坑爹的Secure Boot设置

      因为学习的缘故,许久没有重装系统的我又重操旧业开始了自己的装机历程。也正因为很久没有重新安装系统了,所以现在的新东西新技术就有所生疏,这不就因为一个Secure Boot差点没把我搞吐血,历时三天总算是弄明白了这个是个什么东西,对装机的影响有什么,顺便也了解了新版本的Win10是多么的坑爹,微软是多么的巨硬。

Secure Boot从字面的意思可以看出他跟安全有关系,懒得自己敲了从网上粘贴了一段这个解释大家自己看吧

什么是secure boot:

 其实secure boot是bios设置中的一个子规格,简单的来说就是一个参数设置选项,位于legacy bios的boot选项下。刚开始secure boot的目的是为了防止恶意软件侵入,但后来微软规定,所有预装win8操作系统的厂商(即oem厂商)都必须打开secure boot,在主板里面内置win8的公钥(部分主板该选项是secure boot contrl,位于security选项下),预装win8系统电脑,一旦关闭这个功能,将导致无法进入系统。也就是说,你启用secure boot,则在重装系统过程中,其他系统无法配对成功原系统的公钥,就造成重装系统失败,而当关闭secure boot之后,原先的win8系统便无法使用,需要重装。

secure boot有什么用:

1、前面提及了secure boot最初作用便是防止恶意软件侵入,它的做法就是当主板出厂的时候,内置可靠的公钥之后,其他想要在这块主板上加载的操作系统或者硬件驱动程序,都必须通过这些公钥的认证。也就是说,这些软件必须该公钥的认证,否则主板拒绝加载,由于恶意软件不可能通过认证,因此就没有办法感染boot,然而事实上它能够做到的仅仅是,当电脑引导器被病毒修改之后,它会给出提醒并拒绝启动,避免可能带来的进一步损失。

2、微软为了防止安装windows操作系统的电脑重装为其他操作系统(例如linux系统),预装win8系统的电脑都被要求采用uefi,这个接口将会替代传统bios,但是关于uefi这个标准接口,它是支持众多操作系统的(windows、linux、OS X等等),预装win8系统的电脑需要支持安全性启动机制,启动过程中涉及到的软件/固件都必须打上CA数字签名,这样,对于linux或者其他操作系统这种开源的无签名的系统就会直接阻止。因此,如果要在打开secure boot的主板上安装linux系统,这个系统就必须通过内置在secure boot中的公钥的认证。

   总结:也就是说,微软当初设计secure boot的原本用意可能是出于保证系统安全,但结果似乎成了pc厂商保护市场垄断、阻碍竞争的一种手段。

以上内容来自http://www.dafanshu.com/biosjc/1469.html


从上面的内容可以知道现在的巨硬是多么的硬了,加上现在新推出个GPT分区结构,搞的以前玩装机的那些东西差点全都灰飞烟灭。

现在再了解下什么是GPT 什么是MBR

GPT是一种新的硬盘分区标准。GPT带来了很多新特性,最大支持18EB的大容量(EB=1024 PB,PB=1024 TB);MBR最大只支持2TB,但拥有最好的兼容性。

GPT分区表:GPT意为GUID分区表,这是一个正逐渐取代MBR的新标准,它由UEFI辅住而形成的,这样就有了UEFI用于取代老旧的BIOS,而GPT则取代老旧的MBR。这个标准没有MBR的那些限制。磁盘驱动器容量可以大得多,大到操作系统和文件系统都没法支持。它同时还支持几乎无限个分区数量,限制只在于操作系统,Windows支持最多128个GPT分区。通过UEFI,所有的64位的win0,win8,win7和Vista,以及所对应的服务器都能从GPT启动

MBR分区表:MBR的意思是“主引导记录”,它有自己的启动器,也就是启动代码,一旦启动代码被破坏,系统就没法启动,只有通过修复才能启动系统。最大支持2TB容量,在容量方面存在着极大的瓶颈,那么GPT在今后的发展就会越来越占优势,MBR也会逐渐被GPT取代。

