Uefi

Creating an EFI System Partition

If you are manually partitioning your disk in the Ubuntu installer, you need to make sure you have an EFI System Partition (ESP) set up. This partition holds EFI-mode boot loaders and related files.

If your disk already contains an ESP (eg if your computer had Windows 8 preinstalled), it can be used for Ubuntu too. Do not format it. It is strongly recommended to have only 1 ESP per disk.
An ESP can be created via a recent version of GParted (the Gparted version included in the 12.04 disk is OK), and must have the following attributes:
- Mount point: /boot/efi (remark: no need to set this mount point when using the manual partitioning, the Ubuntu installer will detect it automatically)
- Size: minimum 100Mib. 200MiB recommended.
- Type: FAT32
- Other: needs a «boot» flag.

Что нужно сделать для установки Windows UEFI ?

Устанавливать Windows через UEFI немного сложнее, чем через БИОС. Сначала пользователю нужно создать загрузочную флешку.

Если пользователь намерен устанавливать Windows 10, то для создания и настройки флешки можно использовать официальную утилиту от Microsoft Media Сreation Tool. Использовать ее очень просто: нужно вставить флешку разъем компьютера запустить утилиту, которая определит все съемные носители в системе и предложит выбрать необходимый вариант. Далее, пользователю нужно будет провести примитивную настройку: выбрать разрядность операционной системы и язык.

Загрузочную флешку можно также сделать с помощью сторонних утилит. Это ненамного сложнее.

Следующий шаг – настройка UEFI БИОС к установке. Для доступа к настройкам интерфейса нужно при запуске компьютера нажать F 2 или Delete . После запуска меню нужно выбрать подраздел «Дополнительно». Во вкладке « boot » нужно выбрать режим поддержки USB с полной инициализацией. На вкладке “ Secure Boot ” не забудьте выбрать режим “ Windows UEFI mode ”. В завершении настройки нужно установить приоритет использования загрузочных устройств. Из имеющегося списка следует выбрать флешку с дистрибутивом ОС.

После этого можно устанавливать Windows .

Если во время установки Windows 8 или 10 появляется сообщение о неправильной настройке secure boot , то, вероятнее всего, пользователь забыл включить процедуру “ Secure Boot ” в UEFI БИОС. Для исправления ошибки достаточно включить режим защищенной загрузки.

Преимущества и недостатки

Позитив:

Высокий уровень безопасности – гарантирует защиту от функционирования руткитов в системных файлах операционной системы, работа которых приведёт к недействительности цифровых подписей модифицированных файлов.
Путём внесения в базу запрещенных для запуска операционных систем можно ограничить список загружаемых ОС.

Негатив:

Все драйверы, которые запускаются на этапе загрузки ОС, должны быть подписанными, иначе они не загрузятся и соответствующие устройства не будут использоваться. Это требует согласования разработчиками системного программного обеспечения и производителями платформ момента добавления их ключей продуктов в доверенное хранилище.
Разработчики ОС не обязаны реализовывать функцию деактивации Secure Boot. Добавление ключей программами в доверенное хранилище должно быть запрещено, что усложняет эту процедуру и для пользователей.
Многие версии прошивок имеют уязвимости, позволяющие обходить Secure B

Пара первых недостатков значительно усложняет эксплуатацию неподписанных платформ и ОС, а также драйверов, имеющих неизвестные для запускаемых операционок подписи.

Set up the firmware in UEFI or BIOS/CSM/Legacy mode

Some recent computers (>2011) allow you to set up the computer to boot either in UEFI mode or in BIOS/CSM/Legacy (not-EFI) mode. The way to adjust this setting depends on the computers, but generally this setting is located in the «Boot order» tab of the BIOS (to access the BIOS screens, it is generally necessary to press a key during the PC startup). It can also often be set on a per-boot basis by hitting a function key (F8 and F10 are common choices) soon after you power on the computer.

Note: Some UEFIs (e.g. American Megatrends’ «Aptio», found on the Asus vivobook series) call Legacy mode «Compatibility Support Module» or simply «CSM».

Remark: Some UEFIs enable one to set up the boot mode for the optical drive separately from the boot mode for the HDD.

For example, below:

the «UEFI Hitachi» line allows to boot the HDD in UEFI mode,
the «P1: Hitachi» line allows to boot the HDD in Legacy (not-UEFI) mode,
the «P3: DVD» line allows to boot the Ubuntu CD in Legacy mode
the «UEFI: USB» line allows to boot the Ubuntu liveUSB in UEFI mode.

Here is a 2nd example of UEFI boot mode setting, where the «Boot Mode» parameter enables one to choose the boot mode («UEFI» or «Legacy») for all media (hard disk, CD, USB…) at the same time.

Some other UEFIs propose an «UEFI/Legacy Boot:» option with the following choices: , and . This last one boots in UEFI mode when possible, then in Legacy mode if no UEFI files are detected.

Особенности UEFI

Сегодня пользователь можно столкнуться с разными версиями UEFI . Дело в том, что разработкой интерфейса занимаются производители персональных компьютеров. Поэтому UEFI от разных брендов отличается по внешнему виду и функционалу. Например, во время запуска компьютера пользователь может не увидеть меню для доступа к настройкам интерфейса. Как правило, доступ к ним пользователь позднее может получить непосредственно из ОС Windows . При этом пользователь может исправить ситуацию, выбрав во вкладке «Параметры» режим «Особые варианты загрузки». После перезагрузки при старте будет появляться меню доступных режимов загрузки.

Альтернативный вариант для доступа к настройкам UEFI – нажатие клавиши ESC на клавиатуре при старте компьютера.

UEFI может работать в двух режимах:

Обычный. Предусматривает полный доступ к опциям интерфейса.
Legacy . Не рекомендуется устанавливать этот режим совместимости с БИОС в том случае, если объем жесткого диска превышает 2 ТБ. Операционная система может перестать загружаться. Более того, если в системе присутствует диск объемом более 2-х ТБ, то UEFI автоматически активирует обычный режим с его “ Secure Boot ”. Если при этом на диске стояла версия Windows, отличная от 8 и 10, то она не запустится.

Существует третий режим работы UEFI – гибридный, но он пока реализован на малом числе моделей компьютеров.

Еще одна важная особенность UEFI – она не распознает файловую систему NTFS . То есть, нельзя устанавливать ОС с флешек, форматированных в NTFS . Некоторые компьютерные специалисты считают это недостатком нового интерфейса.

Эксплуатация подписанных загрузчиков для обхода защиты UEFI Secure Boot

English version of this article.

Введение

Прошивки современных материнских плат компьютера работают по спецификации UEFI, и с 2013 года поддерживают технологию проверки подлинности загружаемых программ и драйверов Secure Boot, призванную защитить компьютер от буткитов. Secure Boot блокирует выполнение неподписанного или недоверенного программного кода: .efi-файлов программ и загрузчиков операционных систем, прошивок дополнительного оборудования (OPROM видеокарт, сетевых адаптеров).
Secure Boot можно отключить на любой магазинной материнской плате, но обязательное требование для изменения его настроек — физическое присутствие за компьютером. Необходимо зайти в настройки UEFI при загрузке компьютера, и только тогда получится отключить технологию или изменить её настройки.
Большинство материнских плат поставляется только с ключами Microsoft в качестве доверенных, из-за чего создатели загрузочного ПО вынуждены обращаться в Microsoft за подписью загрузчиков, проходить процедуру аудита, и обосновывать необходимость глобальной подписи их файла, если они хотят, чтобы диск или флешка запускались без необходимости отключения Secure Boot или добавления их ключа вручную на каждом компьютере.
Подписывать загрузчики у Microsoft приходится разработчикам дистрибутивов Linux, гипервизоров, загрузочных дисков антивирусов и программ для восстановления компьютера.
Мне хотелось сделать загрузочную флешку с различным ПО для восстановления компьютера, которая бы грузилась без отключения Secure Boot. Посмотрим, как это можно реализовать.

UEFI benefits

acceleration of OS loading;
Russian and English language support;
no problems with using large hard drives (2 TB and higher);
support for multi-start operating systems, their correct organization;
visual control of the state of PC parts;
user-friendly and human-readable visual interface;
the microcode of the program contains more protection against viruses than the BIOS;
like full-fledged operating systems, it has its own software and network storage.

As for UEFI Secure Boot, this is a way of protecting against the launch of non-licensed code in advance by the developers. It does not allow virus programs to replace the bootloader, and when used by Microsoft, it saves you from a pirated version of the OS. However, most often this mode is disabled by default, or for some reason users have to disable it on their own.

Currently, UEFI is presented as a separate part of the standard BIOS, but computers with motherboards are already being released, where the opposite is true – the BIOS is considered an additional module to UEFI.

Как создать установочную флешку для компьютера с UEFI

СMicrosoft Windows USB/DVD Download Tool

Чтобы поставить на комп Windows 10 x64 в режиме UEFI с активным Secure Boot, загрузочный носитель должен иметь файловую систему FAT32. Это накладывает ограничение на его объем (максимум 4 Гб), но NTFS, к сожалению, несовместим с протоколом безопасной загрузки. Зато в остальном процесс создания загрузочных флешек сильно упростился. Теперь это можно делать даже без программ.

Самый простой способ создания установочной USB-флешки с Виндовс 10 – это обычное копирование на нее файлов дистрибутива. Таким же способом, как копируют данные из папки в папку. Создавать на флешке загрузчик не нужно, поскольку он уже входит в состав UEFI.

Для копирования на флешку дистрибутива в формате ISO, последний достаточно открыть в проводнике Windows.

Еще одна простая бесплатная утилита, заточенная под создание загрузочных накопителей для UEFI, это . Нужные настройки устанавливаются на ней буквально в 3 клика мышью.

Самое главное здесь – правильно выбрать схему раздела и тип системного интерфейса. Для совместимости с Secure Boot и дисками, вместительнее 2 Тб, выбирайте из списка «GPT для компьютеров с UEFI». Далее укажите программе путь к дистрибутиву и жмите кнопку Старт. Через 20-40 минут установочная флешка будет готова.

Настройка старта со съемных носителей и требования, предъявляемые к флешкам

Еще один важный параметр – настройка порядка осуществления загрузки. По всей видимости, многие помнят, что в BIOS это были опции вроде Boot Sequence или Boot Device Priority, в которых нужный носитель устанавливался первым в очереди (1st Boot Device).

Настройка BIOS/UEFI в этом плане особо не отличается, а основной раздел обычно называется просто Boot или Boot Order. Однако если на той же флешке имеется два дистрибутива (для 32- и 64-битных модификаций одной и той же системы), то среди загрузочных устройств может быть показано два носителя, один из которых помечен префиксом EFI.

Как установить Windows 7? UEFI/BIOS, как уже понятно, дает подсказку по выбору загрузочного девайса. В случае с 32-битной системой выбирается накопитель, имеющий обычное название, а для 64-битных ОС используется носитель, помеченный вышеуказанным префиксом. Но современные первичные системы последних поколений обычно распознают нужное устройство самостоятельно, так что пользователю об этом можно особо не беспокоиться.

А вот о правильном создании загрузочной флешки с нужным дистрибутивом лучше позаботиться заранее. Чтобы не заниматься установкой нужных опций при записи на носитель образа будущей ОС, рекомендуется применять автоматизированные приложения вроде Rufus. В этой программе достаточно просто выбрать нужный файл образа и подключенный носитель, после чего необходимые параметры (в том числе и касающиеся файловой системы, используемой при форматировании) будут установлены автоматически

Пользователю нужно обратить внимание только на объем флешки (для Windows 7 емкость должна составлять порядка 4 Гб, для систем рангом выше – минимум 8 Гб)

Примечание! Имейте в виду, что в случае установки Windows из-под UEFI, файловая система на флешке должна быть FAT32 (с NTFS UEFI не работает вообще).

Установка Windows UEFI

Установка windows через BIOS кардинально отличается от установки через UEFI. Первым делом необходимо создать загрузочную флешку. Одна из самых подходящих для таких целей программ – утилита Rufus 1.4.6. Она бесплатная, не требует установки и поэтому не занимает много места на жестком диске или съемном носителе

Что важно , она подходит для GPT-разметки жесткого диска и может работать со спецификацией UEFI. Подходящее обновление утилиты можно скачать на официальном веб-сайте разработчиков

Запускаем утилиту и указываем название флешки, предназначенной для установки(предварительно нужно удалить важные файлы, очистив память). В пункте «File system» (файловая система) выбираем FAT 32, далее в качестве схемы раздела – GPT (GUID Partition Table), системный интерфейс – UEFI. Поставьте галочку у пункта «Create a bootable disk using:» (создать загрузочное устройство с использованием…), выберите рядом ISO Image и укажите полный путь к ISO-образу операционной системы Windows.

После введения всех описанных параметров можно нажимать на « Start » и программа самостоятельно подготовит флеш-накопитель к загрузке ОС. Время, затраченное на этот процесс, зависит от быстродействия вашего компьютера и от поколения USB.

Если работа утилиты Rufus вас не устраивает или появляются проблемы с загрузкой UEFI, можно использовать абсолютно аналогичную программу, которая называется WinSetupFromUSB.

Скачивание также доступно на сайте производителя, а ее название (в переводе «Загрузка Windows с USB») говорит само за себя. Загрузочная флешка создается полностью аналогично, так как программы имеют практически одинаковый интерфейс.

Режимы

Работает «безопасная загрузка» в четырёх режимах, а не двух, как себе представляет большинство пользователей:

Setup Mode (режим настройки) – активация возможна только из пользовательского режима, в нем требуется аутентификация для записей db, dbx, KEK и PK;
Audit Mode – режим аудита – возможна активация из пользовательского или режима настройки – не требует аутентификации, в нем могут запускаться прошедшие проверку образы, а сведения обо всех процедурах аутентификации заносятся в специальную базу данных, которую можно просматривать из среды операционной системы. Это предоставляет возможность тестировать комбинации ключей/цифровых подписей;
User Mode – пользовательский – возможен переход из развёрнутого и режима настройки. В нём осуществляется валидация образов;
Deployed Mode – развёрнутый – переход возможен из второго или третьего режима, самый безопасный ввиду того, что все переменные доступны только для чтения.

Особенностью технологии является то, что защита от выполнения неподписанного кода осуществляется не только на этапе запуска операционной системы, но и в её среде, как в Windows, так и в Linux на уровне ядра. Но при наличии определённых навыков и знаний ключи можно легко заменить.

Настройка BIOS для загрузки с флешки/диска

Переходим к самому главному . Рассмотрю настройки BIOS на примере одних из самых популярных версий BIOS — AMI BIOS и Award BIOS (в принципе, главное понять смысл — везде все делается аналогично, есть небольшое различие в обозначение меню).

AMI BIOS

Для начала необходимо зайти в раздел Advanced (расширенные, см. стрелка 1 на скрине ниже), далее нужно открыть раздел USB Configuration. Затем проверьте, чтобы все USB-порты были включены (т.е. чтобы напротив них горела надпись Enabled)!

Проверка USB портов — включены ли?

Далее откройте раздел Boot, в нем как раз и будет показана очередь загрузки. Например, у меня была такая:

1st Boot Device — CD/DVD… (значит, что первое загрузочное устройство, с которого ПК попытается загрузиться — это CD/DVD дисковод. Если в нем не будет загрузочного/установочного диска, то компьютер попытается загрузиться с 2nd Boot Device);
2nd Boot Device — SATA: 5M-WDC WD5000 (жесткий диск компьютера. На нем установлена Windows, поэтому, именно она и загрузиться, если в приводе CD/DVD не будет диска).

Как было и как должно быть для загрузки с флешки // AMI BIOS

Чтобы BIOS увидел вашу флешку, необходимо изменить очередь загрузки на следующую:

USB: Generic USB SD;
CD/DVD: 6M-TSST;
SATA: 5M-WDC WD5000.

В этом случае BIOS проверит сначала вставленную в USB-порт флешку, затем CD/DVD привод, а затем загрузится с жесткого диска. В большинстве случаев, самый оптимальный вариант.

При выходе из BIOS — не забудьте сохранить настройки (клавиша F10), иначе все сделанные изменения, не будут сохранены и ПК снова не увидит вашу флешку…

Award BIOS

В принципе, настраивается он аналогично, небольшая разница в обозначении меню. И так, после входа в BIOS, рекомендую сразу открыть раздел Standard CMOS Features.

Award BIOS — главное меню

В этом разделе уточните, включены ли USB-порты (устройства). Просто проверьте, чтобы напротив строк, где упоминается «USB» — везде было (пример на скриншоте ниже).

USB-порты: работают ли? Работают!

Далее перейдите в раздел Advanced CMOS Features и сделайте следующее:

First Boot Device (первое загрузочное устройство) — USB-HDD (самый оптимальный выбор для загрузки с флешки — это USB-HDD. В исключительных случаях, если BIOS вдруг не увидит вашу флешку, попробуйте USB-FDD);
Second Boot Device (второе загрузочное устройство) — Hard Disk (жесткий диск).

Award: загрузка с флешки

Далее жмем кнопку F10 (Save & Exit Setup, т.е. сохранить настройки и выйти) и пробуем загрузиться с флешки…

Настройка BIOS ноутбука

Выполняется аналогичным образом, как для компьютера. Правда, могут быть некоторые «серьезные» отличия в отдельно-взятых моделях, но в целом все идентично.

В ноутбуках для настройки загрузки — есть отдельно взятый раздел BOOT. Открыв его — вам доступны все параметры загрузки.

Приведу универсальный вариант параметров, который чаще всего используется (на примере ноутбука Dell Inspiron 3000 series):

Secure Boot — (отключен защищенный режим загрузки. Поддерживают его лишь новые версии Windows 8, 10, а у многих несколько ОС, либо используют 7-ку…);
Boot List Option — (загрузка в режиме Legacy);
Fast Boot — (быстрая загрузка — в большинстве случаев, не сильно-то она и ускоряет…)
1st Boot Priority — первое загрузочное устройство (USB-носитель);
2nd Boot Priority — второе загрузочное устройство (жесткий диск).

Ноутбук — загрузка с флешки

Во многих других моделях ноутбуков — настройка BIOS производится аналогичным образом, меню и настройки похожи, либо совпадают.

Пару слов об UEFI

На современных компьютерах и ноутбуках вместо BIOS используется UEFI. Представляет она из себя более расширенную и продвинутую версию BIOS: например, в ней можно работать мышкой, часто есть русификация меню и пр. В рамках этой статьи скажу, что в плане редактирования раздела Boot — здесь все аналогично…

Например, на фото ниже приведено главное окно UEFI на ноутбуке Asus, которое отображается сразу же после входа в него

Для того, чтобы открыть расширенное меню и найти раздел Boot — обратите внимание на нижнюю часть окна: нужно нажать клавишу F7 (либо вовсе нажать F8 — и сразу же приступить к загрузке с флешки)

Asus UEFI (BIOS Utility — Ez Mode) — главное окно

В расширенных настройках в разделе Boot все выполняется аналогично, как в «обычном» BIOS: нужно флешку (в моем случае «jetFlashTranscend 16 GB») просто передвинуть на первое место, а затем сохранить настройки (клавиша F10).

Раздел Boot — настройка загрузки

Основные преимущества UEFI

UEFI в отличие от BIOS является не микропрограммой, а миниатюрной операционной системой, но при этом она очень многое взяла от своей предшественницы. Задачи UEFI точно такие же, как у БИОС – взаимосвязь программного обеспечения и «железа» компьютера. Новый интерфейс точно так же проверяет оборудование перед запуском загрузчика Windows .

К основным преимуществам UEFI можно отнести:

Новый интерфейс поддерживает управление мышкой.

Он интуитивно понятен и поддерживает множество языков. Его настройка не вызывает никаких проблем.

UEFI в отличие от БИОС прекрасно работает с жесткими дисками, имеющими GPT .
БИОС UEFI обеспечивает возможность работы с жесткими дисками объемом более 2-х ТБ.
Жесткие диски с таблицей GUID работают с новой адресацией LBA .
Windows в UEFI стартует намного быстрее.
У UEFI имеется собственный загрузчик, позволяющий использовать на одном компьютере сразу несколько операционных систем без применения специальных загрузчиков.
БИОС UEFI очень легко и безопасно обновляется.

Что касается “ Secure Boot ”, то эта процедура до сих пор считается сомнительным преимуществом. Как уже говорилось выше, если не отключить ее, то установка каких-либо операционных систем, кроме Windows 8 и 10, будет невозможна.

Есть мнение, что Microsoft активно продвигает процедуру “ Secure Boot ” в целях борьбы с конкурентами, ведь на новые компьютеры нельзя установить не только старые операционные системы Windows , но и ОС сторонних разработчиков. Кто-то скажет, что для решения проблемы достаточно отключить эту процедуру, но тогда пользователь будет лишен всех преимущества работы с жесткими дисками, имеющими GUID.

На все обвинения Microsoft отвечает однотипно – протокол был разработан для безопасности пользователей. И парировать эти слова нечем, ведь “ Secure Boot ” действительно обеспечивает высокий уровень защиты.

General principles

To install Ubuntu in UEFI mode:

Use a 64bit disk of Ubuntu. (Ubuntu32bit cannot be easily installed in UEFI mode. This is a problem if 32-bit UEFI is the only way your computer can boot, e.g. if you have a modern Intel Atom based laptop. In this case, you will need a complicated work-around.)
In your firmware, disable QuickBoot/FastBoot and Intel Smart Response Technology (SRT). If you have Windows 8, also disable Fast Startup.
You might want to use an to avoid troubles with mistakenly booting the image and installing Ubuntu in BIOS mode.
Use a supported version of Ubuntu. Support for UEFI appeared in 11.10, but has become more reliable in next versions. Support for UEFI SecureBoot appeared in 12.10 and 12.04.2.
Set up your firmware (BIOS) to boot the disk in UEFI mode (see the «» paragraph below)
Then:
- nothing special is required if you use the automatic installer of Ubuntu («Install Ubuntu alongside others» or «Erase the disk and install Ubuntu»). Important: if you have a pre-installed Windows and you want to keep it, do not choose «Erase the disk and install Ubuntu».
- if you use the manual partitioning («Something else»), the difference is that you will have to set the /boot/efi mount point to the UEFI partition. And if there was not any UEFI partition on your HDD, you first will have to create it (see the «» paragraph below).

Что собой представляет BIOS ?

Это программное решение, встроенное в микросхему на материнской плате. Эта микропрограмма обеспечивает обмен данными между комплектующими элементами компьютера и операционной системой. То есть, за счет BIOS Windows имеет возможность работать с оперативной памятью, материнской платой, процессором, видеокартой и другими компонентами.

BIOS инициализируется намного раньше загрузки Windows. На микропрограмму возлагается задача по проверке всех систем компьютера, которые мы перечислили выше. Кроме того, BIOS задает им нужные параметры функционирования.

В том случае, если во время процедуры POST выявляется неисправный компонент компьютера, то BIOS передаст через маленький динамик кодовую последовательность звуковых сигналов, по которой пользователь может определить, какая именно деталь неисправна.

Пожалуй, всем может пригодиться статья о том, как работать с программой Outlook.

Устранение ошибки, возникающей в Windows 8.1

Если после установки windows или после обновления версии до 8.1 в правом углу монитора появляется уведомление о неправильной регулировке secure boot (защищенной загрузки).

На большинстве компьютеров неполадка решается заходом в меню uefi и включением режима «Secure boot» в БИОСе.

В том случае , когда в вашей версии BIOS нету пункта включения/отключения безопасной загрузки, необходимо скачать с официальной веб-страницы Microsoft обновление для версии 8.1. Оно находится там под номером КВ 2902864 и действует как для 32-х битных систем, так и для 64-битных.