Добрый день. В связи с выходом windows 11 решил из любопытства лично посмотреть на новую версию OC от Microsoft. К сожалению, я столкнулся с очень неприятной проблемой во время выполнения требования для установки новой версии OC, суть которой заключалось не включающимся режиме безопасной загрузки на моем компьютере. Изначально установщик Windows 11 сообщал мне, что мое устройство не поддерживается из-за выключенной безопасной загрузки на моем пк. С горем пополам я смог включить эту функцию в UEFI своей матери:
После этого, на мое удивление, в сведениях о системе меня ждала следующая картина:
В интернете я пока не нашел решения моей проблемы, поэтому хочу обратиться сюда за помощью с ее решением. Вдруг здесь кто-то тоже сталкивался с подобной ситуацией и знает как ее решить.
Содержание
- Как исправить проблему «Запуск Windows 11 на этом компьютере невозможен»
- Как исправить проблему «Запуск Windows 11 на этом компьютере невозможен»
- Проверьте статус Secure Boot
- Проблема «Безопасная загрузка может быть включена, когда система находится в пользовательском режиме»: как исправить
- Что такое безопасная загрузка?
- Проблемы: безопасную загрузку можно включить, если система находится в пользовательском режиме / состояние безопасной загрузки не поддерживается
- Исправление № 01: проверьте, поддерживает ли ваш компьютер безопасную загрузку.
- Исправление # 02: повторно включите безопасную загрузку в BIOS.
- Исправление №03: изменить устаревшую версию на UEFI (с MBR на GPT, если поддерживается)
- Исправление # 04: отключите CSM и переустановите Windows.
- Почему безопасная загрузка не поддерживается?
- Стоит ли включать безопасную загрузку?
- Как включить режим безопасной загрузки?
- Как проверить включена ли Безопасная загрузка на компьютере
- Сведения о системе
- Безопасность Windows
- PowerShell
- Что такое Secure Boot для Windows 11
- Что такое Secure Boot или безопасная загрузка
- Как узнать включен ли Secure Boot
- Конвертация диска с MBR в GPT
- Как включить Secure Boot в BIOS
Как исправить проблему «Запуск Windows 11 на этом компьютере невозможен»
Проблема «Запуск Windows 11 на этом компьютере невозможен» наблюдается даже на устройствах, которые отвечают минимальным системным требованиям для установки Windows 11. В большинстве случаев данная проблема связана с модулем TPM 2.0, установленным на материнской плате — он должен быть активирован. Включение Secure Boot в настройках Secure Boot также поможет избавиться от данной ошибки.
24 июня 2022 года компания Microsoft официально анонсировала Windows 11 и предложила инструмент под названием «Проверка работоспособности ПК» (PC Health Check) для проверки совместимости устройств с Windows 11.
Тем не менее, многие пользователи, которые уже успели воспользоваться новой утилитой, жалуются на то, что инструмент выдает ошибку «Запуск Windows 11 на этом компьютере невозможен» (This PC can’t run Windows 11).
К сожалению, данная проблема происходит даже на компьютерах, которые отвечают минимальным системным требованиям, установленным Microsoft.
Данная ошибка появляется также на странице сайта Microsoft с системными требованиями после того, как вы выполнили сканирование.
Проблему удалось воспроизвести на тестовом высокопроизводительном устройстве Dell XPS 17. Несмотря на мощную современную начинку приложение PC Health Check сообщает о том, что устройство не совместимо с Windows 11.
Проблема редко связана со стандартными аппаратными компонентами самого компьютера. Она заключается в наличии микросхемы TPM 2.0 на материнской плате и параметром BIOS под названием Secure Boot.
Примечание: Для выяснения причин несовместимости с Windows 11, вы можете воспользоваться альтернативным инструментом для проверки совместимости ПК с Windows 11 – WhyNotWin11
Как исправить проблему «Запуск Windows 11 на этом компьютере невозможен»
Прежде всего, убедитесь, что на материнской плате вашего устройства действительно присутствует микросхема TPM 2.0. Данный модуль есть на большинстве современных устройств, но может отсутствовать на старых компьютерах. Чтобы проверить наличие TPM 2.0, выполните следующие шаги:
Если данная секция панели не отображается и вы получаете ошибку «Не удается найти совместимый доверенный платформенный модуль», то микросхема TPM отсутствует на материнской плате устройства или отключена в BIOS.
В этом случае вам нужно будет включить модуль TPM в настройках BIOS. TPM также может называться как PTT, Intel Platform Trust Technology или fTPM.
Проверьте статус Secure Boot
В системных требованиях Windows 11 указано, что компьютер должен поддерживать безопасную загрузку (Secure Boot). Однако, на многих компьютерах данная функция отключена в настройках BIOS.
Чтобы активировать безопасную загрузку, вам необходимо перезагрузить компьютер и войти в меню загрузки. В зависимости от модели компьютера перед загрузкой Windows нужно нажать F2, F11 или Del.
Найдите поиск параметра Secure Boot в меню загрузки и включите его. Подробные инструкции различаются в зависимости от версии BIOS, но в целом у вас не должны возникнуть трудности.
После этого снова запустите сканирование в приложении «Проверка работоспособности ПК». Теперь вы должны получить сообщение «На этом компьютере можно запустить Windows 11».
Аналогичное сообщение появится на странице с системными требованиями на сайте Microsoft.
Источник
Проблема «Безопасная загрузка может быть включена, когда система находится в пользовательском режиме»: как исправить
Одним из требований для Windows 11 является поддержка безопасной загрузки UEFI. Это новое требование к оборудованию, без которого установка Windows 11 может быть немного сложной. Теперь, когда Windows 11 постепенно развертывается для пользователей через обновления Windows, а другие получают доступ к ней через Помощник по установке Windows 11 и официальный инструмент для создания носителей, многие пользователи не могут перейти на новую ОС из-за «безопасной загрузки». состояние не поддерживается »или другая аналогичная ошибка: безопасную загрузку можно включить, когда система находится в пользовательском режиме. Итак, каковы проблемы и как их исправить? Вот все, что вам нужно знать.
Что такое безопасная загрузка?
Безопасная загрузка — относительно новая функция, но ее легко найти на современных материнских платах. Как следует из названия, он обеспечивает дополнительный уровень безопасности системы во время загрузки, чтобы предотвратить заражение и повреждение вредоносными программами.
Безопасная загрузка — это привратник для безопасной и надежной работы с Windows. При безопасной загрузке ваш компьютер будет использовать для загрузки только программное обеспечение, проверенное производителем оборудования. Он обеспечивает это, проверяя подписи кода микропрограммы на оборудовании вашей системы. Пока существует соответствие между сигнатурами модуля прошивки и базой данных сигнатур безопасной загрузки, коды прошивки будут выполняться, и ПК загрузится. Если есть несоответствие или нет действительных учетных данных, безопасная загрузка поднимет флаг и откажется от выполнения кодов прошивки.
Проблемы: безопасную загрузку можно включить, если система находится в пользовательском режиме / состояние безопасной загрузки не поддерживается
Как упоминалось ранее, на большинстве современных ПК есть материнские платы, поддерживающие безопасную загрузку. Но если ваша система использует устаревшую структуру загрузки и безопасная загрузка не включена, вы увидите, что состояние безопасной загрузки «Не поддерживается». Это может произойти, даже если на вашей материнской плате есть опция безопасной загрузки. Давайте рассмотрим несколько исправлений, которые потенциально могут решить проблему.
Исправление № 01: проверьте, поддерживает ли ваш компьютер безопасную загрузку.
Прежде всего, давайте посмотрим, поддерживает ли ПК безопасную загрузку. Для этого нажмите Win + R, чтобы открыть поле ВЫПОЛНИТЬ, введите msinfo32 и нажмите Enter.
Откроется окно «Информация о системе». Здесь найдите «Безопасное состояние загрузки». Его значение должно быть включено.
Если это не так или вместо него вы видите «Не поддерживается», воспользуйтесь приведенными ниже исправлениями, чтобы включить его.
Исправление # 02: повторно включите безопасную загрузку в BIOS.
Для этого исправления вам нужно будет получить доступ к меню BIOS вашего ПК. Для этого нажмите «Пуск» и нажмите кнопку «Питание».
Затем, удерживая нажатой клавишу Shift, нажмите «Перезагрузить».
Ваш компьютер загрузится прямо на экран расширенного запуска. Здесь нажмите Устранение неполадок.
Затем выберите Дополнительные параметры.
Затем нажмите «Настройки прошивки UEFI».
Затем нажмите «Перезагрузить».
Теперь вы увидите меню запуска. Это будет отличаться в зависимости от производителя вашего ПК. Нажмите кнопку, соответствующую «Boot Setup».
Когда откроется окно «Настройка загрузки», найдите параметр «Безопасная загрузка». В большинстве случаев он находится на вкладке «Параметры загрузки» или «Безопасность» и будет зависеть от вашего компьютера. Используйте клавиши со стрелками, чтобы перейти на эту вкладку.
Затем найдите «Безопасная загрузка» и убедитесь, что для нее установлено значение «Включено».
Если это не так, нажмите на нем Enter. Затем выберите Enabled и нажмите Enter.
После внесения этого изменения перейдите на вкладку «Выход».
Нажмите Enter при сохранении изменений и выходе.
Выберите Да и нажмите Enter.
Это повторно включит безопасную загрузку на вашем ПК, и в информации о системе должно отображаться значение «Поддерживается».
Исправление №03: изменить устаревшую версию на UEFI (с MBR на GPT, если поддерживается)
Устаревшие системы BIOS могут загружаться только из таблиц, отформатированных с помощью основной загрузочной записи (MBR). Однако для запуска Windows 11 ее необходимо преобразовать в формат раздела GPT, если это еще не так.
Чтобы проверить формат раздела системного диска, щелкните правой кнопкой мыши меню «Пуск» и выберите «Управление дисками».
Затем щелкните правой кнопкой мыши свой диск слева.
Перейдите на вкладку Volumes.
Отметьте «Стиль раздела».
Если вместо GPT написано MBR, вот как его преобразовать:
Нажмите «Пуск», введите cmd и нажмите «Запуск от имени администратора».
Теперь введите следующую команду:
mbr2gpt.exe / convert / allowfullos
Затем нажмите Enter. После завершения проверки процесс конвертации завершится в кратчайшие сроки. Вы можете снова проверить стиль разделов диска через Управление дисками. Теперь он должен читать таблицу разделов GUID (GPT).
Исправление # 04: отключите CSM и переустановите Windows.
Модуль поддержки совместимости (CSM) — это модуль современной системы UEFI. Но поскольку он только имитирует устаревшую среду BIOS для загрузки вашей текущей ОС, он остается неподдерживаемым UEFI.
Чтобы включить UEFI в вашей системе, вам придется сделать лишнюю милю, отключив CSM, а затем переустановив Windows. Чтобы получить пошаговое руководство для этого, ознакомьтесь с разделом Как отключить CSM для установки Windows 11.
Здесь мы отвечаем на некоторые часто задаваемые вопросы о безопасной загрузке.
Почему безопасная загрузка не поддерживается?
Если вы видите состояние безопасной загрузки как «Не поддерживается», это может быть одной из трех причин: для стиля раздела системного диска установлено значение MBR, или в BIOS отключена безопасная загрузка, или включен CSM. Также возможно, что оборудование вашего ПК просто не поддерживает это. Ознакомьтесь с приведенными выше исправлениями, чтобы решить эти проблемы.
Стоит ли включать безопасную загрузку?
Безопасная загрузка — это дополнительный уровень безопасности для ПК с Windows. Поскольку установка Windows 11 является системным требованием, вам обязательно стоит подумать о ее включении, если это еще не сделано.
Как включить режим безопасной загрузки?
Чтобы включить безопасное состояние загрузки, убедитесь, что ваш диск находится в формате GPT (исправление № 03) и что CMS отключена (исправление № 04). Затем перейдите в меню BIOS и включите безопасную загрузку (исправление №2).
Мы надеемся, что вам удалось изменить состояние безопасной загрузки с «Не поддерживается» на «Вкл.». Несмотря на то, что существуют обходные пути к требованиям безопасной загрузки для Windows 11, рекомендуется включить безопасную загрузку и получить безопасную работу Windows, поскольку Microsoft хочет, чтобы она была у вас.
Источник
Как проверить включена ли Безопасная загрузка на компьютере
Одним из системных требований Windows 11 является наличие UEFI с поддержкой Безопасной загрузки (Secure boot). UEFI – это более современная версия BIOS, которая поддерживает жесткие диски большого объема, быстрее загружается и обладает графическим интерфейсом с поддержкой мышки. Безопасная загрузка или Secure boot – это функция UEFI проверяющая цифровой подписи запускаемых операционных систем. Такая проверка позволяет защитить систему от внедрения вредоносных программ в загрузчик операционной системы, а также контролировать список операционных систем, которым разрешено запускаться на компьютере.
В этой статье мы расскажем о том, как проверить включена ли Безопасная загрузка (Secure boot) на компьютере с помощью инструментов доступных в Windows 10.
Сведения о системе
Самую подробную информацию об UEFI и Secure Boot можно получить в окне « Сведения о системе ». Для этого нужно нажать комбинацию клавиш Win-R и выполнить команду « msinfo32 ».
После этого должно появиться окно « Сведения о системе ». Здесь нужно найти строки « Режим BIOS » и « Состояние безопасной загрузки », в которых указывается информация о режиме работы BIOS/UEFI и Secure Boot.
Если у вас на компьютере есть UEFI и Secure boot включен, то должно быть как на скриншоте внизу « Режим BIOS – UEFI » и « Состояние безопасной загрузки – Вкл ».
Если UEFI присутствует, но Secure boot отключен, то здесь будет указано « Режим BIOS – UEFI » и « Состояние безопасной загрузки – Откл ». В данном случае для установки Windows 11 нужно просто включить Безопасную загрузку.
Также возможен вариант, когда будет указано « Режим BIOS – Устаревший (Legacy) » и « Состояние безопасной загрузки – не поддерживается ». В данном случае возможно 2 разных ситуации, либо на компьютере нет UEFI (используется классический BIOS) и Secure boot не поддерживается, либо в UEFI включен режим эмуляции BIOS (включен CSM Launch Compatibility Support Module). Во втором случае для установки Windows 11 необходимо отключить CSM и включить Secure boot.
Ниже мы рассмотрим еще несколько способов проверки Безопасной загрузки на компьютере с Windows 10.
Безопасность Windows
Еще одна возможность проверить включена ли Безопасная загрузка на компьютере с Windows 10 — это окно « Безопасность Windows ». Чтобы воспользоваться этим способом откройте меню « Параметры » (например, с помощью комбинации клавиш Win-i ), введите в поиск фразу « Безопасность устройства » и перейдите в найденный раздел.
В результате откроется окно « Безопасность устройства ».
Здесь в блоке « Безопасная загрузка » будет указано состояние Безопасной загрузки на данном компьютере.
PowerShell
Также состояние Безопасной загрузки можно проверить с помощью PowerShell. Для этого нужно запустить консоль PowerShell с правами администратора и выполнить команду « Confirm-SecureBootUEFI ».
Если Secure boot включен, то появится надпись « True », если выключен – « False ».
Как включить Secure Boot на :
Создатель сайта comp-security.net, автор более 2000 статей о ремонте компьютеров, работе с программами, настройке операционных систем.
Где ни читаешь эту тему пишут нужно включить без. Загрузку. Она не включается. Secure boot не даёт включить Enable. Пишет про какие то ключи. Ниже есть пункт включить ключи по умолчанию, помогает. АSRock как включить.
Источник
Что такое Secure Boot для Windows 11
Вместе с анонсом Windows 11, компания Microsoft опубликовала и новые системные требования для установки операционной системы Windows 11. В них требуется поддержка TPM 2.0, UEFI и Secure Boot. В результате, вокруг этих технологий возникло много вопросов. Пользователей интересует, что такое Secure Boot, как проверить его наличие на компьютере и как его включить в BIOS (UEFI), если он отключен.
Что такое Secure Boot или безопасная загрузка
Secure Boot – это протокол проверки загружаемых операционных систем, который является частью UEFI. Данный протокол проверяет цифровую подпись операционных систем или драйверов UEFI, которые загружаются при включении компьютера, и при отсутствии такой подписи предотвращает их запуск.
Использование Secure Boot защищает систему от внедрения вредоносного кода в загружаемые компоненты операционных систем. Такое внедрение, например, использовалось вирусом-вымогателем Petya, который распространялся в 2017 году. Также Secure Boot может использоваться для ограничения списка ОС, которые могут запускаться на компьютере.
На данный момент Secure Boot поддерживается такими операционными системами как Windows 8 и Windows 10, а также некоторыми дистрибутивами Linux, например, Fedora, openSUSE, RHEL, CentOS, Debian и Ubuntu.
В еще не выпущенной Windows 11 протокол Secure Boot является обязательным условием и указан в системных требованиях. Хотя, с помощью небольших ухищрений текущие сборки Windows 11 можно установить без TPM и Secure Boot.
Как узнать включен ли Secure Boot
Для того чтобы узнать включен ли Secure Boot на вашем компьютере можно воспользоваться средствами встроенными в Windows 10. Для этого нажмите Win-R на клавиатуре и выполните команду « msinfo32 ».
В результате должно появиться окно « Сведения о компьютере ». Здесь в строке « Режим BIOS » будет указано, в каком режиме работает BIOS – UEFI или Устаревший (Legacy), а в строке « Состояние безопасной загрузки » – состояние Secure Boot (включено или отключено).
Если у вас Secure Boot включен и все готово к установке Windows 11, то должно быть так, как на скриншоте внизу:
Также возможен следующий вариант:
В этом случае для обновления до Windows 11 нужно будет включить безопасную загрузку в BIOS.
Подробней в статье:
Конвертация диска с MBR в GPT
Если включить Secure Boot для уже установленной Windows 10, то система может не загрузиться, а вы получите сообщение о том, что « Загрузочное устройство не найдено ». Это происходит из-за того, что на диске используется таблица разделов MBR. Для решения этой проблемы диск нужно предварительно конвертировать из формата MBR в GPT.
Конвертацию диска из MBR в GPT можно выполнить непосредственно в процессе установки Windows 11, вызвав командную строку с помощью комбинации клавиш Shift-F10 (или Shift-Fn-F10 ), либо заранее, из рабочей Windows 10. Конвертацию при установке мы рассматривали в статье о преобразовании диска с MBR в GPT, здесь же будет рассмотрена конвертация из рабочей Windows 10.
Итак, для начала нужно открыть меню « Параметры » (комбинация клавиш Win-i ), перейти в раздел « Обновление и безопасность – Восстановление » и нажать на кнопку « Перезагрузить сейчас ».
После этого появится меню с дополнительными действиями. Здесь нужно выбрать « Поиск и устранение неисправностей », а потом « Командная строка ». Также может понадобиться выбор пользователя и ввод пароля.
В результате перед вами появится командная строка. Сначала нужно выполнить команду, которая проверит возможность конвертации диска:
Если все нормально и конвертация возможна, то вы получите сообщение « Validation completed successfully ». Чтобы запустить конвертацию выполните команду:
Если же проверка диска выдала сообщение « Failed », то нужно попробовать вручную указать номер диска. Для этого нужно добавить параметр « /disk:0 », где 0 – это номер диска.
Чтобы узнать номер диска выполните следующие команды:
В результате в консоль будет выведен список дисков и их объем. Используя эту информацию, можно определить номер диска, который необходимо конвертировать.
После успешной проверки можно запускать конвертацию диска. Для этого нужно выполнить следующую команду:
Где 0 – это номер диска.
После конвертации диска с MBR в GPT нужно зайти в BIOS и выполнить следующие настройки:
Подробней в статьях:
Как включить Secure Boot в BIOS
Для работы Secure Boot диск должен быть в формате GPT. Посмотрите раздел о конвертации диска (выше).
Процесс включения Secure Boot отличается в зависимости от производителя. Точные инструкции по работе с вашим BIOS можно получить в инструкции к материнской плате или ноутбуку. Здесь мы покажем настройку BIOS на примере материнской платы от ASUS.
Чтобы включить Secure Boot на материнской плате ASUS нужно войти в настройки BIOS, активировать режим « Advanced mode ( F7) » и перейти в раздел « Boot ». Здесь нужно открыть подраздел « CSM (Launch Compatibility Support Module) », который отвечает за эмуляцию старого BIOS.
Если функция « CSM » включена, то ее нужно отключить.
После этого нужно вернуться в раздел « Boot » и перейти в подраздел « Меню безопасной загрузки ».
Здесь нужно поменять параметр « Тип ОС » на « Режим Windows UEFI ».
После этого сохраняем настройки BIOS и загружаемся в Windows 10. Если диск был сконвертирован в GPT, то загрузка должна пройти без проблем.
Настройка Secure Boot на других платах :
Создатель сайта comp-security.net, автор более 2000 статей о ремонте компьютеров, работе с программами, настройке операционных систем.
«mbr2gpt /disk:0 /validate»
Ну и что делать, если и после этого «Failed»?
Все очень здорово и подробно, большое спасибо за подробную инструкцию. Очень долго искал такой доходчивый вариант порядка действий. Большое спасибо
Источник
Содержание
- Как исправить Secure Boot Violation в Windows 10
- Отключить Secure Boot
- Отключить принудительное использование драйверов
- Дополнительные рекомендации
- Secure Boot: как отключить защиту или настроить правильно в UEFI
- Что такое Secure Boot (Безопасная загрузка) и когда может потребоваться ее отключение?
- Как отключить защиту Secure Boot в БИОСе?
- Примеры отключения Secure Boot на разных ноутбуках и материнских платах
- Как отключить Secure Boot и UEFI на ноутбуке Acer Aspire?
- Отключение Secure Boot на ноутбуках Pavilion и других моделях HP?
- На ноутбуках Dell
- Secure Boot на ноутбуках Леново и Тошиба
- Отключения Secure Boot на материнских платах
- Как отключить Secure Boot на материнской плате Gigabyte?
- Материнские платы и ноутбуки Асус
- Как узнать активирована ли функция Secure Boot на Windows?
- Заключение
Как исправить Secure Boot Violation в Windows 10
При загрузке ПК или ноутбука у вас может появится сообщение с предупреждением «Secure Boot Violation Invalid Signature Detected. Check Secure Boot Policy in Setup«. В этой ситуации можно продолжить загрузку системы Windows, но при следующей загрузке это предупреждение появится вновь. Эта проблема возникает, когда вы устанавливаете загрузочную программу без подписи OEM, которая запускается во время загрузке. Это может быть неподписанный драйвер, загруженный левый DLL файл, установлена пиратская версия программы. Во многих случаях это случается, когда включена функция Secure Boot (безопасная загрузка), которая при каждой загрузке ПК, проверяет цифровую подпись драйверов. Она видит, что нет подписи у драйвера и выдает такое предупреждение «Secure Boot Violation«. Давайте разберем, как исправить эту ошибку.
Отключить Secure Boot
Нужно войти в BIOS. Для этого, при загрузке ПК нажмите кнопку F1, F2, Del. Если у вас не получается или вы не знаете какую кнопку жать, то перейдите «Кнопки для входа в bios от производителей ноутбуков и компов». Когда мы вошли в BIOS, то найдите Secure Boot и выберите значение Disabled (отключено). В разных BIOS эта функция может находиться где угодно, но обычно ищите в графе Boot. Перезагрузите свой ноутбук и предупреждение должно исчезнуть.
Отключить принудительное использование драйверов
Если выше способ не помог, то нужно отключить принудительную проверку подписи драйверов. Для этого вам нужно попасть в «Дополнительные параметры загрузки«. Эта функция находится точно там же, где и безопасный режим. Просто нажмите клавишу F7, чтобы отключить «обязательную проверку подписи драйверов«. После отключения ошибка «Secure Boot Violation Invalid Signature Detected. Check Secure Boot Policy in Setup» больше не появится.