MBR支持条件

1、最多支持4个主分区

2、支持2.2T容量以下的硬盘分区。

3、支持win7版本系统以下的32位和64位。

4、要有MBR引导扇区和一个主分区。

GUID支持条件

1、最多支持128个主分区,没有扩展分区和逻辑盘。

2、支持2.2T容量以上的硬盘分区。

3、支持win7版本以上的64位系统(不支持32位系统)。

4、要有ESP分区和一个主分区。

以上内容来自百度知道

因为存储设备的成本下降,现在动辄TB级别的硬盘满地都是,而且还很便宜,所以GPT就流行起来了,因为MBR分区只能对2TB以下的硬盘好用,再大了就没办法管理了,就好比32位的操作系统对内存的管理只能局限再4GB一样,你机器内存就算装上8GB了,只要用的是32位的操作系统他只能管理4GB以内的,再多了只能晾着。

“反正我也认不了,晾着吧。”——32位操作系统的内心独白。

所以GPT就出来了,这个东西是不错,但是新东西都有个毛病——就是兼容行超差。比如64位的操作系统刚刚出来的时候好多老软件都没办法运行,后来通过不断的改进加入新技术才能保证了兼容行,但是新的就是新的,他代表了发展趋势,也代表了将来的应用方向。新东西出来了以前的老的那些软件还有老的装机办法在新系统上就玩不转了,比如Win10 安装MBR分区的机器上时候。

好了说了半天技术铺垫该说说正题了。

我自己的电脑是联想的V330,这个是2017年底出的支持8代酷睿的笔记本,因为是8代酷睿所以就弄了很多新技术,以前在7代6代或者更早的3代酷睿上遇不到的坑让我全踩了个遍。

这个本子的BIOS是支持UEFI的,但是不知道联想是怎么想的弄的界面还是跟以前的BIOS没什么区别,也不支持鼠标啊什么的操作,反正很LOW。因为是个商用版的本子,所以他的bios中是支持非windows10系统启动的,正因为是这个东西才搞的我装个系统折腾了好几天。先说下他奇怪的Secure Boot设置看下图

从图中可以看到直接可以选择的是Secure Boot 选项是可以直接选择关闭和打开的,但是下面灰色部分的几个选项是无法直接进行修改调整的,这个是第一坑,如果你不吧Secure Boot Status 选项Disabled了,你在系统安装的时候就出现下图这种情况。

但是怎么把Secure Boot Status 选项Disabled了呢?操作很麻烦!!!

首先要进到下图界面把Storage选项选择为RSH。注意 RSH不一定能让你的电脑能启动,因为现在的硬盘都是SATA接口的,需要用到AHCI模式才能正常启动,所以调整好Secure Boot Status后,还得把这个改回去。

然后到下图中,选择Reset To Setup Mode 按Enter键,这样这个选项就能把Secure Boot Status改 Disabled。

如果不行还得先进入到下图把OS Optimized Default 改为other ,然后选择Load Default Settings,然后再重复上面的步骤,这样就完成了Secure Boot Status 设置,然后把Secure Boot  也改为Disabled,接着把OS Optimized Default 改为Enable,进入Configuration  把Storage 设置改回到AHCI。存盘退出重启电脑。

重启完成之后还没有结束。

现在只是说你用光盘安装系统不能写入系统这个问题解决了(我用的是PE安装的光盘镜像文件)。余下的就和GPT MBR开始杠上了。新版本的Windows10 1709 1809等版本默认用Uefi启动,强制用MBR也不是不可以,但是就与你的硬盘容量有关系了:<2.2TB的硬盘就可以MBR,缺点就是只能分四个主分区,多了得用扩展分区然后慢慢分割,这种分法也没啥不好,反正从DOS时代到现在大家都这么过来的,只不过现在人喜欢独立分区,因为独立分区方便删,扩展分区删了重建比较啰嗦(其实我也没觉得的多啰嗦,这个年头谁没事干分几十个区来存文件?要目录是干啥的!!分区存东西的时代有点中古了。一般也没人天天删分区建分区玩。)。现在流行大容量的硬盘,这样存电影啊照片啥的方便,一般文件撑死几百GB到头了,但是视频和照片随便搞搞几个TB就没了。想给电脑存很多照片又懒得弄移动硬盘来回搬运,这个简单上个3TB的硬盘就行了。但是问题来了,3TB容量太大了,MBR不能识别所以GPT就冒出来了。

如前文所述GPT可以分很多很多的区(最多128个区),也能管理很大很大硬盘(最大支持18EB的大容量(EB=1024 PB,PB=1024 TB)),但是他装系统必须要建立2个特殊格式的分区ESP和MSR,其中ESP是存储引导信息的,下面的描述很专业我就再偷下懒了。

esp就是efi系统分区,用于保存系统引导文件;msr是微软保留分区, GPT格式磁盘用于安装Win7/8系统都会自动创建该分区。EFI系统分区,即 EFI system partition,简写为ESP。ESP 是一个 FAT16 或 FAT32 格式的物理分区,但是其分区标识是 EF (十六进制) 而非常规的 0E 或0C,因此,该分区在 Windows 操作系统下一般是不可见的。支持 EFI 模式的电脑需要从 ESP 启动系统,EFI 固件可从 ESP 加载EFI 启动程序或者应用。MSR分区(Microsoft Reserved Partition,缩写MSR)即Microsoft 保留 (MSR) 分区。是每个 在GUID 分区表 (GPT) 上的 Windows操作系统(windows7以上)都要求的分区。系统组件可以将 MSR 分区的部分分配到新的分区以供它们使用。例如,将基本 GPT 磁盘转换为动态磁盘后,系统分配的 MSR 分区将被用作“逻辑磁盘管理器”(LDM) 元数据分区。MSR 分区的大小会因 GPT 磁盘的大小不同而发生变化。对于小于 16 GB 的磁盘,MSR 分区为 32 MB。对于大于 16 GB 的磁盘,MSR 分区为 128 MB。MSR 分区在“磁盘管理”中不可见,用户也无法在 MSR 分区上存储或删除数据。

   来自百度知道

现在Windows10安装系统的时候默认就用ESP引导,以前用MBR模式多简单,空盘用FDISK区一分重启然后直接安装然后等待然后重启然后再等待然后就完事了,不空的盘先需要安装的分区格式化一下然后直接安装然后等待然后重启然后再等待然后就完事了。现在不一样了,空盘安装分出ESP和MSR分区然后建立GPT数据分区,然后安装然后等待然后重启然后等待然后就完事了。当然现在Windows比较傻瓜化,你空盘安装的时候他自动就给你建好ESP、MSR、GPT分区。问题是你不是空盘的时候就比较麻烦,你需要有ESP分区,然后把数据区删除为空白分区,记住是删除掉你需要安装的分区,然后点击下一步然后就能安装系统了。否则,就报错说这个分区无法识别此分区无法安装之类的废话(无法无法识别此分区还能拷贝文件进去,不知道写这个提示的程序员是咋想的)。

总结一下

现在的电脑都有Secure Boot设置,这个东西本来是为了安全考虑的,现在被巨硬改变成正版系统认证的一个东西了,你不按照他那个繁琐的套路进行设置是没办法关闭的,不关闭你的系统还没办法安装,然后就是繁琐的win10安装步骤,反正用原版系统盘安装干净系统的是很坑爹,得按照我上面些的那些内容一步一步来,否则会系统起不来,或者干脆装不上去。如果你想省事用那些GHO镜像版装个系统啥的可以忽略此文,反正那些东西很傻瓜化,但是代价就是你不知道你的电脑里面装过些什么乱七八糟的东西,系统的服务也被改的面貌全非,鬼知道你什么时候需要用到那个奇葩的服务的时候他给你报错了,毕竟Windows是个封闭的系统,虽然用起来很傻瓜化,但是维护起来就很麻烦了,出毛病只能重装重装重装(PS我维持的最好的一个记录是4年多没有重装过Win10,主要是我懒得装了,里面系统也出过几个毛病比如有段时间网卡不能手动更改IP了,只能自动获取,我将就了好久,最后系统自动更新到1703后这个问题才解决)。最后再说一句Secure Boot在系统安装完成后我还得设置打开,不然我的那个指纹识别模块的驱动就无法正常驱动,坑爹的Secure Boot设置!!1

推荐阅读更多精彩内容