Secure Boot (защищенная загрузка или безопасная загрузка) – это одна из функций UEFI, позволяющая бороться с руткитами и буткитами (которые используют уязвимости в прошивке BIOS) еще на предварительном этапе загрузки ОС. Технология безопасной загрузки – один из эшелонов обороны в новых ОС Microsoft — Windows 8 и Windows Server 2012. В этой статье мы рассмотрим практические и теоретические аспекты работы Secure boot в ОС Windows 8 (актуально и для Windows Server 2012 ).
Не секрет, что в современных системах загрузка ОС является одним из самых уязвимых компонентов с точки зрения безопасности. Злоумышленнику достаточно передать функции загрузчика на свой («вредоносный») загрузчик, и подобный загрузчик не будет детектироваться системой безопасности ОС и антивирусным ПО.
Функция Secure Boot в Windows 8 позволяет в процессе загрузки (до запуска операционной системы) организовать проверку всех запускаемых компонентов (драйвера, программы), гарантируя, что только доверенные (с цифровой подписью) программы могут выполняться в процессе загрузки Windows. Неподписанный код и код без надлежащих сертификатов безопасности (руткиты, буткиты) блокируется UEFI (однако и эту систему защиту можно обойти, вспомните червя Flame, подписанного фальшивым сертификатом Microsoft). В случае обнаружения компонента без цифровой подписи автоматически запустится служба Windows Recovery, которая попытается внести изменения в Windows, восстановив нужные системные файлы.
Стоит однозначно понимать, что для использования технологии защищенной загрузки вместо BIOS на ПК должна использоваться система UEFI (что это такое описано в статье UEFI и Windows 8). Кроме того, прошивка материнской платы должна поддерживать спецификацию UEFI v2.3.1 и иметь в своей базе сигнатур UEFI сертификат центра сертификации Microsoft Windows (или сертификаты OEM-дилеров аппаратного обеспечения, заверенные Microsoft ). Все новые компьютеры с предустановленной Windows 8 (64 битными версиями), получившие наклейку «Windows 8 ready», по требованию Microsoft, обязательно требуют активной Secure Boot. Также отметим, что Windows 8 для ARM (Windows RT) нельзя установить на оборудование, не поддерживающее UEFI или позволяющее отключить Secure Boot.Для работы secure boot или ELAM модуль TPM (trusted platform module) не требуется!
Другой компонент защищенной загрузки Windows 8 — ELAM (Early-launch Anti-Malware — технологией раннего запуска защиты от вредоносного ПО), обеспечивает антивирусную защиту ещё до завершения загрузки компьютера. Тем самым сертифицированный антивирус (имеются в виду продукты различных вендоров, а не только Microsoft) начинает работать еще до того, как вредоносное ПО получит шанс запуститься и скрыть свое присутствие.
Настройка защищенной загрузки в Windows 8
Попробуем разобраться, как можно организовать защищенную загрузку Windows 8 на новом компьютере (предполагается, что у нас имеется коробочная, а не предустановленная OEM версия Windows 8). Для эксперимента была выбрана материнская плата Asus P8Z77 с поддержкой UEFI (и наклейкой Windows 8 ready). Следует понимать, что в другой материнской плате конкретные скриншоты и опции скорее всего будут отличаться, главное — уяснить основные принципы установки Windows 8 с secure boot на новый компьютер
Систему планируется установить на SSD диск, поэтому в настройках BIOS (на самом деле это UEFI) в качестве SATA Mode Selection зададим AHCI. (что такое AHCI)
Далее отключим режим CSM (compatibility support mode – режим совместимости с BIOS), Launch CSM – Disabled.
Далее изменим тип ОС OS type — Windows 8 EUFI, и удостоверимся, что включен стандартный режим защищенной загрузки (Secure Boot Mode — Standard).
Для установки Windows 8 в режиме UEFI нам нужен либо загрузочный DVD диск (физический) с дистрибутивом Win 8, либо загрузочная USB флешка с Windows 8 (отформатированная в FAT32) подготовленная специальным образом (готовим загрузочную UEFI флешку для установки Windows 8), т.к. загрузочная флешка с NTFS в UEFI работать не будет. Стоит отметить, что установка Windows 8 с флешки на SSD диск заняла всего около 7 минут!
Отключите компьютер, вставьте загрузочный диск (флешку) и включите компьютер. Перед вами появится экран выбора параметров загрузки (UEFI Boot menu), где нужно выбрать ваше загрузочное устройство (на скриншоте видна опция Windows Boot Manger, но реально у вас она появится только после установки системы в режиме EFI).
