用户投稿我们来深入揭秘一下电脑启动安全的“隐形卫士”——Secure Boot。
Secure Boot(安全启动)是一项由UEFI(统一可扩展固件接口)标准引入的安全机制。它的核心目标是在计算机启动过程中,确保只有经过验证的、受信任的软件才能加载和执行,从而有效防止恶意软件(如病毒、木马、引导扇区病毒等)在启动阶段窃取控制权。
"核心知识点全揭秘:"
1. "什么是 Secure Boot?"
"定义:" Secure Boot 是一种在 UEFI 固件层面强制执行的安全协议。它在系统加电后、操作系统加载前的初始阶段启动。
"目的:" 验证启动设备(如硬盘、U盘)和启动加载程序(Boot Loader,如 Windows Boot Manager)的数字签名,确保它们来自受信任的制造商或开发者。
"机制:" UEFI 固件会检查启动组件的签名是否与预先配置的受信任证书列表(信任链)匹配。如果任何组件未通过验证,Secure Boot 将会阻止该组件加载,并通常会显示错误消息,导致系统无法启动。
2. "Secure Boot 如何工作?(简化流程)"
"固件初始化:" 计算机加电后,UEFI 固件初始化并开始执行。
"信任链建立:" UEFI
相关内容:
bios要关闭安全启动(Secure Boot)吗?安全启动设计之初,它旨在通过验证引导程序完整性,防止恶意软件在系统启动阶段侵入,为后续操作筑起安全屏障。这种“有限防护”特性,引出一个核心问题:面对不同操作系统环境,安全启动究竟应开启还是关闭?Windows 7等旧版系统因架构限制,需关闭安全启动以兼容第三方驱动或特殊硬件;而Windows 11则强制要求开启,以契合其基于UEFi的现代安全框架。下面针对这些疑问我们来详细深入了解一下安全启动(Secure Boot)。
安全启动设计之初作用是防止恶意软件侵入。事实上它能够做到的仅仅是,当电脑引导器被病毒修改之后,它会给出提醒并拒绝启动,避免可能带来的进一步损失。更多的人认为,这是微软为了防止安装Windows操作系统的电脑改装linux。客观的讲,微软设计Secure Boot的原本用意可能是出于保证系统安全,但结果似乎成了PC厂商保护市场垄断、阻碍竞争的一种手段。
如果出现以上情况,你不想开启安全启动怎么处理?方法一:安装时改注册表安装到兼容性检查提示无法运行时,按下 Shift+F10 打开命令行,输入regedit打开注册表,定位到HKEY_LOCAL_MACHINESYSTEMSetup,新建 “LabConfig” 项,再在其下创建两个 DWORD 值,分别命名为 “BypassTPMCheck” 和 “BypassSecureBootCheck”,值均设为 1,保存后就能继续安装(返回上一步后再下一步操作)。
方法二:PE安装PE安装时直接会读取win11系统iso镜像中的install.wim映像,这样就可以跳过TPM2.0和安全启动的检测了,一般的电脑都可以安装,但需要电脑开启uefi引导及分区类型为GPT分区,这里推荐小兵PE进行安装。像目前支持官方ISO镜像制作的Rufus工具也支持跳过tpm检测安装。
2、为什么有人说Win7支持安全启动?Windows 7默认不支持安全启动。安全启动(Secure Boot)是UEFI固件的一个功能,用于在系统启动时验证引导加载程序的签名,以确保系统未被篡改,只有经过验证的引导加载程序才能运行。不过,通过安装特定补丁,Windows 7可以支持安全启动。2022年9月,微软发布了安全质量月度汇总补丁KB5017361,更新并重签名了引导文件bootmgr.efi、bootmgfw.efi及内核winload.efi文件,使得Windows 7、Windows Server 2008 R2和Windows Embedded Standard 7在安装该补丁后支持安全启动。
3、有什么工具在安装Win7时支持安全启动目前小兵PE支持安装win7原版时勾选安全启动,可以不用在bios中关闭安全启动,也可以正常启动win7。
2、联想笔记本或台式机关闭Secure Boot步骤:(2020年以后的台式机):开机一直按F2或(FN+F2)进入BIOS,将BIOS改成中文界面,按方向向下键切换到“安全启动菜单”,选择安全启动,将默认的开启选项改成"关闭"或“开启”,如下图所示;
3、微星主板关闭Secure Boot安全启动步骤:(支持b460/b560/b660主板)重启电脑连续按键或F2进入BIOS设置,按键盘切换到切换到"sittings"选项,选择右边的“Security”回车进入设置,将Secure Boot默认的enabled改成disabled关闭安全启动,如下图所示;
1、在bios中的“安全”栏目中的“secure Boot Mode”设置改成“Standard”的选项后按回车键,如下图所示;
2、此时会弹窗提示,我们直接选择“yes”按回车,然后依旧会再次弹窗提示,我们继续选择“yes”,按回车键,此时电脑会自动重启。然后我们再次进BIOS,将“Secure Boot”再次选择“启动”。然后将先前的“Secure Boot Mode”设置改回“Custom”后,按F10键,然后按回车键保存退出即可,如下图所示;
问:安装Linux系统时,安全启动需要关闭吗?不一定。主流 Linux 发行版(如 Ubuntu 20.04+、Fedora、Debian 10+)均已支持安全启动,默认提供 “Shim 引导程序”(带有微软签名,可验证 Linux 内核签名),无需关闭安全启动即可正常安装。仅当使用小众 Linux 发行版(无签名)、或需要自定义内核(未签名)时,才需临时关闭安全启动。
问:开启安全启动后,哪些操作会受影响?支持的系统:Windows 8/10/11(默认支持,无需额外设置)、macOS(仅苹果设备原生支持)、带签名的 Linux(需提前安装签名驱动或启用 “Shim 引导”);
问:安全启动和传统 BIOS 有什么关系?传统 BIOS(Legacy BIOS)不支持安全启动,其启动流程无签名验证,安全性较低;安全启动是 UEFI 固件的内置功能,仅在 UEFI 启动模式下生效。若设备使用 BIOS 启动(Legacy 模式),安全启动无法启用。
问:BIOS下Secure Boot显示为灰色不能关闭怎么办?部分品牌电脑(比如宏基电脑)需设置BIOS密码才能关闭安全启动选项。
安全启动(Secure Boot)是什么?
安全启动(Secure Boot)是一种安全技术,用于确保计算机或嵌入式系统在启动过程中仅加载经过验证的合法软件,从而防止恶意软件或未授权代码的侵入。安全启动设计之初作用是防止恶意软件侵入。事实上它能够做到的仅仅是,当电脑引导器被病毒修改之后,它会给出提醒并拒绝启动,避免可能带来的进一步损失。更多的人认为,这是微软为了防止安装Windows操作系统的电脑改装linux。客观的讲,微软设计Secure Boot的原本用意可能是出于保证系统安全,但结果似乎成了PC厂商保护市场垄断、阻碍竞争的一种手段。安全启动(Secure Boot)工作原理
Secure Boot通过密码学密钥链实现验证机制,核心组件包括:- 平台密钥(PK):设备制造商持有的根密钥,如戴尔、惠普等
- 密钥交换密钥(KEK):连接平台密钥与引导程序的桥梁
- 允许数据库(DB):存储已认证软件的签名白名单
- 禁止数据库(DBX):记录已知恶意软件签名的黑名单
安全启动(Secure Boot)是开还是关?
Win8以上系统中增加了一个新的安全功能,Secure Boot内置于UEFI BIOS中,用来对抗感染MBR、BIOS的恶意软件, Win8和Win10 缺省将使用安全启动(Secure Boot),在启动过程中,任何要加载的模块必须签名(强制的),UEFI固件会进行验证,没有签名或者无法验证的,将不会加载。如果你要安装Win7操作系统,那么secure boot就需要关闭,否则可能无法启动系统。而win11以上系统要求必须开启安全启动(Secure Boot)才能正常安装win11和在线更新,这样设计也是为了对抗感染MBR、BIOS的恶意软件。安装Win11不开启“安全启动”会出现什么问题?
采用官方工具安装Win11时,安装程序的检测,Win 11安装程序(包括ISO文件引导和setup.exe升级),在执行期间会主动检测TPM 2.0芯片和安全启动状态。若未开启安全启动,直接中断安装并报错;还有就是检测逻辑依赖系统文件appraiserres.dll,该文件在安装过程中验证硬件兼容性(包括TPM、安全启动)。被检测到不符合就不会安装。如果出现以上情况,你不想开启安全启动怎么处理?方法一:安装时改注册表安装到兼容性检查提示无法运行时,按下 Shift+F10 打开命令行,输入regedit打开注册表,定位到HKEY_LOCAL_MACHINESYSTEMSetup,新建 “LabConfig” 项,再在其下创建两个 DWORD 值,分别命名为 “BypassTPMCheck” 和 “BypassSecureBootCheck”,值均设为 1,保存后就能继续安装(返回上一步后再下一步操作)。方法二:PE安装PE安装时直接会读取win11系统iso镜像中的install.wim映像,这样就可以跳过TPM2.0和安全启动的检测了,一般的电脑都可以安装,但需要电脑开启uefi引导及分区类型为GPT分区,这里推荐小兵PE进行安装。像目前支持官方ISO镜像制作的Rufus工具也支持跳过tpm检测安装。
装win7为什么要关闭安全启动(secure boot)?
Win8以上系统中增加了一个新的安全功能,安全启动(Secure Boot)内置于UEFI BIOS中,用来对抗感染MBR、BIOS的恶意软件, Win8和Win10 缺省将使用Secure Boot,在启动过程中,任何要加载的模块必须签名(强制的),UEFI固件会进行验证,没有签名或者无法验证的,将不会加载。对于Win7来说,由于它不支持安全启动证书,因此在支持安全启动的电脑上安装Win7时需要禁用安全启动。装Win7不关闭安全启动会出现如下图所示报错:2、为什么有人说Win7支持安全启动?Windows 7默认不支持安全启动。安全启动(Secure Boot)是UEFI固件的一个功能,用于在系统启动时验证引导加载程序的签名,以确保系统未被篡改,只有经过验证的引导加载程序才能运行。不过,通过安装特定补丁,Windows 7可以支持安全启动。2022年9月,微软发布了安全质量月度汇总补丁KB5017361,更新并重签名了引导文件bootmgr.efi、bootmgfw.efi及内核winload.efi文件,使得Windows 7、Windows Server 2008 R2和Windows Embedded Standard 7在安装该补丁后支持安全启动。
3、有什么工具在安装Win7时支持安全启动目前小兵PE支持安装win7原版时勾选安全启动,可以不用在bios中关闭安全启动,也可以正常启动win7。
BIOS如何关闭/开启安全启动?
1、联想笔记本或台式机关闭Secure Boot步骤:(2020年以前的笔记本或台式机):开机一直按F2或(FN+F2)进入BIOS,按→方向键切换到Security,选择Secure Boot回车设置成Disabled,关闭Secure Boot(安全启动),如下图所示;2、联想笔记本或台式机关闭Secure Boot步骤:(2020年以后的台式机):开机一直按F2或(FN+F2)进入BIOS,将BIOS改成中文界面,按方向向下键切换到“安全启动菜单”,选择安全启动,将默认的开启选项改成"关闭"或“开启”,如下图所示;
3、微星主板关闭Secure Boot安全启动步骤:(支持b460/b560/b660主板)重启电脑连续按键或F2进入BIOS设置,按键盘切换到切换到"sittings"选项,选择右边的“Security”回车进入设置,将Secure Boot默认的enabled改成disabled关闭安全启动,如下图所示;
部分主板无法开启安全启动的解决方法:
若在将“Secure Boot”设置为启动的时候出现下列弹窗提示或选择启动没有变化的情况,如下图所示;1、在bios中的“安全”栏目中的“secure Boot Mode”设置改成“Standard”的选项后按回车键,如下图所示;
2、此时会弹窗提示,我们直接选择“yes”按回车,然后依旧会再次弹窗提示,我们继续选择“yes”,按回车键,此时电脑会自动重启。然后我们再次进BIOS,将“Secure Boot”再次选择“启动”。然后将先前的“Secure Boot Mode”设置改回“Custom”后,按F10键,然后按回车键保存退出即可,如下图所示;
安全启动常见问题解答:
问:安全启动开启后,PE系统无法进入怎么办?传统 PE 系统大多无数字签名,开启安全启动后会被拦截,解决方案:方案 1:临时关闭安全启动(进入 UEFI 设置关闭,用完后重新开启);方案 2:使用支持安全启动的 PE 系统(如 “微 PE 工具箱” 最新版、“小兵U盘启动”),这类 PE 带有合法签名,可在安全启动开启时正常进入。问:安装Linux系统时,安全启动需要关闭吗?不一定。主流 Linux 发行版(如 Ubuntu 20.04+、Fedora、Debian 10+)均已支持安全启动,默认提供 “Shim 引导程序”(带有微软签名,可验证 Linux 内核签名),无需关闭安全启动即可正常安装。仅当使用小众 Linux 发行版(无签名)、或需要自定义内核(未签名)时,才需临时关闭安全启动。
问:开启安全启动后,哪些操作会受影响?支持的系统:Windows 8/10/11(默认支持,无需额外设置)、macOS(仅苹果设备原生支持)、带签名的 Linux(需提前安装签名驱动或启用 “Shim 引导”);
问:安全启动和传统 BIOS 有什么关系?传统 BIOS(Legacy BIOS)不支持安全启动,其启动流程无签名验证,安全性较低;安全启动是 UEFI 固件的内置功能,仅在 UEFI 启动模式下生效。若设备使用 BIOS 启动(Legacy 模式),安全启动无法启用。
问:BIOS下Secure Boot显示为灰色不能关闭怎么办?部分品牌电脑(比如宏基电脑)需设置BIOS密码才能关闭安全启动选项。
微信扫一扫打赏
支付宝扫一扫打赏