Это руководство поможет вас сориентировать, как зайти в эти параметры.
Дополнительные рекомендации
1. Microsoft заявила, что ошибка подписи драйверов может быть вызвана патчем KB3084905 в сиcтемах Windows Server 2012 и Windows 8.1. просто удалите этот патч.
2. Откройте командную строку от имени администратора и введите по порядку команды, чтобы отключить подпись драйверов:
Secure Boot: как отключить защиту или настроить правильно в UEFI
Компьютерные вирусы стали неотъемлемой частью нашей жизни. О них слышали даже те люди, которые сроду не пользовались компьютерами. Для улучшение защиты от зловредного ПО и был внедрен протокол Secure Boot. О том, с чем его едят и как его отключать будет подробно описано в статье.
Что такое Secure Boot (Безопасная загрузка) и когда может потребоваться ее отключение?
Secure Boot – одно из новшеств, привнесенных при внедрении UEFI. Это в свою очередь приемник БИОСа. Он, соответственно, отвечает за подготовку и загрузку ОС. BIOS можно считать очень простой утилитой с примитивным дизайном, которая прошита в материнскую плату. UEFI выполняет те же функции, но это уже весьма красивая и продвинутая программа. Например, при упорстве с помощью UEFI можно даже просматривать содержимое подключенных накопителей, что для BIOS считалось бы невероятным новшеством.
Не одними только эстетическими побуждениями руководствовались творцы UEFI. Одной из важных целей при разработке было обнаружить и ограничить влияние вредоносного ПО. Предполагалось, что технология станет препятствовать его загрузке вместе с операционной системой (ОС), а также исполнению на уровня ядра ОС после ее запуска. Честь исполнять эту важную миссию выпала на протокол Secure Boot. Техническая реализация была такой: использовалась криптографическая схема с открытыми и закрытыми сигнатурами (электронными цифровыми подписями, ЭЦП). В общем виде цели были достигнуты, но на практике это требовало определенных и правильных действий не только со стороны пользователей, но и со стороны производителей компьютерного оборудования. Описание всего процесса займет много времени, так что остановимся на ключевых особенностях:
- программные компоненты (драйвера, загрузчики ОС) имеют специальные ЭЦП, также они есть и в прошивке материнки, но характеристики этих ЭЦП отличается;
- при использовании ресурсов компьютера компоненты должны доказать при помощи ЭЦП, что они не вирусы;
- ключевой фактор безопасности – закрытый ключ, который в идеале должен быть уникальным у каждого ПК.
Сложности с технологией начались еще на этапе внедрения, когда Microsoft заявила, что с помощью протокола будет ограничивать установку других ОС на компьютеры с предустановленной Windows. Тогда от таких планов отказались под натиском общественности, но осадок остался. На сегодня основная сложность заключается в том, что производители материнских плат используют одинаковые закрытые ключи для всей своей продукции либо для отдельных линеек. В любом случае благие намерения привели к тупику.
В подавляющем большинстве случаев отключать Secure Boot стоит для решения двух проблем:
- Если не устанавливается или не загружается ОС.
- При невозможности загрузиться с загрузочной флешки.
Secure Boot сам по себе никаким образом не нагружает систему, так как работает на более низком программном уровне. Отключение протокола однозначно не улучшит отзывчивость системы и не повысит быстродействие процессора.
Как отключить защиту Secure Boot в БИОСе?
Отметим, что некоторые пользователи ошибочно думают, что протокол Secure Boot отключается в BIOS. У этой достаточно примитивной прошивки нет, не было, и не может быть поддержки СекюрБут. Этот протокол безопасности работает исключительно на UEFI и отключение нужно производить именно там. Природа этой ошибки вполне простая. За многие годы пользователи привыкли, что все, что возникает на экране до загрузки ОС это и есть БИОС. В действительности времена этой программной надстройки уходят и она уже является устарелой в любом отношении.
Примеры отключения Secure Boot на разных ноутбуках и материнских платах
Общий алгоритм всегда один и тот же:
- Вход в UEFI.
- Поиск нужной опции.
- Отключение SecureBoot.
- Запись изменений.
Важно, что этот протокол безопасности поддерживается только в Windows 8 и более поздних версиях. Следовательно, если у вас в прошивке материнской платы включен Secure Boot, но на ПК установлена Windows 7, то ничего отключать не надо. Опция безопасной загрузки все равно не работает, а возможные проблемы с запуском ОС нужно искать в других местах.
Как отключить Secure Boot и UEFI на ноутбуке Acer Aspire?
Есть много моделей ноутбуков этого производителя, но специфика такова, что сначала требуется создать собственный пароль. Общий алгоритм действия следующий:
- заходите в BIOS-UEFI нажатием на клавишу F2 или Delete;
- переходите во вкладку “Security”, выбираете опцию “Set Supervisor Password”;
- в специальном окошке 2 раза вводите пароль. Не изощряйтесь, используйте простую комбинацию;
- успешность будет подтверждена сообщением “Changes have been saved”;
- переходите во вкладку “Boot” и в строке “Boot Mode” указываете значение “Legacy”;
- жмете F10 и выполняете запись модификаций установок;
- при последующей перегрузке снова войдите в UEFI;
- переходите во вкладку “Security”, выбираете опцию “Set Supervisor Password”, вводите ранее указанный пароль;
- переходите во вкладку “Boot” и в строке “Secure Boot” указываете значение “Disabled”;
- снова сохраняете изменения.
Отключение Secure Boot на ноутбуках Pavilion и других моделях HP?
- Для входа в биос жмите на ESC или ESC => F10 перед запуском Windows.
- Перейдите во вкладку “System Configuration”, а в ней отыщите строчку “Boot Options”.
- Установите для критерия “Secure Boot” опцию “Disabled”, а для критерия “Legacy support” – “Enabled”.
- Система спросит, действительно ли вы готовы изменить настройки – подтвердите это нажатием на “Yes”.
- В конце нужно сохранить выполненные изменения нажатием на F10 и подтверждением “Yes”.
При последующей перезагрузке будьте внимательны. Система перестрахуется и включит “защиту от дурака”. Нужно смотреть на то, что идет после надписи “Operating System Boot Mode Change (021)” – там будет указана цифровая последовательность. Наберите ее и нажмите Enter. Если вам нужно просто отключить Secure Boot, то дальше ничего делать не нужно. Если же изначально все делалось ради возможности загрузиться с USB-носителя, то сразу после прохождения “защиты от дурака” жмите ESC, а потом F9. Установите требуемой флешке максимальный приоритет, чтобы она грузилась первой на жесткий диск.
На ноутбуках Dell
- F12 сразу после включения компьютера и перед стартом ОС.
- В верхней панели переходите во вкладку Boot и заходите в подраздел UEFI BOOT.
- Устанавливаете для критерия “Secure Boot” опцию “Disabled”.
- Сохраняете изменения (F10 => “Yes”) и перезагружаете ноутбук.
Secure Boot на ноутбуках Леново и Тошиба
Для входа в UEFI на этих устройствах нужно жать F12, после чего выполнять следующие действия:
- перейдите во вкладку “Security”;
- установите для критерия “Secure Boot” опцию “Disabled”;
- перейдите на вкладку “Advanced”, а в ней зайдите в меню “System Configuration”;
- установите для критерия “Boot Mode (OS Mode Selection)” опцию “CSM Boot (CMS OS), (UEFI and Legacy OS)”;
- сохраните все нажатием на F10 => “Yes”.
Отключения Secure Boot на материнских платах
Рынок материнских плат для настольных компьютеров достаточно консервативен и явными лидерами являются 2 компании: Asus и Gigabyte. Они поставляют более половины всего оборудования, так что рассматривать способы деактивации Secure Boot рациональней всего именно в разрезе этих производителей. В любом случае третье и четвертое место давно оккупировали MSI и ASRock, – первая четверка полностью состоит из компаний Тайваня. Итог: принципиальных различий в инструкции по отключению все равно не будет и большая часть пользователей найдет ниже именно то, что ищет.
Отметим, что перейти сразу в UEFI можно в некоторых случаях напрямую с Windows (от 8 версии и более поздних). Для этого пробуйте следующее:
- На рабочем столе справа вызовите выдвижную панель.
- После следуйте по пути: “Параметры” => “Изменение параметров…” => “Обновление и…” => “Восстановление”;
- В возникшем окне найдите опцию перезагрузки системы и установите в этой строке значение “Настройки по UEFI” или “Параметры встроенного ПО UEFI”;
- После жмите на “Перезагрузить” и в дальнейшем должен автоматически запуститься UEFI.
Как отключить Secure Boot на материнской плате Gigabyte?
После входа в UEFI (нажатием на F12 перед запуском ОС) действуйте следующим образом:
- перейдите во вкладку “BIOS Features”;
- установите для критерия “Windows 8 Features” опцию “Other OS”;
- для критерия “Boot Mode Selection” — “Legacy only” или “UEFI and Legacy” (между ними нет особой разницы);
- для критерия “Other PCI Device ROM Priority” – “Legacy OpROM”.
После всего нужно выполнить запись изменений, то есть нажать F10 => “OK”.
Материнские платы и ноутбуки Асус
Сразу отметим, что чаще всего на материнках именно этого производителя появляется ошибка при загрузке ОС: Invalid signature detected. Check Secure Boot Policy in Setup. В большинстве случаев для устранения проблемы следует выключить Secure Boot, а для этого необходимо:
- зайти в UEFI – жмите перед загрузкой ОС на F2, Delete или комбинацию клавиш Fn+F2;
- на начальном экране жмите на F7 (Advanced Mode), а потом перейдите в меню “Boot” => “Secure Boot Menu”;
- укажите в строчке “Secure Boot State” значение “Enabled”, а в строчке “OS Type” – “Other OS”;
- вернитесь на один уровень назад в меню “Boot” => “Compatibility Support Module (CSM)”;
- установите в строчке “Launch CSM” значение “Enabled”, а в строчке “Boot Device Control” – “UEFI and Legacy …” либо “Legacy OpROM …”, а в строке “Boot From Storage Devices” – “Both Legacy opROM first”, либо “Legacy opROM first”;
- после этого жмите на F10 и сохраняйте все изменения, а после проверяйте корректность выполненных настроек.
Конкретно для ноутбуков Asus алгоритм будет следующим:
- зайдите в UEFI;
- перейдите во вкладку “Security”;
- отыщите строчку “Secure Boot Control”, укажите в ней значение “Disabled”;
- перейдите во вкладку “Boot”;
- отыщите строчку “Fast Boot”, установите в ней значение “Disabled”, а в строке “Launch CSM” значение “Enabled”.
Как узнать активирована ли функция Secure Boot на Windows?
Этот протокол несложно активировать и деактивировать, а для понимания текущего статуса есть несколько проверенных подходов:
- При помощи сведений о системе. Запустите утилиту “Выполнить”. Для этого необходимо зажать комбинацию клавиш Win+R, в появившейся строке ввести msinfo32 и нажать на Enter. Возникнет новое окно. Убедитесь, что в его левой панели выбрана строчка “Сведения о системе”. В правой панели ищите строку “Состояние безопасной загрузки”, у которой есть только 2 значения “Включить” и “Отключить”.
- При помощи PowerShell. В утилите “Выполнить” запустите команду powershell. Откроется новое окно, в которое скопируйте следующее: Confirm-SecureBootUEFI. Если на этот запрос выдаст ответ “True”, то значит опция активна, а если “False”, то деактивированна. Если же появится уведомление иного характера, то значит материнка не поддерживает функцию Secure Boot.
- Эмпирическим путем. Создайте загрузочную флешку с Windows и попробуйте загрузиться с нее после перезагрузки компьютера. Если все получается успешно, то значит опция выключена, при иных обстоятельствах будет отображаться соответствующее сообщение о невозможности загрузки по соображениям безопасности.
Заключение
- Secure Boot появился в компьютерном мире относительно недавно и этот протокол безопасности является составляющей UEFI – современным и актуальным видом прошивки материнских плат.
- Протокол безопасности препятствует запуску вредоносного ПО на более низком уровне, чем это делают обычные антивирусы. Поэтому при правильной настройке эта технология может существенно повысить устойчивость ПК к вирусам.
- Secure Boot стоит отключать по необходимости, если он препятствует старту системы с загрузочной флешки или при переустановке Windows. Просто для эксперимента технологию деактивировать не стоит.
- Для любого компьютера схема деактивации одна и та же – за счет указания подходящего критерия в нужном меню UEFI. Главное – это найти правильный путь к такому меню. Даже при существенных сложностях это займет не больше 10 минут.
Если установщик Windows 11, а возможно и какая-то программа или игра (такое тоже возможно) сообщает о том, что его не устраивает состояние безопасной загрузки и её необходимо включить — сделать это сравнительно легко, но возможны нюансы.
В этой инструкции подробно о способах включить безопасную загрузку на вашем компьютере или ноутбуке, при условии, что это возможно. Обратите внимание, если задача — установка Windows 11, существуют возможности запуска установки и без включенной безопасной загрузки (Secure Boot), например — создание загрузочной флешки в Rufus с отключением проверки совместимости при чистой установке, или обновление с обходом требований для установки.
Проверка состояния безопасной загрузки, особенности работы после включения
Прежде чем начать, о том, где вы можете проверить текущее состояние безопасной загрузки в Windows 11 или Windows 10:
- Нажмите правой кнопкой мыши по кнопке «Пуск», выберите пункт «Выполнить», введите msinfo32 и нажмите Enter. В разделе «Сведения о системе» вы увидите пункт «Состояние безопасной загрузки» с её текущим статусом.
- Можно зайти в окно «Безопасность Windows», например, с помощью значка в области уведомлений и открыть раздел «Безопасность устройства». Если вы наблюдаете там пункт «Безопасная загрузка» с зеленой отметкой, она включена. Иначе — нет.
Ещё один важный момент: загрузка с включенной безопасной загрузкой возможна только для систем, установленных в UEFI-режиме на GPT диск.
Если, к примеру, у вас Windows 10 и установлена в Legacy-режиме на диск MBR, после включения Secure Boot она перестанет загружаться. Возможные варианты действий: конвертировать диск в GPT с помощью mbr2gpt.exe и включить UEFI-загрузку, либо использовать вариант с чистой установкой с флешки и обходом требований Windows 11, как было указано в начале статьи.
Включение безопасной загрузки Secure Boot в БИОС/UEFI
Само включение безопасной загрузки или Secure Boot выполняется не в Windows 11/10, а в БИОС/UEFI вашего компьютера или ноутбука. Для того, чтобы включить её, необходимо:
- Зайти в БИОС при включении/перезагрузке устройства. На ноутбуках для этого обычно используется клавиша F2 (или сочетание Fn+F2), которую необходимо ритмично нажимать сразу после появления заставки производителя (но бывают и другие варианты клавиши), на ПК как правило используется клавиша Delete. Более подробно: Как зайти в БИОС/UEFI на компьютере или ноутбуке.
- Найти раздел БИОС, на котором доступна опция включения (установка в Enabled) функции Secure Boot. Учитывайте, что на очень старых компьютерах такой настройки может и не быть. Как правило, она располагается где-то в разделе Security, Boot, System Configuration, иногда — Advanced Settings. Несколько примеров расположения будут приведены далее.
- Сменить состояние Secure Boot на Enabled (если ранее выполнялась очистка ключей Secure Boot, восстановить их), сохранить настройки БИОС/UEFI (обычно выполняется клавишей F10 или на вкладке Exit) и перезагрузиться обратно в систему.
Примеры расположения опции для включения безопасной загрузки (Secure Boot)
Ниже — несколько примеров, где можно найти опцию включения безопасной загрузки на разных материнских платах и ноутбуках. У вас может отличаться, но логика везде одна и та же.
Ещё раз отмечу: включить безопасную загрузку можно только в случае, если у вас включен режим загрузки UEFI, а режим Legacy/CSM отключен, иначе опция будет недоступна. В некоторых вариантах БИОС переключение в режим загрузки UEFI выполняется путем выбора типа операционной системы (OS Type) между Windows 11/10/8 и «Other OS» (нужно выбрать Windows).
ASUS
На разных версиях материнских плат и ноутбуков включение Secure Boot реализовано слегка по-разному. Обычно пункт «Secure Boot» можно найти на вкладке «Boot» или «Security». При этом для OS Type может потребоваться выставить Windows UEFI Mode (параметр может и отсутствовать).
Также, для доступности пункта настройки безопасной загрузки в БИОС может потребоваться перейти в Advanced Mode, обычно — по клавише F7.
В некоторых случаях может потребоваться восстановление ключей безопасной загрузки, обычно выполняется следующим образом: в Advanced Mode в BIOS на вкладке Boot или в Secure Boot — Key Management выбираем Load Default PK и подтверждаем загрузку ключей по умолчанию.
AsRock
Настройка для включения безопасной загрузки на материнских платах AsRock обычно находится в разделе «Security».
Зайдя в раздел необходимо будет установить значение Secure Boot в Enabled, а если выбор недоступен, включить стандартный Secure Boot Mode и установить ключи по умолчанию (Install default Secure Boot keys).
Acer
Как правило, опция включения Secure Boot на ноутбуках Acer находится либо в разделе Advanced — System Configuration, либо в Boot или Authentication.
Также помните, о том, что должен быть включен режим загрузки UEFI, а не Legacy/CSM для возможности изменения состояния безопасной загрузки на Enabled.
Lenovo
ПК и ноутбуки Lenovo имеют разные варианты интерфейса БИОС, но обычно нужная опция находится на вкладке Security, как на фото ниже:
Ещё один пример с ноутбука Lenovo:
Gigabyte
Варианты отключения Secure Boot на материнских платах и ноутбуках Gigabyte могут отличаться, обычно порядок действий следующий:
- На вкладке Boot или BIOS отключить CSM Support, и выбрать тип операционной системы или установить пункт Windows 8/10 Features в, соответственно, Windows 8/10, а не Other OS.
- После этого должен появиться пункт Secure Boot, в который необходимо зайти, чтобы включить безопасную загрузку.
Несколько дополнительных мест расположения опции включения Secure Boot (устанавливаем в Enabled) на старых Dell, Gigabyte, HP:
Также, если в вашем интерфейсе БИОС предусмотрен поиск, можно использовать его:
В случае, если вы не нашли способа включить безопасную загрузку на вашей материнской плате, либо её не удается перевести в Enabled, укажите её марку и модель в комментариях, я постараюсь подсказать, где именно требуется включать этот параметр. Кстати, часто достаточно просто сбросить настройки БИОС (Load Defaults на вкладке Exit), чтобы включить безопасную загрузку, так как на большинстве современных материнских плат она по умолчанию включена.
Некоторые пользователи жалуются, что видят уведомление в своем приложении для обеспечения безопасности Windows, в котором говорится: «Стандартная аппаратная безопасность не поддерживается».
В то же время эта ошибка появляется, даже если устройство соответствует стандартам аппаратной безопасности и на нем установлены последние драйверы, обновления Windows и прошивка BIOS.
Что значит стандартная аппаратная защита не поддерживается?
При этом это сообщение появляется, когда ваше устройство не соответствует хотя бы одному из требований стандартной аппаратной безопасности:
- На устройстве установлен TPM 2.0 (процессор безопасности), и он включен
- Безопасная загрузка включена
- DEP включен (предотвращение выполнения данных)
- UEFI MAT ((Таблица атрибутов памяти Unified Extensible Firmware Interface Memory Memory)
- Виртуализация ЦП включена
Что приводит к тому, что стандартная аппаратная безопасность не поддерживается?
Итак, если вы видите уведомление об ошибке Стандартная аппаратная безопасность не поддерживается в Windows 11, это может быть связано с тем, что:
- Не соблюдены минимальные требования к аппаратной безопасности. Возможно, в настройках BIOS не включены TPM 2.0, безопасная загрузка или виртуализация.
- Устаревшие системные драйверы. Если драйверы не обновлены до последней версии, это может вызвать стандартную ошибку аппаратной безопасности, которая не поддерживается.
- Прошивка BIOS не обновлена. Скорее всего, вы видите уведомление об ошибке из-за устаревшей прошивки BIOS.
- Поврежденное обновление Windows. Иногда причиной ошибки может быть поврежденное обновление Windows.
- Повторяющаяся ошибка Windows 11. Во многих случаях сообщалось, что стандартная ошибка аппаратной безопасности не поддерживается из-за ошибки в ОС.
Что делать, если стандартная аппаратная безопасность не поддерживается в Windows 11?
Прежде чем перейти к основному разделу, чтобы попробовать основные методы, вот несколько быстрых проверок:
- Убедитесь, что вы включили безопасную загрузку в BIOS.
- Убедитесь, что TPM 2.0 включен и правильно установлен.
- Обновите драйверы до последней версии.
- Удалите последнее обновление Windows
Однако, если ни один из вышеперечисленных шагов не помог вам устранить стандартную ошибку аппаратной безопасности, не поддерживаемую, у нас есть несколько советов экспертов по устранению этой проблемы.
1. Включите предотвращение выполнения данных (DEP)
- Нажмите клавиши Win + R , чтобы открыть диалоговое окно «Выполнить». Введите sysdm.cpl и нажмите Enter , чтобы открыть Свойства системы.
- Теперь выберите вкладку «Дополнительно» и в разделе «Производительность» нажмите «Настройки».
- Затем перейдите на вкладку «Предотвращение выполнения данных» и выберите «Включить DEP только для основных программ и служб Windows». Нажмите Применить и ОК.
Теперь перезагрузите компьютер и проверьте, удалось ли вам исправить стандартную ошибку аппаратной безопасности, не поддерживаемую в Windows 11, или вы все еще видите уведомление.
2. Включите настройки BIOS
- Войдите в BIOS на своем ПК, выберите Параметры микропрограммы UEFI и выберите режим «Эксперт».
- Здесь перейдите в настройки ЦП или Конфигурация системы, найдите технологию виртуализации Intel, технологию виртуализации , VT -x, AMD-V или SVM и установите для нее значение «Включить».
- Это включает изоляцию ядра в безопасности Windows.
- Затем на вкладке «Дополнительно» перейдите к «Конфигурация системного агента» или «Конфигурация северного моста» и включите VT-d или IOMMU, чтобы включить целостность памяти в Windows Security.
- Теперь включите технологию Intel Platform Trust Technology (PTT) или эквивалент AMD, и набор микросхем материнской платы будет действовать как TPM. Это включает процессор безопасности в Windows Security.
- Затем включите безопасную загрузку и выберите «Установить ключи безопасной загрузки по умолчанию».
- Здесь выберите режим Windows UEFI для типа ОС. Это включит безопасную загрузку в системе безопасности Windows.
- Нажмите F10, чтобы сохранить и выйти.
Теперь откройте приложение «Безопасность Windows», и стандартное уведомление о неподдерживаемой аппаратной безопасности должно исчезнуть.
Теперь вы увидите, что параметры изоляции ядра, процессора безопасности и безопасной загрузки включены в системе безопасности Windows.
3. Перейдите на Windows 10 и снова выполните обновление.
- Понизьте Windows 11 до Windows 10 с помощью установочного носителя Windows 10.
- Теперь, когда вы закончили настройку, щелкните значок «Безопасность Windows» на панели задач.
- Затем в приложении «Безопасность Windows» нажмите «Безопасность устройства» слева. Теперь справа перейдите в раздел «Изоляция ядра» и нажмите «Сведения об изоляции ядра».
- На следующем экране перейдите к Целостность памяти и включите его для поиска несовместимых драйверов.
- Теперь вы можете выбрать средство удаления драйверов, чтобы полностью удалить все следы несовместимых драйверов.
- Повторите шаги со 2 по 5 еще раз и посмотрите, есть ли несовместимые драйверы. Если нет, включите его и перезагрузите компьютер.
- Наконец, обновите свой компьютер до Windows 11 с помощью Windows 11 ISO, и стандартная ошибка аппаратной безопасности не поддерживается.
4. Перерегистрируйте приложение безопасности Windows с помощью PowerShell.
- Нажмите клавиши быстрого доступа Win + R, чтобы открыть консоль «Выполнить».Введите Powershell и одновременно нажмите клавиши Ctrl + Shift + Enter , чтобы открыть окно Powershell с повышенными привилегиями.
- Теперь запустите приведенную ниже команду в окне Powershell (Admin) и нажмите Enter :
PowerShell -ExecutionPolicy Unrestricted -Command "& {$manifest = (Get-AppxPackage *Microsoft.Windows.SecHealthUI*).InstallLocation + 'AppxManifest.xml' ; Add-AppxPackage -DisableDevelopmentMode -Register $manifest}"
- После успешного выполнения команды закройте PowerShell и перезагрузите компьютер. Это должно помочь вам исправить стандартную ошибку безопасности оборудования в Windows 11.
5. Переустановите платформу безопасности Windows.
- Загрузите последнюю версию приложения для обеспечения безопасности Windows. Теперь создайте точку восстановления, а затем разархивируйте загруженный ZIP-файл на рабочий стол.
- Затем нажмите клавиши Win + E , чтобы открыть проводник, перейдите в папку C:WindowsSystem32SecurityHealth, щелкните правой кнопкой мыши установочный файл и выберите «Свойства».
- Теперь следуйте по указанному ниже пути, чтобы перейти к администраторам и стать владельцем этой папки:
Properties > Security tab, > Advanced > Owner > Change > Select User or Group > Advanced
- В следующем окне нажмите «Найти сейчас», перейдите к результатам поиска, выберите «Администраторы» и нажмите «ОК».
- В диалоговом окне «Выбор пользователя или группы» нажмите «Проверить имена» и нажмите «ОК».
- Теперь в окне «Дополнительные параметры безопасности» выберите «Заменить владельца вложенных контейнеров и объектов», нажмите «Применить» и «ОК», чтобы сохранить изменения, и вернитесь в диалоговое окно «Свойства».
- Здесь в разделе «Имена групп или пользователей» выберите «Администраторы» и нажмите «Изменить».
- Далее в окне «Разрешения» выберите «Администраторы» и установите флажок « Разрешить » рядом с «Полный доступ». Нажмите «Применить», а затем «ОК».
- Вернитесь в папку SecurityHealth в окне проводника, скопируйте папку 1.0.2207.20002-0 и вставьте ее на рабочий стол в папку SecurityHealth.
- Теперь вы можете открыть папку и запустить приложение Microsoft.SecHealthUI_8wekyb3d8bbwe.appx от имени администратора.
После этого перезагрузите компьютер и проверьте, помогает ли это устранить стандартную ошибку безопасности оборудования.
Также необходимо проверить, обновлен ли BIOS. Если нет, обновите прошивку BIOS до последней версии, чтобы исправить стандартную аппаратную безопасность, которая не поддерживается.
Кроме того, если ваше устройство уже соответствует стандартам аппаратной безопасности, вы можете просто получить доступ к настройкам BIOS, отключить виртуализацию и снова включить ее.
Если ни один из вышеперечисленных методов не работает, вы можете выполнить чистую установку Windows 11 с помощью USB-накопителя, и это должно помочь вам избавиться от проблемы.
В данной статье показаны действия, с помощью которых можно проверить, включена или отключена Безопасная загрузка (Secure Boot) в интерфейсе операционной системы Windows 10.
Чтобы обеспечить дополнительную безопасность компьютера от воздействия вредоносных программ, изготовители компьютеров используют безопасную загрузку.
Безопасная загрузка предотвращает загрузку сложного и опасного типа вредоносных программ, rootkit, при запуске устройства. Пакеты программ rootkit используют такие же права доступа, как и операционная система, и запускаются раньше нее, что позволяет им полностью скрыть себя.
Зачастую программы rootkit входят в набор вредоносных программ, которые могут обходить процедуры входа, записывать пароли и нажатые клавиши, перемещать конфиденциальные файлы и получать криптографические данные.
Безопасная загрузка — это стандарт безопасности, который гарантирует пользователю, что его компьютер при загрузке использует только программное обеспечение, которому доверяет изготовитель компьютера.
При запуске компьютера встроенное программное обеспечение проверяет подписи всех компонентов, включая драйверы, приложения EFI и операционную систему. Если подписи являются надежными, то компьютер загружается, и микропрограмма передает управление операционной системе.
Содержание
- Проверка через службу «Безопасность Windows»
- Используя сведения о системе
- Просмотр состояния в Windows PowerShell
Проверка через службу «Безопасность Windows»
Чтобы проверить, включена или отключена «Безопасная загрузка», откройте службу Безопасность Windows (прежнее название Центр безопасности Защитника Windows) и выберите Безопасность устройства.
В разделе Безопасная загрузка (если поддерживается) проверьте, включена ли безопасная загрузка или выключена.
Используя сведения о системе
Чтобы проверить, включена или отключена «Безопасная загрузка» в окне «Сведения о системе», нажмите сочетание клавиш + R, в открывшемся окне Выполнить введите msinfo32 и нажмите клавишу Enter↵.
В открывшемся окне «Сведения о системе», в правой области окна в строке Состояние безопасной загрузки вы увидите значение Вкл., Откл., или Не поддерживается (см. скриншоты ниже).
Компьютер поддерживает безопасную загрузку и безопасная загрузка в настоящее время включена.
Компьютер поддерживает безопасную загрузку и безопасная загрузка в настоящее время отключена.
Компьютер не поддерживает безопасную загрузку или Windows установлена с устаревшей версией BIOS
Просмотр состояния в Windows PowerShell
Чтобы проверить, включена или отключена «Безопасная загрузка», откройте консоль Windows PowerShell от имени администратора и выполните следующую команду:
Confirm-SecureBootUEFI
В зависимости от того какое значение возвращает выполненная команда вы будете знать, включена ли безопасная загрузка, отключена или не поддерживается.
True — компьютер поддерживает безопасную загрузку и безопасная загрузка в настоящее время включена.
False — компьютер поддерживает безопасную загрузку и безопасная загрузка в настоящее время отключена.
Отображение ошибки — компьютер не поддерживает безопасную загрузку или Windows установлена с устаревшей версией BIOS
Содержание
- 1 Secure Boot – что это за утилита и как её отключить
- 1.1 Определение режима загрузки
- 1.2 Каталог программ
- 2 Как отключить защиту Secure Boot в Биосе с поддержкой UEFI
- 2.1 Как отключить Secure Boot и UEFI на ноутбуке HP
- 2.2 Как отключить Secure Boot и UEFI на ноутбуке Asus
- 2.3 Как отключить Secure Boot и UEFI на ноутбуке Samsung
- 2.4 Как отключить Secure Boot и UEFI на ноутбуке Acer Aspire
- 2.5 Как отключить Secure Boot и UEFI на материнской плате Asus
- 2.6 Как отключить Secure Boot и UEFI на материнской плате Asrock
- 2.7 Как отключить Secure Boot и UEFI на материнской плате Gigabyte
- 2.8 Как отключить Secure Boot и UEFI на материнской плате MSI
- 3 Защита процесса загрузки Windows 10
- 3.1 Угроза: программы rootkit
- 3.2 Меры противодействия
- 3.3 Безопасная загрузка
- 3.4 Надежная загрузка
- 3.5 Ранний запуск антивредоносной программы
- 3.6 Измеряемая загрузка
- 3.7 Резюме
- 3.8 Дополнительные ресурсы
- 4 Как отключить Secure Boot в Windows 10
- 4.1 Secure Boot что это
- 4.2 Почему БИОС не видит загрузочную флешку
- 4.3 Secure Boot на ноутбуках HP
- 4.4 Secure Boot на ноутбуках Samsung
- 4.5 Secure Boot на ноутбуках Lenovo и Toshiba
- 4.6 Secure Boot на ноутбуках Dell
- 4.7 Secure Boot на ноутбуках Acer
- 4.8 Secure Boot на ноутбуках Asus
- 4.9 Безопасная загрузка настроена неправильно
- 5 Безопасная загрузка не настроена правильно в Windows 10 / 8.1
- 5.1 Безопасная загрузка не настроена правильно
- 5.2 Отключить или включить безопасную загрузку
Secure Boot – что это за утилита и как её отключить
Что такое Secure Boot, и как её отключать?
Эта утилита – специфический предохранитель, который не дает пользователям устанавливать на компьютер с Windows 8, 8.1 и 10 любую другую ОС .
Работа встроенной в BIOS (UEFI) утилиты заключается в сравнении специальных ключей с подписями загрузочного кода системы.
При несовпадении Secure Boot прекращает загрузку с целью защиты компьютера от взлома и использования нелицензионного программного обеспечения.
Для загрузки любой другой операционной системы на ПК от пользователя требуется сначала отключить эту утилиту в интерфейсе UEFI.
Рис.1. Сообщение при попытке поставить новую систему на компьютер с Security Boot.
Технологию защиты системы от переустановки придумали не разработчики Microsoft, а специалисты из компании Unified EFI Forum, создавшей новый интерфейс БИОС – UEFI.
Функция предусматривает возможность отключения запрета установки другой ОС и управления ключами на любом ноутбуке и стационарном ПК.
Не получится отключить Secure Boot (SB) только на планшете под управлением Windows.
Для компьютеров с Windows 8 и 10 утилита работает в двух режимах:
- Режим Setup, необходимый для настройки и позволяющий заменить основные ключи Platform Key и KEK, а также базы разрешённых и отозванных ключей DB и DBX;
- Режим User или режим пользователя, в котором компьютер работает по умолчанию.
Для того, чтобы убрать функцию следует воспользоваться первым режимом.
Замена ключей, которые сравниваются с подписями кода, позволит обойти ограничение на переустановку.
Определение режима загрузки
Узнать о том, что на вашем ПК или ноутбуке включена функция Secure Boot можно тремя способами:
- уже во время попытки поставить новую Windows вместо старой, когда у вас не получится это сделать, а система выдаст соответствующее сообщение;
- через меню msinfo32, которое можно вызвать с помощью окна «Выполнить» и введённой в нём одноимённой команды. Здесь следует найти пункт «Состояние безопасной загрузки» и прочитать там информацию о режиме защиты;
Рис.2. Вход в меню «Свойств системы».
- путём запуска в командной строке (открытой от имени администратора) команды Confirm-SecureBootUEFI. Если режим работает, на экране появится надпись True, если не работает – False. Другие сообщения, включая Cmdlet not supported on this platform, говорят о полном отсутствии поддержки SB компьютером.
Рис.3. Сообщение, показывающее отсутствие поддержки UEFI и Secure Boot.
После определения режима, в котором работает Secure Boot, следует проверить тип его политики с помощью той же командной строки. Для этого вводится уже другая команда – Get-SecureBootPolicy.
Она может вернуть значение {77FA9ABD-0359-4D32-BD60-28F4E78F784B}, что говорит о правильно настроенной политике безопасности.
Любые другие символы показывают, что безопасная загрузка работает в тестовом режиме.
Сообщение типа Secure Boot policy is not enabled on this machine означает, что режим не поддерживается материнской платой.
Если на вашем компьютере требуется отключить безопасный режим и обеспечить загрузку новой ОС, следует выполнить следующие действия:
- Войти в настройки интерфейса UEFI;
- Изменить настройки БИОС одним из возможных способов, в зависимости от производителя материнской платы.
На компьютерах с Виндовс 8 и выше существует 2 основных способа входа в БИОС:
- Перейти в правой панели в меню «Параметры», выбрать изменение параметров, затем «Обновление и восстановление» и просто «Восстановление»;
- После этого выбирается пункт «Перезагрузить», затем настройки ПО UEFI. Осталось подождать перезагрузки, после чего вход в интерфейс БИОС будет выполнен автоматически;
- Нажать при включении компьютера функциональную клавишу (Delete, F2 или другие).
После того как удалось войти в интерфейс, следует найти в его настройках пункт, отвечающий за отключение.
Он зависит от конкретной модели компьютера и марки материнской платы.
Например, для ноутбуков HP в БИОС следует найти вкладку System Configuration, перейти к пункту Boot Options и изменить значение показателя Secure Boot на Disabled.
После сохранения изменений и перезагрузки компьютера никаких ограничений на установку ОС остаться не должно.
Устройства Lenovo и Toshiba имеют вкладку Security, а Dell – меню UEFI Boot, где тоже следует отключить Secure Boot.
Рис.4. Отключение безопасной загрузки для модели ноутбука Lenovo.
Для устройств Asus, кроме отключения, требуется дополнительно выбрать возможность установки новой ОС, установив параметр Other OS в пункте OS Type.
На стационарных компьютерах Asus функцию отключают, перейдя в раздел Authentication. А для плат марки Gigabyte требуется переход в меню BIOS Features.
Иногда настройки Secure Boot могут оказаться неправильными.
В этом случае, даже установив систему, в углу рабочего стола можно увидеть сообщение об ошибке типа «Профессиональная Безопасная загрузка (SecureBoot) настроена неправильно Build 9600».
Причина появления этой информации заключается вовсе не в том, что операционная система оказалась нелицензионной или была неправильно активирована, а только о снижении безопасности компьютера и необходимости в следующих действиях:
- Определение одним из трёх известных способов, работает ли в настоящее время Secure Boot;
- Проверка типа политики безопасности;
- Если режим отключён, для устранения надписи о проблемах с безопасностью следует его включить (при установке системы можно снова выбрать отключение SB), перезагрузить компьютер, войти в БИОС и включить Secure Boot.
Рис.5. Включение SB в настройках UEFI материнской платы AsRock для решения неполадки.
Если применённый метод не помог устранить проблему, настройки UEFI следует попробовать сбросить до заводских.
Для этого в БИОС есть пункт Factory Default. При отсутствии поддержки этого режима у компьютера решить вопрос, скорее всего, не получится.
Единственный возможный вариант – установка таких обновлений от Microsoft, как KB288320, которое находится в составе пакета GA Rollup A.
Скачать его можно с официального сайта производителя, обязательно учитывая разрядность вашей системы – х86 или 64.
Появление функции было неоднозначно воспринято пользователями Windows.
С одной стороны, её использование мешает переустановке операционной системы и, таким образом, ограничивает владельца ноутбука или ПК в своих действиях.
С другой эта же опция, по словам разработчиков, позволяет предотвратить действие руткитов – вредоносных скриптов, отрицательно влияющих на работоспособность системы.
Для того чтобы разобраться с этим вопросом, стоит подробнее рассмотреть особенности утилиты:
- Конкретное назначение Secure Boot – инициализация операционной системы при её загрузке и передача управления загрузчику ОС;
- Secure Boot представляет собой не встроенную в Windows 8 или 10 функцию, а версию протокола UEFI. Но уже сам интерфейс входит в состав загрузки Виндовс;
- Система использует SB для безопасности загрузки платформы, и настройка утилиты выполняется производителем устройства, а не операционной системы – то есть компаниями HP, Dell, Lenovo и т. д.;
- Microsoft не контролирует установку Secure Boot на компьютеры, независимо от того какая система на них установлена (Windows 7, 8 или 10 с разрядностью 32 или 64).
Функция безопасности начинает работать сразу же после включения питания компьютера, запрещая установку новых систем.
Таким образом, пользователь не может использовать для изменения ОС ни жёстким диском, ни сетевой картой, ни CD, DVD или USB-флешкой.
И, хотя производитель утверждает, что функция легко может быть отключена (пусть даже это и не даст загружаться установленной лицензионной системе), сертификация Win-8 может привести к другому результату.
Microsoft требует от разработчиков ПК и ноутбуков только установки Secure Boot, но не обязывает предусмотреть возможность её отключения.
Кроме того, согласно требованиям сертификации Win-8, устанавливать ключи, отличные от защиты MS, тоже не обязательно.
Получается, что возможна такая ситуация, когда производитель выпустит компьютер с Secure Boot, который будет нельзя отключить, и системой, которая уже установлена на устройстве, придётся пользоваться постоянно.
А, значит, пользователю необходимо знать о такой возможности перед покупкой ноутбука или ПК, чтобы не отключаемый SB не стал неприятным сюрпризом.
Каталог программ
Источник: http://geek-nose.com/secure-boot/
Как отключить защиту Secure Boot в Биосе с поддержкой UEFI
Здесь выбираем параметр «Boot Mode» или «OS Mode Selection», и переключаем его из положения «UEFI OS» (возможно «UEFI Boot») в положение «CSM Boot» (возможно «UEFI and Legacy OS» или «CMS OS»).
Чтобы изменения вступили в силу, нажимаем F10 и подтверждаем сохранение изменений, выбрав пункт «Yes». Перезагрузка. Теперь мы сможем загрузить на наш ноутбук любую операционную систему.
⇑
Как отключить Secure Boot и UEFI на ноутбуке HP
Иногда бывает все не столь очевидно. Например, на некоторых моделях ноутбуков HP Pavillion для отключения Secure Boot нужно произвести еще несколько дополнительных операций.
Нажимаем при загрузке ноутбука клавишу F10 (возможно ESC, затем F10) и входим в UEFI-BIOS. Заходим в раздел «System Configuration», находим подраздел «Boot Options» и заходим в него.
Находим параметр «Secure Boot» и переключаем его в положение «Disabled» (Выключено). А параметр режима совместимости с другими операционными системами «Legacy support», напротив, переключаем в положение «Enabled» (Включено).
На предупреждение отвечаем согласием «Yes».
Для того чтобы изменения вступили в силу, нажимаем F10 и подтверждаем сохранение данных изменений, выбрав «Yes». Перезагрузка компьютера. После перезагрузки выходит окно с предупреждением «A change to the operating system secure boot mode is pending…». По-английски нам предлагают ввести на клавиатуре ноутбука код 8721 (в вашем случае код, конечно, будет другим) и нажать Enter. После этого изменения в настройках UEFI-BIOS будут сохранены и ноутбук опять перезагрузится.
При включении ноутбука HP нажмите клавишу ESC и попадете в стартовое меню. В нем выбираем «F9 Boot Device Options» и, зайдя в меню загрузки, выбираем установочную флешку (уже подсоединенную) или установочный DVD-диск с дистрибутивом операционной системы.
⇑
Как отключить Secure Boot и UEFI на ноутбуке Asus
(Утилита Aptio Setup Utility)
При загрузке ноутбука нажмите клавишу DELETE и войдите в UEFI-BIOS. Заходим в раздел «Security» и, найдя параметр «Secure Boot», переключаем его в положение «Disabled».
Затем переходим в раздел «Boot» и, найдя параметр «Fast Boot», переключаем его в положение «Disabled».
Чтобы изменения вступили в силу, нажимаем F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка ноутбука. Опять входим в UEFI-BIOS. Заходим в раздел «Boot» и, найдя параметр «Launch CSM», переключаем его в положение «Enabled» (Включено).
Опять нажимаем F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка. При включении ноутбука Asus жмем клавишу ESC и попадаем в меню загрузки. В нем выбираем установочную флешку (уже подсоединенную) или установочный DVD-диск с операционной системой.
⇑
Как отключить Secure Boot и UEFI на ноутбуке Samsung
(Утилита Aptio Setup Utility)
Нажимаем при загрузке ноутбука клавишу F2 и входим в UEFI-BIOS. Заходим в раздел «Boot» и находим параметр «Secure Boot».
Переключите его в положение «Disabled» (Выключено).
На предупреждение о том, что компьютер может загрузиться с ошибкой нажмите Enter.
В этом же разделе ниже появится параметр «OS Mode Selection».
Переключите его в положение «CMS OS» или «UEFI and Legacy OS».
Опять появится предупреждение о возможности следующей загрузки ноутбука с ошибкой. Жмем Enter. Чтобы изменения вступили в силу, нажмите клавишу F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка ноутбука. Теперь мы сможем загрузить на наш ноутбук любую операционку, если не получается, обращайтесь в КомпрайЭкспресс.
⇑
Как отключить Secure Boot и UEFI на ноутбуке Acer Aspire
(Утилита InsydeH20 Setup Utility)
Нажмите при загрузке ноутбука клавишу F2 и войдите в UEFI-BIOS. Здесь заходим в раздел «Main» и, найдя параметр «F12 Boot Menu», переключаем его в положение «Enabled». Этим действием мы разрешили появление загрузочного меню ноутбука при нажатии клавиши F12.
Далее переходим в раздел «Security» и, найдя параметр «Set Supervisor Password», нажимаем на клавишу Enter. В верхнем поле задаем пароль (в дальнейшем мы его сбросим) и нажимаем Enter. В нижнем поле вводим этот же пароль и опять жмем Enter.
На сообщение «Changes have been saved» еще раз нажмите клавишу Enter.
Дальше переходим в раздел «Boot» и, найдя параметр «Boot Mode», переключите его из положения «UEFI» в положение «Legacy».
Для того чтобы изменения вступили в силу, нажимаем клавишу F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка ноутбука.
Так как имеет смысл убрать ранее заданный нами пароль (возможность отключения/включения «Secure Boot» останется), снова по F2 входим в UEFI-BIOS, переходим в раздел «Security» и, найдя параметр «Set Supervisor Password», нажимаем на клавишу Enter.
В верхнем поле вводим ранее заданный нами пароль и нажимаем Enter. Во втором и третьем поле ничего не вводим, просто нажимая Enter.
На сообщение «Changes have been saved» еще раз нажмите Enter. Вот и все! Пароль сброшен, а возможность отключения/включения «Secure Boot» сохранилась. Чтобы изменения вступили в силу, нажимаем клавишу F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка. Теперь мы сможем загрузить на наш ноутбук любую операционную систему.
⇑
Как отключить Secure Boot и UEFI на материнской плате Asus
Нажимаем при загрузке ноутбука клавишу DELETE (возможно F2) и входим в UEFI-BIOS. Нажимаем F7 для перехода в «Advanced Mode».
Заходим в раздел «Boot», находим там подраздел «Secure Boot» и заходим в него.
Переключите параметр «Secure Boot» в положение «Other OS».
Далее вернитесь в корень раздела «Boot» и перейдите в подраздел «CSM (Compatibility Support Module)».
Переключите параметр «Launch CSM» в положение «Enabled».
В открывшихся дополнительных опциях выбираем «Boot Device Control» и переключаем в положение «Legacy OpROM only» или «UEFI and Legacy OpROM».
Переходим к параметру «Boot from Storage Devices» и переключаем его в положение «Legacy OpROM first» или «Both, Legacy OpROM first».
Этими действиями мы смогли отключить Secure Boot и включили режим расширенной загрузки. Чтобы изменения вступили в силу, нажимаем клавишу F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка. Теперь мы сможем загрузить на наш компьютер любую операционную систему.
⇑
Как отключить Secure Boot и UEFI на материнской плате Asrock
Нажимаем при загрузке компьютера клавишу DELETE (возможно F2) и входим в UEFI-BIOS. Заходим в раздел «Security» и, найдя параметр «Secure Boot», переключите его в положение «Disabled».
Для того чтобы изменения вступили в силу, нажмите клавишу F10 и подтвердите сохранение изменений, выбрав «Yes». Перезагрузка. Теперь вы сможете загрузить на PC любую операционную систему.
⇑
Как отключить Secure Boot и UEFI на материнской плате Gigabyte
Нажимаем при загрузке ПК клавишу DELETE и входим в UEFI-BIOS. Заходим в раздел «BIOS Features» и, найдя параметр «Windows 8 Features», переключаем его в положение «Other OS».
Затем параметр «Boot Mode Selection» переключаем в положение «Legacy only» или «UEFI and Legacy». И, наконец, параметр «Other PCI Device ROM Priority» переключаем в положение «Legacy OpROM».
Для сохранения изменений нажмите клавишу F10 и подтвердите сохранение изменений, выбрав «Yes». Перезагрузка. Теперь мы сможем загрузить на наш компьютер любую операционную систему.
Как отключить Secure Boot и UEFI на материнской плате MSI
⇑
При загрузке PC нажмите клавишу DELETE и зайдите в UEFI-BIOS. Здесь заходим в раздел «SETTINGS», переходим в подраздел «Boot», и найдя параметр «Boot Mode Select», переключаем его в положение «Legacy+UEFI».
Чтобы изменения вступили в силу, нажимайте клавишу F10 и подтвердите сохранение изменений, выбрав «Yes». Перезагрузка. Теперь мы сможем загрузить на наш компьютер любую операционную систему.
Источник: https://comprayexpress.ru/computer-related-articles/kak-otklyuchit-secure-boot-uefi/
Защита процесса загрузки Windows 10
- 11/16/2018
- Время чтения: 8 мин
Применимо к:
Операционная система Windows имеет множество функций для защиты от вредоносных программ, и очень хорошо справляется с этой задачей. За исключением приложений, разрабатываемых организациями самостоятельно для внутреннего использования, все приложения Microsoft Store должны соответствовать ряду требований, чтобы пройти сертификацию и быть представленными в Microsoft Store.
В процессе сертификации проверяется несколько критериев, включая безопасность. Этот процесс является эффективным средством защиты Microsoft Store от вредоносных программ. Даже если вредоносное приложение получится, в операционной системе Windows10 входит ряд функций безопасности, которые могут снизить последствия.
Например, приложения Microsoft Store изолированы и не имеют разрешений, необходимых для доступа к данным пользователя или изменения параметров системы.
Windows10 имеет несколько уровней защиты для классических приложений и данных. Защитник Windows использует подписи для обнаружения и помещения в карантин приложений, которые были определены как вредоносные.
Фильтр SmartScreen предупреждает пользователя, прежде чем разрешить запуск ненадежного приложения, даже если оно распознается как вредоносное ПО.
Прежде чем приложение сможет изменить параметры системы, пользователю необходимо предоставить приложению права администратора с помощью контроля учетных записей.
Это лишь некоторые из возможностей, которые Windows10 защитить от вредоносных программ. Тем не менее, эти функции безопасности защищают вас только после запуска Windows10. Современных вредоносных программ — в особенности буткиты — способны запускаться до запуска Windows, полностью обходя защиту операционной системы и оставаясь полностью скрытыми.
При запуске Windows 10 на компьютерах или любых компьютеров, которые поддерживают Единый расширяемый микропрограммный интерфейс (UEFI) надежная загрузка защищает компьютер от вредоносных программ с момента включения компьютера до запуска защиты от вредоносных программ.
В случае заражения компьютера вредоносным ПО оно не сможет оставаться скрытым; надежная загрузка сможет подтвердить целостность системы вашей инфраструктуры таким образом, который вредоносное программное обеспечение не сможет скрыть.
Даже на компьютерах без UEFI Windows10 обеспечивает более высокую безопасность при загрузке по сравнению с предыдущими версиями Windows.
Давайте сначала рассмотрим программы rootkit и то, как они работают. Затем мы покажем, как Windows10 сможет защитить вас.
Угроза: программы rootkit
Программы rootkit — это сложный и опасный тип вредоносных программ, которые выполняются в режиме ядра с теми же правами, что и операционная система.
Так как программы rootkit обладают теми же правами, что и операционная система, и запускаются до нее, они могут полностью скрывать себя и другие приложения.
Зачастую программы rootkit входят в набор вредоносных программ, которые могут обходить процедуры входа, записывать пароли и нажатия клавиш, перемещать конфиденциальные файлы и получать зашифрованные данные.
Различные типы программ rootkit загружаются на различных этапах процесса запуска:
- Программы rootkit встроенного ПО. Такие программы перезаписывают встроенное ПО BIOS компьютера и другого оборудования для запуска программ rootkit перед Windows.
- Буткиты. Такие программы заменяют собой загрузчик операционной системы (небольшую программу, которая запускает операционную систему), чтобы компьютер загружал буткит перед загрузкой операционной системы.
- Программы rootkit, работающие на уровне ядра. Эти программы заменяют собой часть ядра операционной системы, чтобы программа rootkit запускалась автоматически при загрузке операционной системы.
- Драйверные программы rootkit. Эти программы выдают себя за один из надежных драйверов, используемых Windows для взаимодействия с оборудованием компьютера.
Меры противодействия
Windows10 поддерживает четыре функции, позволяющие предотвратить загрузку rootkit и буткитс во время запуска.
- Безопасная загрузка. Компьютеры со встроенным ПО UEFI и доверенным платформенным модулем можно настроить на загрузку только надежных загрузчиков операционной системы.
- Надежная загрузка. Windows проверяет целостность всех компонентов процесса запуска перед их загрузкой.
- Ранний запуск защиты от вредоносных программ (ELAM). ELAM проверяет все драйверы перед их загрузкой и блокирует загрузку неутвержденных драйверов.
- Измеряемая загрузка Встроенное ПО компьютера записывает в журнал процесс загрузки, и Windows 10 может отправлять этот журнал надежному серверу, который способен объективно оценить работоспособность компьютера.
В Figure1 показан процесс запуска Windows10.
Рисунок 1. Безопасная загрузка, надежная загрузка и измеряемая загрузка блокируют вредоносные программы на каждом этапе
Безопасная загрузка и измеряемая загрузка возможна только на компьютерах с UEFI 2.3.1 и микросхемой TPM. К счастью, на всех компьютерах с Windows 10, которые соответствуют требованиям программы совместимости оборудования Windows, эти компоненты есть, так же как и на многие компьютерах, предназначенных для более ранних версий Windows.
В следующих разделах описаны безопасная загрузка, надежная загрузка, ELAM и измеряемая загрузка.
Безопасная загрузка
При запуске компьютер сначала находит загрузчик операционной системы. Компьютеры без безопасной загрузки просто запускают любой загрузчик, который находится на жестком диске компьютера. Компьютер не может определить, загружается ли доверенная операционная система или программа rootkit.
При запуске компьютера, оснащенного UEFI, компьютер сначала проверяет наличие цифровой подписи у встроенного ПО, что снижает риск запуска программ rootkit встроенного ПО. Если включена безопасная загрузка, встроенное ПО проверяет цифровую подпись загрузчика, чтобы убедиться, что он не был изменен. Если загрузчику не изменен, встроенное ПО запускает загрузчик, только если выполняется одно из следующих условий.
- Загрузчик был подписан с использованием доверенного сертификата. В случае компьютеров, сертифицированных для Windows10, сертификат Microsoft® является надежным.
- Пользователь вручную утвердил цифровую подпись загрузчика. Это позволяет пользователю загружать сторонние операционные системы.
Все сертифицированные для Windows10 компьютеров на базе x86 должны соответствовать нескольким требованиям, связанным с безопасной загрузкой:
- Безопасная загрузка должна быть включена по умолчанию.
- Они должны доверять сертификату Майкрософт (а значит, и любому загрузчику, подписанному корпорацией Майкрософт).
- Они должны разрешать пользователю настраивать безопасную загрузку для доверия другим загрузчикам.
- ПК должны разрешать пользователю полностью отключить безопасную загрузку.
Эти требования обеспечивают защиту от программ rootkit и позволяют запустить любую операционную систему по своему выбору. Существует три варианта запуска сторонних операционных систем.
- Использование ОС с сертифицированным загрузчиком. Так как все сертифицированные для Windows10 ПК должны доверять сертификату Microsoft, корпорация Майкрософт предоставила услуги для анализа и подписывания любого загрузчика, не относящегося к корпорации Майкрософт, чтобы его можно было считать надежным для всех сертифицированных для Windows10 компьютеров. Собственно, загрузчик с открытым исходным кодом, поддерживающий загрузку Linux, уже доступен. Чтобы начать процесс получения сертификата, перейдите на http://partner.microsoft.com/dashboardвеб-странице.
- Настройка UEFI на доверие пользовательскому загрузчику. Все сертифицированные для Windows10 компьютеров позволяют доверять несертифицированному загрузчику с помощью добавления подписи в базу данных UEFI, что позволяет запускать любые операционные системы, в том числе символизирующий операционные системы.
- Отключение безопасной загрузки. Все сертифицированные для Windows10 компьютеров позволяют отключить безопасную загрузку, чтобы можно было запускать какое – либо программное обеспечение. Однако это не поможет защититься от буткитов.
Во избежание использования уязвимостей, свойственных этим вариантам, вредоносными программами, настройте встроенное ПО UEFI для доверия несертифицированному загрузчику или отключите безопасную загрузку. Программное обеспечение не может изменить параметры безопасной загрузки. Дополнительные сведения о безопасной загрузке и UEFI см. в статье Защита среды, выполняемой до ОС, с помощью UEFI.
Как и большинство мобильных устройств, сертифицированные на базе ARM для Виндовсртных устройств, например, устройство Microsoft Surface RT, предназначены для работы только в Windows 8.1. Следовательно, невозможно отключить безопасную загрузку и загрузить другую операционную систему. К счастью, существует большое количество устройств ARM, предназначенных для запуска других операционных систем.
Надежная загрузка
Надежная загрузка начинает работать, когда заканчивается безопасная загрузка. Загрузчик проверяет цифровую подпись ядра Windows10 перед ее загрузкой.
Ядро Windows10, в свою очередь, проверяет все остальные компоненты процесса запуска Windows, в том числе загрузочные драйверы, загрузочные файлы и ЕЛАМ. Если файл был изменен, загрузчик обнаруживает проблему и не загружает поврежденный компонент.
Как правило, Windows10 может автоматически восстановить поврежденный компонент, восстановить целостность Windows и разрешить запуск компьютера в обычном режиме.
Ранний запуск антивредоносной программы
Так как безопасная загрузка защитила загрузчик, а надежная загрузка защитила ядро Windows, следующей возможностью для запуска вредоносной программы является инфицирование драйвера загрузки стороннего производителя. Традиционные антивредоносные приложения не запускаются до тех пор, пока не будут загружены драйверы загрузки, что позволяет сработать руткиту, замаскированному под драйвер.
Ранний запуск антивредоносной программы (ELAM) может загрузить драйвер антивредоносного ПО Майкрософт или сторонних разработчиков перед загрузкой всех драйверов и приложений загрузки, отличных от Майкрософт, сохраняя таким образом цепочку доверия, установленную безопасной загрузкой и надежной загрузкой. Поскольку операционная система еще не запущена и ОС Windows необходимо загрузиться максимально быстро, у ELAM простая задача: изучить каждый драйвер загрузки и определить, входит ли он в список надежных драйверов. Если он не считается доверенным, Windows его не загружает.
Драйвер ELAM не является полнофункциональным решением для защиты от вредоносных программ; оно загружается позже в процессе загрузки. Защитник Windows (включенный в Windows10) поддерживает ЕЛАМ, как это делает Microsoft System Center2012 Endpoint Protection и несколькими антивредоносными приложениями, отличными от Microsoft.
Измеряемая загрузка
Если компьютер в вашей организации заражается программой rootkit, вам необходимо об этом знать. Корпоративные приложения для защиты от вредоносных программ могут сообщать о заражений вредоносным ПО ИТ-отделу, но это не работает с программами rootkit, скрывающими свое присутствие. Другими словами, нельзя доверять клиенту задачу определения того, находится ли он в работоспособном состоянии.
В результате компьютеры, зараженные программами rootkit, кажутся здоровыми даже с запущенным антивредоносным ПО. Зараженные компьютеры по-прежнему подключаются к корпоративной сети, предоставляя программам rootkit доступ к большим объемам конфиденциальных данных и потенциально позволяя программам rootkit распространяться по внутренней сети.
Работа с доверенными платформенными модулями и программным обеспечением от Майкрософт, измеряемая загрузка в Windows10 позволяет доверенному серверу в сети проверить целостность процесса запуска Windows. Измеряемая загрузка использует следующий процесс.
- Встроенное ПО UEFI компьютера хранит в доверенном платформенном модуле хэш встроенного ПО, загрузчик, загрузочные драйверы и все, что должно быть загружено до приложения для защиты от вредоносных программ.
- В конце процесса запуска Windows запускается клиент удаленной аттестации сторонних разработчиков. Сервер удаленной аттестации отправляет клиенту уникальный ключ.
- Доверенный платформенный модуль использует уникальный ключ для цифровой подписи журнала, записанного UEFI.
- Клиент отправляет журнал на сервер, иногда вместе с другими сведениями о безопасности.
В зависимости от реализации и конфигурации сервер управления может определить состояние клиента и предоставить ему ограниченный карантинный или полноценный доступ к сети.
Figure2 иллюстрирует измеряемый процесс загрузки и удаленной аттестации.
Рисунок 2. Измеряемая загрузка демонстрирует работоспособность компьютера удаленному серверу
Windows10 включает интерфейс прикладного программирования для поддержки измеряемой загрузки, но вам понадобятся средства сторонних разработчиков для реализации удаленного клиента аттестации и доверенного сервера аттестации для использования его возможностей. В качестве примера такого инструмента можно скачать TPM Platform Crypto-Provider Toolkit от Microsoft Research или Measured Boot Tool от MVP Microsoft Enterprise Security Дэна Гриффина.
Измеряемая Загрузка использует мощь UEFI, TPM и Windows10, чтобы предоставить вам возможность уверенно оценивать надежность клиентского компьютера в сети.
Резюме
Безопасная загрузка, надежная загрузка и измеряемая загрузка создают архитектуру, которая существенно защищена от программ bootkit и rootkit. В Windows10 эти функции могут привести к устранению вредоносных программ на уровне ядра в сети.
Это максимально инновационное решение для защиты от вредоносных программ, когда-либо имевшееся в Windows, опережающее все остальные решения благодаря ряду ключевых усовершенствований.
С помощью Windows10 вы можете действительно доверять целостности операционной системы.
Дополнительные ресурсы
- Windows 10 Корпоративная с долгосрочным обслуживанием
Источник: https://docs.microsoft.com/ru-ru/windows/security/information-protection/secure-the-windows-10-boot-process
Как отключить Secure Boot в Windows 10
Если же Вы решили установить другую операционную систему, но система не видит загрузочную флешку, но Вы приоритеты загрузки установили правильно, возможно Вам понадобиться отключить Secute Boot.
В этой статье мы рассмотрим как отключить Secure Boot в Windows 10 и почему Биос не видит загрузочную флешку, поскольку этих два вопроса могут быть связаны между собой. А также узнаем что делать если при загрузке Вашей операционной системы Вы видите на рабочем столе надпись безопасная загрузка настроена неправильно.
Secure Boot что это
Secure Boot это функция, которая разрешает или запрещает установку других операционных систем.
Если Вы спросите что это Secure Boot, то можно сказать что эта опция блокирует загрузку загрузочных дисков и флешек. Поэтому для того чтобы установить другую операционную систему необходимо отключить Secure Boot, если она включена.
Чтобы проверить включена ли функция Secure Boot, можно воспользоваться командой в операционной системе Windows 10.
- Нажмите Win+R и выполните команду msinfo32.
- В открывшимся окне в разделе Сведенияо системе ищем пункт Состояние безопасной загрузки и смотрим на значение.
Почему БИОС не видит загрузочную флешку
Для начала Вам нужно правильно создать загрузочную флешку, для этого рекомендуем ознакомиться с этой статьей. После того как Вы правильно создали загрузочную флешку нужно в Биосе отключить Secure Boot и установить приоритет загрузки флешки перед Вашим жестким диском.
В общем как Вы могли догадаться если Биос не видит загрузочную флешку Вам стоит отключить опцию Secure Boot. Поскольку она разрешает данную проверку подлинности загрузчика.
Настройка Secure Boot может находиться в BIOS и UEFI по пути:
- Boot
- Boot Security
- System Configuration
А также Вам нужно включить режим загрузки в режиме совместимости Legacy OS или CMS OS.
Нет разницы какая у Вас операционная система, то ли Windows 10 или Windows 8, сама настройка Secure Boot находиться в BIOS или UEFI.
Поэтому нам придется для начала зайти в BIOS. А дальше расположение настройки Secure Boot зависит от версии BIOS. Мы рассмотрим несколько возможных расположений опции Secute Boot в ноутбуках от разных производителей.
Secure Boot на ноутбуках HP
- Заходим в BIOS, при загрузке нажимаем Esc или клавишу F10.
- Переходим в закладку SystemConfiguration и в раздел BootOptions.
- В этом разделе ищем параметр SecureBoot и устанавливаем его значение Disabled.
- А параметр Legacy support устанавливаем на Enabled, которая отвечает за совместимость з другими операционными системами.
Secure Boot на ноутбуках Samsung
- Заходим в BIOS, нажав при загрузке F2.
- Переходим во вкладку Boot и там уже ищем функцию Secure Boot.
- Чтобы отключить её меняем значение Enabled на Disabled.
- Дальше возможно после перезагрузки появится параметр OS Mode Selection значение которого нам нужно выставить CMS OS или UEFI and Legacy OS.
Secure Boot на ноутбуках Lenovo и Toshiba
- Откройте BIOS нажав F2 при загрузке.
- Переходим во вкладку Security и напротив Secure Boot устанавливаем значение Disabled.
- Дальше Advanced => System Configuration и выбираем параметр Boot Mode или OS Mode Selection значение которого надо установить CSM Boot или UEFI and Legacy OS.
Secure Boot на ноутбуках Dell
- Находим пункт Boot потом UEFI Boot.
- Дальше выставляем Secure Boot на значение Disabled.
Secure Boot на ноутбуках Acer
- Во вкладке Main и найдя параметр F12 Boot Menu переключаем на Enabled.
- Во вкладке Security устанавливаем пароль в пункте Set Supervisor Password.
- Дальше Authentication и значение параметра Secure Boot меняем на Disabled.
- Дополнительно устанавливаем значение CSM или Legacy Mode вместо UEFI по пути Boot => Boot Mode.
Secure Boot на ноутбуках Asus
- Если же говорить о ноутбуках от Asus то выключать Secure Boot нам придется в UEFI, а точнее вкладка Boot, дальше Secure Boot и в пункте OS Type устанавливаем значение Other OS.
- В некоторых случаях разделе Security или Boot меняем значение параметра Secure Boot на Disabled.
После этих действий нужно сохранить изменения и выйти с BIOS или UEFI.
Безопасная загрузка настроена неправильно
Встретить ошибку безопасная загрузка настроена неправильно можно после обновления с предыдущей версии операционной системы например до Windows 10.
В большинстве случаев помогает включение Secure Boot. Нужно всё сделать наоборот как мы сделали выше, чтобы включить её.
Ещё есть один способ, который поможет убрать надпись с рабочего стола. Его мы рассмотрели здесь, но он только уберет надпись, а саму проблему не исправит.
Если же не помогло для пользователей Windows 8.1 Майкрософт выпустили патч, который уберет эту надпись с рабочего стола и исправит проблему.
Выводы
В этой статье мы рассмотрели как отключить Secure Boot в Windows 10 и почему БИОС не видит загрузочную флешку.
Надеюсь эта статья будет для Вас полезной и поможет Вам разобраться с настройкой Secure Boot. Пишите в комментарии как Вы решили этот вопрос.
Источник: https://windd.ru/kak-otklyuchit-secure-boot-v-windows-10/
Безопасная загрузка не настроена правильно в Windows 10 / 8.1
Функция Secure Boot в Windows 10 или Windows 8.1 / 8 гарантирует пользователю, что его компьютер загружается с использованием только прошивки, которая которым доверяют производитель, и никто другой. Таким образом, если есть некорректная конфигурация, конечным пользователям может быть предоставлен В правой нижней части рабочего стола вашего рабочего стола не будет правильно установлен «Защищенная загрузка» водяной знак.
Почему эта функция имеет значение? Ну, когда Secure Boot активируется на ПК, ПК проверяет каждую часть программного обеспечения, в том числе опциональные ПЗУ, UEFI-драйверы, UEFI-приложения и операционную систему, в отношении баз данных известных сигнатур, поддерживаемых в прошивке. Если каждая часть программного обеспечения действительна, прошивка запускает программное обеспечение и операционную систему. Неавторизованное программное обеспечение, такое как руткит-вирусы, не запускается.
Итак, если вы видите, что Secure Boot не правильно настроен водяной знак на рабочем столе, это, вероятно, указывает на то, что функция Windows Secure Boot была отключена или не была установлена на вашем ПК. Проблема не была известна до тех пор, пока ранние пользователи Windows 8 не перешли к последнему обновлению Windows 8.1, доступному бесплатно из хранилища Windows.
Читайте : что такое безопасная загрузка, надежная загрузка и измеренная загрузка.
Безопасная загрузка не настроена правильно
Несколько пользователей начали получать После правильной установки безопасности на новую Windows 8.1 сообщение об ошибке «Неверная настройка безопасности» . Несмотря на то, что в настоящий момент обходной путь не был доступен, Microsoft предлагает несколько инструкций, чтобы устранить проблему.
Во-первых, вам нужно проверить, отключена ли защита загрузки в BIOS и в в случае его повторного включения. Затем попробуйте сбросить BIOS до заводских настроек, и в случае, если это не сработает, вы можете попробовать сбросить свой компьютер обратно в заводское состояние и затем снова включить безопасную загрузку.
Прочитать : Как Закрепите процесс загрузки Windows 10.
Отключить или включить безопасную загрузку
Хотя я не рекомендую отключать Безопасную загрузку, если этот параметр присутствует в вашей системе, если вы хотите, вы можете отключить Безопасную загрузку, настройка вашего BIOS. Используя дополнительные параметры в Windows 8, нажмите «Настройки прошивки UEFI» и перезагрузите компьютер. Теперь на экране настроек BIOS в настройках UEFI для материнских плат вы увидите, что опция включает или отключает безопасную загрузку , где-то в разделе «Безопасность».
Просмотр и проверка средства просмотра событий
Кому выясните возможные причины, вы можете проверить журналы Windows. Средство просмотра событий Windows показывает журнал приложений и системных сообщений — ошибки, информационные сообщения и предупреждения.
- Перейти к Просмотр журналов событий> Журналы приложений и служб
- Затем выберите Microsoft с правой панели, а затем с Windows.
- Теперь под Microsoft выберите папку Windows и выполните поиск Verify HardwareSecurity> Admin.
Затем найдите любое из этих зарегистрированных событий:
- В настоящее время отключена безопасная загрузка. Включите безопасную загрузку через прошивку системы. (ПК находится в режиме UEFI, а Безопасная загрузка отключена.) Или
- Была обнаружена непроизводственная безопасная загрузочная политика. Удалите политику отладки / предварительной политики через прошивку системы. (ПК имеет непроизводственную политику.)
Вы также можете использовать команды PowerShell для проверки состояния.
Чтобы убедиться, что защищенная загрузка отключена, используйте команду PowerShell: Confirm-SecureBootUEF Я. Вы получите один из этих ответов:
- True: безопасная загрузка включена, а водяной знак не появится.
- False: безопасная загрузка отключена, и появится водяной знак.
- Командлет не поддерживается эта платформа: ПК может не поддерживать Secure Boot, или ПК может быть настроен в устаревшем режиме BIOS. Водяной знак не появится.
Чтобы узнать, установлена ли политика непродуктивного использования, используйте команду PowerShell: Get-SecureBootPolicy . Вы получите один из этих ответов:
- {77FA9ABD-0359-4D32-BD60-28F4E78F784B}: правильная политика безопасности загрузки находится на месте.
- Что-нибудь еще GUID: существует непродуктивная политика безопасности загрузки .
- Политика безопасности загрузки не включена на этом компьютере: ПК может не поддерживать Secure Boot, или ПК может быть настроен в устаревшем режиме BIOS. Водяной знак не появится.
Источник: TechNet.
ПРИМЕЧАНИЕ. Корпорация Майкрософт выпустила обновление, которое удаляет «. Безопасный WindowsFootBoot не настроен правильно » водяной знак в Windows 8.1 и Windows Server 2012 R2. Подойдите к KB2902864.
Источник: https://ru.joecomp.com/fix-secure-boot-isn-t-configured-correctly-in-windows-8