Подробнее остановимся на параметрах разбиения диска для системы. EFI и secure boot требуют, чтобы диск находился в режиме GPT (а не MBR). В том случае, если диск не размечен никаких дальнейших телодвижений и манипуляций с diskpart выполнять не нужно, система все сделает сама. Если диск разбит на разделы, удалите их, т.к. для работы UEFI с secure boot нужны четыре специальных раздела, которые установщик создаст автоматически.
Предполагается, что мы хотим использовать под Windows 8 весь диск целиком, поэтому просто жмем Next, не создавая никаких разделов. Windows автоматически создаст четыре раздела нужного размера и задаст им имена:
- Recovery – 300 Мб
- System – 100 Мб – системный раздел EFI, содержащий NTLDR, HAL, Boot.txt, драйверы и другие файлы, необходимые для загрузки системы.
- MSR (Reserved) – 128 Мб – раздел зарезервированный Microsoft (Microsoft Reserved -MSR) который создается на каждом диске для последующего использования операционной системой
- Primary – все оставшееся место, это раздел, куда, собственно, и устанавливается Windows 8
Далее выполните как обычно установку Windows 8. После того, как Windows будет установлена, с помощью Powershell можно удостоверится, что используется безопасная загрузка, для этого в командной строке с правами администратора выполните:
confirm-SecureBootUEFI
Если secure boot включена, команда вернет TRUE (если выдаст false или команда не найдена, значит — отключена).
Итак, мы успешно установили Windows 8 в режиме защищенной загрузки (Secure Boot) с UEFI.
Windows 10, 8.1 and 8 hardware use the new UEFI to replace the traditional BIOS. The «secure boot» error coming with the UEFI helps to make sure that your PC boots using only firmware that is trusted by the manufacture, prevents rootkit malware and provides an additional layer of security.
All PCs with a Windows 10/8.1/8 logo sticker has secure boot enabled by default. However, sometimes you may want the UEFI secure boot violation policy that is stated disabled in Windows 10/8.1/8 to run some PC graphics cards, hardware, or operating systems such as Linux or previous version of Windows. This article will show you how to disable secure boot in Windows 10/8.1/8 easily and quickly.
Limitations of UEFI Secure Boot in Windows 10/8.1/8
- Impossible to dual boot Windows 10/8 with Linux.
- Don’t allow you to install an older version of Windows such as Windows 7.
- Can’t run system repair or password recovery CDs or utilities. (Such as Windows Password Recovery Tool, Windows Boot Genius.)
- Can’t perform advanced PC maintenance procedures, such as BIOS or firmware updates.
Follow steps below to access UEFI settings to disable legacy secure boot control in Windows 10, 8.1 and Windows 8. Note that the Secure Boot option must be set to «Disabled» or «Off» to allow you to boot from external media correctly.
That’s all for how to disable secure boot in Windows 10/8.1/8. If you are based Windows RT PCs and devices users, you can’t disable secure boot because these devices have a locked boot loader.
Free Try Windows Password Recovery Tool
World’s 1st Windows Password Recovery Software to Reset Windows Administrator & User Password.
Free Download
Free Download
What Is Secure Boot & How It Works
Secure Boot is a safety feature developed by PC manufacturers to boot computers only with trusted software. It was initially introduced in Windows 8, followed by all the latest versions.
The fundamental purpose of a secure boot is to protect your computer from all types of malware. During secure boot, when a system restarts, the firmware examines the signatures of each part of the boot software (firmware drivers, operating system, EFI Application, etc.). If the signatures are satisfactory, the firmware controls the operating system, and the computer reboots.
What Happens If I Enable/Disable Secure Boot
Since the Secure Boot is a protection mechanism, enabling a Secure Boot keeps your PC safe from all malware attacks. Some malware packs load as soon as you start your PC. They are called Rootkits. Rootkits can save passwords, login details, and keystrokes, transfer sensitive files, and capture cryptographic data. For data security, optimal speed, and smooth operation, it is vital to enable the secure boot.
However, if you want to use previous Windows, certain graphic cards, and unauthorized software, the secure boot should be disabled. After disabling secure boot, the PC doesn’t check the digital signature of the operating system. So, you can perform the following actions:
- Booting Windows with an external hard drive or USB.
- Dual Booting like Windows with Linux or Fedora.
- Booting with Windows password recovery tools.
- Operating previous Windows Versions.
In short, enabling and disabling secure boot depends upon your requirement. If you want maximum security, you should allow it to. If you wish to use extravagant third-party apps, you can disable Secure Boot.
How to Enable/Disable Secure Boot on your Computer
So far, we have explained what Secure Boot is and what happens when you enable/disable it. This section presents a step-by-step guide to enable/disable secure boot on your computer.
How to Enable Secure Boot
Before enabling Secure Boot, ensure your system has a Windows 8 or above operating system, the latest UFI, and necessary firmware options.
