Немного про UEFI и Secure Boot
UEFI (Unified Extensible Firmware Interface) — замена устаревшему BIOS. Эта спецификация была придумана Intel для Itanium, тогда она еще называлась EFI (Extensible Firmware Interface), а потом была портирована на x86, x64 и ARM. Она разительно отличается от BIOS как самой процедурой загрузки, так и способами взаимодействия с ОС. Если вы купили компьютер в 2010 году и позже, то, вероятнее всего, у вас UEFI.
Основные отличия UEFI от BIOS:
Как происходит загрузка в UEFI?
С GPT-раздела с идентификатором EF00 и файловой системой FAT32, по умолчанию грузится и запускается файл \efi\boot\boot[название архитектуры].efi, например \efi\boot\bootx64.efi
Т.е. чтобы, например, создать загрузочную флешку с Windows, достаточно просто разметить флешку в GPT, создать на ней FAT32-раздел и просто-напросто скопировать все файлы с ISO-образа. Boot-секторов больше нет, забудьте про них.
Загрузка в UEFI происходит гораздо быстрее, например, загрузка моего лаптопа с ArchLinux с нажатия кнопки питания до полностью работоспособного состояния составляет всего 30 секунд. Насколько я знаю, у Windows 8 тоже очень хорошие оптимизации скорости загрузки в UEFI-режиме.
Secure Boot
«Я слышал, что Microsoft реализовывает Secure Boot в Windows 8. Эта технология не позволяет неавторизированному коду выполняться, например, бутлоадерам, чтобы защитить пользователя от malware. И есть кампания от Free Software Foundation против Secure Boot, и многие люди были против него. Если я куплю компьютер с Windows 8, смогу ли я установить Linux или другую ОС? Или эта технология позволяет запускать только Windows?»
Начнем с того, что эту технологию придумали не в Microsoft, а она входит в спецификацию UEFI 2.2. Включенный Secure Boot не означает, что вы не сможете запустить ОС, отличную от Windows. На самом деле, сертифицированные для запуска Windows 8 компьютеры и лаптопы обязаны иметь возможность отключения Secure Boot и возможность управления ключами, так что беспокоится тут не о чем. Неотключаемый Secure Boot есть только на планшетах на ARM с предустановленной Windows!
Что дает Secure Boot? Он защищает от выполнения неподписанного кода не только на этапе загрузки, но и на этапе выполнения ОС, например, как в Windows, так и в Linux проверяются подписи драйверов/модулей ядра, таким образом, вредоносный код в режиме ядра выполнить будет нельзя. Но это справедливо только, если нет физического доступа к компьютеру, т.к., в большинстве случаев, при физическом доступе ключи можно заменить на свои.
Для Linux есть 2 пре-загрузчика, которые поддерживают Secure Boot: Shim и PRELoader. Они похожи, но есть небольшие нюансы.
В Shim есть 3 типа ключей: Secure Boot keys (те, которые в UEFI), Shim keys (которые можно сгенерировать самому и указать при компиляции), и MOKи (Machine Owner Key, хранятся в NVRAM). Shim не использует механизм загрузки через UEFI, поэтому загрузчик, который не поддерживает Shim и ничего не знает про MOK, не сможет выполнить код (таким образом, загрузчик gummiboot не будет работать). PRELoader, напротив, встраивает свои механизмы аутентификации в UEFI, и никаких проблем нет.
Shim зависит от MOK, т.е. бинарники должны быть изменены (подписаны) перед тем, как их выполнять. PRELoader же «запоминает» правильные бинарники, вы ему сообщаете, доверяете вы им, или нет.
Оба пре-загрузчика есть в скомпилированном виде с валидной подписью от Microsoft, поэтому менять UEFI-ключи не обязательно.
Secure Boot призван защитить от буткитов, от атак типа Evil Maid, и, по моему мнению, делает это эффективно.
Спасибо за внимание!
UEFI boot – что это такое?
UEFI boot – это программа нового поколения, которая ускорит загрузку компьютера и она по структуре напоминает BIOS.
BIOS – это предпрограмма (код, вшитый в материнскую плату компьютера). Он запускается до загрузки операционной системы, проверяя работоспособность компьютера и отладку оборудования (драйверов). UEFI, в отличие от привычного BIOS-a, представляет собой графический интерфейс, гибко запрограммированный и действительно позволяющий быстрее запустить ОС.
Преимущества UEFI
Что касается UEFI Secure Boot, то это заранее предусмотренный разработчиками способ защиты от запуска нелицензионного кода. Он не позволяет вирусным программам заменить загрузчик, а при использовании Microsoft – спасает от пиратской версии ОС. Однако чаще всего данный режим отключен по умолчанию, или же по некоторым причинам пользователям приходится самостоятельно его отключать.
