Содержание:
Ужесточение системных требований для Windows 11 изначально было предметом острых дискуссий – очень многие компьютеры, даже достаточно мощные, не обладают такими функциями, как TPM 2.0 и/или Secure Boot. Сегодня мы поговорим о безопасной загрузке (она же Secure Boot): что это такое, для чего нужна, как проверить наличие, включить или отключить.
Под этим термином следует понимать специальный протокол, разработанный для тестирования операционных систем в момент их загрузки. Он является частью микропрограммного кода UEFI, а его деятельность заключается в проверке цифровой подписи загружаемых компонентов ОС, включая драйвера, и, если таковая не будет обнаружена, дальнейший запуск операционной системы останавливается с выдачей соответствующего ошибочного сообщения.
Такая проверка предотвращает загрузку вместе с операционной системой вредоносного кода, который может внедриться, например, в драйверы. Самый известный пример такого заражения – вирус Petya из категории вымогателей, который активно распространялся в сети в 2017 году.
Поскольку речь не идёт о проверке сигнатур и прочих хитростях, используемых антивирусными программами, сам модуль Secure Boot достаточно компактен, чтобы включить его в UEFI.
Такой подход имеет и недостатки – это совместимость на уровне операционных систем. В семействе Windows поддержка безопасной загрузки реализована, начиная с «восьмёрки», есть она и у некоторых ОС семейства Linux (Fedora, Debian, CentOS, Ubuntu и др.).
Но только в Windows 11 компьютер должен поддерживать безопасную загрузку на безусловном уровне, как и модуль TPM 2.0, реализуемый на аппаратном уровне. Впрочем, на программном уровне необходимость наличия этих функций реализована только факультативно, на этапе установки системы. В обычной работе компьютер вполне может обходиться и без них.
Если на вашем компьютере отсутствует или неактивны функция безопасной загрузки, вы просто не сможете обновиться с «десятки» до Windows 11. Так что первым делом нужно узнать, как конкретно у вас обстоят дела с этой фишкой. Сделать это можно несколькими способами. Например, с помощью встроенных в Windows 10 системных утилит (здесь и далее мы предполагаем, что будем обновляться или производить чистую установку именно с «десятки»):
Если в графе «Режим BIOS» указано Legacy, то в графе «Состояние безопасной загрузки» будет указано, что такой режим не поддерживается. Это не приговор, если у вас в UEFI и активирована эмуляция устаревшего BIOS, так иногда делают для обеспечения совместимости со старым ПО. В этом случае функцию эмуляцию (чаще всего она обозначается аббревиатурой CSM) нужно выключить, и проблема будет решена.
Если речь идёт об устаревшем BIOS, то здесь ситуация безвыходная, то есть придётся делать апгрейд или прибегать к другим не рекомендуемым Microsoft ухищрениям.
Итак, если вы убедились, что безопасная загрузка на вашем компьютере присутствует, можно приступать к её активации. Существует два способа, как сделать активной безопасную загрузку: через «параметры» Windows 10, и при загрузке ПК. Рассмотрим оба варианта – они равноценные, хотя первый намного проще.
Последовательность действий должна быть такой:
ПК перезагрузится с активированной функцией Secure Boot. Если параметр Secure Boot Control отсутствует, скорее всего, безопасная загрузка здесь не поддерживается.
Первым делом нам необходимо попасть в пользовательский интерфейс UEFI – у разных производителей чипсетов вход в настройки реализован по-своему, единого стандарта здесь не существует. Чаще всего для этого используются клавиши Delete и F2, но могут быть задействованы и другие функциональные клавиши.
Обычно эта информация выводится на стартовую заставку при загрузке системы, но она мелькает так быстро, что что-либо прочитать зачастую не представляется возможным. Можно найти эту информацию в документации, бумажной или онлайн, указав модель материнской платы.
Мы для удобства приводим таблицу, в которой указаны используемые ведущими производителями Motherboard клавиши для входа в BIOS:
Производитель | Клавиши |
HP | F10/Esc |
Dell | F2/F12 |
Acer | Delete/F2 |
Lenovo | F1/F2 |
Asus | Delete/F2 |
Samsung | F2 |
MSI | Delete |
Toshiba | F2 |
Итак, после включения питания компьютера и появления заставки нажимаем нужную клавишу 2-4 раза ИП дожидаемся загрузки пользовательского интерфейса UEFI. Здесь жёстких стандартов тоже нет, поэтому состав меню UI может быть организован по-разному, хотя смысловая нагрузка микропрограммы будет примерно одинаковой.
Нам нужно искать параметр, включающий безопасную загрузку, то есть содержащий фразу Secure Boot. Чаще всего эта опция расположена в разделе «Boot», но в вашем случае это может быть и другая локация, например, раздел «System Configuration» или «Security».
Если ваши поиски не увенчались успехом, скорее всего, сам параметр необходимо где-то активировать, но здесь поможет только фирменная документация материнской платы или интернет. В последнем случае вам нужно определить модель своей МП, например, с помощью встроенной утилиты msinfo32, о которой мы уже упоминали, в разделе «Сведения о системе».
Найдя параметр Secure Boot, останется активировать его, присвоив значение Enabled и выйти из настроек UEFI с сохранением произведённых изменений.
Если у вас стоит «десятка», может возникнуть необходимость в установке младших версий Windows или Linux. С включённой опцией Secure Boo вы этого не сможете сделать. Безопасная загрузка может стать помехой и для работы некоторых видеоадаптеров или другого «железа», особенно если это оборудование не оснащено цифровой подписью и будет определено при загрузке как ненадёжное. Сама загрузка ОС при этом прервётся.
Так что в этих случаях Secure Boot необходимо деактивировать. Способов, как отключить функцию безопасной загрузки Windows, существует тоже два, через «Параметры» и через настройки UEFI. Всё, что вам нужно сделать, – воспользоваться описанными выше инструкциями, а на завершающей стадии изменить значение параметра Secure Boot на Disabled.
Включение Secure Boot – задача несложная. Может ли Windows 11 работать без этой функции? Вполне, она действительно нужна только при установке операционной системы. Но в сети уже выкладываются способы, как обойти такую проверку при инсталляции ОС, и эти методы можно использовать и для тех компьютеров, BIOS которых не поддерживает безопасную загрузку.
Здесь упущен один важный момент: чтобы функция Secure Boot работала, винт или SSD должен быть отформатирован под GPT. Если это не так, попробуйте воспользоваться консольной утилитой винды mbr2gpt с параметрами /disk:N /validate, где вместо N указываете номер диска. Утилита преобразует таблицу разделов MBR в формат GPT с проверкой.