Paano paganahin ang Secure Boot pagkatapos ng pag-update ng BIOS

Informatec Digital » Kayamanan » Paano paganahin ang Secure Boot pagkatapos ng pag-update ng BIOS

Pagkatapos ng pag-update ng BIOS/UEFI, medyo karaniwan para sa Secure Boot na hindi pinagana, baguhin ang status, o lumabas bilang "Hindi Aktibo." Samakatuwid, ipinapayong suriin ang mga setting para gumana itong muli nang maayos. Sa artikulong ito, ipapaliwanag ko nang detalyado kung paano ligtas na muling paganahin ang Secure Boot nang hindi tinatanaw ang mga kritikal na punto tulad ng UEFI, GPT, CSM, mga boot key, TPM 2.0 at BitLocker.

Bago hawakan ang anumang bagay, sulit na gumawa ng dalawa o tatlong mabilis na pagsusuri sa Windows at sa firmware. Makakatulong ito sa iyo na maiwasan ang mga karaniwang error tulad ng hindi kapani-paniwalang "Legacy UEFI" o mga lock ng pag-encrypt. Ihanda ang iyong recovery key kung gumagamit ka ng [isang partikular na pangalan ng system/software]. BitLocker at kumonsulta sa gabay ng iyong tagagawa, kung naaangkop, bilang Ang bawat motherboard (ASUS, MSI, Gigabyte, Lenovo, Dell, HP, atbp.) ay maaaring magpakita ng iba't ibang menu.

Ano ang Ligtas na Pagsisimula at bakit dapat mo itong paganahin?

Ang Secure Boot ay isang layer ng proteksyon ng firmware na nagpapatunay sa mga cryptographic na lagda ng software na na-load sa pagsisimula ng system, na tinitiyak na ang pinirmahan at pinagkakatiwalaang software lang ang naisasagawa. Sa madaling salita, hinaharangan ang pagpapatupad ng bootloader o hindi awtorisadong mga driver at tumutulong na maglaman ng malware na sumusubok na pumasok sa panahon ng yugto ng boot.

Higit pa sa seguridad, ang pagkakaroon nito ng maayos na pag-configure ay nakakaapekto rin sa katatagan at pagiging tugma sa mga modernong system. Kung kailangan mong magpatakbo ng mga tool o operating system na hindi sumusuporta sa pag-verify na ito, maaari mo itong pansamantalang i-disable, bagama't inirerekomenda ng mga manufacturer na panatilihin itong naka-enable. Permanenteng pinagana ang Secure Boot maliban sa mga partikular na pangangailangan.

Mga paunang pagsusuri sa Windows: BIOS mode at Secure Boot status

Ang unang bagay na dapat gawin ay kumpirmahin ang kasalukuyang katayuan ng iyong computer. Nag-aalok ang Windows ng mabilis na preview para makita kung nasa UEFI o Legacy (CSM) mode ka at kung naka-enable ang Secure Boot. Ang pagsuri nito ay nakakatipid sa iyo ng oras dahil Kung lumalabas na ito bilang "Na-activate", wala nang magagawa..

1. Pindutin Windows + R, nagsusulat msinfo32 at kumpirmahin gamit ang Enter. Magbubukas ang Impormasyon ng System.
2. Hanapin ang mga patlang BIOS mode y Secure Boot State.
3. Kung ang BIOS Mode ay nagpapahiwatig ng UEFI at Secure Boot Status ay Pinagana, hindi mo kailangang gumawa ng anumang mga pagbabago. Kung may nakalagay na Disabled, maaari mo itong paganahin. Kung sinasabi nito Hindi suportadoHindi sinusuportahan ng iyong motherboard ang function na ito.
4. Kung nagpapakita ang BIOS Mode Namana/CSMKakailanganin mong lumipat sa UEFI bago mo magamit ang Secure Boot.

MBR vs GPT: I-convert ang system disk kung kinakailangan

Para gumana ang Secure Boot, ang pag-install ng Windows ay dapat na nasa a disk na may mga partisyon sa istilo ng GPT (GUID Partition Table). Kung ang iyong system drive ay naka-format bilang MBR, ipinapayong i-convert ito sa GPT gamit ang built-in na tool ng Microsoft. Una sa lahat, I-back up ang iyong mahalagang data.

