安全启动设计之初,它旨在通过验证引导程序完整性,防止恶意软件在系统启动阶段侵入,为后续操作筑起安全屏障。这种“有限防护”特性,引出一个核心问题:面对不同操作系统环境,安全启动究竟应开启还是关闭?Windows 7等旧版系统因架构限制,需关闭安全启动以兼容第三方驱动或特殊硬件;而Windows 11则强制要求开启,以契合其基于UEFi的现代安全框架。下面针对这些疑问我们来详细深入了解一下安全启动(Secure Boot)。
安全启动(Secure Boot)是什么?
安全启动(Secure Boot)是一种安全技术,用于确保计算机或嵌入式系统在启动过程中仅加载经过验证的合法软件,从而防止恶意软件或未授权代码的侵入。
安全启动设计之初作用是防止恶意软件侵入。事实上它能够做到的仅仅是,当电脑引导器被病毒修改之后,它会给出提醒并拒绝启动,避免可能带来的进一步损失。
更多的人认为,这是微软为了防止安装Windows操作系统的电脑改装linux。客观的讲,微软设计Secure Boot的原本用意可能是出于保证系统安全,但结果似乎成了PC厂商保护市场垄断、阻碍竞争的一种手段。
安全启动(Secure Boot)工作原理
Secure Boot通过密码学密钥链实现验证机制,核心组件包括:
-
平台密钥(PK):设备制造商持有的根密钥,如戴尔、惠普等
-
密钥交换密钥(KEK):连接平台密钥与引导程序的桥梁
-
允许数据库(DB):存储已认证软件的签名白名单
-
禁止数据库(DBX):记录已知恶意软件签名的黑名单
启动过程中,每个试图加载的程序都会经过密钥数据库验证,唯有通过校验的合法程序才能运行,这样确保系统的安全。
安全启动(Secure Boot)是开还是关?
Win8以上系统中增加了一个新的安全功能,Secure Boot内置于UEFI BIOS中,用来对抗感染MBR、BIOS的恶意软件, Win8和Win10 缺省将使用安全启动(Secure Boot),在启动过程中,任何要加载的模块必须签名(强制的),UEFI固件会进行验证,没有签名或者无法验证的,将不会加载。如果你要安装Win7操作系统,那么secure boot就需要关闭,否则可能无法启动系统。
而win11以上系统要求必须开启安全启动(Secure Boot)才能正常安装win11和在线更新,这样设计也是为了对抗感染MBR、BIOS的恶意软件。
安装Win11不开启“安全启动”会出现什么问题?
采用官方工具安装Win11时,安装程序的检测,Win 11安装程序(包括ISO文件引导和setup.exe升级),在执行期间会主动检测TPM 2.0芯片和安全启动状态。若未开启安全启动,直接中断安装并报错;还有就是检测逻辑依赖系统文件appraiserres.dll,该文件在安装过程中验证硬件兼容性(包括TPM、安全启动)。被检测到不符合就不会安装。
如果出现以上情况,你不想开启安全启动怎么处理?
方法一:安装时改注册表
安装到兼容性检查提示无法运行时,按下 Shift+F10 打开命令行,输入regedit打开注册表,定位到HKEY_LOCAL_MACHINE\SYSTEM\Setup,新建 “LabConfig” 项,再在其下创建两个 DWORD 值,分别命名为 “BypassTPMCheck” 和 “BypassSecureBootCheck”,值均设为 1,保存后就能继续安装(返回上一步后再下一步操作)。
方法二:PE安装
PE安装时直接会读取win11系统iso镜像中的install.wim映像,这样就可以跳过TPM2.0和安全启动的检测了,一般的电脑都可以安装,但需要电脑开启uefi引导及分区类型为GPT分区,这里推荐小兵PE进行安装。像目前支持官方ISO镜像制作的Rufus工具也支持跳过tpm检测安装。
装win7为什么要关闭安全启动(secure boot)?
1、关闭安全启动(Secure Boot):
Win8以上系统中增加了一个新的安全功能,安全启动(Secure Boot)内置于UEFI BIOS中,用来对抗感染MBR、BIOS的恶意软件, Win8和Win10 缺省将使用Secure Boot,在启动过程中,任何要加载的模块必须签名(强制的),UEFI固件会进行验证,没有签名或者无法验证的,将不会加载。对于Win7来说,由于它不支持安全启动证书,因此在支持安全启动的电脑上安装Win7时需要禁用安全启动。
装Win7不关闭安全启动会出现如下图所示报错:
2、为什么有人说Win7支持安全启动?
Windows 7默认不支持安全启动。安全启动(Secure Boot)是UEFI固件的一个功能,用于在系统启动时验证引导加载程序的签名,以确保系统未被篡改,只有经过验证的引导加载程序才能运行。
不过,通过安装特定补丁,Windows 7可以支持安全启动。2022年9月,微软发布了安全质量月度汇总补丁KB5017361,更新并重签名了引导文件bootmgr.efi、bootmgfw.efi及内核winload.efi文件,使得Windows 7、Windows Server 2008 R2和Windows Embedded Standard 7在安装该补丁后支持安全启动。
3、有什么工具在安装Win7时支持安全启动
目前小兵PE(www.xiaobingxitong.c...)支持安装win7原版时勾选安全启动,可以不用在bios中关闭安全启动,也可以正常启动win7。
BIOS如何关闭/开启安全启动?
1、联想笔记本或台式机关闭Secure Boot步骤:(2020年以前的笔记本或台式机):
开机一直按F2或(FN+F2)进入BIOS,按→方向键切换到Security,选择Secure Boot回车设置成Disabled,关闭Secure Boot(安全启动),如下图所示;
2、联想笔记本或台式机关闭Secure Boot步骤:(2020年以后的台式机):
开机一直按F2或(FN+F2)进入BIOS,将BIOS改成中文界面,按方向向下键切换到“安全启动菜单”,选择安全启动,将默认的开启选项改成"关闭"或“开启”,如下图所示;
3、微星主板关闭Secure Boot安全启动步骤:(支持b460/b560/b660主板)
重启电脑连续按[DEL]键或F2进入BIOS设置,按键盘切换到切换到"sittings"选项,选择右边的“Security”回车进入设置,将Secure Boot默认的enabled改成disabled关闭安全启动,如下图所示;
部分主板无法开启安全启动的解决方法:
若在将“Secure Boot”设置为启动的时候出现下列弹窗提示或选择启动没有变化的情况,如下图所示;
1、在bios中的“安全”栏目中的“secure Boot Mode”设置改成“Standard”的选项后按回车键,如下图所示;
2、此时会弹窗提示,我们直接选择“yes”按回车,然后依旧会再次弹窗提示,我们继续选择“yes”,按回车键,此时电脑会自动重启。然后我们再次进BIOS,将“Secure Boot”再次选择“启动”。然后将先前的“Secure Boot Mode”设置改回“Custom”后,按F10键,然后按回车键保存退出即可,如下图所示;
