Secure boot

Не говори GOP, если не знаешь, чем это закончится

Легко и просто с ноутбуками: заходя в Setup, они бодро рапортуют о том, какая именно версия GOP поддерживается на данной платформе. Напомним тем, кто только недавно к нам подключился: Graphics Output Protocol
– это новинка, пришедшая на смену VGA BIOS в угоду UEFI.

Рис 1
.CSM, как технология совместимости,
открывает дополнительные опции меню UEFI BIOS

Сложнее дело обстоит с настольными системами. В слот расширения можно установить практически любую подходящую видео карту. И если у нас видеокарта, не имеющая поддержки GOP, а мы выключаем CSM-режим и выходим из Setup с записью, то после перезагрузки нас ждет фатальная ошибка – звуковой сигнал об отсутствии видео (1 длинный и три коротких гудка). Затем пауза и следующая перезагрузка, при которой BIOS включил CSM самовольно и предупреждает нас об этом таким сообщением:

The VGA Card is not supported UEFI Driver.
CSM (Compatibility Support Module) settings have been changed for better compatibility.

Что же происходит в процессе выполнения POST-процедур? Очевидно, что если VGA BIOS не поддерживает UEFI, то firmware системной платы не может взаимодействовать с ресурсами видеокарты по GOP-протоколу . Проигнорировать «неудобный
» Legacy VGA BIOS и работать с видео контроллером напрямую, firmware системной платы также не может, так как операции с графическим контроллером требуют весьма специфической поддержки и UEFI BIOS системной платы не готов заранее поддерживать все типы графических контроллеров.

How Does Secure Boot Work?

Once you power on a PC, it starts the process of executing code that configures the processor, memory, and hardware peripherals to make a preparation for the operating system to boot.

During the preparation, Secure Boot checks the signature of firmware code that exists on hardware peripherals like storage deices.

During the boot process, secure Boot will check for an embedded signature inside of the fireware module. If the signature match against a database of signature in Secure Boot, the nodule is allowed to execute.

It can be said that Secure Boot works like a security gate. Code with valid credentials can get through the security gate and execute. Surely, code with bad credentials or no credential will be refused.

Disable Secure Boot in Windows 10

Let’s see how to disable Secure Boot in Windows 10.

Note: Before disabling Secure Boot, you should make sure that your PC has Secure Boot and it has been turned on.

Step 1: Please click the following terms in order: Settings, Update & security, Recovery, Restart now, Troubleshoot, Advanced options, UEFI Firmware Settings, and Restart.

Step 2: When you access the UEFI utility screen, please move to the Boot tab on the top menu. According to the information on the screen, use the arrow key to go to the Secure Boot option.

Step 3: Use + or -to change its value to Disable.

Note: The Secure Boot option will be found on the Boot, Security, or Authentication tab.

Warning: After disabling Secure Boot and installing other software and hardware, it may be difficult to re-active Secure Boot unless you restore your PC to the factory state. Please be careful when you make some changes on your BIOS settings, and be sure to follow the manufacturer’s instructions exactly.

How Secure Boot Secures Your PC’s Boot Process

Secure Boot isn’t just designed to make running Linux more difficult. There are real security advantages to having Secure Boot enabled, and even Linux users can benefit from them.

A traditional BIOS will boot any software. When you boot your PC, it checks the hardware devices according to the boot order you’ve configured, and attempts to boot from them. Typical PCs will normally find and boot the Windows boot loader, which goes on to boot the full Windows operating system. If you use Linux, the BIOS will find and boot the GRUB boot loader, which most Linux distributions use.

However, it’s possible for malware, such as a rootkit, to replace your boot loader. The rootkit could load your normal operating system with no indication anything was wrong, staying completely invisible and undetectable on your system. The BIOS doesn’t know the difference between malware and a trusted boot loader–it just boots whatever it finds.

Secure Boot is designed to stop this. Windows 8 and 10 PCs ship with Microsoft’s certificate stored in UEFI. UEFI will check the boot loader before launching it and ensure it’s signed by Microsoft. If a rootkit or another piece of malware does replace your boot loader or tamper with it, UEFI won’t allow it to boot. This prevents malware from hijacking your boot process and concealing itself from your operating system.

Возможно, вам также будет интересно

ПАВ-фильтры являются одними из наиболее используемых в современных системах связи и устройствах беспроводной передачи данных в силу их миниатюрности, надежности и возможности реализации сложных частотных характеристик

Как известно, без автоматики и релейной защиты невозможна современная энергетика. Однако есть организации, в которых энергетика не является приоритетной сферой деятельности. Такие предприятия просто покупают вакуумный выключатель и коммутационный модуль и не могут его настроить самостоятельно. В связи с этим остро встает вопрос о правильной настройке релейной защиты, автоматики и радиоканала дл…

5G для «Индустрии 4.0»: новые функции, варианты развертывания и особенности тестирования

Технологии мобильной связи вышли далеко за пределы традиционных потребительских областей применения. Использование сетей 5G в промышленности интенсивно набирает обороты по всему миру. Часть спектра частот 5G уже зарезервирована для частных сетей в четырех странах — Франции, Германии, Японии и Великобритании. Еще 12 стран готовятся принять аналогичные решения (оригинал статьи был опубликован в …

Как отключить Secure Boot в Windows 10

Нет разницы какая у Вас операционная система, то ли Windows 10 или Windows 8, сама настройка Secure Boot находиться в BIOS или UEFI.

Поэтому нам придется для начала зайти в BIOS. А дальше расположение настройки Secure Boot зависит от версии BIOS. Мы рассмотрим несколько возможных расположений опции Secute Boot в ноутбуках от разных производителей.

Secure Boot на ноутбуках HP

1. Заходим в BIOS, при загрузке нажимаем Esc или клавишу F10.
2. Переходим в закладку SystemConfiguration и в раздел BootOptions.
3. В этом разделе ищем параметр SecureBoot и устанавливаем его значение Disabled.
4. А параметр Legacy support устанавливаем на Enabled, которая отвечает за совместимость з другими операционными системами.

Secure Boot на ноутбуках Samsung

1. Заходим в BIOS, нажав при загрузке F2.
2. Переходим во вкладку Boot и там уже ищем функцию Secure Boot.
3. Чтобы отключить её меняем значение Enabled на Disabled.
4. Дальше возможно после перезагрузки появится параметр OS Mode Selection значение которого нам нужно выставить CMS OS или UEFI and Legacy OS.

Secure Boot на ноутбуках Lenovo и Toshiba

1. Откройте BIOS нажав F2 при загрузке.
2. Переходим во вкладку Security и напротив Secure Boot устанавливаем значение Disabled.
3. Дальше Advanced => System Configuration и выбираем параметр Boot Mode или OS Mode Selection значение которого надо установить CSM Boot или UEFI and Legacy OS.

Secure Boot на ноутбуках Acer

1. Во вкладке Main и найдя параметр F12 Boot Menu переключаем на Enabled.
2. Во вкладке Security устанавливаем пароль в пункте Set Supervisor Password.
3. Дальше Authentication и значение параметра Secure Boot меняем на Disabled.
4. Дополнительно  устанавливаем значение CSM или Legacy Mode вместо UEFI по пути Boot => Boot Mode.

Secure Boot на ноутбуках Asus

1. Если же говорить о ноутбуках от Asus то выключать Secure Boot нам придется в UEFI, а точнее вкладка Boot, дальше Secure Boot и в пункте OS Type устанавливаем значение Other OS.
2. В некоторых случаях разделе Security или Boot меняем значение параметра Secure Boot на Disabled.

После этих действий нужно сохранить изменения и выйти с BIOS или UEFI.

What Microsoft Requires of PC Manufacturers

Microsoft doesn’t just require PC vendors enable Secure Boot if they want that nice “Windows 10” certification sticker on their PCs. Microsoft requires PC manufacturers implement it in a specific way.

For Windows 8 PCs, manufacturers had to give you a way to turn Secure Boot off. Microsoft required PC manufacturers to put a Secure Boot kill switch in users’ hands.

For Windows 10 PCs, this is no longer mandatory. PC manufacturers can choose to enable Secure Boot and not give users a way to turn it off. However, we’re not actually aware of any PC manufacturers that do this.

Similarly, while PC manufacturers have to include Microsoft’s main “Microsoft Windows Production PCA” key so Windows can boot, they don’t have to include the “Microsoft Corporation UEFI CA” key. This second key is only recommended. It’s the second, optional key that Microsoft uses to sign Linux boot loaders. Ubuntu’s documentation explains this.

In other words, not all PCs will necessarily boot signed Linux distributions with Secure Boot turned on. Again, in practice, we haven’t seen any PCs that did this. Perhaps no PC manufacturer wants to make the only line of laptops you can’t install Linux on.

For now, at least, mainstream Windows PCs should allow you to disable Secure Boot if you like, and they should boot Linux distributions that have been signed by Microsoft even if you don’t disable Secure Boot.

Частые проблемы и пути решения

Нередко можно столкнуть с затруднениями в отключении и активировании функций защищенной загрузки.

Проблема № 1. Отсутствует «Security Boot» в БИОСе

Решение: «Защищенная загрузка» в основном предназначена для UEFI, а не БИОС. Если включены «Legacy» или «CSM», то настройка защищенной запуска иногда не работает. Поэтому можно воспользоваться вариантами:

1. Включить режим UEFI, что приведет к тому, что «Legacy» и «CSM» не будут загружаться.
2. Установить пароль для БИОС в настройке типа ОС, выбрать восьмую версию Windows.

Проблема № 2. Не получается поставить Windows на купленный ноутбук без предустановленной ОС.

Решение заключается в выполнении ряда условий:

1. Записать UEFI установочную флешку и с нужной версией Windows;
2. Вставить флешку в USB-порт;
3. Вызвать «Boot Menu», используя на клавиатуре «F2» или «F12» (может быть другая кнопка, лучше прочитать инструкцию по эксплуатации к устройству);
4. Выбрать загрузку с флешки.  

Проблема № 3. Не запускается устройство с загрузочных флешек в «Secure Boot» при установлении Windows.

Решение изменяется, зависимо от того, где возникла проблема:

1. Чтобы знать, как включить «Secure Boot», следует установить Windows в UEFI (GPT —Таблицу разделов GUID).
2. Если флешка создана из официального ISO образа в программе «WinSetupFromUSB», нужно её отформатировать в «FAT32».
3. Извлечь содержимое образа в корневую часть флешки.

Задаваясь вопросами, как отключить «Secure Boot» на ноутбуке, следует задуматься, что выключение этого режима обычно не требуется, если пользоваться лицензионными продуктами. Отключение его может принести больше вреда, чем пользы. Например, лишит устройство защиты от вредоносных программ, таких как BOOTKIT, ROOTKIT и других вирусов. В случаях, когда действительно необходимо выключить защищённую загрузку, рекомендуется учитывать, что от вида устройства способы будут меняться.

Примеры отключения Secure Boot на разных ноутбуках и материнских платах

Ниже — несколько примеров отключения в разных интерфейсах UEFI. Указанные варианты используются и на большинстве другим материнских плат с поддержкой данной функции. Если вашего варианта нет в списке, то просмотрите имеющиеся и, вероятнее всего, в вашем БИОСе найдется аналогичный пункт для отключения Secure Boot.

Материнские платы и ноутбуки Asus

Для того, чтобы отключить Secure Boot на оборудовании Asus (современных его вариантах), в настройках UEFI зайдите на вкладку Boot (Загрузка) — Secure Boot (Безопасная загрузка) и в пункте OS Type (Тип операционной системы) установите «Other OS» (Другая ОС), после чего сохраните настройки (клавиша F10).

На некоторых вариантах материнских плат Asus для этой же цели следует зайти на вкладку Security или Boot и установить параметр Secure Boot в значение Disabled.

Отключение Secure Boot на ноутбуках HP Pavilion и других моделях HP

Для отключения безопасной загрузки на ноутбуках HP проделайте следующее: сразу при включении ноутбука, нажимайте клавишу «Esc», должно появиться меню с возможностью входа в настройки БИОС по клавише F10.

В БИОС перейдите на вкладку System Configuration и выберите пункт Boot Options. В этом пункте найдите пункт «Secure Boot» и установите его в состояние «Disabled». Сохраните сделанные настройки.

Ноутбуки Lenovo и Toshiba

Для отключения функции Secure Boot в UEFI на ноутбуках Lenovo, и Toshiba, зайдите в ПО UEFI (как правило, для этого при включении нужно нажать клавишу F2 или Fn+F2).

После этого зайдите на вкладку настроек «Security» и в поле «Secure Boot» установите «Disabled». После этого сохраните настройки (Fn + F10 или просто F10).

На ноутбуках Dell

На ноутбуках Dell c InsydeH2O настройка Secure Boot находится в разделе «Boot» — «UEFI Boot» (см. Скриншот).

Для отключения безопасной загрузки, установите значение в «Disabled» и сохраните настройки, нажав клавишу F10.

Отключение Secure Boot на Acer

Пункт Secure Boot на ноутбуках Acer находится на вкладке Boot настроек БИОС (UEFI), однако по умолчанию вы не можете его отключить (поставить из значения Enabled в Disabled). На настольных компьютерах Acer эта же функция отключается в разделе Authentication. (Также возможен вариант нахождения в Advanced — System Configuration).

Для того, чтобы изменение этой опции стало доступным (только для ноутбуков Acer), на вкладке Security вам необходимо установить пароль с помощью Set Supervisor Password и только после этого станет доступным отключение безопасной загрузки. Дополнительно может потребоваться включение режима загрузки CSM или Legacy Mode вместо UEFI.

Gigabyte

На некоторых материнских платах Gigabyte отключение Secure Boot доступно на вкладке BIOS Features (настройки БИОС).

Для запуска компьютера с загрузочной флешки (не UEFI) также потребуется включить загрузку CSM и прежнюю версию загрузки (см. скриншот).

Еще варианты отключения

На большинстве ноутбуков и компьютеров вы увидите те же варианты нахождения нужной опции, что и в уже перечисленных пунктах. В некоторых случаях некоторые детали могут отличаться, например, на некоторых ноутбуках отключение Secure Boot может выглядеть как выбор операционной системы в БИОС — Windows 8 (или 10) и Windows 7. В таком случае выбираем Windows 7, это равнозначно отключению безопасной загрузки.

Аутентификация Secure Boot

При необходимости обеспечить полную безопасность имеется возможность осуществлять проверку подлинности отдельных частей файловой системы и другого кода. Запущенный на i.MX6 процесс Secure Boot работает по принципу определенных фрагментов памяти с определенным криптографическим хэшем и соответствующей информацией о подписях. В таком случае можно загружать корневую файловую систему ОС и другие файлы ключей в заданную область памяти вместе с корректным набором защищенных команд, что при необходимости позволит аутентифицировать любые другие части системы.

В заключение мы поделимся несколькими полезными рекомендациями по использованию Secure Boot для устройств, выполненных на базе процессора i.MX6.

1. Обеспечение безопасности всего процесса

При использовании безопасной загрузки с помощью Secure Boot следует убедиться, что связанные процессы работают с ней сообща. Утечка ключей нарушает созданную систему безопасности.

2. Высокий уровень шифрования

Убедитесь, что используемые алгоритмы шифрования соответствуют современным требованиям и пригодны для решения поставленной задачи. Поскольку Secure Boot для устройств на процессоре i.MX6 поддерживает несколько старых и взломанных комбинаций, есть некоторая вероятность создания не вполне надежных ключей.

3. Тщательная проверка кода

Для обеспечения полной безопасности приложения необходимо, чтобы остальная часть кода в загрузчике, ОС и другом ПО была корректно написана с учетом нужд Secure Boot и не ухудшала требований к безопасности.

На каждом этапе процесса загрузки должен проверяться каждый последующий этап перед его непосредственным выполнением. Если этого не сделать или сделать частично, безопасный вызов того или иного процесса не гарантируется.

4. Поэтапная аутентификация

Для полной гарантии безопасности следует выполнить аутентификацию как можно большего объема загружаемого кода и удостовериться, что он соответствует методам, установленным для библиотек. Secure Boot может только проверять подписи, и любой подписанный образ воспринимается процессором как защищенный.

Убедитесь, что каждая отдельная часть написанного кода вызывается в процессоре в библиотеку Secure Boot. Обращение в нее позволяет продолжить аутентификацию образов, поскольку большинство плат с i.MX6 проходит многоэтапный процесс загрузки: собственный загрузчик ЦП загружает SPL; в свою очередь, SPL загружает ПО, осуществляющее загрузку операционной системы. Чтобы каждый из указанных этапов был безопасным, необходимо его аутентифицировать на предыдущем шаге.

5. Правильная аутентификация процесса загрузки

Требуется, чтобы написанный код действительно выполнял безопасную загрузку и аутентификацию каждого следующего шага.

Что такое «Secure Boot»

Это специальный протокол для создания безопасной среды при включении Windows, или, другими словами, безопасный запуск компьютера или ноутбука на надежном программном обеспечении, заслуживший доверие производителя.

На каждом устройстве применяется «Secure Boot» для предупреждения запуска неавторизованной операционки, вирусов или вредоносного софта. С целью защитить данные и работоспособность устройства была внесена такая функция обеспечения безопасности на BIOS, а также и UEFI.

Когда устройство запускается встроенная микропрограмма и идентифицирует подписи всех компонентов (приложения EFI, драйвера и операционку). Если она определила надежность и безопасность всех подписей, то операционка начинает запускаться.

Dell

(Скриншоты с ноутбука Dell Inspiron 15 3000 Series)

В ноутбуках Dell отключение Secure Boot, наверное, одно из самых простых — достаточно одного захода в Bios и ненужно никаких паролей администраторов и пр.

После входа в BIOS — откройте раздел «Boot» и задайте следующие параметры:

• Boot List Option
  — Legacy (этим мы включаем поддержку старых ОС, т.е. совместимость);
• Security Boot
  — disabled (отключаем защищенную загрузку).

Собственно, далее можно отредактировать очередь загрузки. Большинство устанавливает новую ОС Windows с загрузочных USB флешек — поэтому ниже привожу скриншот, какую строку нужно подвинуть на самый верх, чтобы можно было загрузиться с флешки (USB Storage Device
).

После введенных настроек нажмите кнопку F10
— этим вы сохраните введенные настройки, а затем кнопку Esc
— благодаря ей вы выйдите из BIOS и перезагрузите ноутбук. Собственно, на этом отключение защищенной загрузки на ноутбуке Dell — завершено!