Platform Key Secure Boot: как включить?

Platform Key Secure Boot: как включить? - коротко

Откройте настройки BIOS/UEFI, перейдите в раздел «Secure Boot», включите его и выберите опцию загрузки Platform Key (PK) из встроенного хранилища или импортируйте свой ключ. После сохранения изменений система будет загружаться только с подписанным программным обеспечением.

Platform Key Secure Boot: как включить? - развернуто

Для активации механизма Secure Boot, основанного на Platform Key, необходимо выполнить несколько последовательных действий. Каждый шаг важен, поэтому следует действовать внимательно, но без лишних задержек.

Подготовка системы
- Убедитесь, что загрузка производится в режиме UEFI, а не в Legacy BIOS. Переключить режим можно в настройках прошивки (BIOS). Если система уже работает в UEFI, переходить к следующему пункту не требуется.
- Проверьте, что на диске установлен GPT‑раздел, поскольку Secure Boot не поддерживается на MBR‑разделах. При необходимости выполните конвертацию, предварительно создав резервную копию данных.
Обновление прошивки
- Скачайте последнюю версию UEFI‑прошивки с сайта производителя материнской платы или ноутбука.
- Произведите обновление, следуя инструкциям производителя. Современные прошивки часто включают улучшения поддержки Secure Boot и исправления ошибок, которые могут помешать включению.
Вход в настройки прошивки
- При включении компьютера нажмите клавишу, указанную на экране (обычно Delete, F2, Esc).
- Перейдите в раздел «Security» или «Boot». Название может различаться, но суть одна: найти параметры Secure Boot.
Отключение Secure Boot (если он уже включён в ограниченном режиме)
- Если Secure Boot уже активирован, но система использует только встроенный ключ, сначала отключите его. Это позволяет загрузить собственный Platform Key.
- Выберите пункт «Secure Boot State» → «Disable». Сохраните изменения и перезагрузите.
Установка Platform Key
- В меню Secure Boot найдите опцию управления ключами (Key Management, Key Enrollment).
- Выберите «Enroll Platform Key» (PK). При запросе укажите путь к файлу с вашим PK (обычно в формате .cer или .auth). Если собственного ключа нет, создайте его с помощью утилиты, например, KeyTool или OpenSSL, и загрузите в USB‑накопитель.
- После успешного ввода PK система попросит подтвердить действие – согласитесь.
Настройка дополнительных ключей
- При необходимости добавьте Key Exchange Keys (KEK) и Signature Database (db). Это позволит загрузочным образам, подписанным вашими сертификатами, проходить проверку.
- Если вы хотите разрешить только официальные драйверы Microsoft, достаточно оставить только предустановленные ключи KEK и db. Для кастомных решений добавляйте свои сертификаты в соответствующие базы.
Включение Secure Boot
- Вернитесь к параметру «Secure Boot State» и переключите его в положение «Enable».
- Сохраните все изменения (обычно клавиша F10) и перезагрузите систему.
Проверка работоспособности
- После загрузки откройте командную строку с правами администратора и выполните bcdedit /enum. В выводе должно появиться поле secureboot со значением Yes.
- Можно также воспользоваться утилитой msinfo32 (в Windows) – в разделе «Secure Boot State» будет указано «On». На Linux аналогично — команда mokutil --sb-state покажет статус.
Решение возможных проблем
- Если система не загружается, проверьте, что все загрузочные образцы подписаны ключами, присутствующими в базе db.
- При ошибке «Invalid signature» загрузите нужный сертификат в базу db через меню Key Management.
- В случае, если система полностью отказывается загружаться, зайдите в BIOS и временно отключите Secure Boot, чтобы восстановить доступ к системе и исправить подписи.

Эти действия полностью покрывают процесс включения Secure Boot, управляемого Platform Key. После завершения процедуры система будет проверять подписи всех компонентов загрузки, гарантируя, что только доверенный код может быть выполнен. Если потребуется добавить новые драйверы или ОС, достаточно подписать их соответствующим сертификатом и загрузить в базу db — система автоматически примет их без дополнительных вмешательств.