Suriin ang istilo ng pagkahati sa Pamamahala ng Disk: Pindutin ang Windows + X, buksan ang Pamamahala ng Disk, i-right-click sa disk ng system (hindi lamang drive C :), at buksan ang Properties > Volumes. Sa ilalim ng Partition style, makikita mo kung ito ay GPT o MBR.

Kung kailangan mong mag-convert, buksan ang Command Prompt bilang Administrador (siguraduhing isinasaad ng window ang antas ng pahintulot na iyon) at patunayan gamit ang mbr2gpt /validate /disk:0 /allowFullOS (Palitan ang 0 ng tamang disk number kung hindi ito tumugma). Kung tama ang lahat, tumakbo mbr2gpt /convert /disk:0 /allowFullOSPagkatapos ng conversion, maaaring kailanganin ito Baguhin ang boot mode sa firmware sa UEFI.

Ang paunang pagpapatunay ay susi dahil sinusuri nito, bukod sa iba pang mga bagay, na mayroong sapat na espasyo para sa mga talahanayan ng GPT at na ang istraktura ng partitioning ay tugma. Bagama't ang tool ay idinisenyo para sa in-place na conversion, ang anumang pagbabago sa partitioning ay nagdadala ng panganib, at iyon ang dahilan kung bakit Inirerekomenda na gumawa ng isang backup bago.

TPM 2.0 at Windows 11: Mabilis na Pag-verify

Bagama't hindi kinakailangan ang TPM 2.0 upang paganahin ang Secure Boot, kinakailangan ito para sa Windows 11. Kung gumagamit ka ng Windows 11, dapat mong kumpirmahin na ang chip ay naroroon at pinagana. Takbo tpm.msc At suriin ang katayuan: kung ito ay nagsasabing "Handa nang gamitin", lahat ay maayos; kung hindi, Paganahin ito sa BIOS/UEFI (Hanapin ang TPM, fTPM o PTT depende sa tagagawa, kadalasan sa Security o Advanced Options).

Sa maraming modernong device, ang TPM ay pinagana bilang default, ngunit maaari itong i-disable pagkatapos ng pag-update ng firmware o pag-reset ng system. Ang karaniwang landas ay Seguridad > TPM/fTPM/PTT at piliin PinaganaSine-save ang mga pagbabago gamit ang F10 bago lumabas para maging epektibo ang activation.

Paano ipasok ang BIOS/UEFI: mga susi at landas mula sa Windows

Upang ma-access ang Secure Boot, kailangan mong i-access ang firmware. Ang pinakakaraniwang paraan ay ang pag-restart ng computer at paulit-ulit na pindutin ang isang key habang POST. Ang pinakakaraniwang mga susi ay: Del, F2, F10, F12 o Escbagaman ito ay nakasalalay sa tagagawa.

Kung mas gusto mong gawin ito mula sa loob mismo ng system, gamitin ang Advanced Startup. Sa Windows 10, mag-navigate sa Mga Setting > Update at Seguridad > Pagbawi at pindutin I-reboot ngayon Sa Advanced na pagsisimula. Sa Windows 11, pumunta sa Mga Setting > Windows Update > Mga Advanced na opsyon > Pagbawi, at sa ilalim ng Advanced na pagsisimula, piliin ang I-restart ngayon. Pagkatapos mag-restart, pumunta sa I-troubleshoot > Mga Advanced na Opsyon > Mga Setting ng UEFI Firmware at kumpirmahin.

Sa ilang laptop (lalo na sa mga gaming laptop), karaniwan nang pinindot ang button kapag naka-off ang computer. F2 kapag naka-onSa ilang mga portable gaming device, ang pamamaraan ay maaaring may kasamang pagpindot sa volume down na button at pagpindot sa power button nang sabay-sabay. Kumonsulta sa gabay para sa iyong modelo kung hindi ka nakapasok sa unang pagkakataon.

I-secure ang lokasyon ng Boot sa firmware at kung ano ang kailangan mong i-disable.

Kapag nasa loob na ng BIOS/UEFI, hanapin ang opsyong Secure Boot. Ito ay maaaring matatagpuan sa mga tab tulad ng Seguridad, Boot, Advanced o Authenticationdepende sa kung ang interface ay classic na UEFI o "MyASUS sa UEFI" o isa pang layer ng manufacturer.

Bago paganahin ang Secure Boot, huwag paganahin ang CSM (Modyul ng Pagsuporta sa Pagkakatugma) o Legacy mode. Gumagana lamang ang Secure Boot sa purong UEFI, kaya kung pinagana ang CSM, huwag paganahin ito. Susunod, tingnan kung mayroong opsyon sa Uri ng OS; sa maraming firmwares makikita mo ang "Windows UEFI mode" kumpara sa "Iba pang OS"; para paganahin ang Secure Boot, piliin Windows UEFI.

Kapag naka-disable ang CSM at napili ang tamang uri ng OS, hanapin ang switch Secure Boot (Maaaring lumabas ito bilang Secure Boot Control.) Lumipat mula sa Disabled patungong Enabled. Kung sinenyasan ka ng firmware na pamahalaan ang mga key, i-install ang mga factory default o i-restore ang mga default na key; ang database na ito ay kung ano ang nagpapahintulot sa iyo na patunayan ang mga bootloader na nilagdaan ng Microsoft.

I-save ang mga pagbabago, lumabas, at i-verify sa Windows

Kapag tapos ka na, i-save at lumabas. Karaniwan itong ginagawa sa F10 at kumpirmasyon (Tanggapin/OK/Kumpirmahin), o sa pamamagitan ng pagpunta sa tab na I-save at Lumabas at pagpili sa "I-save ang mga pagbabago at lumabas". Magre-restart ang computer sa mga bagong setting na inilapat.

Bumalik sa Windows, ulitin ang query sa msinfo32 Para kumpirmahin na ang Secure Boot status ay lalabas na ngayon bilang Enabled. Kung lalabas pa rin ito bilang "Hindi aktibo" o "Naka-disable," maaaring nawawala ang mga key o maaari pa ring paganahin ang CSM sa isang lugar sa firmware.

Ano ang gagawin kung lumabas ang "Hindi aktibo": i-reset ang mga key at pilitin ang naaangkop na mode

May mga sitwasyon kung saan, sa kabila ng pagkakaroon ng UEFI at Secure Boot na pinagana, ipinapakita ang status "Hindi aktibo"Sa mga modernong motherboard, ang karaniwang solusyon ay upang paganahin ang Secure Boot control at ibalik ang mga factory default key, na nagse-save pagkatapos.

Sa mga laptop, all-in-one na PC, o game console na may klasikong UEFI: pumunta sa Security > Secure Boot at itakda Naka-enable ang Secure Boot ControlSusunod, pumunta sa Pamamahala ng Key. Una, gamitin ang "Reset To Setup Mode" para i-clear ang mga database, kumpirmahin gamit ang Oo, at pagkatapos ay piliin I-restore ang Factory KeysI-save ang mga pagbabago (F10) at i-restart.

Sa mga device na may "MyASUS sa UEFI" ang proseso ay katumbas: paganahin ang Secure Boot control, ipasok ang Key Management, at linisin gamit ang I-reset sa Setup Mode Panghuli, i-install ang mga key gamit ang "Ibalik ang Mga Factory Key". I-save ang mga pagbabago at i-restart para ma-update ang status.

Sa mga desktop computer, ang ilang firmware ay nangangailangan ng pagbabago ng Secure Boot Mode sa Pasadya Para pamahalaan ang mga key: buksan ang Key Management, patakbuhin ang "Clear Secure Boot Keys," kumpirmahin, at pagkatapos ay piliin ang "Install Default Secure Boot Keys." Huwag kalimutang isara gamit ang F10 o "I-save ang Mga Pagbabago at Lumabas" upang ang status ay magbago sa User/Active kung naaangkop.

Mga partikular na tala sa interface: advanced na mode at nabigasyon

Maraming UEFI BIOS ang may basic mode at advanced mode. Kung hindi mo nakikita ang mga opsyon sa itaas, pindutin ang F7 para lumipat sa Advanced Mode Pagkatapos ay suriin muli ang mga tab na Security at Boot. Maaaring gawin ang pag-navigate gamit ang mga arrow key at Enter, mouse, o touchpad, depende sa system.

Maaaring bahagyang mag-iba ang interface sa pagitan ng mga modelo at bersyon ng firmware. Huwag magulat na mahanap ang path na nakalista bilang Security > Secure Boot > Secure Boot Control o bilang Boot > Secure Boot > Uri ng OSAng layunin ay pareho: huwag paganahin ang CSM, piliin ang Windows UEFI, at tiyaking na-load ang mga Secure Boot key.

BitLocker at pag-encrypt ng device: iwasan ang mga sorpresa kapag nagre-restart

Kung gumagamit ka ng BitLocker o Device Encryption, ang pagbabago ng mga kritikal na parameter ng boot (CSM, Secure Boot, TPM) ay maaaring mag-prompt sa Windows na... pagbawi ng susi sa susunod na boot. Ihanda ito bago hawakan ang BIOS/UEFI upang maiwasang maipit.

Kung mas gusto mong pansamantalang huwag paganahin ang pag-encrypt, kumonsulta muna sa mga opisyal na alituntunin ng Microsoft upang maiwasan ang pagkawala ng data. Sa mga corporate system, matalinong i-coordinate ang mga pagbabagong ito sa [kaugnay na departamento/organisasyon]. ang IT team upang sumunod sa mga patakaran at mapanatili ang seguridad.

Alternatibong ruta upang paganahin ang UEFI at i-convert ang mga partisyon nang hindi muling ini-install

Kung galing ka sa Legacy/CSM mode at ang iyong disk ay na-format bilang MBR, ang pinakamalinis na paraan ay ang mag-convert sa GPT gamit ang utility. mbr2gpt at pagkatapos ay lumipat sa UEFI sa BIOS. Tandaan na i-validate muna gamit ang mbr2gpt /validate at pagkatapos ay patakbuhin ito mbr2gpt /convert gamit ang tamang disk identifier.

Isang detalye na madalas na hindi napapansin: dapat basahin ang command prompt window AdministradorKung hindi mo patakbuhin ang console na may mataas na mga pribilehiyo, maaaring mabigo ang mga command nang walang malinaw na mensahe, na pumipilit sa iyong ulitin ang mga hakbang.

Kailan pansamantalang hindi paganahin ang Secure Boot

Ang ilang diagnostic tool, maintenance image, at operating system ay hindi gumagana nang naka-enable ang signature verification. Sa mga kasong iyon, maaari mong pansamantalang i-disable ang Secure Boot, gamitin ang kailangan mo, at pagkatapos ay muling paganahin ito. paganahin ito sa sandaling matapos mo.

Kung nag-install ka ng Linux at pinili ang "Iba pang OS" sa iyong BIOS, normal na makakita ng mga mensahe o error na nauugnay sa legacy na UEFI. Ang solusyon ay karaniwang nagsasangkot ng pag-configure ng UEFI mode, pagpapanatiling hindi pinagana ang CSM, at, kung pananatilihin mo ang Windows, i-verify na ang system disk ay GPT at na ang mga Secure Boot key ay na-load. Ang ilang mga sitwasyon sa Linux ay nangangailangan ng mga naka-sign na bootloader; kung hindi, ang tanging pagpipilian mo ay ang mag-boot nang hindi pinagana ang Secure Boot.

Mga halimbawa ng karaniwang menu ayon sa uri ng kagamitan

Mga laptop at all-in-one na computer: Kapag naka-off ang computer, pindutin nang matagal ang F2 habang naka-on para pumasok sa setup menu. Kapag nasa loob na, lumipat sa advanced mode gamit ang F7Pumunta sa Seguridad > Secure Boot at ayusin ang Secure Boot Control. Kung hindi ito lumabas, tingnan din ang tab na Boot, lalo na ang Uri ng OS (Windows UEFI vs. Other OS).

MyASUS sa UEFI: Ang nabigasyon ay halos magkapareho, ang hitsura lamang ang nagbabago. Pumunta sa Advanced na Mga Setting, mag-navigate sa Seguridad > Secure Boot, paganahin ang kontrol at pamahalaan ang mga key mula doon. Susing Pamamahala Kung mananatiling Hindi Aktibo ang status, tandaan na i-save gamit ang F10.

Mga desktop computer: sa ilang mga modelo ang susi upang makapasok ay Supr (Del)Pumunta sa Boot > Secure Boot at, kung pinagana ang pamamahala ng key, itakda ang mode sa Custom para i-clear at i-install ang mga default na key (I-install ang Default Secure Boot Keys). Gayundin, tingnan kung nakatakda ang CSM sa Naka-disable at paganahin ito.

Panghuling pagsusuri at pag-troubleshoot

Pagkatapos ng bawat pagbabago ng BIOS, i-save at i-restart. Sa Windows, muling buksan ang BIOS. msinfo32 Para kumpirmahin: Ang BIOS mode ay naka-set sa UEFI at Secure Boot status ay naka-set sa Enabled. Kung nagkaproblema at hindi nag-boot ang computer, bumalik sa firmware at pansamantalang huwag paganahin ang Secure Boot o ibalik ang huling setting upang maibalik ang functionality.

Mga karaniwang error na nagpapakita ng problema: kung magpapatuloy ang "Hindi aktibo", nawawala ang mga susi; kung hindi mo nakikita ang switch ng Secure Boot, nasa basic view ka at kailangan mong lumipat sa advanced mode; kung hindi magsisimula ang Windows pagkatapos mag-convert sa GPT, maaaring nasa loob pa rin ang firmware CSM/Namana Sa halip na UEFI. Ayusin ang tatlong puntong iyon at halos palaging naresolba.

Palaging kumunsulta sa dokumentasyon ng iyong tagagawa. Bagama't pareho ang layunin sa lahat ng brand, iba-iba ang terminolohiya at eksaktong landas. Karaniwan para sa isang opsyon na tinatawag na "Uri ng OS" ang isa na iyon buhayin o i-deactivate Secure Boot sa ilalim (Windows UEFI = active, Other OS = inactive).

• I-verify sa msinfo32 na ikaw ay nasa UEFI at suriin ang Secure Boot status. Kung nasa Legacy ka, mag-convert sa GPT at magpalit sa UEFI sa firmware.

• Huwag paganahin ang CSM sa BIOS. Itakda ang Uri ng OS sa Windows UEFI at paganahin ang Secure Boot. Kung sinenyasan, nag-i-install ng mga default na key o i-restore ang mga ito mula sa Key Management.

• Kung ang status ay nagpapakita ng "Hindi Aktibo," magsagawa ng pag-reset gamit ang I-reset sa Setup Mode at muling i-install ang mga factory key. Sa mga desktop system, maaaring kailanganin mong lumipat sa Custom mode para pamahalaan ang mga key. Tandaan i-save gamit ang F10.

• Gamitin ang TPM 2.0 kung nasa Windows 11 ka at isaisip ang BitLocker: isulat ang recovery key bago hawakan ang firmware. Kung may nangyaring mali, ibalik ang huling pagbabago at subukan ulit.

Kapag hindi pinagana ang UEFI, GPT, at CSM, at na-load ang mga factory key, magiging operational ang Secure Boot at ang pinagkakatiwalaang software lang ang ibo-boot ng iyong computer. Ito ay isang setting na dapat suriin, lalo na pagkatapos ng pag-update ng BIOS, dahil kung minsan ang mga pagbabagong ito ay nagre-reset ng mga parameter ng boot o binubura ang pangunahing database. Kapag naunawaan mo na ang proseso (msinfo32 para sa mga diagnostic, mbr2gpt kung kinakailangan, mga setting sa Security/Boot at pamamahala ng key), Muling paganahin ang Secure Boot Ilang minuto lang at makakakuha ka ng karagdagang seguridad nang hindi isinasakripisyo ang pagganap.

Kaugnay na artikulo:

Paano Paganahin ang Secure Boot sa Windows 11: Isang Kumpletong Step-by-Step na Gabay