Состояние безопасной загрузки не поддерживается

Secure Boot – что это за утилита и как её отключить

Что такое Secure Boot, и как её отключать?

Эта утилита – специфический предохранитель, который не дает пользователям устанавливать на компьютер с Windows 8, 8.1 и 10 любую другую ОС .

Работа встроенной в BIOS (UEFI) утилиты заключается в сравнении специальных ключей с подписями загрузочного кода системы.

При несовпадении Secure Boot прекращает загрузку с целью защиты компьютера от взлома и использования нелицензионного программного обеспечения.

Для загрузки любой другой операционной системы на ПК от пользователя требуется сначала отключить эту утилиту в интерфейсе UEFI.

Рис.1. Сообщение при попытке поставить новую систему на компьютер с Security Boot.

Технологию защиты системы от переустановки придумали не разработчики Microsoft, а специалисты из компании Unified EFI Forum, создавшей новый интерфейс БИОС – UEFI.

Функция предусматривает возможность отключения запрета установки другой ОС и управления ключами на любом ноутбуке и стационарном ПК.

Для компьютеров с Windows 8 и 10 утилита работает в двух режимах:

• Режим Setup, необходимый для настройки и позволяющий заменить основные ключи Platform Key и KEK, а также базы разрешённых и отозванных ключей DB и DBX;
• Режим User или режим пользователя, в котором компьютер работает по умолчанию.

Для того, чтобы убрать функцию следует воспользоваться первым режимом.

Замена ключей, которые сравниваются с подписями кода, позволит обойти ограничение на переустановку.

Определение режима загрузки

Узнать о том, что на вашем ПК или ноутбуке включена функция Secure Boot можно тремя способами:

• уже во время попытки поставить новую Windows вместо старой, когда у вас не получится это сделать, а система выдаст соответствующее сообщение;
• через меню msinfo32, которое можно вызвать с помощью окна «Выполнить» и введённой в нём одноимённой команды. Здесь следует найти пункт «Состояние безопасной загрузки» и прочитать там информацию о режиме защиты;

Рис.2. Вход в меню «Свойств системы».

• путём запуска в командной строке (открытой от имени администратора) команды Confirm-SecureBootUEFI. Если режим работает, на экране появится надпись True, если не работает – False. Другие сообщения, включая Cmdlet not supported on this platform, говорят о полном отсутствии поддержки SB компьютером.

Рис.3. Сообщение, показывающее отсутствие поддержки UEFI и Secure Boot.

После определения режима, в котором работает Secure Boot, следует проверить тип его политики с помощью той же командной строки. Для этого вводится уже другая команда – Get-SecureBootPolicy.

Она может вернуть значение {77FA9ABD-0359-4D32-BD60-28F4E78F784B}, что говорит о правильно настроенной политике безопасности.

Любые другие символы показывают, что безопасная загрузка работает в тестовом режиме.

Сообщение типа Secure Boot policy is not enabled on this machine означает, что режим не поддерживается материнской платой.

Если на вашем компьютере требуется отключить безопасный режим и обеспечить загрузку новой ОС, следует выполнить следующие действия:

• Войти в настройки интерфейса UEFI;
• Изменить настройки БИОС одним из возможных способов, в зависимости от производителя материнской платы.

На компьютерах с Виндовс 8 и выше существует 2 основных способа входа в БИОС:

• Перейти в правой панели в меню «Параметры», выбрать изменение параметров, затем «Обновление и восстановление» и просто «Восстановление»;
• После этого выбирается пункт «Перезагрузить», затем настройки ПО UEFI. Осталось подождать перезагрузки, после чего вход в интерфейс БИОС будет выполнен автоматически;
• Нажать при включении компьютера функциональную клавишу (Delete, F2 или другие).

После того как удалось войти в интерфейс, следует найти в его настройках пункт, отвечающий за отключение.

Он зависит от конкретной модели компьютера и марки материнской платы.

Например, для ноутбуков HP в БИОС следует найти вкладку System Configuration, перейти к пункту Boot Options и изменить значение показателя Secure Boot на Disabled.

После сохранения изменений и перезагрузки компьютера никаких ограничений на установку ОС остаться не должно.

Устройства Lenovo и Toshiba имеют вкладку Security, а Dell – меню UEFI Boot, где тоже следует отключить Secure Boot.

Рис.4. Отключение безопасной загрузки для модели ноутбука Lenovo.

На стационарных компьютерах Asus функцию отключают, перейдя в раздел Authentication. А для плат марки Gigabyte требуется переход в меню BIOS Features.

Иногда настройки Secure Boot могут оказаться неправильными.

В этом случае, даже установив систему, в углу рабочего стола можно увидеть сообщение об ошибке типа «Профессиональная Безопасная загрузка (SecureBoot) настроена неправильно Build 9600».

