Если установщик Windows 11, а возможно и какая-то программа или игра (такое тоже возможно) сообщает о том, что его не устраивает состояние безопасной загрузки и её необходимо включить — сделать это сравнительно легко, но возможны нюансы.
В этой инструкции подробно о способах включить безопасную загрузку на вашем компьютере или ноутбуке, при условии, что это возможно. Обратите внимание, если задача — установка Windows 11, существуют возможности запуска установки и без включенной безопасной загрузки (Secure Boot), например — создание загрузочной флешки в Rufus с отключением проверки совместимости при чистой установке, или обновление с обходом требований для установки.
Проверка состояния безопасной загрузки, особенности работы после включения
Прежде чем начать, о том, где вы можете проверить текущее состояние безопасной загрузки в Windows 11 или Windows 10:
- Нажмите правой кнопкой мыши по кнопке «Пуск», выберите пункт «Выполнить», введите msinfo32 и нажмите Enter. В разделе «Сведения о системе» вы увидите пункт «Состояние безопасной загрузки» с её текущим статусом.
- Можно зайти в окно «Безопасность Windows», например, с помощью значка в области уведомлений и открыть раздел «Безопасность устройства». Если вы наблюдаете там пункт «Безопасная загрузка» с зеленой отметкой, она включена. Иначе — нет.
Ещё один важный момент: загрузка с включенной безопасной загрузкой возможна только для систем, установленных в UEFI-режиме на GPT диск.
Если, к примеру, у вас Windows 10 и установлена в Legacy-режиме на диск MBR, после включения Secure Boot она перестанет загружаться. Возможные варианты действий: конвертировать диск в GPT с помощью mbr2gpt.exe и включить UEFI-загрузку, либо использовать вариант с чистой установкой с флешки и обходом требований Windows 11, как было указано в начале статьи.
Включение безопасной загрузки Secure Boot в БИОС/UEFI
Само включение безопасной загрузки или Secure Boot выполняется не в Windows 11/10, а в БИОС/UEFI вашего компьютера или ноутбука. Для того, чтобы включить её, необходимо:
- Зайти в БИОС при включении/перезагрузке устройства. На ноутбуках для этого обычно используется клавиша F2 (или сочетание Fn+F2), которую необходимо ритмично нажимать сразу после появления заставки производителя (но бывают и другие варианты клавиши), на ПК как правило используется клавиша Delete. Более подробно: Как зайти в БИОС/UEFI на компьютере или ноутбуке.
- Найти раздел БИОС, на котором доступна опция включения (установка в Enabled) функции Secure Boot. Учитывайте, что на очень старых компьютерах такой настройки может и не быть. Как правило, она располагается где-то в разделе Security, Boot, System Configuration, иногда — Advanced Settings. Несколько примеров расположения будут приведены далее.
- Сменить состояние Secure Boot на Enabled (если ранее выполнялась очистка ключей Secure Boot, восстановить их), сохранить настройки БИОС/UEFI (обычно выполняется клавишей F10 или на вкладке Exit) и перезагрузиться обратно в систему.
Примеры расположения опции для включения безопасной загрузки (Secure Boot)
Ниже — несколько примеров, где можно найти опцию включения безопасной загрузки на разных материнских платах и ноутбуках. У вас может отличаться, но логика везде одна и та же.
Ещё раз отмечу: включить безопасную загрузку можно только в случае, если у вас включен режим загрузки UEFI, а режим Legacy/CSM отключен, иначе опция будет недоступна. В некоторых вариантах БИОС переключение в режим загрузки UEFI выполняется путем выбора типа операционной системы (OS Type) между Windows 11/10/8 и «Other OS» (нужно выбрать Windows).
ASUS
На разных версиях материнских плат и ноутбуков включение Secure Boot реализовано слегка по-разному. Обычно пункт «Secure Boot» можно найти на вкладке «Boot» или «Security». При этом для OS Type может потребоваться выставить Windows UEFI Mode (параметр может и отсутствовать).
