現代電腦附帶了一個叫做“安全引導”的功能。這是UEFI中的一個平臺功能，它取代了傳統的PC BIOS。如果一個電腦**商想在他們的電腦上貼上“windows10”或“windows8”的標誌，微軟要求他們啟用安全引導並遵循一些準則。

不幸的是，它還阻止您安裝一些Linux發行版，這可能是一個相當麻煩的問題。

如何安全引導保護您的電腦的引導過程

安全引導不僅僅是為了讓執行Linux變得更困難。啟用安全引導有真正的安全優勢，甚至Linux使用者也可以從中受益。

傳統的BIOS可以引導任何軟體。當你啟動電腦時，它會根據你配置的啟動順序檢查硬體裝置，並嘗試從它們啟動。典型的PC通常會找到並引導Windows引導載入程式，然後引導整個Windows作業系統。如果您使用Linux，BIOS將找到並引導GRUB引導載入程式，大多數Linux發行版都使用這個載入程式。

但是，惡意軟體（例如rootkit）可能會替換引導載入程式。rootkit可以載入正常作業系統，沒有任何錯誤的指示，在系統上保持完全不可見和不可檢測。BIOS不知道惡意軟體和可信引導載入程式之間的區別——它只會引導它發現的任何東西。

安全引導旨在阻止這種情況。Windows8和10電腦附帶了儲存在UEFI中的微軟證書。UEFI將在啟動引導載入程式之前檢查它，並確保它是由微軟簽署的。如果rootkit或其他惡意軟體確實替換或篡改了引導載入程式，UEFI將不允許它引導。這可以防止惡意軟體劫持您的引導程序並在作業系統中隱藏自己。

microsoft如何允許linux發行版使用安全引導進行引導

從理論上講，這個功能只是為了防止惡意軟體。所以微軟提供了一種方法來幫助Linux發行版啟動。這就是為什麼一些現代Linux發行版，比如Ubuntu和Fedora，即使啟用了安全引導，也能在現代pc上“正常工作”的原因。Linux發行版可以一次性支付99美元的費用來訪問microsoftsysdev門戶，在那裡他們可以申請對引導載入程式進行簽名。

Linux發行版通常有一個“填充”簽名。shim是一個小的引導載入程式，它只引導Linux發行版主GRUB引導載入程式。Microsoft簽名的填充程式檢查以確保它正在引導由Linux發行版簽名的引導載入程式，然後Linux發行版正常引導。

Ubuntu、Fedora、Red Hat Enterprise Linux和openSUSE目前都支援安全引導，並且在現代硬體上不會做任何改動。可能還有其他的，但這些是我們知道的。一些Linux發行版在哲學上反對申請由微軟簽署。

如何禁用或控制安全引導

如果這都是安全引導所做的，你將無法在你的電腦上執行任何非微軟認可的作業系統。但你可能可以從你的電腦的UEFI韌體控制安全引導，就像舊電腦的BIOS一樣。

有兩種方法可以控制安全引導。最簡單的方法是前往UEFI韌體並完全禁用它。UEFI韌體不會檢查以確保您執行的是已簽名的引導載入程式，任何東西都將引導。你可以啟動任何Linux發行版，甚至安裝Windows7，它不支援安全啟動。windows8和windows10可以很好地工作，但是您將失去安全引導保護您的引導過程的安全優勢。

您還可以進一步自定義安全引導。您可以控制安全引導提供哪些簽名證書。您可以自由地安裝新證書和刪除現有證書。例如，在其PC上執行Linux的組織可以選擇刪除Microsoft的證書，並在其位置安裝該組織自己的證書。這些電腦將只引導引導載入程式批准和簽署的具體組織。

個人也可以這樣做——你可以簽署自己的Linux引導載入程式，並確保你的電腦只能啟動你親自編譯和簽署的引導載入程式。這就是那種控制和電源安全引導提供。

微軟對個人電腦**商的要求

微軟不僅僅要求PC廠商在他們的PC上貼上“Windows10”或“Windows8”認證標籤時啟用安全引導。微軟還要求PC廠商以特定的方式實現安全引導。

對於windows8個人電腦，**商必須給你一種關閉安全啟動的方法。微軟要求個人電腦**商在使用者手中安裝一個安全的啟動終止開關。

對於Windows 10 PC，這不再是強制性的。PC**商可以選擇啟用安全引導，而不是讓使用者關閉它。然而，我們實際上並不知道有任何個人電腦**商會這樣做。

同樣，雖然PC**商必須包含Microsoft的主“Microsoft Windows生產PCA”金鑰，以便Windows可以啟動，但它們不必包含“Microsoft Corporation UEFI CA”金鑰。僅推薦使用第二個鍵。這是第二個可選金鑰，微軟用它來簽署Linux引導載入程式。Ubuntu的文件對此進行了解釋。

換句話說，並不是所有的PC機都必須在啟用安全引導的情況下引導簽名的Linux發行版。再說一次，在實踐中，我們還沒有看到任何電腦能做到這一點。也許沒有一家PC**商想生產唯一一款不能安裝Linux的膝上型電腦。

至少現在，主流的Windows pc應該允許你禁用Secure Boot，如果你願意的話，他們應該引導已經被微軟簽署的Linux發行版，即使你沒有禁用Secure Boot。

無法在windows rt上禁用安全引導，但windows rt已關閉

相關：什麼是windowsrt，它與windows8有何不同？

以上所有這些都適用於標準Intel x86硬體上的標準Windows 8和10作業系統。手臂不同。

在WindowsRT上，不能禁用Windows8 for ARM硬體版本，該版本在微軟的Surface RT和Surface 2以及其他裝置上釋出。今天，在Windows10移動硬體上仍然不能禁用安全引導，換句話說，執行Windows10的**。

這是因為微軟希望你把基於ARM的windowsrt系統看作是“裝置”，而不是pc。正如微軟告訴Mozilla的那樣，windowsrt“不再是Windows了”

然而，windowsrt現在已經死了。目前還沒有適用於ARM硬體的Windows10桌面作業系統版本，因此您不必再擔心這個問題。但是，如果微軟真的恢復了WindowsRT10的硬體，你很可能無法禁用它的安全引導。

圖片來源：大使基地，約翰·布里斯托