Secure Boot Violation: oorzaken, oplossingen en stapsgewijze UEFI-handleiding

Als u de kennisgeving van Boot Als u 'Secure Boot Violation' krijgt en uw computer komt niet verder dan dit scherm, maak u dan geen zorgen: u bent niet de enige. Dit bericht verschijnt voordat het besturingssysteem geladen is. en heeft meestal te maken met de manier waarop het BIOS/UEFI de digitale handtekeningen van bootloaders verifieert.

Op veel computers, vooral merken als ASUS, is de Secure Boot-verificatie van Microsoft standaard ingeschakeld om u te beschermen tegen malware en schoenkits. Het probleem ontstaat wanneer de 'sleutels' of handtekeningen die de UEFI verwacht, niet overeenkomen met die van de bootloader. die probeert je te starten Windows of jij Linux, waardoor de veiligheidsvergrendeling wordt geactiveerd.

Wat is Secure Boot en waarom zie ik dit bericht?

Secure Boot is een UEFI-functie die ervoor zorgt dat alleen software kan worden opgestart die is ondertekend door vertrouwde instanties (Microsoft, fabrikanten of de gebruiker, indien van toepassing). Tijdens het opstarten vergelijkt de UEFI de bootloader-handtekening met een database met geautoriseerde sleutels.Als er iets ongewoons wordt gedetecteerd, wordt het proces onderbroken en treedt er een beveiligde opstartfout op.

Er zijn veelvoorkomende scenario's die dit veroorzaken. Bijvoorbeeld, op computers met Windows 8.1, 10 of 11, als u het systeem opnieuw installeert, de editie wijzigt of een ander besturingssysteem installeert dan het vooraf geïnstalleerde besturingssysteem, de toetsen van de bootloader kunnen scheef komen te staan vergeleken met die geregistreerd door de UEFI. Dit is voldoende om de verificatie te laten mislukken en u te verhinderen verder te gaan.

Een ander klassiek geval doet zich voor bij Windows 7: dit systeem ondersteunt geen Secure Boot. Na bepaalde updates, zoals KB3133977, zijn er opstartfouten opgetreden. omdat de UEFI een handtekening verwacht die Windows 7 niet kan bieden, waardoor de controle ongeldig is.

Als u vanuit een Linux- of dual-bootomgeving werkt, is de kans op een crash nog groter. Installaties met GRUB, aangepaste kernels of niet-ondertekende loaders kan een crash veroorzaken, vooral wanneer u Secure Boot opnieuw inschakelt nadat u het voor de installatie had uitgeschakeld.

Veelvoorkomende symptomen en berichten

De meest voorkomende waarschuwing is 'Secure Boot Violation'. Op veel computers ziet u een ondertitel als deze: 'Ongeldige handtekening gedetecteerd. Controleer het beleid voor veilig opstarten in de installatie.Kortom, de UEFI vertelt u dat de handtekening van de bootloader die u probeert uit te voeren, niet overeenkomt met het Secure Boot-beleid en dat u de firmware-instellingen moet controleren.

Soms verschijnt het zonder verdere informatie, maar soms bevat het algemene instructies om het BIOS/UEFI te openen of wordt u gedwongen opnieuw op te starten. Als het uitschakelen van Secure Boot ervoor zorgt dat de computer normaal opstart in zowel Windows als Linux, de oorzaak wordt bevestigd: het is een probleem van handtekeningen of verificatiebeleid, niet van hardware.

Hoe krijg ik toegang tot het BIOS/UEFI om instellingen te wijzigen?

Op ASUS-computers (en vele andere) kunt u de firmware-instellingen openen met een zeer specifieke combinatie. Met de computer uit, Houd de F2-toets (of Delete-toets) ingedrukt en druk, zonder deze los te laten, op de aan/uit-knopLaat de toets niet los totdat u het BIOS/UEFI-scherm ziet.

Eenmaal binnen kunt u door de menu's navigeren met de pijltjestoetsen en de Enter-toets, of door het touchpad of de muis als uw UEFI dit toelaat. Zoek de secties die betrekking hebben op Laars of Beveiliging, waar de Secure Boot-instellingen zich doorgaans bevinden.

Om wijzigingen op te slaan, drukt u doorgaans snel op F10 en OK. Zodra u het opslaan bevestigt, wordt de computer opnieuw opgestart en worden de wijzigingen toegepast.Als u een instelling uitprobeert en deze werkt niet, kunt u deze altijd op dezelfde manier ongedaan maken.

Instellingen voor veilig opstarten wijzigen: Methode 1 (tabblad Opstarten)

Op veel ASUS-computers kunt u de verificatie eenvoudig uitschakelen door het type besturingssysteem te wijzigen. Ga naar het tabblad Opstarten en zoek de optie Beveiligd opstarten.In dat gedeelte zou een parameter moeten verschijnen die lijkt op 'Type besturingssysteem'.

Selecteer die parameter en kies, in plaats van de optie die verwijst naar Windows in UEFI-modus, 'Ander besturingssysteem'. Met deze wijziging wordt Secure Boot effectief uitgeschakeld. en laat de computer doorgaan met niet-ondertekende laders of met handtekeningen die niet door de UEFI-database worden herkend.

Houd een belangrijke opmerking in gedachten: Als u Windows instelt op de UEFI-modus, schakelt u Secure Boot opnieuw in.Voor deze modus moet de bootloader zijn ondertekend door een door UEFI erkende autoriteit (meestal Microsoft en de sleutels van de fabrikant). Als uw systeem niet overeenkomt, treedt de overtreding opnieuw op.

Wanneer u klaar bent met de wijzigingen, slaat u ze op met F10, bevestigt u de wijzigingen en laat u de computer opnieuw opstarten. Als het systeem nu weer normaal opstart, is het probleem terug te voeren op de verificatielaag.U kunt Secure Boot uitschakelen, maar u kunt ook plannen om Secure Boot later weer correct te activeren.

Instellingen voor veilig opstarten wijzigen: Methode 2 (tabblad Beveiliging)

Een andere veelgebruikte route is het tabblad Beveiliging. Navigeer naar Beveiliging en zoek 'Beveiligd opstarten'. Zoek in dat menu naar 'Secure Boot Control' (of 'Security Boot Menu', afhankelijk van de vertaling) en verander het naar Uitgeschakeld.

De nomenclatuur kan variëren afhankelijk van het model en de firmwareversie, maar het idee is hetzelfde: Schakel Secure Boot Control uit naar 'Uitgeschakeld', zodat de UEFI de bootloader niet blokkeert.Nadat u het beleid hebt toegepast, slaat u het op en accepteert u het met F10. De computer wordt vervolgens opnieuw opgestart om het nieuwe beleid toe te passen.

Als u een computer gebruikt die niet van ASUS is, kan het pad enigszins afwijken. Op moederborden van andere fabrikanten kan 'Secure Boot' aanwezig zijn. Instellingen, opstarten, beveiliging of authenticatieHet belangrijkste is dat u de bedieningsschakelaar en het toetsenbord voor veilig opstarten vindt.

U kunt deze instelling altijd terugdraaien en Secure Boot opnieuw inschakelen als u ondertekende loaders of een compatibele configuratie gereed hebt. U kunt weer toegang krijgen door Secure Boot tijdelijk uit te schakelen, maar de extra beveiliging van Secure Boot wordt aanbevolen. als alles in orde is.

Het typische geval van dual boot met Windows en Arch Linux

Een voorbeeld uit de praktijk: Nadat ik een tutorial had gevolgd om Arch Linux naast Windows te installeren en Secure Boot tijdens de installatie had uitgeschakeld, verscheen er bij het opnieuw inschakelen een waarschuwing in de trant van: 'Secure Boot Violation: Invalid signature; check policy in settings.' In dit scenario starten beide systemen prima op als Secure Boot is uitgeschakeld., maar als het aan staat, wordt het proces geblokkeerd.

