Option rom launch policy hp что это

Обновлено: 07.07.2024

Простыми словами UEFI – это современная замена БИОС , выполняющая те же задачи, т.е. управление базовыми настройками компьютера, но имеющая расширенный функционал. На современных компьютерах уже не устанавливают старый добрый БИОС, а его заменяет его усовершенствованный потомок – UEFI. Но во многом, название БИОС уже стало нарицательным, для программы, осуществляющей основную настройку режимов работы компьютера, до загрузки операционной системы. Так что в скобках, я буду использовать и его.

В прошлой статье, где я рассказывал об установке Windows 10 на ноутбук Acer Extensa 15 , для выбора загрузки с установочной флэшки, нам понадобилось зайти в UEFI (БИОС) и изменить приоритет загрузки , переставляя на первое место нашу загрузочную флэшку.

Но в случае, если опция Secure Boot включена , то система может не распознать загрузочную флэшку, и даже если распознает загрузочный диск, то не позволить начать установку операционной системы с него. Собственно, в этом и есть задача функции Secure Boot не позволить злоумышленнику переустановить операционную систему на вашем компьютере, либо просто запустить какую-либо программу с флэшки и получить доступ к вашим данным.

В этом случае опцию Secure Boot нужно отключить . После отключения, загрузочная флэшка может быть по прежнему не видна. Тогда нужно выйти из UEFI (БИОС) с сохранением изменений и после перезагрузки снова в него зайти. Переходим во вкладку « Boot» и видим, как загрузочная флэшка присутствует в списке:

Что делать, если Secure Boot не активна?

Но что делать, если опция Secure Boot не активна ? Т.е., как на фото ниже, строка « Secure Boot: Enabled» серого цвета и мы не можем ее выделить, чтобы отключить безопасную загрузку.

В этом случае, нужно перейти во вкладку « Security» и, нажав клавишу Enter , на строке « Set Supervisor Password»

Задать пароль безопасности, который будет работать только на вход в БИОС (UEFI).

После этого, нажимаем клавишу F10 и выходим из программы, сохраняя изменения.

При перезагрузке компьютера, зажимаем клавишу F2 , чтобы снова зайти в БИОС (клавиша для входа в БИОС может быть разной, речь идет о конкретном ноутбуке Acer Extensa 15 ). Появляется окно, куда нужно ввести заданный нами пароль.

После этого возвращаемся на вкладку « Boot » и видим, что строка « Secure Boot: Enabled » стала синего цвета и мы можем ее выделить и отключить безопасную загрузку.

После отключения Secure Boot , как описывалось в начале статьи, можно выбрать загрузочную флэшку, как приоритетное загрузочное устройство и перейти к установке операционной системы.

А после установки операционной системы, опцию Secure Boot можно снова активировать . При этом, не зная пароля для входа в БИОС (UEFI), потенциальный злоумышленник не сможет ее отключить и соответственно, получить доступ к системе и данным, с помощью загрузочной флэшки.

Надеюсь статья кому-нибудь будет полезна!

Спасибо, что дочитали до конца! Если статья понравилась, нажмите, пожалуйста, соответствующую кнопку. Если интересна тематика электроники и различных электронных самоделок, подписывайтесь на канал. До встречи в новых статьях!

UEFI (Unified Extensible Firmware Interface) — замена устаревшему BIOS. Эта спецификация была придумана Intel для Itanium, тогда она еще называлась EFI (Extensible Firmware Interface), а потом была портирована на x86, x64 и ARM. Она разительно отличается от BIOS как самой процедурой загрузки, так и способами взаимодействия с ОС. Если вы купили компьютер в 2010 году и позже, то, вероятнее всего, у вас UEFI.

Основные отличия UEFI от BIOS:
Как происходит загрузка в UEFI?

С GPT-раздела с идентификатором EF00 и файловой системой FAT32, по умолчанию грузится и запускается файл \efi\boot\boot[название архитектуры].efi, например \efi\boot\bootx64.efi
Т.е. чтобы, например, создать загрузочную флешку с Windows, достаточно просто разметить флешку в GPT, создать на ней FAT32-раздел и просто-напросто скопировать все файлы с ISO-образа. Boot-секторов больше нет, забудьте про них.
Загрузка в UEFI происходит гораздо быстрее, например, загрузка моего лаптопа с ArchLinux с нажатия кнопки питания до полностью работоспособного состояния составляет всего 30 секунд. Насколько я знаю, у Windows 8 тоже очень хорошие оптимизации скорости загрузки в UEFI-режиме.