Причина появления этой информации заключается вовсе не в том, что операционная система оказалась нелицензионной или была неправильно активирована, а только о снижении безопасности компьютера и необходимости в следующих действиях:

• Определение одним из трёх известных способов, работает ли в настоящее время Secure Boot;
• Проверка типа политики безопасности;
• Если режим отключён, для устранения надписи о проблемах с безопасностью следует его включить (при установке системы можно снова выбрать отключение SB), перезагрузить компьютер, войти в БИОС и включить Secure Boot.

Рис.5. Включение SB в настройках UEFI материнской платы AsRock для решения неполадки.

Если применённый метод не помог устранить проблему, настройки UEFI следует попробовать сбросить до заводских.

Для этого в БИОС есть пункт Factory Default. При отсутствии поддержки этого режима у компьютера решить вопрос, скорее всего, не получится.

Единственный возможный вариант – установка таких обновлений от Microsoft, как KB288320, которое находится в составе пакета GA Rollup A.

Скачать его можно с официального сайта производителя, обязательно учитывая разрядность вашей системы – х86 или 64.

Появление функции было неоднозначно воспринято пользователями Windows.

С одной стороны, её использование мешает переустановке операционной системы и, таким образом, ограничивает владельца ноутбука или ПК в своих действиях.

С другой эта же опция, по словам разработчиков, позволяет предотвратить действие руткитов – вредоносных скриптов, отрицательно влияющих на работоспособность системы.

1. Конкретное назначение Secure Boot – инициализация операционной системы при её загрузке и передача управления загрузчику ОС;
2. Secure Boot представляет собой не встроенную в Windows 8 или 10 функцию, а версию протокола UEFI. Но уже сам интерфейс входит в состав загрузки Виндовс;
3. Система использует SB для безопасности загрузки платформы, и настройка утилиты выполняется производителем устройства, а не операционной системы – то есть компаниями HP, Dell, Lenovo и т. д.;
4. Microsoft не контролирует установку Secure Boot на компьютеры, независимо от того какая система на них установлена (Windows 7, 8 или 10 с разрядностью 32 или 64).

Функция безопасности начинает работать сразу же после включения питания компьютера, запрещая установку новых систем.

Таким образом, пользователь не может использовать для изменения ОС ни жёстким диском, ни сетевой картой, ни CD, DVD или USB-флешкой.

И, хотя производитель утверждает, что функция легко может быть отключена (пусть даже это и не даст загружаться установленной лицензионной системе), сертификация Win-8 может привести к другому результату.

Microsoft требует от разработчиков ПК и ноутбуков только установки Secure Boot, но не обязывает предусмотреть возможность её отключения.

Кроме того, согласно требованиям сертификации Win-8, устанавливать ключи, отличные от защиты MS, тоже не обязательно.

Получается, что возможна такая ситуация, когда производитель выпустит компьютер с Secure Boot, который будет нельзя отключить, и системой, которая уже установлена на устройстве, придётся пользоваться постоянно.

А, значит, пользователю необходимо знать о такой возможности перед покупкой ноутбука или ПК, чтобы не отключаемый SB не стал неприятным сюрпризом.

Каталог программ

Источник: http://geek-nose.com/secure-boot/

Как отключить защиту Secure Boot в Биосе с поддержкой UEFI

Здесь выбираем параметр «Boot Mode» или «OS Mode Selection», и переключаем его из положения «UEFI OS» (возможно «UEFI Boot») в положение «CSM Boot» (возможно «UEFI and Legacy OS» или «CMS OS»).

Чтобы изменения вступили в силу, нажимаем F10 и подтверждаем сохранение изменений, выбрав пункт «Yes». Перезагрузка. Теперь мы сможем загрузить на наш ноутбук любую операционную систему.

⇑

Как отключить Secure Boot и UEFI на ноутбуке HP

Иногда бывает все не столь очевидно. Например, на некоторых моделях ноутбуков HP Pavillion для отключения Secure Boot нужно произвести еще несколько дополнительных операций.

Нажимаем при загрузке ноутбука клавишу F10 (возможно ESC, затем F10) и входим в UEFI-BIOS. Заходим в раздел «System Configuration», находим подраздел «Boot Options» и заходим в него.

Находим параметр «Secure Boot» и переключаем его в положение «Disabled» (Выключено). А параметр режима совместимости с другими операционными системами «Legacy support», напротив, переключаем в положение «Enabled» (Включено).

На предупреждение отвечаем согласием «Yes».

Для того чтобы изменения вступили в силу, нажимаем F10 и подтверждаем сохранение данных изменений, выбрав «Yes». Перезагрузка компьютера. После перезагрузки выходит окно с предупреждением «A change to the operating system secure boot mode is pending…». По-английски нам предлагают ввести на клавиатуре ноутбука код 8721 (в вашем случае код, конечно, будет другим) и нажать Enter. После этого изменения в настройках UEFI-BIOS будут сохранены и ноутбук опять перезагрузится.

⇑

Как отключить Secure Boot и UEFI на ноутбуке Asus

(Утилита Aptio Setup Utility)

При загрузке ноутбука нажмите клавишу DELETE и войдите в UEFI-BIOS. Заходим в раздел «Security» и, найдя параметр «Secure Boot», переключаем его в положение «Disabled».

