Загрузка Windows 7 в режиме SecureBoot
Многие в курсе, что официально поддержка SecureBoot внедрена в операционные системы компании Microsoft начиная с Windows 8. Однако пользователи не спешат переходить с проверенной «семерки», благо расширенная поддержка этой ОС будет осуществляться до 2020 года. Поскольку 64-битные версии Windows 7 способны загружаться в режиме UEFI, возникает вопрос: что нужно сделать, чтобы включение SecureBoot не сломало загрузку?
Ответ на этот вопрос в технической части полностью раскрыт вот здесь. Если вкратце, в UEFI есть несколько хранилищ сертификатов шифрования: PK, KEK, db и dbx. Сертификатом из PK проверяются KEK, сертификатами из KEK проверяются db и dbx, а сертификатами из db и dbx проверяются загрузчики. Если ключ, которым подписан загрузчик, содержится в db и не содержится в dbx, то загрузка разрешается. Изначально ваш новенький (или старенький, но раз уж вы читаете эту статью, поддерживающий SecureBoot) компьютер находится в режиме настройки, т. е. в PK, KEK, db и dbx находятся ключи, которые туда заранее положил производитель вашего ПК. При сбросе настроек SecureBoot они восстановятся, но в принципе обычно вы можете сохранить их куда-нибудь при помощи интерфейса вашего UEFI.
Поскольку мы немного параноики (если совсем не параноики, можно отключить SecureBoot и прочитать эту статью просто для развлечения), мы хотим доверять только нашим ключам, а не каким-то чужим. Поэтому нам нужно прописать свои сертификаты в PK и KEK, и подписать нашим KEK-сертификатом сертификат загрузчика. Как и чем это всё можно сделать, включая создание сертификатов, прекрасно и подробно описано в уже упомянутой статье. Если нет линукса, можно взять лайв-образ или виртуалку, но у меня уже была готовая ОС, так что с подготовкой сертификатов и файлов PK и KEK проблем не возникло. А вот при создании DB мы натыкаемся на одну маленькую загвоздку: в поиске не удается найти сертификат от Microsoft, которым подписан загрузчик от Windows 7 (файл называется bootmgfw.efi).
В принципе, ничего страшного в этом нет. С ходу в голову приходят несколько вариантов решения проблемы без отключения БезопаснойЗагрузки и не имея сертификата:
- Создать свой собственный сертификат DB и подписать им загрузчик
- Взять загрузчик от Windows 8
- Погуглить еще
- В принципе в db и dbx можно кроме сертификатов запихать также хэш от файла загрузчика, как описано вот здесь. Правда, описан способ только для dbx, но для db должно быть аналогично.
Первый способ, как самый очевидный, был тут же и опробован. Однако оказалось, что не все так просто: в процессе загрузки выдается предупреждение, что файл загрузчика не подписан или подписан неверной подписью, и его нужно восстановить. Так как в момент загрузки наверняка используется не системное хранилище сертификатов, а что-то еще, замену сертификата на свой осуществить простым способом, видимо, не удастся.
Второй способ я серьезно не рассматривал, т. к. образа восьмерки у меня не было, а качать N Гб ради файла размером порядка мегабайта было лень. Да и после первого пункта были определенные сомнения относительно того, поймет ли Windows 7 сертификат от загрузчика Windows 8.
Третий способ в очередной раз не дал результатов.
Четвертый способ у меня так и не получилось «добить» — видимо, я проигнорировал фразу о том, что хэш нужно брать от неподписанного файла, сейчас уже нет смысла проверять. Но в процессе изучения команд, описанных на той странице, с целью понять, что происходит, я заметил, что в detached подписи загрузчика есть ссылки на файлы .crt на сайт microsoft.com. Вы можете достичь того же результата, выполнив команду:
В результате вы получите следующие ссылки на сертификаты:
http://www.microsoft.com/pki/certs/MicrosoftTimeStampPCA.crt
http://www.microsoft.com/pki/certs/MicrosoftWinPCA.crt
http://www.microsoft.com/pki/certs/MicrosoftRootCert.crt
К слову, даже зная, что искать, я так и не смог найти какие-то ссылки на сайте Microsoft, которые бы указывали на эти файлы.
RootCert и TimeStampPCA нам вряд ли интересны, а вот WinPCA я обработал и добавил в db. В результате Windows 7 в режиме SecureBoot загрузилась и работает успешно.
Еще хотел бы заметить, что на самом деле существует пятый способ: взять загрузчик наподобие grub2, умеющий загружать что угодно, и загружать Windows 7 им. Но тут сразу несколько препятствий: если загрузчик не проверяет подписи, то проще и осмысленней отключить SecureBoot, а если проверяет, то ему все равно нужно с чем-то сравнивать подпись. Grub2, кстати, по крайней мере в убунте, отказывается загружать винду, хотя с отключенным SecureBoot тот же пункт меню работает.
Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.
Как установить Windows 7 на UEFI?
В последнее время, многие материнские платы вместо привычной прошивки bios имеют улучшенный вариант под названием uefi. Интерфейс программы поддерживает выбор языка, позволяет использовать новые типы жестких дисков с объемом больше 2 Тб и содержит другие улучшения. Если у вас на компьютере установлена новейшая прошивка uefi bios, то мы расскажем, как установить windows 7 за несколько шагов.
Преимущества прошивки uefi перед программой bios
Плюсом прошивки uefi является необычайно эффективное ускорение загрузки вашей операционной системы. Кроме того, на uefi bios легче восстановить информацию, установить обновления и присутствуют другие преимущества. Опытные пользователи понимают разницу в дисках MBR и GPT, но вы можете не забивать голову. Просто запомните, что uefi — реальное близкое будущее, а bios морально устарело.
Неприятная особенность прошивки uefi
Самой печальной особенностью данной программы является невозможность перехода с установленной операционной системы Windows 8 на новом компьютере. Так что если у вас предустановленная 8-ка, то 7-ку вам так просто не установить. Виной всему наличие обязательного протокола, который теперь требует Microsoft от всех лицензионных версии Windows — загрузка Secure Boot, который отсутствует в Windows 7 и не предусмотрен в ранее выпущенных версиях ОС. Решить это можно отключением этой опции в меню программы. Зайдите в раздел Безопасности — Security, отключите Secure Boot.
Не забудьте включить режим совместимости! Маршрут такой: вкладка Advanced — System configuration — Boot Mod (может быть OS Mode Selection).
Найденную опцию выставляем таким образом: UEFI OS (или UEFI BOOT) меняем на «CSM Boot» или же «UEFI and Legacy OS», «CMS OS».
Не забудьте сохраниться, нажав на клавишу «F10».
Прежде чем приступить, вам либо нужно создать самостоятельно загрузочную флешку или иметь лицензионный установочный диск с этой системой. Владельцам дистрибутивов рекомендуем сразу начать переустановку, потому что метод того, как работать с загрузочной флешкой описан ниже в инструкции. Установочный диск никаких проблем не вызовет.
Теперь настроим uefi для установки с флешки.
- Меню прошивки у uefi ничем не отличается от bios: нажмите «F2» или «delete» в то время, когда пойдет процесс перезагрузки.
- В окне прошивки нажмите клавишу «F7», чтобы попасть в раздел «Дополнительно».
- В этом разделе ищем пункт «Загрузка», выбираем подпункт поддержки USB. В нем устанавливаем режим Full Initialization.
- В подпункте «Безопасная загрузка» устанавливаем нужный нам параметр — Windows uefi mode.
- Найдите вкладку под названием CSM, там при помощи стрелок необходимо выключить параметр запуска CSM. Зайдите в дополнительные опции у пункта «Параметры загрузочных устройств», найдите и подтвердите выбор режима — «only uefi». Потом в «загрузке системы с устройств хранения» необходимо выбрать both, uefi first.
- Меняем приоритет загрузки. Находим в настройках bios пункт boot priority. Поменяйте флешку местами с жестким диском, с помощью стрелок. Сохранитесь, компьютер перезагрузится.
- Теперь начнется стандартная установка Windows 7 в привычном окне.
Для того, чтобы увеличить количество доступных шрифтов в Microsoft Office или других программах, где они используются, нужно научиться их устанавливать. С помощью новых шрифтов вам удастся удивить того, кому вы отправите документ в новом.
Как известно, все новое — улучшенное старое, поэтому многие спешат опробовать Windows 10. В этой статье описано, как установить винду.
Функция родительского контроля — это организация ограничений или запрета пользования детьми определенных компьютерных программ, интернета или игр. Для этого существует множество специальных приложений, но обеспечить функцию защиты.
One Response на «Как установить Windows 7 на UEFI?»
«выключить параметр запуска CSM» Точно выключить надо? Я когда отключаю её, то подпункты пропадают
Как отключить Secure Boot
Secure boot представляет собой функцию UEFI, предотвращающую запуск не авторизованных операционных систем и программного обеспечения во время запуска компьютера. То есть Secure Boot не является функцией Windows 8 или Windows 10, а лишь используется операционной системой. А главная причина, по которой может быть нужным отключить эту функции — не работает загрузка компьютера или ноутбука с флешки (хотя загрузочная флешка сделана правильно).
Как уже было сказано, в некоторых случаях возникает необходимость отключить Secure Boot в UEFI (ПО настройки оборудования, использующийся в настоящее время вместо БИОС на материнских платах): например, данная функция может мешать загрузке с флешки или диска, при установке Windows 7, XP или Ubuntu и в других случаях. Один из самых распространенных случаев — сообщение «Безопасная загрузка Secure Boot настроена неправильно» на рабочем столе Windows 8 и 8.1. О том, как это отключить эту функцию в разных вариантах интерфейса UEFI и пойдет речь в этой статье.
Примечание: если вы попали на эту инструкцию с целью исправить ошибку Secure Boot настроена неправильно, то рекомендую сначала ознакомиться с этой информацией.
Шаг 1 — зайдите в настройки UEFI
Для того, чтобы отключить Secure Boot прежде всего потребуется зайти в настройки UEFI (зайти в БИОС) вашего компьютера. Для этого предусмотрено два основных способа.
Способ 1. Если на вашем компьютере установлена ОС Windows 8 или 8.1, то вы можете зайти в правой панели в Параметры — Изменение параметров компьютера — Обновление и восстановление — Восстановление и нажать кнопку «Перезагрузить» в особых вариантах загрузки. После этого, выбрать дополнительные параметры — Настройки ПО UEFI, компьютер перезагрузится сразу в необходимые настройки. Подробнее: Как зайти в БИОС в Windows 8 и 8.1, Способы зайти в БИОС в Windows 10.
Способ 2. При включении компьютера нажать Delete (для настольных компьютеров) или F2 (для ноутбуков, бывает — Fn+F2). Я указал обычно используемые варианты клавиш, однако для некоторых материнских плат они могут отличаться, как правило эти клавиши указаны на начальном экране при включении.
Примеры отключения Secure Boot на разных ноутбуках и материнских платах
Ниже — несколько примеров отключения в разных интерфейсах UEFI. Указанные варианты используются и на большинстве другим материнских плат с поддержкой данной функции. Если вашего варианта нет в списке, то просмотрите имеющиеся и, вероятнее всего, в вашем БИОСе найдется аналогичный пункт для отключения Secure Boot.
Материнские платы и ноутбуки Asus
Для того, чтобы отключить Secure Boot на оборудовании Asus (современных его вариантах), в настройках UEFI зайдите на вкладку Boot (Загрузка) — Secure Boot (Безопасная загрузка) и в пункте OS Type (Тип операционной системы) установите «Other OS» (Другая ОС), после чего сохраните настройки (клавиша F10).
На некоторых вариантах материнских плат Asus для этой же цели следует зайти на вкладку Security или Boot и установить параметр Secure Boot в значение Disabled.
Отключение Secure Boot на ноутбуках HP Pavilion и других моделях HP
Для отключения безопасной загрузки на ноутбуках HP проделайте следующее: сразу при включении ноутбука, нажимайте клавишу «Esc», должно появиться меню с возможностью входа в настройки БИОС по клавише F10.
В БИОС перейдите на вкладку System Configuration и выберите пункт Boot Options. В этом пункте найдите пункт «Secure Boot» и установите его в состояние «Disabled». Сохраните сделанные настройки.
Ноутбуки Lenovo и Toshiba
Для отключения функции Secure Boot в UEFI на ноутбуках Lenovo, и Toshiba, зайдите в ПО UEFI (как правило, для этого при включении нужно нажать клавишу F2 или Fn+F2).
После этого зайдите на вкладку настроек «Security» и в поле «Secure Boot» установите «Disabled». После этого сохраните настройки (Fn + F10 или просто F10).
На ноутбуках Dell
На ноутбуках Dell c InsydeH2O настройка Secure Boot находится в разделе «Boot» — «UEFI Boot» (см. Скриншот).
Для отключения безопасной загрузки, установите значение в «Disabled» и сохраните настройки, нажав клавишу F10.
Отключение Secure Boot на Acer
Пункт Secure Boot на ноутбуках Acer находится на вкладке Boot настроек БИОС (UEFI), однако по умолчанию вы не можете его отключить (поставить из значения Enabled в Disabled). На настольных компьютерах Acer эта же функция отключается в разделе Authentication. (Также возможен вариант нахождения в Advanced — System Configuration).
Для того, чтобы изменение этой опции стало доступным (только для ноутбуков Acer), на вкладке Security вам необходимо установить пароль с помощью Set Supervisor Password и только после этого станет доступным отключение безопасной загрузки. Дополнительно может потребоваться включение режима загрузки CSM или Legacy Mode вместо UEFI.
Gigabyte
На некоторых материнских платах Gigabyte отключение Secure Boot доступно на вкладке BIOS Features (настройки БИОС).
Для запуска компьютера с загрузочной флешки (не UEFI) также потребуется включить загрузку CSM и прежнюю версию загрузки (см. скриншот).
Еще варианты отключения
На большинстве ноутбуков и компьютеров вы увидите те же варианты нахождения нужной опции, что и в уже перечисленных пунктах. В некоторых случаях некоторые детали могут отличаться, например, на некоторых ноутбуках отключение Secure Boot может выглядеть как выбор операционной системы в БИОС — Windows 8 (или 10) и Windows 7. В таком случае выбираем Windows 7, это равнозначно отключению безопасной загрузки.
Если у вас возникнет вопрос по какой-то конкретной материнской плате или ноутбуку, можете задать его в комментариях, надеюсь, я смогу помочь.
Дополнительно: как узнать включена или отключена безопасная загрузка Secure Boot в Windows
Для проверки, включена ли функция Secure Boot в Windows 8 (8.1) и Windows 10, вы можете нажать клавиши Windows + R, ввести msinfo32 и нажать Enter.
В окне сведений о системе, выбрав корневой раздел в списке слева, найдите пункт «Состояние безопасной загрузки» для получения сведений о том, задействована ли данная технология.
А вдруг и это будет интересно:
Почему бы не подписаться?
Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)
у меня просто в Boot не реагирует на Enter, только приоритет меняется чего ничего не даёт. всё облазил во всех меню, никакого Secure boot даже не нашёл. может быть такое что биос так защищён? как всё это снять и поставить нормальную виндовс с флешки?
Secure Boot может и не быть на старом железе например. А вот насчет как поставить: тут нужно знать что там у вас к чему, разные варианты проблем бывают и четкого ответа не зная ситуации я дать не могу.
Ноутбук тошиба. Проц 64 битный. Версия биоса 6.8. Во вкладке секурити если ставить пароль то кое что открывается, но не относится к секур бут. Не сильно старое железо. Процессор кор ай5. Карта амд на 1 гиг
В тошибах эта опция появилась если не ошибаюсь где-то в 2013-м-14-м (на Intel Core 3-го поколения) и находится прямо на вкладке Security внизу (при наличии опции). Причем на некоторых ноутах тех годов опция появилась только после обновления BIOS.
Но новый купленный ноут HP с пустой системой FreeDOS 2.0 и с SSD диском установил Windows 7 professional x64, но во время запуска и загрузки выскакивает синий экран на долю секунды и ноут автоматически перезагружается…
A problem has been detected and Windows has been shut down to prevent damage to your computer.
If this is the first time you’ve seen this Stop error screen, restart your computer. If this screen appears again, follow these steps:
The BIOS in this system is not fully ACPI compliant. Please contact your system vendor for an updated BIOS.
В настройках Биос строка Boot Secure не доступна, она как бы серого цвета, нельзя её выбрать… Как быть? Или в моём случае мне только Windows 10 придется ставить? А Windows 7 вообще можно поставить? Дурдом какой-то
Вы в другом комментарии пишете, что драйверов нет на оф. сайте. На самом деле есть и support.hp.com/lamerica_nsc_carib-en/drivers/selfservice/hp-15-db1000-laptop-pc/26210240/model/34140906, но только для 10-ки, в принципе могут пойти и на 7, но гарантировать нельзя.
Хотя, ничего связанного с управлением электропитанием я там не нашел, а у вас проблема именно в этом судя по всему, не в Secure Boot (раз уж 7-ка поставилась).
в ноутбуке DEXP значение UEFI при выключении из состояния Disabled переходит в Enabled, а при перезагрузке не меняется. В чём причина?
Здравствуйте. У меня нет ответа на этот вопрос, не сталкивался. Может, будь под рукой ноут, разобрался бы, но так не могу угадать.
Недавно переустанавливал 7 всё норм, но 8.1-10 не могу поставить, стоит значок 10 и всё, круга нету ничё, выключаю ПК 7 как стояла так и есть, и ошибка «Ошибка на этапе установки SAVE_OS во время операции BOOT»
Диск без шифрования локальный? А если отключить кабель от жесткого диска (чтобы его как бы не было), загрузка идет дальше логотипа?
Поддержу пред идущего оратора: ставится любая Win — сейчас 10, но это самая первая 10 и обновить её не возможно. При обновлении стандартными средствами ( центр обновлений, утилита от Майков ) выдает «Ошибка на этапе установки SAVE_OS во время операции BOOT» Ошибка 0xc1900101 20017, но из всего подключен минимум для запуска. После перезагрузки грузится старая версия, без отката изменений т.е их нет. При новой установке сразу виснет на лого, до крутящихчя точек. Установил свежую версию на др. компе, подключил SSD к своему — завис на логотипе. Мать Asrock Extrim, w3680. UEFI не поддерживает, сокет 1366.
на материнке Гигабайт в настройках биоса, Secure Boot нельзя отключить, написано «недоступно» серым цветом.
Возможно, потому что включена Legacy загрузка (для нее нет такой опции как Secure Boot).
то есть ее не надо отключать, чтобы слиять разделы?
Если опции нет или не активна, то не нужно. Если есть, то лучше выключить временно.
Тоже самое, только asus
Boot menu
1.Windows Boot Menager
2.AtapiCd:plds dvd-RW DA8AESH
3.PCI LAN :EFI NETWORK (IPV4)
4.PCI LAN :EFI NETWORK (IPVY)
Что мне делать комп не работает
А как именно не работает? Что происходит при выборе Windows Boot Manager?
Дмитрий здравствуй. После отключения Secure Boot снижается яркость экрана. Ставил семерку. Все стало хорошо. После установки Secure Boot поставил обратно. Яркость вернулась. Но винт совсем не определяется. Соответственно загрузиться не могу. Как решить проблему с яркостью?
Здравствуйте.
У меня нет ответа: Secure Boot никак на яркость влиять не должен. А вообще из того, что влияет на яркость вот тут пункты есть: https://remontka.pro/brightness-not-working-windows-10/
Доброго времени суток! У меня, как всегда блин, какой-то нестандартный случай. Secure Boot — вообще отсутствует строка в биосе, не отключается тестовый режим никакими способами. Режим биос — устаревший, состояние безопасной загрузки — не поддерживается. надпись тестовый режим на рабочем столе — есть.
Вопрос: как мне отключать\включать тестовый режим?; и могу ли Я обновить как-то биос?, на оф.сайте моя версия биоса — последняя.