登录注册.
高级搜索  

作者 主题: 69--Secure Boot未正确配置水印的解析 <2013-10-20>  (阅读 3281 次)

0 会员 以及 1 访客 正在阅读本主题.

gogochen

  • 访客
69--Secure Boot未正确配置水印的解析 <2013-10-20>
« 于: 九月 10, 2014, 01:51:15 下午 »

Secure Boot未正确配置水印的解析

dongfang-M 发表于 2013-10-20

Windows 8.1发布以来,很多客户在网络上反映,安装Windows 8.1后,右下角有一个“Secure Boot未正确配置”的水印。


百度一下,提出这个问题的电脑用户还真不少,这个水印问题涉及众多品牌主板、品牌机和笔记本。

本文将对此问题做详细的解析。

一、出现这个水印的原因

出现这个水印的用户,Windows 8.1安装方式如下:
1、主板是UEFI BIOS,并采用UEFI模式安装Windows 8.1。
2、使用集成显卡的,没有在UEFI BIOS设置Secure Boot。
3、使用非UEFI BIOS独立显卡的,不能设置Secure Boot。
设置Secure Boot,开机提示检测到一个非Windows 8 LOGO显卡,而不能继续开机启动。看来根源在Secure Boot(安全启动)。

二、Secure Boot(安全启动)来历

Secure Boot(安全启动)本来是UEFI 的一部分,其目的是防止恶意软件侵入,做法就是采用密钥。UEFI规定,主板出厂的时候,可以内置一些可靠的公钥。然后,任何想要在这块主板上加载的操作系统或者硬件驱动程序,都必须通过这些公钥的认证。也就是说,这些软件必须用对应的秘钥签署过,否则主板拒绝加载。由于恶意软件不可能通过认证,因此就没有办法感染Boot。但是,UEFI没规定哪些公钥是可靠的,也没规定谁负责颁发公钥,这些都留给硬件厂商自己决定。

微软的Windows 8将启用UEFI的Secure Boot。要求主板厂商内置Windows 8的公钥。所有预装Windows 8的厂商(即OEM厂商)都必须打开Secure Boot。因此,一台预装Windows 8的台式机或笔记本,想要在上面再安装其他操作系统(包括以前版本的Windows)是不可能的,除非关闭Secure Boot,或者其他操作系统能够通过Windows 8公钥的认证。如果选择关闭Secure Root,那么预装的Windows 8将无法使用,需要重新安装。

当然,对于个人客户来说,在不打开Secure Boot的情况下,Windows 8可以安装。这与安装以前版本的Windows没有差别。

从Secure Boot(安全启动)来历可以知道启动Secure Boot(安全启动)有三个条件:
第一必须是UEFI BIOS,以前的非UEFI BIOS不支持Secure Boot(安全启动)。
第二BIOS里面安装Secure Boot Key,并开启Secure Boot Control。
第三BIOS的启动方式必须是UEFI启动。

Windows 8没有严格的启用Secure Boot,在UEFI BIOS主板上,没有加载Secure Boot Key,没有开启Secure Boot Control,也不会提示Secure Boot未正确配置。
Windows 8.1开使严格了,用UEFI模式安装Windows 8.1,如果没有安装Secure Boot Key,并开启Secure Boot Control,就会有Secure Boot未正确配置的提示。

三、微星的英特尔芯片组主板配CPU集显的Secure Boot配置

以Z87-GD65主板为例说明
3-1、开启Windows 8 Feature(Windows 8 特征)


3-2、进入Secure Boot


注意:
1-2行显示的信息:Platform Mode(平台模式)显示的是Setup,意思是Secure Boot处于设置模式。
Secure Boot显示的是Disabled,意思是Secure Boot当前是关闭的。
第3行:Secure Boot Control(安全启动管理)是Disabled。
第4行:Secure Boot Mode(安全启动模式)是Standard。

3-3、设置Secure Boot Mode(安全启动模式)

Secure Boot Control(安全启动管理)先不要管他(这个时候不能设置)。
先设置Secure Boot Mode(安全启动模式),把Standard改为Custom(自选)。

3-4、进入Key Management(密钥管理)


设置为Custom后,弹出Key Management(密钥管理),回车进入Key Management(密钥管理)子菜单。注意看PK/KEK/DB/DBX等变量是NOT INSTALLED(未安装)


3-5、Factory Default Key Provisioning(厂方提供默认密钥)设置为Enabled。


3-6、点击Install All Factory Default Keys(安装所有厂方缺省密钥)

点击后,提示:加载默认安全变量,你确实想安装厂方默认安全变量?点“yes”。

然后,PK/KEK/DB/DBX等变量变成INSTALLED(已安装)


3-7、开启Secure Boot Control(安全启动管理)
安装了All Factory Default Keys启后,再回来开启Secure Boot Control(安全启动管理)。


Secure Boot Control(安全启动管理)设置为Enabled后,系统提示:


提示的意思是:
在Setup模式下CSM(Compatibility Support Module 兼容支持模块)是关闭的,请重启后再试试。点击“OK”后,再次保存设置重启。
重启进入BIOS,可以看到Secure Boot Control(安全启动管理)已经是Enabled了。至此,Secure Boot配置完成。


Platform Mode(平台模式)是User。
Secure Boot是Enabled。
Secure Boot Control(安全启动管理)是Enabled。
Secure Boot Mode(安全启动模式)是Custom。
安装Windows 8.1,不会有“Secure Boot未正确配置”。


四、使用独立显卡的Secure Boot配置

在UEFI BIOS的潮流下,显卡BIOS也要UEFI。目前各显卡厂商也有UEFI BIOS的显卡问世,显卡的UEFI BIOS主要是为了加速启动,但是显卡的UEFI BIOS带来一个严重的兼容性问题,很多UEFI BIOS显卡不能正常开机。

4-1、显卡是支持Windows 8的UEFI BIOS
开启Windows 8 Feature(Windows 8 特征)
然后配置Secure Boot,安装Windows 8.1。

4-2、显卡是传统BIOS

4-2-1、不开启Windows 8 Feature(Windows 8 特征)


4-2-2、不用UEFI模式安装
启动模式设置为LEGACY+UEFI


用光盘安装,请选择传统的SATA:CD/DVD启动


LEGACY方式安装和UEFI方式安装除了Secure Boot外,就是硬盘分区,LEGACY方式是MBR分区,UEFI是GPT分区,这2种分区对于硬盘存取性能没有差异,区别只是MBR分区不支持大于2.2TB的分区,如果不是用3TB硬盘作系统盘,MBR和GPT分区都是一样的。
如果你的笔记本、台式机的主板BIOS不是UEFI的,也就不存在UEFI安装,当然也就不存在这个问题。

还要说明一点:UEFI安装的Windows 8/8.1和非UEFI安装的不能相互兼容。就是说你用UEFI模式安装的,在非UEFI模式下不能启动,或者说原来是非UEFI安装的,改为UEFI启动后需要重新安装系统。

4-3、如何判断显卡是否UEFI BIOS
BIOS里开启Windows 8 Feature(Windows 8 特征),F10保存重启,如果出现下面的提示,就是非UEFI BIOS,不出现这个提示能启动并进系统,那就是UEFI BIOS,而且是和主板UEFI BIOS兼容的。


提示的意思是:
系统BIOS检测到一个非Windows 8 LOGO显卡。
在这个显卡中检测不到GOP(图形输出协议)。
BIOS的Windows 8 Feature将被设置为Disabled。
按F1进入BIOS设置。
按F2加载默认值和继续。

五、微星UEFI BIOS配置Secure Boot的特点

Windows 8启动的新特征有2个:快速启动和安全启动,微星主板UEFI BIOS把这2个特征都归于Windows 8 Feature(Windows 8 特征)里面(其他品牌主板没有这样做),方便用户设置。因此要配置Secure Boot,必须先开启Windows 8 Feature(Windows 8 特征),而这个选项默认是关闭的。
开启Windows 8 Feature(Windows 8 特征)后,显示出Secure Boot。


然后才可以进入Secure Boot子菜单配置Secure Boot。


现在微软已经放出解决水印的补丁: http://support.microsoft.com/kb/2902864
更新 Windows 8.1 和 Windows Server 2012 R2 中消除"Windows 8.1 SecureBoot 没有正确配置"水印
已记录