计算机上的安全启动:完整指南
在计算机上启用安全启动可针对恶意软件和未经授权的操作系统添加重要的保护层。此安全功能内置于 UEFI 固件(取代了旧的 BIOS 系统)中,并确保在启动过程中只有受信任的软件才能运行。要启用安全启动,您通常需要在启动期间按 F2 或删除等键来访问计算机的 UEFI 设置,导航到启动或安全部分,然后将安全启动从“禁用”切换为“启用”。
请记住,安全启动需要兼容的硬件和软件。大多数 2012 年之后制造的计算机都支持此功能,并且它可以与 Windows 10、Windows 11 和许多 Linux 发行版配合良好。在启用安全启动之前,请确保您的操作系统支持它,以避免更改后出现启动问题。
计算机上的安全启动:完整指南
安全启动是一项重要的安全功能,旨在保护您的计算机在启动过程中免受恶意软件和未经授权的软件的侵害。它可确保在您的电脑启动时仅加载由原始设备制造商 (OEM) 或操作系统供应商签名的受信任软件。
这份完整的指南解释了安全启动是什么、它的工作原理、它的重要性以及如何在计算机上启用或禁用它。
什么是安全启动?
安全启动是 UEFI(统一可扩展固件接口)规范的一部分,是传统 BIOS 的现代替代品。它在引导过程中验证引导加载程序、驱动程序和操作系统文件的数字签名。
如果软件未签名或被篡改,安全启动会阻止其运行,从而保护您的系统免受 Rootkit、Bootkit 和其他固件级恶意软件的侵害。
安全启动如何工作?
- 开机:当您打开计算机时,UEFI 固件就会启动。
- 签名验证:安全启动根据可信证书数据库检查引导加载程序和操作系统文件的数字签名。
- 授权启动:如果签名有效,则启动过程将继续。
- 阻止启动:如果签名无效或丢失,系统将停止或显示警告,以防止潜在的恶意代码运行。
为什么安全启动很重要?
- 防止恶意软件:阻止在操作系统之前加载的低级恶意软件。
- 保护系统完整性:确保启动期间仅运行受信任的软件。
- 支持现代操作系统要求:Windows 11 需要启用安全启动才能安装。
- 增强设备安全性:帮助保护敏感数据和系统稳定性。
如何检查安全启动是否已启用
在 Windows 上:
- 按Windows + R, 类型
msinfo32,然后按 Enter 键。 - 在“系统信息”窗口中,找到安全启动状态。
- 它将显示在,离开, 或者不支持。
如何启用或禁用安全启动
第 1 步:访问 UEFI 固件设置
- 重新启动计算机。
- 开机时按 键进入 UEFI/BIOS 设置(通常为F2,的,Esc键, 或者F10—检查您的制造商指南)。
第 2 步:找到安全启动选项
- 导航至安全,开机, 或者验证选项卡。
- 找到安全启动环境。
步骤 3:启用或禁用安全启动
- 放安全启动到启用来激活它。
- 将其设置为残疾人如果您需要安装未签名的软件或操作系统。
第四步:保存并退出
- 保存更改并退出 UEFI 设置。
- 您的计算机将使用新的安全启动设置重新启动。
重要考虑因素
- 禁用安全启动可能会使您的系统面临安全风险。
- 某些较旧的硬件或操作系统可能不支持安全启动。
- 安装某些 Linux 发行版或未签名的驱动程序可能需要禁用安全启动。
- 在更改固件设置之前,请务必备份重要数据。
安全启动问题故障排除
- 如果您的操作系统在启用安全启动后无法启动,请检查您的引导加载程序或驱动程序是否已签名。
- 将您的 UEFI 固件更新至制造商提供的最新版本。
- 如果遇到问题,请将 UEFI 设置重置为默认值。
汇总表:安全启动概述
| 方面 | 细节 |
|---|---|
| 它是什么? | UEFI 功能可验证启动软件签名 |
| 目的 | 防止未经授权/恶意启动代码 |
| 支持的操作系统 | Windows 8 及更高版本、许多 Linux 发行版 |
| 需要用于 | Windows 11 安装 |
| 如何访问 | 启动期间的 UEFI/BIOS 设置 |
| 禁用时的风险 | 增加了针对启动级恶意软件的脆弱性 |
有关针对您的特定 PC 型号量身定制的详细说明,请访问制造商的支持网站
要点
- 安全启动可防止在启动期间加载未经授权的软件,并且可以通过启动时访问的 UEFI 设置来启用。
- 大多数现代计算机都支持安全启动,但它需要兼容的硬件和受支持的操作系统,例如Windows 10/11。
- 启用安全启动后,保存更改并退出 UEFI 设置以完成该过程并提高系统安全性。
了解安全启动和 UEFI
安全启动代表现代计算机中的一项重要安全功能,有助于在启动过程中保护您的系统。它与 UEFI 固件配合使用,以验证在启动过程中仅运行受信任的软件,从而防止在操作系统启动之前加载恶意代码。
UEFI 在安全启动中的作用
UEFI(统一可扩展固件接口)是传统 BIOS 的现代替代品。与传统 BIOS 不同,UEFI 提供了更复杂的环境,具有图形界面和鼠标支持。
UEFI 通过以下方式创建信任链:
- 检查引导加载程序的数字签名
- 验证固件驱动程序和应用程序
- 维护授权密钥的数据库
启用安全启动后,UEFI 固件会验证每个启动软件的签名,包括固件驱动程序和操作系统。如果签名无效,固件将阻止软件运行。
验证过程发生在任何操作系统代码执行之前,为系统的启动过程创建受保护的基础。
安全启动与传统启动
Legacy Boot使用传统的BIOS系统,缺乏UEFI的安全功能。主要区别包括:
| 特征 | 安全启动 (UEFI) | 旧版启动 |
|---|---|---|
| 安全 | 验证启动软件签名 | 没有签名验证 |
| 驱动器支持 | 支持GPT分区 | 仅限于 MBR 分区 |
| 启动速度 | 一般较快 | 通常较慢 |
| 界面 | 现代图形界面 | 基于文本的界面 |
传统引导模式通常使用兼容性支持模块 (CSM),它模拟 BIOS 功能。许多现代系统需要禁用 CSM 才能使用安全启动。
由于分区方案不同,从旧版切换到安全启动通常需要重新安装操作系统。
与操作系统的兼容性
安全启动适用于大多数现代操作系统,但兼容性有所不同。视窗8及更高版本完全支持安全启动。 Windows 11 实际上需要它作为其安全要求的一部分。
随着时间的推移,Linux 发行版不断改进安全启动支持。许多主要发行版(例如 Ubuntu、Fedora 和 SUSE)现在都包含可在启用安全启动的情况下使用的签名引导加载程序。
对于较旧的操作系统:
- Windows 7 本身不支持安全启动
- 较旧的 Linux 发行版可能需要额外的配置
- 某些系统允许为非标准操作系统添加自定义键
双引导系统的用户必须确保所有安装的操作系统都支持安全引导。否则,他们可能需要禁用此安全功能才能启动到不兼容的系统。
在 BIOS/UEFI 固件中启用安全启动
安全启动是现代 UEFI 固件中的一项安全功能,有助于保护您的系统在启动过程中免受恶意代码的侵害。启用此功能需要浏览系统的固件设置并配置特定的安全选项。
访问 BIOS/UEFI 固件设置
要启用安全启动,用户必须首先访问其系统的 BIOS/UEFI 固件。制造商之间的此过程略有不同,但遵循相似的模式。
对于大多数系统,重新启动计算机并在启动过程中按特定键。常用键包括删除、F2、F10 或 Esc。此信息通常会在启动过程中短暂出现在屏幕上,并带有“按 F2 进入设置”之类的消息。
在 Windows 11 系统上,存在另一种方法:
- 转到“设置”>“更新和安全”>“恢复”
- 在“高级启动”下,选择“立即重新启动”
- 计算机重新启动后,选择“疑难解答”>“高级选项”>“UEFI 固件设置”
华硕主板通常使用Delete 键访问BIOS。进入后,找到高级模式(有时按 F7 即可访问)。
配置安全启动选项
进入 BIOS/UEFI 设置后,导航至“启动”或“安全”部分。确切位置因制造商而异。
对于大多数系统:
- 在“启动”选项卡下查找“安全启动”
- 将设置从“禁用”更改为“启用”
- 确保“启动模式”或“启动列表选项”设置为“UEFI”(不是旧版)
在 Dell 设备上,请执行以下步骤:
- 导航到常规 > 启动顺序
- 将引导列表选项设置为 UEFI
- 应用更改并保存
某些系统需要启用 TPM(可信平台模块),安全启动才能正常运行。如果可用,此选项通常位于“安全”部分。
管理安全启动密钥
安全启动依赖于使用加密密钥的数字签名验证来验证启动组件。
关键层次结构包括:
- 平台密钥 (PK):信任的根源
- 密钥交换密钥 (KEK):用于更新特征库
- 签名数据库(db):包含授权签名
- 禁止签名数据库 (dbx):包含被阻止的签名
大多数系统都预装了 Microsoft 密钥。这允许 Windows 和其他 Microsoft 签名的操作系统正常启动。
高级用户可以通过 UEFI 固件界面管理这些密钥。某些主板提供以下选项:
- 将按键重置为出厂默认值
- 导出当前密钥
- 导入自定义密钥(对于 Linux 发行版有用)
修改安全启动密钥时要小心。不正确的更改可能会阻止您的系统正常启动。
常见问题解答
启用安全启动可以帮助保护您的计算机免受恶意软件和未经授权的操作系统的侵害。以下是有关这一重要安全功能的一些常见问题的解答。
在 Windows 11 上启用安全启动需要哪些必要步骤?
要在 Windows 11 上启用安全启动,用户需要重新启动计算机并输入 BIOS/UEFI 设置。这可以通过转到“设置”>“更新和安全”>“恢复”并在“高级启动”下选择“立即重新启动”来完成。
计算机重新启动后,选择“故障排除”>“高级选项”>“UEFI 固件设置”。在 BIOS/UEFI 菜单中,查找“安全启动”选项,该选项通常位于“启动”或“安全”部分。
将安全启动设置为“启用”并在退出前保存更改。计算机将重新启动并启用安全启动。
如何在 Windows 10 系统上激活安全启动?
Windows 10 的过程与 Windows 11 类似。用户应通过高级启动选项访问 BIOS/UEFI 设置。
在 Windows 10 中,转到“设置”>“更新和安全”>“恢复”,然后单击“高级启动”下的“立即重新启动”。按照提示进入 UEFI 设置。
进入 BIOS/UEFI 菜单后,导航至“启动”或“安全”部分,并将“安全启动”更改为“已启用”。保存更改并退出以重新启动计算机。
当系统处于用户模式时是否可以打开安全启动?
不可以,当系统在用户模式下运行时,无法直接从 Windows 启用安全启动。必须在 BIOS/UEFI 设置中进行配置。
用户必须重新启动计算机并进入 BIOS/UEFI 设置才能更改安全启动设置。这是因为安全启动是一种在操作系统之前加载的预启动安全功能。
如果安全启动状态报告为不受支持,该怎么办?
如果安全启动报告为不受支持,请首先检查您的计算机是否具有 UEFI 固件而不是旧版 BIOS。安全启动需要 UEFI 固件才能运行。
您可能需要将磁盘从 MBR(主引导记录)格式转换为 GPT(GUID 分区表)格式。这可以使用 Windows 中的 MBR2GPT 工具来完成。
在某些情况下,如果您的系统之前是在旧版 BIOS 模式下安装的,则可能需要在 UEFI 模式下重新安装 Windows。总是备份您的数据在进行此类更改之前。
以安全模式启动 Windows 11 的过程是怎样的?
可以通过多种方法以安全模式启动 Windows 11(不要与安全启动混淆)。最简单的方法是进入“设置”>“系统”>“恢复”,然后单击“高级启动”下的“立即重新启动”。
重新启动后,选择“疑难解答”>“高级选项”>“启动设置”>“重新启动”。当计算机重新启动时,将出现一个菜单,其中包含不同的启动选项。
按与所需安全模式选项相对应的数字键(4、5 或 6)。这将以安全模式启动 Windows。
是否可以从 USB 启用安全启动?如果可以,如何启用?
无法直接从 USB 驱动器启用安全启动。必须在计算机的 BIOS/UEFI 固件设置中更改该设置。
但是,计算机制造商创建的某些恢复 USB 驱动器可能包含用于访问 UEFI 设置的实用程序。这些特定于某些品牌和型号的计算机。
对于大多数用户而言,在启动期间输入 BIOS/UEFI 设置的标准方法(按 F2、Delete 或其他键)仍然是启用安全启动的最可靠方法。
![[固定]“此Mac由于电子邮件的问题无法连接到iCloud''错误](https://tips.pfrlju.com/tech/jacki/wp-content/uploads/cache/2025/04/Fix-This-Mac-Cant-Connect-to-iCloud-Because-of-a-Problem-With-Email-Error-Featured-Image.png)
