Пит Батард (Pete Batard) выпустил на GitHub предварительную сборку Rufus 4.14 Beta. Главное в обновлении – расширенный набор опций в настройках установки «Опыт использования Windows» (Windows User Experience) для Windows 11: полностью автоматическая (тихая) установка без единого запроса, новая опция «Улучшить жизнь» для отключения навязываемых компонентов вроде Copilot, OneDrive и Outlook, а также копирование политики отзыва SkuSiPolicy.p7b на раздел ESP для совместимости с рекомендациями Microsoft (KB5042562).
Основная часть изменений касается страницы настроек «Опыт использования Windows» (Windows User Experience), которая открывается при подготовке установочного носителя на основе образа Windows. В бета-версии появились две крупные опции.
- «Улучшить жизнь (не принуждать к Copilot, OneDrive, Outlook, быстрому запуску и т.д.)» – в оригинале Quality of Life. Опция отключает Copilot, OneDrive, Outlook, функцию быстрого запуска и другие принудительно навязываемые компоненты. Она дополняет уже существующие настройки: «Удалить требования 4+ ГБ ОЗУ, безопасной загрузки и TPM 2.0», «Удалить требование сетевой учётной записи Microsoft», «Создать локальную учётную запись», «Отключить сбор данных», «Отключить автоматическое шифрование устройств BitLocker».
- «(!)ТИХО(!) стереть диск и установить» – в оригинале Silent installation. Полностью автоматическая установка без единого запроса. Установщик определяет первый диск на целевой машине и разворачивает выбранную редакцию Windows (на скриншоте – Windows 11 Pro) на нём без подтверждений. Разработчик не случайно выделил опцию предупреждающими значками – она деструктивна и предназначена для массового развёртывания и тестовых сценариев.
Осторожнее с тихой установкой
Опция «(!)ТИХО(!) стереть диск и установить» инициирует развёртывание без каких-либо предупреждений и подтверждений. Данные на первом обнаруженном диске будут уничтожены. Использовать её стоит только на подготовленных машинах, где потеря данных заведомо исключена.
Когда опция активируется
По умолчанию опция «(!)ТИХО(!) стереть диск и установить» и выпадающий список редакций рядом с ней неактивны. Чтобы они стали доступны, нужно одновременно включить три других параметра:
- «Создать локальную учётную запись с именем пользователя»;
- «Установить те же региональные параметры, что и для этого пользователя»;
- «Отключить сбор данных (пропустить вопросы о конфиденциальности)».
Логика разработчика: без этих трёх параметров программа установки Windows всё равно остановится на экранах создания пользователя, выбора раскладки или вопросов о конфиденциальности, и установка перестанет быть «тихой». Механизм блокировки прописан в функции SelectionCallback файла stdlg.c исходного кода Rufus.
Применение SkuSiPolicy.p7b для KB5042562
В настройки установки Windows добавлена опция «Применить SkuSiPolicy.p7b при установке (см. KB5042562)». Она копирует файл SkuSiPolicy.p7b в раздел EFI System Partition (ESP) создаваемого носителя. Файл представляет собой подписанную Microsoft политику отзыва (revocation policy) для защиты от уязвимости CVE-2024-21302 – повышения привилегий в Windows Secure Kernel Mode. Уязвимость позволяет атакующему с правами администратора заменить обновлённые системные файлы на старые уязвимые версии и таким образом обойти защиту Virtualization-based Security (VBS).
Согласно официальному документу KB5042562 на сайте Microsoft, после применения политики на устройстве в UEFI-прошивке появляется соответствующая переменная (UEFI lock), которая блокирует загрузку старых версий компонентов VBS и откат защиты. При этом внешний загрузочный носитель должен быть обновлён до того же или более нового уровня Центра обновления Windows, что установлен на устройстве – иначе запуск с него не удастся. В актуальной редакции инструкции от декабря 2025 года Microsoft уже не требует ручного копирования SkuSiPolicy.p7b на установочный носитель, но опция в Rufus удобна, когда нужно заранее подготовить носитель, совместимый с защищёнными машинами, без обновления его через динамические обновления или «Создание диска восстановления».
Риски UEFI lock
После применения политики SkuSiPolicy.p7b отменить изменение без отключения Secure Boot в UEFI BIOS нельзя. Форматирование диска не снимает UEFI lock. Если откатить Windows к состоянию без политики при включённом Secure Boot, устройство перестанет запускаться без вывода сообщения об ошибке. Подробности – в разделе «Understanding mitigation risks» первоисточника KB5042562.
Поддержка извлечения UEFI-образов El-Torito
Добавлена ограниченная поддержка извлечения UEFI-загрузочных образов из структуры El-Torito. Разработчик прямо указывает основной сценарий: ISO-образы обновления BIOS для серверов и рабочих станций Dell. Ранее такие образы были проблемными, поскольку использовали нестандартную структуру загрузочного каталога – в новой версии Rufus умеет корректно извлекать из них EFI-часть.
Подсказки ко всем параметрам диалогов
Для всех опций диалоговых окон добавлены всплывающие подсказки. Это делает интерфейс заметно дружественнее для пользователей, которые сталкиваются с расширенными настройками впервые и не хотят каждый раз сверяться с документацией.
Улучшения
- Более информативное сообщение об ошибке, если пользователь пытается использовать образ, который лежит на целевом диске.
- Переработанная метка раздела UEFI:NTFS – теперь носитель более явно идентифицируется на этапе разметки диска в программе установки Windows.
- Улучшена поддержка Bazzite и других производных Fedora, которые не соблюдают соглашения EFI по структуре загрузчика.
- Улучшено определение и исключение новых скрытых VHD-дисков Bitdefender из списка целевых устройств (#2953).
Исправления
- Устранены возможные ошибки при создании носителей Windows To Go, связанные с новыми версиями
bcdboot(#2940). - Исправлены ошибки с локальными учётными записями, имя которых начинается или заканчивается пробелом (#2950).
Как скачать Rufus 4.14 Beta
Сборка распространяется через официальную страницу выпусков на GitHub в виде установочного исполняемого файла и portable-версии для архитектур x86 (32- и 64-разрядной) и ARM64. Подпись разработчика проверяется по GPG-ключу с идентификатором 38E0CF5E69EDD671.
Это предварительная сборка
4.14 Beta – предварительная сборка. Для повседневных задач по-прежнему рекомендуется стабильная версия 4.13. Бета-сборка подходит для проверки новых функций установки, отладки тихой установки и тестирования совместимости с политикой KB5042562.