Secure Boot Mode — что это в биосе?
Приветствую друзья! Смотрите, интересная ситуация — иногда производители так хотят нам облегчить жизнь, что придумывают всякие заумные настройки, которые должны нас оберегать от появления глюков, от нестабильной работы компьютера/ноутбука. Но часто эти опции только ухудшают нашу компьютерную жизнь. Пример? Пожалуйста — вы купили ноут с Windows 8, а хотите поставить десятку. Но кто бы мог подумать, что производитель посчитает что ставить другую операционку — это получается опасно..
Secure Boot Mode — что это такое?
Режим безопасной загрузки, который не даст запустить ваш ноут/ПК с загрузочного диска кроме Windows 8, Windows 10. Операционка может отличаться от модели ноута. Простыми словами — установить можно то, что советует производитель. Все остальное — на свой страх и риск, будто семерка и десятка — нереально разные операционки.
Поэтому, чтобы установить другую операционку, данную опцию следует отключить, либо выставить значение Custom вместо Standart.
Настройка находится в одном из разделе:
- Security (переводится как безопасность).
- System Configuration (системная конфигурация).
- Boot (переводится как загрузиться с чего-то, там флеша, диск).
Короче суть в том, что производитель сообщает: уважаемые, на этот ноутбук безопасно можно ставить только определенную операционку (или несколько), как будут другие работать — неизвестно, а поэтому небезопасно. Но по факту все преувеличено, там где работает десятка, скорее всего будет работать и семерка, а иногда и Windows XP.
Например если ноутбук поддерживает только десятку, то чтобы установить семерку, нужно не только отключить Secure Boot Mode, нужно еще включить режим совместимости с другими операционками, такая опция может называться:
- Launch CSM
- CMS Boot
- UEFI and Legacy OS
- CMS OS
Вышеперечисленная опция может находится в разделе Advanced > подраздел Boot Mode или OS Mode Selection.
Опция в биосе ASUS:

Как видите — опция также может быть в разделе Security Boot Parameters.
Почему ставить другие операционки — небезопасно?
Вообще попахивает бредом.
Но думаю что корни идут например.. к процессору. Новые процы поддерживают новые инструкции, поэтому например десятка реально может работать быстрее на новом проце чем семерка.
Самый грубый пример — старушка Windows XP, которая медленнее работает чем Windows 10 на новом ПК. Да, с трудом XP можно установить, например я ставил на 1150 сокет.. хотя не оч новый, но суть не в этом.
Да и о чем говорить, когда уже много новых материнок официально не поддерживают Windows 7. Хотя я не считаю что она устаревшая, однако факт есть фактом — ставьте только десятку. Кому-то такой ход не нравится, согласен, но будущее не за горами, когда популярный софт перестанет поддерживать семерку, как например.. Хром перестал поддерживать Windows XP (там работает только последняя версия, старая, которая еще поддерживала XP).
Заключение
Собственно делаем вывод:
- Secure Boot Mode — опция, отключая которую (выбрать Disabled либо Custom) можно установить на комп иную операционку, а не ту, которую хочет производитель.
- Собственно если устраивает винда, которая шла с компом/ноутом — тогда пусть опция будет включена (выбрано Enabled либо Standart).
Немного про UEFI и Secure Boot
UEFI (Unified Extensible Firmware Interface) — замена устаревшему BIOS. Эта спецификация была придумана Intel для Itanium, тогда она еще называлась EFI (Extensible Firmware Interface), а потом была портирована на x86, x64 и ARM. Она разительно отличается от BIOS как самой процедурой загрузки, так и способами взаимодействия с ОС. Если вы купили компьютер в 2010 году и позже, то, вероятнее всего, у вас UEFI.
Основные отличия UEFI от BIOS:
- Поддержка GPT (GUID Partition Table)
- Поддержка сервисов
- Модульная архитектура
- Встроенный менеджер загрузки
Как происходит загрузка в UEFI?
С GPT-раздела с идентификатором EF00 и файловой системой FAT32, по умолчанию грузится и запускается файл \efi\boot\boot[название архитектуры].efi, например \efi\boot\bootx64.efi
Т.е. чтобы, например, создать загрузочную флешку с Windows, достаточно просто разметить флешку в GPT, создать на ней FAT32-раздел и просто-напросто скопировать все файлы с ISO-образа. Boot-секторов больше нет, забудьте про них.
Загрузка в UEFI происходит гораздо быстрее, например, загрузка моего лаптопа с ArchLinux с нажатия кнопки питания до полностью работоспособного состояния составляет всего 30 секунд. Насколько я знаю, у Windows 8 тоже очень хорошие оптимизации скорости загрузки в UEFI-режиме.
Secure Boot
Я видел много вопросов в интернете, вроде:
«Я слышал, что Microsoft реализовывает Secure Boot в Windows 8. Эта технология не позволяет неавторизированному коду выполняться, например, бутлоадерам, чтобы защитить пользователя от malware. И есть кампания от Free Software Foundation против Secure Boot, и многие люди были против него. Если я куплю компьютер с Windows 8, смогу ли я установить Linux или другую ОС? Или эта технология позволяет запускать только Windows?»
Начнем с того, что эту технологию придумали не в Microsoft, а она входит в спецификацию UEFI 2.2. Включенный Secure Boot не означает, что вы не сможете запустить ОС, отличную от Windows. На самом деле, сертифицированные для запуска Windows 8 компьютеры и лаптопы обязаны иметь возможность отключения Secure Boot и возможность управления ключами, так что беспокоится тут не о чем. Неотключаемый Secure Boot есть только на планшетах на ARM с предустановленной Windows!
Что дает Secure Boot? Он защищает от выполнения неподписанного кода не только на этапе загрузки, но и на этапе выполнения ОС, например, как в Windows, так и в Linux проверяются подписи драйверов/модулей ядра, таким образом, вредоносный код в режиме ядра выполнить будет нельзя. Но это справедливо только, если нет физического доступа к компьютеру, т.к., в большинстве случаев, при физическом доступе ключи можно заменить на свои.
В Secure Boot есть 2 режима: Setup и User. Первый режим служит для настройки, из него вы можете заменить PK (Platform Key, по умолчанию стоит от OEM), KEK (Key Exchange Keys), db (база разрешенных ключей) и dbx (база отозванных ключей). KEK может и не быть, и все может быть подписано PK, но так никто не делает, вроде как. PK — это главный ключ, которым подписан KEK, в свою очередь ключами из KEK (их может быть несколько) подписываются db и dbx. Чтобы можно было запустить какой-то подписанный .efi-файл из-под User-режима, он должен быть подписан ключом, который в db, и не в dbx.
Для Linux есть 2 пре-загрузчика, которые поддерживают Secure Boot: Shim и PRELoader. Они похожи, но есть небольшие нюансы.
В Shim есть 3 типа ключей: Secure Boot keys (те, которые в UEFI), Shim keys (которые можно сгенерировать самому и указать при компиляции), и MOKи (Machine Owner Key, хранятся в NVRAM). Shim не использует механизм загрузки через UEFI, поэтому загрузчик, который не поддерживает Shim и ничего не знает про MOK, не сможет выполнить код (таким образом, загрузчик gummiboot не будет работать). PRELoader, напротив, встраивает свои механизмы аутентификации в UEFI, и никаких проблем нет.
Shim зависит от MOK, т.е. бинарники должны быть изменены (подписаны) перед тем, как их выполнять. PRELoader же «запоминает» правильные бинарники, вы ему сообщаете, доверяете вы им, или нет.
Оба пре-загрузчика есть в скомпилированном виде с валидной подписью от Microsoft, поэтому менять UEFI-ключи не обязательно.
Secure Boot призван защитить от буткитов, от атак типа Evil Maid, и, по моему мнению, делает это эффективно.
Спасибо за внимание!
- Информационная безопасность
- UEFI
Secure Boot: как отключить защиту или настроить правильно в UEFI
Компьютерные вирусы стали неотъемлемой частью нашей жизни. О них слышали даже те люди, которые сроду не пользовались компьютерами. Для улучшение защиты от зловредного ПО и был внедрен протокол Secure Boot. О том, с чем его едят и как его отключать будет подробно описано в статье.