Затем переходим в раздел «Boot» и, найдя параметр «Fast Boot», переключаем его в положение «Disabled».

Чтобы изменения вступили в силу, нажимаем F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка ноутбука. Опять входим в UEFI-BIOS. Заходим в раздел «Boot» и, найдя параметр «Launch CSM», переключаем его в положение «Enabled» (Включено).

Опять нажимаем F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка. При включении ноутбука Asus жмем клавишу ESC и попадаем в меню загрузки. В нем выбираем установочную флешку (уже подсоединенную) или установочный DVD-диск с операционной системой.

⇑

Как отключить Secure Boot и UEFI на ноутбуке Samsung

(Утилита Aptio Setup Utility)

Нажимаем при загрузке ноутбука клавишу F2 и входим в UEFI-BIOS. Заходим в раздел «Boot» и находим параметр «Secure Boot».

Переключите его в положение «Disabled» (Выключено).

На предупреждение о том, что компьютер может загрузиться с ошибкой нажмите Enter.

В этом же разделе ниже появится параметр «OS Mode Selection».

Переключите его в положение «CMS OS» или «UEFI and Legacy OS».

Опять появится предупреждение о возможности следующей загрузки ноутбука с ошибкой. Жмем Enter. Чтобы изменения вступили в силу, нажмите клавишу F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка ноутбука. Теперь мы сможем загрузить на наш ноутбук любую операционку, если не получается, обращайтесь в КомпрайЭкспресс.

⇑

Как отключить Secure Boot и UEFI на ноутбуке Acer Aspire

(Утилита InsydeH20 Setup Utility)

Нажмите при загрузке ноутбука клавишу F2 и войдите в UEFI-BIOS. Здесь заходим в раздел «Main» и, найдя параметр «F12 Boot Menu», переключаем его в положение «Enabled». Этим действием мы разрешили появление загрузочного меню ноутбука при нажатии клавиши F12.

Далее переходим в раздел «Security» и, найдя параметр «Set Supervisor Password», нажимаем на клавишу Enter. В верхнем поле задаем пароль (в дальнейшем мы его сбросим) и нажимаем Enter. В нижнем поле вводим этот же пароль и опять жмем Enter.

На сообщение «Changes have been saved» еще раз нажмите клавишу Enter.

Дальше переходим в раздел «Boot» и, найдя параметр «Boot Mode», переключите его из положения «UEFI» в положение «Legacy».

Так как имеет смысл убрать ранее заданный нами пароль (возможность отключения/включения «Secure Boot» останется), снова по F2 входим в UEFI-BIOS, переходим в раздел «Security» и, найдя параметр «Set Supervisor Password», нажимаем на клавишу Enter.

В верхнем поле вводим ранее заданный нами пароль и нажимаем Enter. Во втором и третьем поле ничего не вводим, просто нажимая Enter.

На сообщение «Changes have been saved» еще раз нажмите Enter. Вот и все! Пароль сброшен, а возможность отключения/включения «Secure Boot» сохранилась. Чтобы изменения вступили в силу, нажимаем клавишу F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка. Теперь мы сможем загрузить на наш ноутбук любую операционную систему.

⇑

Как отключить Secure Boot и UEFI на материнской плате Asus

Нажимаем при загрузке ноутбука клавишу DELETE (возможно F2) и входим в UEFI-BIOS. Нажимаем F7 для перехода в «Advanced Mode».

Заходим в раздел «Boot», находим там подраздел «Secure Boot» и заходим в него.

Переключите параметр «Secure Boot» в положение «Other OS».

Далее вернитесь в корень раздела «Boot» и перейдите в подраздел «CSM (Compatibility Support Module)».

Переключите параметр «Launch CSM» в положение «Enabled».

В открывшихся дополнительных опциях выбираем «Boot Device Control» и переключаем в положение «Legacy OpROM only» или «UEFI and Legacy OpROM».

Переходим к параметру «Boot from Storage Devices» и переключаем его в положение «Legacy OpROM first» или «Both, Legacy OpROM first».

Этими действиями мы смогли отключить Secure Boot и включили режим расширенной загрузки. Чтобы изменения вступили в силу, нажимаем клавишу F10 и подтверждаем сохранение изменений, выбрав «Yes». Перезагрузка. Теперь мы сможем загрузить на наш компьютер любую операционную систему.

⇑

Как отключить Secure Boot и UEFI на материнской плате Asrock

Нажимаем при загрузке компьютера клавишу DELETE (возможно F2) и входим в UEFI-BIOS. Заходим в раздел «Security» и, найдя параметр «Secure Boot», переключите его в положение «Disabled».

Для того чтобы изменения вступили в силу, нажмите клавишу F10 и подтвердите сохранение изменений, выбрав «Yes». Перезагрузка. Теперь вы сможете загрузить на PC любую операционную систему.

⇑

Как отключить Secure Boot и UEFI на материнской плате Gigabyte

Нажимаем при загрузке ПК клавишу DELETE и входим в UEFI-BIOS. Заходим в раздел «BIOS Features» и, найдя параметр «Windows 8 Features», переключаем его в положение «Other OS».

