只有在BIOS设置中将secure boot(安全启动)开启,才能够安装Win 11,目前无需考虑计算机配置高低问题。目前微软官方出品的测试软件,有很多符合最低配置的机器是过不了,这点无需担心!
那么什么是secure boot(安全启动)?为什么不开启它就无法安装Win11?
一、Secure Boot的作用:
小妙招
在Win 8以前的操作系统启动时,大家都知道是通过BIOS设置,然后由它打开位于计算机硬盘上操作系统的启动加载器,再加载操作系统。这是一种非常机械的指派指令,而不是一个带有检测数据的指令。BIOS并不确定启动加载器打开的,是受信任的操作系统,还是本身就是黑客软件。
进程注入代码
例如,最危险的BIOS Rootkit , VBootkit,SMM Rootkit等等Rootkits恶意软件,它们会通过感染MBR(磁盘主引记录)的方式,绕过内核检查和启动隐身。它们隐藏在硬件和操作系统之间,并在 Windows 启动前启动进行进程注入,系统即使有*毒软件也基本无法检测,它可以无限制地访问计算机的任何文件。对于BIOS而言,Rootkits类恶意软件根本防不住。
于是,为了更加安全,于是微软Win 8乃至以后的操作系统中,添加了安全启动这个功能,它完全依赖于统一扩展固件接口 (UEFI),在UEFI 中增加了安全功能和很多高级功能。与 BIOS 的容量小,无法检测,且只能烧录相比, UEFI的延展性和开放性大家有目共睹。
于是,Win 8及之后的操作系统计算机开机时,将通过UEFI 启动操作系统的启动加载器,由安全启动负责整个操作系统第一道安全门槛。
二、Secure Boot的工作原理:
Secure Boot原理
当安全启动在计算机激活时,UEFI 会最先检查硬件和软件,包括 UEFI 驱动程序、主板硬件驱动程序、操作系统,检测依据就是主板正确的硬件固件签名(公钥),软件的数字证书数据库。如果硬件和软件都符合数据库中的值,主板就开始加载正常的启动程序,开始正常安装操作系统。
三、Secure Boot的要求:
所有基于 x86 并经过 Windows认证的计算机都必须满足与安全启动相关的几个要求:
- 默认情况下,它们必须启用安全启动。
- 必须信任微软认证机构 (CA),因此微软已签署的任何引导加载器。
- 必须允许用户向 UEFI 数据库添加签名和哈希。
- 必须允许用户完全禁用安全启动。
在Win 8及之后的操作系统中,默认是必须使用Secure Boot的,不过你也可以关掉它。而在Win7中,它必须关掉,否则你的系统肯定装不了。
四、微软的做法
从上面看来,Secure Boot的出发点是好的,它可以有效防止恶意软件侵入。但实现起来没有那么简单。
首先,UEFI的Secure Boot虽然让每块主板都必须带上公钥,但没说让谁来颁发这些公钥,至于公钥的安全不安全也没人知道,于是没办法,微软想了一招:所有的厂商的主板直接内置Windows 10的公钥,这下,主板的Secure Boot实现起来就彻底简单了。
并且,微软还规定了所有预装Windows 10的台式机或者笔记本(OEM)都必须打开Secure Boot。
