Secure Boot – що це за утиліта і як її відключити

Що таке Secure Boot, і як її вимикати?

Ця утиліта – специфічний запобіжник, який не дає користувачам встановлювати на комп’ютер з Windows 8, 8.1 та 10 будь-яку іншу ОС .

Робота вбудованої в BIOS (UEFI) утиліти полягає в порівнянні спеціальних ключів з підписами завантажувального коду системи.

При розбіжності Secure Boot припиняє завантаження з метою захисту від злому і використання неліцензійного програмного забезпечення.

Для завантаження будь-якої іншої операційної системи на ПК від користувача потрібно спершу вимкнути цю утиліту інтерфейсу UEFI.

Принцип роботи та особливості Secure Boot

Технологію захисту системи від перевстановлення не придумали розробники Microsoft, а фахівці з компанії Unified EFI Forum, створила новий інтерфейс BIOS – UEFI.

Функція передбачає можливість заборони відключення установки іншої ОС і управління ключами на будь-якому ноутбуці і стаціонарному ПК.

Не вийде відключити Secure Boot (SB) тільки на планшет під управлінням Windows.

Для комп’ютерів з Windows 8 і 10 утиліта працює в двох режимах:

• Режим Setup, необхідний для установки і дозволяє замінити основні ключі Platform Key і KEK, а також бази дозволених та відкликаних ключів DB і DBX;
• Режим User або режим користувача, в якому комп’ютер працює за замовчуванням.

Для того, щоб прибрати функцію слід скористатися першим режимом.

Заміна ключів, які порівнюються з підписами коду, дозволить обійти обмеження на переустановку.

Визначення режиму завантаження

Дізнатися про те, що на вашому ПК або ноутбуці включена функція Secure Boot можна трьома способами:

• вже під час спроби поставити нову Windows замість старої, коли у вас не вийде це зробити, а система видасть відповідне повідомлення;
• через меню msinfo32, яке можна викликати за допомогою вікна «Виконати» і введеної в ньому однойменної команди. Тут слід знайти пункт «Стан безпечного завантаження» і прочитати там інформацію про режим захисту;

• шляхом запуску в командному рядку (відкритою від імені адміністратора) команди Confirm-SecureBootUEFI. Якщо режим працює, на екрані з’явиться напис True, якщо не працює – False. Інші повідомлення, включаючи Cmdlet not supported on this platform, кажуть про повну відсутність підтримки SB комп’ютером.

Після визначення режиму, в якому працює Secure Boot, слід перевірити його тип політики з допомогою тієї ж командного рядка. Для цього вводиться вже інша команда – Get-SecureBootPolicy.

Вона може повернути значення {77FA9ABD-0359-4D32-BD60-28F4E78F784B}, що говорить про правильно налаштованої політики безпеки.

Будь-які інші символи показують, що безпечне завантаження працює в тестовому режимі.

Повідомлення типу Secure Boot policy is not enabled on this machine означає, що режим не підтримується материнською платою.

Відключення утиліти

Якщо на вашому комп’ютері потрібно вимкнути і забезпечити завантаження нової ОС, слід виконати наступні дії:

• Увійти в налаштування інтерфейсу UEFI;
• Змінити налаштування БІОС одним з можливих способів, залежно від виробника материнської плати.

На комп’ютерах з Віндовс 8 і вище існує 2 основних способи входу в БІОС:

• Перейти в правій панелі в меню «Параметри», вибрати зміна параметрів, потім «Оновлення та відновлення» і просто «Відновлення»;
• Після цього вибирається пункт «Перезавантажити», потім налаштування UEFI. Залишилося почекати перезавантаження, після чого вхід в інтерфейс БІОС буде виконано автоматично;
• Натиснути при включенні комп’ютера функціональну клавішуDelete, F2 або інші).

Після того як вдалося увійти в інтерфейс, слід знайти в його налаштуваннях пункт, який відповідає за відключення.

Він залежить від конкретної моделі комп’ютера і марки материнської плати.

Наприклад, для ноутбуків HP в БІОС слід знайти вкладку System Configuration, перейти до пункту Boot Options і змінити значення показника Secure Boot на Disabled.