Dit gebeurt omdat, tenzij anders geconfigureerd, GRUB, de Linux-kernel of de bootketen heeft geen door UEFI geaccepteerde handtekening.Op moederborden zoals de Gigabyte B650M wordt de Linux bootloader-handtekening niet geverifieerd met de databasesleutels wanneer u Secure Boot opnieuw activeert, waardoor de schending plaatsvindt.

Wat kun je doen als je Secure Boot actief wilt houden tijdens dual-booten? In de Linux-wereld zijn er twee hoofdopties: Gebruik de 'shim'-keten die is ondertekend door een externe CA van Microsoft (als uw distributie deze aanbiedt), of onderteken de loader en kernel zelf. en registreer uw sleutel (MOK/KEK) in de UEFI.

Op distributies die 'shim' ondersteunen (bijvoorbeeld veel gebaseerd op Debian/Ubuntu en Fedora) is het voldoende om de ondertekende shim- en grub-pakketten te installeren, en Zorg ervoor dat 'Microsoft 3rd Party UEFI CA' is ingeschakeld in uw UEFIDe eerste keer zal het systeem u bij het opstarten vragen om de Eigenaarssleutel (MOK) te registreren. Accepteer dit en start het apparaat opnieuw op. Vervolgens zou de verificatie moeten slagen.

Op Arch Linux, waar dit vaak door de gebruiker zelf wordt geconfigureerd, kunt u ervoor kiezen om uw binaire bestanden te ondertekenen met hulpmiddelen als sbctl of sbsigntools. Het proces omvat het genereren van uw sleutelpaar, het ondertekenen van de loader (bijv. GRUB of systemd-boot) en de kernel/EFI-stub, en het invoeren van uw openbare sleutel. in de UEFI (via MOK Manager of rechtstreeks, afhankelijk van de methode die u kiest). Hierna kan Secure Boot uw opstartketen valideren.

Als u al hebt geprobeerd om de fabrieksinstellingen in de UEFI te herstellen en het niet werkte, is dit een teken dat Het is niet voldoende om de PK/KEK/DB/DBX-basen terug te brengen naar de bron.; Ook moet de loader die u wilt gebruiken, ondertekend zijn door een van de vertrouwde sleutels, of moet u een nieuwe registreren die uw binaire bestand legitimeert.

Fabrikantspecificaties: ASUS en Gigabyte

Bij ASUS is er, naast de genoemde routes, nog een nuance die het waard is om te onthouden: De instelling 'Windows UEFI' is gelijkwaardig aan het inschakelen van Secure Boot., en 'Ander besturingssysteem' om het uit te schakelen. Als u Windows opnieuw installeert of van editie verandert, kan een sleutelmismatch het opstarten verhinderen. veilige modus tot het weer uitgelijnd is.

Op Gigabyte-moederborden (zoals een B650M) bevindt het menu Beveiligd opstarten zich meestal onder Instellingen of Beveiliging, met een submenu voor handtekeningverificatie en sleutelbeheer. Controleer of de modus is ingesteld op 'Standaard' of 'Aangepast', afhankelijk van of u alleen de fabriekssleutels of uw eigen sleutels gaat gebruiken.Als u shims en handtekeningen van derden gaat gebruiken, schakel dan 'Microsoft 3rd Party UEFI CA' in als uw firmware dit blootstelt.

Vermijd het verwijderen van de DBX (revoked binaries list), omdat Het wordt gebruikt om kwetsbare of gecompromitteerde laders te blokkerenAls u moet wissen, hoeft u alleen maar 'Reset to factory keys' uit te voeren om PK/KEK/DB/DBX terug te zetten naar de oorspronkelijke staat. Probeer het daarna opnieuw met een correct ondertekende bootloader.

Gigabyte biedt u ook de mogelijkheid om Secure Boot wereldwijd uit te schakelen als u alleen maar weer toegang wilt krijgen terwijl u de opstartketen aanpast. Schakel het uit, start het systeem op, bereid de bootloader-handtekening voor en schakel het vervolgens weer in. om de bescherming te behouden.

