問題なくセキュアブートを有効にする方法
私は ここ セキュアブートを有効にすることが不可欠であることを読みました:
ただし、セキュアブートを有効にすると、システムがUEFIブートで起動できるように変更されますが、レガシではなく、CMSも無効になります。ただし、システムを起動しようとすると、起動できる3つの異なる起動項目が表示されます。
- ATAPI CD1: PLDS DVD-RW DS8A8SH
- ATA HDD0: Toshiba MK5065GSX
> PCI LAN
- LAN(3C970E7102F6) -IPv4
- LAN(3C970E7102F6) -IPv6
しかし、どちらを選択しても、その画面に戻って起動することはできません。唯一の方法は、他のタブに移動して選択することです Setup、BIOSに戻ってセキュアブートを無効にし、セットアップオプションでレガシーとUEFIの両方がサポートされていると言います(セキュアブートを無効にしても機能しないため)。
そのため、現在の唯一のOSであるUbuntu GNOME 15.04(64ビット)はUEFIブートをサポートせず、レガシーのみを想定しています。セキュアブートを有効にできるように、これに関してできることはありますか?とにかくレガシーをサポートしているのはなぜですか?また、簡単なメモとして、Windows 7を使用しているとき(はるか昔、遠くの銀河で...)でも機能しませんでした。
ブートローダーは、コンピューターのファームウェア用に書かれています。これは、特定のOS用に作成されたソフトウェアに似ています。したがって、「ブートローダーをUEFIに変換する」ことはありません。 「メールクライアントをWindowsに変換」または「フォトエディターをLinuxに変換」のようなものです。代わりに、目的の環境用にnewプログラムをインストールします。場合によっては、新しいプログラムの名前は古いものと同じになる場合があります(WindowsとLinuxの両方で使用可能なThunderbirdまたはGIMP、またはBIOSとEFIの両方で使用可能なGRUB 2) )。他の場合には、efibootmgr(Linux固有のツール)やrEFInd(EFI固有のブートマネージャー)など、OSまたはファームウェア固有のプログラムがあります。
コンピューターが現在BIOS/CSM /レガシーモードで起動している場合、EFIモードで起動するには、いくつかのことを行う必要があります。
- ディスクを Master Boot Record(MBR) から GUID Partition Table(GPT) に変換します。このステップは厳密に必要ではないかもしれませんが、一部のEFIは面倒な場合があり、MBRを使用するには、ブートローダーをフォールバックファイル名(
EFI/BOOT/bootx64.efi)にインストールする必要があります。したがって、MBRからGPTへの変換が望ましい。これは、 こちらで説明されているように、gdiskプログラム(デフォルトでUbuntuにインストールされています)を使用すると、非常に簡単に実行できます。 - EFIシステムパーティション(ESP)を作成します。 これはEFIブートローダーが存在するパーティションです。 BIOSにはまったく同じものはありません。 GPartedを使用して少なくとも1つのパーティションのサイズを変更し、ESP用のスペースを確保する必要があります。 550MiBのサイズにすることをお勧めします。 ESPは通常、ディスク上の最初または2番目のパーティションですが、パーティションのサイズ変更の現実により、lastBIOS/MBRからEFI/GPTに変換する場合、ディスク上のパーティション。
- EFIブートローダーをインストールします。 GRUB 2は従来のブートローダーであり、UbuntuライブCDをEFIモードで起動して実行することにより、ほぼ自動的にインストールできます。 ブート修復。 ブート修復は、セキュアブートで動作するように設定する必要もあります。他のほとんどのブートローダーは、セキュアブートで動作するためにいくつかの余分なフープをジャンプする必要がありますが、これはそれほど悪くない場合もあります-Shim(セキュアブートをサポートするための最も一般的なLinuxツール)を検出した場合、私自身 rEFInd は、セキュアブートを使用するように自身をセットアップします。
- 再起動して、すべてが機能することを期待します。これには、いくつもの問題があります。問題がある場合は、ここや他の場所で解決策を検索することをお勧めします。見つからない場合は、ここまたは他のフォーラムに新しい質問を投稿してください。
Linuxインストールでは、onlyBIOSモードとEFIモードのインストールの真に重要なソフトウェアの違いがブートローダーであることに注意してください。したがって、BIOSモードからEFIモードブートに切り替えるには、追加のソフトウェア変更は必要ありません。 (実際には、EFIモードGRUBをインストールすると、efibootmgrなどの他の関連パッケージが取り込まれる可能性があります。これらは確かに役立ちますが、起動には重要ではありません。)カーネル、Cライブラリ、シェル、GUI、またはBIOSと比較したEFIで必要なその他のコアツール。上で書いたように、パーティション化は調整する必要がありますが、ソフトウェアを変更する必要はありません。セキュアブートには、Shim、PreLoader、または特別なカスタムセットアップが必要です。ブートローダーによっては、署名されたカーネルが必要になる場合があります。
これから収集できるように、Ubuntuはセキュアブートで正常に動作するはずです。 (ただし、巧妙なEFIにより例外が発生する場合があります。また、セキュアブートを使用すると、何かを誤って構成して破損する可能性が高くなります。)セキュアブートをアクティブにして新規インストールを行う場合、すべてがかなり透過的でなければなりません既存のBIOSモードインストールから変換を行う場合、変換ツールは実際には存在しないため(ジョブの一部のみを行うブート修復をカウントしない限り)、問題が発生する可能性が高くなります。したがって、手作業を増やすことになります。つまり、ステップを見逃したり、ミスをしたりする余地がもっとあるということです。
Linuxおよびセキュアブートの詳細については、このテーマのメインWebページ を参照してください 。基本原則と一般的な構成について説明しています。カスタムセキュアブート構成でreallyハードコアに行きたい場合は、セキュアブートを完全に制御するためのページ をお読みください。 これは、セキュアブートをアクティブにしてShimまたはPreLoaderを使用せずにブートするようにシステムを構成する方法、および必要に応じてMicrosoftツールをロックアウトする方法について説明します。
セキュアブートは、認定されたソフトウェアのみを実行するようにコンピューターをロックダウンする便利な機能です。これにより、悪意のあるコードまたは認証されていないコードでハードウェアが起動するのを防ぐことができます。
セキュアブートは、メーカーが信頼するファームウェアのみを使用してPCが起動することを確認するのに役立ちます。
つまり、Ubuntuファームウェアは、セキュアブート対応のUEFIシステムで起動できるように認定される必要があります。これが望ましくない場合は、この「機能」を無効にする必要があります。
一部のPCグラフィックカード、ハードウェア、またはLinuxや以前のバージョンのWindowsなどのオペレーティングシステムを実行するには、セキュアブートを無効にする必要がある場合があります。
そのため、Microsoftは、Linuxまたはその他の認定されていないハードウェアまたはソフトウェアのセキュアブートを無効にすることをお勧めします。メーカーはセキュアブートを無効にすることを実装できますが、これはWindowsシステムに必須ではありません。
ほとんどのPCでは、PCのファームウェア(BIOS)メニューからセキュアブートを無効にできます。 ロゴ認定Windows RT 8.1およびWindows RT PCの場合、無効にできないようにセキュアブートを構成する必要があります。
これらのシステムでは、セキュアブートを無効にできない場合があります。
現在、 独自の証明書を作成する で起動できますが、これは Windows 10 Device Guard Certification プロセスの制限が厳しくなると、将来変更される可能性があります。
そのため、マシンでセキュアブートを無効にする実装は不完全であるか、Microsoft以外の証明書を受け入れないように制限されている可能性があります。