При попытке изменить отдельные параметры загрузки Windows 11/10 в командной строке пользователи могут получить сообщение «Произошла ошибка при задании данных элемента. Значение защищено политикой безопасной загрузки и не может быть изменено или удалено». Похожее сообщение можно получить и при изменении параметров загрузки в msconfig.
В этой инструкции подробно о том, почему такое может происходить и вариантах действий в рассматриваемой ситуации.
Secure Boot и защищенные значения загрузки
На большинстве современных компьютерах в UEFI (БИОС) по умолчанию включена функция Secure Boot (Безопасная загрузка), предназначение которой определить, что при включении компьютера выполняется загрузка только безопасного ПО с использованием загрузчиков, подписанных электронными подписями, входящими в список доверенных.
В свою очередь, утилита bcdedit.exe (и, по сути, графическая оболочка для него — msconfig), может использоваться в том числе для изменения тех параметров, которые несовместимы с Secure Boot и изменение таких параметров блокируется.
Результат — сообщение «Произошла ошибка при задании данных элемента. Значение защищено политикой безопасной загрузки и не может быть изменено или удалено» в командной строке или его аналог «Программе настройки системы не удается сохранить исходную конфигурацию загрузки для использования при последующих восстановления. Изменения загрузки будут отменены» с той же информацией о защищенном значении:
Примеры таких параметров и причин блокировки:
- bcdedit /set testsigning on — с учетом того, что команда позволяет установку неподписанных драйверов уровня ядра, а задача Secure Boot в том, чтобы запускать только подписанный код, изменение блокируется.
- bcdedit /set nointegritychecks on — аналогично предыдущему пункту.
- bcdedit /set nx AlwaysOff — отключение DEP в конфигурации загрузки также запрещается Secure Boot.
- bcdedit /debug on — включение режима отладки позволяет злоумышленнику иметь полный доступ к ядру и содержимому оперативной памяти, в том числе и выполнить неподписанный код. Блокируется безопасной загрузкой.
Подводя итог, суть ошибки в том, что при изменении таких параметров ядро Windows, «видя», что включена Безопасная загрузка, не даст вам их изменить.
Варианты действий
Способов решения проблемы не так много:
- Если требуется установить неподписанный драйвер, при этом он не является драйвером уровня ядра, использовать особые варианты загрузки и загрузку с отключенной проверкой цифровой подписи драйверов через среду восстановления Windows. Подробнее — в этой инструкции. Если требуется отключение DEP для конкретных приложений, вы можете выполнить это прямо в Windows.
- Для всего остального — отключать Secure Boot в UEFI, что потенциально небезопасно, более того, включенная безопасная загрузка сейчас часто является обязательным требованием, например, для некоторых игр.
И в завершение некоторые дополнительные нюансы по рассмотренной теме:
- Потенциально вы можете прописать нужные параметры в BCD, не отключая Secure Boot, загрузившись с WinPE или загрузочной флешки и используя сторонние программы или напрямую редактирую базу BCD, как на изображении ниже. Но это не сработает (параметры будут проигнорированы при загрузке), более того, после загрузки современных ОС несовместимые с Secure Boot параметры автоматически удаляются.
- Отключив Secure Boot и установив неподписанные драйверы, а затем вновь включив безопасную загрузку вы столкнётесь с тем, что либо соответствующий драйвер и устройство перестали работать, либо, если драйвер используется при загрузке ОС (шифрование, контроллеры) — синий/черный экран при загрузке с сообщением о невозможности проверки цифровой подписи или недоступности загрузочного устройства.
Надеюсь, материал помог разобраться с причинами ошибки и при необходимости — исправить её. Если требуется дополнительная информация, вы можете задать вопрос в комментариях ниже, я постараюсь помочь.
