Коротка інформація про uefi, secure boot, gpt і mbr

Почну з невеликого екскурсу в історію, потім опишу що і як працює, а ближче до кінця опишу яке відношення до цього всього має Windows 8.

Останні кілька десятиліть включення будь-якого пристрою з х86-сумісних процесором відбувалося за однією і тією ж схемою: після включення пристрою в першу чергу запускається BIOS. Ця програма проводить тестування обладнання (процедура POST), виробляє його настройку і завантажує операційну систему. Остання відома відбувається таким чином: вбудоване BIOS опитує під'єднаних пристроїв у певному порядку, намагаючись знайти на них завантажувальний сектор MBR. Він знаходиться в нульовому секторі, який часто має розмір 512 байт. Коли такий сектор знайдений, BIOS запускає на виконання завантажувальний код в MBR, який вже завантажує саму операційну систему на певному розділі. Інформація про розділи також зберігається в MBR в вигляді 4 результатів. Схема порівняно проста, зрозуміла і до недавнього часу всіх влаштовує.

Проблеми почалися порівняно недавно. Самою основною з них є обмеження на розмір розділу в 2 терабайта (2 в 32 ступені * розмір сектора - 512 байт зазвичай). Грубо кажучи, більше двох терабайт в рамках звичайної MBR використовувати б не вийде.

Другою проблемою було обмеження MBR на кількість первинних розділів. Дане обмеження можна обійти, створюючи логічні розділи, але не завжди таке рішення доречно.

Ще однією проблемою MBR є низька безпека і надійність. Багато віруси модифікують код завантажувального запису, отримуючи при цьому можливість вбудовуватися в систему на дуже глибокому рівні. До слова, модифікація завантажувача MBR часто використовується і для обходу активації Windows.

Для вирішення всіх цих проблем була розроблена таблиця розділів GUID (вона ж GUID Partition Table або GPT). Розглянемо GPT більш докладно.

Ще одним нововведенням GPT є відмова від коду попереднього завантаження системи, який був на початку MBR. Завантажувати систему тепер повинна мікропрограма (UEFI) на самому пристрої. Це з одного боку сильно підвищило захищеність системи (і ускладнило запуск сторонніх ОС, обхід активації Windows і т.д.), а з іншого зробило таблицю GPT несумісною з більшою частиною існуючих BIOS. Іншими словами, система зі звичайною BIOS не зможе завантажитися з диска з таблицею GPT.

Але є і недоліки. Такі широкі можливості посилили проблему з налаштуванням, яка полягає в тому, що на різних пристроях менеджер завантаження, наприклад, може бути реалізований абсолютно по-різному.

На одних пристроях він організований у вигляді двох списків завантаження: один з пристроїв з MBR. а другий із записів GPT (прошу зауважити, що саме із записів. Для одного і того ж пристрою їх може бути кілька, якщо там встановлено декілька ОС). Ось як це приблизно виглядає:

Можна включити завантаження як тільки з GPT (UEFI) або з MBR (Legacy), так і комбіновану:

На інших пристроях менеджер завантаження реалізований у вигляді одного списку:

Це вносить певну плутанину. Незважаючи на це, ключові налаштування зроблені більш-менш стандартно.

Прошу звернути особливу увагу на одну надзвичайно важливу настройку Boot Mode (на деяких пристроях вона називається Boot List Option або якось так). Розміщується вона зазвичай на вкладці Boot. У даній настройки є дві опції: UEFI і Legacy. Якщо обрана UEFI. то пристрій буде завантажуватися з GPT пристроїв, а якщо вибрано Legacy - то з MBR. Переключивши її в значення Legacy. можна встановити безліч ОС, які не в повній мірі підтримують UEFI і GPT. Саме це нами і потрібно.

Також зверніть увагу на опцію Secure Boot. Вона може називатися трохи по-іншому, а також може розміщуватися на вкладках Boot і Security:

Про неї ми зараз і поговоримо. Як уже згадувалося вище, з введенням UEFI з'явилася можливість контролювати завантаження системи на рівні прошивки UEFI. І ось у деяких компаній виникла ідея підписувати завантажувач системи. Грубо кажучи, при завантаженні системи з GPT UEFI перевіряє підписаний (сертифікований) чи завантажувач ОС і чи можна його запускати. Якщо завантажувальний код не підписаний, то UEFI її буде завантажувати. Іншими словами, запустити будь-яку ОС на системі з включеною опцією Secure Boot не вийде.

Якщо на ноутбуці або ПК спочатку стояла Windows 8, то з включеною в UEFI опцією Secure Boot не вийде встановити систему, відмінну від Windows 8. Формально, можна встановити і інші системи, але для цього в UEFI повинні бути сертифікати. На практиці виходить, що сертифікати є лише для Windows 8. Таким нехитрим чином Microsoft виживає конкурентів. Щоб мати можливість встановити іншу ОС, потрібно в BIOS відключити Secure Boot. На планшетах під управлінням Windows 8 RT такої можливості, на жаль, немає.

І ось ми плавно перейшли до Windows 8. На ноутбуках, комп'ютерах і інших пристроях з встановленою Windows 8 найчастіше включений Secure Boot. в UEFI включений режим завантаження з GPT (Boot mode - UEFI), ну і вінчестер містить таблицю розділів GPT замість MBR. "Повний комплект", як бачимо.

Перевірити яка таблиця розділів на жорсткому диску досить просто. Для цього запускаєте Командний рядок:

Вводите команду diskpart. а потім list disk. Якщо на жорсткому диску встановлена ​​MBR, то зірочки праворуч не буде:

Якщо на жорсткому GPT, то в крайній правій колонці буде зірочка для вашого жорсткого диска:

Для установки 64-бітових Windows 7 або Windows Vista SP1 або SP2 доведеться відключати як мінімум опцію Secure Boot в BIOS і встановлювати систему на GPT розділ.

Варіантом краще є конвертація жорсткого диска в MBR і включення в BIOS режиму Boot mode - Legacy. В цьому випадку можна без проблем встановити будь-яку ОС на ноутбук або комп'ютер. З мінусів даного способу потрібно відзначити втрату всієї інформації на вінчестері після конвертації з MBR в GPT. Саме цей спосіб ми розглянемо нижче, але спочатку потрібно зробити резервну копію прихованих розділів та іншої інформації.