- Secure Boot estää käynnistyslataimet, joilla ei ole kelvollista allekirjoitusta tai joita UEFI ei tunnista.
- Windows 7 Ei tuettu; uudelleenasennus ja kaksoiskäynnistys voivat aiheuttaa ongelmia.
- Deaktivointi on väliaikainen helpotus; todellinen ratkaisu on allekirjoittaa tai käyttää oikeita avaimia.
- Jos vahvistus epäonnistuu, palauta tehdasasetukset ja ota yhteyttä valmistajaan.
Jos olet törmännyt ilmoitukseen tavaratila 'Secure Boot Violation' ja tietokoneesi ei pääse tuota näyttöä pidemmälle, älä huoli: et ole yksin. Tämä viesti tulee näkyviin ennen käyttöjärjestelmän lataamista. ja liittyy yleensä siihen, miten BIOS/UEFI tarkistaa käynnistyslatainten digitaaliset allekirjoitukset.
Monissa tietokoneissa, erityisesti ASUSin kaltaisissa merkeissä, Microsoftin Secure Boot -vahvistus on oletuksena käytössä suojaamaan sinua haittaohjelmat ja bootkit-paketit. Ongelma syntyy, kun UEFI:n odottamat "avaimet" tai allekirjoitukset eivät vastaa käynnistyslataimen odottamia. joka yrittää käynnistää sinun Windows tai sinä Linux, mikä laukaisee turvalukon.
Mikä on Secure Boot ja miksi näen tämän viestin?
Secure Boot on UEFI-ominaisuus, joka on suunniteltu sallimaan vain luotettavien tahojen (Microsoftin, valmistajien tai käyttäjän) allekirjoittaman ohjelmiston käynnistymisen. Käynnistyksen aikana UEFI vertaa käynnistyslataimen allekirjoitusta valtuutettujen avainten tietokantaan.Jos se havaitsee jotain epätavallista, prosessi keskeytetään ja tapahtuu suojatun käynnistyksen rikkominen.
Tähän on tyypillisiä syitä. Esimerkiksi Windows 8.1-, 10- tai 11-tietokoneissa, jos asennat järjestelmän uudelleen, vaihdat versiota tai asennat eri käyttöjärjestelmän kuin esiasennettu, käynnistyslataimen näppäimet saattavat olla väärin kohdistettuja verrattuna UEFI:n rekisteröimiin. Tämä riittää aiheuttamaan vahvistuksen epäonnistumisen ja estämään jatkamisen.
Toinen klassinen tapaus vaikuttaa Windows 7:ään: tämä järjestelmä ei tue Secure Boot -toimintoa. Tiettyjen päivitysten, kuten KB3133977, jälkeen on esiintynyt käynnistysvirheitä. koska UEFI odottaa allekirjoitusta, jota Windows 7 ei pysty tarjoamaan, joten tarkistus mitätöidään.
Jos käytät Linux- tai kaksoiskäynnistysympäristöä, kaatuminen on vielä todennäköisempää. Asennukset GRUBilla, mukautetuilla ytimillä tai allekirjoittamattomilla lataajilla voi laukaista kaatumisen, varsinkin kun Secure Boot otetaan uudelleen käyttöön sen poistamisen jälkeen asennuksen ajaksi.
Yleisiä oireita ja viestejä
Yleisin varoitus on "Secure Boot Violation". Monissa tietokoneissa näet seuraavanlaisen alaotsikon: Virheellinen allekirjoitus havaittu. Tarkista Secure Boot -käytäntö asetuksista.Lyhyesti sanottuna UEFI kertoo, että käynnistyslataimen allekirjoitus, jota yrität suorittaa, ei vastaa sen Secure Boot -käytäntöä ja että sinun on tarkistettava laiteohjelmiston asetukset.
Joskus se ilmestyy ilman lisätietoja; toisinaan se sisältää yleisiä ohjeita BIOS/UEFI-asetuksiin siirtymiseen tai pakottaa käynnistämään tietokoneen uudelleen. Jos Secure Bootin poistaminen käytöstä aiheuttaa tietokoneen käynnistymisen normaalisti sekä Windowsissa että Linuxissa, syy on vahvistettu: kyseessä on allekirjoitusten tai varmennuskäytäntöjen ongelma, ei laitteisto.
BIOSin/UEFI:n käyttäminen asetusten muuttamiseksi
ASUS-tietokoneissa (ja monissa muissa) voit siirtyä laiteohjelmiston asetuksiin hyvin tietyllä näppäinyhdistelmällä. Tietokoneen ollessa sammutettuna, Pidä F2-näppäintä (tai Delete-näppäintä) painettuna ja paina virtapainiketta vapauttamatta sitä.Älä vapauta näppäintä, ennen kuin näet BIOS/UEFI-näytön.
