Выберите файл uefi как доверенный для выполнения того, что это такое

Обновлено: 30.06.2024

Безопасная загрузка – это стандарт безопасности, разработанный представителями индустрии ПК, который помогает гарантировать, что устройство загружается с использованием только программного обеспечения, которому доверяет производитель оригинального оборудования (OEM). При запуске ПК микропрограмма проверяет подпись каждой части загрузочного программного обеспечения, включая драйверы микропрограммы UEFI (также известные как дополнительные ПЗУ), приложения EFI и операционную систему. Если подписи действительны, ПК загружается, а микропрограмма передает управление операционной системе.

OEM-производитель может использовать инструкции производителя микропрограммы для создания ключей безопасной загрузки и сохранения их в микропрограмме ПК. При добавлении драйверов UEFI также необходимо убедиться, что они подписаны и включены в базу данных безопасной загрузки.

Информацию о том, как работает процесс безопасной загрузки, включая доверенную загрузку и измеряемую загрузку, см. в разделе Безопасность процесса загрузки Windows 10.

Требования к безопасной загрузке

Для поддержки безопасной загрузки необходимо предоставить следующее.

< td>Система должна защищать от отката прошивки до более старых версий.

Требования к оборудованию	Подробности
UEFI версии 2.3.1 Errata C переменные	Переменные должны быть установлены на SecureBoot=1 и SetupMode=0 с базой данных сигнатур (EFI_IMAGE_SECURITY_DATABASE), необходимой для загрузки предварительно защищенной машины, и включая PK, установленный в действительной базе данных KEK. Для получения дополнительной информации выполните поиск системных требований System.Fundamentals.Firmware.UEFISecureBoot в загружаемом PDF-файле спецификаций и политик программы совместимости оборудования Windows.
UEFI v2.3.1 Section 27< /td>	Платформа должна предоставлять интерфейс, соответствующий профилю UEFI v2.3.1 Раздел 27.
База данных сигнатур UEFI	Платформа должна поставляться с правильными ключами в базе данных подписи UEFI (db), чтобы разрешить загрузку Windows. Он также должен поддерживать безопасные аутентифицированные обновления баз данных. Хранение безопасных переменных должно быть изолировано от работающей операционной системы, чтобы их нельзя было изменить без обнаружения.
Подписание прошивки	Все компоненты прошивки должны быть подписаны используя как минимум RSA-2048 с SHA-256.
Диспетчер загрузки	При включении питания система должна начать выполнение кода встроенного ПО и используйте криптографию с открытым ключом в соответствии с политикой алгоритма для проверки подписей всех образов в последовательности загрузки, вплоть до диспетчера загрузки Windows включительно.
Защита от отката
EFI_HASH_PROTOCOL	Платформа предоставляет EFI_HASH_PROTOCOL (согласно UEFI v2.3.1) для разгрузки криптографические хеш-операции и EFI_RNG_PROTOCOL (определен Microsoft) для доступа к энтропии платформы.

Сигнатурные базы данных и ключи

Перед развертыванием ПК вы, как OEM-производитель, сохраняете базы данных безопасной загрузки на ПК. Сюда входят база данных подписей (db), база данных отозванных подписей (dbx) и база данных ключей регистрации ключей (KEK). Эти базы данных хранятся в энергонезависимой памяти встроенного ПО (NV-RAM) во время производства.

База данных сигнатур (db) и база данных отозванных сигнатур (dbx) содержат список подписантов или хэшей образов приложений UEFI, загрузчиков операционной системы (таких как Microsoft Operating System Loader или Boot Manager) и драйверов UEFI, которые могут быть загружается на устройство. Список отозванных содержит элементы, которые больше не являются доверенными и не могут быть загружены. Если хэш изображения есть в обеих базах данных, база данных отозванных подписей (dbx) имеет приоритет.

