BIOS中的‌Secure Boot（安全启动）

‌Secure Boot（安全启动）是一种基于UEFI固件的安全机制，旨在确保计算机仅加载和执行经过认证的软件，防止恶意程序在启动过程中运行‌。其核心原理包括密钥验证、链式签名检查及硬件支持，主要应用于操作系统安装和启动阶段的安全防护。‌‌

‌Secure Boot的工作原理‌

Secure Boot通过以下多层验证机制实现安全防护：

‌密钥与证书管理‌：UEFI固件存储受信任的公钥证书，用于验证启动加载程序（如Windows Boot Manager）的签名，签名需由可信证书颁发机构（CA）签发。‌‌

‌链式验证流程‌：
固件验证启动加载程序的签名。
启动加载程序验证操作系统内核及驱动程序的签名。
每个环节的验证形成连续链条，确保组件未被篡改。‌‌
‌硬件支持‌：需UEFI固件、TPM（可信平台模块）或eFUSE等硬件配合，密钥可存储在固件或硬盘的UEFI分区中。‌‌
功能启用与调整‌

‌启用/关闭方法‌：进入BIOS的Security或Boot菜单，调整Secure Boot Control为Enabled（启用）或Disabled（关闭），部分设备需选择OS Type（如Windows UEFI mode或Other OS）。‌‌
‌密钥恢复‌：若设置无法更改，需通过Key Management重置为出厂默认密钥（如Restore Factory Keys）。‌‌
‌应用场景与限制‌

‌操作系统安装‌：安装程序会将公钥嵌入硬盘的UEFI分区，私钥存储于固件，确保后续启动验证。‌‌
‌兼容性问题‌：可能导致第三方系统（如Linux发行版）或PE工具启动失败，需临时关闭或导入自定义密钥。‌‌