Что такое Secure Boot (Безопасная загрузка) и когда может потребоваться ее отключение?
Secure Boot — одно из новшеств, привнесенных при внедрении UEFI. Это в свою очередь приемник БИОСа. Он, соответственно, отвечает за подготовку и загрузку ОС. BIOS можно считать очень простой утилитой с примитивным дизайном, которая прошита в материнскую плату. UEFI выполняет те же функции, но это уже весьма красивая и продвинутая программа. Например, при упорстве с помощью UEFI можно даже просматривать содержимое подключенных накопителей, что для BIOS считалось бы невероятным новшеством.
Не одними только эстетическими побуждениями руководствовались творцы UEFI. Одной из важных целей при разработке было обнаружить и ограничить влияние вредоносного ПО. Предполагалось, что технология станет препятствовать его загрузке вместе с операционной системой (ОС), а также исполнению на уровня ядра ОС после ее запуска. Честь исполнять эту важную миссию выпала на протокол Secure Boot. Техническая реализация была такой: использовалась криптографическая схема с открытыми и закрытыми сигнатурами (электронными цифровыми подписями, ЭЦП). В общем виде цели были достигнуты, но на практике это требовало определенных и правильных действий не только со стороны пользователей, но и со стороны производителей компьютерного оборудования. Описание всего процесса займет много времени, так что остановимся на ключевых особенностях:
- программные компоненты (драйвера, загрузчики ОС) имеют специальные ЭЦП, также они есть и в прошивке материнки, но характеристики этих ЭЦП отличается;
- при использовании ресурсов компьютера компоненты должны доказать при помощи ЭЦП, что они не вирусы;
- ключевой фактор безопасности — закрытый ключ, который в идеале должен быть уникальным у каждого ПК.
Сложности с технологией начались еще на этапе внедрения, когда Microsoft заявила, что с помощью протокола будет ограничивать установку других ОС на компьютеры с предустановленной Windows. Тогда от таких планов отказались под натиском общественности, но осадок остался. На сегодня основная сложность заключается в том, что производители материнских плат используют одинаковые закрытые ключи для всей своей продукции либо для отдельных линеек. В любом случае благие намерения привели к тупику.
В подавляющем большинстве случаев отключать Secure Boot стоит для решения двух проблем:
- Если не устанавливается или не загружается ОС.
- При невозможности загрузиться с загрузочной флешки.
Secure Boot сам по себе никаким образом не нагружает систему, так как работает на более низком программном уровне. Отключение протокола однозначно не улучшит отзывчивость системы и не повысит быстродействие процессора.
Как отключить защиту Secure Boot в БИОСе?
Отметим, что некоторые пользователи ошибочно думают, что протокол Secure Boot отключается в BIOS. У этой достаточно примитивной прошивки нет, не было, и не может быть поддержки СекюрБут. Этот протокол безопасности работает исключительно на UEFI и отключение нужно производить именно там. Природа этой ошибки вполне простая. За многие годы пользователи привыкли, что все, что возникает на экране до загрузки ОС это и есть БИОС. В действительности времена этой программной надстройки уходят и она уже является устарелой в любом отношении.
Примеры отключения Secure Boot на разных ноутбуках и материнских платах
Общий алгоритм всегда один и тот же:
- Вход в UEFI.
- Поиск нужной опции.
- Отключение SecureBoot.
- Запись изменений.
Важно, что этот протокол безопасности поддерживается только в Windows 8 и более поздних версиях. Следовательно, если у вас в прошивке материнской платы включен Secure Boot, но на ПК установлена Windows 7, то ничего отключать не надо. Опция безопасной загрузки все равно не работает, а возможные проблемы с запуском ОС нужно искать в других местах.
Как отключить Secure Boot и UEFI на ноутбуке Acer Aspire?

Есть много моделей ноутбуков этого производителя, но специфика такова, что сначала требуется создать собственный пароль. Общий алгоритм действия следующий:
- заходите в BIOS-UEFI нажатием на клавишу F2 или Delete;
- переходите во вкладку «Security», выбираете опцию «Set Supervisor Password»;
- в специальном окошке 2 раза вводите пароль. Не изощряйтесь, используйте простую комбинацию;
- успешность будет подтверждена сообщением «Changes have been saved»;
- переходите во вкладку «Boot» и в строке «Boot Mode» указываете значение «Legacy»;
- жмете F10 и выполняете запись модификаций установок;
- при последующей перегрузке снова войдите в UEFI;
- переходите во вкладку «Security», выбираете опцию «Set Supervisor Password», вводите ранее указанный пароль;
- переходите во вкладку «Boot» и в строке «Secure Boot» указываете значение «Disabled»;
- снова сохраняете изменения.
Отключение Secure Boot на ноутбуках Pavilion и других моделях HP?

- Для входа в биос жмите на ESC или ESC => F10 перед запуском Windows.
- Перейдите во вкладку «System Configuration», а в ней отыщите строчку «Boot Options».
- Установите для критерия «Secure Boot» опцию «Disabled», а для критерия «Legacy support» — «Enabled».
- Система спросит, действительно ли вы готовы изменить настройки — подтвердите это нажатием на «Yes».
- В конце нужно сохранить выполненные изменения нажатием на F10 и подтверждением «Yes».
При последующей перезагрузке будьте внимательны. Система перестрахуется и включит «защиту от дурака». Нужно смотреть на то, что идет после надписи «Operating System Boot Mode Change (021)» — там будет указана цифровая последовательность. Наберите ее и нажмите Enter. Если вам нужно просто отключить Secure Boot, то дальше ничего делать не нужно. Если же изначально все делалось ради возможности загрузиться с USB-носителя, то сразу после прохождения «защиты от дурака» жмите ESC, а потом F9. Установите требуемой флешке максимальный приоритет, чтобы она грузилась первой на жесткий диск.
На ноутбуках Dell

- F12 сразу после включения компьютера и перед стартом ОС.
- В верхней панели переходите во вкладку Boot и заходите в подраздел UEFI BOOT.
- Устанавливаете для критерия «Secure Boot» опцию «Disabled».
- Сохраняете изменения (F10 => «Yes») и перезагружаете ноутбук.
Secure Boot на ноутбуках Леново и Тошиба

Для входа в UEFI на этих устройствах нужно жать F12, после чего выполнять следующие действия:
- перейдите во вкладку «Security»;
- установите для критерия «Secure Boot» опцию «Disabled»;
- перейдите на вкладку «Advanced», а в ней зайдите в меню «System Configuration»;
- установите для критерия «Boot Mode (OS Mode Selection)» опцию «CSM Boot (CMS OS), (UEFI and Legacy OS)»;
- сохраните все нажатием на F10 => «Yes».
Отключения Secure Boot на материнских платах
Рынок материнских плат для настольных компьютеров достаточно консервативен и явными лидерами являются 2 компании: Asus и Gigabyte. Они поставляют более половины всего оборудования, так что рассматривать способы деактивации Secure Boot рациональней всего именно в разрезе этих производителей. В любом случае третье и четвертое место давно оккупировали MSI и ASRock, — первая четверка полностью состоит из компаний Тайваня. Итог: принципиальных различий в инструкции по отключению все равно не будет и большая часть пользователей найдет ниже именно то, что ищет.
Отметим, что перейти сразу в UEFI можно в некоторых случаях напрямую с Windows (от 8 версии и более поздних). Для этого пробуйте следующее:
- На рабочем столе справа вызовите выдвижную панель.
- После следуйте по пути: «Параметры» => «Изменение параметров…» => «Обновление и…» => «Восстановление»;
- В возникшем окне найдите опцию перезагрузки системы и установите в этой строке значение «Настройки по UEFI» или «Параметры встроенного ПО UEFI»;
- После жмите на «Перезагрузить» и в дальнейшем должен автоматически запуститься UEFI.
Как отключить Secure Boot на материнской плате Gigabyte?

После входа в UEFI (нажатием на F12 перед запуском ОС) действуйте следующим образом:
- перейдите во вкладку «BIOS Features»;
- установите для критерия «Windows 8 Features» опцию «Other OS»;
- для критерия «Boot Mode Selection» — «Legacy only» или «UEFI and Legacy» (между ними нет особой разницы);
- для критерия «Other PCI Device ROM Priority» — «Legacy OpROM».
После всего нужно выполнить запись изменений, то есть нажать F10 => «OK».
Материнские платы и ноутбуки Асус

Сразу отметим, что чаще всего на материнках именно этого производителя появляется ошибка при загрузке ОС: Invalid signature detected. Check Secure Boot Policy in Setup. В большинстве случаев для устранения проблемы следует выключить Secure Boot, а для этого необходимо:
- зайти в UEFI — жмите перед загрузкой ОС на F2, Delete или комбинацию клавиш Fn+F2;
- на начальном экране жмите на F7 (Advanced Mode), а потом перейдите в меню «Boot» => «Secure Boot Menu»;
- укажите в строчке «Secure Boot State» значение «Enabled», а в строчке «OS Type» — «Other OS»;
- вернитесь на один уровень назад в меню «Boot» => «Compatibility Support Module (CSM)»;
- установите в строчке «Launch CSM» значение «Enabled», а в строчке «Boot Device Control» — «UEFI and Legacy …» либо «Legacy OpROM …», а в строке «Boot From Storage Devices» — «Both Legacy opROM first», либо «Legacy opROM first»;
- после этого жмите на F10 и сохраняйте все изменения, а после проверяйте корректность выполненных настроек.
Конкретно для ноутбуков Asus алгоритм будет следующим:
- зайдите в UEFI;
- перейдите во вкладку «Security»;
- отыщите строчку «Secure Boot Control», укажите в ней значение «Disabled»;
- перейдите во вкладку «Boot»;
- отыщите строчку «Fast Boot», установите в ней значение «Disabled», а в строке «Launch CSM» значение «Enabled».
Как узнать активирована ли функция Secure Boot на Windows?

Этот протокол несложно активировать и деактивировать, а для понимания текущего статуса есть несколько проверенных подходов:
- При помощи сведений о системе. Запустите утилиту «Выполнить». Для этого необходимо зажать комбинацию клавиш Win+R, в появившейся строке ввести msinfo32 и нажать на Enter. Возникнет новое окно. Убедитесь, что в его левой панели выбрана строчка «Сведения о системе». В правой панели ищите строку «Состояние безопасной загрузки», у которой есть только 2 значения «Включить» и «Отключить».
- При помощи PowerShell. В утилите «Выполнить» запустите команду powershell. Откроется новое окно, в которое скопируйте следующее: Confirm-SecureBootUEFI. Если на этот запрос выдаст ответ «True», то значит опция активна, а если «False», то деактивированна. Если же появится уведомление иного характера, то значит материнка не поддерживает функцию Secure Boot.
- Эмпирическим путем. Создайте загрузочную флешку с Windows и попробуйте загрузиться с нее после перезагрузки компьютера. Если все получается успешно, то значит опция выключена, при иных обстоятельствах будет отображаться соответствующее сообщение о невозможности загрузки по соображениям безопасности.
Заключение
- Secure Boot появился в компьютерном мире относительно недавно и этот протокол безопасности является составляющей UEFI — современным и актуальным видом прошивки материнских плат.
- Протокол безопасности препятствует запуску вредоносного ПО на более низком уровне, чем это делают обычные антивирусы. Поэтому при правильной настройке эта технология может существенно повысить устойчивость ПК к вирусам.
- Secure Boot стоит отключать по необходимости, если он препятствует старту системы с загрузочной флешки или при переустановке Windows. Просто для эксперимента технологию деактивировать не стоит.
- Для любого компьютера схема деактивации одна и та же — за счет указания подходящего критерия в нужном меню UEFI. Главное — это найти правильный путь к такому меню. Даже при существенных сложностях это займет не больше 10 минут.
Загрузочное устройство не обнаружено при изменении последовательности загрузки на Устаревший режим
В этой статье рассматривается проблема «No boot device found», затрагивающая определенные модели XPS, Latitude, Precision и OptiPlex при изменении последовательности загрузки на режим Legacy в меню настройки BIOS.
Сводка: В этой статье рассматривается проблема «No boot device found», затрагивающая определенные модели XPS, Latitude, Precision и OptiPlex при изменении последовательности загрузки на режим Legacy в меню настройки BIOS. . Показать больше Показать меньше
- Содержание статьи
- Свойства статьи
- Оцените эту статью
Возможно, эта статья была переведена автоматически. Если вы хотите поделиться своим мнением о ее качестве, используйте форму обратной связи в нижней части страницы.
Содержание статьи
Симптомы
Загрузочное устройство не обнаружено
На компьютерах моделей XPS 12-9250, 12-7275, Latitude 3490, 3590, 7280, 7480, 5280, 5480, 5580, Precision 3520, OptiPlex 7760, 7460, 7060, 5260, 5060, 3060, 5060 AIO (и более поздних моделей) отображается ошибка «No boot device found», если в меню настройки BIOS для параметра «Boot Sequence» выбран режим «Legacy».

Эти конкретные модели компьютеров работают на базе процессора Kaby Lake 7-го поколения (и выше) и предназначены исключительно для загрузки с помощью среды загрузки UEFI. Поэтому у случае выбора традиционного режима загрузки компьютер не загружается.
Причина
Примечание.: Такая ситуация будет возникать с любым компьютером на базе процессора Kaby Lake 7-го поколения и выше и не ограничивается только моделями, указанными в этой статье.
Примечание.: Более поздние версии системы могут не поддерживать режим Legacy. Выполните поиск и устранение неисправностей, связанных с отсутствием загрузочного устройства, поскольку данная статья относится только к системам, поддерживающим режим Legacy.
Разрешение
Настройте в BIOS загрузку UEFI
Эту проблему можно устранить, если снова настроить на компьютере режим загрузки UEFI.
- Из выключенного состояния включите компьютер и нажмите клавишу F2, чтобы открыть меню настройки BIOS.
- Выберите «Boot sequence».
- Измените параметр с «Legacy» на «UEFI», затем выберите «Apply» в правом нижнем углу.

- Выберите пункт «Advance Boot options» и отключите пункт «Enable Legacy Operation ROMs» и затем выберите «Apply» в правом нижнем углу.

- Выберите «Secure Boot», затем «Secure Boot Enable».
- Измените значение параметра с «Disabled» на «Enabled», затем выберите «Apply» в правом нижнем углу.

- Нажмите «Exit» в правом нижнем углу экрана и дождитесь перезагрузки системы.
Дополнительная информация
Дополнительная информация
- Дополнительные сведения о проблемах, при которых жесткий диск не обнаруживается в режиме загрузки Legacy, см. в статье базы знаний Dell «Новые системы Dell не могут загрузиться с внутреннего загрузочного устройства в режиме загрузки Legacy».
- Корпорация Dell предоставляет обучающий видеоролик «Как устранить проблему загрузки (официальный ролик технической поддержки Dell)», в котором представлены инструкции по устранению неисправностей и который можно найти на канале Dell на Youtube: https://www.youtube.com/watch?v=uJcqHY7YbmA.
Рекомендованные статьи
Ниже приведены некоторые рекомендованные статьи по этой теме, которые могут вас заинтересовать.
- Новые системы Dell не могут загрузиться с внутреннего загрузочного устройства в режиме загрузки Legacy
- Как восстановить программу EFI bootloader на жестком диске GPT для операционных систем Windows на компьютере Dell
- Как получить доступ к настройкам системы UEFI (BIOS) из Microsoft Windows на компьютере Dell
- Как включить функцию загрузки с CD- или DVD-диска в режиме загрузки UEFI

Истек срок гарантии? Нет проблем. Посетите сайт Dell.com/support, введите сервисный код Dell и просмотрите наши предложения.
ПРИМЕЧАНИЕ. Предложения доступны только для пользователей персональных компьютеров в США, Канаде, Великобритании, Франции, Германии и Китае. Предложение не распространяется на серверы и системы хранения.
Свойства статьи
Затронутый продукт
Latitude 5280/5288, Latitude 7280, Latitude 3490, Latitude 5480/5488, Latitude 7480, Latitude 3590, Latitude 5580, Latitude 7275, OptiPlex 3060 Tower, OptiPlex 3060 Micro, OptiPlex 3060 Small Form Factor, OptiPlex 5060 Tower, OptiPlex 5060 Micro , OptiPlex 5060 Small Form Factor, OptiPlex 5260 All-In-One, OptiPlex 7060 Tower, OptiPlex 7060 Micro, OptiPlex 7060 Small Form Factor, OptiPlex 7460 All-In-One, OptiPlex 7760 All-In-One, Precision 3520, XPS 12 9250 . Показать больше about warranties Показать меньше about warranties
