Как отключить me fw в bios

Обновлено: 05.07.2024

UEFI – усовершенствованный аналог старого доброго BIOS. И в нем есть точно такая же функция Secure Boot, предотвращающая запуск установщиков нелицензированных, пиратских систем. И к тому же он не дает загрузиться операционкам версией ниже 8. Поговорим о том, как отключить данную функцию через утилиту BIOS. См. также: как зайти в BIOS на Windows 10 .

Как узнать, включена ли защита Secure Boot

По сути, UEFI Secure Boot понадобится только в корпоративном кругу, где недопустима загрузка нелицензионных программ, а также вредоносного шпионского программного обеспечения. Для обычных пользователей же она совершенно ни к чему. К примеру, если нужно будет установить совместно с Windows систему Linux.

Для начала надо узнать, включена ли данная защита, а сделать это можно в самой ОС Windows. Открываем окно «Выполнить» нажатием на комбинацию клавиш Win + R, в окне «Открыть» вводим запрос «msinfo32» для перехода к сведениям о системе и жмем на кнопку ОК.

Для начала открываем окно «Сведения о системе» вводом в окне «Выполнить» этой команды Для начала открываем окно «Сведения о системе» вводом в окне «Выполнить» этой команды

В новом открывшемся окне ищем пункт «Состояние безопасной загрузки». Если UEFI Secure Boot включен, он будет отмечен как «Вкл».

Нужный нам параметр обозначен как «Состояние безопасной загрузки» Нужный нам параметр обозначен как «Состояние безопасной загрузки»

Процесс отключения будет отличаться в зависимости от производителя ноутбука/материнской платы компьютера. Но для начала надо открыть UEFI, и сделать это возможно несколькими способами.

Первый способ входа в UEFI – нажать на кнопку при загрузке системы. В зависимости от модели компьютера или ноутбука она может отличаться – F1, F2, Delete, Esc и так далее.

Второй способ – через раздел с настройками ОС Windows 8 или 10. Сначала открываем «Параметры» нажатием на комбинацию клавиш Win + I. Далее входим в раздел «Обновление и безопасность», жмем на вкладку «Восстановление» и под «Особыми вариантами загрузки» кликаем по кнопке «Перезагрузить сейчас».

Переходим к особым вариантам загрузки и перезапускаем компьютер для перехода к UEFI Переходим к особым вариантам загрузки и перезапускаем компьютер для перехода к UEFI

Отключение UEFI Secure Boot в разных ноутбуках и материнских платах

Прежде чем приступить к действию нужно узнать производителя материнской платы компьютера. Все это делается потому, что интерфейс в утилитах разных производителей несколько отличается.

Для перехода к функции UEFI Secure Boot в материнских платах Acer нужно перейти в раздел «Authentication» или в «Advanced System Configuration».

А вот с ноутбуками дело обстоит несколько сложнее – нужный параметр располагается в основной вкладке, но просто так его не отключить. Сначала понадобится открыть вкладку «Security», перейти к пункту «Set Supervisor Password» и установить пароль.

Asus, Dell, Lenovo и Toshiba

В более новых моделях нужный раздел – «Boot», а в других – «Security». Переходим, ищем пункт «UEFI Secure Boot» и устанавливаем значение «Disabled» для отключения этой функции.

Gigabyte

В материнских платах Gigabyte после запуска UEFI нужно перейти в раздел «BIOS Features», найти в нем пункт «Secure boot» и отключить его. В некоторых случаях может понадобится включение CSM и прежнего варианта загрузки.

В ноутбуках HP находим раздел «System Configuration», в ней будет пункт «Boot Options» для перехода к более подробным настройкам. Открываем его, находим параметр «UEFI Secure Boot» и отключаем его установкой значения «Disabled».

Заключение

Отключить UEFI Secure Boot в компьютере или ноутбуке не составит труда. Всего-то и нужно, перейти к UEFI или BIOS, найти в соответствующем разделе одноименный пункт и отключить его. Впоследствии препятствий для установки операционных систем не будет.


Напомним, что основным компонентом Intel ME является встроенный в чипсет микроконтроллер с кастомной архитектурой. Известна лишь базовая модель, это 32-х разрядный ARCtangent-A4 (ME 1.x — 5.x), ARCtangent-A5 (ME 6.x — 10.x), SPARC (TXE) или x86 (ME 11.x — . ).

Начиная с 6-й версии, ME-контроллер встраивают во все чипсеты Intel.



[рисунок взят отсюда]

Загрузчик его прошивки хранится во внутренней ROM и недоступен для анализа. Сама прошивка располагается в регионе ME во внешней SPI флэш-памяти (т.е. в той же памяти, где хранится BIOS). Структура этой прошивки такова, что весь исполнимый код разбит на модули, которые хранятся в сжатом виде (либо кастомной реализацией алгоритма Хаффмана, либо LZMA). Эти кодовые модули криптографически защищены от модификаций.

Если есть желание поревёрсить прошивку, рекомендуем воспользоваться этими двумя инструментами для изучения её структуры и распаковки кодовых модулей.

Итак, рассматриваемая подсистема является аппаратно-программной основой для различных системных функций (некоторые раньше реализовывали в BIOS) и технологий Intel. Их имплементация включается в состав прошивки Intel ME. Одной из таких технологий, использующих несколько особых привилегий Intel ME, является Active Management Technology (AMT).

AMT – технология удалённого администрирования компьютерных систем, для которых заявлена официальная поддержка Intel vPro (это бренд, объединяющий несколько технологий, в том числе, AMT). Речь идёт о системах с чипсетами линейки Q (например, Q57 или Q170).

Учитывая высокую стоимость таких платформ, вряд ли кто-то случайно приобретёт компьютер с AMT для того, чтобы принципиально этой технологией не пользоваться. Тем не менее, если под рукой именно такой продукт, и есть необходимость убедиться, что AMT на текущий момент выключена, следует воспользоваться утилитой ACUwizard:



[рисунок взят отсюда]

или средством Intel Management and Security Status (входит в состав ПО Intel ME для vPro-платформ, можно обнаружить в трее):



В продуктах, не относящихся к разряду vPro-платформ AMT включить нельзя, однако в состав прошивки Intel ME входят сетевые драйверы:


Это означает, что ME-контроллер (не будем забывать, что он всегда включен) имеет техническую возможность использования сетевого интерфейса.

Поэтому проблему стоит решать основательно – пытаться выключить подсистему Intel ME.

  1. Прошивку Intel ME в бинарном виде;
  2. Модули MEBx для BIOS;
  3. ПО Intel ME для ОС;
  4. Intel System Tool Kit (STK) — комплект программных средств и документации для сборки образов SPI флэш-памяти, применения этих образов и получении информации о текущем состоянии Intel ME.

Несмотря на то, что этот комплект распространяется по NDA (судя по меткам «Intel Confidential» в прилагаемых документах), многие вендоры забывают его вырезать из архива с ПО Intel ME, который передаётся пользователям. А ещё не закрывают свои ftp-серверы от внешнего доступа. В результате, утекших версий STK очень много. Здесь можно слить комплект для любой версии Intel ME.

Важно, чтобы major и minor version (первая и вторая цифры) используемого STK совпадала с версией Intel ME целевой системы, информацию о которой можно получить, например, воспользовавшись ME analyzer:


Проверять текущее состояние Intel ME можно при помощи утилиты MEinfo, которая через Management Engine Interface (MEI) получает информацию о работе этой подсистемы:


Напомним, что MEI является интерфейсом для связи основного CPU с подсистемой Intel ME и представляет собой набор регистров в конфигурационном пространстве PCI и в MMIO. Команды этого интерфейса не документированы, как и сам протокол.

Flash Image Tool

На старых платформах (Intel ME версии 5.x и ниже) выключить данную подсистему можно, воспользовавшись Flash Image Tool (утилита из STK, предназначенная для сборки образов SPI флэш-памяти из отдельно взятых регионов BIOS, ME, GbE). При сборке задаются параметры, которые прописываются в этих регионах и в регионе Flash Descriptors. В последнем есть один очень интересный флаг, «ME disable»:


Таким образом, для выключения Intel ME на целевой компьютерной системе, в её SPI флэш-память следует записать (программатором) новый образ с выставленным флагом «ME disable».