База данных ключей регистрации ключей (KEK) — это отдельная база данных ключей подписи, которую можно использовать для обновления базы данных подписей и базы данных отозванных подписей. Microsoft требует, чтобы указанный ключ был включен в базу данных KEK, чтобы в будущем Microsoft могла добавлять новые операционные системы в базу данных сигнатур или добавлять заведомо неверные образы в базу данных отозванных сигнатур.

После добавления этих баз данных и окончательной проверки и тестирования встроенного ПО OEM-производитель блокирует редактирование встроенного ПО, за исключением обновлений, подписанных с помощью правильного ключа, или обновлений, сделанных физически присутствующим пользователем, использующим меню встроенного ПО, и затем генерирует ключ платформы (PK). PK можно использовать для подписи обновлений KEK или отключения безопасной загрузки.

Вам следует обратиться к производителю микропрограммы за инструментами и помощью в создании этих баз данных.

Привет. Я использую Linux уже много лет, но это ставит меня в тупик.

У меня ноутбук Acer Nitro 5, модель AN515-51-78C6.

Он поставлялся с предустановленной Windows 10 Home, которую я бы хотел сохранить, и двойной загрузкой.

Загрузка с Linux Mint 18.3 Cinnamon с DVD работала. Многократное нажатие «F12» на экране Acer вызывает меню загрузки.Многократное нажатие «F2» входит в BIOS, и там же можно сделать выбор. Я также пробовал USB-накопитель вместо DVD, это не имело значения.

Разметка сработала. Я использовал «gparted», чтобы уменьшить раздел NTFS, освободив место для Linux. Я создал новый раздел ext4.

Установка сработала. Я установил в этот новый раздел ext4 и в качестве местоположения загрузчика выбрал системный раздел EFI. Установка завершилась без ошибок, однако, когда я пошел на перезагрузку, все, что могло загрузиться, это Windows 10. Нет меню или чего-либо еще, чтобы выбрать Linux.

Также пытался выбрать все дисковое устройство (не системный раздел EFI) для загрузчика, это не имело значения.

Пытался использовать команду "grub-install" вручную, но она не понимает EFI, поэтому произошла ошибка.

Системный раздел EFI также известен как «Диспетчер загрузки Windows». Я не могу найти выбор нигде в Windows. Я использовал трюк Shift-Restart, и это позволило мне попасть во временное меню устранения неполадок. Я вижу ярлык EFI «ubuntu», но когда я его выбираю, ничего не происходит, он снова просто игнорирует меня и загружается в Windows 10.

Установка BIOS на "Legacy" приводит к поломке Windows. Он больше не загружается, в результате чего работает только Intel PXE (как будто ОС вообще не установлена).

Кто-нибудь еще пытался установить Linux Mint на подобный ноутбук? Есть совет?

Я действительно в тупике. Я следил за несколькими руководствами в Интернете, и все они говорят, что я уже делаю правильные вещи.

AZgl1800 Уровень 17
Сообщений: 7747 Присоединился: Чт, 31 декабря 2015 г., 3:20 утра Место: Оклахома, где ветер дует, сметая равнины Контактное лицо:

Загрузка с Linux Mint 18.3 Cinnamon с DVD работала. Многократное нажатие «F12» на экране Acer вызывает меню загрузки. Многократное нажатие «F2» входит в BIOS, и там же можно сделать выбор. Я также пробовал флешку вместо DVD, это не имело значения.

Просто комментарий. Я думаю, вы обнаружите, что простое нажатие ESC, F2, F12 вызовет всплывающее меню. намного надежнее, чем пытаться переключить ключ.

Работает на моих ноутбуках ACER, Dell и ASUS.