В настоящее время UEFI представляется как отдельная часть стандартного BIOS-а, но уже выпускаются компьютеры с материнскими платами, где все наоборот – BIOS считается дополнительным модулем к UEFI.
Разница между UEFI и БИОС
Возможность поддерживать разметку GPT;
Модульная архитектура;
Встроенный загрузочный менеджер;
Использование UEFI для загрузки операционной системы с USB-носителя
Порядок выполнения:
Установка Windows UEFI
Запускаем утилиту и указываем название флешки, предназначенной для установки(предварительно нужно удалить важные файлы, очистив память). В пункте «File system» (файловая система) выбираем FAT 32, далее в качестве схемы раздела – GPT (GUID Partition Table), системный интерфейс – UEFI. Поставьте галочку у пункта «Create a bootable disk using:» (создать загрузочное устройство с использованием…), выберите рядом ISO Image и укажите полный путь к ISO-образу операционной системы Windows.
После введения всех описанных параметров можно нажимать на « Start » и программа самостоятельно подготовит флеш-накопитель к загрузке ОС. Время, затраченное на этот процесс, зависит от быстродействия вашего компьютера и от поколения USB.
Если работа утилиты Rufus вас не устраивает или появляются проблемы с загрузкой UEFI, можно использовать абсолютно аналогичную программу, которая называется WinSetupFromUSB.
Скачивание также доступно на сайте производителя, а ее название (в переводе «Загрузка Windows с USB») говорит само за себя. Загрузочная флешка создается полностью аналогично, так как программы имеют практически одинаковый интерфейс.
Загрузка UEFI и подготовка к установке
Нажмите кнопку F7 и выберите подраздел «Дополнительно». Во вкладке «boot» или «startup» (загрузка) нужно выбрать функцию «поддержка USB» и установить там пункт « Full initialization» ( полная инициализация).
Во вкладке «безопасная загрузка» (Secure Boot) следует отметить пункт «Windows uefi mode» (Режим Виндовс UEFI).
Во вкладке «Загрузка» выбирается «Compatibility Support Module» (модуль поддержки совместимости) и отмечается как «enabled» (доступный). Не будет лишним кликнуть на добавочные ссылки и найти строчку «настройки загрузочных устройств», где выбрать « only uefi» ( только uefi).
Теперь вернитесь назад в основное меню и проверьте приоритет загрузочных устройств. Сначала выбирается флеш-накопитель, затем жесткий диск. Сохраните указанные параметры нажатием кнопки F10, потом – Enter и подождите, пока компьютер загрузится.
После выполнения всего вышеперечисленного можно установить операционную систему привычным для вас способом.
Устранение ошибки, возникающей в Windows 8.1
Если после установки windows или после обновления версии до 8.1 в правом углу монитора появляется уведомление о неправильной регулировке secure boot (защищенной загрузки).
На большинстве компьютеров неполадка решается заходом в меню uefi и включением режима «Secure boot» в БИОСе.
После загрузки и установки обновления компьютер перезагрузится и уведомления об ошибке больше не будут появляться.
Как отключить UEFI
Если у вас не Windows 7-8-10, а XP или Ubuntu, режим UEFI может вызвать проблемы при запуске ОС с диска или флеш-карты. Лучшим решением будет отключить данный режим.
Алгоритм отключения UEFI:
Описанная инструкция предназначена для ноутбуков марки ASUS, но для остальных марок алгоритм одинаков, разница в том, какую клавишу нужно нажимать во время старта компьютера.
Как узнать, включен ли режим безопасного запуска
Этот вариант подходит для восьмой и десятой версий Windows. Нажмите кнопки Windows+R и в полученном окне введите команду «msinfo32» ( без кавычек). Нажмите кнопку Enter.
UEFI — что это такое и чем он отличается от BIOS?
Чтобы сделать работу на компьютере или ноутбуке ещё более эффективной, пользователь должен иметь представление о множестве на первый взгляд маловажных деталей: не только то, как узнать модель материнской платы или видеокарты, но и как настроить очерёдность обращения к дискам при загрузке ОС. Привычнее всего делать это в BIOS; есть и более современное решение — UEFI. Что это такое и как работает — попробуем разобраться.
Что такое UEFI?
UEFI (Unified Extensible Firmware Interface, унифицированный интерфейс поддерживающий расширения прошивки) — это программно-аппаратное решение, пришедшее на смену привычной БИОС (базовой системе ввода-вывода).