Kun olet sisällä, voit liikkua valikoissa nuolilla ja Enter-näppäimellä tai käyttämällä kosketuslevy tai hiiri, jos UEFI sallii senEtsi aiheeseen liittyvät osiot Saapas tai Suojaus, jossa suojatun käynnistyksen asetukset yleensä sijaitsevat.
Muutosten tallentamiseen pikavalinta on yleensä F10 ja OK. Kun vahvistat tallennuksen, tietokone käynnistyy uudelleen ja muutokset tulevat voimaan.Jos kokeilet asetusta eikä se toimi, voit aina palata takaisin ja kumota sen samalla tavalla.
Suojatun käynnistyksen asetusten muuttaminen: Menetelmä 1 (Käynnistys-välilehti)
Monissa ASUS-tietokoneissa helppo tapa poistaa vahvistus käytöstä on vaihtaa käyttöjärjestelmän tyyppiä. Siirry Käynnistys-välilehdelle ja etsi Suojattu käynnistys -vaihtoehto.Kyseisessä osiossa pitäisi näkyä parametri, joka on samanlainen kuin 'Käyttöjärjestelmän tyyppi'.
Valitse kyseinen parametri ja valitse UEFI-tilassa olevan Windowsin sijaan "Muu käyttöjärjestelmä". Tuo muutos poistaa tehokkaasti käytöstä Secure Bootin. ja sallii tietokoneen jatkaa allekirjoittamattomilla latausohjelmilla tai allekirjoituksilla, joita UEFI-tietokanta ei tunnista.
Sinun kannattaa pitää mielessä tärkeä huomio: Jos asetat Windowsin UEFI-tilaan, otat suojatun käynnistyksen uudelleen käyttöön.Tämä tila edellyttää, että käynnistyslataimen on allekirjoittanut UEFI-tunnistettu taho (yleensä Microsoftin ja valmistajan avaimet), joten jos järjestelmäsi ei täsmää, rikkomus ilmestyy uudelleen.
Kun olet tehnyt muutoksen, tallenna se painamalla F10-näppäintä, vahvista ja anna tietokoneen käynnistyä uudelleen. Jos järjestelmä käynnistyy uudelleen normaalisti, olet eristänyt ongelman varmennuskerrokseen.Voit käyttää Secure Boot -toimintoa poissa käytöstä tai ajastaa sen aktivoitavaksi uudelleen myöhemmin.
Suojatun käynnistyksen asetusten muuttaminen: Menetelmä 2 (Suojaus-välilehti)
Toinen yleinen reitti on Tietoturva-välilehti. Siirry kohtaan Tietoturva ja etsi 'Suojattu käynnistys'. Etsi tuosta valikosta kohta 'Secure Boot Control' (tai 'Security Boot Menu' käännöksestä riippuen). ja vaihda se tilaan Ei käytössä.
Nimikkeistö voi vaihdella mallista ja laiteohjelmistoversiosta riippuen, mutta idea on sama: Vaihda Secure Boot Control -asetukseksi 'Disabled', jotta UEFI ei lukitse käynnistyslataajaa.Kun käytäntö on otettu käyttöön, tallenna ja hyväksy se painamalla F10-näppäintä. Tietokone käynnistyy uudelleen uuden käytännön käyttöönottamiseksi.
Jos tietokoneesi ei ole ASUS, polku voi olla hieman erilainen. Eri valmistajien emolevyillä 'Secure Boot' voi olla Asetukset, Käynnistys, Suojaus tai TodennusTärkeintä on paikantaa ohjauskytkin ja Secure Boot -avaimenperä.
Muista, että voit aina palauttaa tämän asetuksen ja ottaa Secure Bootin uudelleen käyttöön, kun sinulla on allekirjoitetut latausohjelmat tai yhteensopiva kokoonpano valmiina. Sen väliaikainen poistaminen käytöstä auttaa palauttamaan käyttöoikeuden, mutta Secure Bootin lisäsuojausta suositellaan. kun kaikki on kerran järjestyksessä.
Tyypillinen tapaus kaksoiskäynnistyksestä Windowsin ja Arch Linuxin kanssa
Käytännön esimerkki: Kun Arch Linux asennettiin Windowsin rinnalle ohjeiden mukaisesti ja Secure Boot poistettiin käytöstä asennuksen aikana, sen uudelleen käyttöönoton jälkeen näkyviin tuli varoitus, jossa luki "Secure Boot Violation: Invalid signature; check policy in settings". Tässä tilanteessa molemmat järjestelmät käynnistyvät oikein, jos suojattu käynnistys on poistettu käytöstä., mutta sen ollessa päällä prosessi on estetty.
