Обход uefi secure boot в windows

Время прочтения
7 мин

Просмотры 33K

English version of this article.

Введение

Прошивки современных материнских плат компьютера работают по спецификации UEFI, и с 2013 года поддерживают технологию проверки подлинности загружаемых программ и драйверов Secure Boot, призванную защитить компьютер от буткитов. Secure Boot блокирует выполнение неподписанного или недоверенного программного кода: .efi-файлов программ и загрузчиков операционных систем, прошивок дополнительного оборудования (OPROM видеокарт, сетевых адаптеров).
Secure Boot можно отключить на любой магазинной материнской плате, но обязательное требование для изменения его настроек — физическое присутствие за компьютером. Необходимо зайти в настройки UEFI при загрузке компьютера, и только тогда получится отключить технологию или изменить её настройки.

Большинство материнских плат поставляется только с ключами Microsoft в качестве доверенных, из-за чего создатели загрузочного ПО вынуждены обращаться в Microsoft за подписью загрузчиков, проходить процедуру аудита, и обосновывать необходимость глобальной подписи их файла, если они хотят, чтобы диск или флешка запускались без необходимости отключения Secure Boot или добавления их ключа вручную на каждом компьютере.
Подписывать загрузчики у Microsoft приходится разработчикам дистрибутивов Linux, гипервизоров, загрузочных дисков антивирусов и программ для восстановления компьютера.

Мне хотелось сделать загрузочную флешку с различным ПО для восстановления компьютера, которая бы грузилась без отключения Secure Boot. Посмотрим, как это можно реализовать.

Подписанные загрузчики загрузчиков

Итак, чтобы загрузить Linux при включенном Secure Boot, нужен подписанный загрузчик. Microsoft запретила подписывать ПО, лицензированное под GPLv3, из-за запрета тивоизации правилами лицензии, поэтому GRUB подписать не получится.
В ответ на это, Linux Foundation выпустили PreLoader, а Мэтью Гарретт написал shim — маленькие начальные загрузчики, проверяющие подпись или хеш следующего загружаемого файла. PreLoader и shim не используют сертификаты UEFI db, а содержат базу разрешенных хешей (PreLoader) или сертификатов (shim) внутри себя.
Обе программы, помимо автоматической загрузки доверенных файлов, позволяют загружать и любые ранее недоверенные файлы в режиме Secure Boot, но требуют физического присутствия пользователя: при первом запуске необходимо выбрать добавляемый сертификат или файл для хеширования в графическом интерфейсе, после чего данные заносятся в специальную переменную NVRAM материнской платы, которая недоступна для изменения из загруженной операционной системы. Файлы становятся доверенными только для этих пред-загрузчиков, а не для Secure Boot вообще, и запустить их без PreLoader/shim всё равно не получится.

Действия, необходимые при первом запуске недоверенной программы через shim.

Все современные популярные дистрибутивы Linux используют shim, из-за поддержки сертификатов, которая позволяет легко обновлять следующий загрузчик без необходимости взаимодействия с пользователем. Как правило, shim используется для запуска GRUB2 — наиболее популярного бутлоадера в Linux.

GRUB2

Чтобы злоумышленники втихую не наделали делов с помощью подписанного загрузчика какого-либо дистрибутива, Red Hat сделал патчи для GRUB2, блокирующие «опасные» функции при включенном Secure Boot: insmod/rmmod, appleloader, linux (заменён linuxefi), multiboot, xnu, memrw, iorw. К модулю chainloader, загружающему произвольные .efi-файлы, дописали собственный загрузчик .efi (PE), без использования команд UEFI LoadImage/StartImage, а также код валидации загружаемых файлов через shim, чтобы сохранялась возможность загрузки файлов, доверенных для shim, но не доверенных с точки зрения UEFI. Почему сделали именно так — непонятно; UEFI позволяет переопределять (хукать) функции проверки загружаемых образов, именно так работает PreLoader, да и в самом shim такая функция имеется, но по умолчанию отключена.

Так или иначе, воспользоваться подписанным GRUB из какого-то дистрибутива Linux не получится. Для создания универсальной загрузочной флешки, которая бы не требовала добавление ключей каждого загружаемого файла в доверенные, есть два пути:

• Использование модифицированного GRUB, загружающего EFI-файлы своими силами, без проверки цифровой подписи, и без блокирования модулей;
• Использование собственного пред-загрузчика (второго), переопределяющего функции проверки цифровой подписи UEFI (EFI_SECURITY_ARCH_PROTOCOL.FileAuthenticationState, EFI_SECURITY2_ARCH_PROTOCOL.FileAuthentication)

Второй вариант предпочтительней — загруженные недоверенные программы тоже смогут загружать недоверенные программы (например, можно загружать файлы через UEFI Shell), а в первом варианте загружать всё может только сам GRUB. Модифицируем PreLoader, убрав из него лишний код и разрешив запуск любых файлов.

Итого, архитектура флешки получилась следующая:

   ______            ______                ______
  ╱│     │          ╱│     │              ╱│     │
 /_│     │    →    /_│     │      →      /_│     │
 │       │    →    │       │      →      │       │
 │  EFI  │    →    │  EFI  │      →      │  EFI  │
 │_______│         │_______│             │_______│

BOOTX64.efi        grubx64.efi        grubx64_real.efi

  (shim)      (FileAuthentication         (GRUB2)
                override)

    ↓↓↓                ↑
                       ↑
   ______              ↑
  ╱│     │             ║
 /_│     │             ║
 │       │  ═══════════╝
 │  EFI  │
 │_______│

MokManager.efi

(Key enrolling
 tool)

Так появился

Super UEFIinSecureBoot Disk

.

Super UEFIinSecureBoot Disk — образ диска с загрузчиком GRUB2, предназначенным для удобного запуска неподписанных efi-программ и операционных систем в режиме UEFI Secure Boot.

Диск можно использовать в качестве основы для создания USB-накопителя с утилитами восстановления компьютера, для запуска различных Live-дистрибутивов Linux и среды WinPE, загрузки по сети, без отключения Secure Boot в настройках материнской платы, что может быть удобно при обслуживании чужих компьютеров или корпоративных ноутбуков, например, при установленном пароле на изменение настроек UEFI.

Образ состоит из трех компонентов: предзагрузчика shim из Fedora (подписан ключом Microsoft, предустановленным в подавляющее большинство материнских плат и ноутбуков), модифицированного предзагрузчика PreLoader от Linux Foundation (для отключения проверки подписи при загрузке .efi-файлов), и модифицированного загрузчика GRUB2.