Wanneer u Secure Boot moet uitschakelen en wat de risico's zijn als u het uit laat

Het uitschakelen van Secure Boot is een handige oplossing om het opstarten direct te herstellen of terwijl u dual boot instelt. U verliest echter wel een relevante beveiligingslaag op firmwareniveau., wat aanvallen tegengaat die vóór het besturingssysteem worden geladen.

Als u het definitief weglaat, overweeg dan om andere lagen te versterken: Schijfversleuteling, opstarten met UEFI-wachtwoord en goede upgradepraktijkenZodra uw loader en kernel correct zijn ondertekend, is het een goed idee om ze opnieuw te activeren.

Voor bedrijfsomgevingen of blootgestelde apparatuur is het raadzaam om Secure Boot actief te houden en laarzenkettingen ondertekend door vertrouwde sleutelsEnterprise-distributies bieden doorgaans alles wat nodig is om met externe CA's van Microsoft te werken.

Op thuiscomputers, als u alleen Windows gebruikt en de opstartprocedure niet hebt gewijzigd, Een schone herinstallatie van Windows in de UEFI-modus lijnt de toetsen doorgaans uit en lost het probleem op verificatiefouten, mits er geen merkwaardige wijzigingen in de firmware zijn.

Als niets werkt: reset de sleutels, bekijk het beleid en vraag om hulp.

Als u de schending nog steeds ziet, ook al is alles in orde, ga dan naar de UEFI en zoek naar de optie 'Reset to factory keys' of een vergelijkbare optie om PK, KEK, DB en DBX opnieuw in te stellen. Probeer na het herstellen een goedgekeurde en compatibele oplader.; Als het op Windows werkt, maar niet op Linux, moet u de handtekeningenketen op de Linux-kant voltooien.

Een andere manier is om het exacte beleid te controleren dat door uw firmware wordt toegepast: sommige apparaten scheiden de 'Standaard'-modus (alleen fabriekscodes) van de 'Aangepaste'-modus (waardoor u uw eigen codes kunt toevoegen). Als u van plan bent uw eigen handtekeningen te gebruiken, activeer dan de aangepaste modus en voeg uw MOK toe of uw certificaat aan de DB van toegestane handtekeningen.

Wanneer de situatie wijst op een storing van de firmware zelf (bijvoorbeeld onverwachte crashes, opties die zichzelf resetten of het niet kunnen opslaan van sleutels), Neem contact op met de ondersteuningsdienst van de fabrikant van uw computer of moederbord.In het geval van ASUS kan het klantenservicecentrum u door de stappen leiden die specifiek zijn voor uw model.

Als u alleen geïnteresseerd bent in opties systeemherstel Windows (herstellen, herstellen of repareren), Ontdek geavanceerde herstelfuncties aangeboden door Microsoft. Deze hulpmiddelen zijn nuttig als het probleem bij het besturingssysteem ligt., maar onthoud dat 'Secure Boot Violation' zijn oorsprong vindt in de firmware-fase.

Aanbevolen procedures om toekomstige 'Secure Boot Violations' te voorkomen

Voordat u Windows opnieuw installeert of wijzigt, moet u controleren of u dit in de UEFI-modus doet met een GPT-partitie. Voorkom ook dat u Legacy/CSM-modi met UEFI combineert. Hoe consistenter de firmware en het systeem zijn, hoe kleiner de kans dat u niet overeenkomende handtekeningen tegenkomt..

Als u Linux gebruikt, controleer dan of uw distributie ondertekende 'shim'-pakketten en loaders aanbiedt. Voor aangepaste kernels moet u rekening houden met ondertekening en sleutelregistratie. zodat de UEFI ze kan valideren zonder het opstarten te blokkeren.

Werk de UEFI/BIOS bij naar de nieuwste stabiele versie wanneer dit door de fabrikant wordt aanbevolen. Verbeteringen en oplossingen voor de compatibiliteit van Secure Boot komen vaak voorVoer de update uiteraard uit terwijl het apparaat is ingeschakeld en volg de instructies zorgvuldig.