Tämä tapahtuu, koska ellei toisin ole määritetty, GRUBilla, Linux-ytimellä tai käynnistysketjulla ei ole UEFI:n hyväksymää allekirjoitusta.Emolevyillä, kuten Gigabyte B650M:llä, kun Secure Boot aktivoidaan uudelleen, Linuxin käynnistyslataimen allekirjoitus ei varmennu tietokanta-avaimien kanssa ja rikkomus tapahtuu.
Mitä voit tehdä, jos haluat pitää Secure Bootin aktiivisena kaksoiskäynnistyksen aikana? Linux-maailmassa on kaksi päävaihtoehtoa: Käytä Microsoftin kolmannen osapuolen varmenteiden myöntäjän allekirjoittamaa 'shim'-ketjua (jos jakelusi tarjoaa sitä) tai allekirjoita lataaja ja ydin itse. ja rekisteröi avaimesi (MOK/KEK) UEFIin.
'Shim'-pakettia tukevissa jakeluissa (esimerkiksi monissa Debian/Ubuntu- ja Fedora-pohjaisissa) riittää, että asennetaan allekirjoitetut shim- ja grub-paketit. Varmista, että UEFI-kortissasi on käytössä 'Microsoft 3rd Party UEFI CA'.Ensimmäisellä kerralla järjestelmä pyytää sinua rekisteröimään omistajan avaimen (MOK) käynnistyksen yhteydessä; hyväksy, käynnistä uudelleen, ja sen jälkeen vahvistuksen pitäisi onnistua.
Arch Linuxissa, jossa tämä jätetään usein käyttäjän määritettäväksi, voit allekirjoittaa binäärisi työkaluilla, kuten sbctl tai sbsigntools. Prosessiin kuuluu avainparin luominen, latausohjelman (esim. GRUB tai systemd-boot) ja kernel/EFI-tynkän allekirjoittaminen sekä julkisen avaimesi syöttäminen. UEFIssa (MOK Managerin kautta tai suoraan valitsemastasi menetelmästä riippuen). Tämän jälkeen Secure Boot pystyy validoimaan käynnistysketjusi.
Jos olet jo yrittänyt palauttaa tehdasasetukset UEFI:ssa eikä se toiminut, se on merkki siitä, että PK/KEK/DB/DBX-tukikohtien palauttaminen lähteelle ei riitä.Tarvitset myös haluamasi latausohjelman, joka on allekirjoitettu jollakin näistä luotettavista avaimista, tai rekisteröidäksesi uuden, joka laillistaa binäärisi.
Valmistajan tiedot: ASUS ja Gigabyte
ASUSissa on mainittujen reittien lisäksi vivahde, joka kannattaa muistaa: 'Windows UEFI' -asetus vastaa suojatun käynnistyksen ottamista käyttöön.ja 'Muu käyttöjärjestelmä' poistaaksesi sen käytöstä. Jos asennat Windowsin uudelleen tai vaihdat versiota, avainten yhteensopimattomuus voi estää käynnistyksen. vikasietotila kunnes se taas linjautuu.
Gigabyten emolevyillä (kuten B650M) Secure Boot -valikko löytyy yleensä Asetukset- tai Suojaus-kohdasta, ja siinä on alivalikko allekirjoituksen varmentamista ja avainten hallintaa varten. Tarkista, että tilaksi on asetettu 'Vakio' tai 'Mukautettu' riippuen siitä, aiotko käyttää vain tehdasavaimia vai omia avaimiasi.Jos aiot käyttää kolmannen osapuolen shim-tiedostoja ja allekirjoituksia, ota käyttöön 'Microsoft 3rd Party UEFI CA', jos laiteohjelmistosi sallii sen.
Vältä DBX:n (peruttujen binäärien luettelon) poistamista, koska Sitä käytetään estämään haavoittuvia tai vaarantuneita kuormaajiaJos sinun täytyy tyhjentää tiedot, palauta PK/KEK/DB/DBX alkuperäiseen tilaansa valitsemalla 'Palauta tehdasavaimet' ja yritä uudelleen oikein allekirjoitetulla käynnistyslataimella.
Gigabyte antaa sinun myös poistaa Secure Bootin käytöstä maailmanlaajuisesti, jos haluat vain saada käyttöoikeuden takaisin samalla, kun hienosäädät käynnistysketjuasi. Poista se käytöstä, käynnistä järjestelmä, valmistele käynnistyslataimen allekirjoitus ja ota se sitten uudelleen käyttöön. suojan ylläpitämiseksi.