Посредством интерфейса, распространяемого в виде одного или нескольких файлов, пользователь может:
Таким образом, UEFI, как и БИОС, которой он пришёл на смену, служит «посредником» между низкоуровневой прошивкой аппаратуры и операционной системой; не задействовав один из этих интерфейсов, пользователь или вовсе не сможет запустить ОС, или получит ненастраиваемую, работающую с гораздо меньшей эффективностью машину.
Первые модификации UEFI, тогда ещё просто EFI, появились в начале 1990-х годов. По-настоящему «унифицированный» вариант был выпущен Intel в конце 2000 года под номером версии 1.02. Актуальная на сегодня версия 2.6 увидела свет через шестнадцать лет; несмотря на активное развитие интерфейса, включить UEFI можно пока не на всех компьютерах — перед разработчиками стоит множество нерешённых задач, связанных в первую очередь с проблемами совместимости.
Важно: несмотря на то что каждый производитель компьютеров и ноутбуков разрабатывает и внедряет свой вариант UEFI, принципы работы программно-аппаратной связки едины — не только для разного оборудования, но и для разных операционных систем, включая Windows, Linux и MacOS.
Разница между UEFI и BIOS
Хотя оба интерфейса выполняют одну задачу, разница между UEFI и BIOS есть — найти отличия не сложнее, чем узнать, как выбрать самый лучший винчестер для своего ПК. Первое и главное отличие, которое стоит вынести отдельно, — это обилие функций UEFI, приближающее эту связку к полноценной операционной системе со своими опциями, дополнениями и расширениями.
Кроме того, UEFI отличается от BIOS:
Среди не слишком приятных моментов, отличающих UEFI от BIOS, можно отметить:
Важно: в третьем случае, а также для запуска на компьютере или ноутбуке с UEFI 32-битных ОС пользователю придётся переключаться обратно на БИОС — если требуется часто запускать разные операционки на одной машине, это крайне неудобно, однако всё же лучше полного отсутствия возможности доступа к старым системам.
Как включить UEFI?
Включить режим UEFI на компьютере или ноутбуке можно двумя способами: из BIOS или непосредственно из операционной системы, о чём было упомянуто выше. В первом случае пользователю нужно:
Чтобы вызвать UEFI непосредственно из-под работающей операционной системы Windows 8/8.1/10, понадобится:
Вот и всё — пользователю удалось включить UEFI; теперь никаких сложностей с использованием этого простого и удобного интерфейса не возникнет.
Как отключить UEFI?
Отключается UEFI в порядке, обратном включению:
Важно: в таком режиме параметр расширенной совместимости CSM Support будет недоступен для изменений — чтобы включить или отключить его, потребуется вновь активировать UEFI.
Подводим итоги
UEFI — это расширенная программно-аппаратная связка, пришедшая на смену стандартной БИОС. Основные её плюсы — простота, наличие русского языка и возможность работать с жёсткими дисками с разметкой GPT; минусы — несовместимость со старыми операционными системами и архитектурой х86. Включить и отключить UEFI можно, зайдя в BIOS, а настроить — непосредственно из Windows 8/8.1/10 без необходимости перезагрузки.
попадаю в «старт меню», теперь уже нажимаю F-9 Boot Device Options (изменение настроек загрузки),
попадаю в меню загрузки, но моей флешки Kingston там нет, хотя она уже подсоединена к ноутбуку (флешка точно загрузочная).
Тоже самое происходит и с загрузочным диском Windows 7.
Вот думаю и «чудо враждебной техники», тогда поступлю по другому, изменю приоритет загрузки прямо в БИОС UEFI, перезагружаю ноутбук, далее жму при загрузке опять ESC, попадаю в «старт меню», теперь уже нажимаю F-10 BIOS Setup
Как видим параметр безопасной загрузки Secure Boot в БИОС включен,
отключаю его, ставлю в положение «Disabled», а опцию «Legacy support» перевёл в положение «Enabled», выходит предупреждение, выбираю Yes,
затем жму F-10 (сохраняю настройки, жму Yes и перезагружаюсь),
после перезагрузки выходит вот это окно, с сообщением
A change to the operating system secure boot mode is pending. Please enter the pass code displayed below to complete the change. If you did not initiate this request, press the ESC key to continue without accepting the pending change
Как загрузить с флешки или диска ноутбук HP Pavillion
а после перезагрузки жмём на ESC, попадаем в «старт меню», нажимаем F-9 Boot Device Options (изменение настроек загрузки),
попадаем в меню загрузки и здесь уже присутствует наша флешка Kingston, выбираем её и жмём Enter, наш ноутбук загружается с флешки.