Затем параметр «Boot Mode Selection» переключаем в положение «Legacy only» или «UEFI and Legacy». И, наконец, параметр «Other PCI Device ROM Priority» переключаем в положение «Legacy OpROM».

Для сохранения изменений нажмите клавишу F10 и подтвердите сохранение изменений, выбрав «Yes». Перезагрузка. Теперь мы сможем загрузить на наш компьютер любую операционную систему.

Как отключить Secure Boot и UEFI на материнской плате MSI

⇑

При загрузке PC нажмите клавишу DELETE и зайдите в UEFI-BIOS. Здесь заходим в раздел «SETTINGS», переходим в подраздел «Boot», и найдя параметр «Boot Mode Select», переключаем его в положение «Legacy+UEFI».

Чтобы изменения вступили в силу, нажимайте клавишу F10 и подтвердите сохранение изменений, выбрав «Yes». Перезагрузка. Теперь мы сможем загрузить на наш компьютер любую операционную систему.

Источник: https://comprayexpress.ru/computer-related-articles/kak-otklyuchit-secure-boot-uefi/

Защита процесса загрузки Windows 10

• 11/16/2018
• Время чтения: 8 мин

Применимо к:

Операционная система Windows имеет множество функций для защиты от вредоносных программ, и очень хорошо справляется с этой задачей. За исключением приложений, разрабатываемых организациями самостоятельно для внутреннего использования, все приложения Microsoft Store должны соответствовать ряду требований, чтобы пройти сертификацию и быть представленными в Microsoft Store.

В процессе сертификации проверяется несколько критериев, включая безопасность. Этот процесс является эффективным средством защиты Microsoft Store от вредоносных программ. Даже если вредоносное приложение получится, в операционной системе Windows10 входит ряд функций безопасности, которые могут снизить последствия.

Например, приложения Microsoft Store изолированы и не имеют разрешений, необходимых для доступа к данным пользователя или изменения параметров системы.

Фильтр SmartScreen предупреждает пользователя, прежде чем разрешить запуск ненадежного приложения, даже если оно распознается как вредоносное ПО.

Прежде чем приложение сможет изменить параметры системы, пользователю необходимо предоставить приложению права администратора с помощью контроля учетных записей.

Это лишь некоторые из возможностей, которые Windows10 защитить от вредоносных программ. Тем не менее, эти функции безопасности защищают вас только после запуска Windows10. Современных вредоносных программ — в особенности буткиты — способны запускаться до запуска Windows, полностью обходя защиту операционной системы и оставаясь полностью скрытыми.

При запуске Windows 10 на компьютерах или любых компьютеров, которые поддерживают Единый расширяемый микропрограммный интерфейс (UEFI) надежная загрузка защищает компьютер от вредоносных программ с момента включения компьютера до запуска защиты от вредоносных программ.

В случае заражения компьютера вредоносным ПО оно не сможет оставаться скрытым; надежная загрузка сможет подтвердить целостность системы вашей инфраструктуры таким образом, который вредоносное программное обеспечение не сможет скрыть.

Даже на компьютерах без UEFI Windows10 обеспечивает более высокую безопасность при загрузке по сравнению с предыдущими версиями Windows.

Давайте сначала рассмотрим программы rootkit и то, как они работают. Затем мы покажем, как Windows10 сможет защитить вас.

Угроза: программы rootkit

Программы rootkit — это сложный и опасный тип вредоносных программ, которые выполняются в режиме ядра с теми же правами, что и операционная система.

Так как программы rootkit обладают теми же правами, что и операционная система, и запускаются до нее, они могут полностью скрывать себя и другие приложения.

Зачастую программы rootkit входят в набор вредоносных программ, которые могут обходить процедуры входа, записывать пароли и нажатия клавиш, перемещать конфиденциальные файлы и получать зашифрованные данные.

Различные типы программ rootkit загружаются на различных этапах процесса запуска:

• Программы rootkit встроенного ПО. Такие программы перезаписывают встроенное ПО BIOS компьютера и другого оборудования для запуска программ rootkit перед Windows.
• Буткиты. Такие программы заменяют собой загрузчик операционной системы (небольшую программу, которая запускает операционную систему), чтобы компьютер загружал буткит перед загрузкой операционной системы.
• Программы rootkit, работающие на уровне ядра. Эти программы заменяют собой часть ядра операционной системы, чтобы программа rootkit запускалась автоматически при загрузке операционной системы.
• Драйверные программы rootkit. Эти программы выдают себя за один из надежных драйверов, используемых Windows для взаимодействия с оборудованием компьютера.

Меры противодействия

Windows10 поддерживает четыре функции, позволяющие предотвратить загрузку rootkit и буткитс во время запуска.

