Андрей Смирнов
Время чтения: ~25 мин.
Просмотров: 2

Эксплуатация подписанных загрузчиков для обхода защиты uefi secure boot

Как отключить Secure Boot

Привет друзья! Протокол безопасной загрузки Secure Boot основанный на специальных сертифицированных ключах (имеющихся пока только у Windows 8) не даст загрузить ваш ноутбук с какого-либо загрузочного диска кроме установочного диска с самой «восьмёркой». Поэтому, чтобы загрузить ваш ноутбук или компьютер с установочного диска с другой операционной системой нужно отключить Secure Boot в БИОСе UEFI.

Опция протокола безопасной загрузки Secure Boot в основном находится в разделах Security, реже System Configuration или Boot, но хочу сказать, что для установки Windows 7 на новый ноутбук с БИОСом UEFI мало отключить только одну опцию Secure Boot в интерфейсе в UEFI, нужно ещё включить «режим совместимости с другими операционными системами» и называется он тоже у всех производителей по разному: «Launch CSM», или «CMS Boot», «UEFI and Legacy OS», «CMS OS», и находится в основном разделе БИОСа UEFI под названием Advanced, далее смотрите подраздел «BOOT MODE» или «OS Mode Selection».

Давайте рассмотрим настройки типичного для всех ноутбуков БИОСа InsydeH20 setup utility с элементами UEFI, к примеру данный БИОС имеют ноутбуки Acer и затем ещё рассмотрим другие подобные утилиты, которые могут иметь новейшие ноутбуки и стационарные компьютеры.
Если вам этой статьи будет мало, можете прочитать ещё две Как отключить опцию Secure Boot ноутбука ASUS и загрузить его с флешки и установка Windows 7 и Windows 8 на диск GUID (GPT) компьютера с материнской платой GIGABYTE с включенным UEFI.

Как загрузить любой ноутбук или компьютер с флешки или диска

Как отключить опцию Secure Boot на ноутбуке HP

 
Иногда всё проходит нет так гладко, например на некоторых моделях ноутбуков HP Pavillion для отключения Secure Boot нужно пройти ещё несколько дополнительных шагов.

При включении ноута HP жмём клавишу ESC и попадаем в стартовое меню, в нём выбираем F-9 Boot Device Options (изменение настроек загрузки), далее выбираем для загрузки нашу флешку или дисковод с установочным диском.

Как отключить опцию Secure Boot на ноутбуке Samsung. Aptio Setup Utility

Опять выходит предупреждение о возможности следующей загрузки ноутбука с ошибкой жмём Enter. Сохраняем изменения, произведённые нами в BIOS нажимаем «F10», соглашаемся Yes, нажимаем Enter. Ноутбук перезагружается, жмём при загрузке F10 и попадаем в загрузочное меню, в нём выбираем дисковод ноутбука или загрузочную флешку.

Как отключить Secure Boot на ноутбуке Acer Aspire

Друзья, во-первых у нас есть подробная статья, ну а здесь просто замечу, что на ноутбуках Acer Aspire опция Secure Boot по умолчанию неактивна, для того чтобы её активировать и затем отключить, нужно прежде всего назначить пароль на вход в UEFI БИОС. Что для этого нужно сделать!
Входим на вкладку «Security» и выбираем пункт «Set Supervisor Password«, нажимаем Enter и назначаем пароль. После назначения пароля опция Secure Boot станет активной и её можно будет поставить в положение Disable. 

Как отключить опцию Secure Boot на ноутбуке Packard Bell

 Жмём при загрузке клавишу F2, реже F6 и попадаем в БИОС UEFI ноутбука,

здесь идём во вкладку Boot.

Если до включения ноутбука Вы подключили к нему флешку, то она может не определиться сразу в этом меню.

Выставляем опцию Boot Mode в положениеLegacy BIOS.

А опцию Secure Boot выставляем в положение Disabled.

Далее жмём клавишу F10, этим мы сохраняем настройки внесённые нами в БИОС ноутбука Packard Bell, затем перезагружаемся, жмём при загрузке клавишу F2 и входим опять в БИОС.