Secure Boot

«Я слышал, что Microsoft реализовывает Secure Boot в Windows 8. Эта технология не позволяет неавторизированному коду выполняться, например, бутлоадерам, чтобы защитить пользователя от malware. И есть кампания от Free Software Foundation против Secure Boot, и многие люди были против него. Если я куплю компьютер с Windows 8, смогу ли я установить Linux или другую ОС? Или эта технология позволяет запускать только Windows?»

Начнем с того, что эту технологию придумали не в Microsoft, а она входит в спецификацию UEFI 2.2. Включенный Secure Boot не означает, что вы не сможете запустить ОС, отличную от Windows. На самом деле, сертифицированные для запуска Windows 8 компьютеры и лаптопы обязаны иметь возможность отключения Secure Boot и возможность управления ключами, так что беспокоится тут не о чем. Неотключаемый Secure Boot есть только на планшетах на ARM с предустановленной Windows!

Что дает Secure Boot? Он защищает от выполнения неподписанного кода не только на этапе загрузки, но и на этапе выполнения ОС, например, как в Windows, так и в Linux проверяются подписи драйверов/модулей ядра, таким образом, вредоносный код в режиме ядра выполнить будет нельзя. Но это справедливо только, если нет физического доступа к компьютеру, т.к., в большинстве случаев, при физическом доступе ключи можно заменить на свои.

В Secure Boot есть 2 режима: Setup и User. Первый режим служит для настройки, из него вы можете заменить PK (Platform Key, по умолчанию стоит от OEM), KEK (Key Exchange Keys), db (база разрешенных ключей) и dbx (база отозванных ключей). KEK может и не быть, и все может быть подписано PK, но так никто не делает, вроде как. PK — это главный ключ, которым подписан KEK, в свою очередь ключами из KEK (их может быть несколько) подписываются db и dbx. Чтобы можно было запустить какой-то подписанный .efi-файл из-под User-режима, он должен быть подписан ключом, который в db, и не в dbx.

Для Linux есть 2 пре-загрузчика, которые поддерживают Secure Boot: Shim и PRELoader. Они похожи, но есть небольшие нюансы.
В Shim есть 3 типа ключей: Secure Boot keys (те, которые в UEFI), Shim keys (которые можно сгенерировать самому и указать при компиляции), и MOKи (Machine Owner Key, хранятся в NVRAM). Shim не использует механизм загрузки через UEFI, поэтому загрузчик, который не поддерживает Shim и ничего не знает про MOK, не сможет выполнить код (таким образом, загрузчик gummiboot не будет работать). PRELoader, напротив, встраивает свои механизмы аутентификации в UEFI, и никаких проблем нет.
Shim зависит от MOK, т.е. бинарники должны быть изменены (подписаны) перед тем, как их выполнять. PRELoader же «запоминает» правильные бинарники, вы ему сообщаете, доверяете вы им, или нет.
Оба пре-загрузчика есть в скомпилированном виде с валидной подписью от Microsoft, поэтому менять UEFI-ключи не обязательно.

Secure Boot призван защитить от буткитов, от атак типа Evil Maid, и, по моему мнению, делает это эффективно.
Спасибо за внимание!

Если вы когда-либо экспериментировали с операционными системами, разным железом и разгоном, вы, вероятно, слышали об UEFI и Legacy. Знать значение аббревиатур и то, что они обозначают, недостаточно. Нужно понимать что они делают и как работают.

В этой статье мы обсудим, как загружается ваш компьютер, что такое UEFI и Legacy. А также попробуем разобраться, почему один из них лучше другого в конкретных случаях.

Как компьютер загружается?

Прежде чем углубляться в то, что такое UEFI и устаревшие режимы загрузки, давайте обсудим, как загружается компьютер. Понимание этого поможет прояснить некоторые моменты.

Когда вы включаете компьютер, он включает центральный процессор, ключевой компонент компьютера, который обрабатывает команды и, так называемые, инструкции.

Однако на этом этапе процесса загрузки в память не загружаются никакие инструкции. Таким образом, центральный процессор переключается на системное микропрограммное обеспечение, которое содержит свои инструкции для процесса загрузки.

Код микропрограммного обеспечения выполняет инициализацию самопроверки включения питания (POST) и настраивает все подключенные периферийные устройства. После успешной проверки микропрограммное обеспечение загружает устройства хранения и проверяет наличие загрузчика. Затем микропрограммное обеспечение переключает инструкции на загрузчик для обработки процесса загрузки.