Milloin Secure Boot kannattaa poistaa käytöstä ja mitä riskejä sen pois päältä jättämisessä on.
Suojatun käynnistyksen poistaminen käytöstä on kätevä ratkaisu käynnistyksen palauttamiseksi välittömästi tai kaksoiskäynnistyksen määrittämisen aikana. Menetät kuitenkin olennaisen suojauskerroksen laiteohjelmistotasolla., joka lieventää hyökkäyksiä, jotka latautuvat ennen käyttöjärjestelmää.
Jos jätät sen pysyvästi pois, harkitse muiden kerrosten vahvistamista: Levyn salaus, UEFI-salasanalla käynnistys ja hyvät päivityskäytännötKun latausohjelma ja ydin on allekirjoitettu oikein, on hyvä idea aktivoida ne uudelleen.
Yritysympäristöissä tai alttiilla laitteilla on suositeltavaa pitää Secure Boot aktiivisena ja käyttää luotettujen avainten allekirjoittamat käynnistysketjutYritysversiot tarjoavat tyypillisesti kaiken tarvittavan Microsoftin kolmannen osapuolen varmennesertifikaatin myöntäjän kanssa toimimiseen.
Kotikoneilla, jos käytät vain Windowsia etkä ole muokannut käynnistystä, Windowsin puhdas uudelleenasennus UEFI-tilassa yleensä kohdistaa näppäimet ja ratkaisee ongelman. vahvistusvirheitä, edellyttäen, että laiteohjelmistossa ei ole erityisiä muutoksia.
Jos mikään ei auta: Palauta avaimet, tarkista käytännöt ja pyydä apua.
Jos näet edelleen rikkomuksen, vaikka kaikki on kunnossa, siirry UEFIin ja etsi 'Palauta tehdasasetukset' -vaihtoehto tai vastaava vaihtoehto PK:n, KEK:n, DB:n ja DBX:n palauttamiseksi. Palautuksen jälkeen kokeile allekirjoitettua ja yhteensopivaa laturia.Jos se toimii Windowsissa, mutta ei Linuxissa, sinun on täydennettävä allekirjoitusketju Linuxin puolella.
Toinen tapa on tarkistaa laiteohjelmistosi käyttämä tarkka käytäntö: jotkut laitteet erottavat 'Vakio'-tilan (vain valmistajan avaimet) 'Mukautettu'-tilasta (jolloin voit lisätä omia). Jos aiot käyttää omia allekirjoituksiasi, ota käyttöön mukautettu tila ja lisää MOK-allekirjoituksesi. tai sertifikaattisi sallittujen allekirjoitusten tietokantaan.
Kun tilanne viittaa itse laiteohjelmiston vikaan (esim. odottamattomat kaatumiset, asetusten nollautuminen tai avainten tallentamisen kyvyttömyys), Ota yhteyttä tietokoneesi tai emolevyn valmistajan tukeen.ASUS-tapauksissa heidän asiakaspalvelukeskuksensa voi opastaa sinua mallikohtaisissa vaiheissa.
Jos olet kiinnostunut vain vaihtoehdoista järjestelmän palautus Windows (palautus, entisöinti tai korjaus), Tutustu edistyneisiin palautusominaisuuksiin Microsoftin tarjoama. Nämä työkalut auttavat, jos ongelma on käyttöjärjestelmässä., vaikkakin on muistettava, että 'Secure Boot Violation' on peräisin laiteohjelmistovaiheesta.
Parhaat käytännöt tulevien Secure Boot -rikkomusten estämiseksi
Ennen kuin asennat uudelleen tai vaihdat Windows-versioita, varmista, että teet sen UEFI-tilassa GPT-osiolla ja vältä Legacy/CSM-tilojen ja UEFI:n yhdistämistä. Mitä enemmän laiteohjelmiston ja järjestelmän välillä on yhdenmukaisuutta, sitä pienempi on mahdollisuus törmätä toisiinsa liittyviin allekirjoituksiin..
Jos käytät Linuxia, tarkista, tarjoaako jakelussasi allekirjoitettuja 'shim'-paketteja ja latausohjelmia. Mukautettujen ytimien tapauksessa suunnittele allekirjoittaminen ja avainten rekisteröinti. jotta UEFI voi validoida ne estämättä käynnistystä.