Работает ли этот способ, нам неизвестно. Но звучит правдоподобно, учитывая, что ME-контроллер в тех версиях интегрировался только в чипсеты линейки Q, т.е. был не обязательным компонентом для всех платформ.

Flash Programming Tool

Начиная с Intel ME 9 версии, в утилиту Flash Programming Tool, предназначенную для программирования SPI флэш-памяти компьютерных платформ, была добавлена возможность временно выключать Intel ME:


Выключение выполняется отправкой команды в MEI. После отработки Intel ME не подаёт «признаков жизни», не отвечает даже MEI:


Согласно документации, в таком состоянии подсистема Intel ME находится до следующего запуска компьютера или перезагрузки.

На vPro-платформах возможность отправки этой команды есть и в более ранних версиях. Для этого необходимо воспользоваться разделом конфигурирования ME/AMT в BIOS, где должна быть опция «Intel ME disable»:



[рисунок взят отсюда]

Нельзя говорить о том, что этот способ позволяет полностью отключить Intel ME, хотя бы потому, что до момента принятия команды на отключение ME-контроллер успеет загрузиться, а значит, выполнить некоторую часть кода прошивки.
Несмотря на то, что Intel ME не подаёт «признаков жизни» после этой операции, неизвестно, может ли эту подсистему заново включить какой-нибудь сигнал извне. Также неясно, насколько Intel ME выключена.

В интересах исключения возможности исполнения ME-контроллером кода прошивки, логично попробовать ограничить ему доступ к ней. А что? Нет кода – нет проблемы.

Проанализировав документацию, которая прилагается к STK, и, немного подумав, мы предположили, что это можно сделать следующими способами.


1. Вырезать (обнулить) ME регион из SPI флэш-памяти.

Те, кто пробовал так делать сообщают о том, что их платформа либо не загружалась без наличия подлинной прошивки ME, либо выключалась ровно после 30 минут работы.

Отказ компьютерной системы грузиться без прошивки Intel ME можно объяснить важностью ME-контроллера в процессе инициализации аппаратной составляющей. А 30-минутный таймаут наводит на мысль о WDT (Watch Dog Timer).

  • стереть первые 0x20 байт в ней (таким образом повредив сигнатуру 0x0FF0A55A, которая определяет режим работы флэш-памяти);
  • выставить джампер HDA_SDO (если он есть).

Таким образом, ME-контроллер не получит доступ к своему региону, и, следовательно, не будет исполнять прошивку.

С одной стороны, ME-контроллер так же, как и в предыдущем случае, может препятствовать нормальной работе компьютерной системы. С другой стороны, не дескрипторный режим включает т.н. manufacturing mode, который используется вендорами в отладочных целях, и есть шанс, что система запустится.


3. Известно, что прошивка Intel ME распаковывается в выделенную и скрытую от основного CPU область оперативной памяти – ME UMA. Выделение и блокировку этой области осуществляет BIOS во время конфигурирования карты памяти. Тогда почему бы не вырезать эти фрагменты кода из BIOS, чтобы данная область не выделялась. Тогда прошивка ME не будет распаковываться и исполняться.

Проведённые эксперименты показали, что такой способ тоже не годится, и система не запускается. К тому же, у ME-контроллера есть внутренняя SRAM, которая используется при недоступности ME UMA. Поэтому часть прошивки всё равно будет исполняться.

  • отключение при каждом старте командой в MEI или отключение флагом в регионе flash descriptors (в зависимости от версии);
  • ограничение доступа ME-контроллеру к своей прошивке либо перевод компьютерный платформы в manufacturing mode.
  • препятствование нормальной работе ME-контроллера не обеспечивая его runtime-памятью.

Очевидно, что некоторые предложенные решения влекут за собой неработоспособность компьютерной системы, остальные не дают никакой гарантии того, что подсистема Intel ME действительно выключена. В связи с этим, мы пришли к выводу, что полностью выключить Intel ME крайне сложно.

