Подробный гайд: Установка стандартных (заводских) ключей Secure Boot
Важно:
Все операции выполняются в режиме Setup Mode. Если Secure Boot уже активен, сначала сбросьте ключи через опцию "Reset to Setup Mode" или "Clear Secure Boot Keys".
Типы ключей Secure Boot
| Ключ | Назначение |
|---|---|
| PK (Platform Key) | Главный ключ платформы, определяет владельца системы |
| KEK (Key Exchange Key) | Ключ обмена, разрешает обновление баз подписей |
| db (Authorized Signatures) | База разрешённых подписей для загрузчиков и драйверов |
| dbx (Forbidden Signatures) | База отозванных/запрещённых подписей |
Пошаговая инструкция установки заводских ключей
Шаг 1: Вход в UEFI/BIOS
- Перезагрузите систему
- Нажмите
F2,DelилиF10во время POST (зависит от производителя)
Шаг 2: Отключение CSM (при необходимости)
Boot → CSM (Compatibility Support Module) → Disabled
Secure Boot работает только в режиме UEFI, Legacy/CSM должен быть отключён
Шаг 3: Переход в раздел Key Management
Путь может отличаться в зависимости от вендора:
| Производитель | Путь в меню |
|---|---|
| ASRock | Security → Secure Boot → Key Management |
| Lenovo | Security → Secure Boot → Key Management |
| HPE | Device Manager → Secure Boot Configuration |
| MSI | Settings → Advanced → Windows OS Configuration → Secure Boot |
Шаг 4: Установка заводских ключей
Выберите одну из опций (название зависит от платформы):
- Install Default Secure Boot Keys
- Enroll All Factory Default Keys
- Restore Factory Keys
- Factory Key Provision → Enable
- На ASRock: нажмите "Install default Secure Boot keys" → подтвердите "Yes"
- На Lenovo: установите "Factory Key Provision" в "Enable" (доступно только в Setup Mode)
- На HPE: выберите "Reset Secure Boot Keys" для загрузки переменных
PKDefault,KEKDefault,dbDefault,dbxDefault
Шаг 5: Активация Secure Boot
Secure Boot Mode → Standard (или Enabled)
Убедитесь, что режим переключён с "Custom" на "Standard" — это гарантирует использование стандартных ключей
Шаг 6: Сохранение и проверка
- Нажмите
F10→ "Save & Exit" - После перезагрузки вернитесь в раздел Secure Boot
- Статус должен отображаться как "Active"
Возможные проблемы и решения
| Проблема | Решение |
|---|---|
| Опции серые/неактивны | Убедитесь, что система в "Setup Mode". При необходимости выполните "Reset to Setup Mode" |
| BIOS зависает после установки ключей | Попробуйте обновить BIOS/UEFI до последней версии. На некоторых платах MSI известна проблема с зависанием |
| Появляется "Discard Changes and Exit" | На AM5-платформах выберите "No", чтобы сохранить изменения и продолжить настройку |
| Система не загружается после включения | Проверьте, что загрузчик подписан доверенным ключом. При необходимости временно переключитесь в "Custom Mode" и добавьте свой ключ |
| Ключи не загружаются из файла | Убедитесь, что формат ключа поддерживается: .auth, .esl, .der, .cer |
Форматы поддерживаемых ключей
При ручной загрузке ключей из файла система принимает:
- Public Key Certificate (X.509)
- EFI_SIGNATURE_LIST (.esl)
- EFI_CERT_X509 (DER-формат)
- EFI_CERT_RSA2048 (бинарный)
- EFI_CERT_SHA256 (хэш образа)
- Authenticated UEFI Variable (.auth)
Рекомендации по безопасности
- Не отключайте Secure Boot без необходимости — это снижает защиту от руткитов и буткитов
- Регулярно обновляйте dbx — база отозванных ключей пополняется новыми уязвимостями
- Используйте стандартные ключи, если не требуется кастомная подпись загрузчиков
- Сделайте резервную копию текущих ключей перед сбросом, если вы используете кастомные сертификаты
- Проверяйте статус после обновления BIOS — некоторые обновления сбрасывают настройки Secure Boot
Совет:
Если вы не уверены в необходимости кастомных ключей, всегда выбирайте опцию "Install Default Keys" — это восстановит стандартную цепочку доверия от производителя платформы и обеспечит совместимость с основными ОС (Windows, современные дистрибутивы Linux).
При возникновении сложностей обратитесь к документации вашего производителя материнской платы или сервера — пути меню и названия опций могут незначительно отличаться.
Мы делимся этой технической информацией, чтобы помочь вам в решении задач — используйте её с пониманием. Статья носит рекомендательный характер, поэтому, пожалуйста, применяйте описанные методы осмотрительно.