«Компостер» коснулся тонких материй, соединяющих прошлое с настоящим. В компьютерном мире это называется совместимостью. Пытливый ум экспериментатора хочет знать: что будет, если ослушаться маму мануал и отказаться от совместимости? Другими словами: хорошо ли усвоен материал по выполнению на материнской плате операции Clear CMOS? Если с этим все в порядке, следуйте за нами, дорогие читатели. Мы начинаем эксперименты с утилитой Aptio Setup Utility, надежно встроенной в состав UEFI BIOS производства American Megatrends.
Не говори GOP, если не знаешь, чем это закончится
Легко и просто с ноутбуками: заходя в Setup, они бодро рапортуют о том, какая именно версия GOP поддерживается на данной платформе. Напомним тем, кто только недавно к нам подключился: Graphics Output Protocol – это новинка, пришедшая на смену VGA BIOS в угоду UEFI.
Рис 1
.CSM, как технология совместимости,
открывает дополнительные опции меню UEFI BIOS
Сложнее дело обстоит с настольными системами. В слот расширения можно установить практически любую подходящую видео карту. И если у нас видеокарта, не имеющая поддержки GOP, а мы выключаем CSM-режим и выходим из Setup с записью, то после перезагрузки нас ждет фатальная ошибка – звуковой сигнал об отсутствии видео (1 длинный и три коротких гудка). Затем пауза и следующая перезагрузка, при которой BIOS включил CSM самовольно и предупреждает нас об этом таким сообщением:
The VGA Card is not supported UEFI Driver.
CSM (Compatibility Support Module) settings have been changed for better compatibility.
Что же происходит в процессе выполнения POST-процедур? Очевидно, что если VGA BIOS не поддерживает UEFI, то firmware системной платы не может взаимодействовать с ресурсами видеокарты по GOP-протоколу . Проигнорировать «неудобный » Legacy VGA BIOS и работать с видео контроллером напрямую, firmware системной платы также не может, так как операции с графическим контроллером требуют весьма специфической поддержки и UEFI BIOS системной платы не готов заранее поддерживать все типы графических контроллеров.
CSM – это мост между прошлым и будущим
Единственное решение, приемлемое для совместимости старого и нового, – технология Compatibility Support Module. Только она способна создать «мостик» между UEFI GOP и Legacy VGA BIOS.
Рис 2
. Запрет CSM-технологии не допускает
редактирования других опций CSM-меню
Алгоритмы утилиты Aptio Setup в этом нас убеждают. Если CSM-режим разрешен, все прочие опции на этой странице доступны. При выключении режима совместимости другие опции становятся недоступными. И если выйти из Setup, сохранив изменения, платформа не сможет проинициализировать видео и сгенерирует ошибку, описанную выше.
Очевидно, вопрос касается не только графики. Если мы устанавливаем, например Storage-контроллер, firmware которого не поддерживает UEFI, то при запрете режима CSM, диски, подключены к нему, останутся недоступными.
UEFI Secure Boot - это стандартная защита на BIOS, которая ограничивает возможности по запуску USB-носителей в качестве загрузочного диска. Данный защитный протокол можно встретить на компьютерах с Windows 8 и новее. Его суть заключается в том, чтобы не дать пользователю загрузиться с установщика Windows 7 и ниже (или операционной системой из другого семейства).
Данная функция может быть полезна для корпоративного сегмента, так как позволяет предотвратить несанкционированную загрузку компьютера с неавторизованных носителей, которые могут содержать различное вредоносное и шпионское ПО.
Обычным же пользователям ПК эта возможность ни к чему, наоборот, в некоторых случаях она может даже мешать, например, если вы хотите установить Linux совместно с Windows. Также из-за неполадок с настройками UEFI во время работы в операционной системе может вылазить сообщение об ошибке.
Чтобы узнать, включена ли у вас данная защита, необязательно переходить в BIOS и искать информацию по этому поводу, достаточно сделать несколько простых шагов, не выходя из Windows:
В зависимости от производителя материнской платы, процесс отключения данной функции может выглядеть по-разному. Рассмотрим варианты для самых ходовых производителей материнских плат и компьютеров.
Способ 1: Для ASUS
Способ 2: Для HP
Способ 3: Для Toshiba и Lenovo
Здесь, после входа в BIOS, вам нужно выбрать раздел «Security» . Там должен быть параметр «Secure Boot» , напротив которого нужно установить значение «Disable» .
Способ 4: Для Acer
Если с предыдущими производителями всё было относительно просто, то тут изначально нужный параметр будет недоступен для внесения изменений. Чтобы разблокировать его, понадобится поставить пароль на BIOS. Сделать это можно по следующей инструкции:
Рассмотрим настройки BIOS бюджетного ноутбука ASUS X550LA (90NB02F2-M00140).
Закладка Main (Главная)
. Здесь прописана информация о BIOS (AMI), установленном энергоэффективном процессоре Intel Core i3-4010U, объеме оперативной памяти, серийном номере, системных дате и времени, и установленном уровне доступа.
Закладка Advanved (Расширенные)
. Здесь есть настройки загрузки, возможность включения/отключения дополнительный опций процессора: Intel Virtualization Technology, Intel AES-NI, VT-d. Доступ к настройкам SATA, интегрированой графики, USB, сетевых настроек и т.д.
Раздел SATA Mode Selection, на первом порте у нас висит жесткий диск HGST HTS545050A7E680, на втором DVD оптический привод: HL-DT-ST DVDRAM GU71N производства Hitachi-LG Data Storage. Работа в режиме AHCI.
Закладка Security (Секретность)
. В данном разделе можно установить пароль на вход, для жесткого диска: для пользователей и администратора.
Для установки операционной системы Windows 7 вместо предустановленной Windows 8, необходимо в разделе Security отключить Secure Boot menu, и затем в разделе Boot включить Launch CSM > Enabled.
Launch CSM (Launch Compatibility Support Module) это «Модуль поддержки запуска в режиме совместимости». Выбор Enabled - активирует специальный режим расширенной совместимости. Этот режим позволяет загружаться и устанавливать различные версии более старых операционных систем, к которым уже можно отнести и Misrosoft Windows 7.
Secure Boot (защищенная загрузка или безопасная загрузка) – это одна из функций UEFI, позволяющая бороться с руткитами и буткитами (которые используют уязвимости в прошивке BIOS) еще на предварительном этапе загрузки ОС. Технология безопасной загрузки – один из эшелонов обороны в новых ОС Microsoft — Windows 8 и Windows Server 2012. В этой статье мы рассмотрим практические и теоретические аспекты работы Secure boot в ОС Windows 8 (актуально и для Windows Server 2012).
Не секрет, что в современных системах загрузка ОС является одним из самых уязвимых компонентов с точки зрения безопасности. Злоумышленнику достаточно передать функции загрузчика на свой («вредоносный») загрузчик, и подобный загрузчик не будет детектироваться системой безопасности ОС и антивирусным ПО.
Функция Secure Boot в Windows 8 позволяет в процессе загрузки (до запуска операционной системы) организовать проверку всех запускаемых компонентов (драйвера, программы), гарантируя, что только доверенные (с цифровой подписью) программы могут выполняться в процессе загрузки Windows. Неподписанный код и код без надлежащих сертификатов безопасности (руткиты, буткиты) блокируется UEFI (однако и эту систему защиту можно обойти, вспомните червя Flame, подписанного фальшивым сертификатом Microsoft ). В случае обнаружения компонента без цифровой подписи автоматически запустится служба Windows Recovery, которая попытается внести изменения в Windows, восстановив нужные системные файлы.
Совет. Что делать, если на после обновления до Windows 8.1, на рабочем столе в правом нижнем углу надпись появилась надпись « ?
Стоит однозначно понимать, что для использования технологии защищенной загрузки вместо BIOS на ПК должна использоваться система UEFI (что это такое описано в статье ). Кроме того, прошивка материнской платы должна поддерживать спецификацию UEFI v2.3.1 и иметь в своей базе сигнатур UEFI сертификат центра сертификации Microsoft Windows (или сертификаты OEM-дилеров аппаратного обеспечения, заверенные Microsoft). Все новые компьютеры с предустановленной Windows 8 (64 битными версиями), получившие наклейку «Windows 8 ready », по требованию Microsoft, обязательно требуют активной Secure Boot. Также отметим, что Windows 8 для ARM (Windows RT) нельзя установить на оборудование, не поддерживающее UEFI или позволяющее отключить Secure Boot.Для работы secure boot или ELAM модуль TPM (trusted platform module) не требуется !
Другой компонент защищенной загрузки Windows 8 — ELAM (Early-launch Anti-Malware — технологией раннего запуска защиты от вредоносного ПО), обеспечивает антивирусную защиту ещё до завершения загрузки компьютера. Тем самым сертифицированный антивирус (имеются в виду продукты различных вендоров, а не только Microsoft) начинает работать еще до того, как вредоносное ПО получит шанс запуститься и скрыть свое присутствие.
Настройка защищенной загрузки в Windows 8
Попробуем разобраться, как можно организовать защищенную загрузку Windows 8 на новом компьютере (предполагается, что у нас имеется коробочная, а не предустановленная OEM версия Windows 8). Для эксперимента была выбрана материнская плата Asus P8Z77 с поддержкой UEFI (и наклейкой Windows 8 ready). Следует понимать, что в другой материнской плате конкретные скриншоты и опции скорее всего будут отличаться, главное — уяснить основные принципы установки Windows 8 с secure boot на новый компьютер
Систему планируется установить на SSD диск, поэтому в настройках BIOS (на самом деле это UEFI) в качестве SATA
Mode
Selection
зададим AHCI
. ()
Для установки Windows 8 в режиме UEFI нам нужен либо загрузочный DVD диск (физический) с дистрибутивом Win 8, либо загрузочная USB флешка с Windows 8 (отформатированная в FAT32) подготовленная специальным образом (), т.к. загрузочная флешка с NTFS в UEFI работать не будет. Стоит отметить, что установка Windows 8 с флешки на SSD диск заняла всего около 7 минут!
Отключите компьютер, вставьте загрузочный диск (флешку) и включите компьютер. Перед вами появится экран выбора параметров загрузки (UEFI Boot menu), где нужно выбрать ваше загрузочное устройство (на скриншоте видна опция Windows Boot Manger, но реально у вас она появится только после установки системы в режиме EFI).
Подробнее остановимся на параметрах разбиения диска для системы. EFI и secure boot требуют, чтобы диск находился в режиме GPT (а не MBR). В том случае, если диск не размечен никаких дальнейших телодвижений и манипуляций с diskpart выполнять не нужно, система все сделает сама. Если диск разбит на разделы, удалите их, т.к. для работы UEFI с secure boot нужны четыре специальных раздела, которые установщик создаст автоматически.
Предполагается, что мы хотим использовать под Windows 8 весь диск целиком, поэтому просто жмем Next , не создавая никаких разделов. Windows автоматически создаст четыре раздела нужного размера и задаст им имена:
- Recovery – 300 Мб
- System – 100 Мб – системный раздел EFI, содержащий NTLDR, HAL, Boot.txt, драйверы и другие файлы, необходимые для загрузки системы.
- MSR (Reserved) – 128 Мб – раздел зарезервированный Microsoft (Microsoft Reserved -MSR) который создается на каждом диске для последующего использования операционной системой
- Primary – все оставшееся место, это раздел, куда, собственно, и устанавливается Windows 8
Далее выполните как обычно установку Windows 8. После того, как Windows будет установлена, с помощью Powershell можно удостоверится, что используется безопасная загрузка, для этого в командной строке с правами администратора выполните:
Confirm-SecureBootUEFI
Если secure boot включена, команда вернет TRUE (если выдаст false или команда не найдена, значит — отключена).
Итак, мы успешно установили Windows 8 в режиме защищенной загрузки (Secure Boot) с UEFI.
Windows 8, то обязательно столкнетесь с несколькими проблемами, которые не позволят вам установить Windows 7 вместо Windows 8.
Проблема 1:
К сожалению, не всегда получается установить Windows 7 на накопители с GPT-оглавлением - некоторые ноутбуки просто не позволяют установить Windows 7 при включенном UEFI-boot. Не получится установить Windows 7 на GPT диски с неоригинального диска (к примеру, с диска, где собраны образы с разными редакциями Windows 7), а также с "не UEFI" загрузочной флешки (можно создать флешку с UEFI загрузчиком, но далеко не каждому пользователю это под силу). Поэтому, проще всего деактивировать вышеуказанный(-ые) пункт(-ы) UEFI-boot (и/или Secure-boot) в БИОС материнской платы ноутбука или компьютера и тогда Windows 7 установится без проблем. Активация "UEFI-boot" позволяет создавать служебный UEFI-раздел на целевом накопителе с GPT (GUID Partiton Table) оглавлением. Соответственно, деактивация позволяет устанавливать Windows 7 на диски с MBR разметкой.
 |
|
 |
Примеры
В некоторых случаях в настройки BIOS можно зайти из сервисного меню Windows 8. Попасть в него можно выполнив штатную перезагрузку с зажатой клавишей Shift.
Проблема 2:
Как уже говорилось выше, предустановленные Windows 8 чаще всего установлены на накопители с GPT-оглавлением. Если у вас возникла "Проблема 1" из данного FAQ, то чтобы установить Windows 7, диск должен быть преобразован к традиционной главной загрузочной области MBR (Master Boot Record). Осуществить преобразование GPT в MBR можно во время установки Windows 7, а именно:В тот момент, когда мастер установки предлагает выбрать накопитель/раздел для установки операционной системы, нужно воспользоваться комбинацией клавиш Shift + F10, в результате чего откроется командная строка.
Командная строка открывается по нажатию Shift + F10 во время установки Windows
В командной строке:
- Наберите "diskpart" и нажмите клавишу "ENTER".
- В приглашении команды diskpart наберите без кавычек: "list disk" и нажмите клавишу "ENTER".
- Запишите номер диска, который Вы хотите преобразовать в MBR диск.
- В приглашении команды diskpart наберите без кавычек: "select disk
" (где - номер диска) и нажмите клавишу "ENTER". - Наберите команду "clean" для быстрой очистки диска и удаления всех разделов
- В приглашении команды diskpart наберите без кавычек: "convert mbr" и нажмите клавишу "ENTER".