Также, для доступности пункта настройки безопасной загрузки в БИОС может потребоваться перейти в Advanced Mode, обычно — по клавише F7.
В некоторых случаях может потребоваться восстановление ключей безопасной загрузки, обычно выполняется следующим образом: в Advanced Mode в BIOS на вкладке Boot или в Secure Boot — Key Management выбираем Load Default PK и подтверждаем загрузку ключей по умолчанию.
AsRock
Настройка для включения безопасной загрузки на материнских платах AsRock обычно находится в разделе «Security».
Зайдя в раздел необходимо будет установить значение Secure Boot в Enabled, а если выбор недоступен, включить стандартный Secure Boot Mode и установить ключи по умолчанию (Install default Secure Boot keys).
Acer
Как правило, опция включения Secure Boot на ноутбуках Acer находится либо в разделе Advanced — System Configuration, либо в Boot или Authentication.
Также помните, о том, что должен быть включен режим загрузки UEFI, а не Legacy/CSM для возможности изменения состояния безопасной загрузки на Enabled.
Lenovo
ПК и ноутбуки Lenovo имеют разные варианты интерфейса БИОС, но обычно нужная опция находится на вкладке Security, как на фото ниже:
Ещё один пример с ноутбука Lenovo:
Gigabyte
Варианты отключения Secure Boot на материнских платах и ноутбуках Gigabyte могут отличаться, обычно порядок действий следующий:
- На вкладке Boot или BIOS отключить CSM Support, и выбрать тип операционной системы или установить пункт Windows 8/10 Features в, соответственно, Windows 8/10, а не Other OS.
- После этого должен появиться пункт Secure Boot, в который необходимо зайти, чтобы включить безопасную загрузку.
Несколько дополнительных мест расположения опции включения Secure Boot (устанавливаем в Enabled) на старых Dell, Gigabyte, HP:
Также, если в вашем интерфейсе БИОС предусмотрен поиск, можно использовать его:
В случае, если вы не нашли способа включить безопасную загрузку на вашей материнской плате, либо её не удается перевести в Enabled, укажите её марку и модель в комментариях, я постараюсь подсказать, где именно требуется включать этот параметр. Кстати, часто достаточно просто сбросить настройки БИОС (Load Defaults на вкладке Exit), чтобы включить безопасную загрузку, так как на большинстве современных материнских плат она по умолчанию включена.
Secure Boot is an important security feature designed to prevent malicious software from loading when your PC starts up (boots). Most modern PCs are capable of Secure Boot, but in some instances, there may be settings that cause the PC to appear to not be capable of Secure Boot. These settings can be changed in the PC firmware. Firmware, often called BIOS (Basic Input/Output System), is the software that starts up before Windows when you first turn on your PC.
Note: This article is intended for users who are not able to upgrade to Windows 11 because their PC is not currently Secure Boot capable. If you are unfamiliar with this level of technical detail, we recommend that you consult your PC manufacturer’s support information for more instructions specific to your device.
How to enable Secure Boot on my PC
To access these settings, you can consult your PC manufacturer’s documentation or follow these instructions:
-
Go to Settings > Update & Security > Recovery and select Restart now under Advanced startup.
-
On the next screen, select Troubleshoot > Advanced options > UEFI Firmware Settings > Restart to make changes.
To change these settings, you will need to switch the PC boot mode from one enabled as “Legacy” BIOS (also known as “CSM” Mode) to UEFI/BIOS (Unified Extensible Firmware Interface). In some cases, there are options to enable both UEFI and Legacy/CSM. If so, you will need to choose for UEFI to be the first or only option. If you are unsure how to make any necessary changes to enable the UEFI/BIOS, we recommend that you check your PC manufacturer’s support information on their website. Here are a few links to information from some PC manufacturers to help get you started:
Dell | Lenovo | HP
While the requirement to upgrade a Windows 10 device to Windows 11 is only that the PC be Secure Boot capable by having UEFI/BIOS enabled, you may also consider enabling or turning Secure Boot on for better security.
Related articles
Windows 11 System Requirements
Ways to install Windows 11
Windows help & learning
Need more help?
Want more options?
Explore subscription benefits, browse training courses, learn how to secure your device, and more.
(Image credit: Future)
As part of the system requirements, alongside a Trusted Platform Module (TPM), a device must have «Secure Boot» enabled to install Windows 11.
Secure Boot is a security feature available on most modern hardware with UEFI firmware to provide a secure environment to start Windows and prevent malware from hijacking the system during the boot process. In other words, Secure Boot allows the computer to boot only with trusted software from the Original Equipment Manufacturer (OEM).
The benefit of this feature is a more secure experience, which is one of the reasons Microsoft is making it a requirement to install Windows 11. The only problem is that enabling this feature will prevent running other operating systems like Linux.
This guide will walk you through the steps to check and enable Secure Boot to upgrade from Windows 10 to 11.
How to check Secure Boot state on Windows 10
To check the Secure Boot state on Windows 10, use these steps:
- Open Start.
- Search for System Information and click the top result to open the app.
- Click on System Summary on the left pane.
- Check the «Secure Boot State» information:
- On — the feature is enabled.
- Off — the feature is disabled or not supported.
- Check the «BIOS Mode» information:
- UEFI — indicates you can enable Secure Boot.
- Legacy (BIOS) — indicates you can enable the feature, but it will require additional steps.
Once you complete the steps, if the «Secure Boot State» is Off and BIOS Mode is UEFI, you can use the steps outlined below to enable a more secure experience and comply with the Windows 11 requirements.
If the «Secure Boot State» is set to Off and «BIOS Mode» to Legacy, then you want to create a backup of your computer, use the following instructions to convert the installation from MBR to GPT, and then continue with the steps to enable Secure Boot.
All the latest news, reviews, and guides for Windows and Xbox diehards.
How to convert MBR to GTP drive on Windows 10
If you plan to upgrade Windows 10 to Windows 11 on older hardware that supports UEFI, you must first convert the drive from the legacy MBR partition style to GPT in order to switch the system firmware type properly. Otherwise, the computer will no longer start correctly.
On Windows 10, you can use the MBR2GPT command-line tool to change the partition type from MBR to GTP without reinstalling Windows.
Check MBR or GPT partition style
To check the current drive partition style, use these steps:
- Open Start.
- Search for Disk Management and click the top result to open the experience.
- Right-click the Windows 10 disk (not the volume) and select the Properties option.
- Click on the Volumes tab.
- Under the «Partition style» field, if the field reads GUID Partition Table (GPT), the drive does not need conversion, but if you see the Master Boot Record (MBR) label, you can use the conversion tool to switch.
- Click the Cancel button.
Once you complete the steps, if the drive needs conversion, use the instructions outlined below.
Convert MBR to GPT partition style
To convert MBR to GPT partition style on Windows 10, use these steps:
- Open Settings.
- Click on Update & Security.
- Click on Recovery.
- Under the «Advanced startup» section, click the Restart now button.
- Click the Troubleshoot option.
- Click on Advanced options.
- Click the Command Prompt option.
- Select your administrator account and sign in (if applicable).
- Type the following command to validate that the drive meets the requirements and press Enter: mbr2gpt /validate
- Quick tip: The mbr2gpt.exe is located in the «System32» folder inside the «Windows» folder. If you want to see all the available options, use the mbr2gpt /? command.
- Type the following command to convert the drive from MBR to GPT and press Enter: mbr2gpt /convert
- Click the Close button.
- Click the Turn off your PC option.
After you complete the steps, the command-line tool will change the partition type to GPT to comply with the system requirements to install Windows 11.
If the conversion is successful, the return code should be «0,» but if the process fails, you may see one of the 11 error codes.
How to enable Secure Boot on Windows 10
Changing the incorrect firmware settings can prevent a computer from starting correctly. You should access the motherboard settings only when you have a good reason. It’s assumed you know what you’re doing.
