精华内容
参与话题
问答
  • UEFI安全启动

    千次阅读 2018-11-30 06:20:51
    UEFI安全启动 老狼 UEFI固件、服务器、嵌入式产品、开源硬件从业者 52 人赞了该文章 UEFI安全引导(Secure Boot)的核心职能就是利用数字签名来确认EFI驱动程序或者应用程序是否是受信任的。在简要地介绍了...

    UEFI安全启动

    UEFI安全启动

    老狼

    老狼

    UEFI固件、服务器、嵌入式产品、开源硬件从业者

    52 人赞了该文章

    UEFI安全引导(Secure Boot)的核心职能就是利用数字签名来确认EFI驱动程序或者应用程序是否是受信任的。在简要地介绍了数字签名的概念(这是安全引导的基础)之后,我们重点介绍UEFI 安全引导是如何利用数字签名以及其他的加密方式(如Hash函数等)来确保系统引导的安全可靠。我们还会讲到Secure Boot的部署方面以及他在操作系统的安全负载方面所起到的协助作用。

     

    密码学基础

    很显然,本篇文章的重点在于安全引导,而想要更好地理解安全引导则需要一定的密码学基础。密码学是一门高深的学科,关于它的论著数不胜数,此处我们只讲大致原理,不讲细节,感兴趣的读者不妨自行寻找完整的资料来深入的理解这门学科。

     

    1. 加密Hash(散列)函数

     

    稍有了解的人都知道:散列函数h是使一个较大域的X的值变为较小范围Y的一种数学函数,同时尽可能的使X均匀投影到Y的取值空间中,这样可以减小哈希冲突(你们还记得吗?敲黑板!用数学语言来解释:存在属于X的x1和x2,有相同的对应关系Y,即h(x1) = h(x2),这种情况就叫哈希冲突)的风险,

    加密散列函数f是具有如下属性的散列函数:

    1). 很难找到x1和x2,使得f(x1)=f(x2)(这一性质通常被成为抗碰撞性(collision resistant))。

    2). 对于已知的y,很难找到一个x使得f(x)=y(这一性质通常被称为抗原像性(pre-image resistance),通俗的讲也就是单向性,即从输出反推输入很难或者耗时很长)。

    此外,加密散列函数通常用来在给定x的情况下,快速计算y=f(x)。比较出名的应用有MD5,SHA-1,以及SHA-2系列等等。

    加密散列函数在一些需要保护数据完整性的应用中是很有用的,由于其算法的特殊属性,攻击者很难在修改数据(例如某可执行文件)后不被拥有原始Hash值的人发现。同样的,即使攻击者知道原Hash值,他也做不到不改变Hash值的情况下对文件进行替换(pre-image resistance)。

    2. 公钥加密法和数字签名

    加密,是以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信息,但因不知道解密的方法,仍然无法了解信息的内容。

    人类尝试加密数据的历史悠久,从希波战争到凯撒大帝出处都有它的痕迹,可以单独写一本书,这里按下不表。但在非对称密钥出现之前,一直都是对称密钥,大家都认为,如果想要在双方之间建立机密通信,那么双方就必须约定一个共享的秘密——shared secret,依靠这个共享的密钥进行加密解密。进而如何可靠的传递密钥变得异常重要。

    公钥加密法在20世纪70年代末由Whitfield Diffie,Ralph Merkle和Martin Hellman提出。这种方法,一不需要事先约定,二不必事先知道与谁进行安全通信,也正是因为这两点特性,这一技术才会被称为是革命性的,它也是建立在这样一种概念——公钥部分和私钥部分共同组成新形式的密钥——非对称密钥。公钥可以交给任何人,而密钥的私有部分仅被其所有者知道。这就好比是通信双方,有一个人建立了一个保险柜(将保险柜的制造方法理解为私钥),将信息存入其中,并把保险柜的钥匙(公钥)交给另一方,而另一方当然可以拿着这个钥匙获取保险柜中的东西,但他不能,也不必知晓对方究竟是如何制造出了这样一个保险柜。

    在受到Hellman,Merkle和Diffie想法的启发后,Ronald Rivest,Adi Shamir和Leon Adelman在几年后发明了RSA密码系统。使用RSA,持有私钥的实体A不仅可以使用该密钥来解密由知道A的公钥的人发送给他的数据,而且A还可以使用他的私钥来对一些数据进行数字签名(给别人配钥匙),如下图所示:

