详解SecureBoot和Winows8及UEFI启动的关系.pdfVIP

很多同学都发现了， 在安装 Windows 8 或是带 UEFI 启动的电脑时要更改 BIOS 里的 Secure Boot 值！ 比如戴尔的 INS14R-5420,INS15R-5520,INS14R-5421,INS660,V270,V5460 等机型！ 什么 Secure Boot 呢！它和 Windows 8 还有 UEFI 启动有什么关系呢！ BIOS 和 UEFI 所有电脑启动的时候，都会运行 BIOS 程序，用于初始化硬件。 BIOS 是英文 Basic Input Output System 的缩略语，直译过来后中文名称就是 基本输入输 出系统 。其实， 它是一组固化到计算机内主板上一个 ROM 芯片上的程序， 它保存着计算机 最重要的基本输入输出的程序、系统设置信息、开机后自检程序和系统自启动程序。 其主 要功能是为计算机提供最底层的、最直接的硬件设置和控制。 自从个人电脑诞生后，就一直如此。过去 30 年我们都在使用类似上图的画面，设置硬件参 数。不用说， BIOS 已经变得日益不适用了。 1998 年，Intel 牵头，联合 AMD 、AMI 、Apple 、Dell 、HP、IBM 、Lenovo 、Microsoft 和 Phoenix 等业界主要厂商，开始制定新一代 BIOS 。这个项目叫做 统一的可扩展固定接口 （Unified Extensible Firmware Interface ），简称 UEFI 。2005 年推出 1.1 版，目前是 2.3 版。 新型 UEFI ，全称“统一的可扩展固件接口” (Unified Extensible Firmware Interface) ， 是 一种详细描述全新类型接口的标准。 这种接口用于操作系统自动从预启动的操作环境， 加载 到一种操作系统上，从而使开机程序化繁为简，节省时间。 从 2012 年 9 月以来，电脑运行的已经不是 BIOS ，而是 UEFI BIOS 。等它运行结束，再载 入操作系统。 - 微软的态度 UEFI 是一个很先进的、面向未来的规格。但是很长时间内无法推广，原因就是微软公司不 积极。 Windows 操作系统是桌面市场的主流系统，如果它不推广 UEFI ，就没有硬件厂商会跟进。 所以，普通消费者对这个新规格所知甚少。 意想不到的变化， 出现在 2011 年 9 月，微软毫无预兆地突然宣布， Windows 8 将启用 UEFI 。 这本来是一件好事。但是，问题是微软感兴趣的不是整个 UEFI ，而是 UEFI 的一个子规格 Secure Boot 。它要强行部署 Secure Boot 。 Secure Boot Secure Boot 只是 UEFI 的一个部分。两者的关系是局部与整体的关系。 Secure Boot 的目的，是防止恶意软件侵入。它的做法就是采用密钥。 UEFI 规定，主板出厂 的时候， 可以内置一些可靠的公钥。 然后， 任何想要在这块主板上加载的操作系统或者硬件 驱动程序， 都必须通过这些公钥的认证。 也就是说，这些软件必须用对应的私钥签署过，否 则主板拒绝加载。由于恶意软件不可能通过认证，因此就没有办法感染 Boot 。 这个设想是好的。但是， UEFI 没规定哪些公钥是可靠的，也没规定谁负责颁发这些公钥， 都留给硬件厂商自己决定。 现在，微软就是要求，主板厂商内置 Windows 8 的公钥。 Windows 8 首先明确，在不打开 Secure Boot 的情况下， Windows 8 可以安装。这与安装以前版本的 Windows 没有差别。 但是，微软规