Secure Boot (защищенная загрузка или безопасная загрузка) – это одна из функций UEFI, позволяющая бороться с руткитами и буткитами (которые используют уязвимости в прошивке BIOS) еще на предварительном этапе загрузки ОС. Технология безопасной загрузки – один из эшелонов обороны в новых ОС Microsoft — Windows 8 и Windows Server 2012. В этой статье мы рассмотрим практические и теоретические аспекты работы Secure boot в ОС Windows 8 (актуально и для Windows Server 2012 ).
Не секрет, что в современных системах загрузка ОС является одним из самых уязвимых компонентов с точки зрения безопасности. Злоумышленнику достаточно передать функции загрузчика на свой («вредоносный») загрузчик, и подобный загрузчик не будет детектироваться системой безопасности ОС и антивирусным ПО.
Функция Secure Boot в Windows 8 позволяет в процессе загрузки (до запуска операционной системы) организовать проверку всех запускаемых компонентов (драйвера, программы), гарантируя, что только доверенные (с цифровой подписью) программы могут выполняться в процессе загрузки Windows. Неподписанный код и код без надлежащих сертификатов безопасности (руткиты, буткиты) блокируется UEFI (однако и эту систему защиту можно обойти, вспомните червя Flame, подписанного фальшивым сертификатом Microsoft). В случае обнаружения компонента без цифровой подписи автоматически запустится служба Windows Recovery, которая попытается внести изменения в Windows, восстановив нужные системные файлы.
Стоит однозначно понимать, что для использования технологии защищенной загрузки вместо BIOS на ПК должна использоваться система UEFI (что это такое описано в статье UEFI и Windows 8). Кроме того, прошивка материнской платы должна поддерживать спецификацию UEFI v2.3.1 и иметь в своей базе сигнатур UEFI сертификат центра сертификации Microsoft Windows (или сертификаты OEM-дилеров аппаратного обеспечения, заверенные Microsoft ). Все новые компьютеры с предустановленной Windows 8 (64 битными версиями), получившие наклейку «Windows 8 ready», по требованию Microsoft, обязательно требуют активной Secure Boot. Также отметим, что Windows 8 для ARM (Windows RT) нельзя установить на оборудование, не поддерживающее UEFI или позволяющее отключить Secure Boot.Для работы secure boot или ELAM модуль TPM (trusted platform module) не требуется!
Другой компонент защищенной загрузки Windows 8 — ELAM (Early-launch Anti-Malware — технологией раннего запуска защиты от вредоносного ПО), обеспечивает антивирусную защиту ещё до завершения загрузки компьютера. Тем самым сертифицированный антивирус (имеются в виду продукты различных вендоров, а не только Microsoft) начинает работать еще до того, как вредоносное ПО получит шанс запуститься и скрыть свое присутствие.
Настройка защищенной загрузки в Windows 8
Попробуем разобраться, как можно организовать защищенную загрузку Windows 8 на новом компьютере (предполагается, что у нас имеется коробочная, а не предустановленная OEM версия Windows 8). Для эксперимента была выбрана материнская плата Asus P8Z77 с поддержкой UEFI (и наклейкой Windows 8 ready). Следует понимать, что в другой материнской плате конкретные скриншоты и опции скорее всего будут отличаться, главное — уяснить основные принципы установки Windows 8 с secure boot на новый компьютер
Систему планируется установить на SSD диск, поэтому в настройках BIOS (на самом деле это UEFI) в качестве SATA Mode Selection зададим AHCI. (что такое AHCI)
Далее отключим режим CSM (compatibility support mode – режим совместимости с BIOS), Launch CSM – Disabled.
Далее изменим тип ОС OS type — Windows 8 EUFI, и удостоверимся, что включен стандартный режим защищенной загрузки (Secure Boot Mode — Standard).
Для установки Windows 8 в режиме UEFI нам нужен либо загрузочный DVD диск (физический) с дистрибутивом Win 8, либо загрузочная USB флешка с Windows 8 (отформатированная в FAT32) подготовленная специальным образом (готовим загрузочную UEFI флешку для установки Windows 8), т.к. загрузочная флешка с NTFS в UEFI работать не будет. Стоит отметить, что установка Windows 8 с флешки на SSD диск заняла всего около 7 минут!
Отключите компьютер, вставьте загрузочный диск (флешку) и включите компьютер. Перед вами появится экран выбора параметров загрузки (UEFI Boot menu), где нужно выбрать ваше загрузочное устройство (на скриншоте видна опция Windows Boot Manger, но реально у вас она появится только после установки системы в режиме EFI).
Подробнее остановимся на параметрах разбиения диска для системы. EFI и secure boot требуют, чтобы диск находился в режиме GPT (а не MBR). В том случае, если диск не размечен никаких дальнейших телодвижений и манипуляций с diskpart выполнять не нужно, система все сделает сама. Если диск разбит на разделы, удалите их, т.к. для работы UEFI с secure boot нужны четыре специальных раздела, которые установщик создаст автоматически.