LM20.3 Cinnamon на ноутбуке ASUS FX705GM

Привет. Я только что установил Mint 18.3 вместе с WIN 7 на свой рабочий стол. Процесс прошел безупречно. Все шаги, которые вы предприняли, звучат правильно.
Единственные предложения, которые я могу предложить, относятся к диалоговому окну UEFI перед началом процесса загрузки. (то, что раньше называлось экраном BIOS).
1. Я предполагаю, что вы используете диск GPT, потому что у вас есть раздел EFI.
2. GPT-диск (или любая более поздняя версия Windows) означает, что вам нужно установить «BIOS» в режим UEFI. Многие машины имеют режим CSM, который эмулирует старый режим BIOS. Это не сработает
Я не думаю, что это ваша проблема, потому что ваша WIN10 в порядке.
3. На моем экране настройки UEFI я обязательно сказал ему загружать компакт-диски и DVD только в режиме UEFI. Это дало бы мне выбор UEFI или нет. Не UEFI не будет работать,
раз WINdows стоит на диске. Опять же, я не думаю, что это ваша проблема, поскольку вам удалось установить Mint. Но дважды проверьте, загружается ли мятный DVD в режиме UEFI, если это возможно. (Вы можете сделать это без повторной установки)

<р>4. Мое последнее замечание касается безопасной загрузки. Я думаю, что это может быть ваша проблема. В моем мобо также есть запись «Безопасная загрузка» на экране UEFI/BIOS. Есть два варианта: Windows и Другая ОС.
Мне пришлось изменить свою запись с Windows на другую ОС (и сохранить изменения), чтобы мой DVD-диск с Linux загружался в режиме UEFI. Как только это было сделано, установка прошла безупречно, и при перезапуске у меня появилось меню grub, в котором можно было выбрать Windows или LInux.
Кстати, я просто выбрал устройство (sda), а не раздел EFI, в качестве местоположения диспетчера загрузки. Я думаю, что процесс установки достаточно умен, чтобы понять, использовать ли EFI, если диск GPT.

Надеюсь, это поможет. Я не могу думать ни о чем другом. Удачи.

PS Я предполагаю, что вы делаете настоящий выход из Win10 (перезагрузка), а не гибернацию или сон, прежде чем пытаться загрузиться в Linux/Grub?
pgmer6809

Работает на моих ноутбуках ACER, Dell и ASUS.

Спасибо, попробую в следующий раз. По своему опыту я обнаружил, что многократное нажатие клавиши работает лучше, чем ее удержание, потому что аппаратное обеспечение часто очищает буфер клавиатуры во время процесса перезагрузки, и поэтому код «клавиша нажата» будет пропущен. При многократном нажатии клавиши постоянно генерируются новые коды "нажатой клавиши".

Кроме того, иногда BIOS выдает сообщение об ошибке "залипание клавиши клавиатуры" или что-то в этом роде, если обнаруживает, что клавиша нажата. Хотя, возможно, за последние годы это изменилось.Однако, учитывая то, что я видел о качестве программирования BIOS, я так не думаю.

Да, настоящий перезапуск. Я также отключил быстрый запуск в Windows 10 в соответствии с инструкциями, приведенными в другом месте. Похоже, что в BIOS нет аналогичной опции. У меня не было проблем с тем, что этот BIOS не мог обнаружить устройства USB или CD, так что это хорошо.

Ура, объединив несколько идей из других сообщений на форуме, у меня получилось! Теперь я могу успешно загрузить его в Linux. Не было необходимости отключать безопасную загрузку, похоже, она отлично работает с включенной безопасной загрузкой.

Все это было в BIOS, доступ к которому можно получить, несколько раз нажав F2 на черном экране (непосредственно перед экраном Acer, когда ноутбук перезагружается).

На этом ноутбуке Acer BIOS называется «InsydeH20 Setup Utility» и представляет собой классический текстовый BIOS (похоже, мало что изменилось с начала 1990-х годов). У вас нет указателя мыши, только текстовый курсор, который вы будете использовать для перемещения. Используйте клавиши со стрелками для перемещения, клавишу ENTER, чтобы войти, клавишу ESC, чтобы выйти, как будто это было четверть века назад.

Вот что сработало, для тех, кто будет искать этот вопрос позже (возможно, для меня в будущем):

1) Перейдите на страницу "Безопасность" (курсор вправо). Вы должны установить пароль BIOS (пароль администратора), прежде чем он позволит вам использовать большинство элементов, расположенных ниже на этой странице, к сожалению. Выберите что-нибудь короткое и легкое для запоминания, потому что оно понадобится вам каждый раз, когда вы будете снова заходить в BIOS. Я не знаю, как восстановить забытый пароль на ноутбуке (на настольном компьютере обычно можно снять батарейку на материнской плате или установить перемычку на материнской плате).

2) Установив пароль администратора, переместите курсор вниз и выберите «Выбрать файл UEFI как доверенный для выполнения». На появившемся новом пустом экране выберите «HDD0». Затем выберите «ЭФИ». Затем выберите «ubuntu» или любое другое название вашего дистрибутива Linux (по разным причинам часто приходится использовать «ubuntu», даже если вы не устанавливаете Ubuntu). Внутри «ubuntu» выберите файл «grubx64.efi». Появится диалоговое окно. Дайте ему имя в «Описании загрузки», вы должны ввести имя, я просто снова выбрал «ubuntu». Наконец, выберите «Да», чтобы сохранить его.

3) Вам следует вернуться на страницу "Безопасность". Обратите внимание, что «Режим безопасной загрузки» теперь изменен на Пользовательский, хотя безопасная загрузка все еще включена. Нажмите F10, чтобы сохранить и выйти. Этот BIOS требует перезагрузки, чтобы изменения EFI вступили в силу, даже если вы еще не закончили. Ноутбук по-прежнему будет загружаться в Windows. Вам нужно снова выбрать «Перезагрузить» в Windows, а затем снова нажать F2, чтобы снова войти в BIOS.

4) Когда вы снова войдете в BIOS, проверьте страницу «Безопасность», чтобы убедиться, что там по-прежнему указано «Пользовательская», а затем перейдите на страницу «Загрузка» (крайняя справа). Убедитесь, что «Режим загрузки» по-прежнему установлен на «UEFI», а «Безопасная загрузка» по-прежнему «Включена». Вам не нужно отключать безопасную загрузку, и это хорошо. Меню загрузки, содержащее диспетчер загрузки Windows, должно быть ниже. Если теперь BIOS успешно распознает вашу установку Linux, то «EFI File Boot 0: ubuntu» должен появиться в качестве одного из вариантов ниже.

5) Переместите курсор вниз к «EFI File Boot 0: ubuntu» и, пока вы находитесь в этой строке, нажмите F6, чтобы переместить его вверх в списке. Продолжайте нажимать F6, пока он не достигнет вершины списка. Это, наконец, заставит ноутбук по умолчанию загружать Linux вместо Windows.

6) Нажмите F10, чтобы сохранить и выйти. Ноутбук должен загрузиться в меню GRUB. Теперь вы, наконец, можете загрузить Linux. Ты сделал это! Если вы все еще хотите использовать Windows 10, она есть в списке, в разделе «Диспетчер загрузки Windows». Кроме того, если в будущем вам понадобится более простой способ входа в BIOS, пункт «Настройка системы» также должен появиться в списке, что очень удобно.

Итак, это было учебное приключение по EFI, GPT и безопасной загрузке. Я рад, что теперь он работает, и после первого удара по дороге ноутбук теперь работает нормально.

Удобно иметь несколько операционных систем на одном компьютере. Также здорово выбрать, какую ОС загружать при запуске.

Недавно мне пришлось столкнуться с проблемой установки Debian вместе с уже установленной Windows 10 на машине с UEFI (Acer Aspire E15). Установка Debian прошла нормально, но я не смог загрузиться в Debian: при загрузке не появилось меню выбора ОС. Что делать?