Во время первой загрузки диска на компьютере с Secure Boot необходимо выбрать сертификат через меню MokManager (запускается автоматически), после чего загрузчик будет работать так, словно Secure Boot выключен: GRUB загружает любой неподписанный .efi-файл или Linux-ядро, загруженные EFI-программы могут запускать другие программы и драйверы с отсутствующей или недоверенной подписью.

Для демонстрации работоспособности, в образе присутствует Super Grub Disk (скрипты для поиска и загрузки установленных операционных систем, даже если их загрузчик поврежден), GRUB Live ISO Multiboot (скрипты для удобной загрузки Linux LiveCD прямо из ISO, без предварительной распаковки и обработки), One File Linux (ядро и initrd в одном файле, для восстановления системы), и несколько UEFI-утилит.

Диск совместим с UEFI без Secure Boot, а также со старыми компьютерами с BIOS.

Подписанные загрузчики

Мне было интересно, можно ли как-то обойти необходимость добавления ключа через shim при первом запуске. Может, есть какие-то подписанные загрузчики, которые позволяют делать больше, чем рассчитывали авторы?
Как оказалось — такие загрузчики есть. Один из них используется в Kaspersky Rescue Disk 18 — загрузочном диске с антивирусным ПО. GRUB с диска позволяет загружать модули (команда insmod), а модули в GRUB — обычный исполняемый код. Пред-загрузчик у диска собственный.

Разумеется, просто так GRUB из диска не загрузит недоверенный код. Необходимо модифицировать модуль chainloader, чтобы GRUB не использовал функции UEFI LoadImage/StartImage, а самостоятельно загружал .efi-файл в память, выполнял релокацию, находил точку входа и переходил по ней. К счастью, почти весь необходимый код есть в репозитории GRUB’а с поддержкой Secure Boot от Red Hat, единственная проблема: код парсинга заголовка PE отсутствует, заголовок парсит и возвращает shim, в ответ на вызов функции через специальный протокол. Это легко исправить, портировав соответствующий код из shim или PreLoader в GRUB.

Так появился

Silent

UEFIinSecureBoot Disk. Получившаяся архитектура диска выглядит следующим образом:

   ______            ______                ______
  ╱│     │          ╱│     │              ╱│     │
 /_│     │         /_│     │      →      /_│     │
 │       │         │       │      →      │       │
 │  EFI  │         │  EFI  │      →      │  EFI  │
 │_______│         │_______│             │_______│

BOOTX64.efi        grubx64.efi        grubx64_real.efi

(Kaspersky     (FileAuthentication         (GRUB2)
  Loader)        override)

    ↓↓↓                ↑
                       ↑
   ______              ↑
  ╱│     │             ║
 /_│     │             ║
 │       │  ═══════════╝
 │  EFI  │
 │_______│

 fde_ld.efi + custom chain.mod

(Kaspersky GRUB2)

Заключение

В этой статье мы выяснили, что существуют недостаточно надежные загрузчики, подписанные ключом Microsoft, разрешающим работу в режиме Secure Boot.
С помощью подписанных файлов Kaspersky Rescue Disk мы добились «тихой» загрузки любых недоверенных .efi-файлов при включенном Secure Boot, без необходимости добавления сертификата в UEFI db или shim MOK.
Эти файлы можно использовать как для добрых дел (для загрузки с USB-флешек), так и для злых (для установки буткитов без ведома владельца компьютера).
Предполагаю, что сертификат Касперского долго не проживет, и его добавят в глобальный список отозванных сертификатов UEFI, который установят на компьютеры с Windows 10 через Windows Update, что нарушит загрузку Kaspersky Rescue Disk 18 и Silent UEFIinSecureBoot Disk. Посмотрим, как скоро это произойдет.

Скачать Super UEFIinSecureBoot Disk: https://github.com/ValdikSS/Super-UEFIinSecureBoot-Disk
Скачать Silent UEFIinSecureBoot Disk в сети ZeroNet Git Center: http://127.0.0.1:43110/1KVD7PxZVke1iq4DKb4LNwuiHS4UzEAdAv/

Помогла ли Вам статья?

Компьютерные вирусы стали неотъемлемой частью нашей жизни. О них слышали даже те люди, которые сроду не пользовались компьютерами. Для улучшение защиты от зловредного ПО и был внедрен протокол Secure Boot. О том, с чем его едят и как его отключать будет подробно описано в статье.

Secure Boot – одно из новшеств, привнесенных при внедрении UEFI. Это в свою очередь приемник БИОСа. Он, соответственно, отвечает за подготовку и загрузку ОС. BIOS можно считать очень простой утилитой с примитивным дизайном, которая прошита в материнскую плату. UEFI выполняет те же функции, но это уже весьма красивая и продвинутая программа. Например, при упорстве с помощью UEFI можно даже просматривать содержимое подключенных накопителей, что для BIOS считалось бы невероятным новшеством.

Не одними только эстетическими побуждениями руководствовались творцы UEFI. Одной из важных целей при разработке было обнаружить и ограничить влияние вредоносного ПО. Предполагалось, что технология станет препятствовать его загрузке вместе с операционной системой (ОС), а также исполнению на уровня ядра ОС после ее запуска. Честь исполнять эту важную миссию выпала на протокол Secure Boot. Техническая реализация была такой: использовалась криптографическая схема с открытыми и закрытыми сигнатурами (электронными цифровыми подписями, ЭЦП). В общем виде цели были достигнуты, но на практике это требовало определенных и правильных действий не только со стороны пользователей, но и со стороны производителей компьютерного оборудования. Описание всего процесса займет много времени, так что остановимся на ключевых особенностях:

• программные компоненты (драйвера, загрузчики ОС) имеют специальные ЭЦП, также они есть и в прошивке материнки, но характеристики этих ЭЦП отличается;
• при использовании ресурсов компьютера компоненты должны доказать при помощи ЭЦП, что они не вирусы;
• ключевой фактор безопасности – закрытый ключ, который в идеале должен быть уникальным у каждого ПК.

Сложности с технологией начались еще на этапе внедрения, когда Microsoft заявила, что с помощью протокола будет ограничивать установку других ОС на компьютеры с предустановленной Windows. Тогда от таких планов отказались под натиском общественности, но осадок остался. На сегодня основная сложность заключается в том, что производители материнских плат используют одинаковые закрытые ключи для всей своей продукции либо для отдельных линеек. В любом случае благие намерения привели к тупику.

В подавляющем большинстве случаев отключать Secure Boot стоит для решения двух проблем:

1. Если не устанавливается или не загружается ОС.
2. При невозможности загрузиться с загрузочной флешки.

Secure Boot сам по себе никаким образом не нагружает систему, так как работает на более низком программном уровне. Отключение протокола однозначно не улучшит отзывчивость системы и не повысит быстродействие процессора.

Как отключить защиту Secure Boot в БИОСе?

Отметим, что некоторые пользователи ошибочно думают, что протокол Secure Boot отключается в BIOS. У этой достаточно примитивной прошивки нет, не было, и не может быть поддержки СекюрБут. Этот протокол безопасности работает исключительно на UEFI и отключение нужно производить именно там. Природа этой ошибки вполне простая. За многие годы пользователи привыкли, что все, что возникает на экране до загрузки ОС это и есть БИОС. В действительности времена этой программной надстройки уходят и она уже является устарелой в любом отношении.

Примеры отключения Secure Boot на разных ноутбуках и материнских платах

Общий алгоритм всегда один и тот же:

1. Вход в UEFI.
2. Поиск нужной опции.
3. Отключение SecureBoot.
4. Запись изменений.

Важно, что этот протокол безопасности поддерживается только в Windows 8 и более поздних версиях. Следовательно, если у вас в прошивке материнской платы включен Secure Boot, но на ПК установлена Windows 7, то ничего отключать не надо. Опция безопасной загрузки все равно не работает, а возможные проблемы с запуском ОС нужно искать в других местах.

Как отключить Secure Boot и UEFI на ноутбуке Acer Aspire?

Есть много моделей ноутбуков этого производителя, но специфика такова, что сначала требуется создать собственный пароль. Общий алгоритм действия следующий:

• заходите в BIOS-UEFI нажатием на клавишу F2 или Delete;
• переходите во вкладку “Security”, выбираете опцию “Set Supervisor Password”;
• в специальном окошке 2 раза вводите пароль. Не изощряйтесь, используйте простую комбинацию;
• успешность будет подтверждена сообщением “Changes have been saved”;
• переходите во вкладку “Boot” и в строке “Boot Mode” указываете значение “Legacy”;
• жмете F10 и выполняете запись модификаций установок;
• при последующей перегрузке снова войдите в UEFI;
• переходите во вкладку “Security”, выбираете опцию “Set Supervisor Password”, вводите ранее указанный пароль;
• переходите во вкладку “Boot” и в строке “Secure Boot” указываете значение “Disabled”;
• снова сохраняете изменения.

Отключение Secure Boot на ноутбуках Pavilion и других моделях HP?

1. Для входа в биос жмите на ESC или ESC => F10 перед запуском Windows.
2. Перейдите во вкладку “System Configuration”, а в ней отыщите строчку “Boot Options”.
3. Установите для критерия “Secure Boot” опцию “Disabled”, а для критерия “Legacy support” – “Enabled”.
4. Система спросит, действительно ли вы готовы изменить настройки – подтвердите это нажатием на “Yes”.
5. В конце нужно сохранить выполненные изменения нажатием на F10 и подтверждением “Yes”.

При последующей перезагрузке будьте внимательны. Система перестрахуется и включит “защиту от дурака”. Нужно смотреть на то, что идет после надписи “Operating System Boot Mode Change (021)” – там будет указана цифровая последовательность. Наберите ее и нажмите Enter. Если вам нужно просто отключить Secure Boot, то дальше ничего делать не нужно. Если же изначально все делалось ради возможности загрузиться с USB-носителя, то сразу после прохождения “защиты от дурака” жмите ESC, а потом F9. Установите требуемой флешке максимальный приоритет, чтобы она грузилась первой на жесткий диск.

На ноутбуках Dell

1. F12 сразу после включения компьютера и перед стартом ОС.
2. В верхней панели переходите во вкладку Boot и заходите в подраздел UEFI BOOT.
3. Устанавливаете для критерия “Secure Boot” опцию “Disabled”.
4. Сохраняете изменения (F10 => “Yes”) и перезагружаете ноутбук.

Secure Boot на ноутбуках Леново и Тошиба

Для входа в UEFI на этих устройствах нужно жать F12, после чего выполнять следующие действия:

• перейдите во вкладку “Security”;
• установите для критерия “Secure Boot” опцию “Disabled”;
• перейдите на вкладку “Advanced”, а в ней зайдите в меню “System Configuration”;
• установите для критерия “Boot Mode (OS Mode Selection)” опцию “CSM Boot (CMS OS), (UEFI and Legacy OS)”;
• сохраните все нажатием на F10 => “Yes”.

Отключения Secure Boot на материнских платах

Рынок материнских плат для настольных компьютеров достаточно консервативен и явными лидерами являются 2 компании: Asus и Gigabyte. Они поставляют более половины всего оборудования, так что рассматривать способы деактивации Secure Boot рациональней всего именно в разрезе этих производителей. В любом случае третье и четвертое место давно оккупировали MSI и ASRock, – первая четверка полностью состоит из компаний Тайваня. Итог: принципиальных различий в инструкции по отключению все равно не будет и большая часть пользователей найдет ниже именно то, что ищет.

Отметим, что перейти сразу в UEFI можно в некоторых случаях напрямую с Windows (от 8 версии и более поздних). Для этого пробуйте следующее:

• На рабочем столе справа вызовите выдвижную панель.
• После следуйте по пути:  “Параметры” => “Изменение параметров…” => “Обновление и…” => “Восстановление”;
• В возникшем окне найдите опцию перезагрузки системы и установите в этой строке значение “Настройки по UEFI” или “Параметры встроенного ПО UEFI”;
• После жмите на “Перезагрузить” и в дальнейшем должен автоматически запуститься UEFI.

Как отключить Secure Boot на материнской плате Gigabyte?

После входа в UEFI (нажатием на F12 перед запуском ОС) действуйте следующим образом:

• перейдите во вкладку “BIOS Features”;
• установите для критерия “Windows 8 Features” опцию “Other OS”;
• для критерия “Boot Mode Selection” — “Legacy only” или “UEFI and Legacy” (между ними нет особой разницы);
• для критерия “Other PCI Device ROM Priority” – “Legacy OpROM”.

После всего нужно выполнить запись изменений, то есть нажать F10 => “OK”.

Материнские платы и ноутбуки Асус

Сразу отметим, что чаще всего на материнках именно этого производителя появляется ошибка при загрузке ОС: Invalid signature detected. Check Secure Boot Policy in Setup. В большинстве случаев для устранения проблемы следует выключить Secure Boot, а для этого необходимо:

• зайти в UEFI – жмите перед загрузкой ОС на F2, Delete или комбинацию клавиш Fn+F2;
• на начальном экране жмите на F7 (Advanced Mode), а потом перейдите в меню “Boot” => “Secure Boot Menu”;
• укажите в строчке “Secure Boot State” значение “Enabled”, а в строчке “OS Type” – “Other OS”;
• вернитесь на один уровень назад в меню “Boot” => “Compatibility Support Module (CSM)”;
• установите в строчке “Launch CSM” значение “Enabled”, а в строчке “Boot Device Control” – “UEFI and Legacy …” либо “Legacy OpROM …”, а в строке “Boot From Storage Devices” – “Both Legacy opROM first”, либо “Legacy opROM first”;
• после этого жмите на F10 и сохраняйте все изменения, а после проверяйте корректность выполненных настроек.

Конкретно для ноутбуков Asus алгоритм будет следующим:

• зайдите в UEFI;
• перейдите во вкладку “Security”;
• отыщите строчку “Secure Boot Control”, укажите в ней значение “Disabled”;
• перейдите во вкладку “Boot”;
• отыщите строчку “Fast Boot”, установите в ней значение “Disabled”, а в строке “Launch CSM” значение “Enabled”.

Как узнать активирована ли функция Secure Boot на Windows?

Этот протокол несложно активировать и деактивировать, а для понимания текущего статуса есть несколько проверенных подходов:

1. При помощи сведений о системе. Запустите утилиту “Выполнить”. Для этого необходимо зажать комбинацию клавиш Win+R, в появившейся строке ввести msinfo32 и нажать на Enter. Возникнет новое окно. Убедитесь, что в его левой панели выбрана строчка “Сведения о системе”. В правой панели ищите строку “Состояние безопасной загрузки”, у которой есть только 2 значения “Включить” и “Отключить”.
2. При помощи PowerShell. В утилите “Выполнить” запустите команду powershell. Откроется новое окно, в которое скопируйте следующее: Confirm-SecureBootUEFI. Если на этот запрос выдаст ответ “True”, то значит опция активна, а если “False”, то деактивированна. Если же появится уведомление иного характера, то значит материнка не поддерживает функцию Secure Boot.
3. Эмпирическим путем. Создайте загрузочную флешку с Windows и попробуйте загрузиться с нее после перезагрузки компьютера. Если все получается успешно, то значит опция выключена, при иных обстоятельствах будет отображаться соответствующее сообщение о невозможности загрузки по соображениям безопасности.

Заключение

1. Secure Boot появился в компьютерном мире относительно недавно и этот протокол безопасности является составляющей UEFI – современным и актуальным видом прошивки материнских плат.
2. Протокол безопасности препятствует запуску вредоносного ПО на более низком уровне, чем это делают обычные антивирусы. Поэтому при правильной настройке эта технология может существенно повысить устойчивость ПК к вирусам.
3. Secure Boot стоит отключать по необходимости, если он препятствует старту системы с загрузочной флешки или при переустановке Windows. Просто для эксперимента технологию деактивировать не стоит.
4. Для любого компьютера схема деактивации одна и та же – за счет указания подходящего критерия в нужном меню UEFI. Главное – это найти правильный путь к такому меню. Даже при существенных сложностях это займет не больше 10 минут.

Ужесточение системных требований для Windows 11 изначально было предметом острых дискуссий – очень многие компьютеры, даже достаточно мощные, не обладают такими функциями, как TPM 2.0 и/или Secure Boot. Сегодня мы поговорим о безопасной загрузке (она же Secure Boot): что это такое, для чего нужна, как проверить наличие, включить или отключить.

Кратко о назначении Secure Boot

Под этим термином следует понимать специальный протокол, разработанный для тестирования операционных систем в момент их загрузки. Он является частью микропрограммного кода UEFI, а его деятельность заключается в проверке цифровой подписи загружаемых компонентов ОС, включая драйвера, и, если таковая не будет обнаружена, дальнейший запуск операционной системы останавливается с выдачей соответствующего ошибочного сообщения.

Такая проверка предотвращает загрузку вместе с операционной системой вредоносного кода, который может внедриться, например, в драйверы. Самый известный пример такого заражения – вирус Petya из категории вымогателей, который активно распространялся в сети в 2017 году.

Поскольку речь не идёт о проверке сигнатур и прочих хитростях, используемых антивирусными программами, сам модуль Secure Boot достаточно компактен, чтобы включить его в UEFI.

Такой подход имеет и недостатки – это совместимость на уровне операционных систем. В семействе Windows поддержка безопасной загрузки реализована, начиная с «восьмёрки», есть она и у некоторых ОС семейства Linux (Fedora, Debian, CentOS, Ubuntu и др.).

Но только в Windows 11 компьютер должен поддерживать безопасную загрузку на безусловном уровне, как и модуль TPM 2.0, реализуемый на аппаратном уровне. Впрочем, на программном уровне необходимость наличия этих функций реализована только факультативно, на этапе установки системы. В обычной работе компьютер вполне может обходиться и без них.

Как узнать наличие и статус Secure Boot

Если на вашем компьютере отсутствует или неактивны функция безопасной загрузки, вы просто не сможете обновиться с «десятки» до Windows 11. Так что первым делом нужно узнать, как конкретно у вас обстоят дела с этой фишкой. Сделать это можно несколькими способами. Например, с помощью встроенных в Windows 10 системных утилит (здесь и далее мы предполагаем, что будем обновляться или производить чистую установку именно с «десятки»):

Если в графе «Режим BIOS» указано Legacy, то в графе «Состояние безопасной загрузки» будет указано, что такой режим не поддерживается. Это не приговор, если у вас в UEFI и активирована эмуляция устаревшего BIOS, так иногда делают для обеспечения совместимости со старым ПО. В этом случае функцию эмуляцию (чаще всего она обозначается аббревиатурой CSM) нужно выключить, и проблема будет решена.

Если речь идёт об устаревшем BIOS, то здесь ситуация безвыходная, то есть придётся делать апгрейд или прибегать к другим не рекомендуемым Microsoft ухищрениям.

Итак, если вы убедились, что безопасная загрузка на вашем компьютере присутствует, можно приступать к её активации. Существует два способа, как сделать активной безопасную загрузку: через «параметры» Windows 10, и при загрузке ПК. Рассмотрим оба варианта – они равноценные, хотя первый намного проще.

Включение Secure Boot через «Параметры»

Последовательность действий должна быть такой:

ПК перезагрузится с активированной функцией Secure Boot. Если параметр Secure Boot Control отсутствует, скорее всего, безопасная загрузка здесь не поддерживается.

Включение безопасной загрузки при запуске Windows

Первым делом нам необходимо попасть в пользовательский интерфейс UEFI – у разных производителей чипсетов вход в настройки реализован по-своему, единого стандарта здесь не существует. Чаще всего для этого используются клавиши Delete и F2, но могут быть задействованы и другие функциональные клавиши.

Обычно эта информация выводится на стартовую заставку при загрузке системы, но она мелькает так быстро, что что-либо прочитать зачастую не представляется возможным. Можно найти эту информацию в документации, бумажной или онлайн, указав модель материнской платы.

Мы для удобства приводим таблицу, в которой указаны используемые ведущими производителями Motherboard клавиши для входа в BIOS:

Итак, после включения питания компьютера и появления заставки нажимаем нужную клавишу 2-4 раза ИП дожидаемся загрузки пользовательского интерфейса UEFI. Здесь жёстких стандартов тоже нет, поэтому состав меню UI может быть организован по-разному, хотя смысловая нагрузка микропрограммы будет примерно одинаковой.

Нам нужно искать параметр, включающий безопасную загрузку, то есть содержащий фразу Secure Boot. Чаще всего эта опция расположена в разделе «Boot», но в вашем случае это может быть и другая локация, например, раздел «System Configuration» или «Security».

Если ваши поиски не увенчались успехом, скорее всего, сам параметр необходимо где-то активировать, но здесь поможет только фирменная документация материнской платы или интернет. В последнем случае вам нужно определить модель своей МП, например, с помощью встроенной утилиты msinfo32, о которой мы уже упоминали, в разделе «Сведения о системе».

Найдя параметр Secure Boot, останется активировать его, присвоив значение Enabled и выйти из настроек UEFI с сохранением произведённых изменений.

Отключение безопасной загрузки

Если у вас стоит «десятка», может возникнуть необходимость в установке младших версий Windows или Linux. С включённой опцией Secure Boo вы этого не сможете сделать. Безопасная загрузка может стать помехой и для работы некоторых видеоадаптеров или другого «железа», особенно если это оборудование не оснащено цифровой подписью и будет определено при загрузке как ненадёжное. Сама загрузка ОС при этом прервётся.

Так что в этих случаях Secure Boot необходимо деактивировать. Способов, как отключить функцию безопасной загрузки Windows, существует тоже два, через «Параметры» и через настройки UEFI. Всё, что вам нужно сделать, – воспользоваться описанными выше инструкциями, а на завершающей стадии изменить значение параметра Secure Boot на Disabled.

Заключение

Включение Secure Boot – задача несложная. Может ли Windows 11 работать без этой функции? Вполне, она действительно нужна только при установке операционной системы. Но в сети уже выкладываются способы, как обойти такую проверку при инсталляции ОС, и эти методы можно использовать и для тех компьютеров, BIOS которых не поддерживает безопасную загрузку.

Отключение безопасной загрузки

при работе с определенными графическими картами, оборудованием или операционными системами, такими как Linux или предыдущая версия Windows может потребоваться отключить безопасную загрузку.

Безопасная загрузка позволяет гарантировать загрузку компьютера с использованием только микропрограммы, которой доверяет производитель. Обычно безопасную загрузку можно отключить с помощью меню BIOS, но способ отключения зависит от производителя ПК. Если после выполнения указанных ниже действий возникают проблемы с отключением безопасной загрузки, обратитесь за помощью к изготовителю.

Отключить безопасную загрузку

Перед отключением безопасной загрузки рассмотрите возможность его необходимости. Время от времени изготовитель может обновить список доверенного оборудования, драйверов и операционных систем для компьютера. чтобы проверить наличие обновлений, перейдите на страницу Центр обновления Windows или проверьте веб-сайт изготовителя.

Откройте меню PC BIOS:

Часто доступ к этому меню можно получить, нажав клавишу во время загрузки компьютера, например F1, F2, F12 или ESC.

в Windows удерживайте клавишу Shift во время выбора перезапуска. перейдите к разделу устранение неполадок с > дополнительными параметрами: встроенное по UEFI Параметры.

Сохраните изменения и завершите работу. КОМПЬЮТЕР перезагружается.

Установите графическую карту, оборудование или операционную систему, несовместимые с безопасной загрузкой.

В некоторых случаях может потребоваться изменить другие параметры встроенного по, например включить модуль поддержки совместимости (CSM) для поддержки устаревших операционных систем BIOS. Чтобы использовать CSM, вам также может потребоваться переформатировать жесткий диск с помощью формата основной загрузочной записи (MBR), а затем переустановить Windows. дополнительные сведения см. в разделе программа установки Windows: установка с использованием стиля раздела MBR или GPT.

Повторно включить безопасную загрузку

Удалите все графические карты, оборудование или операционные системы, несовместимые с безопасной загрузкой.

Откройте меню PC BIOS:

Часто доступ к этому меню можно получить, нажав клавишу во время загрузки компьютера, например F1, F2, F12 или ESC.

в Windows удерживайте клавишу Shift во время выбора перезапуска. перейдите к разделу устранение неполадок с > дополнительными параметрами: встроенное по UEFI Параметры.

Найдите параметр безопасной загрузки и, если возможно, установите для него значение включено. Этот параметр обычно находится на вкладке » Безопасность «, на вкладке » Загрузка » или на вкладке » Проверка подлинности «.

На некоторых компьютерах выберите Настраиваемый, а затем загрузите защищенные загрузочные ключи, встроенные в компьютер.

Если ПК не позволяет включить безопасную загрузку, попробуйте сбросить параметры BIOS к заводским настройкам.

Сохраните изменения и завершите работу. КОМПЬЮТЕР перезагружается.

Если ПК не удается загрузить после включения безопасной загрузки, вернитесь в меню BIOS, отключите безопасную загрузку и попробуйте загрузить компьютер еще раз.

В некоторых случаях может потребоваться обновить или удалить все до исходного состояния, прежде чем можно будет включить безопасную загрузку. Дополнительные сведения см. в разделе как восстановить, обновить или удалить все.

Если описанные выше действия не работают и вы по-прежнему хотите использовать безопасную загрузку, обратитесь за помощью к изготовителю.

Источник

Как отключить Secure Boot в Windows 10

Если же Вы решили установить другую операционную систему, но система не видит загрузочную флешку, но Вы приоритеты загрузки установили правильно, возможно Вам понадобиться отключить Secute Boot.

В этой статье мы рассмотрим как отключить Secure Boot в Windows 10 и почему Биос не видит загрузочную флешку, поскольку этих два вопроса могут быть связаны между собой. А также узнаем что делать если при загрузке Вашей операционной системы Вы видите на рабочем столе надпись безопасная загрузка настроена неправильно.

Secure Boot что это

Secure Boot это функция, которая разрешает или запрещает установку других операционных систем.