Как настроить порядок загрузки Boot order в BIOS или в UEFI
Что такое Boot order и зачем он нужен?
Boot order, в переводе означает последовательность или дословно порядок загрузки, если вариантов загрузки много — с жесткого диска, флешки, сети, привода CD/DVD, то нужно их как-то отсортировать по порядку, и первым выставить основной, это значительно сократит время включения и загрузки компьютера, ведь ему не придется перебирать все варианты загрузки в поиске актуального.
Как настроить порядок загрузки Boot order в BIOS
Существует несколько вариантов настроек, пункты меню могут называться по разному и располагаться в разных местах, но принципиально разных вариантов всего два:
Первый вариант более распространен и немного проще в настройке, нужно зайти в BIOS и найти меню с настройками загрузки обычно он называется Boot или Startup, на этой странице отображаются настройки загрузки комьпютера или ноутбука их список зависит от производителя, в примере Boot order называется просто Boot но может иметь и другое название, заходим в него:
Видим меню Boot Priority Order и слева инструкцию о том как менять порядок, в общем стрелками вверх/вниз выбираете нужный пункт и клавишами + и — поднимаете его в списке или соответственно отпускаете:
После настройки выходим в предыдущее меню, в подавляющем большинстве BIOS выход — Esc. В примере еще есть пункт Boot Order Lock — он нужен для того чтоб зафиксировать порядок загрузки и он не менялся при подключении других устройств с которых возможна загрузка, косвенно он так же повышает защищенность вашего устройства — злоумышленник не сможет подключить загрузочную флешку и загрузиться с нее:
Второй вариант чаще всего встречается на старых компьютерах, тут в Boot Device Priority выстраиваются по списку типы устройств — жесткие диски, флешки, сеть и т. д., а в пункте Hard Disk Drives, который не всегда находится рядом можно настроить приоритет загрузки уже с конкретных устройств:
Настраиваем, сохраняем настройки, перегружаемся и проверяем что всё работает как надо. Ниже еще несколько примеров где искать настройку Boot Order, на совсем старых компьютерах встречается такой вариант:
Заходим в меню Advanced BIOS Features, в прямоугольнике «Boot Order» — первое, второе и соответственно третье загрузочное устройство, из выпадающего меню нужно выбрать тип, если жестких дисков несколько (флешки тоже часто считаются за жесткий диск) то в самом первом пункте — Hard Disk Boot Priority можно указать их приоритет: 
Пункт «Boot Order» может быть запрятан в неожиданном месте: 
Как настроить порядок загрузки Boot order в UEFI
Настройка Boot Order в UEFI, не сильно отличается от таковой в BIOS, и выполняется по практически такому же алгоритму.
Заходим в BIOS UEFI, при включении обычно внизу экрана выводится подсказка о том как это сделать, для компьютеров в 99% случаев это F2 или DEL, для ноутбуков вариантов больше Esc, F1, F2, F10, F11, F12 (иногда их нужно нажимать вместе с кнопкой Fn) в общем пробуйте. У меня все просто можно жать F2 или DEL:
жму и попадаю в UEFI, интерфейс у всех производителей более-менее стандартизирован и построен по одному принципу, сразу после входа в UEFI вы попадаете на информационный экран с общими данными о компьютере и показаниями основных параметров температур, напряжений и т. п. Тут можно сразу пройти в меню Boot Priority и все настроить, но мы пойдем по старинке — ищем способ переключения в расширенный режим, обычно либо есть соответствующая кнопка (на картинке ниже указана стрелкой), либо внизу указана клавиша с помощью которой можно перейти в Advanced Mode в нашем случае F7, жмем: 
Тут выбираем стрелками вверх вниз или мышкой — Advanced Mode
И попадаем в расширенное меню, отдаленно собой напоминающее BIOS, только побогаче в графическом плане, тут переходим в раздел Boot и далее в Hard Drives BBS Priorities:
и настраиваем приоритет загрузки, выбирая из выпадающего меню напротив каждого пункта Boot Option нужный жесткий диск:
После того как настройка Boot Order закончена жмем на Exit вверху, выбираем Save Changes & Reset для сохранения настроек и перезагрузки компьютера:
Перегружаемся и проверяем что загрузка пошла сразу с указанного устройства, без потерь времени на опрос остальных.
В общем как видно никакой сложности в настройке Boot Order нет, а с помощью этой статьи вы легко сможете исправить проблемы с загрузкой на своем компьютере или ноутбуке, если что-то не получается — пишите в комментарии, желательно сразу с фото, я подскажу куда жать.
