Как загрузить и установить Linux на ПК с UEFI с помощью безопасной загрузки

Новые ПК с Windows поставляются с прошивкой UEFI и включенной безопасной загрузкой. Безопасная загрузка предотвращает загрузку операционных систем, если они не подписаны ключом, загруженным в UEFI — по умолчанию может загружаться только программное обеспечение, подписанное Microsoft.

Microsoft требует, чтобы поставщики ПК разрешали пользователям отключать безопасную загрузку, поэтому вы можете отключить безопасную загрузку или добавить свой собственный ключ, чтобы обойти это ограничение.

Как работает безопасная загрузка

ПК с Windows 10 или Windows 11 включают встроенное ПО UEFI вместо традиционного BIOS. По умолчанию прошивка UEFI машины загружает только загрузчики, подписанные ключом, встроенным в прошивку UEFI. Эта функция известна как «Безопасная загрузка» или «Надежная загрузка». На традиционных ПК без этой функции безопасности руткит может установить себя и стать загрузчиком. Затем BIOS компьютера загружал руткит во время загрузки, который загружал и загружал Windows, скрывая себя от операционной системы и внедряясь на глубоком уровне.

Безопасная загрузка блокирует это — компьютер будет загружать только доверенное программное обеспечение, поэтому вредоносные загрузчики не смогут заразить систему.

На ПК с процессором Intel x86 (не на ПК с ARM) вы можете контролировать безопасную загрузку. Вы можете отключить его или даже добавить свой собственный ключ подписи. Например, организации могут использовать свои собственные ключи, чтобы обеспечить загрузку только утвержденных операционных систем Linux.

Варианты установки Linux

У вас есть несколько вариантов установки Linux на ПК с помощью Secure Boot:

• Выберите дистрибутив Linux, поддерживающий безопасную загрузку. Современные версии Ubuntu, начиная с Ubuntu 12.04.2 LTS и 12.10, нормально загружаются и устанавливаются на большинстве ПК с включенной функцией безопасной загрузки. Это связано с тем, что загрузчик EFI первого этапа Ubuntu подписан Microsoft. Однако разработчик Ubuntu отмечает, что загрузчик Ubuntu подписан не ключом, который требуется для процесса сертификации Microsoft, а просто ключом, который Microsoft называет «рекомендуемым». Это означает, что Ubuntu может загружаться не на всех ПК с UEFI. Пользователям может потребоваться отключить безопасную загрузку, чтобы использовать Ubuntu на некоторых ПК.
• Отключить безопасную загрузку: безопасную загрузку можно отключить, что заменит преимущества безопасности на возможность загрузки с вашего ПК чего угодно, как это делают старые ПК с традиционным BIOS. Это также необходимо, если вы хотите установить более старую версию Windows, которая не была разработана с учетом безопасной загрузки, например Windows 7.
• Добавить ключ подписи в прошивку UEFI. Некоторые дистрибутивы Linux могут подписывать свои загрузчики собственным ключом, который вы можете добавить в прошивку UEFI. В настоящее время это не кажется распространенным явлением.

Вы должны проверить, какой процесс рекомендует выбранный вами дистрибутив Linux. Если вам нужно загрузить более старый дистрибутив Linux, который не предоставляет никакой информации об этом, вам просто нужно отключить безопасную загрузку.

Вы сможете без проблем установить текущие версии Ubuntu — либо выпуск LTS, либо последний выпуск — на большинстве новых ПК. Инструкции по загрузке со съемного устройства см. в последнем разделе.

Как отключить безопасную загрузку

Вы можете управлять безопасной загрузкой с экрана настроек встроенного ПО UEFI. Чтобы получить доступ к этому экрану, вам необходимо получить доступ к меню параметров загрузки в Windows 10 или Windows 11. Для этого нажмите кнопку питания в меню «Пуск» и, удерживая нажатой клавишу Shift, нажмите «Перезагрузить». В Windows 11 это будет выглядеть немного иначе, но это та же операция.

Ваш компьютер перезагрузится и откроется экран дополнительных параметров загрузки. Нажмите «Устранение неполадок» здесь.

Затем вам нужно нажать «Дополнительные параметры» на следующем экране.

И вот, наконец, вы находитесь на экране дополнительных параметров, который, кажется, мог появиться на последнем экране, но неважно. Теперь вы можете нажать кнопку UEFI Firmware Settings здесь. (Вы можете не видеть параметр «Настройки UEFI» на некоторых ПК с Windows, даже если они поставляются с UEFI — в этом случае обратитесь к документации производителя для получения информации о том, как перейти к экрану настроек UEFI.)

Вы попадете на экран настроек UEFI, где вы можете отключить безопасную загрузку или добавить свой собственный ключ. Это будет выглядеть по-разному на каждом компьютере и, вероятно, не будет таким размытым на вашем компьютере в реальной жизни.

Загрузитесь со съемного носителя

Вы можете загрузиться со съемного носителя, открыв меню параметров загрузки таким же образом — удерживайте Shift, пока вы нажимаете опцию «Перезагрузить». Вставьте выбранное загрузочное устройство, выберите «Использовать устройство» и выберите устройство, с которого вы хотите загрузиться.

После загрузки со съемного устройства вы можете установить Linux, как обычно, или просто использовать живую среду со съемного устройства, не устанавливая ее.

Имейте в виду, что безопасная загрузка — полезная функция безопасности. Вы должны оставить его включенным, если вам не нужно запускать операционные системы, которые не будут загружаться с включенной безопасной загрузкой.