Что такое uefi boot — подробное руководство

Большинство пользователей обновили свои компьютеры: приобрели новые системным блоки, материнские платы или ноутбуки в последние года четыре.

Примечательностью новых машин является то, что устаревшая система ввода-вывода BIOS больше не используется, её место заняла усовершенствованная прошивка под названием UEFI.

Она обладает огромными количеством преимуществ над BIOS, которые сегодня и рассмотрим.

Более подробно же остановимся на утилите UEFI Boot: узнаем, что это и почему его так не любят пользователи.

Содержание:

Эволюция системного программного обеспечения

Более двух десятилетий в качестве ПО низкого уровня, используемого при старте компьютера для тестирования его оборудования, передачи управления железом главной загрузочной записи MBR, которая выбирает и запускает загрузчик нужной операционной системы, использовался BIOS.

C его помощью пользователи могут управлять огромным количеством параметров аппаратных компонентов.

CMOS – электронный элемент с независимым питанием в виде батарейки, где и хранится вся текущая конфигурация компьютера.

BIOS появился еще в конце 80-х годов. Да, он регулярно усовершенствовался и обновлялся, модифицировался под потребности пользователей и разработчиков, давая им возможность управлять режимами работы оборудования и электропитанием, но всему когда-то приходит конец. Тем более, что система ввода/вывода – тот компонент, который меньше всего претерпел изменения за почти три десятка лет в области информационных технологий.
Рис. 1 – Внешний вид UEFI

Рис. 1 – Внешний вид UEFI

BIOS обладает массой недостатков:

  • он не поддерживает загрузку из жестких дисков объёмом больше 2 ТБ – купили вы новый винчестер на 3 или 4 ТБ, а установить операционную систему на него не сможете, это технологическое ограничение главной загрузочной записи (никто в 80-х и не подумывал, что HDD могут быть столь неимоверного объема);
  • BIOS функционирует в 16-ти битном режиме (при том, что фактически все современные процессоры являются 64 и 32-х битными) при использовании всего 1024 КБ памяти;
  • процесс одновременной инициализации нескольких устройств поддерживается, но он весьма неотлажен и проблематичен, что снижает скорость запуска компьютера (каждый аппаратный компонент и интерфейс инициализируется отдельно);
  • БИОС – рай для пиратов – он не имеет никаких защитных механизмов, что позволяет загружать любые операционные системы и драйверы, в том числе с изменённым кодом и неподписанные (нелицензионные).

Первая версия UEFI разработана корпорацией Intel для Itanium, но позже была портирована на IBM PC.

Это самостоятельная операционная система с графическим интерфейсом, состоящая из множества модулей и имеющая неограниченный доступ к ресурсам аппаратных компонентов.

Особенности новой EFI с графическим интерфейсом:

  • её код написан полностью на C++, что позволяет увеличить производительность во время загрузки ПК посредством задействования возможностей 64-разрядных центральных процессоров;
  • адресного пространства операционной системы хватает для поддержки 8*1018 байт дискового пространства (такого запаса хватит на несколько десятилетий) при том, что весь объем цифровой информации на данный момент почти на три порядка ниже;
  • адресация оперативной памяти – теоретические расчёты показывают, что UEFI позволит устанавливать до 16 эксабайт оперативной памяти (на 9 порядков больше, чем в мощных современных ПК);
  • ускоренная загрузка ОС осуществляется благодаря параллельной инициализации аппаратных компонентов и загрузке драйверов;
  • драйверы подгружаются в оперативную память ещё до запуска операционной системы, причём они не являются платформозависимыми;
  • вместо старой схемы разметки разделов используется прогрессивная GPT, однако для её задействования придётся отформатировать жесткий диск;
  • удобная и симпатичная графическая оболочка поддерживает управление посредством мыши;
  • есть встроенные утилиты для диагностики, изменения конфигурации и обновления прошивок аппаратных компонентов;
  • поддержка макросов в формате .nsh;
  • модульная архитектура – позволяет загружать собственные драйверы или скачанные из интернета;
  • одно из самых значимых и важнейших изменений (в частности для Microsoft), которые привнесла UEFI – наличие Secure Boot Option. Она вызвана оберегать Bootloader от выполнения вредоносного кода, защитить операционную систему от вирусов ещё до её запуска посредством эксплуатации цифровых подписей.

Рис. 2 – Схема взаимодействия оборудования и ОС посредством UEFI

Рис. 2 – Схема взаимодействия оборудования и ОС посредством UEFI

О последней функции поговорим подробнее.

вернуться к меню ↑

Secure Boot

Название технологии переводится как «безопасная загрузка» и представляет собой протокол, который является составляющей спецификации графической EFI.

Появился вместе в Windows 8, но не является обязательным для реализации производителями материнских плат и портативных компьютеров.

Если вкратце, Secure Boot позволяет проверять наличие и подлинность цифровых подписей, находящихся в хранилище, посредством эксплуатации технологий ассиметричной криптографии.

В 2011 году, когда интерфейс ещё не был представлен для широкой публики, Microsoft выдвинули требования для сертификации персональных компьютеров с операционной системой Windows 8 (и как следствие Windows 10).

Этим софтвенная корпорация попыталась уменьшить количество пользователей, устанавливающих на свои компьютеры взломанные версии ОС и увеличить без того колоссальные прибыли.

Однако пользовательское сообщество встретило такие изменения весьма недружелюбно. Во-первых, далеко не каждый готов платить сотни долларов за какую-то ни было Windows, во-вторых, для ARM отключить Secure Boot нельзя, что повлекло за сотой третье последствие – затруднение, а порой и невозможность установки операционных систем, отличных от Windows.

На планшетах под управлением предустановленной «десятки» деактивировать Secure Boot невозможно.
вернуться к меню ↑

Режимы

Работает «безопасная загрузка» в четырёх режимах, а не двух, как себе представляет большинство пользователей:

  • Setup Mode (режим настройки) – активация возможна только из пользовательского режима, в нем требуется аутентификация для записей db, dbx, KEK и PK;
  • Audit Mode – режим аудита – возможна активация из пользовательского или режима настройки – не требует аутентификации, в нем могут запускаться прошедшие проверку образы, а сведения обо всех процедурах аутентификации заносятся в специальную базу данных, которую можно просматривать из среды операционной системы. Это предоставляет возможность тестировать комбинации ключей/цифровых подписей;
  • User Mode – пользовательский – возможен переход из развёрнутого и режима настройки. В нём осуществляется валидация образов;
  • Deployed Mode – развёрнутый – переход возможен из второго или третьего режима, самый безопасный ввиду того, что все переменные доступны только для чтения.

Особенностью технологии является то, что защита от выполнения неподписанного кода осуществляется не только на этапе запуска операционной системы, но и в её среде, как в Windows, так и в Linux на уровне ядра. Но при наличии определённых навыков и знаний ключи можно легко заменить.
вернуться к меню ↑

Преимущества и недостатки

Positives
  • Высокий уровень безопасности – гарантирует защиту от функционирования руткитов в системных файлах операционной системы, работа которых приведёт к недействительности цифровых подписей модифицированных файлов.
  • Путём внесения в базу запрещенных для запуска операционных систем можно ограничить список загружаемых ОС.

Negatives
  • Все драйверы, которые запускаются на этапе загрузки ОС, должны быть подписанными, иначе они не загрузятся и соответствующие устройства не будут использоваться. Это требует согласования разработчиками системного программного обеспечения и производителями платформ момента добавления их ключей продуктов в доверенное хранилище.
  • Разработчики ОС не обязаны реализовывать функцию деактивации Secure Boot. Добавление ключей программами в доверенное хранилище должно быть запрещено, что усложняет эту процедуру и для пользователей.
  • Многие версии прошивок имеют уязвимости, позволяющие обходить Secure B

Пара первых недостатков значительно усложняет эксплуатацию неподписанных платформ и ОС, а также драйверов, имеющих неизвестные для запускаемых операционок подписи.
вернуться к меню ↑

Как проверить текущее состояние

Узнать, активирована ли данная функция на вашем компьютере или ноутбуке, можно несколькими путями:

  • в процессе инсталляции новой операционной системы, когда появится ошибка, что это сделать невозможно;
  • посредством диагностической утилиты msinfo32;
  • через командную строку.

Msinfo32

Запустить приложение можно множеством способов. Мы используем самый простой.

  • Открываем окно «Выполнить» посредством комбинации клавиш Win + R или через ярлык в «Пуске».
  • Вводим команду «msinfo32» и выполняем её кнопкой «ОК» или клавишей «Enter».

Вследствие появится окно «Сведения о системе», где в строке «Состояние безопасности системы» содержатся необходимые сведения о текущем режиме защиты.

Рис.3 - Сведения о системе

Рис.3 — Сведения о системе

Командная строка

  1. Запускаем её любым способом.
  2. Выполняем команду «Confirm-SecureBootUEFI».

Если ответом будет «True», функция активирована, «False» — отключена, «Не является внутренней командой» или «not supported» — не поддерживается текущей операционной системой.

Может быть в случаях эксплуатации Windows 7 или старых системных плат с BIOS.

Рис.4 – Проверка режима работы Secure Boot через командную строку в Windows 10

Рис.4 – Проверка режима работы Secure Boot через командную строку в Windows 10

вернуться к меню ↑

Включение и отключение

В той или иной ситуации может потребоваться отключить Secure Boot.

Для этого необходимо войти в меню настройки UEFI, найти соответствующий параметр и изменить его значение на требуемое.

Зайти в меню настройки можно посредством специальной клавиши (F11, Del, F2), которая зависит от производителя устройства или через «Параметры» Windows 8-10.

  • Жмём Win + I.
  • Выбираем «Обновление, безопасность».
  • Кликаем по пиктограмме «Восстановление» и перезагружаем компьютер.

После этого ПК перезапустится и появится интерфейс UEFI.

В настройках модифицированного БИОС находим пункт, отвечающий за деактивацию функции Secure Boot, и переключаем её в нужный режим.

На многих устройствах опция размещена на главной странице или в разделе безопасности «Security».

Вместо положения «Отключено» («Disable») могут быть варианты с иной операционной системой, например, «Other OS».

После выбора нужного варианта сохраняем настройки и выходим из меню.

вернуться к меню ↑

Проблемы

Иногда после завершения запуска Windows 8-10 в углу рабочего стола отображается надпись, предупреждающая, что Secure Boot неправильно сконфигурирована.

Чаще всего, для решения проблемы необходимо перейти в меню настроек BIOS и включить функцию защиты SB точно таким образом, как мы её отключали немного выше.

Если это не поможет, сбрасываем настройки UEFI на заводские.

Ещё может помочь обновление ОС, в частности апдейт под названием KB288320.

Мы рассмотрели, что такое Boot Secure в UEFI: каковы её функции, особенности, преимущества и недостатки, а также провели параллели между устаревшим BIOS и его заменой в лице EFI с графическим пользовательским интерфейсом.

Что такое uefi boot — подробное руководство
Проголосовать

Дмитрий Самолюк

«Только инновация отличает лидера от догоняющего»

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Извините, для комментирования необходимо войти.
Geek-Nose
Register New Account
Пароль