gpu@biso secure

Posted on Edited on Views:

BIOS(Basic Input/Output System,基本输入输出系统)Secure Boot(安全启动)是现代计算机中的一项安全功能,主要用于防止恶意软件在操作系统加载之前运行,确保系统启动过程中只执行可信的代码。

🔐 Secure Boot 简介

Secure Boot 是 UEFI(统一可扩展固件接口)的一部分,它替代了传统的 BIOS,并提供了更强的安全控制能力。

Secure Boot 的核心思想是:

  • 在系统启动时,固件(UEFI)会检查引导加载程序(bootloader)是否有有效的签名
  • 如果引导加载程序的签名不在 UEFI 的“受信任密钥列表”中,系统就会拒绝启动;
  • 这样可以防止 rootkit、bootkit 或其他形式的恶意软件在系统加载前植入。

🛡️ Secure Boot 的工作流程

  1. UEFI 固件启动
  2. 固件检查 Bootloader(如GRUB或Windows Boot Manager) 的数字签名;
  3. 如果签名是受信任的(即签名证书在系统的安全数据库中),继续启动;
  4. 如果签名不受信任,则显示警告或停止启动过程。

✅ 优点

  • 提高系统安全性:防止启动级恶意软件(如bootkits);
  • 企业/组织合规性:满足某些安全标准(如微软Windows认证);
  • 结合 TPM 更强安全性:与TPM(可信平台模块)协同使用可进一步增强信任链。

⚠️ 注意事项

  • 开启 Secure Boot 后,一些 Linux 发行版或自定义驱动/系统可能无法启动,因为它们的 bootloader 或 kernel module 没有签名或签名不被受信任;
  • 某些用户为了安装双系统或运行自定义内核,可能会选择在 BIOS/UEFI 设置中手动关闭 Secure Boot。

🔧 管理 Secure Boot(一般流程)

在 BIOS/UEFI 设置中找到相关选项:

  1. 重启电脑并进入 BIOS/UEFI(通常按 F2、Del 或 Esc);
  2. 找到 “Secure Boot” 选项;
  3. 可选择启用(Enabled)、禁用(Disabled)或自定义(Custom);
  4. 在 Custom 模式下可以添加、删除、管理受信任的密钥。