Предполагается, что мы хотим использовать под Windows 8 весь диск целиком, поэтому просто жмем Next, не создавая никаких разделов. Windows автоматически создаст четыре раздела нужного размера и задаст им имена:
- Recovery – 300 Мб
- System – 100 Мб – системный раздел EFI, содержащий NTLDR, HAL, Boot.txt, драйверы и другие файлы, необходимые для загрузки системы.
- MSR (Reserved) – 128 Мб – раздел зарезервированный Microsoft (Microsoft Reserved -MSR) который создается на каждом диске для последующего использования операционной системой
- Primary – все оставшееся место, это раздел, куда, собственно, и устанавливается Windows 8
Далее выполните как обычно установку Windows 8. После того, как Windows будет установлена, с помощью Powershell можно удостоверится, что используется безопасная загрузка, для этого в командной строке с правами администратора выполните:
confirm-SecureBootUEFI
Если secure boot включена, команда вернет TRUE (если выдаст false или команда не найдена, значит — отключена).
Итак, мы успешно установили Windows 8 в режиме защищенной загрузки (Secure Boot) с UEFI.
Для чего нужно отключать режим совместимости с BIOS?
Насколько я понимаю, в режиме совместимости Secure Boot работать не будет. В документации Microsoft об этом также говорится:
Secure Boot requires a computer that meets the UEFI 2.3.1 Specifications.
Secure Boot is supported for UEFI Class 2 and Class 3 computers. For UEFI Class 2 computers, the compatibility support module (CSM) must be disabled so that the computer can only boot UEFI-based operating systems.
Включил Secure Boot в BIOS’е после установки Windows 8, диск разбит как сказано выше, но confirm-SecureBootUEFI выдает «false». Как включить?
CSM отключен? Что за материнская плата?
Материнская плата MSI Z77A-G43, версия BIOS последняя – 2.8
Параметра CSM не смог обнаружить 🙁
Есть Windows 8 Feature — Enabled,
возможно не включается потому, что SATA Mode — RAID
Материнская плата MSI Z77A-G43, версия BIOS последняя — 2.8
Параметра CSM не смог обнаружить 🙁
А у меня на моей матери ни WIndows 8 ready, ни secure boot. При этом UEFI есть. В приоритетах загрузка на первом месте — UEFI: Windows Boot Mаnager. Она получается через UEFI грузится?
Да система грузится через UEFI (наличие наклейки Win 8 ready и безопансой загрузки — не обязательное требование для систем с UEFI, т.к. технология начала внедряться еще до выхода Windows 8)
Спасибо:) Я больше нигде не мог получить адекватный ответ на этот вопрос:))
У меня такой вопрос — зачем такой большой системный раздел 931 GB ?
Так захотелось 🙂 … После установки раздел можно «пошринкать»
Здравствуйте, у меня не получается отключить CSM (ASUS M5A97 R2.0)
А такой пункт в вашем Bios-то есть?
Есть такой пункт, вот фотки http://rusfolder.com/37224648
а что происходит при попытке изменить значение параметра CSM с Enable на Disable? Насколько я понял вы хотите: активировать функцию Secure Boot?
При изменении параметра, после сохранении и перезагрузки, пишет что видео карта не поддерживается и возращает значение по умолчанию. На фотке ошибка есть эта.
Да знакомо…. У меня относительно новая карта ГФ 690 ГТХ от асус. Я её когда воткнул думал всё норм будет так как на старые 290ГТХы система ругалось и не включался УЕФИ. Был сильно удивлён что на 690 тоже самое.. Но несколько дней назад приятно был удивлён что на сайте асуса появился новый биос для видюхи одним из пунктов там значится поддержка УЕФИ. Прошился и утилита мне отрапортовала что всё ок и функцию ЦСМ можно включить ! Я проверил отключил да всё тип топ.. Только система не может понять с чего грузится… Но это уже дело времени.. у меня ссд в режиме МВР стоит.. надо форматить в ГРТ ..и тогда всё будет ок. Но пока не готов переставлять систему.
упс ….отрапортовала что ЦСМ можно выключить !!
Здравствуйте. У меня ноутбук Samsung NP355V5C. Предустановленная Win8 была удалена мною после покупки ноута и вместе с ней все разделы восстановления. Ноут работал в режиме CSM OS на Windows 7. Теперь хотелось бы вернуть «восьмерку» и все разделы восстановления обратно (в том числе утилиту SRecovery), чтобы система грузилась в режиме Secure Boot. В статье все в принципе понятно, лишь один вопрос: если я выбираю в биосе режим Secure Boot перед установкой (как указано в статье) — то у меня пропадает Boot Menu. Вобщем, чтобы указать с чего грузиться (установка с привода) нужно выбирать CSM OS. Как быть?
Тут все зависит от конкретной реализации UEFI, без пациента тут что то посоветовать сложно. Попробуйте покопаться в настройках, возможно где-то есть пункт меню, который отвечает за настройки порядка загрузки Boot Menu по-умолчанию или что-то подобное.
Как вариант — попробуйте установить систему с флешки, созданный таким способом: https://winitpro.ru/index.php/2013/01/24/kak-sozdat-zagruzochnuyu-uefi-fleshku-dlya-ustanovki-windows-8-ili-windows-server-2012/
Разобрался самостоятельно. После установки режима Secure Boot и предварительно удалив все разделы на диске с лайвсд, система сама начинает смотреть на привод в процессе загрузки. Спасибо 🙂
Здравствуйте.
