- Pornirea securizată protejează cizmă Se încarcă doar software-ul semnat; dezactivarea acestuia nu dăunează hardwaredar reduce siguranța înainte de pornire.
- Dezactivarea acesteia poate fi necesară pentru Linux/Batocera sau ferestre din versiuni mai vechi; reactivați-l mai târziu dacă utilizați Windows 10/11.
- En Ferestre 11UEFI+TPM 2.0+Secure Boot sunt esențiale; după actualizare sau resetare BIOS-ul Este posibil să fie nevoie să le reactivați.
- Dacă Secure Boot este listat ca Inactiv, restaurați cheile din fabrică din UEFI (Key Management) și salvați apăsând F10.
Dacă vă întrebați ce se întâmplă când dezactivați Secure Boot Probabil acest lucru se datorează faptului că ați întâmpinat un avertisment când ați încercat să porniți de pe un USB a unei distribuții LinuxBatocera sau un alt sistem nesemnat. Nu vă faceți griji: este o întrebare foarte frecventă și există o explicație. Aici veți afla exact ce este această funcție, când este cel mai bine să o dezactivați, cum să o faceți pas cu pas și ce implicații reale are pentru securitate, compatibilitate și pornire.
În plus, Veți vedea exemple practice, cum ar fi instalarea unor sisteme Linux, Batocera sau Windows mai vechi....precum și ce ar trebui să știi dacă ai Windows 11: UEFI, Secure Boot și TPM 2.0 merg mână în mână. De asemenea, trecem în revistă situațiile tipice din ASUS BIOS/UEFI și cum se poate remedia starea Secure Boot Not Active prin restaurarea cheilor din fabrică.
Ce este Secure Boot și de ce există?
Secure Boot, sau bootarea securizată, este o caracteristică a firmware-ului UEFI care Permite computerului să ruleze doar software semnat și de încredere în timpul pornirii.Acestea sunt de obicei acceptate de chei susținute de producător, iar pe PC-urile cu Windows, de Microsoft. Scopul lor este de a împiedica încărcarea bootkit-urilor, rootkit-urilor sau a încărcătoarelor modificate înaintea sistemului de operare.
Odată cu apariția UEFI în era Windows 8, Secure Boot a devenit un pilon al lanțului de bootareAcest control anterior sistemului de operare în sine a fost util în special împotriva malware persistent care se blochează în procesul de pornire, dar a adus cu sine o consecință: dacă ceva nu este semnat cu cheile acceptate de firmware, acesta nu pornește.
Cum afectează acest lucru Linux și alte sisteme? Ani de zile a fost o durere de capAcest lucru se datora faptului că multe distribuții nu aveau bootloader-e semnate de Microsoft. Astăzi, mai multe distribuții, cum ar fi Ubuntu pe 64 de biți, includ shim/GRUB semnat și sunt compatibile; cu toate acestea, nu toate sunt, iar pe unele sisteme, încă apar blocări dacă cheile sau modul firmware nu se potrivesc.
Există o altă nuanță importantă: cu Windows 10 Microsoft a încetat să mai solicite producătorilor să dezactiveze Secure Boot.Asta înseamnă că, în funcție de dispozitiv, este posibil să îl poți dezactiva... sau nu. Depinde de placa de bază sau de laptop și de ce a decis producătorul de echipamente originale în setările UEFI.
Ce se întâmplă dacă dezactivezi Secure Boot?
Primul: Nu veți deteriora hardware-ul și nu veți „spărge” sistemul dezactivându-lEste o setare de firmware. Eliminarea funcției Secure Boot reduce protecția la pornire, dar nu produce nicio modificare fizică și nu degradează componentele. Impactul este asupra securității: pierzi bariera care împiedică pornirea software-ului neverificat.
Acum, Dezactivarea acesteia poate fi necesară și legitimă în diverse scenarii. De exemplu, pentru a porni sisteme nesemnate (Batocera, unele distribuții Linux, instrumente de diagnosticare) sau când încercați să utilizați versiuni mai vechi de Windows care nu sunt compatibile cu Secure Boot.
În lumea reală se întâmplă des: încerci să pornești Batocera de pe USB și primești un mesaj urât de bootare securizată. Dezactivarea Secure Boot deblochează de obicei unitatea USB pentru a porni. Și vă va permite să încercați sau să instalați fără acea restricție prealabilă. Cu toate acestea, este recomandabil să îl reactivați după ce ați terminat dacă veți utiliza Windows ca sistem de operare principal.
