Значение защищено политикой безопасной загрузки в Windows 11 или 10 — варианты решения

При попытке изменить отдельные параметры загрузки Windows 11/10 в командной строке пользователи могут получить сообщение «Произошла ошибка при задании данных элемента. Значение защищено политикой безопасной загрузки и не может быть изменено или удалено». Похожее сообщение можно получить и при изменении параметров загрузки в msconfig.

В этой инструкции подробно о том, почему такое может происходить и вариантах действий в рассматриваемой ситуации.

Secure Boot и защищенные значения загрузки

На большинстве современных компьютерах в UEFI (БИОС) по умолчанию включена функция Secure Boot (Безопасная загрузка), предназначение которой определить, что при включении компьютера выполняется загрузка только безопасного ПО с использованием загрузчиков, подписанных электронными подписями, входящими в список доверенных.

В свою очередь, утилита bcdedit.exe (и, по сути, графическая оболочка для него — msconfig), может использоваться в том числе для изменения тех параметров, которые несовместимы с Secure Boot и изменение таких параметров блокируется.

Результат — сообщение «Произошла ошибка при задании данных элемента. Значение защищено политикой безопасной загрузки и не может быть изменено или удалено» в командной строке или его аналог «Программе настройки системы не удается сохранить исходную конфигурацию загрузки для использования при последующих восстановления. Изменения загрузки будут отменены» с той же информацией о защищенном значении:

Примеры таких параметров и причин блокировки:

• bcdedit /set testsigning on — с учетом того, что команда позволяет установку неподписанных драйверов уровня ядра, а задача Secure Boot в том, чтобы запускать только подписанный код, изменение блокируется.
• bcdedit /set nointegritychecks on — аналогично предыдущему пункту.
• bcdedit /set nx AlwaysOff — отключение DEP в конфигурации загрузки также запрещается Secure Boot.
• bcdedit /debug on — включение режима отладки позволяет злоумышленнику иметь полный доступ к ядру и содержимому оперативной памяти, в том числе и выполнить неподписанный код. Блокируется безопасной загрузкой.

Подводя итог, суть ошибки в том, что при изменении таких параметров ядро Windows, «видя», что включена Безопасная загрузка, не даст вам их изменить.

Варианты действий

Способов решения проблемы не так много:

• Если требуется установить неподписанный драйвер, при этом он не является драйвером уровня ядра, использовать особые варианты загрузки и загрузку с отключенной проверкой цифровой подписи драйверов через среду восстановления Windows. Подробнее — в этой инструкции. Если требуется отключение DEP для конкретных приложений, вы можете выполнить это прямо в Windows.
• Для всего остального — отключать Secure Boot в UEFI, что потенциально небезопасно, более того, включенная безопасная загрузка сейчас часто является обязательным требованием, например, для некоторых игр.

И в завершение некоторые дополнительные нюансы по рассмотренной теме:

• Потенциально вы можете прописать нужные параметры в BCD, не отключая Secure Boot, загрузившись с WinPE или загрузочной флешки и используя сторонние программы или напрямую редактирую базу BCD, как на изображении ниже. Но это не сработает (параметры будут проигнорированы при загрузке), более того, после загрузки современных ОС несовместимые с Secure Boot параметры автоматически удаляются.
• Отключив Secure Boot и установив неподписанные драйверы, а затем вновь включив безопасную загрузку вы столкнётесь с тем, что либо соответствующий драйвер и устройство перестали работать, либо, если драйвер используется при загрузке ОС (шифрование, контроллеры) — синий/черный экран при загрузке с сообщением о невозможности проверки цифровой подписи или недоступности загрузочного устройства.

Надеюсь, материал помог разобраться с причинами ошибки и при необходимости — исправить её. Если требуется дополнительная информация, вы можете задать вопрос в комментариях ниже, я постараюсь помочь.