На этом этапе загрузчик, такой как LILO и GRUB, берет на себя управление, загружает ядро системы в память и инициализирует необходимые процессы.

Как уже упоминалось, микропрограммное обеспечение помогает обрабатывать инициализацию оборудования во время процесса загрузки. Эта прошивка обычно известна как BIOS или базовая система ввода-вывода.

BIOS UEFI Legacy

Что такое Legacy Boot?

Устаревшая загрузка относится к процессу загрузки, используемому микропрограммой BIOS для инициализации аппаратных устройств. Legacy режим загрузки содержит набор установленных устройств, которые инициализируются по мере выполнения компьютером POST-ТЕСТА во время процесса загрузки. Устаревшая загрузка будет проверять наличие главной загрузочной записи (MBR) на всех подключенных устройствах, как правило, в первом секторе диска.

Когда он не может найти загрузчик в устройствах, Legacy переключается на следующее устройство в списке и продолжает повторять этот процесс, пока не найдет загрузчик, а если нет, то вернет ошибку.

Что такое UEFI?

В современных материнских платах чаще всего используется режим загрузки UEFI с очень интуитивно понятным и удобным интерфейсом. Режим загрузки UEFI содержит специальный раздел EFI, который используется для хранения файла .efi и используется в процессе загрузки и загрузчике.

BIOS UEFI Legacy ERROR

Разница между UEFI и Legacy

На первый взгляд UEFI и Legacy очень похожи. Однако на более глубоком уровне они значительно отличаются.

Поскольку UEFI является преемником BIOS, он наследует все его функции и возможности. Ниже приведены различия между UEFI и Legacy:

Хотя UEFI кажется лучше, чем Legacy (и это так), это не всегда лучший выбор для использования, и вам это может не понадобиться. Всё зависит от конкретного устройства и ОС, которую вы хотите использовать.

В некоторых случаях вам может потребоваться использовать Legacy режим загрузки. Например, если вы хотите двойную загрузку, UEFI может помешать этому процессу. Некоторые операционные системы, особенно старые, просто не умеют работать в UEFI режиме и если вы хотите установить такую систему, то так же придётся использоваться Legacy режим загрузки.

Вот примерные сценарии, в которых вам не понадобиться UEFI:

  1. Процесс двойной загрузки (можно обойти используя, например rEFInd)
  2. Если у вас используются диски менее 2 ТБ (можете продолжать использовать MBR)
  3. Когда ваша ОС совсем не умеет работать в UEFI, либо он ей не обязателен. (старые версии Windows и Linux)
  4. Если вам просто нравится быстрый и простой графический интерфейс BIOS, где удобно управлять с помощью клавиатуры.

Вывод

Мы разобрали основные различия между UEFI и устаревшими (Legacy ) режимами загрузки. Используя информацию, приведенную в этом руководстве, теперь вы можете устранять возникшие неполадки. Например, если у вас не работает двойная загрузка ( Dual Boot ), вы можете отключить безопасную загрузку и переключится в Legacy режим.

Как отключить Secure Boot в UEFI

Secure boot представляет собой функцию UEFI, предотвращающую запуск не авторизованных операционных систем и программного обеспечения во время запуска компьютера. То есть Secure Boot не является функцией Windows 8 или Windows 10, а лишь используется операционной системой. А главная причина, по которой может быть нужным отключить эту функции — не работает загрузка компьютера или ноутбука с флешки (хотя загрузочная флешка сделана правильно).

Шаг 1 — зайдите в настройки UEFI

Для того, чтобы отключить Secure Boot прежде всего потребуется зайти в настройки UEFI (зайти в БИОС) вашего компьютера. Для этого предусмотрено два основных способа.

Способ 1. Если на вашем компьютере установлена ОС Windows 8 или 8.1, то вы можете зайти в правой панели в Параметры — Изменение параметров компьютера — Обновление и восстановление — Восстановление и нажать кнопку «Перезагрузить» в особых вариантах загрузки. После этого, выбрать дополнительные параметры — Настройки ПО UEFI, компьютер перезагрузится сразу в необходимые настройки. Подробнее: Как зайти в БИОС в Windows 8 и 8.1, Способы зайти в БИОС в Windows 10.

Способ 2. При включении компьютера нажать Delete (для настольных компьютеров) или F2 (для ноутбуков, бывает — Fn+F2). Я указал обычно используемые варианты клавиш, однако для некоторых материнских плат они могут отличаться, как правило эти клавиши указаны на начальном экране при включении.