Also, these steps assume the device is already running with UEFI firmware. If the computer is still in the legacy BIOS, you may first need to convert the drive using MBR to GPT (see above steps). The conversion is unnecessary if you plan to perform a clean installation, but you must go through the conversion before an in-place upgrade. Converting the drive partition should not affect the installation, but creating a backup is always recommended before proceeding.
To enable the Secure Boot on a computer with UEFI firmware, use these steps:
- Open Settings.
- Click on Update & Security.
- Click on Recovery.
- Under the «Advanced startup» section, click the Restart now button.
- Click on Troubleshoot.
- Click on Advanced options.
- Click the UEFI Firmware Settings option.
- Quick tip: If you have a legacy BIOS, the option will not be available.
- Click the Restart button.
- Open the boot or security settings page.
- Quick note: The UEFI settings are different per manufacturer and even per computer model. You may need to check the manufacturer support website for more specific details to find the settings.
- Select the Secure Boot option and press Enter.
- Select the Enabled option and press Enter.
- Exit the UEFI settings.
- Confirm the changes to restart the device.
After you complete the steps, the computer will start using the Secure Boot feature to comply with the Windows 11 requirements.
How to enable Secure Boot during startup
You can also enable Secure Boot on the computer during startup instead of using the Settings app.
To access the device firmware during the boot process on Windows, use these steps:
- Press the Power button.
- See the screen splash to identify the key you must press to enter the firmware (if applicable).
- Press the required key repeatedly until you enter the setup mode. Usually, you need to press the Esc, Delete, or one of the Function keys (F1, F2, F10, etc.).
- Open the boot or security settings page (as needed).
- Select the Secure Boot option and press Enter.
- Select the Enabled option and press Enter.
- Exit the UEFI settings.
- Confirm the changes to restart the device.
Once you complete the steps, Secure Boot will enable you to support the installation of Windows 11.
If you cannot access the keyboard’s firmware, you may need to check the manufacturer documentation to find the keyboard key to use during boot. Here are some brands and their respective keys to access the motherboard’s firmware:
- Dell: F2 or F12.
- HP: Esc or F10.
- Acer: F2 or Delete.
- ASUS: F2 or Delete.
- Lenovo: F1 or F2.
- MSI: Delete.
- Toshiba: F2.
- Samsung: F2.
- Surface: Press and hold the volume up button.
More resources
For more helpful articles, coverage, and answers to common questions about Windows 10 and Windows 11, visit the following resources:
- Windows 11 on Windows Central — All you need to know
- Windows 10 on Windows Central — All you need to know
Mauro Huculak has been a Windows How-To Expert contributor for WindowsCentral.com for nearly a decade and has over 15 years of experience writing comprehensive guides. He also has an IT background and has achieved different professional certifications from Microsoft, Cisco, VMware, and CompTIA. He has been recognized as a Microsoft MVP for many years.
Проблема с цифровой безопасностью преследует нас в повседневной жизни с момента появления персональных компьютеров в почти каждом доме. Раньше поймать «троян» было проще простого, и многие, не особо задумываясь, держали у себя на компе целый зверинец из всяческих «червей», «пауков», «троянских коней» и прочей нечисти. Сидели они тихо в системе и никому особо не мешали, то есть ПК не сильно тормозил. А потом появились болезни посерьезнее.
Майнеры. Мурашки по коже бегут от этого слова. «Поймал майнера» — видеокарта и процессор начинают захлебываться от перегрузки. Не так давно поиск и удаление майнера были непростой задачей. Они хорошо маскировались, но и системы защиты не стояли на месте. Сейчас антивирусные программы способны вычислить эту заразу и уничтожить, а с более мелкими проблемами справляется даже обычный защитник Windows 10 или 11.
Для более жестких проблем существует ультимативное решение — Secure Boot. Сейчас мы рассмотрим, что это за штука, и как ее включить.
Что такое Secure Boot в биосе
Увы, с развитием цифровой безопасности развиваются и те, кто такие угрозы создает. Современные шпионские программы или майнеры способны замаскировать себя так, что антивирус на них не отреагирует. Они вживляются в системные службы операционки, и только профессионал сможет отличить их поведение от нормального. Звучит страшно, но решение этой проблемы есть.
Secure Boot — специальный протокол защиты, вшитый в современные ОС Windows. Перед запуском операционной системы начинается проверка всех цифровых подписей производителя драйверов, программ и компонентов. Проще говоря, Secure Boot проводит проверку документов и не пропускает всех «нелегалов».
Компоненты, приобретенные не совсем честным путем, безопасный запуск не пройдут. Это значит, что и вредоносная программа не будет мешать работе, и уже тогда ее можно попробовать найти и обезвредить.
Зачем так заморачиваться? Ответ кроется в деталях вредоносных программ. Некоторые из них могут обмануть любые другие системы защиты. Некоторые могут даже самостоятельно отключить антивирус, защитник Windows и брандмауэр. Могут ослепить их, заставить работать на себя. Жуть. Но для этого им нужно стартовать вместе с системой. Если их «отрезать» на входе, то они станут бесполезны.
Включение безопасной загрузки для Windows 11 и Windows 10
Для начала компьютер должен поддерживать безопасную загрузку. Для этого нам необходимо посмотреть конфигурацию системы. Комбинацией клавиш Win+R вызываем командную строку и пишем msinfo32.
После этого откроется нужное нам окно. Надо найти строку «Режим BIOS» и «Состояние безопасной загрузки». Итак, режим BIOS должен быть UEFI. В том случае если у вас более устаревший Legacy, Secure Boot будет недоступен. Это можно исправить только путем переустановки или обновления Windows на более новую версию.
Как включить безопасную загрузку, если BIOS ее поддерживает, но она не активна
Если с BIOS все в порядке, но в строке «Состояние безопасной загрузки» стоит значение «выкл», то запустить Secure Boot не получится. Однако этот параметр можно включить вручную.
Самым простым способом станет консоль PowerShell. Открыть ее можно либо через поиск в меню «Пуск», либо через комбинацию Win+R. Вбиваем в строку слово powershell нажимаем Enter.
Когда консоль появится, вводим эту строку:
Set-SecureBootUEFI –Enable
Подтверждаем нажатием Enter и перезапускаем компьютер.
Если возникает вопрос, как отключить Secure Boot, то делаем то же самое, но вводим уже вот такую строчку:
Set-SecureBootUEFI –Disable
Как включить состояние безопасной загрузки через реестр
Если по какой-то причине PowerShell вас не устраивает, можно включить данный параметр самостоятельно через реестр. Вызываем командную строку и пишем regedit, а дальше следуем вот по этому пути:
HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\State
Все это можно ввести в поисковую строку реестра. Там находим UEFISecureBootEnabled, кликаем по параметру и нажимаем «Изменить». Меняем значение 0 на 1 и подтверждаем.
После перезапускаем компьютер и проверяем состояние безопасной загрузки.
BIOS поддерживает Secure Boot, но он не работает
Если вы выполнили все указанные выше действия, но состояние безопасной загрузки все еще не активно, то проблема заключается в формате чтения вашего SSD или HDD диска. Давайте его проверим. Правой кнопкой мыши тыкаем на значок Windows и выбираем «Управление дисками». Далее переходим в «Тома», выбираем системный диск правой кнопкой мыши и жмем на «Свойства».
Смотрим на стиль раздела. Если стоит (MBR), то попытки оживить Secure Boot будут тщетными. Для его функционирования нужен стиль (GPT).
Исправить это можно путем переустановки системы или конвертации формата с помощью специальных программ, например, Paragon Hard Disk Manager.
Как включить Secure Boot в BIOS
Итак, мы убедились, что все готово к безопасной загрузке. Теперь включаем компьютер. Как только появится заставка BIOS (она следует перед заставкой Windows сразу после включения), надо нажать соответствующую клавишу. Это может быть F2, F8, Del, F10 или другая клавиша. Обычно она указывается в заставке BIOS.
Возьмем за пример материнскую плату ASUS. Здесь нужно нажать F7 при запуске ПК. В меню BIOS переходим во вкладку Boot. Для начала надо отключить эмуляцию старого BIOS. Выбираем строку «CSM (Launch Compatibility Support Module)».
Смотрим на параметры запуска CSM. Если включено, то надо отключить.
Возвращаемся обратно в Boot. Нам требуется раздел «Меню безопасности загрузки».
В «Тип ОС» устанавливаем «Режим Windows UEFI».
После этого нажатием F10 сохраняем все изменения, и загрузка Windows продолжится с уже включенным Secure Boot.
Надеемся, что эта статья была для вас полезной. Мы рассмотрели не только методы включения Secure Boot, но и возможные проблемы.
Заглавное фото: CQ.ru с помощью DALL-E
Время на прочтение4 мин
Количество просмотров879K
UEFI
UEFI (Unified Extensible Firmware Interface) — замена устаревшему BIOS. Эта спецификация была придумана Intel для Itanium, тогда она еще называлась EFI (Extensible Firmware Interface), а потом была портирована на x86, x64 и ARM. Она разительно отличается от BIOS как самой процедурой загрузки, так и способами взаимодействия с ОС. Если вы купили компьютер в 2010 году и позже, то, вероятнее всего, у вас UEFI.
Основные отличия UEFI от BIOS:
- Поддержка GPT (GUID Partition Table)
GPT — новый способ разметки, замена MBR. В отличие от MBR, GPT поддерживает диски размером более 2ТБ и неограниченное количество разделов, в то время как MBR поддерживает без костылей только 4. UEFI по умолчанию поддерживает FAT32 с GPT-разделов. MBR сам UEFI не поддерживает, поддержка и загрузка с MBR осуществляется расширением CSM (Compatibility Support Module).
- Поддержка сервисов
В UEFI есть два типа сервисов: boot services и runtime services. Первые работают только до загрузки ОС и обеспечивают взаимодействие с графическими и текстовыми терминалами, шинами, блочными устройствами и т.д., а runtime services может использовать ОС. Один из примеров runtime services — variable service, который хранит значения в NVRAM. ОС Linux использует variable service для хранения креш дампов, которые можно вытащить после перезагрузки компьютера.
- Модульная архитектура
Вы можете использовать свои приложения в UEFI. Вы можете загружать свои драйверы в UEFI. Нет, правда! Есть такая штука, как UEFI Shell. Некоторые производители включают его в свой UEFI, но на моем лаптопе (Lenovo Thinkpad X220) его нет. Но можно его просто скачать из интернета и поставить на флешку или жесткий диск. Также существуют драйверы для ReiserFS, ext2/3/4 и, возможно, еще какие-то, я слишком не углублялся. Их можно загрузить из UEFI Shell и гулять по просторам своей файловой системы прямо из UEFI.
Еще UEFI поддерживает сеть, так что если найдете UEFI-драйвер к своей сетевой карте, или если он включен производителем материнской платы, то можете попинговать 8.8.8.8 из Shell.
Вообще, спецификация UEFI предусматривает взаимодействия драйверов UEFI из ОС, т.е. если у вас в ОС нет драйвера на сетевую карту, а в UEFI он загружен, то ОС сможет использовать сетевую карту через UEFI, однако таких реализаций я не встречал.
- Встроенный менеджер загрузки
В общем случае, для UEFI не требуется ставить загрузчик, если вы хотите мультизагрузку. Можно добавлять свои пункты меню, и они появятся в загрузочном меню UEFI, прямо рядом с дисками и флешками. Это очень удобно и позволяет грузить Linux вообще без загрузчика, а сразу ядро. Таким образом, можно установить Windows и Linux без сторонних загрузчиков.
Как происходит загрузка в UEFI?
С GPT-раздела с идентификатором EF00 и файловой системой FAT32, по умолчанию грузится и запускается файл \efi\boot\boot[название архитектуры].efi, например \efi\boot\bootx64.efi
Т.е. чтобы, например, создать загрузочную флешку с Windows, достаточно просто разметить флешку в GPT, создать на ней FAT32-раздел и просто-напросто скопировать все файлы с ISO-образа. Boot-секторов больше нет, забудьте про них.
Загрузка в UEFI происходит гораздо быстрее, например, загрузка моего лаптопа с ArchLinux с нажатия кнопки питания до полностью работоспособного состояния составляет всего 30 секунд. Насколько я знаю, у Windows 8 тоже очень хорошие оптимизации скорости загрузки в UEFI-режиме.
Secure Boot
Я видел много вопросов в интернете, вроде:
«Я слышал, что Microsoft реализовывает Secure Boot в Windows 8. Эта технология не позволяет неавторизированному коду выполняться, например, бутлоадерам, чтобы защитить пользователя от malware. И есть кампания от Free Software Foundation против Secure Boot, и многие люди были против него. Если я куплю компьютер с Windows 8, смогу ли я установить Linux или другую ОС? Или эта технология позволяет запускать только Windows?»
Начнем с того, что эту технологию придумали не в Microsoft, а она входит в спецификацию UEFI 2.2. Включенный Secure Boot не означает, что вы не сможете запустить ОС, отличную от Windows. На самом деле, сертифицированные для запуска Windows 8 компьютеры и лаптопы обязаны иметь возможность отключения Secure Boot и возможность управления ключами, так что беспокоится тут не о чем. Неотключаемый Secure Boot есть только на планшетах на ARM с предустановленной Windows!
Что дает Secure Boot? Он защищает от выполнения неподписанного кода не только на этапе загрузки, но и на этапе выполнения ОС, например, как в Windows, так и в Linux проверяются подписи драйверов/модулей ядра, таким образом, вредоносный код в режиме ядра выполнить будет нельзя. Но это справедливо только, если нет физического доступа к компьютеру, т.к., в большинстве случаев, при физическом доступе ключи можно заменить на свои.
В Secure Boot есть 2 режима: Setup и User. Первый режим служит для настройки, из него вы можете заменить PK (Platform Key, по умолчанию стоит от OEM), KEK (Key Exchange Keys), db (база разрешенных ключей) и dbx (база отозванных ключей). KEK может и не быть, и все может быть подписано PK, но так никто не делает, вроде как. PK — это главный ключ, которым подписан KEK, в свою очередь ключами из KEK (их может быть несколько) подписываются db и dbx. Чтобы можно было запустить какой-то подписанный .efi-файл из-под User-режима, он должен быть подписан ключом, который в db, и не в dbx.
Для Linux есть 2 пре-загрузчика, которые поддерживают Secure Boot: Shim и PRELoader. Они похожи, но есть небольшие нюансы.
В Shim есть 3 типа ключей: Secure Boot keys (те, которые в UEFI), Shim keys (которые можно сгенерировать самому и указать при компиляции), и MOKи (Machine Owner Key, хранятся в NVRAM). Shim не использует механизм загрузки через UEFI, поэтому загрузчик, который не поддерживает Shim и ничего не знает про MOK, не сможет выполнить код (таким образом, загрузчик gummiboot не будет работать). PRELoader, напротив, встраивает свои механизмы аутентификации в UEFI, и никаких проблем нет.
Shim зависит от MOK, т.е. бинарники должны быть изменены (подписаны) перед тем, как их выполнять. PRELoader же «запоминает» правильные бинарники, вы ему сообщаете, доверяете вы им, или нет.
Оба пре-загрузчика есть в скомпилированном виде с валидной подписью от Microsoft, поэтому менять UEFI-ключи не обязательно.
Secure Boot призван защитить от буткитов, от атак типа Evil Maid, и, по моему мнению, делает это эффективно.
Спасибо за внимание!