Вероятно, это связано с тем, что, отключая Intel ME, мы нейтрализуем важный компонент в архитектуре компьютерной системы. Например, без ME некому будет решать важные системные задачи вроде ACPI или ICC (которые когда-то реализовывались в BIOS). Чтобы заставить платформу стабильно работать без ME, как минимум, необходимо вернуть реализацию этих технологий в BIOS.

Так или иначе, вопрос о том, как отключить Intel ME без потери работоспособности компьютерной системы, остаётся открытым.

Как отключить UEFI в BIOS

UEFI Secure Boot — это стандартная защита на BIOS, которая ограничивает возможности по запуску USB-носителей в качестве загрузочного диска. Данный защитный протокол можно встретить на компьютерах с Windows 8 и новее. Его суть заключается в том, чтобы не дать пользователю загрузиться с установщика Windows 7 и ниже (или операционной системой из другого семейства).

Информация по UEFI Secure Boot

Данная функция может быть полезна для корпоративного сегмента, так как позволяет предотвратить несанкционированную загрузку компьютера с неавторизованных носителей, которые могут содержать различное вредоносное и шпионское ПО.

Чтобы узнать, включена ли у вас данная защита, необязательно переходить в BIOS и искать информацию по этому поводу, достаточно сделать несколько простых шагов, не выходя из Windows:

cmd команда

Вызов свойств системы

В зависимости от производителя материнской платы, процесс отключения данной функции может выглядеть по-разному. Рассмотрим варианты для самых ходовых производителей материнских плат и компьютеров.

Способ 1: Для ASUS

Отключение UEFI на ASUS

Способ 2: Для HP

System Configuration

Отключение UEFI на HP

Способ 3: Для Toshiba и Lenovo

Здесь, после входа в BIOS, вам нужно выбрать раздел «Security». Там должен быть параметр «Secure Boot», напротив которого нужно установить значение «Disable».

Отключение UEFI на Lenovo и Toshiba

Способ 4: Для Acer

Если с предыдущими производителями всё было относительно просто, то тут изначально нужный параметр будет недоступен для внесения изменений. Чтобы разблокировать его, понадобится поставить пароль на BIOS. Сделать это можно по следующей инструкции:

  1. После входа в BIOS, перейдите в раздел «Security».
  2. В нём нужно найти пункт «Set supervisor password». Чтобы поставить пароль суперпользователя, вам нужно лишь выбрать этот параметр и нажать Enter. После этого открывается окно, куда требуется вписать придуманный пароль. Требований к нему нет практически никаких, поэтому это вполне может быть что-то вроде «123456».

Установка пароля на BIOS Acer

Чтобы снять режим защиты, воспользуйтесь этими рекомендациями:

  1. Повторно войдите в BIOS с использованием пароля и перейдите в раздел «Authentication», что в верхнем меню.
  2. Там будет параметр «Secure Boot», где нужно поменять «Enable» на «Disable».

Отключаем UEFI на Acer

Способ 5: Для материнских плат Gigabyte

После запуска БИОС вам нужно перейти во вкладку «BIOS Features», где необходимо поставить значение «Disable» напротив «Secure Boot».

Отключение UEFI Gigabyte

Выключить UEFI Secure Boot не так сложно, как может показаться на первый взгляд. К тому же, как таковой пользы для обычного пользователя данный параметр в себе не несёт.

Закрыть

Мы рады, что смогли помочь Вам в решении проблемы.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Закрыть

Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.

В этой статье я расскажу о чипсетах Intel и об их конфигурации.


Ниже приведена блок схема типичной Intel конфигурации.
Это ноутбук на платформе Intel i3, Intel i5 или Intel i7.
Процессор на прямую работает с PCI Express и памятью.
Также идет обмен с Intel Hub, который объединяет в себе выводы Display Port, pci express, аудио порты SATA, USB порты, а также работа с БИОС.
Для корректной работы Intel Hub используется специальная микропрограмма, которая находится в БИОС и занимает примерно 1-1,5 мегабайта кода.
Эта конфигурация поставляется производителями ноутбуков в стандартной конфигурации, которая при первом запуске конфигурируется под тот чиспсет, который используется на данной платформе.
Если мы возьмем два одинаковых ноутбука и зальем один дамп с одного ноутбука на другой, к сожалению, работать корректно он не будет.
У него может быть постоянные или повышенные обороты кулера, не корректная загрузка в этом будет виновата конфигурация этого чипсета.
Этот чипсет называется ME region.


Для того чтобы запустить дамп с одного ноутбука на втором нам надо отредактировать его ME region.
Для работы дампа с БИОС я пользуюсь фирменной утилитой от Intel «flash image tool».
У меня она в восьмой версии и работает и работает с чипсетами 6, 7 и С600 серии.


В выпадающем списке мы можем увидеть чипсеты, которые она поддерживает.


Открываем наш дамп.
Эта утилита разбирает наш дамп на блоки.
В ней мы можем увидеть наш ME region который нас интересует.


Для того чтобы заменить его переходим на первую вкладку нажимаем два раза.
В вышедшем окне нажимаем Да.


После чего выбираем чистый ME region который нам нужен.
Чистый ME region я скачал с интернета, он там, в свободном доступе он вырезан из чистого БИОСа какого-то ноутбука.
После чего нажимаем ОК.


Теперь нам осталось перекомпилировать сам БИОС.
Смотрим, куда он нам сохраняет.


Выбираем название.
Нажимаем «сохранить» и нажимаем ОК.


После чего собираем наш БИОС.


Теперь мы можем увидеть у себя в папке тот БИОС, который мы получили с чистым ME region.
Прошиваем ее в ноутбук и смотрим полученный результат.

Видео смотрите ниже:


и жмём Enter. Такими нехитрыми действиями мы смогли отключить Secure Boot в БИОСе UEFI.


Но это ещё не всё, теперь нам нужно включить режим «режим совместимости с другими операционными системами. Идём в раздел „Advanced" находим опцию "System configuration"


и заходим в неё, здесь выбираем опцию "Boot Mode" или "OS Mode Selection", и ставим её вместо положения UEFI OS (может быть UEFI BOOT) в положение "CSM Boot" или «UEFI and Legacy OS», «CMS OS»



Чтобы наши изменения вступили в силу сохраняем наши изменения в БИОС, нажимаем F10,


затем соглашаемся Yes и жмём Enter


происходит перезагрузка. Вот теперь мы сможем загрузить наш ноутбук с установочного диска с любой операционной системой.

Далее можете войти в меню загрузки ноутбука (обычно нужно жать при включении клавишу ESC или F10) и выбрать вашу (уже подсоединённую) загрузочную флешку с операционной системой или установочный диск, если не знаете как это сделать читайте нашу статью Как загрузить любой ноутбук или компьютер с флешки или диска.

↑ Как отключить опцию Secure Boot на ноутбуке HP

Иногда всё проходит нет так гладко, например на некоторых моделях ноутбуков HP Pavillion для отключения Secure Boot нужно пройти ещё несколько дополнительных шагов.


Видим наш параметр безопасной загрузки Secure Boot, выставляем его в положение Disabled (отключено), а опцию «режима совместимости с другими операционными системами» «Legacy support» переводим в положение «Enabled»,


на предупреждение отвечаем Yes.


Сохраняем настройки, жмём F-10, выбираем Yes и Enter, ноутбук перезагружаемся, после перезагрузки выходит вот такое окно с предупреждением «A change to the operating system secure boot mode is peding…» По «англицки» на предлагают ввести на клавиатуре ноутбука код 8721 (в вашем случае код конечно будет другой) и нажать Enter, после этого изменения в настройках БИОСа UEFI будут сохранены и ноутбук перезагрузится.


При включении ноута HP жмём клавишу ESC и попадаем в стартовое меню, в нём выбираем F-9 Boot Device Options (изменение настроек загрузки), далее выбираем для загрузки нашу флешку или дисковод с установочным диском.

↑ Как отключить опцию Secure Boot на ноутбуке Samsung. Aptio Setup Utility

Данная утилита в основном установлена на ноутбуках Samsung. Нажимаем при загрузке ноутбука клавишу F2 и входим в BIOS. Идём в раздел Boot, отключаем опцию «Secure Boot»,


с помощью стрелок на клавиатуре выделяем её и ставим в «Disabled», нажимаем «Enter»


на предупреждение о том, что компьютер может загрузиться с ошибкой жмём Enter.


В этом же разделе ниже появляется параметр «OS Mode Selection», выделяем его и жмём «Enter»


выставляем в положение «CMS OS» или «UEFI and Legacy OS» и нажимаем «Enter».


Опять выходит предупреждение о возможности следующей загрузки ноутбука с ошибкой жмём Enter. Сохраняем изменения, произведённые нами в BIOS нажимаем «F10», соглашаемся Yes, нажимаем Enter. Ноутбук перезагружается, жмём при загрузке F10 и попадаем в загрузочное меню, в нём выбираем дисковод ноутбука или загрузочную флешку.

↑ Как отключить Secure Boot на ноутбуке Acer Aspire

Друзья, во-первых у нас есть подробная статья, ну а здесь просто замечу, что на ноутбуках Acer Aspire опция Secure Boot по умолчанию неактивна, для того чтобы её активировать и затем отключить, нужно прежде всего назначить пароль на вход в UEFI БИОС. Что для этого нужно сделать!


Как отключить опцию Secure Boot на ноутбуке Packard Bell


Жмём при загрузке клавишу F2, реже F6 и попадаем в БИОС UEFI ноутбука,


здесь идём во вкладку Boot.

Если до включения ноутбука Вы подключили к нему флешку, то она может не определиться сразу в этом меню.

Выставляем опцию Boot Mode в положение Legacy BIOS.

А опцию Secure Boot выставляем в положение Disabled.

Далее жмём клавишу F10, этим мы сохраняем настройки внесённые нами в БИОС ноутбука Packard Bell, затем перезагружаемся, жмём при загрузке клавишу F2 и входим опять в БИОС.

Теперь флешка должна определиться . Выставляйте флешку на первую позицию, сохраняйте настройки и перезагружайтесь. Если загрузочная флешка сделана по нашим статьям, то загрузка произойдёт успешно.


↑ Как отключить Secure Boot на стационарном компьютере

На многих стационарных компьютерах установлены современные материнские платы с БИОСом UEFI и протоколом безопасной загрузки Secure Boot. Возьмём для примера материнскую плату ASUS, Asrock, Gigabyte. Нужно сказать, что на материнских платах для стационарных компьютеров функциональные возможности БИОСа UEFI намного расширены, здесь вам и русский язык и возможность пользоваться мышью и производить всевозможные регулировки рабочих параметров комплектующих.

Нажимаем при загрузке Delete или F2 и входим в UEFI BIOS. Нажимаем Дополнительно (F7).

Идём во вкладку Boot (Загрузка), далее выбираем опцию Secure Boot (Безопасная загрузка),


жмём Enter и входим в неё, опять жмём Enter и выбираем Other OS (другая операционная система),



теперь выходим отсюда и выбираем CSM (Compatibility Support Module),


ставим опцию Запуск CSM в Enabled.


В открывшихся дополнительных опциях выбираем Параметры загрузочных устройств и выставляем Только Legacy OpROM или UEFI и Legacy OpROM.


Далее опцию Параметры устройств хранения, выставляем в положение Сначала Legacy OpROM или Both, Legacy OpROM first.


Этими действиями мы отключили Secure Boot и включили режим расширенной загрузки. Нажимаем F10, и сохраняем изменения внесённые нами в UEFI BIOS. Сохранить конфигурацию и выполнить сброс? Да. Отключаем опцию Secure Boot в интерфейсе UEFI материнской платы Asrock.



Материнская плата MSI. Подраздел "Boot mode select".


Примечание: На многих ноутбуках невозможно отключить опцию Secure Boot, так как она неактивна, в этом случае может помочь прошивка БИОСа ноутбука последним обновлением.

Читайте также: