвертирование, запускаем операцию mbr2gpt /disk:0 /convert.
• В случае успеха операции мы видим уведомление Conversion completed successfully.

По окончании манипуляций открываем BIOS, отключаем эмуляцию старого «БИОС» и активируем Secure Boot.

Как включить безопасную загрузку

Secure Boot включают посредством стандартного функционала «Виндовс» либо через UEFI.

Стандартные возможности ОС

Для использования встроенных возможностей необходимо вначале убедиться, что ПК поддерживает безопасную загрузку. Если это так, то:

• Нажимаем win+I и перезагружаем компьютер так, как указано в предыдущем разделе. Но на этот раз в доппараметрах выбираем не командную строку, а «Параметры встроенного ПО UEFI».
• Перезагружаем ПК.
• Нажимаем «Ввод», выбрав Secure Boot Control.
• Указываем Enable и подтверждаем свой выбор.

Теперь выходим из настроек и подтверждаем произведенные манипуляции, чтобы компьютер перезагрузился.

Зачем и как деактивировать Secure Boot в UEFI

UEFI пришел на замену обычному BIOS не только для удобства. Одна из его основных целей состоит в обнаружении вредоносного софта и минимизации последствий его влияния. Технология запрещает вирусному ПО загружаться вместе с «Виндовс», и, как мы уже говорили в начале, роль защитника досталась Secure Boot. Со стороны разработчиков идея успешно реализована в виде криптографической модели с использованием ЭЦП, электронно-цифровых подписей. Практически же необходимы корректные действия юзеров и производителей.

К ключевым моментам действия протокола относятся:

• наличие ЭЦП у программных компонентов (загрузчиков системы, материнских плат, драйверов);
• предъявление данными компонентами своих ЭЦП компьютеру с целью доказать, что они не являются вирусными;
• наличие у каждого ПК оригинального закрытого ключа.

На сегодняшний день главная сложность использования Secure Boot состоит в применении производителями единых закрытых ключей для всех своих продуктов или линеек.

Обычно пользователи отключают Secure Boot, если невозможно инсталлировать или запустить ОС (в т. ч. с загрузочного съемного носителя). Многие юзеры полагают, что деактивация протокола повысит скорость ответа компонентов и работы процессора. Но безопасная загрузка не отбирает ресурсы системы, т. к. функционирует на низком программном уровне.

Как отключить Secure Boot:

• Входим в UEFI и нажимаем Advanced Mode в правом нижнем углу (или F7 на клавиатуре).
• Переходим в Boot и здесь активируем меню безопасной загрузки.
• В пункте «Состояние безопасной загрузки» будет указано значение «Включено».
• Выбираем «Управление ключами».
• Нажимаем «Очистить ключи …».
• Подтверждаем внесенные изменения, после чего открываем вкладку Exit и сохраняемся кликом по Save Changes & Reset.

Перезагружаем компьютер и продолжаем работать без режима безопасной загрузки.

Включить Secure Boot через UEFI

Чтобы включить протокол через UEFI, доходим до пункта «Управление ключами», как указано в предыдущем пункте, и выбираем «Установка ключей безопасной …». Подтверждаем действие кликом по Yes, затем точно так же сохраняемся. После перезагрузки протокол Secure Boot снова будет активен.

Что случится после отключения безопасной загрузки

При обычной работе за компьютером вы не поймете, функционирует ли Secure Boot на вашем ПК. Если протокол отключен, то машина не проверит цифровые подписи компонентов, но в этом есть и свои плюсы: вы сможете загрузить Windows со съемного носителя, установить несколько операционных систем, запустить предыдущие версии ОС и т. д.

Безопасная загрузка не поддерживается? Обновите оборудование, купив более современный ПК.

Заключение

Вы узнали, что означает безопасная загрузка (Secure Boot), а также, как и зачем запустить/ отключить этот протокол. Если вам нужна дополнительная консультация, необходимо настроить удаленный доступ к компьютеру или заменить термопасту на ПК или ноутбуке, обращайтесь к специалистам компании «АйТи Спектр». Мы окажем грамотную своевременную помощь и наладим любое компьютерное оборудование.

1. Зачем включать режим безопасной загрузки на Windows 11?
2. Как проверить, включена ли безопасная загрузка?
3. Включение безопасной загрузки из-под Windows 10
4. Включение безопасной загрузки из настроек BIOS/UEFI

Сразу обозначим такой момент — безопасную загрузку в Windows 11 включить не то чтобы невозможно, это, скажем так, нелогично. Ведь требования к компьютеру со стороны данной версии операционной системы гласят, что для ее установки тот должен поддерживать Secure Boot (это и есть «Безопасная загрузка»). Т.е. если установка Windows 11 прошла успешно, это значит, что функция Secure Boot уже и так активна.