У меня материнская плата Asus z87-c.
По Вашему руководству сначала создал загрузочную UEFI флешку для установки winserver2012. Затем настроил BIOS по Вашим рекомендациям.
Зетем выключил компьютер, вставил приготовленную флешку. На черном экране два раза появилась процентная полоса «Files loading…» после чего экран моргнул и погас — на этом процесс установки обрывется. Пробовал менять режим SATA с AHCI на IDE native и обратно — без результатов.
Подскажите, пожалуйста в чем может быть проблема. Заранее спасибо.
Не совсем понятная проблема… Система точно никаких ошибок, или экранов BSOD не возвращает?
Возможно имеется проблема с отсутствием нужных драйверов в дистрибутиве. Попробуйте отключить Secure Boot — и попытаться загрузится в таком режиме (если не поможет, проверьте будет ли система грузится с диска в режиме совместимости с BIOS — для этого включите режим CSM)
Привет. Аппарат ASUS N76VB. Хочу удалить восьмёрку и поставить семёрку. По интернету пошарил и у себя обнаружил что пункт CSM нельзя изменить. То есть он как текст, курсор его перескакивает. Что это может быть? Как сделать загрузку с диска?
Читай руководство к своему BIOS (точнее UEFI) — наверно назначена другая клавиша переклчения или что-то где-то нужно сначала отключить (ну тот же Secure Boot)
Добрый день. Очень нужен совет.. Никак не могу прояснить для себя одну вещь.. Как бы я не устанавливал свою лицензионную Windows 8 на материнскую плату Asus M5A97 после установки проверка confirm-SecureBootUEFI в Powershell пишет что переменная не найдена…..
Устанавливал и с флешки как в здешней инструкции написано и с диска… Меню установки так же как тут указанно создавало четыре раздела —
Recovery
System
MSR (Reserved)
Primary
И хоть ты тресни — переменная не найдена…..
Ещё одна интересная деталь, у меня в BIOS нигде нет значений — Secure Boot Mode, (Legacy или CSM) Просто нет и всё! Могу сделать видео всего BIOSA всех разделов и подразделов.. Ах да, забыл сказать видеокарту прошил специальной утилитой с сайта asus и теперь эта утилита после проверки показывает что материнская плата, видеокарта и windows 8 готовы к включению Безопасной загрузки.. Везде стоят зеленый галки и присутствует надпись — Включите и наслаждайтесь.. А где её включить? Подскажите в какую сторону рыть?
Возможно материнская карта несколько старая — т.е. поддерживает устаревшую спецификацию UEFI, в которой Secure Boot еще не использовался.
Ребята а вот скажите, вообще зачем нужна защита эта secure boot??? и в чем фешн) UEFI? виндовс 8, для каких нужд сделали? че там интересного? без проблем пользуюсь 7кой, зачем столько заморочек с 8кой!!
Полностью поддерживаю! Не понимаю всех этих танцев с бубнами. Зачем? Что в этой 8-ке такого хорошего? Стоит ли?
Только больше мороки, полазив по интернету многие интересуются как отключить её — у каждого UEFI — по своему, даже вход в биосе по своему, а не по кнопке дел.
Мдааа.. сейчас уже такие материнки выпускают, что 7-ку не поставишь, не хочет запускаться с флешки/диска! Попался такой ноутбук с предустановленной Endless (недолинукса). В нём не оказалось gparted (даже загрузить нечем). Вместо того, чтоб снести этот недолинукс, хочется снести ещё и сам БИОС вместе с ним, т.к. в нём даже в настройке режима SATA отображается только один вариант выбора — AHCI. Ну и нафига здесь меню с одной только строкой? А подобное «Secure boot» вообще даже выделить нельзя, не говоря уже о том, чтобы переключить… короче, выбора вообще не оставляют. А ещё это «недоразумение» с блокировкой процессоров… Похоже, что история John Titor скоро перестанет быть выдумкой: неужели в IBM 5100 есть то, чего невозможно будет даже эмулировать на процессорах в будущем?
Поначалу меня бесили леновы с перевёрнутыми Fn-кнопками (и даже через биос их не «вернуть» назад). Ну, те хоть додумались исправить тупой перепрошивой (причём менюшка в БИОСе не появляется, Fn-ки просто возвращаются на своё место).
Раньше мне нравилась идея UEFI, но, прошло время, и, как обычно, всё испортили и извратили.
Теперь, чтобы сделать «универсальную» диагностическую флешку», то придётся её делить аж на три части:
1. CD/DVD: Win 5.1 LiveCD — классика для ковыряния, + «стеклянное» (6.0/6.1) средство восстановления);
2. Mass Storage (желательно Read-Only, если раздел в фате) с UEFI, с «плиточным» (6.2/10) средством восстановления;
3. Mass Storage с разделом в NTFS-е со всеми нужными инструментами.
Жаль, винты так нельзя «расчленить» (ну, которые не внешние).