Теперь флешка должна определиться. Выставляйте флешку на первую позицию, сохраняйте настройки и перезагружайтесь. Если загрузочная флешка сделана по нашим статьям, то загрузка произойдёт успешно.

Как отключить Secure Boot на стационарном компьютере

Этими действиями мы отключили Secure Boot и включили режим расширенной загрузки. Нажимаем F10, и сохраняем изменения внесённые нами в UEFI BIOS. Сохранить конфигурацию и выполнить сброс? Да.
Отключаем опцию Secure Boot в интерфейсе UEFI материнской платы Asrock.

 

Установка Windows 7 и Windows 8 на диск GUID (GPT) компьютера с материнской платой GIGABYTE с включенным UEFI

 

Материнская плата MSI. Подраздел «Boot mode select».

Примечание: На многих ноутбуках невозможно отключить опцию Secure Boot, так как она неактивна, в этом случае может помочь прошивка БИОСа ноутбука последним обновлением.

Как включить Secure Boot обратно

Чтобы обезопасить компьютер от вредоносного и несанкционированного программного обеспечения, вы можете активировать режим безопасной загрузки обратно. Дальше рассмотрим как выключить Secure Boot в BIOS. Делается так же, как при отключении, но прежде из компьютера необходимо удалить все неподписанные продукты: операционные системы, драйверы для оборудования. Иногда приходится даже настройки BIOS/UEFI сбрасывать до заводских.

После удаления не подписанной операционной системы, драйверов и извлечения оборудования, не имеющего цифровой подписи, перезагрузите компьютер и зайдите в настройки BIOS. Откройте раздел конфигурации материнской платы и щелкните Загрузка.

Посетите Windows 8 Configuration.

Из него перейдите в Secure Boot.

Значение опции Secure Boot переключите в положение Включено.

Покиньте меню настроек UEFI с сохранением изменений.

Как исправить ошибку Secure Boot Violation на ноутбуке

Ошибок, с которыми могут столкнуться пользователи ноутбуков, огромное количество. При этом неисправности будут различаться, в зависимости от производителя компьютера, модели, установленного софта и ряда других параметров. На ноутбуках компании Asus довольно часто возникает проблема, когда при загрузке компьютера пользователь видит сообщение Secure Boot Violation, в котором написано «Invalid signature detected. Check Secure Boot Policy in Setup». Если перевести данное сообщение, становится понятно, что возникли проблемы с политикой безопасности загрузки из-за недействительной подписи. Данную ошибку можно исправить без обращения в сервисный центр, и в данной статье мы рассмотрим, как это сделать.

Как отключить Secure Boot в Windows 10

Отметим, что Secure Boot не является частью операционной системы. Это протокол, входящий в состав UEFI (UEFI саму по себе можно назвать операционной системой, которая живет в небольших чипах памяти на материнской плате и отвечает за работу вашего ПК), и использующийся для проверки подлинности системы.

Прежде чем отключать Secure Boot на своем компьютере, проверьте, активирован ли этот протокол на вашем компьютере и поддерживается ли он вообще. И да, не делайте этого просто так. Отключайте эту функцию только в том случае, если вы знаете, зачем вам ее выключать, а также полностью доверяете программному обеспечению, на которое ругается активированная Secure Boot.

Предупреждение: на некоторых компьютерах отключение Secure Boot может привести к тому, что Windows перестанет запускаться. Восстановить работу Secure Boot можно таким же способом, как и отключить. Если после попытки включить обратно Secure Boot вы не добились желаемого результата, попробуйте сбросить BIOS до заводских настроек. По умолчанию Secure Boot всегда активирована, поэтому сброс может помочь, но при этом вам придется заново настраивать BIOS, включая разгон процессора, памяти или моста.

Нажмите Win + R и введите msinfo32. На основной вкладке Сведения о системе найдите пункт Состояние безопасной загрузки. Оно должно быть в состоянии Вкл. Если ваша материнская плата не поддерживает Secure Boot, там будет указано «Недоступно» или «Не поддерживается». Также проверить состояние Secure Boot можно в Центре безопасности Защитника Windows. Нажмите на иконку встроенного в Windows антивируса в правой нижней части экрана, а затем перейдите на вкладку Безопасность устройства. Secure Boot будет указан в списке механизмов защиты (если поддерживается).