Примеры отключения Secure Boot на разных ноутбуках и материнских платах

Ниже — несколько примеров отключения в разных интерфейсах UEFI. Указанные варианты используются и на большинстве другим материнских плат с поддержкой данной функции. Если вашего варианта нет в списке, то просмотрите имеющиеся и, вероятнее всего, в вашем БИОСе найдется аналогичный пункт для отключения Secure Boot.

Материнские платы и ноутбуки Asus

Для того, чтобы отключить Secure Boot на оборудовании Asus (современных его вариантах), в настройках UEFI зайдите на вкладку Boot (Загрузка) — Secure Boot (Безопасная загрузка) и в пункте OS Type (Тип операционной системы) установите «Other OS» (Другая ОС), после чего сохраните настройки (клавиша F10).

Отключение Secure Boot на Asus

На некоторых вариантах материнских плат Asus для этой же цели следует зайти на вкладку Security или Boot и установить параметр Secure Boot в значение Disabled.

Отключение Secure Boot на ноутбуках HP Pavilion и других моделях HP

Для отключения безопасной загрузки на ноутбуках HP проделайте следующее: сразу при включении ноутбука, нажимайте клавишу «Esc», должно появиться меню с возможностью входа в настройки БИОС по клавише F10.

Отключение Secure Boot на ноутбуке HP

В БИОС перейдите на вкладку System Configuration и выберите пункт Boot Options. В этом пункте найдите пункт «Secure Boot» и установите его в состояние «Disabled». Сохраните сделанные настройки.

Ноутбуки Lenovo и Toshiba

Для отключения функции Secure Boot в UEFI на ноутбуках Lenovo, и Toshiba, зайдите в ПО UEFI (как правило, для этого при включении нужно нажать клавишу F2 или Fn+F2).

После этого зайдите на вкладку настроек «Security» и в поле «Secure Boot» установите «Disabled». После этого сохраните настройки (Fn + F10 или просто F10).

На ноутбуках Dell

На ноутбуках Dell c InsydeH2O настройка Secure Boot находится в разделе «Boot» — «UEFI Boot» (см. Скриншот).

Отключение Secure Boot на ноутбуке Dell

Для отключения безопасной загрузки, установите значение в «Disabled» и сохраните настройки, нажав клавишу F10.

Отключение Secure Boot на Acer

Пункт Secure Boot на ноутбуках Acer находится на вкладке Boot настроек БИОС (UEFI), однако по умолчанию вы не можете его отключить (поставить из значения Enabled в Disabled). На настольных компьютерах Acer эта же функция отключается в разделе Authentication. (Также возможен вариант нахождения в Advanced — System Configuration).

Для того, чтобы изменение этой опции стало доступным (только для ноутбуков Acer), на вкладке Security вам необходимо установить пароль с помощью Set Supervisor Password и только после этого станет доступным отключение безопасной загрузки. Дополнительно может потребоваться включение режима загрузки CSM или Legacy Mode вместо UEFI.

Опции Secure Boot на ПК Acer

Gigabyte

На некоторых материнских платах Gigabyte отключение Secure Boot доступно на вкладке BIOS Features (настройки БИОС).

Безопасная загрузка в UEFI Gigabyte

Для запуска компьютера с загрузочной флешки (не UEFI) также потребуется включить загрузку CSM и прежнюю версию загрузки (см. скриншот).

Еще варианты отключения

На большинстве ноутбуков и компьютеров вы увидите те же варианты нахождения нужной опции, что и в уже перечисленных пунктах. В некоторых случаях некоторые детали могут отличаться, например, на некоторых ноутбуках отключение Secure Boot может выглядеть как выбор операционной системы в БИОС — Windows 8 (или 10) и Windows 7. В таком случае выбираем Windows 7, это равнозначно отключению безопасной загрузки.

Если у вас возникнет вопрос по какой-то конкретной материнской плате или ноутбуку, можете задать его в комментариях, надеюсь, я смогу помочь.

Дополнительно: как узнать включена или отключена безопасная загрузка Secure Boot в Windows

Для проверки, включена ли функция Secure Boot в Windows 8 (8.1) и Windows 10, вы можете нажать клавиши Windows + R, ввести msinfo32 и нажать Enter.

Статус Secure Boot

В окне сведений о системе, выбрав корневой раздел в списке слева, найдите пункт «Состояние безопасной загрузки» для получения сведений о том, задействована ли данная технология.

Читайте также: