Введение

Secure Boot часто воспринимают как что-то однозначно полезное — «защита от вирусов на этапе загрузки».
Но на практике это одна из самых противоречивых технологий, потому что:

• она реально защищает систему от rootkit-ов, буткитов, вредоносных драйверов и подмены загрузчика;
• она часто ломает загрузку Linux;
• она запрещает запуск некоторых LiveCD, WinPE, recovery-образов;
• она конфликтует с кастомными UEFI-загрузчиками;
• она стирает ключи после обновления BIOS;
• она ломает GRUB, если его не подписали;
• она блокирует установку ОС на старые ноутбуки.

Чтобы понять, как жить с Secure Boot и когда его нужно отключать, надо разобраться в том, как устроена эта система.

---

1. Зачем появился Secure Boot

Secure Boot — часть спецификации UEFI 2.x.
Он был создан как ответ на появление:

• персистентных rootkit-ов (TDL4, MBR Lockers);
• буткитов, живущих в MBR;
• атак на bootloaders Windows;
• вредоносных драйверов, внедряющихся в pre-boot этап.

Разработчики поняли:
если заражение происходит до запуска ОС, антивирусы бессильны.

Именно поэтому Secure Boot реализует концепцию:

«Не запускать НИЧЕГО, что не имеет цифровой подписи доверенного производителя».

---

2. Как работает Secure Boot — объяснение без сложных терминов

UEFI загружает не просто bootloader, а подписанное приложение .EFI, у которого:

• есть цифровая подпись;
• эта подпись проверяется по ключам, записанным в BIOS.

Фактически это белый список доверенного кода.

Внутри прошивки находятся четыре набора ключей:

1. Platform Key (PK) — главный ключ.
   Позволяет менять остальные ключи.
2. Key Exchange Keys (KEK) — набор, которым подписываются обновления списка доверенных ключей.
3. db (allowed signatures database) — база разрешённых подписей.
   Тут лежат подписи Microsoft, Ubuntu, RedHat и других ОС.
4. dbx (revoked signatures) — база запрещённых ключей.
   Сюда добавляют украденные или скомпрометированные ключи.

Если .efi-файл:

• найден,
• имеет подпись,
• подпись есть в db,
• подпись не запрещена в dbx,

то загрузка разрешается.

Если нет — UEFI её блокирует.

---

3. Почему Windows всегда работает с Secure Boot

Windows 8/10/11 используют bootloader bootmgfw.efi, который:

• всегда подписан Microsoft;
• всегда проверяется через db;
• прошёл сертификацию;
• имеет стабильный GUID;
• присутствует даже в fallback-режиме (bootx64.efi).

Поэтому Windows:

• всегда загружается в Secure Boot;
• автоматически обновляет ключи;
• умеет работать даже после очистки NVRAM.

Это идеальный сценарий, для которого Secure Boot и создавался.

---

4. Почему Secure Boot мешает Linux — суть проблемы

Linux-дистрибутивы долго были «вне экосистемы Microsoft».
Чтобы загрузчик был разрешён, нужно:

• подписать shim;
• включить его в db Microsoft (MOK-система);
• предоставить инструменты для ручного одобрения ключей.

Проблемы:

✔ 1. Некоторые дистрибутивы используют неподписанный GRUB

Старый GRUB2 запускается только при отключённом Secure Boot.

✔ 2. Shim требует ручного подтверждения ключей (MOK Manager)

Пользователь видит синий экран с надписью:

“Enroll MOK” → Yes/No

и теряется.

✔ 3. Некоторые версии shim включены в dbx как «опасные»

UEFI блокирует их полностью.

✔ 4. Сборки на основе syslinux/isolinux НЕ подписаны

Что делает невозможным запуск LiveCD.

---

5. Почему Secure Boot ломает загрузку флешек и LiveCD

Потому что большинство:

• WinPE-сборок,
• recovery-инструментов,
• rescue-дистрибутивов,
• антивирусных LiveCD,
• установщиков Windows 7,
• утилит вроде Memtest86 v4,

не имеют EFI-подписи.

Поэтому Secure Boot:

• видит флешку;
• видит bootloader;
• блокирует запуск.

Отсюда знаменитая ошибка:

Security Violation
Invalid Signature

или:

Selected boot device has failed

---

6. Как Secure Boot связан с NVRAM

Secure Boot хранит:

• ключи PK/KEK/db/dbx;
• сертификаты;
• параметры доверенных приложений.

Эти данные лежат в той же NVRAM, что и загрузочные записи.
Поэтому:

• очистка BIOS
• обновление прошивки
• сброс Boot Mode
• неправильное изменение CSM
• сброс Setup Mode

может привести к:

• потере всех ключей;
• переходу Secure Boot в Setup Mode;
• блокировке Linux;
• отказу загрузчика Windows.

---

7. Secure Boot и CSM — почему они несовместимы

Это фундаментальная часть.

CSM — режим эмуляции старого BIOS.
Secure Boot — технология UEFI.

Когда включается CSM:

• UEFI отключается частично или полностью;
• отключаются проверки подписей;
• отключаются db/dbx;
• отключаются EFI-приложения.

Поэтому BIOS:

CSM → ON → Secure Boot → OFF

Это правило работает:

• на HP,
• на Lenovo,
• на Acer,
• на ASUS,
• на Dell.

Не бывает CSM с Secure Boot одновременно.

---

8. Почему Secure Boot иногда «блокирует Windows»

Хотя кажется, что Windows всегда совместима, есть случаи, когда:

• Windows Boot Manager повреждён
• EFI файлы заменены
• ключи Microsoft удалены
• BIOS прошился с дефектом
• включён режим Custom и пустая db
• dbx содержит блокировку старых загрузчиков

В этом случае Windows перестаёт считаться «доверенной».

Системы HP и Acer особенно склонны выдавать:

Boot Manager is missing or corrupt

при повреждённом Secure Boot.

---

9. Реальные сценарии, когда Secure Boot блокирует загрузку

• установка Windows 7
• загрузка Ubuntu 14.04 и старше
• запуск WinPE/ERD/DaRT
• загрузка системного образа Linux Mint
• запуск Memtest86 v4
• использование Ventoy с неподписанным EFI
• попытка запуска кастомного GRUB
• запуск образа восстановления производителя (HP, Dell), который не подписан
• старые образа Acronis TrueImage
• старые системные дистрибутивы на базе syslinux

Если участник цепочки не подписан — Secure Boot блокирует всё.

📘 Secure Boot: что даёт и почему часто мешает

Часть 2 из 3 — диагностика проблем Secure Boot, ошибки загрузки Windows/Linux, работа ключей PK/KEK/db/dbx, реальные кейсы HP/Lenovo/Acer/Dell и почему режим может «ломаться» после обновления BIOS

---

10. Главная особенность Secure Boot: он ломается не потому, что что-то «пошло не так», а потому что он работает строго по правилам

И это главный парадокс.
Пользователю кажется:

«Мой ноутбук не запускает флешку — значит проблемы с BIOS».

Но на самом деле:

Secure Boot делает ровно то, для чего он создан —
блокирует всё, что не подписано известным производителем.

Именно поэтому, когда что-то ломается, нужно диагностировать не BIOS,
а связку:

• ключи PK/KEK
• базы db/dbx
• загрузчик ОС
• подписи shim
• состояние NVRAM
• режим Boot Mode
• Secure Boot → Standard/Custom/Setup

И это куда сложнее, чем просто «выключить опцию».

---

11. Три режима работы Secure Boot, о которых почти никто не знает

1) Standard Mode

Стандартный режим.
Используются ключи производителя (MS, OEM).

В этом режиме Windows работает идеально.

---

2) Custom Mode

Пользователь может:

• добавлять собственные ключи
• очищать db
• создавать dbx
• вручную подписывать загрузчики

Это идеальный режим для Linux и корпоративных решений.

Но есть проблема:

Если пользователь включает Custom, но не добавляет ключи — система НЕ загрузится ни с чего.

---

3) Setup Mode

Полностью очищены ключи PK/KEK/db/dbx.
Secure Boot «не работает», но включён.

Самое опасное состояние:

• Windows считает загрузчик неподписанным
• Linux shim теряет доверенность
• UEFI блокирует всё, кроме Fallback boot
• многие ноутбуки HP/Acer в этот режим переходят после обновления BIOS

---

12. Почему Secure Boot ломает загрузку Windows

Windows обычно «идеально» совместим, но есть сценарии, при которых Windows:

• перестаёт считаться доверенной
• теряет запись в NVRAM
• блокируется UEFI

Причины:

✔ 1. повреждение EFI файлов

Если bootmgfw.efi заменён или повреждён, подпись не совпадает с db.

✔ 2. BIOS удалил ключи Microsoft

Это часто делает HP после сброса прошивки.

✔ 3. dbx обновилась автоматически (Windows Update)

Microsoft иногда добавляет в dbx старые версии загрузчиков.

В результате:

Boot failed: Invalid signature detected

---

13. Почему Secure Boot ломает загрузку Linux

Linux страдает гораздо больше, чем Windows.

Причины:

✔ shim устарел → попал в dbx

UEFI блокирует его целиком.

✔ GRUB собран без поддержки Secure Boot

Тогда shim загружается, но GRUB — нет.

✔ MOK-ключи не подтверждены

Появляется меню:

Enroll MOK?

Если пользователь нажмёт “No”, то система заблокирована.

✔ пользователь перешёл в Custom Mode и не добавил ключи

В этом состоянии Linux — «неподписанный» код.

✔ Secure Boot запрещает загрузку kernel, если он не подписан

Особенно в Fedora/Arch.

---

14. Почему Secure Boot ломает LiveCD и флешки

Именно поэтому инженеры восстановления всегда первым делом отключают Secure Boot, если нужно загрузиться с флешки.

Secure Boot блокирует:

• WinPE/DaRT
• LiveCD Linux
• Acronis
• Memtest86 v4
• старые ISO Ubuntu/Debian
• системные диски восстановления производителя
• Ventoy без подписанных EFI-загрузчиков
• syslinux/isolinux

Сообщения ошибок:

Security Violation
Invalid signature
The selected boot device has failed
This image is not authorized to boot

---

15. Как понять, что именно Secure Boot блокирует загрузку (первые признаки)

Ниже — как инженеры оценивают ситуацию за 10 секунд.

---

✔ Признак 1. Флешка отображается в Boot Menu, но не запускается

Типичное сообщение:

Selected boot device has failed

Это почти всегда Secure Boot.

---

✔ Признак 2. Появляется надпись «Security Violation»

Secure Boot заблокировал неподписанный загрузчик.

---

✔ Признак 3. Windows не запускается, но загрузочный диск виден

UEFI считает Boot Manager «неподписанным».

---

✔ Признак 4. После обновления BIOS Linux перестал грузиться

Ключи db/dbx обновились → shim устарел.

---

✔ Признак 5. MOK Manager просит подтверждение, но пользователь нажал «No»

После этого Linux больше не загрузится, пока не повторить процедуру.

---

✔ Признак 6. Secure Boot показывает статус «Setup Mode»

Это означает:

• все ключи отсутствуют
• система не доверяет НИЧЕМУ

---

16. Как диагностировать Secure Boot на Windows

Это важно, потому что Windows сама может сообщить, что ключи повреждены.

Проверить состояние Secure Boot:

powershell
Confirm-SecureBootUEFI

Ответы:

• True — работает
• False — отключён
• ошибка — режим Setup/Custom

Проверить состояние загрузчика:

bcdedit /enum firmware

Если записи нет → Boot Manager не доверен.

---

17. Диагностика Secure Boot на Linux

Проверка состояния:

mokutil --sb-state

Результат:

• SecureBoot enabled
• SecureBoot disabled
• Setup Mode

Проверка shim:

ls -l /boot/efi/EFI/*/*.efi

Проверка NVRAM:

efibootmgr -v

Если нет записи с shimx64.efi — Secure Boot не загрузит Linux.

---

18. Почему Secure Boot ломается после обновления BIOS

Производители часто:

• сбрасывают ключи
• обновляют db/dbx
• очищают NVRAM
• включают Setup Mode
• ставят Secure Boot → Enabled по умолчанию
• удаляют пользовательские ключи MOK
• заменяют PK на новый OEM-ключ

Поэтому после обновления BIOS:

Windows может работать

Linux почти всегда ломается

LiveCD перестают запускаться

---

19. Реальные кейсы, когда проблема — именно Secure Boot

---

🔥 Кейc 1 — HP ProBook

После обновления BIOS ключи PK/KEK были сброшены → Windows загружалась только через fallback bootx64.efi.

---

🔥 Кейc 2 — Acer Swift

dbx обновился через Windows Update, блокируя старые версии shim. Ubuntu перестала грузиться.

---

🔥 Кейc 3 — Lenovo IdeaPad

Пользователь включил Custom Mode, но не импортировал ключи → система перестала загружаться полностью.

---

🔥 Кейc 4 — Dell Latitude

Secure Boot блокировал WinPE флешку, хотя флешка была рабочей. После отключения загрузилась идеально.

---

🔥 Кейc 5 — ASUS VivoBook

Secure Boot в режиме Setup Mode не пускал ни Windows, ни Linux, пока не были восстановлены PK/KEK.

20. Самый главный принцип работы с Secure Boot

Secure Boot — это не “магическая галочка”, а система доверия, работающая на основе:

• подписей;
• баз разрешённых ключей (db);
• базы запрещённых ключей (dbx);
• основного ключа владельца (PK);
• списка обменных ключей (KEK).

И если компонент системы не совпадает с ожиданиями UEFI, загрузка блокируется полностью.
Поэтому восстановление — это не просто «выключить Secure Boot», а восстановить цепочку доверия.

---

21. Когда можно безопасно отключать Secure Boot

Многие пользователи боятся отключить Secure Boot, думая, что это снизит безопасность.
На практике:

✔ Отключение Secure Boot безопасно в случаях:

• установка или восстановление Linux, который не имеет подписанного shim;
• восстановление загрузчика Windows после повреждения NVRAM;
• запуск LiveCD, WinPE, Memtest, Acronis;
• запуск Ventoy или сложных multi-boot систем без подписанной EFI;
• восстановление BIOS или обновление прошивки;
• переход из Custom в Standard, если ключей нет;
• если ПК домашний и угрозы минимальны.

✔ Отключение Secure Boot НЕ рекомендуется:

• корпоративные ноутбуки;
• ноутбуки с BitLocker (может потребовать ключ восстановления);
• рабочие станции с TPM-сценариями;
• оборудования с сертификацией.

---

22. Когда нужно оставлять Secure Boot включённым

Secure Boot полезен, когда:

✔ Установлена Windows 10/11 (официальная)

Она идеально поддерживает Secure Boot.

✔ Используется современный Linux с корректным shim

Ubuntu, Debian, Fedora — всё грузится.

✔ Нужна защита от bootkit-вирусов

Secure Boot блокирует большинство.

✔ Используются корпоративные политики (TPM, BitLocker)

Secure Boot участвует в цепочке доверия.

---

23. Правильное отключение Secure Boot (без риска потерять загрузку)

На разных ноутбуках порядок отличается, но принцип один.

---

🔵 Шаг 1 — выключить Fast Boot

Иначе не появится пункт Secure Boot.

---

🔵 Шаг 2 — войти в Security → Secure Boot → Disable

Но:

На HP:

Перед этим нужно включить Legacy Support.

На Acer:

Сначала перейти в Supervisor Mode → установить пароль.

На Lenovo:

Сначала выключить “OS Optimized Defaults”.

На Dell:

Включить “Expert Key Management”.

---

🔵 Шаг 3 — сохранить настройки → перезагрузиться

После отключения:

• Windows продолжит загружаться;
• Linux, наоборот, может ожить;
• LiveCD будут работать.

---

24. Как правильно включить Secure Boot обратно

Если просто включить Secure Boot, можно получить «Security Violation».
Нужно:

---

🔵 Шаг 1 — вернуть Standard Mode

Если BIOS в Setup или Custom, нужно восстанавливать ключи.

---

🔵 Шаг 2 — восстановить ключи OEM

На HP/Acer/Lenovo:

Restore Factory Keys

Восстанавливает:

• PK
• KEK
• db
• dbx

---

🔵 Шаг 3 — проверить EFI-файлы Windows

Windows:

bcdboot C:\Windows /f UEFI

Linux:

efibootmgr -v

---

🔵 Шаг 4 — проверить shim

Если shim устарел, обновить:

Ubuntu:

sudo apt install --reinstall shim-signed

---

25. Как восстановить Secure Boot, если BIOS перешёл в Setup Mode

Setup Mode — означает, что ключей нет.
Решение:

---

1) Включить «Restore Factory Keys»

Это работает на:

• HP
• Dell
• Acer
• Lenovo
• ASUS

---

2) Если ключей нет — вручную загрузить OEM Keys

У некоторых ноутбуков (особенно китайских моделей) Secure Boot не восстановить автоматически.

Нужно:

• скачать OEM ключи (PK, KEK, db, dbx) с сайта производителя;
• записать на флешку FAT32;
• загрузиться в BIOS;
• импортировать вручную.

---

26. Полное восстановление ключей Microsoft (Windows)

Иногда ключи повреждаются (особенно после обновления BIOS).

Windows не доверяет загрузчику, появляется ошибка:

Boot image is not authorized

Решение:

1. Отключить Secure Boot.
2. Войти в BIOS → Security → Restore Factory Keys.
3. Включить Secure Boot обратно.
4. В Windows восстановить загрузчик:

bcdboot C:\Windows /f UEFI

---

27. Полное восстановление Linux в режиме Secure Boot

Если Linux блокируется:

---

🔵 Шаг 1 — зайти в MOK Manager

При загрузке появится:

Enroll MOK

Нужно выбрать:

• Enroll Key → Continue → Yes → Reboot

---

🔵 Шаг 2 — переустановить shim

Ubuntu/Debian:

sudo apt install --reinstall shim-signed grub-efi-amd64

Fedora:

sudo dnf reinstall shim-x64 grub2-efi-x64

---

🔵 Шаг 3 — обновить записи NVRAM

sudo grub-install --target=x86_64-efi --efi-directory=/boot/efi
sudo update-grub

---

28. Таблица: что блокирует Secure Boot и как это исправить

Сценарий	Почему блокируется	Решение
LiveCD Linux	неподписанный загрузчик	отключить Secure Boot
WinPE/DaRT	нет EFI подписи	отключить
Ventoy	неподписанный EFI	отключить
Ubuntu/Mint старых версий	устаревший shim	обновить shim
Fedora на старых ноутбуках	ядро без подписи	отключить или обновить ядро
Windows не грузится	повреждённый bootmgfw.efi	bcdboot
Ошибка «Security Violation»	подпись отсутствует в db	отключить или добавить ключ
Setup Mode	нет ключей	Restore Factory Keys

---

29. Таблица: что поддерживается при включённом Secure Boot

Что	Работает?	Комментарий
Windows 10/11	✔	идеально
Ubuntu LTS	✔	подписанный shim
Debian 12	✔	новая версия shim
Fedora	✔	Secure Boot-friendly
Arch Linux	⚠	зависит от пользователя
Memtest86 v7+	✔	с подписью
LiveCD	❌	почти все блокируются
Acronis TI 2020+	✔	подписан
Ventoy	⚠	работает с secureboot module
WinPE	❌	блокируется

---

30. Основные выводы инженера

Чтобы Secure Boot не мешал:

✔ Windows всегда оставлять в UEFI + Secure Boot

✔ Linux — обновлять shim и kernel

✔ LiveCD — запускать только при выключенном Secure Boot

✔ После обновления BIOS — всегда восстанавливать ключи

✔ Если BIOS ушёл в Setup Mode — использовать Restore Factory Keys

✔ Если много ОС — не смешивать Secure Boot ON/OFF

✔ При использовании Ventoy — активировать Secure Boot Support Module