Tpm 2 0 и secure boot что это
Что такое Secure Boot для Windows 11
Вместе с анонсом Windows 11, компания Microsoft опубликовала и новые системные требования для установки операционной системы Windows 11. В них требуется поддержка TPM 2.0, UEFI и Secure Boot. В результате, вокруг этих технологий возникло много вопросов. Пользователей интересует, что такое Secure Boot, как проверить его наличие на компьютере и как его включить в BIOS (UEFI), если он отключен.
Что такое Secure Boot или безопасная загрузка
Secure Boot – это протокол проверки загружаемых операционных систем, который является частью UEFI. Данный протокол проверяет цифровую подпись операционных систем или драйверов UEFI, которые загружаются при включении компьютера, и при отсутствии такой подписи предотвращает их запуск.
Использование Secure Boot защищает систему от внедрения вредоносного кода в загружаемые компоненты операционных систем. Такое внедрение, например, использовалось вирусом-вымогателем Petya, который распространялся в 2017 году. Также Secure Boot может использоваться для ограничения списка ОС, которые могут запускаться на компьютере.
На данный момент Secure Boot поддерживается такими операционными системами как Windows 8 и Windows 10, а также некоторыми дистрибутивами Linux, например, Fedora, openSUSE, RHEL, CentOS, Debian и Ubuntu.
В еще не выпущенной Windows 11 протокол Secure Boot является обязательным условием и указан в системных требованиях. Хотя, с помощью небольших ухищрений текущие сборки Windows 11 можно установить без TPM и Secure Boot.
Как узнать включен ли Secure Boot
Для того чтобы узнать включен ли Secure Boot на вашем компьютере можно воспользоваться средствами встроенными в Windows 10. Для этого нажмите Win-R на клавиатуре и выполните команду « msinfo32 ».
В результате должно появиться окно « Сведения о компьютере ». Здесь в строке « Режим BIOS » будет указано, в каком режиме работает BIOS – UEFI или Устаревший (Legacy), а в строке « Состояние безопасной загрузки » – состояние Secure Boot (включено или отключено).
Если у вас Secure Boot включен и все готово к установке Windows 11, то должно быть так, как на скриншоте внизу:
Также возможен следующий вариант:
В этом случае для обновления до Windows 11 нужно будет включить безопасную загрузку в BIOS.
Подробней в статье:
Конвертация диска с MBR в GPT
Если включить Secure Boot для уже установленной Windows 10, то система может не загрузиться, а вы получите сообщение о том, что « Загрузочное устройство не найдено ». Это происходит из-за того, что на диске используется таблица разделов MBR. Для решения этой проблемы диск нужно предварительно конвертировать из формата MBR в GPT.
Конвертацию диска из MBR в GPT можно выполнить непосредственно в процессе установки Windows 11, вызвав командную строку с помощью комбинации клавиш Shift-F10 (или Shift-Fn-F10 ), либо заранее, из рабочей Windows 10. Конвертацию при установке мы рассматривали в статье о преобразовании диска с MBR в GPT, здесь же будет рассмотрена конвертация из рабочей Windows 10.
Итак, для начала нужно открыть меню « Параметры » (комбинация клавиш Win-i ), перейти в раздел « Обновление и безопасность – Восстановление » и нажать на кнопку « Перезагрузить сейчас ».
После этого появится меню с дополнительными действиями. Здесь нужно выбрать « Поиск и устранение неисправностей », а потом « Командная строка ». Также может понадобиться выбор пользователя и ввод пароля.
В результате перед вами появится командная строка. Сначала нужно выполнить команду, которая проверит возможность конвертации диска:
Если все нормально и конвертация возможна, то вы получите сообщение « Validation completed successfully ». Чтобы запустить конвертацию выполните команду:
Если же проверка диска выдала сообщение « Failed », то нужно попробовать вручную указать номер диска. Для этого нужно добавить параметр « /disk:0 », где 0 – это номер диска.
Чтобы узнать номер диска выполните следующие команды:
В результате в консоль будет выведен список дисков и их объем. Используя эту информацию, можно определить номер диска, который необходимо конвертировать.
После успешной проверки можно запускать конвертацию диска. Для этого нужно выполнить следующую команду:
Где 0 – это номер диска.
После конвертации диска с MBR в GPT нужно зайти в BIOS и выполнить следующие настройки:
Подробней в статьях:
Как включить Secure Boot в BIOS
Для работы Secure Boot диск должен быть в формате GPT. Посмотрите раздел о конвертации диска (выше).
Процесс включения Secure Boot отличается в зависимости от производителя. Точные инструкции по работе с вашим BIOS можно получить в инструкции к материнской плате или ноутбуку. Здесь мы покажем настройку BIOS на примере материнской платы от ASUS.
Чтобы включить Secure Boot на материнской плате ASUS нужно войти в настройки BIOS, активировать режим « Advanced mode ( F7) » и перейти в раздел « Boot ». Здесь нужно открыть подраздел « CSM (Launch Compatibility Support Module) », который отвечает за эмуляцию старого BIOS.
Если функция « CSM » включена, то ее нужно отключить.
После этого нужно вернуться в раздел « Boot » и перейти в подраздел « Меню безопасной загрузки ».
Здесь нужно поменять параметр « Тип ОС » на « Режим Windows UEFI ».
После этого сохраняем настройки BIOS и загружаемся в Windows 10. Если диск был сконвертирован в GPT, то загрузка должна пройти без проблем.
Настройка Secure Boot на других платах :
Создатель сайта comp-security.net, автор более 2000 статей о ремонте компьютеров, работе с программами, настройке операционных систем.
Задайте вопрос в комментариях под статьей или на странице «Задать вопрос» и вы обязательно получите ответ.
«mbr2gpt /disk:0 /validate»
Ну и что делать, если и после этого «Failed»?
Все очень здорово и подробно, большое спасибо за подробную инструкцию. Очень долго искал такой доходчивый вариант порядка действий. Большое спасибо
Как установить Windows 11: проверяем системные требования, активируем TPM и Secure Boot
Получить Windows 11 можно тремя способами: бесплатно обновиться с Windows 10, купить готовый компьютер с предустановленной Windows 11 или купить систему отдельно.
Если у вас есть лицензионная копия Windows 10 и компьютер соответствует минимальным системным требованиям, то обновление вы получите бесплатно. По словам Microsoft, распространение обновлений начнется позднее в этом году и продолжится в 2022 году. Обновление не будет одновременным для всех. Уведомление о доступном обновлении появится в «Центре обновления Windows». Обратите внимание, что у вас должны быть установлены все последние обновления для Windows 10. Кроме того, позднее в этом году можно будет приобрести готовый персональный компьютер с предустановленной Windows 11. Точные сроки не называются.
Гайды по Windows 11
Проверьте системные требования
Официальные системные требования указаны на сайте Microsoft:
Несмотря на довольно скромные требования по процессору, компания представила список официально поддерживаемых CPU. В него не входят довольно распространенные AMD Ryzen первого поколения (с архитектурой Zen) и процессоры Intel до восьмого поколения (Coffee Lake). Но паниковать не стоит, скорее всего, это просто официальные рекомендации компании, а не исчерпывающий список. Полный список процессоров можно найти по ссылкам: Intel и AMD.
Тем не менее программа PC Health Check, которая предназначена для проверки совместимости вашей системы с Windows 11, вряд ли даст зеленый свет официально незаявленным процессорам. У автора этой статьи так и не вышло «получить разрешение» на процессоре Ryzen 1600.
Активируйте программный модуль TPM
TPM — это криптографический модуль для шифрования данных и защиты от взлома. Он представляет собой отдельный чип на материнской плате. На большинстве моделей, продающихся в России, такого модуля нет из-за необходимой сертификации такого оборудования. Но может быть специальный слот для его подключения. Также многие материнские платы поддерживают программную реализацию TPM.
Обратите внимание, в системных требованиях Windows 11 указан TPM версии 2.0. Напомним, ранее компания заявляла, что будет достаточно более старой версии 1.2.
Чтобы проверить наличие модуля, нажмите сочетание клавиш Win + R и выполните команду tpm.msc. Откроется окно «Управление доверенным платформенным модулем на локальном компьютере». Если высветилось предупреждение «Не удается найти совместимый доверенный платформенный модуль», значит модуль не активен.
Рассмотрим активацию модуля на примере материнской платы ASUS с логикой от AMD. Сначала нужно попасть в BIOS (при загрузке нажмите Del или F2). Затем нажмите F7, чтобы перейти к расширенным настройкам. Переключитесь на вкладку Advanced и выберите строку AMD fTPM configuration. Далее активируйте (enabled) строку AMD fTPM switch. Подробнее об активации модуля TPM на других материнских платах читайте в нашем гайде «Как настроить TPM 2.0 для установки Windows 11».
Кроме того, в сети уже научились обходить требование Windows 11 по TPM путем замены файла appraiserres.dll, который можно взять из образа Windows 10.
Активируйте Secure Boot
Secure Boot — это режим безопасной загрузки, который является частью UEFI. Если говорить проще, то UEFI представляет собой более современную и продвинутую реализацию BIOS. В системных требованиях Windows 11 обязательно наличие UEFI и Secure Boot. Проверить наличие UEFI и Secure Boot можно так: нажмите сочетание клавиш Win + R и введите команду msinfo32. Обратите внимание на две строчки: в пункте «Режим BIOS» должно стоять UEFI, а «Состояние безопасной загрузки» должно быть включено.
Также проверить эти параметры можно через программу HWiNFO 64. Откройте главное окно программы — это корневая папка с названием вашего компьютера в левой части экрана. В правой части экрана должны быть строчки UEFI Boot: Present и Secure Boot: Present.
Если безопасная загрузка не работает, то нужно включить ее в BIOS. Разберем активацию Secure Boot на примере материнской платы ASUS. Во время загрузки системы нажмите клавишу Del или F2, чтобы зайти в BIOS. Перейдите в расширенные настройки, нажав клавишу F7. Далее перейдите на вкладку Boot и выберите строчку Secure Boot. Далее в строке Secure Boot State выставьте значение Enabled. В строке OS Type должно быть Windows UEFI mode.
Что еще нужно сделать
Также стоит попробовать выключить CSM. На примере материнской платы ASUS: зайдите во вкладку Boot и выберите строчку Launch CSM. Выставьте параметр Disabled. Обратите внимание, что в этом режиме работает только UEFI, который не поддерживает структуру разделов MBR. В этом случае загрузочный диск должен иметь структуру GPT, в противном случае вы не сможете загрузить систему.
Как настроить TPM 2.0 для установки Windows 11
Среди системных требований Windows 11 указан параметр TPM 2.0. Что это такое и как его активировать, чтобы установить новую операционную систему.
Гайды по Windows 11
Что такое TPM 2.0
Проще говоря, это выделенный модуль шифрования на материнской плате. Именно в нем, а не на жестком диске вашего компьютера, хранятся ключи шифрования, что гораздо безопаснее.
На большинстве систем такого модуля нет, но это не значит, что Windows 11 установить невозможно. На современных материнских платах под Intel и AMD реализован программный модуль TRP.
Как проверить компьютер на совместимость с Windows 11
Сначала нужно свериться с официальными системными требованиями:
Если ваше оборудование не соответствует им, то обновиться у вас не получится. Далее, нужно скачать программу PC Health Check для проверки совместимости.
Установите программу и запустите ее. На главном экране нажмите на большую синюю кнопку «Проверить сейчас». Если программа выдаст сообщение «Запуск Windows 11 на этом компьютере невозможен», скорее всего, ваш компьютер не соответствует системным требованиям. Со слабым железом сделать, к сожалению, ничего нельзя, только купить новый компьютер. А вот проблему с модулем TRP можно попробовать решить.
Хотя программа не указывает конкретную причину несовместимости, скорее всего, дело именно в модуле TRP. Чтобы узнать это наверняка, нажмите сочетание клавиш Win + R и выполните команду tpm.msc, которая откроет окно «Управление доверенным платформенным модулем на локальном компьютере». Если высветилось предупреждение «Не удается найти совместимый доверенный платформенный модуль», то причина в модуле TRP.
Как настроить программный модуль TPM 2.0
Чтобы включить программный модуль TPM, нужно зайти в BIOS. Сделать это можно, зажав определенную клавишу при включении компьютера. Обычно это Del, но может быть F2 или другая, в зависимости от производителя. Желательно перед этим установить свежую версию BIOS для вашего оборудования.
На материнских платах ASUS с логикой от AMD нужно сначала нажать клавишу F7, чтобы перейти к расширенным настройкам. Затем переключиться на вкладку Advanced и выбрать строку AMD fTPM configuration. Далее активируйте (enabled) строку AMD fTPM switch. На материнских платах под Intel путь немного отличается. На вкладке Advanced найдите строку PCH-FW Configuration, затем TPM Device Selection. Выставьте значение Enable Firmware TPM.
На материнских платах MSI с логикой от AMD нужно зайти в меню Security и далее Trusted Computing. В строке Security Device Support поставьте значение Enabled, в строке AMD fTPM switch выставьте AMD CPU fTPM. На Intel все почти так же: в строке Security Device Support поставьте значение Enabled, в строке TPM Device Selection нужно выбрать PTT.
На материнских платах ASRock с логикой от AMD зайдите в меню Advanced, далее пролистайте вниз и выберите строку AMD fTPM switch. Выставьте значение AMD CPU fTPM. На Intel все тоже очень просто: зайдите в Security и внизу экрана найдите строчку Intel Platform Trust Technology. Выберите параметр Enabled.
Как включить TPM 2.0 и безопасную загрузку в BIOS для Windows 11
Для установки Windows 11 требуется TPM 2.0 и включенная безопасная загрузка. Ниже приведены инструкции по проверке и включению функций безопасности на вашем ПК.
Если у вас есть компьютер, и вы планируете перейти на Windows 11, необходимо проверить и включить TPM 2.0 и безопасную загрузку в BIOS (UEFI) материнской платы вашего компьютера в рамках процесса подготовки к обновлению.
В Windows 11 одним из наиболее значительных изменений является требование для доверенного платформенного модуля (TPM) версии 2.0 и безопасной загрузки. Согласно Microsoft, TPM 2.0 и безопасная загрузка необходимы для обеспечения лучшей среды безопасности и предотвращения (или, по крайней мере, минимизации) сложных угроз, таких как угрозы для оборудования и микропрограмм, распространенные вредоносные программы, программы-вымогатели и другие атаки.
TPM — это аппаратное обеспечение, обычно (но не всегда) интегрированное в материнскую плату, которое предлагает безопасную среду для хранения и защиты ключей шифрования при шифровании жесткого диска с использованием таких функций, как BitLocker. С другой стороны, Secure Boot — это модуль, который гарантирует, что компьютер загружается только с использованием программного обеспечения, которому доверяет производитель.
В этом руководстве вы узнаете, как проверить и включить TPM 2.0 и безопасную загрузку для установки Windows 11.
Проверьте, присутствует ли TPM 2.0 в Windows 10
Чтобы определить, включен ли на компьютере TPM, выполните следующие действия:
Если устройство включает в себя микросхему TPM, вы увидите информацию об оборудовании и его статус. В противном случае, если отображается сообщение «Не удается найти совместимый TPM», значит, микросхема отключена в UEFI или на вашем компьютере нет совместимого модуля доверенной платформы.
Включение TPM 2.0 в BIOS для Windows 11
Чтобы включить TPM 2.0 в BIOS для исправления установки Windows 11, выполните следующие действия:
Если на компьютере нет опции TPM и это настраиваемая сборка, вы можете приобрести модуль для добавления поддержки. Однако обязательно проконсультируйтесь с веб-сайтом производителя материнской платы, чтобы убедиться, что поддержка существует.
После того как вы выполните эти шаги, проверка Windows 11 должна пройти, что позволит вам обновить компьютер до новой ОС.
Проверьте, присутствует ли безопасная загрузка в Windows 10
Чтобы определить, включена ли на компьютере безопасная загрузка, выполните следующие действия:
После выполнения этих шагов, если функция безопасности включена, вы можете продолжить установку Windows 11. В противном случае вам необходимо выполнить шаги, чтобы включить ее в прошивке UEFI.
Включите безопасную загрузку в BIOS для Windows 11
Чтобы включить безопасную загрузку в прошивке BIOS, выполните следующие действия:
Почти все устройства с прошивкой UEFI будут включать безопасную загрузку, но если это не так, вам нужно будет обновить систему или подумать о приобретении нового компьютера, отвечающего требованиям Windows 11.
После того как вы выполните эти шаги, компьютер должен пройти процесс проверки оборудования, чтобы продолжить обновление на месте или чистую установку Windows 11.
Немного про UEFI и Secure Boot
UEFI (Unified Extensible Firmware Interface) — замена устаревшему BIOS. Эта спецификация была придумана Intel для Itanium, тогда она еще называлась EFI (Extensible Firmware Interface), а потом была портирована на x86, x64 и ARM. Она разительно отличается от BIOS как самой процедурой загрузки, так и способами взаимодействия с ОС. Если вы купили компьютер в 2010 году и позже, то, вероятнее всего, у вас UEFI.
Основные отличия UEFI от BIOS:
Как происходит загрузка в UEFI?
С GPT-раздела с идентификатором EF00 и файловой системой FAT32, по умолчанию грузится и запускается файл \efi\boot\boot[название архитектуры].efi, например \efi\boot\bootx64.efi
Т.е. чтобы, например, создать загрузочную флешку с Windows, достаточно просто разметить флешку в GPT, создать на ней FAT32-раздел и просто-напросто скопировать все файлы с ISO-образа. Boot-секторов больше нет, забудьте про них.
Загрузка в UEFI происходит гораздо быстрее, например, загрузка моего лаптопа с ArchLinux с нажатия кнопки питания до полностью работоспособного состояния составляет всего 30 секунд. Насколько я знаю, у Windows 8 тоже очень хорошие оптимизации скорости загрузки в UEFI-режиме.
Secure Boot
«Я слышал, что Microsoft реализовывает Secure Boot в Windows 8. Эта технология не позволяет неавторизированному коду выполняться, например, бутлоадерам, чтобы защитить пользователя от malware. И есть кампания от Free Software Foundation против Secure Boot, и многие люди были против него. Если я куплю компьютер с Windows 8, смогу ли я установить Linux или другую ОС? Или эта технология позволяет запускать только Windows?»
Начнем с того, что эту технологию придумали не в Microsoft, а она входит в спецификацию UEFI 2.2. Включенный Secure Boot не означает, что вы не сможете запустить ОС, отличную от Windows. На самом деле, сертифицированные для запуска Windows 8 компьютеры и лаптопы обязаны иметь возможность отключения Secure Boot и возможность управления ключами, так что беспокоится тут не о чем. Неотключаемый Secure Boot есть только на планшетах на ARM с предустановленной Windows!
Что дает Secure Boot? Он защищает от выполнения неподписанного кода не только на этапе загрузки, но и на этапе выполнения ОС, например, как в Windows, так и в Linux проверяются подписи драйверов/модулей ядра, таким образом, вредоносный код в режиме ядра выполнить будет нельзя. Но это справедливо только, если нет физического доступа к компьютеру, т.к., в большинстве случаев, при физическом доступе ключи можно заменить на свои.
Для Linux есть 2 пре-загрузчика, которые поддерживают Secure Boot: Shim и PRELoader. Они похожи, но есть небольшие нюансы.
В Shim есть 3 типа ключей: Secure Boot keys (те, которые в UEFI), Shim keys (которые можно сгенерировать самому и указать при компиляции), и MOKи (Machine Owner Key, хранятся в NVRAM). Shim не использует механизм загрузки через UEFI, поэтому загрузчик, который не поддерживает Shim и ничего не знает про MOK, не сможет выполнить код (таким образом, загрузчик gummiboot не будет работать). PRELoader, напротив, встраивает свои механизмы аутентификации в UEFI, и никаких проблем нет.
Shim зависит от MOK, т.е. бинарники должны быть изменены (подписаны) перед тем, как их выполнять. PRELoader же «запоминает» правильные бинарники, вы ему сообщаете, доверяете вы им, или нет.
Оба пре-загрузчика есть в скомпилированном виде с валидной подписью от Microsoft, поэтому менять UEFI-ключи не обязательно.
Secure Boot призван защитить от буткитов, от атак типа Evil Maid, и, по моему мнению, делает это эффективно.
Спасибо за внимание!