    任何持有A的公钥部分并且可以访问签名数据的人,都可以通过数学手段来验证这一点:数据只能被拥有A的私钥的人来签名——也就是说,只有A可以生成该消息——并且它不会被没有私钥的人修改。

    许多需要进行加密的程序都应用了这一特性,UEFI安全引导也是其中之一:固件驱动程序的发行者可以对该驱动程序进行数字签名以保证驱动程序的真实性,并且向验证者保证,该驱动程序未被其他人(潜在的攻击者)篡改,如下图所示:

     

     

    3. 公钥基础设施

    如果你在阅读前文的过程中脑袋没有停摆,那么此时的你心里应该有一个大大的问号:虽说这个私钥不会被别人获取或破解,那么如何传递公钥呢?也就是说,依赖方(需要验证数字签名的一方)如何才能确定这个公钥A,确实就是真正的公钥,而不是伪造的呢?为了解决这一问题,我们引入了公钥基础设施这一概念(Public-Key Infrastructures ,简称PKI)。在更高的层次上,引入了一个具有极高权威的第三方,这个第三方在公钥上附加数字签名,以证明该公钥来自于对应的公钥—私钥对的创建者。可以将这类数字签名理解为“荣誉证书”,“证书”的颁发者被称为证书授权机构(Certificate Authority,简称CA)。现在双方之间的信任问题就转化为了如何去信任CA的问题。一个CA可以拥有所有权限,或是有专门的职责,比如,一个CA仅可以为个体发出证书(仅证明该个体Alice拥有公钥A),而另一个CA仅颁发出于代码签名目的的证书(证明签名者S可以使用他的私钥对(且仅对)计算机代码进行数字签名 )。通常这些特定的CA是由更高级CA进行签名认证过的。通过这样的职能划分,不但大大减小了分发顶级CA(通常称为信任锚或根CA)的数量,安全性也不减反增。顶级CA对所需的证书进行自签名,也就是说他们签署了用来自证的证书(他们自己证明自己是自己)。从技术方面来说这是不需要的 ,之所以这么做是因为依赖方(依赖于证书的这一方)需要知道这个特定的根CA确实拥有所需的公钥,因此为了方便起见(证书的一致使用),常常使用自签名证书。

    由CA颁发的证书是可以被其撤销的。撤销实际上是由CA作出的声明,表明用来产生对应公钥的某个实体(称之为B)的私钥因产生了安全问题而不再受信任:这可能是由于B丢失了他的私钥或是因为它被怀疑已经遭受了入侵或是其他的一些原因。一旦证书被撤销,它就不能再用于验证由相应的私钥做出的签名。正因如此,在数字签名上加盖时间戳有时就显得很必要:依赖方可以通过时间戳的信息来确定签名是否创建在否证书被撤销之前(时间戳本身则是由一个被称作时间戳机构(Timestamping Authority)的第三方创建,他们也需要被依赖方信任)。

    基础构架

    在介绍了散列函数和数字签名之后,我们现在可以看看它们是如何应用于UEFI安全启动中的。

    1. 信任根root of trust

    如前文所述,为了可以信任数字签名,依赖方需要知道所声称的签名者确实拥有用于创建数字签名的私钥。由于CA通常作为公证人——证明某个签名可靠的“受信任的第三方”,因此如何分发CA,对信任关系的建立尤其重要。

    在UEFI的安全启动中,有一个构成信任基石的特殊秘钥。这个秘钥就是平台秘钥(Platform Key,简称PK),此密钥的持有人能够修改平台上存在的任何其他信任锚(Trust Anchor)列表。通常,PK由设备制造商拥有,但如果一个公司需要完全掌控公司内的具有安全启动的PC时,他也可以持有PK,从而方便企业IT管理。

    2. 其他的信任锚

    除PK外,UEFI安全启动还维护两个额外的信任锚数据库:

    1). 密钥交换密钥(Key Exchange Key,简称KEK)数据库;

    2). 已允许签名(The Allowed signature)数据库。

    KEK数据库中包含了拥有修改第二个数据库权限的信任锚们。而已允许签名数据库包含了那些用来验证UEFI固件映像上的签名的信任锚。

    实际上还有第三个数据库:被禁止数据库(the Forbidden database).这一数据库包含了那些因为证书被撤销而不再受信任的签名者。

    3. 签名固件

    在UEFI安全启动中,未明确列入白名单(后面介绍)的固件必须进行数字签名并且要加盖时间戳,以便UEFI引导管理器验证映像签名。UEFI使用PE/COFF格式【1】(Windows标准的执行文件格式)和微软验证标准【2】来对固件驱动文件进行签名。PE/COFF格式中的date/time 域刚好可以用来记录时间戳。

    4. 白名单和黑名单

    UEFI安全引导不仅采用了使用数字证书这一手段来确认已签名的固件组件是否值得信赖。除了数字证书之外,UEFI安全引导还允许授权实体将特定映像散列识别为可信(或不可信)。这个授权实体是指PK或KEK的拥有者。

    该方案比大多数现有PKI具有优点,因为可以允许(列入白名单)或撤销(列入黑名单)某些个别驱动,而不是要求撤销签名者——这种操作具有潜在的造成更大范围(far-reaching)影响的可能,因为所有由该签名者签名的驱动在安全引导系统上都将失效。当来自供应商的特定驱动程序已被发现包含漏洞的情况时,这一考虑的必要性是显而易见的。这个供应商不应该被认为是恶意的,也正是为了防止该供应商的所有签名都被认作无效,我们的操作仅仅是将这一(包含有漏洞的)驱动列入黑名单(通过将其哈希值添加到禁止数据库)。而白名单的实用性体现在类似这样的情景中:当一个新驱动被检测到且未签名,此时,授权的实体可以明确地将驱动驱动的哈希值添加到已允许数据库中,从而允许系统随后引导这个驱动。

    5. 已认证变量

    从上述的的逻辑中,我们可以达成这样一种共识:想要更新任何数据库(包括KEK,Allowed,Forbidden)的一方必须且只能在有适当的授权下才能这么做。为UEFI安全启动而选取的授权模型(authorization model)也遵循这样的的设计思路,它利用了数字签名本身从而需要强化UEFI变量模型,需要对Caller也就是调用者进行身份验证,这种变量叫做已认证变量(Authenticated Variables)。简而言之,如果要更新已认证变量,调用者要在新的变量值上进行签名,之后受信任的固件在更新变量的值之前通过验证该签名来决定应否更新。

    6. 变量的回滚攻击

    现在来思考这样一个问题:如果一个旧版的Forbidden数据库更新被攻击者捕获,并在攻击者的操作下重放(replay)原操作,从而将数据库回滚至较老版本(重放攻击),这将会产生什么后果呢?最糟糕的情况是,因为平台的黑名单从不包括攻击者的证书,攻击者将一直能够使他的可疑的驱动得到运行。为了防止这种情况,任何已认证变量的更新都必须加盖时间戳。受信任的UEFI固件必须确保将要变更的变量的时间戳(它是签名的一部分)晚于当前已认证变量相关的时间戳。但是有一个例外:UEFI 2.3.1引入了一个功能,将值扩展到现有的已验证变量上(如添加到Forbidden数据库)。在这种情况下,因为更新不再影响已经存在于数据库中的变量的值,时间戳就显得不那么重要。不过即便在这种情况下,如果时间戳晚于上一次更新的时间戳,那么固件最好也更新这一时间。因为它将作为“最后已知的更新”时间,并且如果稍后还需要进行“写入”(而不是“附加”)更新请求,可能会用到这一信息。

    7. 驱动的回滚攻击

    与认证变量的回滚防止相关联的是驱动程序自身的回滚防止。如果当前驱动被曝出存在安全漏洞,因而需要发布一个新版本。除非UEFI的实现中已经包含了一些方法来确认驱动的版本(在抽象意义上),否则难以知晓这个新版本的驱动是否实际上是当前安装的驱动程序的较旧版本,而不是真正的新的版本。而敏锐的攻击者极有可能利用这一点,将一个漏洞更多的旧版本伪装成新版本发布,进而获得大量的平台控制权。

    为了防止这种情况,符合UEFI 2.3.1规范的平台必须带有固件组件的回滚预防功能。不管是查询来自相关固件的PE/COFF映像头(the PE/COFF image header of the firmware)的TimeDateStamp字段或是通过其他方式比如将版本与驱动程序相关联都可以实现这样一种功能。固件更新根据当前使用的驱动程序的时间(或版本)进行验证,并且仅当发现新驱动比当前使用的“更晚”时才进行更新。

    8. 完整性

    UEFI安全启动平台一般包含多固件组件,包括:

    1). UEFI 启动代码

    2). UEFI启动管理器

    3). UEFI 驱动

    4). UEFI应用程序

    5). UEFI 操作系统装载器

    当安全引导开始时,平台的初始化模块将会包含一个保存在只读存储器中的RSA公钥。这个公钥是用来验证UEFI启动管理器的。一旦映像验证通过,UEFI的启动管理器就会启动并通过加载和初始化EFI启动顺序变量指定的驱动来继续引导平台。在加载每个UEFI映像之前,启动管理器通过查询允许和禁止签名数据库来判断映像是否被允许加载。只有那些签名存在于允许数据库记录(或是该映像的签名者存在于已允许库中)的而且不存在于被禁止库中的(或是该映像的签名者存在于被禁止库中)才允许被加载和初始化。

    那些由于签名认证无效的或是与被禁止库记录有关联而被拒绝的映像的信息储存在一个UEFI表中,以便之后的操作系统来查询consumption(或是可能的补救)。

     

    一旦UEFI引导时和UEFI运行时服务可用,就可以更新KEK,Allowed和Forbidden数据库了(PK可能也会被修改,但这一操作很罕见)。为了防止这些库被有故障(或是有漏洞)的EFI组件被未经授权的更新篡改,最好的方法是只允许通过可信的平台组件来进行更新,从而保证在应用这些更新时,该更新的签名是有效的。

     

    部署

    安全的架构没有被正确的部署,安全性会受到极大的影响。在平台的整个生命周期中有很多个步骤和安全平台的部署相关,这里我们只讨论部分内容。

    1. 出厂时

    在支持安全启动的平台的制造过程中,平台供应商一般都会提供初始的安全引导配置.。简言之,这种配置包括:

    1). 生成初始的已允许数据库(Allowed Database)

    2). 生成初始的被禁止数据库(Forbidden Database)

    3). 生成初始的秘钥交换秘钥数据库(KEK Database)

    4). 设置平台秘钥(PK)

    当上述的最后一步业已完成时,平台将退出安装模式,并且任何涉及到以上数据库的更新都要授权(即要求包含数字签名)。

    如果已允许数据库中还包含了OS Loader(操作系统加载器,)的签名信息,安全引导配置至此已全部完成。如果这个平台的默认启动模式是安全引导,那么平台厂商还需要将安全引导变量(Secure Boot variable)设置为True;以便告知OS Loader安全引导已启用。

    2. 现场维护时

    我们前文提到过,安全启动设备部署好以后,有时会需要修改一些与安全启动相关的数据库中的内容。比如发现了一个固件映像是容易受到安全威胁的,那么他就不应该再被添加到安全引导的过程中。同样,平台所有者有时候想要添加一个新的KEK签名来允许对Allowed或Forbidden数据库进行更灵活的更新。

    我们可以通过在UEFI运行时的一些特殊的变量来进行管理。一如前文所讲,任何涉及到已认证变量的更新都要求签名,签名必须采取PKCS#7的形式,并且必须包含时间戳,以便UEFI运行时Variable服务验证此次更新不是旧版更新的重放(避免重放攻击)。

    3. 故障恢复时

    现在来考虑另外一种情况:当一个新驱动被发现与平台不兼容或者包含了使其不适合在设备上使用的缺陷。而由于安全引导不允许固件的程序回滚(因为这将使得早期固件驱动版本中的易受攻击的漏洞重新暴露出来),如果不在设计时对这种情况加以预防,当设备真正遇到这种情况时可能就会彻底不可用,造成不可估量的损失。

    好在平台和平台的管理员至少有两种方式来避免这种情况的发生:

    1). 可以为当前存在用户提供旧有的的比较稳定的固件来替代有问题的固件。

    2). 对老的固件映像重新签名,给他加一个新的时间戳以使他通过验证(老酒装新瓶)。

    这样一种“恢复”机制的存在,在不损害系统安全的情况下增强了系统的鲁棒性(或健壮性,可以理解为系统的抗干扰和自修复的能力)

     

    OS加载器

    UEFI安全引导的用途还包括调用OS加载器(OS Loader)。回想一下,在UEFI中,加载器是一种特殊的UEFI可执行文件。由于操作系统及其加载器的来源通常不同于系统板UEFI固件,加载器安全引导的职能就是将OS供应商的OS加密绑定到极有可能由另一供应商生产的硬件平台上。可能有以下几种情况出现:

     

    1. 本地存储

    大多数情况下,操作系统都是存放在本地存储器上的,例如本地的硬盘。UEFI引导管理器首先验证操作系统加载器的签名,如果通过,就将权限移交。在获得控制权后,加载器将加载os,并在此过程中的某一时刻调用 ExitBootServices() 。该调用结束后,只有UEFI运行时服务仍然可用。

    由于UEFI变量服务属于运行时服务,因此操作系统仍可能执行与安全引导有关的变量的更新,然而,验证这种更新的有效性的责任仍然在可信固件身上。

    2. 可移动介质与网络启动

    UEFI也允许从和移动介质加载操作系统。UEFI引导管理器读取引导顺序变量以确定是否优先从可移动介质或者从固定本地存储开始引导。第三种是基于网络的操作系统加载。例如使用PXE下载一个OS Loader。在这过程中,安全引导仍然会验证OS Loader的有效性。

     

    Measured Boot

    安全引导与受控引导常常容易引起混淆,在了解了这么多安全引导的知识后,我们不妨对这两个名词作明确的区分。首先来了解一下受控引导

    1. 背景

    受控引导是指这样一种引导过程:在引导过程期间加载的每个组件都被检测,结果被放置在可信任的环境中,比如TPM。在引导过程期间进行的检测可以当做证明提供给第三方,也就是说由引导测试作出关于设备状态的声明。安全引导和标准引导的组合通常称为受信引导(Trusted Boot)。

    2. 互补性关系

    安全引导提供了本地的完整性验证,而受控引导提供了平台配置的已验证声明。这些声明可能会被第三方用作平台配置的远程验证,比如用来证明平台确实遵循了某些必不可少的安全策略。

    可以看出,UEFI安全启动与标准启动既相互协调,又独立工作。需要特别指出的是,任何与平台配置相关的UEFI变量都应该被包括在受控引导的检测过程中。也正是因为这样 Allowed,Forbidden,KEK,PK四个数据库也必须包含在内。

     

    总结

    这篇文章从密码学讲起,详细阐述了公钥加密和数字签名的原理,在此基础上介绍了UEFI安全引导的功能构成,运行原理,安全保障机制,让我们对安全启动有了总体性的了解。

     

    后记

    到这里所有部分都介绍完了,安全性最近几年也越来越得到重视,也许有人还意犹未尽。下面几点我们可以回去仔细思考,在网上找找资料,对大家深入了解问题会有很大助益。

    1)我们介绍了Secure Boot和大致的Meatured Boot。现在很多Intel平台引入了Boot Guard、BIOS Guard、TXT等等新的安全手段,他们很多都是从硬件本身(当然也需要软件辅助)来提高系统整体的安全性。这些软硬件手段之间的关系是如何的,他们是替代关系还是合作关系?

    2)也许大家听说过前几年炒得不可开交的打开安全启动对于Linux圈的巨大影响。我们可以思考一下,现在Linux发行版众多,每种Linux的OS loader都有可能不同(OS loader也要验证Linux image的签名),这些由不同公司或者机构发布的Linux,如何获得签名,从而能在出厂时就打开了安全启动的PC上,得以运行呢?

    UEFI历史和架构其他文章:

    UEFI和UEFI论坛 - 知乎专栏

    UEFI背后的历史 - 知乎专栏

    ACPI与UEFI - 知乎专栏

    UEFI安全启动 - 知乎专栏

    UEFI与硬件初始化 - 知乎专栏

    UEFI架构 - 知乎专栏

    欢迎大家关注本专栏和用微信扫描下方二维码加入微信公众号"UEFIBlog",在那里有最新的文章。同时欢迎大家给本专栏和公众号投稿!

    展开全文
  • MySQL安全启动

    千次阅读 2017-05-18 13:26:43
    1、停止正在运行的MySQL...2、以安全模式启动MySQL 【Linux】运行 /usr/local/mysql/bin/mysqld_safe –skip-grant-tables & 【Windows】在命令行下运行 X:/MySQL/bin/mysqld-nt.exe –skip-grant-tables 3、完成

    1、停止正在运行的MySQL进程

    【Linux】运行 killall -TERM mysqld

    2、以安全模式启动MySQL

    【Linux】运行 /usr/local/mysql/bin/mysqld_safe –skip-grant-tables &
    【Windows】在命令行下运行 X:/MySQL/bin/mysqld-nt.exe –skip-grant-tables

    3、完成以后就可以不用密码进入MySQL了

    【Linux】运行 /usr/local/mysql/bin/mysql -u root -p 进入
    【Windows】运行 X:/MySQL/bin/mysql -u root -p 进入

    4、更改密码

    use mysql
    update user set password=password(“新密码”) where user=”root”;
    flush privileges;

    展开全文
  • 传送门:Linux secure boot(安全启动)时添加Nvidia显卡驱动 开启Secure boot情况下,在Fedora 21下安装Nvidia 显卡驱动的方法。 Nvidia显卡驱动可以从官网上下载最新版>> 点击进入 下载后添加可执行权限:...

    传送门:Linux secure boot(安全启动)时添加Nvidia显卡驱动

    开启Secure boot情况下,在Fedora 21下安装Nvidia 显卡驱动的方法。

    Nvidia显卡驱动可以从官网上下载最新版>> 点击进入

    下载后添加可执行权限:

    #chmod +x NVIDIA-Linux*.run

    注意,安装Nvidia显卡需要满足的两个条件是

    1. nouveau(默认的显卡驱动)驱动程序必须禁用

    2. Xserver(图形界面) 要停止运行

    以上两个问题的解决方法如下:

    首先按Ctrl + Alt + F2进入终端
    输入root的帐号和密码后执行以下操作
    
    1. 禁用nouveau显卡驱动
    #dracut --omit-drivers nouveau /boot/initramfs-$(uname -r).img $(uname -r) --force
    
    2. 停止Xserver
    #service gdm stop
    #service lightgdm stop

    3. 安装编译所需的程序
    #yum install gcc kernel-devel

    然后进入放NVIDIA-linux*.run的目录,执行该文件,按照提示进行操作。

    由于我这台机器已经安装好了驱动程序,就不再执行了(所以截图也就没有了)。

    注意在执行过程中,会出现提示是否使用dkms,由于在secure boot下使用dkms会导致无法开机,这里选择NO(否)。

    经过编译后会提示是否sign the kernel module(为内核模块签名),这里要选择是。接下来会继续问使用已有的密钥给模块签名还是重新生成。

    这里选在重新生成密钥。继续下去之后,密钥会在/usr/share/nvidia/下生成一个nvidia*.der(私钥)文件和nvidia*.key(公钥)文件,当提示是否删除已生成的密钥文件时,选择否,

    因为之后要用到这两个文件。继续安装程序到最后会提示无法启动模块。这是因为生成的密钥还没有添加到内核的信任库中。

    添加密钥到内核的信任列表中:

    #mokutil --import /usr/share/nvidia/nvida*.der
    
    接下来会提示输入密码,两次输入密码后重启系统。
    #reboot
    
    重启进入bootloader之后,由于进行了添加密钥操作,会触发shim,shim会要求输入上一步输入的密码来导入密钥。按步骤操作。
    
    导入密钥之后,启动时内核就可以成功加载编译过的Nvidia显卡驱动了。

    启动进入系统后,就可以正常使用了。需要注意的是,由于生成的密钥添加到了内核的信任列表中,所以对生成的私钥和公钥一定要妥善保管。

     

    Linux secure boot(安全启动)时添加Nvidia显卡驱动

    标签:class   style   log   com   使用   http   si   it   文件   

    原文:http://www.cnblogs.com/dreamyphone/p/4508090.html

    展开全文
  • 现在大部分预装的win8系统内都开启了UEFI安全启动选项,对于不习惯win8操作界面的朋友来说,可能就会把win8改为win7。但是Win8改装Win7需要在BIOS下关闭UEFI选项,本文为大家介绍如何关闭UEFI安全启动 大家都...

    现在大部分预装的win8系统内都开启了UEFI安全启动选项,对于不习惯win8操作界面的朋友来说,可能就会把win8改为win7。但是Win8改装Win7需要在BIOS下关闭UEFI选项,本文为大家介绍如何关闭UEFI安全启动

    大家都知道现在很多电脑都预装win8系统,其系统都开启了UEFI安全启动选项,然而,对于不习惯win8操作界面的朋友来说,可能就会把win8改为win7. 但是我们得知道Win8改装Win7需要在BIOS下关闭UEFI选项,如果OS选项已经关闭,但是UEFI却是灰色无法更改,如何处理呢? 接下来为大家介绍如何关闭UEFI安全启动。

    知识链:uefi启动是什么意思 UEFI启动相比Bios有什么好处

    1、当Restart项目下的OS Optiomlzed Defaults选项已经设置为Disabled


    OS Optiomlzed Defaults

    2,且Startup下的UEFI选项是灰色无法更改


    UEFI选项

    3,我们首先得恢复BIOS默认设置


    BIOS默认设置

    4,之后我们就可以看到恢复后可以更改

    5,如果依旧灰色无法选择,我们可以进入Security选项,找到Secure Boot(安全启动)


    Secure Boot(安全启动)

    6,最后一步到位—关闭UEFI安全启动,将Secure Boot 改为“Disabled”


    Secure Boot 改为“Disabled”

    全文总结:我们在为win8改win7相关的操作时,此相关操作会导致硬盘所有数据清空,所以我们在操作之前一定要做好重要数据资料备份工作。


    展开全文
  • 这是由于BIOS安全启动默认开启导致的,下面给大家介绍华硕主板电脑修改BIOS设置U盘启动的操作方法。  解决方法:  1、首先进入BIOS界面,华硕一般按快捷键F8,进入BIOS后,找到“启动”栏目,并且在该栏目下找到...
  • iOS 安全模型浅析(一) ---- 安全启动

    千次阅读 2017-03-26 20:02:03
    就目前情况来说,AppStore确实成功的将很多恶意软件拒之门外,但是对于开发者来说,应用程序的审查就是一个黑箱操作。苹果公司对应用的审查不会对外公开,所以你无法搞清楚他们是如何揪出你应用中那些不能使用的API...
  • 华硕主板更改UEFI安全启动

    千次阅读 2020-01-19 12:14:30
    一、 1. Make sure the "OS Type" is "Windows UEFI" 2.Enter "Key Management" 3. Select "Clear Secure Boot keys" (You will have the option "Install default Secure Boot keys" to restore the defau...
  • mac电脑开机是出现安全启动

    千次阅读 2019-12-27 09:09:29
    在终端输入如下命令: sudo nvram boot-args=
  • Hyper-v 2016 Linux安全启动 Windows Server 2016中的安全启动是一个很好的系统设计,用以确保操作系统的加载工具没有被篡改。对于防止计算机启动进入操作系统之前被恶意代码被注入,安全启动可以是一个很好的防御...
  • 虚拟化和禁用安全启动的设置

    千次阅读 2020-02-12 18:31:53
    虚拟化和禁用安全启动的设置 先进入bios界面 如何进入bios界面 虚拟化开启 系统设置,处理器虚拟化技术,开启 禁用安全启动 系统设置,启动选项,安全启动模式,禁用 ...
  • 关于微软Win 8安全启动的思考

    千次阅读 2011-10-03 05:45:58
    <!-- @page {margin:2cm} p {margin-bottom:0.21cm} -->  9月24日,Berry发表文章,题为“Windows8安全启动阻挡了Linux等操作系统“。对此质疑,我们应该如何看待?
  • Mac OS X:“安全启动”和“安全模式”是什么? 了解有关“安全启动”的更多信息,它是进行故障诊断时的一种特殊启动方式。 “安全模式”是一种状态,可通过执行安全启动使 Mac 启动进入该状态。要...
  • Linux终于搞定Windows 8的UEFI安全启动

    千次阅读 2012-10-25 13:25:55
    所有的Windows 8硬件设备都将默认采用UEFI(统一可扩展固件接口)的安全启动(Secure Boot),防止未经授权的引导装载程序(OS Loader)在BIOS中启动,UEFI只启动通过认证的引导装载程序,而恶意软件则无法再利用...
  • 新人第一次写博客,算是搬运google的答案吧,因为百度了两三个小时一直没解决问题,google了一次出来一个youtube视频便解决了,有种说不出来的郁闷( ̄﹏ ̄;)。 先介绍下背景,最近配了台新电脑准备搞DeepLearning, ...
  • 在安装ubuntu系统的时候,安全启动模式一定是开着的。 在系统安完之后,把这个安全启动关了,因为要装显卡驱动。 这一个安全启动模式,关系着后面好几个坑。 ...
  • Spring boot 安全启动/停止(linux for ubuntu)前言最近准备使用spring boot写一个定时任务,大家都知道spring boot的启动方式,可是放到生产环境如何安全的停止任务是个问题,带着这个问题进行资料查找。...
  • 一起看看小编带来的详细UEFI安全启动设置添加方法教程 大家应该都知现在很多预装win 8的笔记本都是有了EFI+GPT分区启动方式。它是有区别于传统BIOS的启动方式的,这种方式更安全,是一种更便捷快速的电脑启动...
  • 文档路径:ReleaseDoc\zh\01.software\board\Hi3519AV100╱Hi3556AV100 V100 安全启动使用指南.pdf 从文档中截下的boot image的结构图如下: 2.secure boot 保护了些什么 依据上图可以知道,secure boot 可以...
  • 本博客主要记录一下主板中的CSM模块以及安全启动对UEFI引导启动的影响,包括如何去启动关闭CSM以及安全启动。首先我们得了解一下他们的概念。 CSM全名Compatibility Support Module即兼容性支持模块,是UEFI的一个...
  • 暑假实习期间实习单位安排了调研四种嵌入式操作系统安全启动分析的任务,本人在操作系统方面完全是个小白,所以也着实花了一些功夫。今天将我学习到的知识整理一下,如果有不对的地方请大家指正。  目前市场上比较...
  • 关闭 Mac。在键盘上找到以下按键:Command (⌘)、Option、P 和 R。您需要在步骤 4 中同时按住这些键。启动电脑。...按下这些键,直到电脑重新启动,您会再次听到启动声。(听到三次响声)松开这些
  • 以下解决方法需要你有一个U盘PE启动盘。 今天帮网友解决一个问题:2345安全卫士服务进程怎么也杀不掉的问题。 众所周知,2345因某些原因在网友的心中口碑是非常地差,这不,这两天就有一位网友中招了。要不是担心...
  • 今天电脑上想装一个以前的老游戏,装完之后提示我要开启管理员模式安装一个安全启动的软件,结果这个软件没装成,电脑直接就关机了,然后重启之后就开始进入了自动修复的界面,提示说“自动修复”无法修复你的电脑,...
  • SpringBoot应用服务启动安全终止

    万次阅读 2017-03-14 20:42:11
    SpringBoot应用服务启动参照官方示例工程可以快速搭建简单SpringBoot应用,官方连接如下:http://projects.spring.io/spring-boot/#quick-start 闲话少叙,上代码:package hello;import org.springframework.boot....
  • 今天早上起来,打开电脑,输入账号信息进入后发现是黑屏,本以为电脑卡顿等等看,我看还是黑屏就关机重启了几次发现还是黑屏,然后进入安全模式下发现页面能打开,但是我们都知道安全模式只会加载一些必要的程序,...
  • Excel以安全模式启动

    千次阅读 2014-06-21 10:37:15
    如果用户使用的Excel程序存在某种问题,无法正常启动,可以通过安全模式强制启动Excel。Excel在安全模式下,Excel只提供最基本的功能,而禁止使用部分可能产生问题的功能,如自定义快速访问工具栏/加载宏以及大部分...

空空如也

1 2 3 4 5 ... 20
收藏数 25,073
精华内容 10,029
热门标签
关键字:

安全启动