Що означає безпечне завантаження (Secure Boot)

Безпечне завантаження - що це і для чого потрібне

Безпечне завантаження, або Secure Boot – це протокол у складі UEFI, який перевіряє на запуску операційну систему та драйвери. За наявності або відсутності цифрового підпису у компонентів він дозволяє або забороняє їхню подальшу роботу. Головне завдання Secure Boot полягає у тому, щоб захистити систему від проникнення шкідливого софту, який завантажується разом із ОС. Ці програми вкрай небезпечні, тому що проникають у комп'ютер до запуску антивірусу, внаслідок чого останній їх не виявляє. До такого програмного забезпечення відносять віруси-здирники, руткіти (надають зловмисникам віддалений доступ до ПК), майнери тощо. Ще одне завдання Secure Boot — обмеження переліку систем, здатних функціонувати на конкретному комп'ютері.

Як дізнатися, чи активний Secure Boot

Для проверки активности безопасной загрузки на ПК применим стандартную утилиту Windows. Нажимаем win+r и набираем msinfo32, подтверждаем OK. В блоке «Сведения» смотрим:

• «Режим BIOS» — UEFI або Legacy («Застарілий»). 
• «Стан безпечного завантаження» — «Увімк.», «Вимк.» або "Не підтримується".

Якщо безпечне завантаження активне, будуть прописані значення UEFI і «Увімк.». Інакше ми побачимо UEFI та «Вимк.» та, за необхідності (наприклад, для оновлення операційної системи), підемо вмикати протокол у BIOS. Є й третя варіація – Legacy та «Не підтримується». Ця картина спостерігається, якщо ми використовуємо несучасне «залізо» або UEFI функціонує як сумісність, як емулятор «БІОС». В останньому випадку емуляцію потрібно деактивувати та увімкнути безпечне завантаження в налаштуваннях.

ОС гальмує після активації Secure Boot

Якщо «Віндовс» 10 вже інстальовано, і користувач вирішив увімкнути протокол безпеки, то ОС може загальмувати під час запуску та видати повідомлення про відсутність завантажувального пристрою. Причиною є використання на диску розмітки MBR. Вирішення проблеми - конвертування з MBR в GPT. Розглянемо, як це зробити із робочої операційної системи.

Натискаємо win+I, з параметрів, що відкрилися, вибираємо «Оновлення і …», переходимо в блок «Відновлення» і в особливих варіантах активуємо негайне перезавантаження. На дисплеї з'являється меню додаткових дій. Вибираємо «Пошук та усунення несправностей», «Додаткові параметри» та «Командний рядок».

Далі діємо так (після набору кожної команди натискаємо Enter, щоб запустити її):

• Перевіряємо, чи можна конвертувати диск — mbr2gpt /validate.
• Якщо система дозволяє операцію, то видає повідомлення Validation completed successfully, і ми запускаємо конвертування — mbr2gpt /convert.
• У разі відмови ми бачимо повідомлення Failed та намагаємося діяти командою mbr2gpt /disk:0 /validate. На місці нуля ставимо номер нашого диска. Щоб дізнатися, активуємо спеціальне оснащення командою diskpart. Далі набираємо list disk та запам'ятовуємо номер диска. Виходимо назад у консоль командою exit.
• Якщо цього разу система дозволила перетворення, почніть операцію mbr2gpt /disk:0 /convert.
• У разі успіху операції ми бачимо сповіщення про конвертацію успішно.

Після закінчення маніпуляцій відкриваємо BIOS, відключаємо емуляцію старого «БІОС» та активуємо Secure Boot.

Як увімкнути безпечне завантаження

Secure Boot включають за допомогою стандартного функціоналу Віндовс або через UEFI.

Стандартні можливості ОС

Для використання вбудованих можливостей необхідно спочатку переконатися, що ПК підтримує безпечне завантаження. Якщо це так, то:

• Натискаємо win+I та перезавантажуємо комп'ютер так, як зазначено у попередньому розділі. Але цього разу в додаткових параметрах вибираємо не командний рядок, а «Параметри вбудованого ПЗ UEFI».
• Перезавантажуємо ПК.
• Натискаємо "Введення", обравши Secure Boot Control.
• Вказуємо Enable та підтверджуємо свій вибір.

Тепер виходимо з налаштувань і підтверджуємо маніпуляції, щоб комп'ютер перезавантажився.

Навіщо і як деактивувати Secure Boot у UEFI

UEFI прийшов на заміну звичайному BIOS не тільки для зручності. Одна з його основних цілей полягає у виявленні шкідливого софту та мінімізації наслідків його впливу. Технологія забороняє вірусному програмному забезпеченню завантажуватися разом з «Віндовс», і, як ми вже говорили на початку, роль захисника дісталася Secure Boot. З боку розробників ідея успішно реалізована як криптографічна модель з використанням ЕЦП, електронно-цифрових підписів. Майже необхідні коректні події користувачів і виробників.

До ключових моментів дії протоколу належать:

• наявність ЕЦП у програмних компонентів (завантажувачів системи, материнських плат, драйверів);
• пред'явлення даними компонентами своїх ЕЦП комп'ютера з метою довести, що вони є вірусними;
• наявність у кожного ПК оригінального закритого ключа.

На сьогоднішній день головна складність використання Secure Boot полягає у застосуванні виробниками єдиних закритих ключів для всіх своїх продуктів чи лінійок.

Зазвичай користувачі відключають Secure Boot, якщо неможливо інсталювати або запустити ОС (в т. ч. із завантажувального знімного носія). Багато користувачів вважають, що деактивація протоколу підвищить швидкість відповіді компонентів роботи процесора. Але безпечне завантаження не відбирає ресурси системи, тому що функціонує на низькому програмному рівні.

Як вимкнути Secure Boot:

• Входимо в UEFI і натискаємо Advanced Mode у правому нижньому кутку (або F7 на клавіатурі).
• Переходимо до Boot і тут активуємо меню безпечного завантаження.
• У пункті «Стан безпечного завантаження» буде вказано значення «Увімкнено».
• Вибираємо "Управління ключами".
• Натискаємо «Очистити ключі …».
• Підтверджуємо внесені зміни, після чого відкриваємо вкладку Exit та зберігаємося кліком по Save Changes & Reset.

Перезавантажуємо комп'ютер та продовжуємо працювати без режиму безпечного завантаження.

Включити Secure Boot через UEFI

Щоб увімкнути протокол через UEFI, доходимо до пункту «Управління ключами», як зазначено в попередньому пункті, та вибираємо «Установка ключів безпечною…». Підтверджуємо дію кліком по Yes, потім так само зберігаємося. Після перезавантаження протокол Secure Boot знову буде активним.

Що трапиться після відключення безпечного завантаження

При звичайній роботі за комп'ютером ви не зрозумієте, чи Secure Boot функціонує на вашому ПК. Якщо протокол вимкнено, то машина не перевірить цифрові підписи компонентів, але в цьому є свої плюси: ви зможете завантажити Windows зі знімного носія, встановити кілька операційних систем, запустити попередні версії ОС і т.д.

Безпечне завантаження не підтримується? Оновіть обладнання, купивши сучасніший ПК.

Висновок

Ви дізналися, що означає безпечне завантаження (Secure Boot), а також, як і навіщо запустити/вимкнути цей протокол. Якщо вам потрібна додаткова консультація, необхідно налаштувати Віддалений доступ до комп'ютера або замінити термопасту на ПК чи ноутбуці, звертайтесь до спеціалістів компанії «Львів Сервіс». Ми надаємо грамотну своєчасну допомогу та налагодимо будь-яке комп'ютерне обладнання.