现代电脑附带了一个叫做“安全引导”的功能。这是UEFI中的一个平台功能，它取代了传统的PC BIOS。如果一个电脑**商想在他们的电脑上贴上“windows10”或“windows8”的标志，微软要求他们启用安全引导并遵循一些准则。

不幸的是，它还阻止您安装一些Linux发行版，这可能是一个相当麻烦的问题。

如何安全引导保护您的电脑的引导过程

安全引导不仅仅是为了让运行Linux变得更困难。启用安全引导有真正的安全优势，甚至Linux用户也可以从中受益。

传统的BIOS可以引导任何软件。当你启动电脑时，它会根据你配置的启动顺序检查硬件设备，并尝试从它们启动。典型的PC通常会找到并引导Windows引导加载程序，然后引导整个Windows操作系统。如果您使用Linux，BIOS将找到并引导GRUB引导加载程序，大多数Linux发行版都使用这个加载程序。

但是，恶意软件（例如rootkit）可能会替换引导加载程序。rootkit可以加载正常操作系统，没有任何错误的指示，在系统上保持完全不可见和不可检测。BIOS不知道恶意软件和可信引导加载程序之间的区别——它只会引导它发现的任何东西。

安全引导旨在阻止这种情况。Windows8和10电脑附带了存储在UEFI中的微软证书。UEFI将在启动引导加载程序之前检查它，并确保它是由微软签署的。如果rootkit或其他恶意软件确实替换或篡改了引导加载程序，UEFI将不允许它引导。这可以防止恶意软件劫持您的引导进程并在操作系统中隐藏自己。

microsoft如何允许linux发行版使用安全引导进行引导

从理论上讲，这个功能只是为了防止恶意软件。所以微软提供了一种方法来帮助Linux发行版启动。这就是为什么一些现代Linux发行版，比如Ubuntu和Fedora，即使启用了安全引导，也能在现代pc上“正常工作”的原因。Linux发行版可以一次性支付99美元的费用来访问microsoftsysdev门户，在那里他们可以申请对引导加载程序进行签名。

Linux发行版通常有一个“填充”签名。shim是一个小的引导加载程序，它只引导Linux发行版主GRUB引导加载程序。Microsoft签名的填充程序检查以确保它正在引导由Linux发行版签名的引导加载程序，然后Linux发行版正常引导。

Ubuntu、Fedora、Red Hat Enterprise Linux和openSUSE目前都支持安全引导，并且在现代硬件上不会做任何改动。可能还有其他的，但这些是我们知道的。一些Linux发行版在哲学上反对申请由微软签署。

如何禁用或控制安全引导

如果这都是安全引导所做的，你将无法在你的电脑上运行任何非微软认可的操作系统。但你可能可以从你的电脑的UEFI固件控制安全引导，就像旧电脑的BIOS一样。

有两种方法可以控制安全引导。最简单的方法是前往UEFI固件并完全禁用它。UEFI固件不会检查以确保您运行的是已签名的引导加载程序，任何东西都将引导。你可以启动任何Linux发行版，甚至安装Windows7，它不支持安全启动。windows8和windows10可以很好地工作，但是您将失去安全引导保护您的引导过程的安全优势。

您还可以进一步自定义安全引导。您可以控制安全引导提供哪些签名证书。您可以自由地安装新证书和删除现有证书。例如，在其PC上运行Linux的组织可以选择删除Microsoft的证书，并在其位置安装该组织自己的证书。这些电脑将只引导引导加载程序批准和签署的具体组织。

个人也可以这样做——你可以签署自己的Linux引导加载程序，并确保你的电脑只能启动你亲自编译和签署的引导加载程序。这就是那种控制和电源安全引导提供。

微软对个人电脑**商的要求

微软不仅仅要求PC厂商在他们的PC上贴上“Windows10”或“Windows8”认证标签时启用安全引导。微软还要求PC厂商以特定的方式实现安全引导。

对于windows8个人电脑，**商必须给你一种关闭安全启动的方法。微软要求个人电脑**商在用户手中安装一个安全的启动终止开关。

对于Windows 10 PC，这不再是强制性的。PC**商可以选择启用安全引导，而不是让用户关闭它。然而，我们实际上并不知道有任何个人电脑**商会这样做。

同样，虽然PC**商必须包含Microsoft的主“Microsoft Windows生产PCA”密钥，以便Windows可以启动，但它们不必包含“Microsoft Corporation UEFI CA”密钥。仅推荐使用第二个键。这是第二个可选密钥，微软用它来签署Linux引导加载程序。Ubuntu的文档对此进行了解释。

换句话说，并不是所有的PC机都必须在启用安全引导的情况下引导签名的Linux发行版。再说一次，在实践中，我们还没有看到任何电脑能做到这一点。也许没有一家PC**商想生产唯一一款不能安装Linux的笔记本电脑。

至少现在，主流的Windows pc应该允许你禁用Secure Boot，如果你愿意的话，他们应该引导已经被微软签署的Linux发行版，即使你没有禁用Secure Boot。

无法在windows rt上禁用安全引导，但windows rt已关闭

相关：什么是windowsrt，它与windows8有何不同？

以上所有这些都适用于标准Intel x86硬件上的标准Windows 8和10操作系统。手臂不同。

在WindowsRT上，不能禁用Windows8 for ARM硬件版本，该版本在微软的Surface RT和Surface 2以及其他设备上发布。今天，在Windows10移动硬件上仍然不能禁用安全引导，换句话说，运行Windows10的**。

这是因为微软希望你把基于ARM的windowsrt系统看作是“设备”，而不是pc。正如微软告诉Mozilla的那样，windowsrt“不再是Windows了”

然而，windowsrt现在已经死了。目前还没有适用于ARM硬件的Windows10桌面操作系统版本，因此您不必再担心这个问题。但是，如果微软真的恢复了WindowsRT10的硬件，你很可能无法禁用它的安全引导。

图片来源：大使基地，约翰·布里斯托