Päivitä UEFI/BIOS uusimpaan vakaaseen versioon valmistajan suosittelemalla tavalla. Secure Boot -yhteensopivuuden parannukset ja korjaukset ovat yleisiäSuorita päivitys tietenkin laitteen ollessa päällä ja ohjeita huolellisesti noudattaen.
Vältä avaintietokannan äkillisiä muutoksia, elleivät ne ole välttämättömiä. Tehdasasetusten palauttaminen on turvallisempaa kuin DBX:n pyyhkiminen tai PK/KEK:n muokkaaminen ilman suunnitelmaa.Näissä säännöissä oleva virhe voi johtaa siihen, että laiteohjelmisto hylkää lähes kaiken, mikä vaikeuttaa palauttamista.
Erityishuomautuksia Windows 7:stä, Windows 8.1/10/11:stä ja Secure Bootista
Windows 7 ei tue Secure Boot -toimintoa. Jos asennat sen tietokoneisiin, joissa ominaisuus on käytössä, vahvistus todennäköisesti epäonnistuu. Tietyt päivitykset, kuten KB3133977, ovat korostaneet tätä yhteensopimattomuusongelmaa., mikä johtaa käynnistysvirheisiin, kun UEFI vaatii kelvollisia allekirjoituksia.
Windows 8.1:ssä, 10:ssä ja 11:ssä tukea on olemassa, mutta siinä on vivahteita: Uudelleenasennukset, versiomuutokset tai asennukset, jotka eivät ole tietokoneen alkuperäisversiota voi aiheuttaa eroja, kunnes latausohjelma ja avaimet ovat taas synkronoituja.
Jos sinun on korjattava Windowsin käynnistyslataimen, voit käyttää sen palautusympäristöä BCD:n uudelleenrakentamiseen tai käynnistyslataimen uudelleenasentamiseen. Tee se aina Secure Boot -ominaisuuden mielessä: jos pidät sen aktiivisena, käytä virallista ja allekirjoitettua tallennusvälinettä. lisätukosten välttämiseksi.
Kun mikään muu epäonnistuu, Windowsin uudelleenasentaminen UEFI-tilassa ja asentajan antamalla määrittää allekirjoitetun latausohjelman uudelleen toimii yleensä. Voit sitten lisätä Linuxin yhteensopivalla käynnistysketjulla., jos olet objektiivinen.
Jos sinun on poistettava se käytöstä: siirry kohtaan Käynnistys tai Suojaus, etsi 'Suojattu käynnistys' tai 'Suojatun käynnistyksen hallinta' ja aseta se tilaan Ei käytössä tai muuta 'Käyttöjärjestelmän tyyppi' -asetukseksi 'Muu käyttöjärjestelmä'. Tallenna F10-näppäimellä ja yritä käynnistystä.
Jos sinun on otettava se käyttöön: Valitse 'Windows UEFI' tai aseta 'Secure Boot Control' -asetukseksi Käytössä. Varmista, että latausohjelmasi on allekirjoitettu ja että avainkanta (DB) tunnistaa kyseisen allekirjoituksen. (joko Microsoftilta, valmistajalta tai omaltasi).
Jos käytät Linuxia ja shim-tiedostoa: ota käyttöön Microsoftin kolmannen osapuolen varmenteiden myöntäjä, jos vaihtoehto on olemassa, ja rekisteröi MOK, kun sitä pyydetään ensimmäisen käynnistyksen yhteydessäJos allekirjoitat binäärisi, lisää julkinen avaimesi tietokantaan tai käytä MOK Manageria.
Jos jokin epäonnistuu näppäinten säätämisen jälkeen: Palauta PK/KEK/DB/DBX tehdasasetuksiin ja yritä uudelleen virallisella allekirjoitetulla latausohjelmalla. Jos se jatkuu, valmistajan tuki on seuraava liittolaisesi..
Surullisenkuuluisan "Secure Boot Violationin" ei tarvitse olla umpikuja: sen tietäminen, mitä UEFI tarkistaa ja miten oikeat allekirjoitukset asetetaan, Voit käynnistää laitteen turvallisesti uudelleen tinkimättä suojauksesta., käytätpä sitten vain Windowsia tai Linuxia kaksoiskäynnistyksessä.
Intohimoinen kirjoittaja tavujen maailmasta ja tekniikasta yleensä. Rakastan jakaa tietämykseni kirjoittamalla, ja sen aion tehdä tässä blogissa, näyttää sinulle kaikki mielenkiintoisimmat asiat vempaimista, ohjelmistoista, laitteistoista, teknologisista trendeistä ja muusta. Tavoitteeni on auttaa sinua navigoimaan digitaalisessa maailmassa yksinkertaisella ja viihdyttävällä tavalla.