Для справки: если ваш компьютер не поддерживает Secure Boot, но вы хотите воспользоваться этой технологией, придется покупать себе материнскую плату поновее.

Если Secure Boot поддерживается и включена, можно пробовать ее отключать. Для этого перезагрузите компьютер и зайдите в BIOS (правильно будет говорить «зайдите в UEFI», но “BIOS” стало универсальным понятием, подразумевающим как Legacy BIOS, так и UEFI).

У разных производителей параметры Secure Boot расположены в разных разделах. Вам надо искать страницу с настройками загрузки компьютера (Boot) или его безопасности. К примеру, на материнских платах Asus надо зайти в раздел Boot – Secure Boot – OS Type и установить Other OS вместо Windows UEFI. У других моделей параметр Secure Boot будет реализован проще и предложит только два понятных параметра – включено или выключено. На материнских платах Gigabyte ищите раздел Bios Features и пункт Secure Boot. Встречаются также компьютеры (Acer, к примеру), на которых изменение Secure Boot будет доступно только после установки пароля Администратора внутри BIOS. Эта опция доступна на вкладке Authentication. На некоторых материнских платах настройка Secure Boot подписана как OS Type. В таком случае Secure Boot будет включен при выборе Windows 8 (10) и отключен при выборе Windows 7 или Other OS.

Параметры, отвечающие за Secure Boot на компьютере HP.

Для загрузки с накопителей, созданных под Legacy BIOS и MBR-диски, придется также активировать поддержку CSM (Compatibility Support Mode).

Поскольку с каждым годом, каждым обновлением UEFI и каждой новой материнской платой разработчики что-то меняют в интерфейсах UEFI и улучшают их, сложно указать в статье все пути к параметру отключения Secure Boot на всех существующих материнских платах. Со своей стороны мы можем лишь подсказать, в какие вкладки BIOS надо заглянуть при поиске. Ищите в разделах System Configuration, Security, Authentication, BIOS Features, Boot и так далее.

Dell

(Скриншоты с ноутбука Dell Inspiron 15 3000 Series)

В ноутбуках Dell отключение Secure Boot, наверное, одно из самых простых — достаточно одного захода в Bios и ненужно никаких паролей администраторов и пр.

После входа в BIOS — откройте раздел «Boot» и задайте следующие параметры:

  • Boot List Option — Legacy (этим мы включаем поддержку старых ОС, т.е. совместимость);
  • Security Boot — disabled (отключаем защищенную загрузку).

Собственно, далее можно отредактировать очередь загрузки. Большинство устанавливает новую ОС Windows с загрузочных USB флешек — поэтому ниже привожу скриншот, какую строку нужно подвинуть на самый верх, чтобы можно было загрузиться с флешки (USB Storage Device).

После введенных настроек нажмите кнопку F10 — этим вы сохраните введенные настройки, а затем кнопку Esc — благодаря ей вы выйдите из BIOS и перезагрузите ноутбук. Собственно, на этом отключение защищенной загрузки на ноутбуке Dell — завершено!

What is UEFI Secure Boot?

UEFI Secure boot is a verification mechanism for ensuring that code launched by firmware is trusted.

Proper, secure use of UEFI Secure Boot requires that each binary loaded at boot is validated against known keys, located in firmware, that denote trusted vendors and sources for the binaries, or trusted specific binaries that can be identified via cryptographic hashing.

Most x86 hardware comes from the factory pre-loaded with Microsoft keys. This means we can generally rely on the firmware on these systems to trust binaries that are signed by Microsoft, and the Linux community heavily relies on this assumption for Secure Boot to work. This is the same process used by Red Hat and SUSE, for instance.

Many ARM and other architectures also support UEFI Secure Boot, but may not be pre-loading keys in firmware. On these architectures, it may be necessary to re-sign boot images with a certificate that is loaded in firmware by the owner of the hardware.

Initial implementation plan: Implementation Plan.

Solution 2. Disable the Digital Driver Signature Enforcement

The digital drive signature is another possible cause of the error. Disabling the driver has helped many users solve this problem. Here is how to do this.

Step 1. Right-click the Start menu and select the Settings from the context menu.

Step 2. Click on the Update & Security inside the bottom of the setting window.

Step 3. Then click on the Recovery on the left pane.

Step 4. In the new Settings window, navigate to the Advanced Startup location at the bottom right. Then click on Restart now button to access the Advanced Startup Options.

Tip: Are you still vexed about how to restore important data? MiniTool provides you a perfect data recovery solution.

When you have accessed the Advanced Startup Options successfully, click on the Troubleshoot in the Choose an option window.

Step 6. Navigate to the Advanced Options, Startup Settings in order by following the prompts of the screens.

Step 7. Inside Startup Settings, navigate to the Disable driver signature enforcement. Usually, you can press the F7 function key to disable this driver. Then press Enter to go back to the OS and check if this problem still persists.

Исправление ошибок Secure Boot

Некоторые пользователи устройств под управлением операционной системы Windows 8 и 8.1 после установки обновлений столкнулись с ошибками системы, которые связаны с так называемой «безопасной загрузкой». Что же это такое? Это функция, которая препятствует запуску неавторизованных ОС и ПО при включении ПК. Нужна она для дополнительной защиты вашего компьютера от вирусов и руткитов, которые могут нанести вред системе в тот момент, когда она загружается. Но что же делать, если указанная функция становится причиной постоянных ошибок? Всё дело в заданных параметрах. В этой статье подробно рассмотрим, как правильно настроить Secure Boot. Давайте разбираться. Поехали!

Если есть такая проблема, данная статья для вас.

Существует ряд проблем, связанных с режимом безопасной загрузки. Чаще всего это сообщение об ошибке «Безопасная загрузка Secure Boot настроена неправильно» или «Secure Boot Violation Invalid signature detected». Что же делать в таком случае? Часто бывает достаточно просто включить указанную функцию через BIOS. Но у некоторых пользователей такой пункт в BIOS отсутствует вовсе. Тогда следует попробовать отключить его. О том, как это сделать, далее в статье.

Нарушение Secure Boot

Первым делом зайдите в BIOS. Для этого необходимо нажать определённую клавишу (зависит от девелопера вашего ПК) в процессе включения компьютера.

Обратите внимание, что если вы пользуетесь Windows 8.1 или 8, можно просто перейти к меню параметров, открыть раздел «Изменение параметров компьютера», а затем выбрать пункт «Обновление и восстановление». Далее, необходимо зайти в «Восстановление» и кликнуть по кнопке «Перезагрузить»

Затем выберите дополнительные параметры «Настройки ПО UEFI». После перезагрузки ПК получит нужные параметры.

Диалоговое окно Windows 8 (8.1)

Другой способ касается юзеров всех остальных версий ОС Windows. Откройте BIOS или UEFI (более современный аналог). Далее, для каждой марки ноутбука процесс настройки может незначительно отличаться, поэтому рассмотрим каждый случай отдельно.

Зайдите во вкладку «Boot». Затем откройте раздел «Secure Boot». Выберите «Other OS» в пункте «OS Type». В более старых версиях просто поставьте «Disabled» в нужном пункте. Сохраните настройки, нажав на клавиатуре клавишу F10.

Проверяем состояние и настраиваем параметры

Откройте раздел «System Configuration», а затем нажмите «Boot Options». Найдите там соответствующую строку и выберите режим «Disabled». Сохраните параметры перед выходом.

Lenovo, Toshiba

Запустив BIOS, откройте раздел «Security». Найдите соответствующий пункт и выберите для него состояние «Disabled».

В зависимости от версии БИОСа, параметры могут немного отличаться

Для ноутбуков Dell и Acer всё выполняется аналогичным образом, с той разницей, что нужный пункт находится во вкладке «Boot» (для Dell) и «Authentication» или «System Configuration» (для Acer).

Алгоритм действий похож

Если ваш компьютер с материнской платой от компоновщика Gigabyte, то нужный раздел следует искать во вкладке «BIOS Features». Дальнейшие действия такие же, как в выше рассмотренных случаях.

В ОС Windows 8 и более новых версиях можно узнать, включена или отключена на компьютере безопасная загрузка. Для этого воспользуйтесь комбинацией клавиш Win+R, чтобы открыть окно «Выполнить», а затем пропишите в поле для ввода (без кавычек) «msinfo32». В разделе «Сведения о системе» вы найдёте необходимую информацию. Так вы можете узнать о состоянии функции безопасной загрузки на вашем ПК.

В общем, в случае возникновения каких-либо неисправностей с режимом безопасной загрузки, попробуйте включить или отключить его, перейдя в BIOS или UEFI. Это поможет вам решить проблемы с системой и комфортно пользоваться компьютером.

Как отключить Secure Boot в Windows 10

Нет разницы какая у Вас операционная система, то ли Windows 10 или Windows 8, сама настройка Secure Boot находиться в BIOS или UEFI.

Поэтому нам придется для начала зайти в BIOS. А дальше расположение настройки Secure Boot зависит от версии BIOS. Мы рассмотрим несколько возможных расположений опции Secute Boot в ноутбуках от разных производителей.

Secure Boot на ноутбуках HP

  1. Заходим в BIOS, при загрузке нажимаем Esc или клавишу F10.
  2. Переходим в закладку System Configuration и в раздел Boot Options.
  3. В этом разделе ищем параметр Secure Boot и устанавливаем его значение Disabled.
  4. А параметр Legacy support устанавливаем на Enabled, которая отвечает за совместимость з другими операционными системами.

Secure Boot на ноутбуках Samsung

  1. Заходим в BIOS, нажав при загрузке F2.
  2. Переходим во вкладку Boot и там уже ищем функцию Secure Boot.
  3. Чтобы отключить её меняем значение Enabled на Disabled.
  4. Дальше возможно после перезагрузки появится параметр OS Mode Selection значение которого нам нужно выставить CMS OS или UEFI and Legacy OS.

Secure Boot на ноутбуках Lenovo и Toshiba

  1. Откройте BIOS нажав F2 при загрузке.
  2. Переходим во вкладку Security и напротив Secure Boot устанавливаем значение Disabled.
  3. Дальше Advanced => System Configuration и выбираем параметр Boot Mode или OS Mode Selection значение которого надо установить CSM Boot или UEFI and Legacy OS.

Secure Boot на ноутбуках Acer

  1. Во вкладке Main и найдя параметр F12 Boot Menu переключаем на Enabled.
  2. Во вкладке Security устанавливаем пароль в пункте Set Supervisor Password.
  3. Дальше Authentication и значение параметра Secure Boot меняем на Disabled.
  4. Дополнительно  устанавливаем значение CSM или Legacy Mode вместо UEFI по пути Boot => Boot Mode.

Secure Boot на ноутбуках Asus

  1. Если же говорить о ноутбуках от Asus то выключать Secure Boot нам придется в UEFI, а точнее вкладка Boot, дальше Secure Boot и в пункте OS Type устанавливаем значение Other OS.
  2. В некоторых случаях разделе Security или Boot меняем значение параметра Secure Boot на Disabled.

После этих действий нужно сохранить изменения и выйти с BIOS или UEFI.

Security implications in Machine-Owner Key management

The MOK generated at installation time or on upgrade is machine-specific, and only allowed by the kernel or shim to sign kernel modules, by use of a specific KeyUsage OID (1.3.6.1.4.1.2312.16.1.2) denoting the limitations of the MOK.

Recent shim versions include logic to follow the limitations of module-signing-only keys. These keys will be allowed to be enrolled in the firmware in shim’s trust database, but will be ignored when shim or GRUB validate images to load in firmware. Shim’s verify() function will only successfully validate images signed by keys that do not include the «Module-signing only» (1.3.6.1.4.1.2312.16.1.2) KeyUsage OID. The Ubuntu kernels use the global trust database (which includes both shim’s and the firmware’s) and will accept any of the included keys as signing keys when loading kernel modules.

Given the limitations imposed on the automatically generated MOK and the fact that users with superuser access to the system and access to the system console to enter the password required when enrolling keys already have high-level access to the system; the generated MOK key is kept on the filesystem as regular files owned by root with read-only permissions. This is deemed sufficient to limit access to the MOK for signing by malicious users or scripts, especially given that no MOK exists on the system unless it requires third-party drivers. This limits the possibility of compromise from the misuse of a generated MOK key to signing a malicious kernel module. This is equivalent to compromise of the userland applications which would already be possible with superuser access to the system, and securing this is out of the scope of UEFI Secure Boot.

Previous systems may have had Secure Boot validation disabled in shim. As part of the upgrade process, these systems will be migrated to re-enabling Secure Boot validation in shim and enrolling a new MOK key when applicable.

Безопасная загрузка Secure Boot

Протокол Secure Boot или «безопасная загрузка» по русски, является частью спецификации UEFI (Unified Extensible Firmware Interface). Смысл его действия достаточно просто. В хранилище системы лежат сигнатуры выполняемых UEFI образов. При загрузке операционной системы подписи сравниваются с эталонными и, если они не совпадают, то загрузка не происходит. Грубо говоря, UEFI это промежуточный интерфейс между операционной системой и специальными низкоуровневыми микропрограммами, предназначенный для корректной инициализации оборудования при включении ПК и дальнейшей передачи управления загрузчику Windows.

Несмотря на то, что изначально протокол не является обязательным для реализации производителями, ещё в 2011 году, всвязи с выходом Windows 8, компания Microsoft включила в требования для сертификации компьютеров под управлением своих операционных систем включенный Secure Boot с использованием ключа Microsoft. Потому и не стоит удивляться почему на большинстве современных ноутбуков Acer, Asus, HP, Lenovo, MSI и т.п. не получается просто так переустановить систему.

MOK generation and signing process

The key generation and signing process is slightly different based on whether we are dealing with a brand new installation or an upgrade of system previously running Ubuntu; these two cases are clearly marked below.

In all cases, if the system is not booting in UEFI mode, no special kernel module signing steps or key generation will happen.

If Secure Boot is disabled, MOK generation and enrollment still happens, as the user may later enable Secure Boot. They system should work properly if that is the case.

The user installs Ubuntu on a new system

The user steps through the installer. Early on, when preparing to install and only if the system requires third-party modules to work, the user is prompted for a system password that is clearly marked as being required after the install is complete, and while the system is being installed, a new MOK is automatically generated without further user interaction.

Third-party drivers or kernel modules required by the system will be automatically built when the package is installed, and the build process includes a signing step. The signing step automatically uses the MOK generated earlier to sign the module, such that it can be immediately loaded once the system is rebooted and the MOK is included in the system’s trust database.

Once the installation is complete and the system is restarted, at first boot the user is presented with the MokManager program (part of the installed shim loader), as a set of text-mode panels that all the user to enroll the generated MOK. The user selects «Enroll MOK», is shown a fingerprint of the certificate to enroll, and is prompted to confirm the enrollment. Once confirmed, the new MOK will be entered in firmware and the user will be asked to reboot the system.

When the system reboots, third-party drivers signed by the MOK just enrolled will be loaded as necessary.

Примеры отключения Secure Boot на разных ноутбуках и материнских платах

Ниже — несколько примеров отключения в разных интерфейсах UEFI. Указанные варианты используются и на большинстве другим материнских плат с поддержкой данной функции. Если вашего варианта нет в списке, то просмотрите имеющиеся и, вероятнее всего, в вашем БИОСе найдется аналогичный пункт для отключения Secure Boot.

Материнские платы и ноутбуки Asus

Для того, чтобы отключить Secure Boot на оборудовании Asus (современных его вариантах), в настройках UEFI зайдите на вкладку Boot (Загрузка) — Secure Boot (Безопасная загрузка) и в пункте OS Type (Тип операционной системы) установите «Other OS» (Другая ОС), после чего сохраните настройки (клавиша F10).

На некоторых вариантах материнских плат Asus для этой же цели следует зайти на вкладку Security или Boot и установить параметр Secure Boot в значение Disabled.

Отключение Secure Boot на ноутбуках HP Pavilion и других моделях HP

Для отключения безопасной загрузки на ноутбуках HP проделайте следующее: сразу при включении ноутбука, нажимайте клавишу «Esc», должно появиться меню с возможностью входа в настройки БИОС по клавише F10.

В БИОС перейдите на вкладку System Configuration и выберите пункт Boot Options. В этом пункте найдите пункт «Secure Boot» и установите его в состояние «Disabled». Сохраните сделанные настройки.

Ноутбуки Lenovo и Toshiba

Для отключения функции Secure Boot в UEFI на ноутбуках Lenovo, и Toshiba, зайдите в ПО UEFI (как правило, для этого при включении нужно нажать клавишу F2 или Fn+F2).

После этого зайдите на вкладку настроек «Security» и в поле «Secure Boot» установите «Disabled». После этого сохраните настройки (Fn + F10 или просто F10).

На ноутбуках Dell

На ноутбуках Dell c InsydeH2O настройка Secure Boot находится в разделе «Boot» — «UEFI Boot» (см. Скриншот).

Для отключения безопасной загрузки, установите значение в «Disabled» и сохраните настройки, нажав клавишу F10.

Отключение Secure Boot на Acer

Пункт Secure Boot на ноутбуках Acer находится на вкладке Boot настроек БИОС (UEFI), однако по умолчанию вы не можете его отключить (поставить из значения Enabled в Disabled). На настольных компьютерах Acer эта же функция отключается в разделе Authentication. (Также возможен вариант нахождения в Advanced — System Configuration).

Для того, чтобы изменение этой опции стало доступным (только для ноутбуков Acer), на вкладке Security вам необходимо установить пароль с помощью Set Supervisor Password и только после этого станет доступным отключение безопасной загрузки. Дополнительно может потребоваться включение режима загрузки CSM или Legacy Mode вместо UEFI.

Gigabyte

На некоторых материнских платах Gigabyte отключение Secure Boot доступно на вкладке BIOS Features (настройки БИОС).

Для запуска компьютера с загрузочной флешки (не UEFI) также потребуется включить загрузку CSM и прежнюю версию загрузки (см. скриншот).

Еще варианты отключения

На большинстве ноутбуков и компьютеров вы увидите те же варианты нахождения нужной опции, что и в уже перечисленных пунктах. В некоторых случаях некоторые детали могут отличаться, например, на некоторых ноутбуках отключение Secure Boot может выглядеть как выбор операционной системы в БИОС — Windows 8 (или 10) и Windows 7. В таком случае выбираем Windows 7, это равнозначно отключению безопасной загрузки.

Solution 1. Disable the Secure Boot

Many users reported that they solve this problem easily by disabling the secure boot. This method needs you to enter BIOS and change its settings. Please keep reading the steps carefully to solve the secure boot violation invalid signature detected.

Step 1. Restart your PC and try to enter BIOS by pressing the BIOS keys. Usually, you can see a prompt saying “Press _ to enter Setup” or other something similar to that.

Tip: Entering Setup depends on what types your machines are. The usual BIOS keys are F1, F2, Del, and so on.

Step 2. Then select the Security tab by pressing the right arrow key when the BIOS Setup opens. Next, select the Secure Boot Configuration option by pressing up and down arrow keys, and press Enter.

Step 3. Press the F10 key to open the Secure Boot Configuration menu. Then select the Secure Boot by press the down arrow key and alter the setting to Disable by using the right arrow key.

Step 4. Press Enter to save the change. This will proceed with the Windows boot. After that, you can see if the secure boot violation is resolved.

Достоинства и недостатки

Достоинства

Защита от вредоносного ПО

При вмешательстве руткитов в критические компоненты операционной системы подписи соответствующих компонентов становятся невалидными. Такая операционная система попросту не будет загружена.

Локальные политики безопасности

При необходимости ограничить список возможных для запуска операционных систем, это можно сделать внесением соответствующих подписей в базы данных подписей.

Недостатки

Выбор оборудования

Драйвера устройств, поддержка которых необходима на стадии загрузки системы, должны иметь подпись, которая бы корректно проходила проверку на всех платформах, где такие устройства могут использоваться. Для этого всем производителям такого оборудования придётся согласовываться со всеми производителями платформ для добавления их ключей в хранилища систем. Или такие драйвера придётся подписывать ключом, который уже содержится в большинстве платформ, но тогда производителям придётся целиком полагаться на владельца такого ключа. Также можно создавать подписи по цепочке, заканчивающейся ключом содержащимся в большинстве платформ, но даже этот подход имеет недостаток — при удалении соответствующего ключа из ключевого хранилища (например, для запрета загрузки определенной операционной системы), подписи драйверов также становятся невалидными.

Выбор операционной системы

Поставщики систем не обязаны реализовывать возможность отключения Secure Boot. Процедура добавления сторонних ключей в хранилище должна быть недоступна для вредоносного программного обеспечения, следствием чего является усложнение этой процедуры для пользователей. Два этих фактора, в совокупности, значительно затрудняют использование неподписанных операционных систем, а также подписанных неизвестным для платформы ключом.

Уязвимости в реализации

Конкретные реализации прошивок устройств различных производителей могут содержать уязвимости, эксплуатирование которых может привести к обходу механизма Secure boot или его нивелированию.

Asus

Некоторые модели ноутбуков Asus (особенно новые) ставят, порой, начинающих пользователей в тупик. На самом деле, как в них можно отключить защищенную загрузку?

1. Сначала заходим в BIOS и открываем раздел «Security«. В самом низу будет пункт «Secure Boot Control» — его нужно переключить в disabled, т.е. выключить.

Далее нажимайте кнопку F10 — настройки будут сохранены, а ноутбук отправиться перезагружаться.

2. После перезагрузки снова войтдите в BIOS и затем в разделе «Boot»  сделайте следующее:

  • Fast Boot — переводим в режим Disabled (т.е. отключаем быструю загрузку. Вкладка есть не везде! Если у вас ее нет — то просто пропустите эту рекомендацию);
  • Launch CSM — переключаем в режим Enabled (т.е. включаем поддержку и совместимость со «старыми» ОС и ПО);
  • Затем снова жмем F10 — сохраняем настройки и перезагружаем ноутбук.

3. После перезагрузки входим в BIOS и открываем раздел «Boot» — в пункте «Boot Option» можно бужет выбрать загрузочный носитель, который подключен к USB порту (например). Скриншот ниже.

Затем сохраняем настройки BIOS и перезагружаем ноутбук (кнопка F10).

Probable Causes for the Secure Boot Violation on Windows 10

It is reported that the secure boot violation invalid signature detected issue often occurs at the initial boot of the Windows. The error still remains stuck on the screen of the boot when you press Enter key to proceed with the boot.

According to the reports from users we investigated, there are possible causes for the secure boot violation Windows 10.

  • The secure technology of ASUS machine may be responsible for the secure violation boot.
  • Another possible cause is that the digital driver signature enforcement may prevent your Windows to boot smoothly.

Now, you may have an overall understanding of this problem. Let’s see how to fix secure boot violation in the following part.

A Fix for Windows 10 May 2019 Update Block Issue is Underway

According to a support document from Microsoft, the company will release a fix for Windows 10 May 2019 update block issue by the end of this month.

Read More

Решение проблем с Secure Boot

При работе с безопасной загрузкой есть несколько нюансов.

  1. В BIOS необходимо включить настройки UEFI – режим Legacy Boot Mode отключен.
  2. Для UEFI накопитель должен иметь разметку GPT, MBR используется старыми версиями BIOS.

Для проверки формата таблицы размещения данных:

Откройте Диспетчер задач через Win + X

Разверните ветку Дисковые устройства и откройте Свойства жесткого диска.

Во вкладке Том щелкните по кнопке Заполнить и обратите внимание на строчку Стиль разделов

Чтобы поменять MBR на GPT, необходимо скопировать все данные на другой накопитель, отформатировать текущий в GPT и сбросить файлы обратно.

Некоторые менеджеры прошивок поддерживают сброс ключей до заводских. Опция находится преимущественно в том же разделе BIOS Setup, что и Secure Boot. Если ваша UEFI такую возможность поддерживает, восстановите ключи и перезагрузите компьютер с сохранением новой конфигурации.

Рейтинг автора
5
Материал подготовил
Максим Иванов
Наш эксперт
Написано статей
129
Ссылка на основную публикацию
Похожие публикации