Security device support что это в биосе?

Secure boot

Security device support что это в биосе?

  • 07/29/2019
  • Время чтения: 3 мин

Secure boot is a security standard developed by members of the PC industry to help make sure that a device boots using only software that is trusted by the Original Equipment Manufacturer (OEM). When the PC starts, the firmware checks the signature of each piece of boot software, including UEFI firmware drivers (also known as Option ROMs), EFI applications, and the operating system. If the signatures are valid, the PC boots, and the firmware gives control to the operating system.

The OEM can use instructions from the firmware manufacturer to create Secure boot keys and to store them in the PC firmware. When you add UEFI drivers, you'll also need to make sure these are signed and included in the Secure Boot database.

For information on how the secure boot process works included Trusted Boot and Measured Boot, see Secure the Windows 10 boot process.

Secure boot requirements

In order to support Secure boot, you must provide the following.

Hardware requirementDetails
UEFI Version 2.3.1 Errata C variables Variables must be set to SecureBoot=1 and SetupMode=0 with a signature database (EFI_IMAGE_SECURITY_DATABASE) necessary to boot the machine securely pre-provisioned, and including a PK that is set in a valid KEK database. For more information, search for the System.Fundamentals.Firmware.UEFISecureBoot system requirements in PDF download of the Windows Hardware Compatibility Program Specifications and Policies.
UEFI v2.3.1 Section 27 The platform must expose an interface that adheres to the profile of UEFI v2.3.1 Section 27.
UEFI signature database The platform must come provisioned with the correct keys in the UEFI Signature database (db) to allow Windows to boot. It must also support secure authenticated updates to the databases. Storage of secure variables must be isolated from the running operating system such that they cannot be modified without detection.
Firmware signing All firmware components must be signed using at least RSA-2048 with SHA-256.
Boot manager When power is turned on, the system must start executing code in the firmware and use public key cryptography as per algorithm policy to verify the signatures of all images in the boot sequence, up to and including the Windows Boot Manager.
Rollback protection The system must protect against rollback of firmware to older versions.
EFI_HASH_PROTOCOL The platform provides the EFI_HASH_PROTOCOL (per UEFI v2.3.1) for offloading cryptographic hash operations and the EFI_RNG_PROTOCOL (Microsoft defined) for accessing platform entropy.
Читайте также  Floppy drive что это в биосе?

Signature Databases and Keys

Before the PC is deployed, you as the OEM store the Secure Boot databases on the PC. This includes the signature database (db), revoked signatures database (dbx), and Key Enrollment Key database (KEK). These databases are stored on the firmware nonvolatile RAM (NV-RAM) at manufacturing time.

The signature database (db) and the revoked signatures database (dbx) list the signers or image hashes of UEFI applications, operating system loaders (such as the Microsoft Operating System Loader, or Boot Manager), and UEFI drivers that can be loaded on the device. The revoked list contains items that are no longer trusted and may not be loaded. If an image hash is in both databases, the revoked signatures database (dbx) takes precedent.

The Key Enrollment Key database (KEK) is a separate database of signing keys that can be used to update the signature database and revoked signatures database. Microsoft requires a specified key to be included in the KEK database so that in the future Microsoft can add new operating systems to the signature database or add known bad images to the revoked signatures database.

After these databases have been added, and after final firmware validation and testing, the OEM locks the firmware from editing, except for updates that are signed with the correct key or updates by a physically present user who is using firmware menus, and then generates a platform key (PK). The PK can be used to sign updates to the KEK or to turn off Secure Boot.

You should contact your firmware manufacturer for tools and assistance in creating these databases.

Boot sequence

  1. After the PC is turned on, the signature databases are each checked against the platform key.
  2. If the firmware is not trusted, the UEFI firmware must initiate OEM-specific recovery to restore trusted firmware.
  3. If there is a problem with Windows Boot Manager, the firmware will attempt to boot a backup copy of Windows Boot Manager.

    If this also fails, the firmware must initiate OEM-specific remediation.

  4. After Windows Boot Manager has started running, if there is a problem with the drivers or NTOS kernel, Windows Recovery Environment (Windows RE) is loaded so that these drivers or the kernel image can be recovered.
  5. Windows loads antimalware software.

  6. Windows loads other kernel drivers and initializes the user mode processes.

Источник: https://docs.microsoft.com/ru-ru/windows-hardware/design/device-experiences/oem-secure-boot

Clear all secure boot keys

Security device support что это в биосе?

При включении своего ноутбука Hewlett-Packard пользователь может столкнуться с сообщением «Boot Device Not Found» и отказом компьютера загружаться. Причиной указанной дисфункции обычно являются ряд неверных настроек БИОС, но бывают и случаи, когда данная проблема возникает из-за выхода из строя жёсткого диска, или нарушения целостности операционной системы. В этой статье я расскажу, что такое Boot Device Not Found на HP, каковы причины данной дисфункции, и как её исправить на вашем ПК.

Скриншот ошибки Boot Device Not Found на HP

Перевод и причины Boot Device Not Found

В переводе данный текст звучит как «Загрузочное устройство не найдено», и обычно обозначает ситуацию, когда при включении компьютера система не обнаружила устройство, с которого должна быть произведена загрузка (или установка) операционной системы. Похожая ситуация, когда в диспетчере устройств не видна видеокарта была описана мной в прошлой статье.

Причинами такой дисфункции может быть следующее:

  • Неверные настройки БИОС (UEFI) на компьютере;
  • Используемый для загрузки жёсткий диск физически повреждён или вышел из строя;
  • Загрузочный сектор или MBR жёсткого диска повреждены;
  • Файлы операционной системы повреждены;
  • Ваш ПК стал объектом атаки вирусных программ.

Error 3FO

Как исправить ошибку «Загрузочное устройство не найдено» на HP

Для решения вопроса с Boot Device Not Found на HP рекомендую выполнить следующее:

  1. Измените значение параметра «Legacy Support» в БИОС с «Disabled» на «Enabled». Перейдите в БИОС (обычно это получается путём нажатия на Escape, а потом на F10), выберите вкладку «System Configuration», найдите там параметр «Legacy Support», и измените его значение с «Disabled» на «Enabled». Затем нажмите на F10 для сохранения изменений и перезагрузите ваш HP. После перезагрузки компьютер может попросить вас ввести код (его значение будет на экране) и нажать Enter для подтверждения изменений. Введите указанный код, нажмите Enter и компьютер произведёт стандартную загрузку ОС;

Установите опцию Legacy Support в значение Enabled
Измените значение ряда параметров БИОСа. Перейдите в БИОС, выберите вкладку «System Configuration» — «Boot option». Измените значение опции «Security Boot» с «Enabled» на «Disabled». Затем жмём на «Clear all secure boot keys», вводим цифры (pass code), которые расположены чуть выше и жмём на ввод.

Вводим указанные цифры ключа

Затем меняем значение параметра «Legacy Support» из «Disabled» на «Enabled». В опции «Legacy boot order» выбираем, с чего мы хотим загружаться (обычно, это жёсткий диск ноутбука – hard disk). Для сохранения произведённых изменений жмём на F10, потом на «Yes», и перезагружаем наш ПК, это может помочь избавиться от ошибки Boot Device Not Found на ноутбуке HP;

  • Проверьте, виден ли в БИОС ваш жёсткий диск, для исправления Boot Device Not Found. Если нет, тогда проверьте плотность его подключения (выключаем лэптоп, отключаем блок питания, снимаем нижнюю крышку, батарею, отключаем жёсткий диск, визуально проверяем его контакты, подключаем обратно жёсткий диск, батарею, ставим обратно крышку, подключаем блок питания и включаем ноутбук). Если винчестер вновь не виден, тогда есть вероятность, что он вышел из строя (проверьте работоспособность в сервисном центре) или повреждены шлейфы к нему (встречается довольно редко);
  • Выполните hard reset вашего HP. Выполнение аппаратного сброса вашего лэптопа (hard reset) позволяет очистить память и восстановить корректные связи между БИОС и аппаратной начинкой ПК. Отключите все внешние, подключенные к ПК, устройства (в частности, USB и блок питания), изымите аккумулятор из ноутбука. Затем нажмите на кнопку питания (Power) и держите её нажатой в течение 15 секунд.

Потом подключите обратно аккумулятор и блок питания, другие внешние устройства не подключайте. Нажмите на кнопку питания, в появившемся меню выберите «Обычная загрузка Виндовс» (Start Windows Normally), и нажмите ввод.

  • Загрузите настройки БИОС по умолчанию. Перейдите в БИОС, нажмите на F9 и загрузите настройки БИОС по умолчанию. Затем нажмите на F10, подтвердите изменения, и перезагрузите ваш компьютер;
  • Выполните тест вашего компьютера с помощью HP PC Hardware Diagnostics UEFI. Выключите ваш компьютер, затем включите его и быстро нажимайте на клавишу F2. Когда меню HP PC Hardware Diagnostics UEFI появится на экране, выберите тест компонентов (Component Tests). Тестируем компоненты нашего ПК с помощью HP PC Hardware Diagnostics UEFI

Источник: https://web-shpargalka.ru/clear-all-secure-boot-keys.php