我不得不清理硬盘,并在双启动设置中重新安装 Windows 10 和 Ubuntu。我有三个主分区,一个是 Windows(加上三个 Microsoft 相关分区、EFI 和 Linux 交换分区),一个是 ubuntu 根分区,最后一个是单独的主分区。
在 UEFI 中,TPM 已启用(并且我找不到专用的安全启动设置)。但是,mokutil --sb-state显示:
SecureBoot disabled
Platform is in Setup Mode
并且,运行mokutil -l列表两个密钥/证书,一个由规范颁发,另一个是 ubuntu 安全启动模块签名密钥。我有以下问题:
- 启用 TPM 与安全启动无关吗?
- 如果是这种情况,我该如何启用它?
- 这是什么
Platform is in Setup Mode意思?是好还是坏?
PS 我的笔记本电脑型号:HP da0102tu(英特尔 i3 第 7 代,4GB 内存)
答案1
据我了解,这意味着您的系统现在内存中没有任何安全启动密钥并且正在等待这些密钥,因此工厂密钥可能被意外删除了。
在设置模式下,安全启动被禁用并等待这些键。
进入设置模式对于想要验证和签署自己的启动软件的人来说很有用,以便安全启动只允许加载他们签名的 efi(例如固件、引导加载程序、操作系统)。
这是一个非常高级的选项,通常只有安全标准非常高的机构和公司才会使用。自己签署所有内容(包括更新)非常繁琐,因此我不建议普通用户这样做。
通常,制造商的密钥或 Microsoft 的密钥 (PK) 之一就在那里,它只加载 Microsoft/制造商签名的 efis(例如 Windows、一些 Linux 引导加载程序、商业恢复介质等)。不幸的是,一些 Microsoft 签名的二进制文件已被证明存在漏洞,允许黑客绕过安全启动,尽管 Microsoft 确实将它们添加到黑名单 (dbx),但 PC 必须更新才能不再被 UEFI 接受。因此,如果您让其他人进行验证,安全启动就会出现问题。输入您自己的密钥可以保护您免受这种情况的侵害,但如果您没有直接成为黑客的目标,您不必担心。
所以不存在任何直接的危险或任何事情,应该有“恢复出厂密钥”或“恢复安全启动密钥”选项,它会将原始密钥放回原位并再次启用安全启动。
希望这可以帮助遇到类似问题的其他人,为了深入研究该主题,请考虑阅读这篇文章:https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11