Vermijd plotselinge wijzigingen in de sleuteldatabase als deze niet nodig zijn. Het is veiliger om gewoon de fabrieksinstellingen te herstellen dan DBX te wissen of PK/KEK te wijzigen zonder plan.Een fout in deze regels kan ertoe leiden dat de firmware bijna alles afwijst, waardoor herstel lastig wordt.

Specifieke opmerkingen over Windows 7, Windows 8.1/10/11 en Secure Boot

Windows 7 ondersteunt Secure Boot niet. Als u dit programma installeert op computers waarop de functie is ingeschakeld, is de kans groot dat de verificatie mislukt. Bepaalde updates, zoals KB3133977, hebben deze incompatibiliteit aan het licht gebracht., wat resulteert in opstartfouten wanneer de UEFI geldige handtekeningen vereist.

Windows 8.1, 10 en 11 bieden wel ondersteuning, maar er zijn wel wat nuances: Herinstallaties, editiewijzigingen of installaties van een andere versie dan waarmee de computer werd geleverd kunnen discrepanties veroorzaken totdat de lader en de sleutels weer gesynchroniseerd zijn.

Als u de Windows-bootloader moet repareren, kunt u de herstelomgeving gebruiken om BCD opnieuw te bouwen of de bootloader opnieuw te installeren. Houd Secure Boot altijd in gedachten: als u het actief houdt, probeer dan officiële en ondertekende media te gebruiken. om verdere blokkades te voorkomen.

Als alle andere oplossingen falen, kunt u Windows meestal opnieuw installeren in de UEFI-modus en het installatieprogramma de ondertekende loader opnieuw laten configureren. Vervolgens kunt u Linux toevoegen met een compatibele opstartketen., als dat je doel is.

Als u het moet uitschakelen: ga naar Opstarten of Beveiliging, zoek 'Beveiligd opstarten' of 'Beveiligd opstarten' en stel het in op Uitgeschakeld, of verander het 'Type besturingssysteem' in 'Ander besturingssysteem'. Opslaan met F10 en proberen op te starten.

Als u het moet inschakelen: Kies 'Windows UEFI' of stel 'Secure Boot Control' in op Ingeschakeld. Zorg ervoor dat uw loader is ondertekend en dat de keybase (DB) die handtekening herkent (hetzij van Microsoft, de fabrikant, of van u).

Als u Linux met shim gebruikt: schakel Microsoft 3rd party CA in als de optie bestaat, en registreer de MOK wanneer daarom wordt gevraagd bij de eerste keer opstartenAls u uw binaire bestanden ondertekent, voegt u uw openbare sleutel toe aan de DB of gebruikt u MOK Manager.

Als er iets mislukt na het aanpassen van de sleutels: Herstel PK/KEK/DB/DBX naar de fabrieksinstellingen en probeer het opnieuw met een officiële, ondertekende loader. Als het probleem zich blijft voordoen, is de ondersteuning van de fabrikant uw volgende bondgenoot..

De beruchte 'Secure Boot Violation' hoeft geen doodlopende weg te zijn: weten wat de UEFI controleert en hoe je de juiste handtekeningen instelt, U kunt uw apparaat veilig opnieuw opstarten zonder dat dit ten koste gaat van de beveiliging., ongeacht of u alleen Windows gebruikt of met Linux in dual boot werkt.

Gerelateerd artikel:

Bestanden buiten Windows Boot scannen en repareren met SFC en DISM: Geavanceerde handleiding voor probleemoplossing

Isaac

Gepassioneerd schrijver over de wereld van bytes en technologie in het algemeen. Ik deel mijn kennis graag door te schrijven, en dat is wat ik in deze blog ga doen: je de meest interessante dingen laten zien over gadgets, software, hardware, technologische trends en meer. Mijn doel is om u te helpen op een eenvoudige en onderhoudende manier door de digitale wereld te navigeren.