Если Вы спросите что это Secure Boot, то можно сказать что эта опция блокирует загрузку загрузочных дисков и флешек. Поэтому для того чтобы установить другую операционную систему необходимо отключить Secure Boot, если она включена.

Чтобы проверить включена ли функция Secure Boot, можно воспользоваться командой в операционной системе Windows 10.

Почему БИОС не видит загрузочную флешку

Для начала Вам нужно правильно создать загрузочную флешку, для этого рекомендуем ознакомиться с этой статьей. После того как Вы правильно создали загрузочную флешку нужно в Биосе отключить Secure Boot и установить приоритет загрузки флешки перед Вашим жестким диском.

В общем как Вы могли догадаться если Биос не видит загрузочную флешку Вам стоит отключить опцию Secure Boot. Поскольку она разрешает данную проверку подлинности загрузчика.

Настройка Secure Boot может находиться в BIOS и UEFI по пути:

А также Вам нужно включить режим загрузки в режиме совместимости Legacy OS или CMS OS.

Как отключить Secure Boot в Windows 10

Нет разницы какая у Вас операционная система, то ли Windows 10 или Windows 8, сама настройка Secure Boot находиться в BIOS или UEFI.

Поэтому нам придется для начала зайти в BIOS. А дальше расположение настройки Secure Boot зависит от версии BIOS. Мы рассмотрим несколько возможных расположений опции Secute Boot в ноутбуках от разных производителей.

Secure Boot на ноутбуках HP

Secure Boot на ноутбуках Samsung

Secure Boot на ноутбуках Lenovo и Toshiba

Secure Boot на ноутбуках Dell

Secure Boot на ноутбуках Acer

Secure Boot на ноутбуках Asus

После этих действий нужно сохранить изменения и выйти с BIOS или UEFI.

Безопасная загрузка настроена неправильно

Встретить ошибку безопасная загрузка настроена неправильно можно после обновления с предыдущей версии операционной системы например до Windows 10.

В большинстве случаев помогает включение Secure Boot. Нужно всё сделать наоборот как мы сделали выше, чтобы включить её.

Ещё есть один способ, который поможет убрать надпись с рабочего стола. Его мы рассмотрели здесь, но он только уберет надпись, а саму проблему не исправит.

Если же не помогло для пользователей Windows 8.1 Майкрософт выпустили патч, который уберет эту надпись с рабочего стола и исправит проблему.

В этой статье мы рассмотрели как отключить Secure Boot в Windows 10 и почему БИОС не видит загрузочную флешку.

Надеюсь эта статья будет для Вас полезной и поможет Вам разобраться с настройкой Secure Boot. Пишите в комментарии как Вы решили этот вопрос.

Источник

Немного про UEFI и Secure Boot

UEFI (Unified Extensible Firmware Interface) — замена устаревшему BIOS. Эта спецификация была придумана Intel для Itanium, тогда она еще называлась EFI (Extensible Firmware Interface), а потом была портирована на x86, x64 и ARM. Она разительно отличается от BIOS как самой процедурой загрузки, так и способами взаимодействия с ОС. Если вы купили компьютер в 2010 году и позже, то, вероятнее всего, у вас UEFI.

Основные отличия UEFI от BIOS:

Как происходит загрузка в UEFI?

С GPT-раздела с идентификатором EF00 и файловой системой FAT32, по умолчанию грузится и запускается файл efibootboot[название архитектуры].efi, например efibootbootx64.efi
Т.е. чтобы, например, создать загрузочную флешку с Windows, достаточно просто разметить флешку в GPT, создать на ней FAT32-раздел и просто-напросто скопировать все файлы с ISO-образа. Boot-секторов больше нет, забудьте про них.
Загрузка в UEFI происходит гораздо быстрее, например, загрузка моего лаптопа с ArchLinux с нажатия кнопки питания до полностью работоспособного состояния составляет всего 30 секунд. Насколько я знаю, у Windows 8 тоже очень хорошие оптимизации скорости загрузки в UEFI-режиме.

Secure Boot

«Я слышал, что Microsoft реализовывает Secure Boot в Windows 8. Эта технология не позволяет неавторизированному коду выполняться, например, бутлоадерам, чтобы защитить пользователя от malware. И есть кампания от Free Software Foundation против Secure Boot, и многие люди были против него. Если я куплю компьютер с Windows 8, смогу ли я установить Linux или другую ОС? Или эта технология позволяет запускать только Windows?»

Начнем с того, что эту технологию придумали не в Microsoft, а она входит в спецификацию UEFI 2.2. Включенный Secure Boot не означает, что вы не сможете запустить ОС, отличную от Windows. На самом деле, сертифицированные для запуска Windows 8 компьютеры и лаптопы обязаны иметь возможность отключения Secure Boot и возможность управления ключами, так что беспокоится тут не о чем. Неотключаемый Secure Boot есть только на планшетах на ARM с предустановленной Windows!

Что дает Secure Boot? Он защищает от выполнения неподписанного кода не только на этапе загрузки, но и на этапе выполнения ОС, например, как в Windows, так и в Linux проверяются подписи драйверов/модулей ядра, таким образом, вредоносный код в режиме ядра выполнить будет нельзя. Но это справедливо только, если нет физического доступа к компьютеру, т.к., в большинстве случаев, при физическом доступе ключи можно заменить на свои.

Для Linux есть 2 пре-загрузчика, которые поддерживают Secure Boot: Shim и PRELoader. Они похожи, но есть небольшие нюансы.
В Shim есть 3 типа ключей: Secure Boot keys (те, которые в UEFI), Shim keys (которые можно сгенерировать самому и указать при компиляции), и MOKи (Machine Owner Key, хранятся в NVRAM). Shim не использует механизм загрузки через UEFI, поэтому загрузчик, который не поддерживает Shim и ничего не знает про MOK, не сможет выполнить код (таким образом, загрузчик gummiboot не будет работать). PRELoader, напротив, встраивает свои механизмы аутентификации в UEFI, и никаких проблем нет.
Shim зависит от MOK, т.е. бинарники должны быть изменены (подписаны) перед тем, как их выполнять. PRELoader же «запоминает» правильные бинарники, вы ему сообщаете, доверяете вы им, или нет.
Оба пре-загрузчика есть в скомпилированном виде с валидной подписью от Microsoft, поэтому менять UEFI-ключи не обязательно.

Secure Boot призван защитить от буткитов, от атак типа Evil Maid, и, по моему мнению, делает это эффективно.
Спасибо за внимание!

Источник

Как отключить UEFI Secure Boot для двойной загрузки любой системы

Вы когда-нибудь пытались установить вторую операционную систему вместе с Windows? В зависимости от ОС вы могли столкнуться с функцией безопасной загрузки UEFI.

Если Secure Boot не распознает код, который вы пытаетесь установить, он остановит вас. Безопасная загрузка удобна для предотвращения запуска вредоносного кода в вашей системе. Но это также останавливает загрузку некоторых законных операционных систем, таких как Kali Linux, Android x86 или TAILS.

Но есть способ обойти это. Это краткое руководство покажет вам, как отключить безопасную загрузку UEFI, чтобы вы могли выполнять двойную загрузку любой операционной системы, которая вам нравится.

Что такое UEFI Secure Boot?

Давайте на секунду рассмотрим, как именно Secure Boot обеспечивает безопасность вашей системы.

Безопасная загрузка — это функция унифицированного расширяемого интерфейса прошивки (UEFI). UEFI сам по себе является заменой интерфейса BIOS на многих устройствах. UEFI — это более продвинутый интерфейс прошивки с множеством настроек и технических опций.

Безопасная загрузка — это что-то вроде ворот безопасности. Он анализирует код, прежде чем выполнять его в вашей системе. Если код имеет действительную цифровую подпись, Secure Boot пропускает его через шлюз. Если код имеет нераспознанную цифровую подпись, Secure Boot блокирует его запуск, и система потребует перезагрузки.

Иногда код, который вы знаете, является безопасным и поступает из надежного источника, может не иметь цифровой подписи в базе данных безопасной загрузки.

Например, вы можете загрузить многочисленные дистрибутивы Linux прямо с их сайта разработчика, даже проверив контрольную сумму дистрибутива для проверки на фальсификацию. Но даже с этим подтверждением Secure Boot будет по-прежнему отклонять некоторые операционные системы и другие типы кода (например, драйверы и оборудование).

Как отключить безопасную загрузку

Теперь я не советую слегка отключать безопасную загрузку. Это действительно защищает вас, особенно от некоторых более вредоносных вариантов вредоносного ПО, таких как руткиты и буткиты (другие утверждают, что это была мера безопасности, чтобы остановить пиратство Windows). Тем не менее, иногда это мешает.

Обратите внимание, что для включения безопасной загрузки может потребоваться сброс BIOS. Это не приводит к потере данных вашей системой. Однако он удаляет все пользовательские настройки BIOS. Более того, есть несколько примеров, когда пользователи больше не могут включать безопасную загрузку, поэтому имейте это в виду.

Хорошо, вот что можно сделать:

Вы успешно отключили безопасную загрузку. Не стесняйтесь захватить ближайший ранее не загружаемый USB-накопитель и, наконец, изучить операционную систему.

Как повторно включить безопасную загрузку

Конечно, вы можете захотеть снова включить Secure Boot. В конце концов, это помогает защитить от вредоносных программ и другого неавторизованного кода. Если вы непосредственно устанавливаете неподписанную операционную систему, вам нужно будет удалить все следы, прежде чем пытаться снова включить Secure Boot. В противном случае процесс не удастся.

Устранение неполадок при сбое безопасной загрузки

Есть несколько небольших исправлений, которые мы можем попытаться запустить для загрузки вашей системы с включенной безопасной загрузкой.

Trusted Boot

Доверенная загрузка запускается там, где останавливается безопасная загрузка, но в действительности применяется только к цифровой подписи Windows 10. Когда UEFI Secure Boot передает эстафету, Trusted Boot проверяет все остальные аспекты Windows, включая драйверы, файлы запуска и многое другое.

Во многом как Secure Boot, если Trusted Boot находит поврежденный или вредоносный компонент, он отказывается загружаться. Однако, в отличие от Secure Boot, Trusted Boot может автоматически устранять проблему в зависимости от серьезности проблемы. Изображение ниже объясняет, где Secure Boot и Trusted Boot сочетаются друг с другом в процессе загрузки Windows.

Нужно ли отключать secure boot?

Отключение безопасной загрузки несколько рискованно. В зависимости от того, кого вы спрашиваете, вы можете поставить под угрозу безопасность вашей системы.

Безопасная загрузка, возможно, более полезна, чем когда-либо в настоящее время. Bootloader атакует вымогателей очень реально Руткиты и другие особенно неприятные варианты вредоносных программ также в дикой природе. Secure Boot предоставляет системам UEFI дополнительный уровень проверки системы, чтобы обеспечить вам спокойствие.

Источник

Что такое UEFI, как установить Windows 10 (и более старые версии) на компьютер с UEFI

На самое деле UEFI – отнюдь не атрибут крутизны. Это просто новое, усовершенствованное программное обеспечение (прошивка) материнских плат, которое пришло на смену BIOS. Сегодня этот «зверь» обитает на всех компьютерах, выпущенных после 2010-2011 годов, причем не только на игровых, но и на «печатных машинках». Давайте разберемся, что же такое представляет собой UEFI, в чем его глобальные отличия от БИОС и как найти с ним общий язык при установке операционных систем.

UEFI vs BIOS

UEFI – не просто микропрограмма, чья задача – проверка исправности устройств после запуска ПК и передача управления операционной системе (основные функции BIOS). Это почти полноценная операционка с собственными службами и приложениями.

Однако новые разработки не всегда несут в себе сплошные плюсы. Быть во всём лучше старого, наверное, невозможно, вот и UEFI в чем-то выигрывает, но в чем-то и проигрывает БИОСу.

Преимущества UEFI в сравнении с BIOS

Недостатки UEFI в сравнении в BIOS

Установить на компьютер с UEFI 32-разрядную или старую систему (при условии совместимости с оборудованием) всё еще можно, но гораздо труднее. Пользователю приходится вручную переключать UEFI в режим эмуляции BIOS, иногда долго блуждая по настройкам, так как нужные функции часто находятся не на виду.

А еще в режиме BIOS отключаются самые полезные фишки UEFI, такие, как быстрый запуск компа и защита от загрузочных вирусов.

Как перейти в UEFI из Windows 10

Итак, чтобы перейти в интерфейс UEFI из Виндовс 10, сохраните все открытые документы, запустите утилиту Параметры и войдите в раздел «Обновление и восстановление».

Откройте подраздел «Восстановление» и справа возле пункта «Особые варианты загрузки» щелкните «Перезагрузить сейчас».

После рестарта на экране компьютера отобразится меню «Выбор действия», где следует кликнуть «Поиск и устранение неисправностей» (в некоторых версиях «десятки» этот пункт называется «Диагностика»).

Следующий шаг – переход в «Дополнительные параметры».

Вот, наконец, вы почти у цели: осталось нажать «Параметры встроенного ПО UEFI». После щелчка по этому пункту комп еще раз перезагрузится и перенесет вас в нужное место.

