如何使用安全启动在UEFI电脑上启动和安装Linux

新的 Windows PC 配备了UEFI 固件并启用了安全启动。安全启动可防止操作系统启动,除非它们由加载到 UEFI 中的密钥签名——开箱即用,只有 Microsoft 签名的软件才能启动。

Microsoft 要求 PC 供应商允许用户禁用安全启动,因此您可以禁用安全启动或添加您自己的自定义密钥来绕过此限制。

如何使用安全启动在UEFI电脑上启动和安装Linux

安全启动的工作原理

配备 Windows 10 或 Windows 11 的 PC 包含 UEFI 固件,而不是传统的 BIOS。默认情况下,机器的 UEFI 固件将仅启动由嵌入在 UEFI 固件中的密钥签名的引导加载程序。此功能称为“安全启动”或“受信任的启动”。在没有此安全功能的传统 PC 上,rootkit可以自行安装并成为引导加载程序。然后,计算机的 BIOS 将在启动时加载 rootkit,这将启动并加载 Windows,将自己隐藏在操作系统之外,并将自己嵌入到更深的层次。

安全启动阻止了这一点——计算机将只启动受信任的软件,因此恶意启动加载程序将无法感染系统。

在 Intel x86 PC(不是 ARM PC)上,您可以控制安全启动。您可以选择禁用它,甚至可以添加您自己的签名密钥。例如,组织可以使用自己的密钥来确保只有经过批准的 Linux 操作系统才能启动。

如何使用安全启动在UEFI电脑上启动和安装Linux

安装 Linux 的选项

您有多种选择可以通过安全启动在 PC 上安装 Linux:

  • 选择支持安全启动的 Linux 发行版:现代版本的 Ubuntu——从 Ubuntu 12.04.2 LTS 和 12.10 开始——将在大多数启用安全启动的 PC 上正常启动和安装。这是因为 Ubuntu 的第一阶段 EFI 引导加载程序是由 Microsoft 签名的。然而,一位 Ubuntu 开发人员指出,Ubuntu 的引导加载程序并未使用 Microsoft 认证过程所需的密钥进行签名,而只是使用 Microsoft 所说的“推荐”密钥。这意味着 Ubuntu 可能无法在所有 UEFI PC 上启动。用户可能必须禁用安全启动才能在某些 PC 上使用 Ubuntu。
  • 禁用安全启动:可以禁用安全启动,这会将其安全优势换成让您的 PC 启动任何东西的能力,就像具有传统 BIOS 的旧 PC 一样。如果您想安装未考虑安全启动开发的旧版 Windows(例如 Windows 7),这也是必需的。
  • 将签名密钥添加到 UEFI 固件:某些 Linux 发行版可能使用自己的密钥对引导加载程序进行签名,您可以将其添加到 UEFI 固件中。目前这似乎并不常见。

您应该查看您选择的 Linux 发行版推荐的进程。如果您需要启动未提供任何相关信息的旧版 Linux 发行版,您只需禁用安全启动。

您应该能够在大多数新 PC 上毫无问题地安装当前版本的 Ubuntu——无论是 LTS 版本还是最新版本。有关从可移动设备启动的说明,请参阅最后一节。

如何禁用安全启动

您可以从 UEFI 固件设置屏幕控制安全启动。要访问此屏幕,您需要访问 Windows 10 或 Windows 11 中的启动选项菜单。为此,请单击“开始”菜单上的电源按钮并在单击“重新启动”时按住 Shift 键。在 Windows 11 中,这看起来会略有不同,但操作相同。

如何使用安全启动在UEFI电脑上启动和安装Linux

您的计算机将重新启动并进入高级启动选项屏幕。单击此处的疑难解答选项。

如何使用安全启动在UEFI电脑上启动和安装Linux

然后,您需要在下一个屏幕上单击“高级选项”。

如何使用安全启动在UEFI电脑上启动和安装Linux

现在,终于,您进入了“高级选项”屏幕,它似乎可以出现在最后一个屏幕上,但无论如何。现在您可以单击此处的 UEFI 固件设置按钮。(您可能在一些 Windows PC 上看不到 UEFI 设置选项,即使它们配备了 UEFI — 请参阅制造商的文档以获取有关在这种情况下进入其 UEFI 设置屏幕的信息。)

如何使用安全启动在UEFI电脑上启动和安装Linux

您将被带到 UEFI 设置屏幕,您可以在其中选择禁用安全启动或添加您自己的密钥。这在每台计算机上看起来都会不同,并且在现实生活中可能不会在您的计算机上如此模糊。

如何使用安全启动在UEFI电脑上启动和安装Linux

从可移动媒体启动

您可以通过以相同方式访问启动选项菜单来从可移动媒体启动——按住 Shift 键并单击“重新启动”选项。插入您选择的引导设备,选择使用设备,然后选择您要从中引导的设备。

从可移动设备启动后,您可以像往常一样安装 Linux,或者只使用可移动设备的 live 环境而不安装它。

如何使用安全启动在UEFI电脑上启动和安装Linux


请记住,安全启动是一项有用的安全功能。您应该启用它,除非您需要运行无法在启用安全启动的情况下启动的操作系统。

THE END