UEFI启动教程 BIOS锁定纯UEFI
启动的解锁办法
在自带Windows 8的设备上,出现的情况是只能支持UEFI启动,传统MBR方式启动不了。在BIOS的启动列表里,也无发现MBR启动设备。其实是微软强制各厂商们必须开启Secure Boot,而开启Secure Boot后,CSM默认关闭。CSM关闭则会出现不能兼容传统MBR启动,MBR设备若是没使用UEFI引导,则不能启动。1、浅谈CSM 和Secure Boot
那么CSM和Secure Boot是什么,在华硕主板的UEFI BIOS里能找到比较易于理解的答案。英文看不懂?好吧,UEFI BIOS是支持多语言的,切换成中文来看看。CSM和Secure Boot的中文翻译出来了,CSM是兼容性支持模块,Secure Boot是安全启动。那么CSM(兼容性支持模块)是什么作用呢,咱们再来看看。进入CSM选项,屏幕右侧有解释,CSM开启使得可以支持UEFI启动和非UEFI启动。若是需要启动传统MBR设备,则需开启CSM。关闭CSM则变成纯UEFI启动,且完全支持安全启动。那么Secure Boot(安全启动)又是什么呢,接着看。同样,进入“安全启动”选项,屏幕右侧有解释。这里的解释比
较简单,也比较易懂,安全启动仅适用于使用UEFI启动的操作系统。在笔记本的BIOS里,这里更多的是使用Enabled (打开)和Disabled(关闭)两个选项。在电脑自带Windows 8的情况下,Secure Boot(安全启动)默认是Enabled(打开)。从而使得CSM(兼容性支持模块)又默认是Disabled (关闭),进而导致电脑不能启动传统MBR设备。
到这里大家应该明白了,要使得电脑能启动传统MBR
设备,就必须关闭Secure Boot,然后打开CSM。不过这里需要注意的是,除非你想换系统,否则不能关闭Secure Boot。至于原因是什么,在二楼的扩展阅读篇会提到,而且会更详细解释Secure Boot。2、以华硕笔记本为例,解锁纯UEFI启动
开机按F2进入BIOS,在Boot标签页下有Launch CSM 选项,选择Enabled则会出现提示。英文看不懂?根据Enabled、Disabled、Secure Boot Control等关键字眼总该大概能猜到意思吧。“如果安全启动控制处于打开状态,CSM 则不能打开;请先关闭安全启动控制,重启后再尝试。”Secure Boot Control(安全启动控制)在Security标签页下的Secure Boot menu里,选择Disabled后按F10保存并重启。重启进入BIOS,Launch CSM选项已经可以选择
Enabled。选择后再保存并重启后进入BIOS,可以发现,启动项里出现了传统MBR设备的选项。大家应该发现了,BIOS的调整不能一气呵成,需要经过两次保存并重启才行。这也是部分人没有办法调整的原因,没保存并重启,BIOS 的设置是不会生效的,而这里又是环环相扣。不过实测发现,部分电脑可以不需要第一次的保存并重启,即关闭Secure Boot(安全启动)后。不过打开CSM后,则必须重启才能看到传统MBR设备的启动选项。3、以联想Think Pad 为例
开机按F1进入BIOS,在Startup标签页下,也是能看到CSM Support选项。不过CSM也是不能打开,同样提示需要设置Secure Boot。同样在Security标签页下的Secure Boot里,Secure Boot设置成Disabled后按F10保存并重启。重启进入BIOS,在Startup标签页下,UEFI/Legacy Boot也变成可选。可以选择Legacy Only(仅传统启动),也可以选择Both(全部)。选择后,下方CSM Support也会自动变成Yes。保存并重启后进入BIOS,传统MBR设备的选项出现在了启动项里了。扩展阅读篇前言:自由软件基金会的呼吁
在2012年将近结束的时候,自由软件基金会(FSF)
发出呼吁,要求人们继续支持反Secure Boot垄断,希望签名者能达到5万人。我觉得,这个呼吁很重要。如果我们不支持,未来就无法自由地使用硬件、安装自己想要的软件。
这绝非危言耸听。而且,由于这个事件直接与Windows 8操作系统有关,因此意味着一切已经迫在眉睫了。下面,谈谈这到底怎么回事。如果你想要自己安装操作系统,下面的内容与你直接相关。1、BIOS和UEFI
所有电脑启动的时候,都会运行BIOS程序,用于初始化硬件。自从个人电脑诞生后,就一直如此。过去30年我
们都在使用类似上图的画面,设置硬件参数。不用说,BIOS 已经变得日益不适用了。1998年,Intel牵头,联合AMD、AMI、Apple、Dell、HP、IBM、Lenovo、Microsoft和Phoenix 等业界主要厂商,开始制定新一代BIOS。这个项目叫做"统一的可扩展固定接口"(Unified Extensible Firmware Interface),简称UEFI。2005年推出1.1版,目前是2.3版。
将来一开机,电脑运行的将不是BIOS,而是UEFI BIOS。等它运行结束,再载入操作系统。2、微软的态度
UEFI是一个很先进的、面向未来的规格。但是很长时
间内无法推广,原因就是微软公司不积极。Windows操作系统是桌面市场的主流系统,如果它不推广UEFI,就没有硬件厂商会跟进。所以,普通消费者对这个新规格所知甚少。
意想不到的变化,出现在2011年9月,微软毫无预兆地突然宣布,Windows 8将启用UEFI。这本来是一件好事。但是,问题是微软感兴趣的不是整个UEFI,而是UEFI的一个子规格Secure Boot。它要强行部署Secure Boot。3、Secure Boot
Secure Boot只是UEFI的一个部分。两者的关系是局部与整体的关系。Secure Boot的目的,是防止恶意软件侵入。它的做法就是采用密钥。UEFI规定,主板出厂的时候,可以内置一些可靠的公钥。然后,任何想要在这块主板上加载的操作系统或者硬件驱动程序,都必须通过这些公钥的认证。也就是说,这些软件必须用对应的私钥签署过,否则主板拒绝加载。由于恶意软件不可能通过认证,因此就没有办法感染Boot。
这个设想是好的。但是,UEFI没规定哪些公钥是可靠的,也没规定谁负责颁发这些公钥,都留给硬件厂商自己决定。现在,微软就是要求,主板厂商内置Windows 8的公钥。
4、Windows 8
首先明确,在不打开Secure Boot的情况下,Windows 8可以安装。这与安装以前版本的Windows没有差别。
但是,微软规定,所有预装Windows 8的厂商(即OEM 厂商)都必须打开Secure Boot。因此,消费者购买一台预装Windows 8的台式机或笔记本,想要在上面再安装其他操作系统(包括以前版本的Windows)是不可能的,除非关闭Secure Boot,或者其他操作系统能够通过Windows 8公钥的认证。
如果选择关闭Secure Root,那么预装的Windows 8将无法使用,需要重新安装。根据Sam Varghese测试,打开Secure Boot之后,再安装其他操作系统(包括以前版本的Windows),全部被主板拒绝。5、关于移动设备
Secure Boot对移动设备的影响,比PC还要严重。微软明确规定,所有PC主板必须带有关闭Secure Boot的选项。这不是因为微软的善意,而是因为如果不这样做,它一定会遭到反垄断起诉。
但是,在移动设备领域,微软不占优势,所以它就没有顾虑,规定所有安装Windows的移动设备的Secure Boot 必须打开,而且没有关闭选项。
微软的平板电脑Surface RT就是一个最好的例子。它的Secure Boot是打开的,没法关闭,而且微软用了一个不同于桌面电脑Windows 8操作系统的公钥,且不提供获得数字证书的途径。因此理论上,用户不可能在Surface RT上安装其他操作系统。6、结束语
Secure Boot的本来用意是保证系统安全,但现在似乎成了厂商保护市场垄断、阻碍竞争一种手段。除了微软公司,苹果公司也有这种倾向。在新一代的iPhone和iPad上面安装其他操作系统,似乎是不可能的。
自由软件基金会呼吁反Secure Boot垄断,就是基于这种考虑:用户应该拥有硬件和软件的使用自由,操作系统应该是开放的,而不是封闭的。作为一种规格,自由软件基金会并不反对Secure Boot,它只是要求硬件厂商提供便利,使得用户可以更容易地安装和管理公钥,从而使用硬件平台对所有操作系统(以及设备驱动)保持开放。我认为,这是完全合理的要求,对于保证用户的自由和业界的健康生态极
为重要。让我们一起支持这个行动(签名和捐助),密切关注事态下一步的发展。
原文地址:https://www.doczj.com/doc/1416318111.html,/thread-338413-1-1.html