安全启动如何在 Windows 10 上工作,以及它对 Linux 意味着什么安全启动如何在 Windows 10 上工作,以及它对 Linux 意味着什么安全启动如何在 Windows 10 上工作,以及它对 Linux 意味着什么安全启动如何在 Windows 10 上工作,以及它对 Linux 意味着什么
  • 文章
  • 正则表达式
    • 工具
  • 登录
找到的结果: {phrase} (显示: {results_count} 共: {results_count_total})
显示: {results_count} 共: {results_count_total}

加载更多搜索结果...

搜索范围
模糊匹配
搜索标题
搜索内容
发表 admin at 2025年2月28日
类别
  • 未分类
标签

安全启动如何在 Windows 10 上工作,以及它对 Linux 意味着什么

现代 PC 附带启用了称为“安全启动”的功能。这是 UEFI 中的一项平台功能,它取代了传统的 PC BIOS。如果 PC 制造商想要在他们的 PC 上贴上“Windows 10”徽标标签,Microsoft 会要求他们启用安全启动并遵循一些准则。

不幸的是,它还会阻止您安装某些 Linux 发行版,这可能会很麻烦。

安全启动如何保护您的 PC 启动过程

Secure Boot 不仅仅是为了让运行 Linux 变得更加困难而设计的。启用安全启动具有真正的安全优势,甚至 Linux 用户也可以从中受益。

传统的 BIOS 将引导任何软件。当您启动 PC 时,它会根据您配置的启动顺序检查硬件设备,并尝试从它们启动。典型的 PC 通常会找到并启动 Windows 引导加载程序,它会继续启动完整的 Windows 操作系统。如果您使用 Linux,BIOS 将找到并引导大多数 Linux 发行版使用的 GRUB 引导加载程序。

但是,rootkit 等恶意软件可能会替换您的引导加载程序。 Rootkit 可以加载您的正常操作系统而没有任何迹象表明有任何错误,在您的系统上保持完全不可见和检测不到的状态。 BIOS 不知道恶意软件和受信任的引导加载程序之间的区别——它只是引导它发现的任何东西。

安全启动旨在阻止这种情况。 Windows 8 和 10 PC 附带存储在 UEFI 中的 Microsoft 证书。 UEFI 将在启动之前检查引导加载程序并确保它由 Microsoft 签名。如果 rootkit 或其他恶意软件确实替换了您的引导加载程序或对其进行了篡改,UEFI 将不允许其引导。这可以防止恶意软件劫持您的启动过程并将其自身隐藏在您的操作系统中。

Microsoft 如何允许 Linux 发行版使用安全启动进行启动

从理论上讲,此功能只是为了防止恶意软件而设计的。因此,Microsoft 提供了一种方法来帮助 Linux 发行版无论如何启动。这就是为什么一些现代 Linux 发行版(如 Ubuntu 和 Fedora)将“仅在”现代 PC 上“运行”,即使启用了安全启动也是如此。 Linux 发行版可以支付 99 美元的一次性费用来访问 Microsoft Sysdev 门户,在那里他们可以申请签署他们的引导加载程序。

Linux 发行版通常有一个“shim”签名。 shim 是一个小型引导加载程序,它可以简单地引导 Linux 发行版的主要 GRUB 引导加载程序。 Microsoft 签名的 shim 检查以确保它正在启动由 Linux 发行版签名的引导加载程序,然后 Linux 发行版正常启动。

Ubuntu、Fedora、Red Hat Enterprise Linux 和 openSUSE 目前支持安全启动,无需对现代硬件进行任何调整即可运行。可能还有其他人,但这些是我们所知道的。一些 Linux 发行版在哲学上反对申请微软签名。

如何禁用或控制安全启动

如果这就是安全启动所做的一切,您将无法在您的 PC 上运行任何未经 Microsoft 批准的操作系统。但您可能可以通过 PC 的 UEFI 固件控制安全启动,这类似于旧 PC 中的 BIOS。

有两种方法可以控制安全启动。最简单的方法是前往 UEFI 固件并完全禁用它。 UEFI 固件不会检查以确保您正在运行已签名的引导加载程序,任何东西都会引导。您可以启动任何 Linux 发行版,甚至可以安装不支持安全启动的 Windows 7。 Windows 10 可以正常工作,您将失去让安全启动保护您的启动过程的安全优势。

您还可以进一步自定义安全启动。您可以控制 Secure Boot 提供哪些签名证书。您可以自由安装新证书和删除现有证书。例如,在其 PC 上运行 Linux 的组织可以选择删除 Microsoft 的证书并安装该组织自己的证书。然后,这些 PC 将仅启动由该特定组织批准和签名的引导加载程序。

个人也可以这样做——您可以签署自己的 Linux 引导加载程序,并确保您的 PC 只能引导您亲自编译和签署的引导加载程序。这就是 Secure Boot 提供的控制和功能。

微软对 PC 制造商的要求

如果 PC 供应商希望在其 PC 上贴上漂亮的“Windows 10”认证标签,Microsoft 不仅会要求 PC 供应商启用安全启动。 Microsoft 要求 PC 制造商以特定方式实施它。

对于 Windows 8 PC,制造商必须为您提供关闭安全启动的方法。微软要求 PC 制造商将安全启动终止开关交到用户手中。

对于 Windows 10 PC,这不再是强制性的。 PC 制造商可以选择启用 Secure Boot,而不给用户关闭它的方法。但是,我们实际上并不知道有任何 PC 制造商这样做。

同样,虽然 PC 制造商必须包含 Microsoft 的主要“Microsoft Windows Production PCA”密钥以便 Windows 可以启动,但他们不必包含“Microsoft Corporation UEFI CA”密钥。仅建议使用第二个密钥。它是 Microsoft 用于签署 Linux 引导加载程序的第二个可选密钥。 Ubuntu 的文档对此进行了解释。

换句话说,并非所有 PC 都必须在启用安全启动的情况下启动签名的 Linux 发行版。同样,在实践中,我们还没有看到任何 PC 这样做。也许没有 PC 制造商愿意生产唯一一款不能安装 Linux 的笔记本电脑。

至少现在,主流的 Windows PC 应该允许您根据需要禁用安全启动,并且即使您不禁用安全启动,它们也应该启动由微软签名的 Linux 发行版。

无法在 Windows RT 上禁用安全启动,但 Windows RT 已死

以上所有内容都适用于标准 Intel x86 硬件上的标准 Windows 10 操作系统。 ARM 则不同。

在 Windows RT(Microsoft 的 Surface RT 和 Surface 2 以及其他设备上搭载的 Windows 8 for ARM 硬件版本)上,无法禁用安全启动。今天,安全启动仍然无法在 Windows 10 移动硬件上禁用——换句话说,运行 Windows 10 的手机。

这是因为 Microsoft 希望您将基于 ARM 的 Windows RT 系统视为“设备”,而不是 PC。正如微软告诉 Mozilla 的那样,Windows RT“不再是 Windows”。

然而,Windows RT 现在已经死了。没有适用于 ARM 硬件的 Windows 10 桌面操作系统版本,因此您不必再担心了。但是,如果 Microsoft 确实带回了 Windows RT 10 硬件,您可能无法在其上禁用安全启动。

图片来源:Ambassador Base,John Bristowe

©2015-2025 艾丽卡 support@alaica.com