load hp factory default keys в биосе что это
попадаю в «старт меню», теперь уже нажимаю F-9 Boot Device Options (изменение настроек загрузки),
попадаю в меню загрузки, но моей флешки Kingston там нет, хотя она уже подсоединена к ноутбуку (флешка точно загрузочная).
Тоже самое происходит и с загрузочным диском Windows 7.
Вот думаю и «чудо враждебной техники», тогда поступлю по другому, изменю приоритет загрузки прямо в БИОС UEFI, перезагружаю ноутбук, далее жму при загрузке опять ESC, попадаю в «старт меню», теперь уже нажимаю F-10 BIOS Setup
Как видим параметр безопасной загрузки Secure Boot в БИОС включен,
отключаю его, ставлю в положение «Disabled», а опцию «Legacy support» перевёл в положение «Enabled», выходит предупреждение, выбираю Yes,
затем жму F-10 (сохраняю настройки, жму Yes и перезагружаюсь),
после перезагрузки выходит вот это окно, с сообщением
A change to the operating system secure boot mode is pending. Please enter the pass code displayed below to complete the change. If you did not initiate this request, press the ESC key to continue without accepting the pending change
Как загрузить с флешки или диска ноутбук HP Pavillion
а после перезагрузки жмём на ESC, попадаем в «старт меню», нажимаем F-9 Boot Device Options (изменение настроек загрузки),
попадаем в меню загрузки и здесь уже присутствует наша флешка Kingston, выбираем её и жмём Enter, наш ноутбук загружается с флешки.
БИОС HP Pavilion – как зайти на ноутбуке и обновить
Как войти в БИОС на HP Pavilion. Поговорим, как зайти в подсистему, о настройках и параметрах. Главный вопрос – как обновить HP BIOS. Он описан в конце.
Как зайти в БИОС на ноутбуке HP Povillion
Если у вас модель HP Pavilion, то зайти в BIOS можно следующим образом:
Если у вас другая модель, то вход в BIOS может осуществляться немного другими кнопками, хотя такое бывает крайне редко – F1, F11, F6, F2, F8, Del. Попробуйте их, если способ выше не помог.
С помощью клавиши F10 можно зайти на моделях HP Pavilion G6-2283ER, HP 250 G4 и многих других. Также вы можете прочитать статью о входе в BIOS на многих других моделях системных плат и ноутбуков.
Параметры BIOS HP
В окошке настроек БИОСа в первую очередь видим основное меню. Раздел называется Main.
Main (Меню)
В данном разделе можно видеть следующие параметры:
Также в разделе могут быть сведения о языке, установленном дисководе и жёстком диске. В этих подразделах устройств могут быть сведения о емкости, типе, секторов, цилиндрах, и многое другое.
Еще раз повторюсь, что в этой статье я в основном описываю параметры ноутбука HP Pavilion 15, в котором могут отсутствовать многие опции. Просто есть мнение, что многие настройки вырезаны.
Security (Защита)
Здесь находится всего два параметра, отвечающих за очистку или установку пароля администратора и пароля при включении и входе в BIOS.
System Configuration (Конфигурация системы)
В данном разделе находятся основные параметры, где мы выставляем приоритет загрузки, поддержку виртуализации, кард-ридера и других параметров.
Boot Option
Exit (Выход)
Раздел содержит опции выхода. В большинстве случаев они не отличаются на
Как обновить BIOS HP и установить драйвера на ноутбук
Для этого достаточно зайти на официальный сайт фирмы HP и ввести название вашего ноутбука, а если не знаете, то серийный номер BIOS (Serial Number) – https://support.hp.com/ru-ru/drivers.
Откроется страница с разделами на скачивания драйверов, например, на аудио, графику, мышь, клавиатуру, чипсет, и другое.
Обновление BIOS HP
Заходим в BIOS. В начале статьи мы поняли, как это делается. Теперь находим на вкладке Main сведения о коде системной платы (System Board ID).
Записав код, можно выходить из BIOS.
На экране в момент обновления можно видеть процесс, который прерывать не следует. Убедитесь, что ноутбук подключён к сети. Если обновление произошло с ошибкой, инструмент тут же запустит процесс восстановления, поэтому волноваться не о чем.
Обновление БИОС HP из Windows
Я сделал немного по-другому. Я запустил утилиту и сразу выбрал опцию Update BIOS. Вентилятор в этот момент начал работать на максимум, поэтому было немного тревожно. Дальше появилось предупреждающее окно, где сказано, что ноутбук следует подключить к сети, не выключатьне переводить в сон.
После апдейта, ноутбук перезагружается и начинается обновление BIOS.
В данной статье мы затронули две темы – разбор входа в настройки BIOS HP и расшифровка параметров, а также обновление BIOS.
Load hp factory default keys что это
В данной статье я хочу рассказать о том, как зайти в BIOS HP ноутбуков. Не всех, но большинства. Так как у меня ноутбук именно этой фирмы, то писать я начну с него. Потом постараюсь описать другие модели с командами BIOS. Возможно, поговорим об обновлении БИОС, но процедура апдейта довольно опасна и стоит проводить с осторожностью.
Как зайти в БИОС на ноутбуке HP Povillion
Если у вас модель HP Pavilion, то зайти в BIOS можно следующим образом:
Если у вас другая модель, то вход в BIOS может осуществляться немного другими кнопками, хотя такое бывает крайне редко – F1, F11, F6, F2, F8, Del. Попробуйте их, если способ выше не помог.
С помощью клавиши F10 можно зайти на моделях HP Pavilion G6-2283ER, HP 250 G4 и многих других. Также вы можете прочитать статью о входе в BIOS на многих других моделях системных плат и ноутбуков.
Параметры BIOS HP
В окошке настроек БИОСа в первую очередь видим основное меню. Раздел называется Main.
Main (Меню)
В данном разделе можно видеть следующие параметры:
Также в разделе могут быть сведения о языке, установленном дисководе и жёстком диске. В этих подразделах устройств могут быть сведения о емкости, типе, секторов, цилиндрах, и многое другое.
Еще раз повторюсь, что в этой статье я в основном описываю параметры ноутбука HP Pavilion 15, в котором могут отсутствовать многие опции. Просто есть мнение, что многие настройки вырезаны.
Security (Защита)
Здесь находится всего два параметра, отвечающих за очистку или установку пароля администратора и пароля при включении и входе в BIOS.
System Configuration (Конфигурация системы)
В данном разделе находятся основные параметры, где мы выставляем приоритет загрузки, поддержку виртуализации, кард-ридера и других параметров.
Boot Option
Exit (Выход)
Раздел содержит опции выхода. В большинстве случаев они не отличаются на
Как обновить BIOS HP и установить драйвера на ноутбук
Для этого достаточно зайти на официальный сайт фирмы HP и ввести название вашего ноутбука, а если не знаете, то серийный номер BIOS (Serial Number) — https://support.hp.com/ru-ru/drivers.
Откроется страница с разделами на скачивания драйверов, например, на аудио, графику, мышь, клавиатуру, чипсет, и другое.
Обновление BIOS HP
Заходим в BIOS. В начале статьи мы поняли, как это делается. Теперь находим на вкладке Main сведения о коде системной платы (System Board ID).
Записав код, можно выходить из BIOS.
На экране в момент обновления можно видеть процесс, который прерывать не следует. Убедитесь, что ноутбук подключён к сети. Если обновление произошло с ошибкой, инструмент тут же запустит процесс восстановления, поэтому волноваться не о чем.
Обновление БИОС HP из Windows
Я сделал немного по-другому. Я запустил утилиту и сразу выбрал опцию Update BIOS. Вентилятор в этот момент начал работать на максимум, поэтому было немного тревожно. Дальше появилось предупреждающее окно, где сказано, что ноутбук следует подключить к сети, не выключатьне переводить в сон.
После апдейта, ноутбук перезагружается и начинается обновление BIOS.
В данной статье мы затронули две темы – разбор входа в настройки BIOS HP и расшифровка параметров, а также обновление BIOS.
bios InsydeH20 Setup Utility
верхнее меню состоит из:
Main Security System Configuration Exit
Main меню в котором можно настроить дату и время, так же можно посмотреть немного инфы о ноуте.
Security меню в котором две настройки Administrator Password и Power-On Password
System Configuration в этом меню
Laguage
Vitualization Technology
Fan Always On
Action Keys Mode всё это само собой (Enabled/Disabled)
и отдел Boot Options в котором:
POST Hotkey Delay (sec )
CD-ROM Boot
Internal Network Adapter Boot
Network Boot Protocol
Secure Boot
Platform Key Enrolled
Pending Action None
Clear All Secure Boot Keys
Load HP Factory Default Keys
Load MSFT Debug Policy Keys
UEFI Boot Order
OS boot Manager
Internal CD/DVD ROM Drive
USB Diskette on Key/USB Hard Disk
USB CD/DVD ROM Drive
! Network Adapter
Ну а в Exit сохранить и выйти, не сохранять и выйти и вернуть всё в исходное. Вот все уже настройки перепробовал толку ноль и говорю же флешек и дисков других не видит,
И винда никуда не вшита, просто она имеет область UEFI, которая является скрытым разделом, отделенным от жесткого диска. По умолчанию у тебя в БИОСЕ стоит безопасная загрузка из этой области UEFI.
Ты ее снес, мои поздравления:)) Теперь зайди в BIOS и отключи безопасную загрузку (Secure ROM), отключи UEFI и ставь какую хочешь ОС, хоть ту же 8-ку.
Введение
С ликбезом закончили, теперь к делу. Несмотря на то, что про создание своих ключей и настройку SecureBoot написано за три последних года с десяток отличных статей (ссылки на часть из которых приведены в разделе Литература), воз и ныне там. Основная проблема с информацией о настройке SecureBoot даже в англоязычном сегменте сети (не говоря уже о рунете) — большая часть статей, текстов и постов обрывается на «вот у нас теперь есть ключи в формате EFI Signature List, добавьте их зависимым от вашего вендора прошивки способом и готово». При этом сами вендоры не торопятся описывать меню настройки SecureBoot ни в документации на свои платформы для OEM’ов, ни в мануалах на конечные системы, в результате пользователь теряется на незнакомой местности и либо отключает SecureBoot, мешающий загружать его любимую OpenBSD (или что там у него), либо оставляет его на настройках по умолчанию (а чего, Windows грузится же). Именно этот последний шаг я и попытаюсь описать более подробно, но не в ущерб остальным необходимым шагам.
Тестовая конфигурация
Специально для этой статьи я достал из закромов пару не самых новых ноутбуков с прошивками на платформах Phoenix SCT и Insyde H2O, а также совершенно новую плату congatec (разработкой прошивки для которой я занят в данный момент) на платформе AMI AptioV. Встречайте, наши тестовые стенды:
1. AMI, они же «треугольные«: congatec conga-TR3 @ conga-TEVAL, AMD RX-216GD (Merlin Falcon), AMI AptioV (UEFI 2.4)
2. Insyde, они же «квадратные«: Acer Aspire R14 R3-471T (Quanta ZQX), Intel Core i3-4030U (Ivy Bridge), Insyde H2O (UEFI 2.3.1C)
3. Phoenix, они же «полукруглые«: Dell Vostro 3360 (Quanta V07), Intel Core i7-3537U (Ivy Bridge), Phoenix SCT (UEFI 2.3.1C)
Об интерфейсах для настройки SecureBoot
Готовим плацдарм
Начнем с лирического отступления о наличии нужного софта для разных ОС. Несмотря на то, что Microsoft является одним из разработчиков технологии, в открытом доступе до сих пор отсутствуют нормальные средства для работы с ней из Windows (ключи можно сгенерировать утилитой MakeCert из Windows SDK, а для всего остального предлагается использовать HSM третьих лиц за большие деньги). Я подумывал сначала взять и написать нужную утилиту на Qt, но потому решил, что ключи и подписи каждый день генерировать не нужно, а на пару раз хватит и существующих решений. Можете попробовать переубедить меня в комментариях, если хотите.
В общем, для всего нижеперечисленного вам понадобится Linux (который можно запустить с LiveUSB, если он у вас не установлен). Для него существует целых два набора утилит для работы с SecureBoot: efitools/sbsigntool и EFIKeyGen/pesign. У меня есть положительный опыт работы с первым набором, поэтому речь пойдет именно о нем.
В итоге, кроме Linux, нам понадобятся несколько вещей:
1. Пакет openssl и одноименная утилита из него для генерирования ключевых пар и преобразования сертификатов из DER в PEM.
2. Пакет efitools, а точнее утилиты cert-to-efi-sig-list, sign-efi-sig-list для преобразования сертификатов в формат ESL и подписи файлов в этом формате, и KeyTool.efi для управления ключами системы, находящейся в SetupMode.
3. Пакет sbsigntool, а точнее утилита sbsign для подписи исполняемых файлов UEFI (т.е. загрузчиков, DXE-драйверов, OptionROM’ов и приложений для UEFI Shell) вашим ключом.
Загрузите Linux, установите вышеуказанные пакеты, откройте терминал в домашней директории и переходите к следующему шагу.
Генерируем собственные ключи для SecureBoot
Как обычно, есть несколько способов сделать что-либо, и чем мощнее используемый инструмент, тем таких способов больше. OpenSSL же как инструмент развит настолько, что кажется, что он умеет делать вообще всё, а если почитать к нему man — то и абсолютно всё остальное. Поэтому в этой статье я ограничусь непосредственной генерацией ключевых файлов, а танцы вокруг создания собственного CA оставлю на самостоятельное изучение.
Генерируем ключевые пары
Конвертируем открытые ключи в формат ESL
Подписываем ESL-файлы
С другой стороны, если вы не хотите терять возможность загрузки Windows и подписанных ключом Microsoft исполняемых компонентов (к примеру, GOP-драйверов внешних видеокарт и PXE-драйверов внешних сетевых карточек), то к нашему ISK.esl надо будет добавить еще пару ключей — ключ Microsoft Windows Production CA 2011, которым MS подписывает собственные загрузчики и ключ Microsoft UEFI driver signing CA, которым подписываются компоненты третьих сторон (именно им, кстати, подписан загрузчик Shim, с помощью которого теперь стартуют разные дистрибутивы Linux, поддерживающие SecureBoot из коробки).
Последовательность та же, что и под спойлером выше. Конвертируем из DER в PEM, затем из PEM в ESL, затем добавляем к db.esl, который в конце концов надо будет подписать любым ключом из KEK:
Теперь подписываем PK самим собой:
Подписываем KEK.esl ключом PK:
Подписываем db.esl ключом KEK:
Если еще не надоело, можно добавить чего-нибудь еще в db или создать хранилище dbx, нужные команды вы теперь знаете, все дальнейшее — на ваше усмотрение.
Подписываем загрузчик
Осталось подписать какой-нибудь исполняемый файл ключом ISK, чтобы проверить работу SecureBoot после добавления ваших ключей. Для тестов я советую подписать утилиту RU.efi, она графическая и яркая, и даже издалека видно, запустилась она или нет. На самом деле, утилита эта чрезвычайно мощная и ей можно натворить немало добрых и не очень дел, поэтому после тестов лучше всего будет её удалить, и в дальнейшем подписывать только загрузчики.
В любом случае, подписываются исполняемые файлы вот такой командой:
Здесь я заодно переименовал исполняемый файл в bootx64.efi, который нужно положить в директорию /EFI/BOOT тестового USB-носителя с ФС FAT32. Для 32-битных UEFI (избавь вас рандом от работы с ними) используйте bootia32.efi и RU32.efi.
Укрощение строптивого
AMI AptioV
У большинства прошивок, основанных на коде AMI, управление технологией SecureBoot находится на вкладке Security, у меня это управление выглядит так:
Заходим в меню Key Management (раньше оно было на той же вкладке, сейчас его выделили в отдельное) и видим там следующее:
Выбираем нужную нам переменную, после чего сначала предлагают выбрать между установкой нового ключа и добавлением к уже имеющимся, выбираем первое:
Теперь предлагается либо установить значение по умолчанию, либо загрузить собственное из файла, выбираем последнее:
Далее нужно устройство и файл на нем, а затем выбрать формат этого файла, в нашем случае это Authenticated Variable:
Затем нужно подтвердить обновление файла, и если все до этого шло хорошо, в результате получим лаконичное сообщение:
Повторяем то же самое для KEK и PK, и получам на выходе вот такое состояние:
Все верно, у нас есть единственный PK, всего один ключ в KEK и три ключа в db, возвращаемся в предыдущее меню кнопкой Esc и включаем SecureBoot:
Готово, сохраняем настройки и выходим с перезагрузкой, после чего пытаемся загрузиться с нашей флешки и видим вот такую картину:
Отлично, неподписанные загрузчики идут лесом, осталось проверить подписанный. Вставляем другую флешку, перезагружаемся и видим что-то такое:
Вот теперь можно сказать, что SecureBoot работает как надо.
Если у вашего AMI UEFI такого интерфейса для добавления ключей нет, то вам подойдет другой способ, о котором далее.
Insyde H2O
Здесь все несколько хуже, чем в предыдущем случае. Никакого интерфейса для добавления собственных ключей нет, и возможностей настройки SecureBoot предлагается всего три: либо удалить все переменные разом, переведя SecureBoot в Setup Mode, либо выбрать исполняемый файл, хеш которого будет добавлен в db, и его можно будет запускать даже в том случае, если он не подписан вообще, либо вернуться к стандартным ключам, в качестве которых на этой машине выступают PK от Acer, по ключу от Acer и MS в KEK и куча всякого от Acer и MS в db.
Впрочем, нет интерфейса — ну и черт с ним, у нас для этого KeyTool есть, главное, что в Setup Mode перейти можно. Интересно, что BIOS Setup не дает включить SecureBoot, если пароль Supervisor Password не установлен, поэтому устанавливаем сначала его, затем выполняем стирание ключей:
После чего на соседней вкладке Boot выбираем режим загрузки UEFI и включаем SecureBoot:
Т.к. фотографии у меня посреди ночи получаются невыносимо отвратительными, то скриншоты KeyTool‘а я сделаю на предыдущей системе, и придется вам поверить в то, что на этой все выглядит точно также (мамой клянусь!).
Загружаемся с нашего носителя в KeyTool, и видим примерно следующее:
Выбираем Edit Keys, попадаем в меню выбора хранилища:
Там сначала выбираем db, затем Replace Keys, затем наше USB-устройство, а затем и файл:
Нажимаем Enter и без всяких сообщений об успехе нам снова показывают меню выбора хранилища. Повторяем то же самое сначала для KEK, а затем и для PK, после выходим в главное меню двойным нажатием на Esc. Выключаем машину, включаем заново, пытаемся загрузить KeyTool снова и видим такую картину (которую я утащил из дампа прошивки, ее фото на глянцевом экране еще кошмарнее, чем предыдущие):
Ну вот, одна часть SecureBoot’а работает, другая проверяется запуском подписанной нами RU.efi и тоже работает. У меня на этой системе Windows 8 установлена в UEFI-режиме, так вот — работает и она, Microsoft с сертификатом не подвели.
Phoenix SCT
Здесь возможностей еще меньше, и во всем меню Secure Boot Configuration на вкладке Security всего два пункта: возврат к стандартным ключам и удаление всех ключей с переводом системы в SetupMode, нам нужно как раз второе:
Затем на вкладке Boot нужно выбрать тип загрузки UEFI, включить SecureBoot, и создать загрузочную запись для KeyTool‘а, иначе на этой платформе его запустить не получится:
Нажимаем Yes, выходим с сохранением изменений, перезагружаемся, нажимаем при загрузке F12, чтобы попасть в загрузочное меню, оттуда выбираем KeyTool, работа с которым описана выше. После добавления ключей и перезагрузки попытка повторного запуска KeyTool‘а заканчивается вот так:
При этом установленный на той же машине Linux продолжает исправно загружаться, как и подписанная нами RU.efi, так что SecureBoot можно признать работоспособным.
Заключение
В итоге, благодаря утилитам с открытым кодом, удалось завести SecureBoot на системах с UEFI трех различных вендоров, сгенерировать свои собственные ключи и подписать ими нужные нам исполняемые файлы. Теперь загрузка платформы целиком в наших руках, но только в случае, если пароль на BIOS стойкий и не хранится открытым текстом, как у некоторых, а в реализации SecureBoot нет каких-либо известных (или еще неизвестных) дыр. Сам по себе SecureBoot — не панацея от буткитов, но с ним ситуация с безопасной загрузкой все равно намного лучше, чем без него.
Надеюсь, что материал вам поможет, и спасибо за то, что прочитали эту портянку.