Після збереження змін і перезавантаження комп’ютера ніяких обмежень на встановлення ОС залишитися не повинно.

Для пристроїв Asus, крім відключення, потрібно вибрати можливість установки нової ОС, встановивши параметр Other OS у пункті OS Type.

На стаціонарних комп’ютерах Asus функцію відключають, перейшовши в розділ Authentication. А для плат марки Gigabyte потрібно перехід в меню BIOS Features.

Виправлення неполадок

Іноді налаштування Secure Boot можуть виявитися неправильними.

У цьому випадку, навіть встановивши систему, в кутку робочого столу можна побачити повідомлення про помилку типу «Професійна Безпечне завантаження (SecureBoot) настроєно неправильно Build 9600».

Причина появи цієї інформації полягає зовсім не в тому, що операційна система виявилася неліцензійної неправильно або була активована, а лише про зниження безпеки комп’ютера і необхідності в наступних діях:

• Визначення одним з трьох відомих способів, працює в даний час Secure Boot;
• Перевірка типу політики безпеки;
• Якщо режим відключений, для усунення написи про проблеми з безпекою слід включити (при установці системи можна знову вибрати відключення SB), перезавантажити комп’ютер, увійти в БІОС і включити Secure Boot.

Якщо застосований метод не допоміг вирішити проблему, налаштування UEFI слід спробувати скинути до заводських.

Для цього в БІОС є пункт Factory Default. При відсутності підтримки цього режиму у комп’ютера вирішити питання, швидше за все, не вийде.

Єдиний можливий варіант – установка таких оновлень від Microsoft, як KB288320, яке перебуває у складі пакету GA Rollup A.

Завантажити його можна з офіційного сайту виробника, обов’язково враховуючи розрядності вашої системи – х86 або 64.

Потрібен користувачам Secure Boot?

Поява функції було неоднозначно сприйнято користувачами Windows.

З одного боку, її використання заважає перевстановленні операційної системи і, таким чином, обмежує власника ноутбука або ПК у своїх діях.

З іншого ця опція, за словами розробників, дозволяє запобігти дію руткітів – шкідливих скриптів, що негативно впливають на працездатність системи.

Для того щоб розібратися з цим питанням, варто докладніше розглянути особливості утиліти:

Конкретне призначення Secure Boot – ініціалізація операційної системи при її завантаженні і передача управління завантажувачу ОС;

Secure Boot являє собою не вбудовану в Windows 8 або 10 функцію, а версію протоколу UEFI. Але вже сам інтерфейс входить до складу завантаження Віндовс;

Система використовує SB для безпеки завантаження платформи, і налаштування утиліти виконується виробником пристрою, а не операційної системи – тобто компаніями HP, Dell, Lenovo і т. д.;

Microsoft не контролює встановлення Secure Boot на комп’ютери, незалежно від того яка система на них встановлена Windows 7, 8 або 10 з розрядністю 32 або 64).

Функція безпеки починає працювати відразу ж після включення живлення комп’ютера, забороняючи установку нових систем.

Таким чином, користувач не може використовувати для зміни ОС ні жорстким диском, ні мережевою картою, ні CD, DVD або USB-флешкою.

І, хоча виробник стверджує, що функція може бути відключена (нехай навіть це і не дасть завантажуватися встановленої ліцензійної системі), сертифікація Win-8 може призвести до іншого результату.

Microsoft вимагає від розробників ПК і ноутбуків тільки встановлення Secure Boot, але не зобов’язує передбачити можливість її відключення.

Крім того, згідно з вимогами сертифікації Win-8, встановлювати ключі, відмінні від захисту MS, теж не обов’язково.

Виходить, що можлива така ситуація, коли виробник випустить комп’ютер з Secure Boot, який буде не можна відключити, і системою, яка вже встановлена на пристрої, доведеться користуватися постійно.

А, значить, користувачеві необхідно знати про таку можливість перед покупкою ноутбука або ПК, щоб не відключається SB не став неприємним сюрпризом.

Читайте наші матеріали про роботу з BIOS/UEFI:

Налаштування Bios — Детальна інструкція в картинках

Три способи скинути БІОС на ноутбуці