АйТи Спектр

Что означает безопасная загрузка (Secure Boot)

Опубликовано 02.03.2022
photo
Алексей Прунов
Технический директор компании «АйТи Спектр»
Время прочтения - 4 мин
Задать вопрос

Безопасная загрузка — что это и для чего нужна

Безопасная загрузка, или Secure Boot — это протокол в составе UEFI, который проверяет на запуске операционную систему и драйверы. При наличии либо отсутствии цифровой подписи у компонентов он разрешает или запрещает их дальнейшую работу. Главная задача Secure Boot состоит в том, чтобы защитить систему от проникновения вредоносного софта, который загружается вместе с ОС. Эти программы крайне опасны, т. к. проникают в компьютер до запуска антивируса, вследствие чего последний их не обнаруживает. К такому ПО относят вирусы-вымогатели, руткиты (предоставляют злоумышленникам удаленный доступ к ПК), майнеры и т. п. Еще одна задача Secure Boot — ограничение перечня систем, способных функционировать на конкретном компьютере.

Как узнать, активен ли Secure Boot

Для проверки активности безопасной загрузки на ПК применим стандартную утилиту Windows. Нажимаем win+r и набираем msinfo32, подтверждаем OK. В блоке «Сведения» смотрим:

  • «Режим BIOS» — UEFI или Legacy («Устаревший»). 
  • «Состояние безопасной загрузки» — «Вкл.», «Откл.» или «Не поддерживается».
Сведения о системе
Сведения о системе

Если безопасная загрузка активна, то будут прописаны значения UEFI и «Вкл.». Иначе мы увидим UEFI и «Откл.» и, при необходимости (например, для обновления операционной системы), пойдем включать протокол в BIOS. Есть и третья вариация — Legacy и «Не поддерживается». Эта картина наблюдается, если мы используем несовременное «железо» или UEFI функционирует в режиме совместимости, как эмулятор «БИОС». В последнем случае эмуляцию нужно деактивировать и включить безопасную загрузку в настройках.

ОС тормозит после активации Secure Boot

Если «Виндовс» 10 уже инсталлирована, и пользователь решил включить протокол безопасности, то ОС может затормозить при запуске и выдать сообщение об отсутствии загрузочного устройства. Причиной выступает использование на диске разметки MBR. Решение проблемы — конвертирование из MBR в GPT. Рассмотрим, как это сделать из рабочей операционной системы.

Нажимаем win+I, из открывшихся параметров выбираем «Обновление и …», переходим в блок «Восстановление» и в особых вариантах активируем немедленную перезагрузку. На экране появляется меню дополнительных действий. Выбираем «Поиск и устранение неисправностей», «Дополнительные параметры» и «Командная строка».

Восстановление Windows

Далее действуем так (после набора каждой команды нажимаем Enter, чтобы запустить ее):

  • Проверяем, возможно ли конвертировать диск — mbr2gpt /validate.
  • Если система разрешает операцию, то выдает уведомление Validation completed successfully, и мы запускаем конвертирование — mbr2gpt /convert.
  • В случае отказа мы видим сообщение Failed и пробуем действовать командой mbr2gpt /disk:0 /validate. На месте нуля ставим номер нашего диска. Чтобы его узнать, активируем специальную оснастку командой diskpart. Далее набираем list disk и запоминаем номер диска. Выходим обратно в консоль командой exit.
  • Если на этот раз система разрешила конвертирование, запускаем операцию mbr2gpt /disk:0 /convert.
  • В случае успеха операции мы видим уведомление Conversion completed successfully.

По окончании манипуляций открываем BIOS, отключаем эмуляцию старого «БИОС» и активируем Secure Boot.

Как включить безопасную загрузку

Secure Boot включают посредством стандартного функционала «Виндовс» либо через UEFI.

Стандартные возможности ОС

Для использования встроенных возможностей необходимо вначале убедиться, что ПК поддерживает безопасную загрузку. Если это так, то:

  • Нажимаем win+I и перезагружаем компьютер так, как указано в предыдущем разделе. Но на этот раз в доппараметрах выбираем не командную строку, а «Параметры встроенного ПО UEFI».
  • Перезагружаем ПК.
  • Нажимаем «Ввод», выбрав Secure Boot Control.
  • Указываем Enable и подтверждаем свой выбор.

Теперь выходим из настроек и подтверждаем произведенные манипуляции, чтобы компьютер перезагрузился.

Зачем и как деактивировать Secure Boot в UEFI

UEFI пришел на замену обычному BIOS не только для удобства. Одна из его основных целей состоит в обнаружении вредоносного софта и минимизации последствий его влияния. Технология запрещает вирусному ПО загружаться вместе с «Виндовс», и, как мы уже говорили в начале, роль защитника досталась Secure Boot. Со стороны разработчиков идея успешно реализована в виде криптографической модели с использованием ЭЦП, электронно-цифровых подписей. Практически же необходимы корректные действия юзеров и производителей.

К ключевым моментам действия протокола относятся:

  • наличие ЭЦП у программных компонентов (загрузчиков системы, материнских плат, драйверов);
  • предъявление данными компонентами своих ЭЦП компьютеру с целью доказать, что они не являются вирусными;
  • наличие у каждого ПК оригинального закрытого ключа.

На сегодняшний день главная сложность использования Secure Boot состоит в применении производителями единых закрытых ключей для всех своих продуктов или линеек.

Обычно пользователи отключают Secure Boot, если невозможно инсталлировать или запустить ОС (в т. ч. с загрузочного съемного носителя). Многие юзеры полагают, что деактивация протокола повысит скорость ответа компонентов и работы процессора. Но безопасная загрузка не отбирает ресурсы системы, т. к. функционирует на низком программном уровне.

Как отключить Secure Boot:

  • Входим в UEFI и нажимаем Advanced Mode в правом нижнем углу (или F7 на клавиатуре).
  • Переходим в Boot и здесь активируем меню безопасной загрузки.
  • В пункте «Состояние безопасной загрузки» будет указано значение «Включено».
  • Выбираем «Управление ключами».
  • Нажимаем «Очистить ключи …».
  • Подтверждаем внесенные изменения, после чего открываем вкладку Exit и сохраняемся кликом по Save Changes & Reset.

Перезагружаем компьютер и продолжаем работать без режима безопасной загрузки.

Включить Secure Boot через UEFI

Чтобы включить протокол через UEFI, доходим до пункта «Управление ключами», как указано в предыдущем пункте, и выбираем «Установка ключей безопасной …». Подтверждаем действие кликом по Yes, затем точно так же сохраняемся. После перезагрузки протокол Secure Boot снова будет активен.

Что случится после отключения безопасной загрузки

При обычной работе за компьютером вы не поймете, функционирует ли Secure Boot на вашем ПК. Если протокол отключен, то машина не проверит цифровые подписи компонентов, но в этом есть и свои плюсы: вы сможете загрузить Windows со съемного носителя, установить несколько операционных систем, запустить предыдущие версии ОС и т. д.

Безопасная загрузка не поддерживается? Обновите оборудование, купив более современный ПК.

Заключение

Вы узнали, что означает безопасная загрузка (Secure Boot), а также, как и зачем запустить/ отключить этот протокол. Если вам нужна дополнительная консультация, необходимо настроить удаленный доступ к компьютеру или заменить термопасту на ПК или ноутбуке, обращайтесь к специалистам компании «АйТи Спектр». Мы окажем грамотную своевременную помощь и наладим любое компьютерное оборудование.

Насколько публикация полезна?

Нажмите на звезду, чтобы оценить!

Средняя оценка 5 / 5. Количество оценок: 2

Оценок пока нет. Поставьте оценку первым.

9 комментариев
  • Я сторонник максимальной безопасности и не люблю экспериментировать ни с ПО, ни с железом. Использую я только одну операционную систему и сам переустанавливать ничего не собираюсь. Поэтому и безопасная загрузка у меня всегда включена. Не хочу ловить всякие вирусы и потом бегать все исправлять.

  • Я планирую установить Windows 10. Нужно ли мне отключать безопасную загрузку?

    • Если у вас лицензионная система, то ничего отключать не нужно. Наоборот, протокол проверит достоверность и безопасность вашей ОС. Поэтому лучше оставить Secure Boot активным.

  • Жаль, что безопасная загрузка работает, только начиная с восьмерки. Мне, например, очень хочется остаться на 64-битной семерке и использовать Secure Boot, но там такие заморочки с включением, что сам я не рискну туда лезть.

  • У меня уже старенький компьютер, и в сведениях о системе так и написано — устаревший режим, безопасная загрузка не поддерживается. Придется обновлять оборудование. Давно хотел новое железо, видимо, пришла пора купить.

  • Я не могу деактивировать безопасную загрузку на своем ПК. Что мне сделать?

    • Возможно, производитель вашего компьютера не добавил функцию отключения протокола. Напишите в техподдержку производителя и проконсультируйтесь, что можно сделать в этой ситуации.

  • У меня нет строки «Безопасная загрузка» во вкладке Security в биосе. Но я точно знаю, что этот протокол на компьютере есть. Мне нужно отключить его, где его еще поискать?

    • Посмотрите в BIOS во вкладках «Загрузка» или «Проверка подлинности». Возможно, производитель поместил Secure Boot в этих разделах.

Оставить комментарий

Заказать звонок
+
Жду звонка!