Потому мы будем рассматривать вопрос, как включить безопасную загрузку для последующей установки Windows 11. А это уже можно сделать через Windows 10, точнее — из среды восстановления (WinRE). Есть и «традиционный» способ активации Secure Boot — из пользовательского интерфейса (настроек) чипа BIOS/UEFI.

Зачем включать режим безопасной загрузки на Windows 11?

Если вкратце функция Secure Boot предназначена для защиты Windows и, как следствие, компьютера от вредоносных программ, способных загружаться вместе с операционной системой. Подобные вирусы считаются наиболее опасными, т.к. они загружаются до антивируса, благодаря чему последний не может их обнаружить. Обычно так действуют самые изощренные вирусы — шифровальщики данных (и по совместительству — вирусы-вымогатели), руткиты (открывают удаленный доступ к компьютеру), майнеры («добывают» криптовалюту, используя мощности компьютера) и т.д.

И, конечно, безопасная загрузка просто необходима для пользователей Windows 10, решивших обновиться до Windows 11 через «Центр обновлений» либо путем записи на загрузочную флешку оригинального образа системы (у неоригинальных, т.е. пиратских/модифицированных образов эта функция проверки наличия Secure Boot может быть отключена).

Как проверить, включена ли безопасная загрузка?

Невозможность обновиться с 10-ки до Windows 11 может быть связана с несколькими причинами. Потому сначала не мешало бы убедиться, действительно ли на компьютере отключена безопасная загрузка. Для этого:

• Вызовите сочетанием клавиш «Win + R» окно «Выполнить», введите в него без кавычек команду «msinfo32» и нажмите «ОК»:

1

• Откроется окно «Сведения о системе». В правой его части найдите элемент «Состояние безопасной загрузки»:

• Если здесь указано «Откл.», значит, Secure Boot либо не включен, либо вообще не поддерживается компьютером.

Другой способ — использование бесплатной программы WhyNotWin11, которая предназначена для определения совместимости компьютера с Windows 11:

• Скачать программу WhyNotWin11 можно на нашем сайте.
• Просто запустите ее и посмотрите, что указано напротив «Secure Boot»:

Теперь, когда мы выяснили, что причина невозможности обновления до Windows 11 кроется в отключенной функции Secure Boot, можно приступать к ее включению.

Включение безопасной загрузки из-под Windows 10

Для начала откройте окно «Параметры» сочетанием клавиш «Win + I» (или кликнув по значку «Параметры» с изображением шестеренки в меню «Пуск»). Далее откройте в этом окне вкладку «Восстановление», затем в правой его части в блоке «Особые варианты загрузки» кликните по кнопке «Перезагрузить сейчас»:

Дальнейшие действия будут выполняться после перезагрузки компьютера:

• После включения компьютера операционная система войдет в режим восстановления «WinRE». Кликните по кнопке «Поиск и устранение неисправностей»:

• Далее выбираем «Дополнительные параметры»:

• Далее «Параметры встроенного ПО UEFI»:

Включение безопасной загрузки из настроек BIOS/UEFI

Для начала нам нужно попасть в сами настройки (пользовательский интерфейс) чипа BIOS/UEFI. Обычно это можно сделать путем нажатия функциональной клавиши (от F1 до F10, а чаще всего — F2) или клавиши Del/Delete сразу после включения компьютера. Но существуют и другие варианты открытия настроек BIOS/UEFI — здесь все зависит от модели материнской платы.

Это можно выяснить самому — при включении компьютера на экране обычно присутствует надпись с указанием клавиши, нажатие на которую приведет к открытию настроек BIOS/UEFI. Например, «Press <Del> to enter setup», «Press <F2> to run setup» или «Press F1 to continue, DEL to enter SETUP», как здесь:

После входа в пользовательский интерфейс BIOS/UEFI, предстоит немного «покопаться» в нем (мы не может точно сказать, где находится нужная опция, т.к. данный интерфейс может иметь разную структуру). Нам требуется найти опцию, которая отвечает за активацию безопасной загрузки. В большинстве случаев она находится во вкладке/в разделе «Boot», но не всегда. Опция, как правило, прямо так и называется — «Secure Boot».

Вот пример пользовательского интерфейса BIOS/UEFI, в котором нужная опция расположена в разделе «System Configuration»:

А в этом конкретном случае нужная нам опция находится в меню «Security»:

Вот пример расположения опции «Secure Boot» в современном графическом интерфейсе UEFI материнской платы Asus:

Если опцию «Secure Boot» не удается найти, возможно, что предварительно нужно активировать или перенастроить какой-либо другой параметр BIOS/UEFI. Об этом можно узнать из документации к материнской плате или просто в интернете. Но чтобы начать поиски, потребуется сначала определить модель платы. Это можно сделать из рассмотренного раньше системного приложения «msinfo32», т.е. «Сведения о системе»:

На этом и завершим.