Отсутствие в «Дополнительных параметрах» пункта перехода в UEFI означает, что компьютер не поддерживает эту возможность. Одной из причин может быть работа ПК в режиме эмуляции BIOS, например, если на нем используются диски стандарта MBR. На таких машинах попасть в интересующую вас область можно лишь одним путем – традиционным, как в БИОС, то есть при помощи нажатия определенной клавиши после включения. А чтобы этот процесс не превратился в испытание скорости вашей реакции, загрузку винды можно несколько замедлить. Для этого:

Как переключиться в режим BIOS для установки неподдерживаемой ОС

Для активации переведите ее в состояние Enable либо выберите Disable UEFI Boot и сохраните настройку.

Как отключить Secure Boot (Безопасную загрузку)

Кстати, на некоторых прошивках это необходимо делать прежде, чем включать эмуляцию BIOS, так как иначе CSM/Legacy не отображается в утилите настройки.

Опция управления Secure Boot может находиться в следующих разделах UEFI:

Для деактивации переведите ее в состояние Disable.

В отдельных редакциях прошивки после включения BIOS и отключения Secure Boot необходимо указать в настойках тип загружаемой операционки «Other OS»:

Как создать установочную флешку для компьютера с UEFI

Чтобы поставить на комп Windows 10 x64 в режиме UEFI с активным Secure Boot, загрузочный носитель должен иметь файловую систему FAT32. Это накладывает ограничение на его объем (максимум 4 Гб), но NTFS, к сожалению, несовместим с протоколом безопасной загрузки. Зато в остальном процесс создания загрузочных флешек сильно упростился. Теперь это можно делать даже без программ.

Самый простой способ создания установочной USB-флешки с Виндовс 10 – это обычное копирование на нее файлов дистрибутива. Таким же способом, как копируют данные из папки в папку. Создавать на флешке загрузчик не нужно, поскольку он уже входит в состав UEFI.

Для копирования на флешку дистрибутива в формате ISO, последний достаточно открыть в проводнике Windows.

Самое главное здесь – правильно выбрать схему раздела и тип системного интерфейса. Для совместимости с Secure Boot и дисками, вместительнее 2 Тб, выбирайте из списка «GPT для компьютеров с UEFI». Далее укажите программе путь к дистрибутиву и жмите кнопку Старт. Через 20-40 минут установочная флешка будет готова.

Источник

В этой публикации, друзья, поговорим о том, как создать загрузочную флешку для установки Windows 11 на компьютерах, которые не отвечают её системным требованиям. Если ваш компьютер не совместим с Windows 11, т.е. у вас нет TPM 2.0, Secure Boot, UEFI или ещё чего-то из числа системных требований Windows 11, вы всё равно можете установить эту операционную систему и использовать её. Но только неофициально. Пользуясь Windows 11 неофициально, вы не будете получать новые её версии в центре обновлений, но сможете сами обновляться до новых версий, если и когда сами это решите, с помощью способов обновления для неподдерживаемых системой компьютеров. Для установки же Windows 11 на не отвечающем её требования компьютере вам понадобится при создании установочной флешки лишь немного больше телодвижений, чем если бы вы устанавливали систему на совместимый с 11-й Windows компьютер. Давайте же приступим к созданию флешки.

Самый простой, друзья, способ создать загрузочную флешку для компьютеров, не отвечающих требованиям Windows 11 — с помощью утилиты Rufus. В новой версии утилита умеет сама избавлять установочный процесс Windows 11 от проверки системных требований. Подробнее смотрите в статье «Как создать установочную флешку Windows 11 для компьютеров без UEFI, Secure Boot и TPM 2.0 с помощью утилиты Rufus». 

Ну а мы далее рассмотрим классический вариант создания загрузочной флешки Windows 11 для компьютеров-аутсайдеров с подменой файлов установочного процесса файлами из дистрибутива Windows 10.

Первым делом нам нужно скачать два установочных образа — Windows 10 и Windows 11 — с помощью их официальных утилит Media Creation Tool от Microsoft:

• Скачиваем установочный ISO Windows 10;
• Скачиваем установочный ISO Windows 11.

Важно: друзья, скачивайте ISO Windows 11 именно утилитой MediaCreationToolW1, она загрузит образ с файлом install.esd в составе, он весит менее 4 Гб, и вы сможете без проблем создать флешку рассмотренными ниже простыми способами.

Далее нужно записать установочный ISO-образ Windows 10 на флешку. Сделать это можно разными способами. Первый способ — с использованием штатных средств Windows:

• Шаг 4 — выделяем все файлы в его составе, копируем их и вставляем на флешке.

Второй способ — с использованием бесплатной портативной утилиты Rufus. Запускаем утилиту, указываем флешку, образ Windows 10, схему разделов GPT, файловую систему FAT32. Жмём «Старт» и дожидаемся завершения записи флешки.

Далее двойным кликом открываем установочный ISO-образ Windows 11. В образе в папке по пути «sources» ищем файл install.esd. Копируем его и вставляем на флешке по пути «х64 > sources». И таким образом подменяем исходный файл install.esd Windows 10 на файл install.esd Windows 11.

На этом всё: установочная флешка Windows 11 для не отвечающих её системным требованиям компьютеров готова. И это у нас будет установочная флешка UEFI.

Примечание: друзья, если у вас очень старый компьютер, и вас нет даже UEFI, вы можете установить Windows 11 в режиме Legacy. Но в таком случае вам нужна загрузочная флешка Legacy. Созданную нами флешку UEFI мы легко можем превратить у универсальную, UEFI/Legacy совместимую. Для этого нужно в командной строке запустить утилиту diskpart, выбрать флешку и сделать её раздел активным. Запускаем от администратора командную строку, вводим:

Всё, с такой флешки можно загрузиться в BIOS в режиме Legacy или на старых компьютерах, где вообще нет UEFI.

Друзья, если у вас несовместимый с Windows 11 компьютер, вы можете установить эту операционную систему с использованием альтернативных способов установки, реализованных в WinPE 10-8 Sergei Strelec. Этот WinPE удобен тем, что нам не нужно каждый раз для установки Windows 11 создавать по новой загрузочную флешку с использованием двух установочных ISO-образов — Windows 10 и Windows 11. Мы только один раз запишем на флешку WinPE, а установочный образ Windows 11 сможем оперативно подтянуть с жёсткого диска. Помимо этого, среда WinPE с годным инструментарием пригодится в случаях критических неполадок операционной системы. Все необходимое по этой теме вы найдёте в статье «Как установить Windows 11 без TPM 2.0, Secure Boot и UEFI».