セキュアブートキーを保存する方法は?


1

Windows 7を実行しています。マザーボードはAsus p8z77-vです。

Ubuntuをデュアルブートしたくないのですが、ライブUSBがロードされません。

いくつかの調査を行ったところ、セキュアブートを無効にする必要があることがわかりました。

そのためには、プラットフォームキーを保存する必要があります。

しかし、USBをシステムに接続し、キーを保存するオプションを選択すると、「有効なファイルシステムがありません」というメッセージが表示されます。USBをexFatにフォーマットし、すべてのUSBポートを試しましたが、何も機能しないようです。

編集:私の主な目標は、windows 7でubuntuをデュアルブートすることです。これらの設定をいじらずにそれを行う方法があれば、喜んでそれを行います。

私が直面している問題は、UEFI: USBUEFIメニューを表示して起動したときです。しかし、私が選ぶとき

  1. インストール、または
  2. オプションをインストールせずに試してください。

フラッシュがあり、画面が空白になります。しばらくすると、モニターが低電力状態になるため、何も起こりません。


1
通常、セキュアブートを無効にするために何かを保存する必要はないと思いましたが、実際に行う場合、UEFIはFAT32で標準化されています。
ボブ

BIOSメニューにセキュアブートスイッチがありません。そのため、セキュアブートメニューに移動し、キーをクリアしてセキュアブートを無効にする必要があります。今、私はこのすべてが何であるかという手掛かりを持っていないので、何かがうまくいかない場合にキーを保存したいと思います。
kchak

Windows 7はセキュアブートをサポートしていません.... ** ALL **セキュアブートをサポートするOEMデバイスは、Windows RTデバイス(Windows 7をサポートしない)を除き、サポートする必要があります。そのため、有効にするオプションがない場合、デバイスはセキュアブートをサポートしていません。あなたのようなすべてのAsusマザーボードは、セキュアブートをサポートしている場合、セクシーブートを無効にすることをサポートします
-Ramhound

回答:


2

PeterSiulの答えはほとんど正しいですが、いくつかの修正については私のコメントを参照してください。そのうちの1つはここで詳しく説明するのに十分重要です。その短いコメントに詰め込むことができるものを超えたいくつかのポイントを強調し、詳しく説明したいと思います。

  • すべてのEFIがセキュアブート機能を提供するわけではありません - セキュアブートを無効にするオプションが表示されない場合は、ファームウェアにこの機能が欠けている可能性があります。Windows 8のリリースの少し前にコンピューターに表示され始めました。今日、ほとんどのコンピューターはセキュアブートをサポートしていますが、Macや一部のサーバーにはまだこの機能がありません。私は、セキュアブートをサポートしていないEFIまたはUEFIベースのコンピューターをいくつか所有しています。
  • Windows 7は公式にセキュアブートをサポートしていません -マイクロソフトはWindows 7ではなく、Windows 8でセキュアブートをプッシュし始めました。驚いたことに、セキュアブートがアクティブな状態で機能していました。ただし、更新後、機能しなくなりました。おそらく、MicrosoftはWindows 7ブートローダーの一部に署名しましたが、他の署名はしていません。または、私のマザーボードには、元のブートローダーのハッシュが有効であるため、セキュアブートテストに合格する可能性があります。ただし、一番下の行は、Windows 7を起動する場合はセキュアブートを無効にする必要があるかもしれないということです。
  • セキュアブートを無効にする場合、キーを削除する必要はありません -セキュアブートをサポートしているすべてのコンピューターで、トグルでセキュアブートを無効にし、同じメニューから再度有効にすることができます。これを行うためにキーを削除する必要はありません。また、セキュアブートを再度有効にした場合、キーを追加し直す必要はありません。私のこのページをご覧くださいスクリーンショットなど、セキュアブートを無効にするいくつかの例。とは言っても、セキュアブートを無効にするユーザーインターフェイスをどのようにレイアウトする必要があるかは仕様に記載されていないため、キーの削除を必要とする特に原始的な方法で何かを持っていると考えられます。しかし、それはありそうもないと思います。単に正しいオプションが見つからないか、マザーボードがセキュアブートをサポートしていない可能性が高くなります。
  • セキュアブートを無効にする必要が本当にありましたか?-セキュアブートを無効にしてUbuntu USBドライブを起動する必要があると言います。しかし、私の経験では、この機能に関係のない問題について、人々はしばしばセキュアブートを非難します。最も一般的には、.isoファイルからUSBフラッシュドライブを作成するときに、間違ったツールまたは設定を使用します。このテーマの詳細については、このページを参照してください。ただし、詳しく説明する前に、起動しようとすると、「フラッシュがあり、画面が空白になる」と言うことに注意してください。セキュアブートの失敗は、通常(常にではありませんが)、ブートメディアが信頼されていないというメッセージを生成します。説明する症状は、サポートされていないビデオカードのように聞こえます。AskUbuntuサイトにはこの問題に関するこの質問とその多数の回答。残念ながら、多くの異なる解決策には多くの原因があるため、これが問題の原因である場合、簡単な答えを出すことはできません。
  • Shimの全体的なポイントは、GRUBを介してセキュアブートをサポートすることです-PeterSuiは次のように書いています。デュアルブート、セキュアブートは基本的に無効になります。」これは明らかに間違っています。実際、この記述は、正確であれば、Shimを完全に役に立たなくするでしょう。Shimは、次のプログラムを起動しますgrubx64.efi。(状況によっては起動できる他のプログラムもありますが、後続のプログラムは通常GRUBです。)Shimは、バイナリに埋め込まれたキーをセキュアブートチェックに追加し、ディストリビューションに付属するGRUBは署名されますその鍵の秘密バージョン。したがって、Shimは次の場合に GRUBを起動します。GRUBはShimの埋め込みキーまたはファームウェアの別のキーによって署名されていますが、セキュアブートチェックに合格しない場合、GRUBの起動を拒否します。GRUBのビルドはさまざまですが、ほとんどの場合、GRUBは起動するカーネルを認証するためにShimにコールバックします。GRUBがWindowsブートローダーを起動するときにも認証される必要がありますが、一部の(すべてではない)コンピューターでこのプロセスが失敗する既知のバグがあります。
  • 本当に必要な場合は、キーを保存できます -デフォルトのキーを本当に保存したい場合は、保存できます。これを行う方法の詳細については、このページを参照してください。このページは実際には、組み込みキーを独自のキーに置き換えることを目的として書かれていますが、そのプロセスの一部は既存のキーを保存することです。ほとんどのEFIは、独自のユーザーインターフェイスでこれを行う方法を提供しますが、KeyToolsユーティリティを使用することもできます。(KeyTool使用したキーの交換までスクロールダウンし、手順3に注意してください。)

0

exFATは、最も広く採用されているファイルシステムではありません。UEFIで動作するとは思わないでしょう。ボブが書いたように:FAT32を試してください。

この場合も、これらのキーを保存したり、セキュアブートを無効にしたりする必要はありません(どちらもあなたを傷つけません)。

一般に、UEFIを使用したデュアルブートシステムでのブートプロセスは次のようになります。UEFIはブートローダーをロードします。Linuxは通常GRUBです。GRUBはその構成を確認し、LinuxのエントリーとWindowsのエントリーを見つけます。linuxエントリは、カーネルとおそらくinitramfsをロードします。Windowsエントリは、Windowsブートローダーを起動するだけです。

セキュアブートでは、ブートローダー(上記の例:GRUB)が検証可能なキーで署名されているかどうかをUEFIがチェックします。これは、Windowsブートローダーの場合ですが、grubの場合ではありません。そのため、Windows以外のシステムを起動するために、MicrosoftはShimというミニブートローダーを公開しました。ShimはMicrosoftによって署名されているため、セキュアブートがアクティブなUEFIでブートできます。しかし、Shimは、GRUBの整合性も、grubによってロードされた場合は、LinuxまたはWindowsブートローダーの整合性もチェックできません。したがって、デュアルブートを使用するとすぐに、セキュアブートは基本的に無効になります。

一方、UbuntuはUSBからでもインストール後でも正常に起動するはずです(私が読むべきドキュメントはすべて「will」と書かれていますが、Linuxを実行するには過去にセキュアブートを無効にする必要があったためです) )。セキュアブートがそれを妨げる場合、GRUBのロードを妨げるでしょう。その場合は、「インストール」/「インストールせずに試してみる」という選択肢さえありません。


ありがとう。USBをFAT32にフォーマットしてみます。だからあなたが言っているのは、デュアルブートによってセキュアブートが無効になるからです。プラットフォームキーを削除するだけです。シナリオはありません。将来これらのキーを使用する必要がありますか?今、私はWindowsで多くの仕事をしています。今のところ、VMよりも高速なLinuxオプションが必要です。
kchak

はい、デュアルブートでは、セキュアブートは無効になります。ただし、セキュアブートが再び面白くなるシナリオが1つあります。Linuxを削除し、Windowsのセキュアブートを再度行う場合です。その場合、デフォルトのキーが必要になります。ただし、UEFIには、「セキュアブートを工場出荷時のデフォルトにリセットする」または「デフォルトのセキュアブートキーを復元する」などのオプションが必要です。
PaterSiul

この答えはほとんど正しいです。ただし、(1)ShimはMicrosoftによって作成されたものではありません。IIRCは、もともとMatthew GarretがRed Hatで働いていたときに書かれたもので、Red Hatは引き続き主要な開発者です。ただし、主要なLinuxディストリビューションによって配布されるShimバイナリは、Microsoftまたは少なくともそのエージェントによって署名されます。(2)セキュアブートは、デュアルブート環境では決して無効ではありません-もちろん意図的に無効にされている場合を除きます。これはめったに必要ではありませんが、まれなケースではありますが、まれなケースではセキュアブートが十分な問題を引き起こすため、無効にすると便利です。
ロッド・スミス
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.