Uefi boot что это

Немного про UEFI и Secure Boot

UEFI (Unified Extensible Firmware Interface) — замена устаревшему BIOS. Эта спецификация была придумана Intel для Itanium, тогда она еще называлась EFI (Extensible Firmware Interface), а потом была портирована на x86, x64 и ARM. Она разительно отличается от BIOS как самой процедурой загрузки, так и способами взаимодействия с ОС. Если вы купили компьютер в 2010 году и позже, то, вероятнее всего, у вас UEFI.

Основные отличия UEFI от BIOS:

• Поддержка GPT (GUID Partition Table)

• Поддержка сервисов

• Модульная архитектура

• Встроенный менеджер загрузки

Как происходит загрузка в UEFI?

С GPT-раздела с идентификатором EF00 и файловой системой FAT32, по умолчанию грузится и запускается файл \efi\boot\boot[название архитектуры].efi, например \efi\boot\bootx64.efi
Т.е. чтобы, например, создать загрузочную флешку с Windows, достаточно просто разметить флешку в GPT, создать на ней FAT32-раздел и просто-напросто скопировать все файлы с ISO-образа. Boot-секторов больше нет, забудьте про них.
Загрузка в UEFI происходит гораздо быстрее, например, загрузка моего лаптопа с ArchLinux с нажатия кнопки питания до полностью работоспособного состояния составляет всего 30 секунд. Насколько я знаю, у Windows 8 тоже очень хорошие оптимизации скорости загрузки в UEFI-режиме.

Secure Boot

Начнем с того, что эту технологию придумали не в Microsoft, а она входит в спецификацию UEFI 2.2. Включенный Secure Boot не означает, что вы не сможете запустить ОС, отличную от Windows. На самом деле, сертифицированные для запуска Windows 8 компьютеры и лаптопы обязаны иметь возможность отключения Secure Boot и возможность управления ключами, так что беспокоится тут не о чем. Неотключаемый Secure Boot есть только на планшетах на ARM с предустановленной Windows!

Что дает Secure Boot? Он защищает от выполнения неподписанного кода не только на этапе загрузки, но и на этапе выполнения ОС, например, как в Windows, так и в Linux проверяются подписи драйверов/модулей ядра, таким образом, вредоносный код в режиме ядра выполнить будет нельзя. Но это справедливо только, если нет физического доступа к компьютеру, т.к., в большинстве случаев, при физическом доступе ключи можно заменить на свои.

В Secure Boot есть 2 режима: Setup и User. Первый режим служит для настройки, из него вы можете заменить PK (Platform Key, по умолчанию стоит от OEM), KEK (Key Exchange Keys), db (база разрешенных ключей) и dbx (база отозванных ключей). KEK может и не быть, и все может быть подписано PK, но так никто не делает, вроде как. PK — это главный ключ, которым подписан KEK, в свою очередь ключами из KEK (их может быть несколько) подписываются db и dbx. Чтобы можно было запустить какой-то подписанный .efi-файл из-под User-режима, он должен быть подписан ключом, который в db, и не в dbx.

Для Linux есть 2 пре-загрузчика, которые поддерживают Secure Boot: Shim и PRELoader. Они похожи, но есть небольшие нюансы.
В Shim есть 3 типа ключей: Secure Boot keys (те, которые в UEFI), Shim keys (которые можно сгенерировать самому и указать при компиляции), и MOKи (Machine Owner Key, хранятся в NVRAM). Shim не использует механизм загрузки через UEFI, поэтому загрузчик, который не поддерживает Shim и ничего не знает про MOK, не сможет выполнить код (таким образом, загрузчик gummiboot не будет работать). PRELoader, напротив, встраивает свои механизмы аутентификации в UEFI, и никаких проблем нет.
Shim зависит от MOK, т.е. бинарники должны быть изменены (подписаны) перед тем, как их выполнять. PRELoader же «запоминает» правильные бинарники, вы ему сообщаете, доверяете вы им, или нет.
Оба пре-загрузчика есть в скомпилированном виде с валидной подписью от Microsoft, поэтому менять UEFI-ключи не обязательно.

Secure Boot призван защитить от буткитов, от атак типа Evil Maid, и, по моему мнению, делает это эффективно.
Спасибо за внимание!

Uefi boot что это

Тенденции

Тридцать лет назад разработчики BIOS не могли предугадать такого разнообразия компьютерного «железа». Вспомните, ИТ-индустрия начала свое победное шествие с ПК и серверов. Сегодня же мы имеем помимо них ноутбуки, нетбуки, неттопы, моноблоки, тонкие и нулевые клиенты, планшеты, медиаплееры и. этот список будет постоянно расти!

Вероятно, часть изделий «уйдет» с рынка, потеряв популярность. Но тенденция налицо — устройства становятся более компактными, мощными и емкими. Ассортимент гаджетов тоже растет (хотя футурологи предрекают появление унифицированного устройства, в виде чипа, вживляемого в организм человека).В тоже время «старый, добрый» BIOS жестко ограничен 16-битным интерфейсом и программными прерываниями, небольшим пространством ROM (1 Мб) и размером образа, весьма малым числом инициализируемых устройств. И это только часть проблем.

Поэтому на замену BIOS предложили UEFI — Unified Extensible Firmware Interface (унифицированный расширяемый интерфейс прошивки.Концепция UEFI была разработана компанией Intel еще в начале 90-х годов для платформ Itanium. Затем ее передали в распоряжение Unified EFI Forum, который доработал концепцию, и стал продвигать новый стандарт для всей индустрии.

В итоге AMD, AMI, Apple, Dell, HP, IBM, Insyde, Intel, Lenovo, Microsoft, Phoenix и другие именитые производители стали внедрять UEFI в своей продукции. И уже сегодня на многих материнских платах можно встретить UEFI. Хотя в целях совместимости, производители на некоторых материнских платах сделали «переключатель» интерфейса на более знакомый нам BIOS.

Что же представляет собой UEFI? Если говорить коротко, UEFI является посредником между ОС и железом компьютера (а если глобально — любого современного устройства). Таким образом, UEFI позволяет заменить BIOS.Причем UEFI поддерживает не только драйвера, всевозможные порты (протоколы) и службы, но и имеет собственную графическую оболочку. Благодаря наглядному и красивому интерфейсу у пользователя есть возможность, не запуская операционную систему, слушать музыку, смотреть видео, проверять почту и даже заходить в Интернет. Однако до полноценной операционной системы, UEFI явно не дотягивает. Потому как, прежде всего, это новый интерфейс «для общения» между микропрограммами, железом и ОС. Расположен данный интерфейс поверх всех апаратных компонентов компа с их собственными прошивками-микрокодами.

В отличие от загрузочного кода BIOS, который всегда жестко прошит в соответствующем чипе на системной плате, коды UEFI находятся в специальной директории /EFI. Физическое место расположения этой директории может быть самым разнообразным — от чипов памяти на плате, раздела HDD компьютера и до внешнего сетевого хранилища.

Посмотрим, что же предлагает UEFI на железном уровне, кроме обычных настроек старого BIOS, вроде регулировки температур для чипов или оборотов кулеров. UEFI (его нередко называют EFI) содержит системную информацию, организованную в виде таблиц. Здесь есть загрузочные и runtime-службы для операционной системы. Загрузочные службы включают инициализацию, файловые службы и другие подобные, а также текстовые и графические консоли пользователя. Runtime-службы включают сервисы даты, времени и NVRAM.

В отличие от старого BIOS новая система поддерживает загрузку ОС с локальных томов жесткого диска Объемом более 2 Тб. Без UEFI старые ПК не могут загружаться с разделов больше 2 Тб. Хотя, если вы будете использовать загрузочный диск меньше 2 Тб, то дополнительные жесткие диски можно будет подключать с любой емкостью.

Еще одним достоинством UEFI, можно назвать поддержку манипуляторов (мышь) и современных средств ввода информации (сенсорный дисплей).

В UEFI можно интегрировать большое количество драйверов, не привязанных к определенной системе.Это значит, что производителям достаточно написать всего одну версию драйвера для всех платформ. Благодаря инициализации драйверов на этом раннем этапе запуска можно получить доступ к сетевой плате, в том числе функциям загрузки по сети или удаленного обслуживания.

И вот что интересно: время при загрузке компьютера сокращается до нескольких секунд, против, порядка 30 секунд на ПК со старым BIOS. Наибольший выигрыш во времени запуска достигается благодаря тому, что отпадает необходимость в поиске загрузчика на устройстве, т.к. загрузочный диск устанавливается в UEFI в самом начале установки ОС. Кроме того, UEFI работает с безопасным протоколом загрузки.

Ускорение старта системы — не единственное достоинство UEFI. В отдельном EFI-разделе можно хранить множество приложений. Так, еще до загрузки самой ОС можно запустить программу диагностики, антивирусное ПО или утилиту управления системой. Удобно? Несомненно!

Кроме поддержки мыши, интерфейс UEFI включает в себя множество языков. Теперь скажите, в старом BIOS Setup мы могли видеть русское или украинское меню?

UEFI и Windows 8

Спецификация UEFI версии 2.3.1 была представлена в апреле 2011 года.Именно эта спецификация в ближайший год-два станет использоваться во всех новых материнских платах. Поэтому купить компьютер с обычным BIOS скоро станет практически невозможно (разве что найти на барахолках радиорынков).

Наиболее востребованными особенностями UEFI являются: «безопасная загрузка» (Secure Boot в Windows 8), низкоуровневая криптография, сетевая аутентификация, универсальные графические драйверы и еще многое другое. UEFI поддерживает 32-х и 64-х битные процессоры и может быть использована на системах с процессорами Itanium, х86, х64 и ARM Все современные операционных системы вроде Windows, Linux и OS X поддерживают загрузку через UEFI. Однако если использование UEFI в Mac OS X (загрузочный менеджер Bootcamp) и Linux еще неполное, то в Windows 8 преимущества среды UEFI уже используются по максимуму.

Например, Wndows 8 совместно с UEFI 2.3.1 закрывают дыру в безопасности текущей схемы BIOS, которая позволяла любому загрузчику, в том числе содержащему руткит, загружаться раньше операционной системы. В отличие от BIOS, UEFI будет позволять загружаться только подтвержденным загрузчикам ОС (если разрешена безопасная загрузка). Как заявляют эксперты, вредоносный код в загрузчиках находиться больше не сможет! Впрочем, для работы на «старых» ОС (типа Windows ХР), поддерживающих только BIOS, в UEFI существует режим эмуляции BIOS, который называется Compatibility Support Module (CSM).

Что касается Windows 8, то полноценно UEFI поддерживается только в 64 разрядной версии. 32-битные версии «восьмерки» не поддерживают функции UEFI — на новых ПК этой ОС придется работать в режиме эмуляции CSM. Wndows 8 для ARM (Wndows RT) не будет работать на оборудовании, которое не поддерживает UEFI или позволяет отключить Secure Boot.

Получить доступ к настройкам UEFI из Windows 8 можно одним из трех способов:

В настройках ПК (PC Settings) выберите раздел «Общие» (Generel) и в подразделе «Особые варианты загрузки» (Advanced Startup) нажмите кнопку «Перезагрузить сейчас» (Restart now).

Того же самого эффекта можно достигнуть, зажав кнопку Shift при нажатии кнопки Restart в меню завершения работы.

Для попадания в загрузочное меню Wndows необходимо в командной строке прописать:
shutdown, ехе /г /о /f /t 00. После перезагрузки автоматически откроется меню загрузки Windows 8, в котором необходимо выбрать пункты Troubleshoot, а затем Advanced options. В окне расширенных опций есть отдельная «плитка» UEFI Firmware Settings, через которую после перезагрузки ПК можно попасть прямиком в UEFI-Важно знать, что для входа в меню UEFI на новых компьютерах с предустановленной Wndows 8 привычный способ нажатия на клавишу Del или F2 (или другой специальной клавиши) не сработает. Это связано с тем, что старт системы происходит очень быстро. Сообщалось, что Windows 8 с UEFI ждет нажатия клавиши всего 200 мс. Поэтому выше и были предложены три способа вызова для входа в настройки параметров UEFI из загрузочного меню Wndows 8.
Впрочем, по информации из Сети, один из пользователей смог войти в настройки UEFI, удерживая нажатой клавишу F2 ноутбука, и лишь затем включил питание. Такой прием кажется нам весьма достоверным!

Что такое uefi boot — подробное руководство

Большинство пользователей обновили свои компьютеры: приобрели новые системным блоки, материнские платы или ноутбуки в последние года четыре.

Примечательностью новых машин является то, что устаревшая система ввода-вывода BIOS больше не используется, её место заняла усовершенствованная прошивка под названием UEFI.

Она обладает огромными количеством преимуществ над BIOS, которые сегодня и рассмотрим.

Более подробно же остановимся на утилите UEFI Boot: узнаем, что это и почему его так не любят пользователи.

Содержание:

Эволюция системного программного обеспечения

Более двух десятилетий в качестве ПО низкого уровня, используемого при старте компьютера для тестирования его оборудования, передачи управления железом главной загрузочной записи MBR, которая выбирает и запускает загрузчик нужной операционной системы, использовался BIOS.

C его помощью пользователи могут управлять огромным количеством параметров аппаратных компонентов.

CMOS – электронный элемент с независимым питанием в виде батарейки, где и хранится вся текущая конфигурация компьютера.

Рис. 1 – Внешний вид UEFI

BIOS обладает массой недостатков:

• он не поддерживает загрузку из жестких дисков объёмом больше 2 ТБ – купили вы новый винчестер на 3 или 4 ТБ, а установить операционную систему на него не сможете, это технологическое ограничение главной загрузочной записи (никто в 80-х и не подумывал, что HDD могут быть столь неимоверного объема);
• BIOS функционирует в 16-ти битном режиме (при том, что фактически все современные процессоры являются 64 и 32-х битными) при использовании всего 1024 КБ памяти;
• процесс одновременной инициализации нескольких устройств поддерживается, но он весьма неотлажен и проблематичен, что снижает скорость запуска компьютера (каждый аппаратный компонент и интерфейс инициализируется отдельно);
• БИОС – рай для пиратов – он не имеет никаких защитных механизмов, что позволяет загружать любые операционные системы и драйверы, в том числе с изменённым кодом и неподписанные (нелицензионные).

Первая версия UEFI разработана корпорацией Intel для Itanium, но позже была портирована на IBM PC.

Это самостоятельная операционная система с графическим интерфейсом, состоящая из множества модулей и имеющая неограниченный доступ к ресурсам аппаратных компонентов.

Особенности новой EFI с графическим интерфейсом:

• её код написан полностью на C++, что позволяет увеличить производительность во время загрузки ПК посредством задействования возможностей 64-разрядных центральных процессоров;
• адресного пространства операционной системы хватает для поддержки 8*10 18 байт дискового пространства (такого запаса хватит на несколько десятилетий) при том, что весь объем цифровой информации на данный момент почти на три порядка ниже;
• адресация оперативной памяти – теоретические расчёты показывают, что UEFI позволит устанавливать до 16 эксабайт оперативной памяти (на 9 порядков больше, чем в мощных современных ПК);
• ускоренная загрузка ОС осуществляется благодаря параллельной инициализации аппаратных компонентов и загрузке драйверов;
• драйверы подгружаются в оперативную память ещё до запуска операционной системы, причём они не являются платформозависимыми;
• вместо старой схемы разметки разделов используется прогрессивная GPT, однако для её задействования придётся отформатировать жесткий диск;
• удобная и симпатичная графическая оболочка поддерживает управление посредством мыши;
• есть встроенные утилиты для диагностики, изменения конфигурации и обновления прошивок аппаратных компонентов;
• поддержка макросов в формате .nsh;
• модульная архитектура – позволяет загружать собственные драйверы или скачанные из интернета;
• одно из самых значимых и важнейших изменений (в частности для Microsoft), которые привнесла UEFI – наличие Secure Boot Option. Она вызвана оберегать Bootloader от выполнения вредоносного кода, защитить операционную систему от вирусов ещё до её запуска посредством эксплуатации цифровых подписей.

Рис. 2 – Схема взаимодействия оборудования и ОС посредством UEFI

О последней функции поговорим подробнее.

Читайте также:

Secure Boot

Название технологии переводится как «безопасная загрузка» и представляет собой протокол, который является составляющей спецификации графической EFI.

Появился вместе в Windows 8, но не является обязательным для реализации производителями материнских плат и портативных компьютеров.

Если вкратце, Secure Boot позволяет проверять наличие и подлинность цифровых подписей, находящихся в хранилище, посредством эксплуатации технологий ассиметричной криптографии.

В 2011 году, когда интерфейс ещё не был представлен для широкой публики, Microsoft выдвинули требования для сертификации персональных компьютеров с операционной системой Windows 8 (и как следствие Windows 10).

Этим софтвенная корпорация попыталась уменьшить количество пользователей, устанавливающих на свои компьютеры взломанные версии ОС и увеличить без того колоссальные прибыли.

Однако пользовательское сообщество встретило такие изменения весьма недружелюбно. Во-первых, далеко не каждый готов платить сотни долларов за какую-то ни было Windows, во-вторых, для ARM отключить Secure Boot нельзя, что повлекло за сотой третье последствие – затруднение, а порой и невозможность установки операционных систем, отличных от Windows.

Режимы

Работает «безопасная загрузка» в четырёх режимах, а не двух, как себе представляет большинство пользователей:

• Setup Mode (режим настройки) – активация возможна только из пользовательского режима, в нем требуется аутентификация для записей db, dbx, KEK и PK;
• Audit Mode – режим аудита – возможна активация из пользовательского или режима настройки – не требует аутентификации, в нем могут запускаться прошедшие проверку образы, а сведения обо всех процедурах аутентификации заносятся в специальную базу данных, которую можно просматривать из среды операционной системы. Это предоставляет возможность тестировать комбинации ключей/цифровых подписей;
• User Mode – пользовательский – возможен переход из развёрнутого и режима настройки. В нём осуществляется валидация образов;
• Deployed Mode – развёрнутый – переход возможен из второго или третьего режима, самый безопасный ввиду того, что все переменные доступны только для чтения.

Преимущества и недостатки

• Высокий уровень безопасности – гарантирует защиту от функционирования руткитов в системных файлах операционной системы, работа которых приведёт к недействительности цифровых подписей модифицированных файлов.
• Путём внесения в базу запрещенных для запуска операционных систем можно ограничить список загружаемых ОС.

• Все драйверы, которые запускаются на этапе загрузки ОС, должны быть подписанными, иначе они не загрузятся и соответствующие устройства не будут использоваться. Это требует согласования разработчиками системного программного обеспечения и производителями платформ момента добавления их ключей продуктов в доверенное хранилище.
• Разработчики ОС не обязаны реализовывать функцию деактивации Secure Boot. Добавление ключей программами в доверенное хранилище должно быть запрещено, что усложняет эту процедуру и для пользователей.
• Многие версии прошивок имеют уязвимости, позволяющие обходить Secure B

Как проверить текущее состояние

Узнать, активирована ли данная функция на вашем компьютере или ноутбуке, можно несколькими путями:

• в процессе инсталляции новой операционной системы, когда появится ошибка, что это сделать невозможно;
• посредством диагностической утилиты msinfo32;
• через командную строку.

Msinfo32

Запустить приложение можно множеством способов. Мы используем самый простой.

• Открываем окно «Выполнить» посредством комбинации клавиш Win + R или через ярлык в «Пуске» .
• Вводим команду «msinfo32» и выполняем её кнопкой «ОК» или клавишей «Enter» .

Вследствие появится окно «Сведения о системе» , где в строке «Состояние безопасности системы» содержатся необходимые сведения о текущем режиме защиты.

Рис.3 — Сведения о системе

Командная строка

1. Запускаем её любым способом.
2. Выполняем команду «Confirm-SecureBootUEFI».

Если ответом будет «True», функция активирована, «False» — отключена, «Не является внутренней командой» или «not supported» — не поддерживается текущей операционной системой.

Может быть в случаях эксплуатации Windows 7 или старых системных плат с BIOS.

Рис.4 – Проверка режима работы Secure Boot через командную строку в Windows 10

Включение и отключение

В той или иной ситуации может потребоваться отключить Secure Boot.

Для этого необходимо войти в меню настройки UEFI, найти соответствующий параметр и изменить его значение на требуемое.

Зайти в меню настройки можно посредством специальной клавиши ( F11 , Del , F2 ), которая зависит от производителя устройства или через «Параметры» Windows 8-10.

• Жмём Win + I .
• Выбираем «Обновление, безопасность» .
• Кликаем по пиктограмме «Восстановление» и перезагружаем компьютер.

После этого ПК перезапустится и появится интерфейс UEFI.

В настройках модифицированного БИОС находим пункт, отвечающий за деактивацию функции Secure Boot, и переключаем её в нужный режим.

На многих устройствах опция размещена на главной странице или в разделе безопасности «Security».

Вместо положения «Отключено» («Disable») могут быть варианты с иной операционной системой, например, «Other OS».

После выбора нужного варианта сохраняем настройки и выходим из меню.

Читайте также:

Проблемы

Иногда после завершения запуска Windows 8-10 в углу рабочего стола отображается надпись, предупреждающая, что Secure Boot неправильно сконфигурирована.

Чаще всего, для решения проблемы необходимо перейти в меню настроек BIOS и включить функцию защиты SB точно таким образом, как мы её отключали немного выше.

Если это не поможет, сбрасываем настройки UEFI на заводские.

Ещё может помочь обновление ОС, в частности апдейт под названием KB288320.

Мы рассмотрели, что такое Boot Secure в UEFI: каковы её функции, особенности, преимущества и недостатки, а также провели параллели между устаревшим BIOS и его заменой в лице EFI с графическим пользовательским интерфейсом.