• Безопасная загрузка. Компьютеры со встроенным ПО UEFI и доверенным платформенным модулем можно настроить на загрузку только надежных загрузчиков операционной системы.
• Надежная загрузка. Windows проверяет целостность всех компонентов процесса запуска перед их загрузкой.
• Ранний запуск защиты от вредоносных программ (ELAM). ELAM проверяет все драйверы перед их загрузкой и блокирует загрузку неутвержденных драйверов.
• Измеряемая загрузка Встроенное ПО компьютера записывает в журнал процесс загрузки, и Windows 10 может отправлять этот журнал надежному серверу, который способен объективно оценить работоспособность компьютера.

В Figure1 показан процесс запуска Windows10.

Рисунок 1. Безопасная загрузка, надежная загрузка и измеряемая загрузка блокируют вредоносные программы на каждом этапе

Безопасная загрузка и измеряемая загрузка возможна только на компьютерах с UEFI 2.3.1 и микросхемой TPM. К счастью, на всех компьютерах с Windows 10, которые соответствуют требованиям программы совместимости оборудования Windows, эти компоненты есть, так же как и на многие компьютерах, предназначенных для более ранних версий Windows.

В следующих разделах описаны безопасная загрузка, надежная загрузка, ELAM и измеряемая загрузка.

Безопасная загрузка

При запуске компьютер сначала находит загрузчик операционной системы. Компьютеры без безопасной загрузки просто запускают любой загрузчик, который находится на жестком диске компьютера. Компьютер не может определить, загружается ли доверенная операционная система или программа rootkit.

При запуске компьютера, оснащенного UEFI, компьютер сначала проверяет наличие цифровой подписи у встроенного ПО, что снижает риск запуска программ rootkit встроенного ПО. Если включена безопасная загрузка, встроенное ПО проверяет цифровую подпись загрузчика, чтобы убедиться, что он не был изменен. Если загрузчику не изменен, встроенное ПО запускает загрузчик, только если выполняется одно из следующих условий.

• Загрузчик был подписан с использованием доверенного сертификата. В случае компьютеров, сертифицированных для Windows10, сертификат Microsoft® является надежным.
• Пользователь вручную утвердил цифровую подпись загрузчика. Это позволяет пользователю загружать сторонние операционные системы.

Все сертифицированные для Windows10 компьютеров на базе x86 должны соответствовать нескольким требованиям, связанным с безопасной загрузкой:

• Безопасная загрузка должна быть включена по умолчанию.
• Они должны доверять сертификату Майкрософт (а значит, и любому загрузчику, подписанному корпорацией Майкрософт).
• Они должны разрешать пользователю настраивать безопасную загрузку для доверия другим загрузчикам.
• ПК должны разрешать пользователю полностью отключить безопасную загрузку.

Эти требования обеспечивают защиту от программ rootkit и позволяют запустить любую операционную систему по своему выбору. Существует три варианта запуска сторонних операционных систем.

• Использование ОС с сертифицированным загрузчиком. Так как все сертифицированные для Windows10 ПК должны доверять сертификату Microsoft, корпорация Майкрософт предоставила услуги для анализа и подписывания любого загрузчика, не относящегося к корпорации Майкрософт, чтобы его можно было считать надежным для всех сертифицированных для Windows10 компьютеров. Собственно, загрузчик с открытым исходным кодом, поддерживающий загрузку Linux, уже доступен. Чтобы начать процесс получения сертификата, перейдите на http://partner.microsoft.com/dashboardвеб-странице.
• Настройка UEFI на доверие пользовательскому загрузчику. Все сертифицированные для Windows10 компьютеров позволяют доверять несертифицированному загрузчику с помощью добавления подписи в базу данных UEFI, что позволяет запускать любые операционные системы, в том числе символизирующий операционные системы.
• Отключение безопасной загрузки. Все сертифицированные для Windows10 компьютеров позволяют отключить безопасную загрузку, чтобы можно было запускать какое – либо программное обеспечение. Однако это не поможет защититься от буткитов.

Во избежание использования уязвимостей, свойственных этим вариантам, вредоносными программами, настройте встроенное ПО UEFI для доверия несертифицированному загрузчику или отключите безопасную загрузку. Программное обеспечение не может изменить параметры безопасной загрузки. Дополнительные сведения о безопасной загрузке и UEFI см. в статье Защита среды, выполняемой до ОС, с помощью UEFI.

Как и большинство мобильных устройств, сертифицированные на базе ARM для Виндовсртных устройств, например, устройство Microsoft Surface RT, предназначены для работы только в Windows 8.1. Следовательно, невозможно отключить безопасную загрузку и загрузить другую операционную систему. К счастью, существует большое количество устройств ARM, предназначенных для запуска других операционных систем.

Надежная загрузка

Надежная загрузка начинает работать, когда заканчивается безопасная загрузка. Загрузчик проверяет цифровую подпись ядра Windows10 перед ее загрузкой.

Ядро Windows10, в свою очередь, проверяет все остальные компоненты процесса запуска Windows, в том числе загрузочные драйверы, загрузочные файлы и ЕЛАМ. Если файл был изменен, загрузчик обнаруживает проблему и не загружает поврежденный компонент.

Как правило, Windows10 может автоматически восстановить поврежденный компонент, восстановить целостность Windows и разрешить запуск компьютера в обычном режиме.

Ранний запуск антивредоносной программы

Так как безопасная загрузка защитила загрузчик, а надежная загрузка защитила ядро Windows, следующей возможностью для запуска вредоносной программы является инфицирование драйвера загрузки стороннего производителя. Традиционные антивредоносные приложения не запускаются до тех пор, пока не будут загружены драйверы загрузки, что позволяет сработать руткиту, замаскированному под драйвер.

Ранний запуск антивредоносной программы (ELAM) может загрузить драйвер антивредоносного ПО Майкрософт или сторонних разработчиков перед загрузкой всех драйверов и приложений загрузки, отличных от Майкрософт, сохраняя таким образом цепочку доверия, установленную безопасной загрузкой и надежной загрузкой. Поскольку операционная система еще не запущена и ОС Windows необходимо загрузиться максимально быстро, у ELAM простая задача: изучить каждый драйвер загрузки и определить, входит ли он в список надежных драйверов. Если он не считается доверенным, Windows его не загружает.

Драйвер ELAM не является полнофункциональным решением для защиты от вредоносных программ; оно загружается позже в процессе загрузки. Защитник Windows (включенный в Windows10) поддерживает ЕЛАМ, как это делает Microsoft System Center2012 Endpoint Protection и несколькими антивредоносными приложениями, отличными от Microsoft.

Измеряемая загрузка

Если компьютер в вашей организации заражается программой rootkit, вам необходимо об этом знать. Корпоративные приложения для защиты от вредоносных программ могут сообщать о заражений вредоносным ПО ИТ-отделу, но это не работает с программами rootkit, скрывающими свое присутствие. Другими словами, нельзя доверять клиенту задачу определения того, находится ли он в работоспособном состоянии.

В результате компьютеры, зараженные программами rootkit, кажутся здоровыми даже с запущенным антивредоносным ПО. Зараженные компьютеры по-прежнему подключаются к корпоративной сети, предоставляя программам rootkit доступ к большим объемам конфиденциальных данных и потенциально позволяя программам rootkit распространяться по внутренней сети.

Работа с доверенными платформенными модулями и программным обеспечением от Майкрософт, измеряемая загрузка в Windows10 позволяет доверенному серверу в сети проверить целостность процесса запуска Windows. Измеряемая загрузка использует следующий процесс.

1. Встроенное ПО UEFI компьютера хранит в доверенном платформенном модуле хэш встроенного ПО, загрузчик, загрузочные драйверы и все, что должно быть загружено до приложения для защиты от вредоносных программ.
2. В конце процесса запуска Windows запускается клиент удаленной аттестации сторонних разработчиков. Сервер удаленной аттестации отправляет клиенту уникальный ключ.
3. Доверенный платформенный модуль использует уникальный ключ для цифровой подписи журнала, записанного UEFI.
4. Клиент отправляет журнал на сервер, иногда вместе с другими сведениями о безопасности.

В зависимости от реализации и конфигурации сервер управления может определить состояние клиента и предоставить ему ограниченный карантинный или полноценный доступ к сети.

Figure2 иллюстрирует измеряемый процесс загрузки и удаленной аттестации.

Рисунок 2. Измеряемая загрузка демонстрирует работоспособность компьютера удаленному серверу

Windows10 включает интерфейс прикладного программирования для поддержки измеряемой загрузки, но вам понадобятся средства сторонних разработчиков для реализации удаленного клиента аттестации и доверенного сервера аттестации для использования его возможностей. В качестве примера такого инструмента можно скачать TPM Platform Crypto-Provider Toolkit от Microsoft Research или Measured Boot Tool от MVP Microsoft Enterprise Security Дэна Гриффина.

Измеряемая Загрузка использует мощь UEFI, TPM и Windows10, чтобы предоставить вам возможность уверенно оценивать надежность клиентского компьютера в сети.

Резюме

Безопасная загрузка, надежная загрузка и измеряемая загрузка создают архитектуру, которая существенно защищена от программ bootkit и rootkit. В Windows10 эти функции могут привести к устранению вредоносных программ на уровне ядра в сети.

Это максимально инновационное решение для защиты от вредоносных программ, когда-либо имевшееся в Windows, опережающее все остальные решения благодаря ряду ключевых усовершенствований.

С помощью Windows10 вы можете действительно доверять целостности операционной системы.

Дополнительные ресурсы

• Windows 10 Корпоративная с долгосрочным обслуживанием

Источник: https://docs.microsoft.com/ru-ru/windows/security/information-protection/secure-the-windows-10-boot-process

Как отключить Secure Boot в Windows 10

Если же Вы решили установить другую операционную систему, но система не видит загрузочную флешку, но Вы приоритеты загрузки установили правильно, возможно Вам понадобиться отключить Secute Boot.

В этой статье мы рассмотрим как отключить Secure Boot в Windows 10 и почему Биос не видит загрузочную флешку, поскольку этих два вопроса могут быть связаны между собой. А также узнаем что делать если при загрузке Вашей операционной системы Вы видите на рабочем столе надпись безопасная загрузка настроена неправильно.