Trebuie amintit că Secure Boot nu înlocuiește software-ul antivirus sau bunele practici.Este o verificare a integrității la pornire. Dezactivarea acesteia nu te expune automat la dezastru, dar deschide o fereastră pe care malware-ul de nivel scăzut ar putea-o exploata dacă computerul tău este compromis.
Când este potrivit să îl menținem activat?
Dacă utilizați Windows 10 sau 11 ca sistem principal și nu aveți nevoie de instrumente sau sisteme alternative, Cel mai înțelept lucru de făcut este să lăsați Secure Boot activat.Este un strat suplimentar împotriva amenințărilor care manipulează procesul de pornire, ajută la stabilitatea lanțului de pornire și nu ar trebui să interfereze cu operațiunile zilnice.
De asemenea, este de preferat Mențineți-l activ pe echipamente gestionate sau sensibile. (automatizare birotică, muncă, studiu) unde prioritatea este asigurarea integrității pornirii și respectarea cerințelor de siguranță ale producătorului sau ale organizației.
Cum se dezactivează Secure Boot (două metode)
Setarea este în UEFI/BIOS. Îl poți accesa din Windows sau cu o cheie la pornire.Ruta exactă variază în funcție de producător, dar există tipare comune.
Acces direct UEFI/BIOS cu cheie: Când porniți PC-ul, apăsați tasta indicată pe ecranul de pornire. De obicei, este F1, F2, F12 sau Esc, iar pe unele computere desktop mai vechi, este Delete. Dacă pornirea este rapidă, încercați de mai multe ori. sau activați întârzierea POST în setări.
Din Windows (Pornire avansată): Accesați Setări > Actualizare și securitate > Recuperare și atingeți Repornire acum sub Pornire avansată. După repornire, alegeți Depanare > Opțiuni avansate > Setări firmware UEFIAcceptați pentru a reporni din nou și veți intra în UEFI.
Odată ajuns în UEFI, localizați Secure Boot. De obicei, se găsește în file precum Securitate, Pornire sau AutentificareSelectați Secure Boot și schimbați valoarea de la Enabled la Disabled. Salvați și ieșiți (de obicei cu F10) pentru a aplica modificările și a reporni.
Notă importantă: Dacă utilizați BitLocker sau Device Encryption, Când modificați opțiunile de bootare, unitatea poate solicita cheia de recuperare. la următoarea pornire. Țineți la îndemână parola înainte de a atinge aceste setări și consultați diagnosticarea problemelor de pornire ca să nu te blochezi.
Note specifice pentru plăcile de bază și laptopurile ASUS
Pe multe computere ASUS, Intri în UEFI cu F2 În timp ce porniți sistemul, apăsați F7 pentru Modul Avansat. Căutați Securitate > Pornire Securizată și accesați Control Pornire Securizată. Acolo îl puteți seta pe Activat sau Dezactivat. Salvați cu F10 și reporniți pentru ca modificările să aibă efect.
Pe unele desktopuri ASUS, Opțiunea apare ca Tip sistem de operareModul UEFI Windows (activează Secure Boot) sau modul Alt sistem de operare (îl dezactivează). Dacă comutați între aceste moduri, starea Secure Boot se schimbă în mod corespunzător, așa că ar trebui să salvați și să ieșiți pentru ca modificările să aibă efect.
Dacă vedeți „Pornire securizată inactivă”, Activează controlul Secure Boot și restaurează cheile din fabrică. În portabil Și AIO, puteți merge la Gestionare chei, puteți alege Reseteaza La Modul de configurare și apoi la Restaurare chei din fabrică. Pe computerele desktop, uneori trebuie să setați Modul de pornire securizată la Personalizat, să ștergeți cheile (Ștergeți cheile de pornire securizată) și să le instalați pe cele implicite (Instalare chei implicite de pornire securizată).
În interfața MyASUS din UEFI, pașii sunt foarte asemănătoriActivați Secure Boot Control, accesați Key Management, apăsați Reset to Setup Mode, apoi Restore Factory Keys. Salvați modificările cu F10 pentru a le activa după repornire.
Cum se reactivează Secure Boot
Dacă l-ați dezactivat pentru a instala o placă grafică, un sistem de operare sau un instrument, Îl poți reactiva urmând aceeași cale până când ajungeți la setarea Secure Boot. Comutați la Enabled și salvați apăsând F10.
Pe unele dispozitive, pentru a-l reactiva Va trebui să selectați modul Personalizat și să încărcați cheile. încorporat de producător. Dacă nu îl puteți activa, încercați să resetați UEFI la setările din fabrică și repetați activarea.
Dacă computerul nu pornește după activarea funcției Secure Boot, Reveniți la UEFI și dezactivați-l temporar.De obicei, acest lucru indică faptul că sistemul pe care încercați să îl porniți nu este semnat sau că lipsește o cheie de încredere din baza de date UEFI. Dacă problema persistă, vedeți cum Reparați procesul de bootare cu Bootrec.
Linux, dual boot și cazul Batocera
Cu Linux, situația s-a îmbunătățit: Unele distribuții moderne acceptă Secure Boot și pornesc fără nicio modificare (de exemplu, Ubuntu pe 64 de biți cu un shim semnat). Cu toate acestea, alte distribuții sau instrumente nesemnate rămân blocate, iar aici dezactivarea Secure Boot face lucrurile mult mai ușoare.
Batocera, axată pe jocuri retro, De obicei bootează de pe USB.Dacă vedeți mesajul și ecranul de eroare Secure Boot când încercați să porniți, dezactivarea acestei funcții vă va permite să o încercați sau să o instalați. Acest lucru nu este neobișnuit sau rău: înseamnă pur și simplu că bootloader-ul nu este semnat cu chei pe care UEFI le recunoaște.
Consecințe de durată? Nu există efecte permanente asupra hardware-ului sau software-uluiEste un comutator de politică de pornire. Nu uita să îl reactivezi dacă revii la instalarea obișnuită de Windows și vrei să restaurezi acel strat de protecție pre-pornire.
Pe dispozitivele la care producătorul nu permite dezactivarea acesteia, Luați în considerare utilizarea distribuțiilor care acceptă Secure Boot sau verificați dacă producătorul original de echipamente originale oferă actualizări de firmware cu chei actualizate care adaugă suport pentru mai multe încărcătoare.
Windows 7: nostalgie da, dar cu nuanțe
Mulți oameni încearcă să instaleze Ferestre 7 din nostalgie și găsești capturi de ecran sau restarturi. Dacă trebuie să porniți în modul de siguranțăGhidul respectiv ar putea fi de ajutor, dar dezactivarea Secure Boot este aproape esențială, deoarece Windows 7 a fost conceput pentru BIOS/Legacy și nu pentru Secure Boot modern. Totuși, dezactivarea funcției de blocare a bootării nu garantează că veți evita ecranele albastre.
De ce? Drivere și suportWindows 7 a ajuns la sfârșitul perioadei de suport în ianuarie 2020. Hardware-ul modern nu are drivere native (USB 3.0, NVMe, chipset-uri recente), ceea ce poate duce la erori de instalare sau instabilitate. În plus, securitatea sa este inferioară și nu mai primește patch-uri.
Dacă totuși încerci, Este posibil să fie nevoie să activați compatibilitatea CSM/legacypregătiți o unitate USB cu drivere injectate și chiar format discul a MBRNimic din toate acestea nu este recomandat pe un computer principal: complică pornirea și compromite funcțiile moderne de securitate.
Pentru toate acestea, Recomandarea rezonabilă este să utilizați Windows 10 sau 11.Dacă obiectivul tău este pur și simplu să rulezi software clasic, ia în considerare o mașină virtuală sau un mod de compatibilitate pe un sistem acceptat.
Windows 11: UEFI, Secure Boot și TPM 2.0
Windows 11 necesită suport UEFI, TPM 2.0 și Secure Boot. După actualizarea sau resetarea BIOS-ului, este posibil ca UEFI, Secure Boot sau fTPM/AMD PSP TPM să fie dezactivate. și trebuie să le reactivați manual. Nu este neobișnuit ca setările implicite să nu le lase activate, chiar și în BIOS-urile care acceptă Windows 11.
Va porni Windows 11 dacă sunt dezactivate? Poate porni dacă a fost deja instalat.Totuși, nu veți respecta cerințele de securitate și ați putea întâmpina probleme cu unele actualizări sau validări. În mod ideal, ar trebui să reactivați UEFI (bootare fără CSM), Secure Boot și TPM 2.0 în UEFI.