After that, follow these steps to enable Secure Boot on your PC.
Step 1. Remove operating systems, software, and graphic cards incompatible with Secure Boot.
Step 2. Go to the PC BIOS Menu. For that, Press and hold the shift key and select «Restart.« After that, go to Troubleshoot > Advanced Options.
Step 3. In the advanced options menu, select «UEFI Firmware Settings.«
Step 4. Go to the «Secure Boot Settings» option and set it to «Enabled.» The choice is usually available in either the Boot Tab or the Security tab.
Step 5. Exit the menu after saving these changes. You can now boot to any media supporting secure boot. You can also install a new operating system. However, the Windows partition storage type will be GPT Partitions instead of mbr.
Step 6. After installing the operating system, you can cross-check the enabling of Secure Boot. To do that, type «msinfo32.exe« in the open box and check the status of the Secure Boot state. It says «On,« which means the Secure Boot is enabled.
How to Disable Secure Boot
If your PC doesn’t allow third-party software, that means Secure Boot mode is functional. You can follow these steps to disable it.
Step 1. Before disabling, check the latest updates of the Secure Boot system. It will show an updated list of software, graphic cards, etc., compatible with your computer. This will let you know whether disabling is required or not.
Step 2. Once again, open the BIOS Menu. From Windows, hold the Shift key while selecting Restart. Go to Troubleshoot > Advanced Options.
Step 3. From the advanced options, go to «UEFI Firmware Settings.»
Step 4. Locate the «Secure Boot« option in the available menu. After that, set it to «Disabled.» In some systems, it is available in the Boot or Security tab.
Step 5. Save changes and reboot your PC.
Step 6. Install any unauthorized operating system or graphic card in your system. If it runs successfully, the disabling is successful.
Using Professional Backup Software to Protect Computer Data
Secure Boot is an important security feature that keeps malicious software from loading when your PC starts up (boots). Most computers are capable of Secure Boot, but in some cases, settings may cause the computer to appear incapable of Secure Boot.
At this time, to protect your data on the computer from malicious software, you can turn to professional backup software, such as EaseUS Todo Backup, for help. It can provide a safe and reliable backup of your data.
EaseUS Todo Backup Home is a practical backup utility for Windows 11/10/8/7. It lets you automatically back up systems, disks, partitions, files, etc., and create various types of backups. Besides you can also use it to create an iso image from your operating system or hard drive. The award-winning software preserves your data from all malicious attacks. With this protection in place, you don’t have to worry about losing your data during any system startup.
You can perform the following steps to create a system backup of your computer.
Step 1. Launch EaseUS Todo Backup on your computer, and click Create Backup on the home screen and then hit the big question mark to select backup contents.
Step 2. To back up your Windows operating system, click «OS» to begin the backup task.
Step 3. Your Windows operating system information and all system related files and partitions will be automatically selected so you don’t need to do any manual selection at this step. Next, you’ll need to choose a location to save the system image backup by clicking the illustrated area.
Step 4. The backup location can be another local drive on your computer, an external hard drive, network, cloud or NAS. Generally, we recommend you use an external physical drive or cloud to preserve the system backup files.
Step 5. Customiztion settings like enabling an automatic backup schedule in daily, weekly, monthly, or upon an event, and making a differential and incremental backup are available in the Options button if you’re interested. Click «Backup Now«, and the Windows system backup process will begin. The completed backup task will display on the left side in a card style.
The Bottom Line
SecureBoot is an advanced security feature that works as a wall against malware. It helps improve the speed, performance, and efficiency of your PC. The system works for Windows 8 or above. However, when you need to run previous Windows or unauthorized apps and graphic cards, you must disable them.
This article provides a step-by-step guide on how to enable and disable Secure Boot. So that you can use the feature as per your requirement, give it a read and let us know your views about this software.
FAQs
1. What is the disadvantage of Secure Boot?
Since Secure Boot is only compatible with Windows 8 or above, you can’t use previous Windows versions with this. Plus, it blocks unlicensed software, which sometimes is required to get the job done. It also stops the system from accepting certain graphic cards, which can hinder running professional software and games.
2. Is Secure Boot UEFI or legacy?
Secure boot only supports the operating system with the latest UFI native boot. The legacy boot is a fundamental input/output system (BIOS) firmware. It doesn’t support a Secure Boot.
3. Does Windows 10 require UEFI Secure Boot?
Microsoft wants PC Manufacturers to enable Secure Boot in the latest systems if they want an official Windows sticker and certification. However, old systems can upgrade to Windows 10 without UEFI Secure Boot.
4. Is Secure Boot mandatory?
Nope, it’s a choice. You can enable or disable it as per your requirement. The operating system will work fine without it.