Secure Boot что это

Secure Boot это функция, которая разрешает или запрещает установку других операционных систем.

Если Вы спросите что это Secure Boot, то можно сказать что эта опция блокирует загрузку загрузочных дисков и флешек. Поэтому для того чтобы установить другую операционную систему необходимо отключить Secure Boot, если она включена.

Чтобы проверить включена ли функция Secure Boot, можно воспользоваться командой в операционной системе Windows 10.

1. Нажмите Win+R и выполните команду msinfo32.
2. В открывшимся окне в разделе Сведенияо системе ищем пункт Состояние безопасной загрузки и смотрим на значение.

Почему БИОС не видит загрузочную флешку

Для начала Вам нужно правильно создать загрузочную флешку, для этого рекомендуем ознакомиться с этой статьей. После того как Вы правильно создали загрузочную флешку нужно в Биосе отключить Secure Boot и установить приоритет загрузки флешки перед Вашим жестким диском.

В общем как Вы могли догадаться если Биос не видит загрузочную флешку Вам стоит отключить опцию Secure Boot. Поскольку она разрешает данную проверку подлинности загрузчика.

Настройка Secure Boot может находиться в BIOS и UEFI по пути:

• Boot
• Boot Security
• System Configuration

А также Вам нужно включить режим загрузки в режиме совместимости Legacy OS или CMS OS.

Нет разницы какая у Вас операционная система, то ли Windows 10 или Windows 8, сама настройка Secure Boot находиться в BIOS или UEFI.

Поэтому нам придется для начала зайти в BIOS. А дальше расположение настройки Secure Boot зависит от версии BIOS. Мы рассмотрим несколько возможных расположений опции Secute Boot в ноутбуках от разных производителей.

Secure Boot на ноутбуках HP

1. Заходим в BIOS, при загрузке нажимаем Esc или клавишу F10.
2. Переходим в закладку SystemConfiguration и в раздел BootOptions.

3. В этом разделе ищем параметр SecureBoot и устанавливаем его значение Disabled.

4. А параметр Legacy support устанавливаем на Enabled, которая отвечает за совместимость з другими операционными системами.

Secure Boot на ноутбуках Samsung

1. Заходим в BIOS, нажав при загрузке F2.
2. Переходим во вкладку Boot и там уже ищем функцию Secure Boot.
3. Чтобы отключить её меняем значение Enabled на Disabled.
4. Дальше возможно после перезагрузки появится параметр OS Mode Selection значение которого нам нужно выставить CMS OS или UEFI and Legacy OS.

Secure Boot на ноутбуках Lenovo и Toshiba

1. Откройте BIOS нажав F2 при загрузке.
2. Переходим во вкладку Security и напротив Secure Boot устанавливаем значение Disabled.
3. Дальше Advanced => System Configuration и выбираем параметр Boot Mode или OS Mode Selection значение которого надо установить CSM Boot или UEFI and Legacy OS.

Secure Boot на ноутбуках Dell

1. Находим пункт Boot потом UEFI Boot.
2. Дальше выставляем Secure Boot на значение Disabled.

Secure Boot на ноутбуках Acer

1. Во вкладке Main и найдя параметр F12 Boot Menu переключаем на Enabled.
2. Во вкладке Security устанавливаем пароль в пункте Set Supervisor Password.

3. Дальше Authentication и значение параметра Secure Boot меняем на Disabled.

4. Дополнительно  устанавливаем значение CSM или Legacy Mode вместо UEFI по пути Boot => Boot Mode.

Secure Boot на ноутбуках Asus

1. Если же говорить о ноутбуках от Asus то выключать Secure Boot нам придется в UEFI, а точнее вкладка Boot, дальше Secure Boot и в пункте OS Type устанавливаем значение Other OS.
2. В некоторых случаях разделе Security или Boot меняем значение параметра Secure Boot на Disabled.

После этих действий нужно сохранить изменения и выйти с BIOS или UEFI.

Безопасная загрузка настроена неправильно

Встретить ошибку безопасная загрузка настроена неправильно можно после обновления с предыдущей версии операционной системы например до Windows 10.

В большинстве случаев помогает включение Secure Boot. Нужно всё сделать наоборот как мы сделали выше, чтобы включить её.

Ещё есть один способ, который поможет убрать надпись с рабочего стола. Его мы рассмотрели здесь, но он только уберет надпись, а саму проблему не исправит.

Если же не помогло для пользователей Windows 8.1 Майкрософт выпустили патч, который уберет эту надпись с рабочего стола и исправит проблему.

Выводы

В этой статье мы рассмотрели как отключить Secure Boot в Windows 10 и почему БИОС не видит загрузочную флешку.

Надеюсь эта статья будет для Вас полезной и поможет Вам разобраться с настройкой Secure Boot. Пишите в комментарии как Вы решили этот вопрос.

Источник: https://windd.ru/kak-otklyuchit-secure-boot-v-windows-10/

Безопасная загрузка не настроена правильно в Windows 10 / 8.1

Функция Secure Boot в Windows 10 или Windows 8.1 / 8 гарантирует пользователю, что его компьютер загружается с использованием только прошивки, которая которым доверяют производитель, и никто другой. Таким образом, если есть некорректная конфигурация, конечным пользователям может быть предоставлен В правой нижней части рабочего стола вашего рабочего стола не будет правильно установлен «Защищенная загрузка» водяной знак.

Почему эта функция имеет значение? Ну, когда Secure Boot активируется на ПК, ПК проверяет каждую часть программного обеспечения, в том числе опциональные ПЗУ, UEFI-драйверы, UEFI-приложения и операционную систему, в отношении баз данных известных сигнатур, поддерживаемых в прошивке. Если каждая часть программного обеспечения действительна, прошивка запускает программное обеспечение и операционную систему. Неавторизованное программное обеспечение, такое как руткит-вирусы, не запускается.

Итак, если вы видите, что Secure Boot не правильно настроен водяной знак на рабочем столе, это, вероятно, указывает на то, что функция Windows Secure Boot была отключена или не была установлена на вашем ПК. Проблема не была известна до тех пор, пока ранние пользователи Windows 8 не перешли к последнему обновлению Windows 8.1, доступному бесплатно из хранилища Windows.

Читайте : что такое безопасная загрузка, надежная загрузка и измеренная загрузка.

Безопасная загрузка не настроена правильно

Несколько пользователей начали получать После правильной установки безопасности на новую Windows 8.1 сообщение об ошибке «Неверная настройка безопасности» . Несмотря на то, что в настоящий момент обходной путь не был доступен, Microsoft предлагает несколько инструкций, чтобы устранить проблему.

Во-первых, вам нужно проверить, отключена ли защита загрузки в BIOS и в в случае его повторного включения. Затем попробуйте сбросить BIOS до заводских настроек, и в случае, если это не сработает, вы можете попробовать сбросить свой компьютер обратно в заводское состояние и затем снова включить безопасную загрузку.

Прочитать : Как Закрепите процесс загрузки Windows 10.

Отключить или включить безопасную загрузку

Хотя я не рекомендую отключать Безопасную загрузку, если этот параметр присутствует в вашей системе, если вы хотите, вы можете отключить Безопасную загрузку, настройка вашего BIOS. Используя дополнительные параметры в Windows 8, нажмите «Настройки прошивки UEFI» и перезагрузите компьютер. Теперь на экране настроек BIOS в настройках UEFI для материнских плат вы увидите, что опция включает или отключает безопасную загрузку , где-то в разделе «Безопасность».

Просмотр и проверка средства просмотра событий

Кому выясните возможные причины, вы можете проверить журналы Windows. Средство просмотра событий Windows показывает журнал приложений и системных сообщений — ошибки, информационные сообщения и предупреждения.

• Перейти к Просмотр журналов событий> Журналы приложений и служб

• Затем выберите Microsoft с правой панели, а затем с Windows.

• Теперь под Microsoft выберите папку Windows и выполните поиск Verify HardwareSecurity> Admin.

Затем найдите любое из этих зарегистрированных событий:

1. В настоящее время отключена безопасная загрузка. Включите безопасную загрузку через прошивку системы. (ПК находится в режиме UEFI, а Безопасная загрузка отключена.) Или
2. Была обнаружена непроизводственная безопасная загрузочная политика. Удалите политику отладки / предварительной политики через прошивку системы. (ПК имеет непроизводственную политику.)

Вы также можете использовать команды PowerShell для проверки состояния.

Чтобы убедиться, что защищенная загрузка отключена, используйте команду PowerShell: Confirm-SecureBootUEF Я. Вы получите один из этих ответов:

1. True: безопасная загрузка включена, а водяной знак не появится.
2. False: безопасная загрузка отключена, и появится водяной знак.
3. Командлет не поддерживается эта платформа: ПК может не поддерживать Secure Boot, или ПК может быть настроен в устаревшем режиме BIOS. Водяной знак не появится.

Чтобы узнать, установлена ​​ли политика непродуктивного использования, используйте команду PowerShell: Get-SecureBootPolicy . Вы получите один из этих ответов:

1. {77FA9ABD-0359-4D32-BD60-28F4E78F784B}: правильная политика безопасности загрузки находится на месте.
2. Что-нибудь еще GUID: существует непродуктивная политика безопасности загрузки .
3. Политика безопасности загрузки не включена на этом компьютере: ПК может не поддерживать Secure Boot, или ПК может быть настроен в устаревшем режиме BIOS. Водяной знак не появится.

Источник: TechNet.

ПРИМЕЧАНИЕ. Корпорация Майкрософт выпустила обновление, которое удаляет «. Безопасный WindowsFootBoot не настроен правильно » водяной знак в Windows 8.1 и Windows Server 2012 R2. Подойдите к KB2902864.

Источник: https://ru.joecomp.com/fix-secure-boot-isn-t-configured-correctly-in-windows-8