Dacă treci la UEFI pur și computerul nu mai găsește Windows, Este posibil ca discul dvs. să fie încă în format MBR.Îl puteți converti în GPT fără formatare folosind instrumentul Microsoft mbr2gpt. Mai întâi, verificați-l după cum urmează: mbr2gpt /validate /disk:0 /allowfullOSDacă validarea are succes, efectuați conversia folosind comanda corespunzătoare și reporniți în modul UEFI. Pentru instrucțiuni de conversie la boot și reparare, consultați cum. analiza și repararea pornirii.
Rețineți că Activarea CSM dezactivează de obicei Secure Boot și poate necesita MBR și reinstalare. Evitați combinarea CSM cu Windows 11: bazați-vă pe UEFI, GPT și TPM pentru a menține compatibilitatea și securitatea.
BitLocker și alte avertismente la atingerea UEFI-ului
Dacă discul dumneavoastră este criptat, Modificarea opțiunilor de pornire poate declanșa ecranul de recuperare BitLocker sau Criptare dispozitiv. Asigurați-vă că ați găsit cheia în contul Microsoft sau pe portalul corporativ înainte de a modifica orice.
Unii producători Acestea actualizează baza de date cu chei de încredere cu versiuni noi de firmware. Mențineți UEFI actualizat pentru a extinde compatibilitatea și a reduce avertismentele de pornire securizată cu software legitim, semnat.
Soluție: Secure Boot apare ca Inactiv
Dacă vedeți starea ca Inactiv chiar dacă ați activat-o, restaurează cheile de pornire securizată din UEFI. Procedura tipică este să accesați Securitate > Pornire securizată > Gestionare chei și să utilizați Resetare la modul configurare, urmată de Restaurare chei din fabrică. Salvați și reporniți.
Desktop cu opțiuni avansate, Folosește modul Personalizat pentru a curăța și instala cheile impliciteȘtergeți cheile de pornire securizată și apoi instalați cheile de pornire securizată implicite. După aceea, restabiliți modul standard dacă există, activați pornirea securizată și salvați modificările.
Ce se întâmplă dacă nu găsesc opțiunea sau nu mă lasă să o dezactivez?
După cum am menționat, Unele dispozitive nu expun comutatorul. Pentru a dezactiva Secure Boot sau pentru a o ascunde, în funcție de modul firmware-ului. Încercați să comutați între modurile Simplu/Avansat (F7 pe multe dispozitive ASUS) și bifați Securitate/Boot/Autentificare.
Dacă nu apare deloc, E posibil ca producătorul să-l fi blocat.În acest caz, veți putea utiliza doar sisteme compatibile semnate cu cheile actuale; contactați asistența OEM pentru a confirma dacă există un firmware alternativ care permite acest lucru.
Compatibilitate cu plăci grafice și alte dispozitive
Există scenarii în care Instalarea anumitor GPU-uri sau hardware poate forța dezactivarea Secure Boot temporar. Dacă dispozitivul nu pornește cu funcția Secure Boot activată după modificare, încercați să o dezactivați, să instalați dispozitivul și apoi să o reactivați pentru a vedea dacă totul funcționează.
amintiți-vă că unele utilitare de diagnosticare sau instalare de la terți De asemenea, acestea sunt nesemnate și vor fi blocate cu Secure Boot. Boot-ul de pe USB cu aceste instrumente necesită de obicei dezactivarea temporară a Secure Boot.
Bune practici pentru a evita confuziile
Înainte să atingi ceva Rețineți starea actuală a UEFI/CSM, Secure Boot și TPM.Fă fotografii ale setărilor cu telefonul mobil, dacă este necesar: acest lucru te va ajuta să anulezi modificările dacă ceva nu merge conform planului.
Dacă obiectivul tău este să faci dual boot cu Linux, Începeți cu o distribuție compatibilă cu Secure Boot Și dezactivați-l doar dacă este absolut necesar. Acest lucru reduce dificultățile cu Windows 10/11 și vă previne pierderea protecției pre-pornire.
Când starea Secure Boot nu corespunde cu ceea ce vedeți, Restaurarea cheilor este de obicei soluțiaȘi nu uitați să salvați modificările cu F10 sau din meniul Salvare și ieșire, astfel încât UEFI să aplice noua politică.
Scriitor pasionat despre lumea octeților și a tehnologiei în general. Îmi place să îmi împărtășesc cunoștințele prin scriere și asta voi face în acest blog, să vă arăt toate cele mai interesante lucruri despre gadgeturi, software, hardware, tendințe tehnologice și multe altele. Scopul meu este să vă ajut să navigați în lumea digitală într-un mod simplu și distractiv.