Что такое uefi boot — подробное руководство

Большинство пользователей обновили свои компьютеры: приобрели новые системным блоки, материнские платы или ноутбуки в последние года четыре.

Примечательностью новых машин является то, что устаревшая система ввода-вывода BIOS больше не используется, её место заняла усовершенствованная прошивка под названием UEFI.

Она обладает огромными количеством преимуществ над BIOS, которые сегодня и рассмотрим.

Более подробно же остановимся на утилите UEFI Boot: узнаем, что это и почему его так не любят пользователи.

Эволюция системного программного обеспечения
Secure Boot
Режимы
Преимущества и недостатки
Как проверить текущее состояние
Включение и отключение
Проблемы

Эволюция системного программного обеспечения

Более двух десятилетий в качестве ПО низкого уровня, используемого при старте компьютера для тестирования его оборудования, передачи управления железом главной загрузочной записи MBR, которая выбирает и запускает загрузчик нужной операционной системы, использовался BIOS.

C его помощью пользователи могут управлять огромным количеством параметров аппаратных компонентов.

CMOS – электронный элемент с независимым питанием в виде батарейки, где и хранится вся текущая конфигурация компьютера.

Рис. 1 – Внешний вид UEFI

он не поддерживает загрузку из жестких дисков объёмом больше 2 ТБ – купили вы новый винчестер на 3 или 4 ТБ, а установить операционную систему на него не сможете, это технологическое ограничение главной загрузочной записи (никто в 80-х и не подумывал, что HDD могут быть столь неимоверного объема);
BIOS функционирует в 16-ти битном режиме (при том, что фактически все современные процессоры являются 64 и 32-х битными) при использовании всего 1024 КБ памяти;
процесс одновременной инициализации нескольких устройств поддерживается, но он весьма неотлажен и проблематичен, что снижает скорость запуска компьютера (каждый аппаратный компонент и интерфейс инициализируется отдельно);
БИОС – рай для пиратов – он не имеет никаких защитных механизмов, что позволяет загружать любые операционные системы и драйверы, в том числе с изменённым кодом и неподписанные (нелицензионные).

Первая версия UEFI разработана корпорацией Intel для Itanium, но позже была портирована на IBM PC.

Это самостоятельная операционная система с графическим интерфейсом, состоящая из множества модулей и имеющая неограниченный доступ к ресурсам аппаратных компонентов.

её код написан полностью на C++, что позволяет увеличить производительность во время загрузки ПК посредством задействования возможностей 64-разрядных центральных процессоров;
адресного пространства операционной системы хватает для поддержки 8*10¹⁸ байт дискового пространства (такого запаса хватит на несколько десятилетий) при том, что весь объем цифровой информации на данный момент почти на три порядка ниже;
адресация оперативной памяти – теоретические расчёты показывают, что UEFI позволит устанавливать до 16 эксабайт оперативной памяти (на 9 порядков больше, чем в мощных современных ПК);
ускоренная загрузка ОС осуществляется благодаря параллельной инициализации аппаратных компонентов и загрузке драйверов;
драйверы подгружаются в оперативную память ещё до запуска операционной системы, причём они не являются платформозависимыми;
вместо старой схемы разметки разделов используется прогрессивная GPT, однако для её задействования придётся отформатировать жесткий диск;
удобная и симпатичная графическая оболочка поддерживает управление посредством мыши;
есть встроенные утилиты для диагностики, изменения конфигурации и обновления прошивок аппаратных компонентов;
поддержка макросов в формате .nsh;
модульная архитектура – позволяет загружать собственные драйверы или скачанные из интернета;
одно из самых значимых и важнейших изменений (в частности для Microsoft), которые привнесла UEFI – наличие Secure Boot Option. Она вызвана оберегать Bootloader от выполнения вредоносного кода, защитить операционную систему от вирусов ещё до её запуска посредством эксплуатации цифровых подписей.

Рис. 2 – Схема взаимодействия оборудования и ОС посредством UEFI

О последней функции поговорим подробнее.

Secure Boot

Название технологии переводится как «безопасная загрузка» и представляет собой протокол, который является составляющей спецификации графической EFI.

Появился вместе в Windows 8, но не является обязательным для реализации производителями материнских плат и портативных компьютеров.

Если вкратце, Secure Boot позволяет проверять наличие и подлинность цифровых подписей, находящихся в хранилище, посредством эксплуатации технологий ассиметричной криптографии.

В 2011 году, когда интерфейс ещё не был представлен для широкой публики, Microsoft выдвинули требования для сертификации персональных компьютеров с операционной системой Windows 8 (и как следствие Windows 10).

Этим софтвенная корпорация попыталась уменьшить количество пользователей, устанавливающих на свои компьютеры взломанные версии ОС и увеличить без того колоссальные прибыли.

Однако пользовательское сообщество встретило такие изменения весьма недружелюбно. Во-первых, далеко не каждый готов платить сотни долларов за какую-то ни было Windows, во-вторых, для ARM отключить Secure Boot нельзя, что повлекло за сотой третье последствие – затруднение, а порой и невозможность установки операционных систем, отличных от Windows.

Режимы

Работает «безопасная загрузка» в четырёх режимах, а не двух, как себе представляет большинство пользователей:

Setup Mode (режим настройки) – активация возможна только из пользовательского режима, в нем требуется аутентификация для записей db, dbx, KEK и PK;
Audit Mode – режим аудита – возможна активация из пользовательского или режима настройки – не требует аутентификации, в нем могут запускаться прошедшие проверку образы, а сведения обо всех процедурах аутентификации заносятся в специальную базу данных, которую можно просматривать из среды операционной системы. Это предоставляет возможность тестировать комбинации ключей/цифровых подписей;
User Mode – пользовательский – возможен переход из развёрнутого и режима настройки. В нём осуществляется валидация образов;
Deployed Mode – развёрнутый – переход возможен из второго или третьего режима, самый безопасный ввиду того, что все переменные доступны только для чтения.

Преимущества и недостатки

Позитив:

Высокий уровень безопасности – гарантирует защиту от функционирования руткитов в системных файлах операционной системы, работа которых приведёт к недействительности цифровых подписей модифицированных файлов.
Путём внесения в базу запрещенных для запуска операционных систем можно ограничить список загружаемых ОС.

Негатив:

Все драйверы, которые запускаются на этапе загрузки ОС, должны быть подписанными, иначе они не загрузятся и соответствующие устройства не будут использоваться. Это требует согласования разработчиками системного программного обеспечения и производителями платформ момента добавления их ключей продуктов в доверенное хранилище.
Разработчики ОС не обязаны реализовывать функцию деактивации Secure Boot. Добавление ключей программами в доверенное хранилище должно быть запрещено, что усложняет эту процедуру и для пользователей.
Многие версии прошивок имеют уязвимости, позволяющие обходить Secure B

Как проверить текущее состояние

Узнать, активирована ли данная функция на вашем компьютере или ноутбуке, можно несколькими путями:

в процессе инсталляции новой операционной системы, когда появится ошибка, что это сделать невозможно;
посредством диагностической утилиты msinfo32;
через командную строку.

Msinfo32

Запустить приложение можно множеством способов. Мы используем самый простой.

Открываем окно «Выполнить» посредством комбинации клавиш Win + R или через ярлык в «Пуске».
Вводим команду «msinfo32» и выполняем её кнопкой «ОК» или клавишей «Enter».

Вследствие появится окно «Сведения о системе», где в строке «Состояние безопасности системы» содержатся необходимые сведения о текущем режиме защиты.

Рис.3 — Сведения о системе

Командная строка

Запускаем её любым способом.
Выполняем команду «Confirm-SecureBootUEFI».

Если ответом будет «True», функция активирована, «False» — отключена, «Не является внутренней командой» или «not supported» — не поддерживается текущей операционной системой.

Рис.4 – Проверка режима работы Secure Boot через командную строку в Windows 10

Включение и отключение

В той или иной ситуации может потребоваться отключить Secure Boot.

Для этого необходимо войти в меню настройки UEFI, найти соответствующий параметр и изменить его значение на требуемое.

Зайти в меню настройки можно посредством специальной клавиши (F11, Del, F2), которая зависит от производителя устройства или через «Параметры» Windows 8-10.

Жмём Win + I.
Выбираем «Обновление, безопасность».
Кликаем по пиктограмме «Восстановление» и перезагружаем компьютер.

После этого ПК перезапустится и появится интерфейс UEFI.

В настройках модифицированного БИОС находим пункт, отвечающий за деактивацию функции Secure Boot, и переключаем её в нужный режим.

После выбора нужного варианта сохраняем настройки и выходим из меню.

Проблемы

Иногда после завершения запуска Windows 8-10 в углу рабочего стола отображается надпись, предупреждающая, что Secure Boot неправильно сконфигурирована.

Чаще всего, для решения проблемы необходимо перейти в меню настроек BIOS и включить функцию защиты SB точно таким образом, как мы её отключали немного выше.

Ещё может помочь обновление ОС, в частности апдейт под названием KB288320.

Мы рассмотрели, что такое Boot Secure в UEFI: каковы её функции, особенности, преимущества и недостатки, а также провели параллели между устаревшим BIOS и его заменой в лице EFI с графическим пользовательским интерфейсом.

Источник