Шаг 0: убедитесь, что вы правильно устанавливаете Debian

В разных руководствах в сети предлагаются разные маршруты. Как правило, перед установкой Debian необходимо настроить две вещи: отключить быстрый запуск в Windows 10 и отключить безопасную загрузку в UEFI.

Отключить быстрый запуск в Windows 10

Быстрый запуск — это своего рода частичный переход файлов и данных в спящий режим. К сожалению, это создает проблему, когда вы хотите скопировать данные из Debian в Windows.Итак, давайте отключим его:

открыть "Панель управления";
выберите «Электропитание»;
нажмите "Выберите, что делают кнопки питания";
нажмите "Изменить настройки, которые в данный момент недоступны";
прокрутите страницу вниз до "Параметры завершения работы" и снимите флажок "Включить быстрый запуск";
нажмите "Сохранить изменения";
перезагрузить

Отключить безопасную загрузку в UEFI

Безопасная загрузка — это способ не дать вредоносным программам заменить ваш загрузчик. К сожалению, это затрудняет (или делает невозможным) установку Linux. Как это отключить:

Перезагрузите систему;
нажмите F2, чтобы получить доступ к настройкам UEFI;
перейдите в меню "Загрузка";
отключите «Безопасную загрузку», как показано на рисунке 1 ниже;
сохранить, выйти и перезапустить.

Шаг 1. Выберите нужный файл UEFI для загрузки

Теперь вы можете установить Debian как обычно. После завершения новая ОС будет правильно установлена, но еще не будет доступна при запуске. Итак, вернитесь к настройкам UEFI (т. е. перезагрузите компьютер и нажмите F2) и на вкладке «Безопасность» выберите файл UEFI как доверенный для выполнения, как показано на рисунке 2 ниже. Здесь вы говорите UEFI, что нужно учитывать еще одну ОС.

В интерфейсе отобразится каталог: просмотрите его вниз, пока не найдете файл с именем BOOTx64.EFI , затем выберите его. Вы также сможете выбрать имя: оно позже будет отображаться в списке порядка загрузки.

Меню, показанное на рисунке 2, может быть выделено серым цветом. Если это так, временно снова включите безопасную загрузку, как вы делали это в предыдущем пункте: это должно разблокировать меню. Не забудьте отключить безопасную загрузку после завершения.

Сохранить, выйти и перезапустить.

Шаг 2. Определите правильный порядок загрузки

Чтобы изменить это, снова введите настройки UEFI (перезагрузка + F2) и измените порядок загрузки Windows Boot Manager на EFI File Boot 0: Debian. Сохранить и выйти. Таким образом, при следующей загрузке вам будет предложено выбрать ОС, управляемую grub.

Источники

Ответы Acer — Windows 10: включение или отключение быстрого запуска (ссылка)
CNet — Что такое быстрый запуск Windows 10? (ссылка)
Спросите Ubuntu - Зачем отключать быструю загрузку в Windows 8 при двойной загрузке? (ссылка)

При новой установке Ubuntu 16.04 или любой другой версии Ubuntu или Linux после установки вы можете столкнуться с тем, что ваш ноутбук или настольный компьютер не загружает установленную ОС, а вместо этого возвращает сообщение «Нет загрузочного устройства», если ноутбук установлен в режим UEFI.

Это изображение может появиться после перезагрузки ноутбука после успешной установки ОС.

Чтобы решить эту проблему, перезагрузите ноутбук и войдите в BIOS.

Перейдите к пункту «Выбрать файл UEFI как доверенный для выполнения:» и нажмите клавишу Enter.

После этого выберите HDD1.

Тогда вы сможете увидеть или, возможно, какое-то другое имя вашей установки Linux.

Затем выберите shimx64.efi

А затем выберите Да, когда вас спросят, хотите ли вы добавить этот файл в допустимую базу данных.

Читайте также: