Launch gsm в биосе для чего. Отключаем Secure Boot на ноутбуках и ПК (UEFI Secure Boot)

В данной статье мы поговорим о такой важной настройке в BIOS, как Launch csm. Также она может иметь названия CMS Boot, UEFI and Legacy OS, CMS OS и обычно находится в разделе BOOT. Вы узнаете на что она влияет и когда ее следует активировать.

Что делает Launch CSM?

Данная опция расшифровывается как Launch Compatibility Support Module что в переводе с английского звучит «Модуль поддержки запуска в режиме совместимости». Проще говоря Launch csm при переводе в режим «Enabled» активирует специальный режим расширенной совместимости. Этот режим позволяет загружаться и устанавливать различные версии более старых операционных систем, к которым уже можно отнести Windows 7.

Следует учесть, что в большинстве ноутбуков, которые идут с предустановленной версией Windows также нужно отключать режим защищенной загрузки Secure Boot.

Когда нужно включать Launch csm?

Когда вы собираетесь переустанавливать Windows данную опцию лучше активировать, ведь она в большинстве случаев по умолчанию отключена. Иначе не исключено, что вы попросту не загрузитесь со своего загрузочного носителя или он будет отсутствовать в списке загрузочных устройств.

launch csm в отключенном состоянии

UEFI (Unified Extensible Firmware Interface) - замена устаревшему BIOS. Эта спецификация была придумана Intel для Itanium, тогда она еще называлась EFI (Extensible Firmware Interface), а потом была портирована на x86, x64 и ARM. Она разительно отличается от BIOS как самой процедурой загрузки, так и способами взаимодействия с ОС. Если вы купили компьютер в 2010 году и позже, то, вероятнее всего, у вас UEFI.

Основные отличия UEFI от BIOS:

Поддержка GPT (GUID Partition Table)

GPT - новый способ разметки, замена MBR. В отличие от MBR, GPT поддерживает диски размером более 2ТБ и неограниченное количество разделов, в то время как MBR поддерживает без костылей только 4. UEFI по умолчанию поддерживает FAT32 с GPT-разделов. MBR сам UEFI не поддерживает, поддержка и загрузка с MBR осуществляется расширением CSM (Compatibility Support Module).

Поддержка сервисов

В UEFI есть два типа сервисов: boot services и runtime services. Первые работают только до загрузки ОС и обеспечивают взаимодействие с графическими и текстовыми терминалами, шинами, блочными устройствами и т.д., а runtime services может использовать ОС. Один из примеров runtime services - variable service, который хранит значения в NVRAM. ОС Linux использует variable service для хранения креш дампов, которые можно вытащить после перезагрузки компьютера.

Модульная архитектура

Вы можете использовать свои приложения в UEFI. Вы можете загружать свои драйверы в UEFI. Нет, правда! Есть такая штука, как UEFI Shell. Некоторые производители включают его в свой UEFI, но на моем лаптопе (Lenovo Thinkpad X220) его нет. Но можно его просто скачать из интернета и поставить на флешку или жесткий диск. Также существуют драйверы для ReiserFS, ext2/3/4 и, возможно, еще какие-то, я слишком не углублялся. Их можно загрузить из UEFI Shell и гулять по просторам своей файловой системы прямо из UEFI.
Еще UEFI поддерживает сеть, так что если найдете UEFI-драйвер к своей сетевой карте, или если он включен производителем материнской платы, то можете попинговать 8.8.8.8 из Shell.
Вообще, спецификация UEFI предусматривает взаимодействия драйверов UEFI из ОС, т.е. если у вас в ОС нет драйвера на сетевую карту, а в UEFI он загружен, то ОС сможет использовать сетевую карту через UEFI, однако таких реализаций я не встречал.

Встроенный менеджер загрузки

В общем случае, для UEFI не требуется ставить загрузчик, если вы хотите мультизагрузку. Можно добавлять свои пункты меню, и они появятся в загрузочном меню UEFI, прямо рядом с дисками и флешками. Это очень удобно и позволяет грузить Linux вообще без загрузчика, а сразу ядро. Таким образом, можно установить Windows и Linux без сторонних загрузчиков.

Как происходит загрузка в UEFI?

С GPT-раздела с идентификатором EF00 и файловой системой FAT32, по умолчанию грузится и запускается файл \efi\boot\boot[название архитектуры].efi, например \efi\boot\bootx64.efi
Т.е. чтобы, например, создать загрузочную флешку с Windows, достаточно просто разметить флешку в GPT, создать на ней FAT32-раздел и просто-напросто скопировать все файлы с ISO-образа. Boot-секторов больше нет, забудьте про них.
Загрузка в UEFI происходит гораздо быстрее, например, загрузка моего лаптопа с ArchLinux с нажатия кнопки питания до полностью работоспособного состояния составляет всего 30 секунд. Насколько я знаю, у Windows 8 тоже очень хорошие оптимизации скорости загрузки в UEFI-режиме.

Secure Boot

Я видел много вопросов в интернете, вроде:

«Я слышал, что Microsoft реализовывает Secure Boot в Windows 8. Эта технология не позволяет неавторизированному коду выполняться, например, бутлоадерам, чтобы защитить пользователя от malware. И есть кампания от Free Software Foundation против Secure Boot, и многие люди были против него. Если я куплю компьютер с Windows 8, смогу ли я установить Linux или другую ОС? Или эта технология позволяет запускать только Windows?»

Начнем с того, что эту технологию придумали не в Microsoft, а она входит в спецификацию UEFI 2.2. Включенный Secure Boot не означает, что вы не сможете запустить ОС, отличную от Windows. На самом деле, сертифицированные для запуска Windows 8 компьютеры и лаптопы обязаны иметь возможность отключения Secure Boot и возможность управления ключами, так что беспокоится тут не о чем. Неотключаемый Secure Boot есть только на планшетах на ARM с предустановленной Windows!

Что дает Secure Boot? Он защищает от выполнения неподписанного кода не только на этапе загрузки, но и на этапе выполнения ОС, например, как в Windows, так и в Linux проверяются подписи драйверов/модулей ядра, таким образом, вредоносный код в режиме ядра выполнить будет нельзя. Но это справедливо только, если нет физического доступа к компьютеру , т.к., в большинстве случаев, при физическом доступе ключи можно заменить на свои.

В Secure Boot есть 2 режима: Setup и User. Первый режим служит для настройки, из него вы можете заменить PK (Platform Key, по умолчанию стоит от OEM), KEK (Key Exchange Keys), db (база разрешенных ключей) и dbx (база отозванных ключей). KEK может и не быть, и все может быть подписано PK, но так никто не делает, вроде как. PK - это главный ключ, которым подписан KEK, в свою очередь ключами из KEK (их может быть несколько) подписываются db и dbx. Чтобы можно было запустить какой-то подписанный.efi-файл из-под User-режима, он должен быть подписан ключом, который в db, и не в dbx.

Для Linux есть 2 пре-загрузчика, которые поддерживают Secure Boot: Shim и PRELoader. Они похожи, но есть небольшие нюансы.
В Shim есть 3 типа ключей: Secure Boot keys (те, которые в UEFI), Shim keys (которые можно сгенерировать самому и указать при компиляции), и MOKи (Machine Owner Key, хранятся в NVRAM). Shim не использует механизм загрузки через UEFI, поэтому загрузчик, который не поддерживает Shim и ничего не знает про MOK, не сможет выполнить код (таким образом, загрузчик gummiboot не будет работать). PRELoader, напротив, встраивает свои механизмы аутентификации в UEFI, и никаких проблем нет.
Shim зависит от MOK, т.е. бинарники должны быть изменены (подписаны) перед тем, как их выполнять. PRELoader же «запоминает» правильные бинарники, вы ему сообщаете, доверяете вы им, или нет.
Оба пре-загрузчика есть в скомпилированном виде с валидной подписью от Microsoft, поэтому менять UEFI-ключи не обязательно.

Secure Boot призван защитить от буткитов, от атак типа Evil Maid, и, по моему мнению, делает это эффективно.
Спасибо за внимание!

«Компостер» коснулся тонких материй, соединяющих прошлое с настоящим. В компьютерном мире это называется совместимостью. Пытливый ум экспериментатора хочет знать: что будет, если ослушаться маму мануал и отказаться от совместимости? Другими словами: хорошо ли усвоен материал по выполнению на материнской плате операции Clear CMOS? Если с этим все в порядке, следуйте за нами, дорогие читатели. Мы начинаем эксперименты с утилитой Aptio Setup Utility, надежно встроенной в состав UEFI BIOS производства American Megatrends.

Не говори GOP, если не знаешь, чем это закончится

Легко и просто с ноутбуками: заходя в Setup, они бодро рапортуют о том, какая именно версия GOP поддерживается на данной платформе. Напомним тем, кто только недавно к нам подключился: Graphics Output Protocol – это новинка, пришедшая на смену VGA BIOS в угоду UEFI.

Рис 1 .CSM, как технология совместимости,
открывает дополнительные опции меню UEFI BIOS

Сложнее дело обстоит с настольными системами. В слот расширения можно установить практически любую подходящую видео карту. И если у нас видеокарта, не имеющая поддержки GOP, а мы выключаем CSM-режим и выходим из Setup с записью, то после перезагрузки нас ждет фатальная ошибка – звуковой сигнал об отсутствии видео (1 длинный и три коротких гудка). Затем пауза и следующая перезагрузка, при которой BIOS включил CSM самовольно и предупреждает нас об этом таким сообщением:

The VGA Card is not supported UEFI Driver.
CSM (Compatibility Support Module) settings have been changed for better compatibility.

Что же происходит в процессе выполнения POST-процедур? Очевидно, что если VGA BIOS не поддерживает UEFI, то firmware системной платы не может взаимодействовать с ресурсами видеокарты по GOP-протоколу . Проигнорировать «неудобный » Legacy VGA BIOS и работать с видео контроллером напрямую, firmware системной платы также не может, так как операции с графическим контроллером требуют весьма специфической поддержки и UEFI BIOS системной платы не готов заранее поддерживать все типы графических контроллеров.

CSM – это мост между прошлым и будущим

Единственное решение, приемлемое для совместимости старого и нового, – технология Compatibility Support Module. Только она способна создать «мостик» между UEFI GOP и Legacy VGA BIOS.

Рис 2 . Запрет CSM-технологии не допускает
редактирования других опций CSM-меню

Алгоритмы утилиты Aptio Setup в этом нас убеждают. Если CSM-режим разрешен, все прочие опции на этой странице доступны. При выключении режима совместимости другие опции становятся недоступными. И если выйти из Setup, сохранив изменения, платформа не сможет проинициализировать видео и сгенерирует ошибку, описанную выше.

Очевидно, вопрос касается не только графики. Если мы устанавливаем, например Storage-контроллер, firmware которого не поддерживает UEFI, то при запрете режима CSM, диски, подключены к нему, останутся недоступными.

Windows 8, то обязательно столкнетесь с несколькими проблемами, которые не позволят вам установить Windows 7 вместо Windows 8.

Проблема 1:

К сожалению, не всегда получается установить Windows 7 на накопители с GPT-оглавлением - некоторые ноутбуки просто не позволяют установить Windows 7 при включенном UEFI-boot. Не получится установить Windows 7 на GPT диски с неоригинального диска (к примеру, с диска, где собраны образы с разными редакциями Windows 7), а также с "не UEFI" загрузочной флешки (можно создать флешку с UEFI загрузчиком, но далеко не каждому пользователю это под силу). Поэтому, проще всего деактивировать вышеуказанный(-ые) пункт(-ы) UEFI-boot (и/или Secure-boot) в БИОС материнской платы ноутбука или компьютера и тогда Windows 7 установится без проблем. Активация "UEFI-boot" позволяет создавать служебный UEFI-раздел на целевом накопителе с GPT (GUID Partiton Table) оглавлением. Соответственно, деактивация позволяет устанавливать Windows 7 на диски с MBR разметкой.

Примеры

В некоторых случаях в настройки BIOS можно зайти из сервисного меню Windows 8. Попасть в него можно выполнив штатную перезагрузку с зажатой клавишей Shift.

Проблема 2:

Как уже говорилось выше, предустановленные Windows 8 чаще всего установлены на накопители с GPT-оглавлением. Если у вас возникла "Проблема 1" из данного FAQ, то чтобы установить Windows 7, диск должен быть преобразован к традиционной главной загрузочной области MBR (Master Boot Record). Осуществить преобразование GPT в MBR можно во время установки Windows 7, а именно:
В тот момент, когда мастер установки предлагает выбрать накопитель/раздел для установки операционной системы, нужно воспользоваться комбинацией клавиш Shift + F10, в результате чего откроется командная строка.

Командная строка открывается по нажатию Shift + F10 во время установки Windows

В командной строке:

Наберите "diskpart" и нажмите клавишу "ENTER".
В приглашении команды diskpart наберите без кавычек: "list disk" и нажмите клавишу "ENTER".
Запишите номер диска, который Вы хотите преобразовать в MBR диск.
В приглашении команды diskpart наберите без кавычек: "select disk " (где - номер диска) и нажмите клавишу "ENTER".
Наберите команду "clean" для быстрой очистки диска и удаления всех разделов
В приглашении команды diskpart наберите без кавычек: "convert mbr" и нажмите клавишу "ENTER".

Затем командную строку можно закрыть (командой "exit" или закрытием окна с командной строкой). В окне выбора накопителя для установки Windows 7 необходимо нажать клавишу "Обновить". После этого можно продолжать установку Windows.

Дополнительно о с предустановленной Windows 8:

В для установки Windows 7 вместо предустановленной Windows 8, сначала необходимо зайти в БИОС, в разделе "Security" отключить "Secure boot" , затем в разделе "Boot" включить "Launch CSM" - перевести из "Disabled" в "Enabled" (Launch CSM в данном случае расшифровывается как Launch Compatibility Support Module (активация режима совместимости)). После этого сохранить настройки и выйти из БИОС. Затем нужно снова зайти в БИОС и в разделе "Boot" изменить приоритет загрузки - выбрать в качестве "First boot device" (первого загрузочного устройства) оптический привод.

Всем приветук. Эй, вы что изучаете биос? Похвально, похвально! Вот только если не знаете, то ничего не трогайте там просто так! Ибо в биосе много СЕРЬЕЗНОЧАЙШИХ настроек. Там можно даже влиять на работу вашего железа, можно повышать напряжение, частоту.. Это называется разгон. Ну это я вам так написал, на заметочку так бы сказать.

А сегодня у нас пойдет речь о Launch CSM, я расскажу что это за пункт в биосе. Итак, я все узнал. Launch CSM расшифровывается как Launch Compatibility Support Module и отвечает за активацию режима совместимости. Иногда из-за того что этот режим не включен, то люди не могут поставить Windows 7, вот блин. Кстати как я понял, то этот режим по умолчанию отключен.

Итак, вот я нашел картинку, это пункт Launch CSM в обычном биосе (уже можно сказать что в устаревшем):

Еще пример:

Ну а вот пункт Launch CSM уже в новой версии биоса (идет почти на всех новых материнских платах):

Кстати вроде как после включения Launch CSM у вас появятся дополнительные пункты. Если вы в них не разбираетесь, то оставьте значения по умолчанию.

Так ребята, вот некая инфушка еще. Узнал, что для установки Windows 7 на ноут с UEFI нужно еще отключить Secure Boot. То есть включить режим Launch CSM и отключить Secure Boot. Еще узнал что вроде как Launch CSM может и по-другому называться, например CMS Boot, UEFI and Legacy OS, CMS OS, и это все может быть в разделе Advanced > BOOT MODE / OS Mode Selection.

Надеюсь вам эта инфа помогла чучуть хоть. Удачи вам и позитивчика!