首页 » 安全 » 如何在 Windows 电脑上检查并启用安全启动
安全启动通过验证有效签名和阻止未经授权的软件来保护启动过程。
要启用此功能,计算机必须使用 UEFI 和 GPT 分区;如果已启用 CSM,请将其禁用。
如果显示“未激活”,请在 UEFI 中将安全启动密钥恢复到出厂设置。
安全启动是系统保护的关键组成部分: 它可以防止在启动过程中加载未经授权或恶意软件。它已集成到现代固件(UEFI)中,虽然大多数计算机都支持它,但由于 BIOS/UEFI 设置或启动模式的原因,它有时会显示为禁用或不兼容。如果您正在准备升级到 Windows 11 或只是想增强您的电脑性能,建议您启用它。
本指南将清晰解释它是什么,如何检查它是否正常工作,以及在必要时如何操作。 如何通过 Windows 设置和 UEFI 逐步激活它您还将看到如果显示为“未激活”该怎么办、如何恢复密钥、使用 BitLocker 时应采取哪些预防措施,以及一些针对流行品牌(戴尔、联想、惠普、华硕、微星等)计算机的注意事项。
什么是安全启动?为什么启用安全启动是个好主意?
安全启动是 UEFI 的一项功能,它使用加密签名来验证在操作系统之前加载的软件。 它只允许启动由受信任的制造商(例如微软)签名的组件和经过验证的驱动程序。这样可以防止 rootkit 或其他恶意代码在启动过程中偷偷潜入,而启动是一个特别关键的时刻。
如果您需要运行不受支持的操作系统或工具(某些恢复实用程序、旧环境等),您可以暂时禁用它。 请注意:禁用此功能会显著降低设备的安全性。所以,如果你没有明确的理由,建议在初期保持活跃状态,以获得稳定性和信心。
就需求而言, Windows 11 它要求机器兼容UEFI和安全启动。 启动 Windows 10 并非绝对必要。但是,启用此功能可提供额外的保护,并且是兼容计算机上升级到 Windows 11 的必要条件。
如何检查您的电脑是否启用了安全启动
Windows 提供了一种直接的检查方法。按 Windows + R,输入 msinfo32 并确认。在“系统信息”中,找到“BIOS模式”和“安全启动状态”。 如果 BIOS 模式为 UEFI 且状态显示为“已启用”,则说明您的 BIOS 已是最新版本。如果 BIOS 模式为 Legacy(或 CSM),则首先需要切换到 UEFI,并且很可能需要将磁盘转换为 GPT。
同一面板上也可能出现“不兼容”字样。 在这种情况下,主板或其固件不支持安全启动。或者存在阻止此操作的设置。实际上,在现代系统中,禁用 CSM 并使用 GPT 分区的 UEFI 通常足以将状态更改为兼容。
另一个有用的线索来自一些安全解决方案。如果您看到警告“您的电脑在启动时容易受到恶意软件攻击。安全启动已禁用。“解决方法是进入 UEFI,然后在安全或启动部分启用它。”
先决条件和关键检查
在触摸任何物品之前,你应该检查以下三个方面: 启动模式(UEFI)、分区样式(GPT)和加密方式(BitLocker)如果一切顺利,整个过程将会很快,不会有任何意外。
启动模式:如果在 msinfo32 中看到“BIOS 模式:UEFI”,则完美。 如果显示的是 Legacy/CSM,则需要在 UEFI 中进行更改。这种更改通常需要将系统磁盘格式化为 GPT;否则,更改后计算机将无法启动。
有哪些高级设置?磁盘分区样式:打开“磁盘管理”(Windows + X > 磁盘管理),右键单击系统磁盘(Windows 所在的驱动器),转到“属性”>“卷”,查看“分区样式”。 必须是“GUID分区表(GPT)”。如果显示的是“MBR”,您可以使用 Windows 自带的 MBR2GPT 工具进行转换。
BitLocker 和设备加密:如果您使用 BitLocker 或设备加密, 更改 UEFI 设置(例如启用安全启动)后,重启时可能会提示您输入恢复密钥。为避免丢失数据访问权限,您务必在继续操作前找到它。
TPM 2.0(适用于 Windows 11):这不是安全启动本身的必要条件,但却是 Windows 11 的必要条件。按 Windows + R,输入 tpm.msc 并检查“状态”。 如果显示“准备就绪”,则表示 TPM 已启用。如果不行,您需要在 UEFI 中激活它(在安全或高级设置中查找“TPM”、“PTT”或“fTPM”)。
使用 MBR2GPT 将 MBR 磁盘转换为 GPT
在仍然以传统模式启动的计算机上,你会发现系统磁盘是 MBR 格式。 MBR2GPT 工具允许您在不重新安装的情况下将其转换为 GPT 格式。尽量降低风险(尽管始终建议做好备份)。
以管理员身份打开命令提示符并运行预验证。使用与您的计算机对应的磁盘编号(在“磁盘管理”中,通常显示的是系统驱动器)。 迪斯科0):
验证命令:mbr2gpt /validate /disk:0 /allowFullOS
如果验证正确,则启动转换: Windows 将调整分区并准备 UEFI 启动.
转换命令:mbr2gpt /convert /disk:0 /allowFullOS
转换完成后,进入 UEFI 并将启动模式更改为 UEFI(禁用 Legacy/CSM)。 如果不进行此项更改,计算机可能无法启动。一旦进入纯UEFI模式,您将能够 在 Windows 10 中启用安全启动.
从 Windows 系统或启动过程中进入 UEFI/BIOS。
有两种常见方法可以访问此功能。直接方法是重启设备并反复按相应的按键(不同制造商的按键可能有所不同)。 Del、F2、F10、F12 或 Esc如果您在按键时遇到困难,Windows 提供的引导式选项会很有用。
在 Windows 10 中:转到“设置”> 更新与安全 恢复。在“高级启动”下,点击“立即重启”。 然后依次选择“故障排除”>“高级选项”>“UEFI固件设置”>“重启”。系统将直接启动到UEFI屏幕。
在 Windows 11 中:设置 > Windows更新 > 高级选项 > 恢复。在“高级启动”下,选择“立即重启”,然后像之前一样选择。 故障排除 > 高级选项 > UEFI 固件设置.
在华硕电脑上,即使电脑完全关机,您也可以保持…… F2 然后按下电源按钮进入UEFI;在较旧的华硕台式机上,有时会使用这种方法。 苏普. 在华硕便携式游戏机上,开机时音量减键会保留。 实现配置。
在 UEFI/BIOS 中逐步启用安全启动
具体位置因主板而异,但原理类似: 禁用 CSM,确保操作系统类型为 Windows UEFI,并启用安全启动。然后保存更改并重新启动。
查看“安全”、“启动”、“高级”或“身份验证”选项卡。在许多计算机上,您会看到一个名为“安全启动或“安全启动”。在其他系统中,它是通过“操作系统类型”进行管理的。
修复 Windows 10 中的 USB 端口过载错误– 停用 CSM/Legacy:如果 «CSM如果选择“或“传统模式”,请将其设置为“禁用”。安全启动需要纯 UEFI 启动。
– 操作系统类型:如果有«Windows UEFI 模式与“其他操作系统”相比,选择第一个选项可在某些固件上自动启用安全启动。
– 安全启动:设置选项为 已启用在某些接口中,“安全启动状态”行无法手动更改;启用其控制并保存配置时,该行会自动更新。
保存更改并退出 F10 (或者选择“保存并退出”菜单)。计算机将重新启动,返回 Windows 后,您可以在 msinfo32 中确认“安全启动状态”现在显示为“已启用”。 否则,请检查安全启动密钥,正如我们在下面解释的那样。
当显示“未激活”时,安全启动密钥管理和故障排除
如果状态仍然为“未激活”或您无法启用它,通常这样做会有帮助。 恢复出厂密钥该菜单可能名为“密钥管理”、“安全启动密钥”或类似名称。其目的是删除当前密钥并重新安装默认密钥。
在配备经典 UEFI 界面的华硕笔记本电脑、一体机或游戏主机上:
1) 在安全启动中,启用 安全启动控制 启用并输入 密钥管理.
2)执行 重置为设置模式 清理数据库中的键。
3)接下来,选择 恢复出厂密钥 并确认为“是”。
4)按 F10 保存更改。 重启后,状态应该会更新。.
在带有“UEFI 中的 MyASUS”界面的华硕设备上,操作过程非常相似: 启用安全启动控制打开“密钥管理”,按“重置为设置模式”,然后按“恢复出厂密钥”并保存。 重启后状态会进行调整.
在华硕台式机上,如果看到“安全启动模式”,请切换到 定制 要访问密钥管理,请选择 清除安全启动密钥确认后,然后,“安装默认安全启动密钥按F10保存设置。 这将重新安装默认密钥并启用安全启动。.
请记住以下两个常见细微差别:
– 在许多固件中,“安全启动状态»(启用/未启用)不可手动编辑;它取决于控件是否启用以及是否存在按键。
– 在某些型号上,状态会在“用户”和“配置”之间切换,具体取决于是否加载了安全启动密钥。 钥匙在手,安全状态正常。.
华硕电脑快速指南:标准 UEFI 和 MyASUS
对于使用华硕产品的用户来说,这里有一份实用总结。 按 F7 进入高级模式,转到“安全/启动”并启用“安全启动”。 这是大致的命名规则,根据版本不同,名称会略有变化。
经典UEFI界面(笔记本电脑和台式机):
- 按 F7 进入“高级模式”。
- 进入 安全 然后在 安全启动.
- 调整 ”安全启动控制» 启用(或在某些台式机上“Windows UEFI 模式”中的“操作系统类型”)。
——谨防 F10 点击“接受”进行确认。
“UEFI 中的 MyASUS”界面(笔记本电脑):
- 进入 ”Avanzada配置文件» 使用 F7。
- 打开 安全 > 安全启动.
- 放 ”安全启动控制» 已启用。
——谨防 F10 并确认。 如果状态持续为“未激活”,则表示该状态仍然为“未激活”。按照上述“密钥管理”程序进行操作。
华硕台式机补充说明:某些固件使用 « 管理安全启动操作系统类型选择“Windows UEFI 模式”启用它;选择“其他操作系统”禁用它。 如果您使用未签名的工具,则可能需要暂时使用该选项。但请记住,要恢复保护作用,需要反向操作。
如果我没有 Delete 键,该如何删除?如果您使用的是华硕 PRIME A320M-K(或其他 AM4 主板),并且 PC 健康检查提示缺少安全启动,请检查以下几点:
– 在 msinfo32 中,“Modo BIOS:UEFI“。
– CSM 已禁用。
- “Windows UEFI 模式» 在“操作系统类型”中选择。
钥匙已恢复出厂设置。
– 在 msinfo32 中检查 «安全启动状态» 保存并重启后变为“已启用”。
使用 BitLocker 和安全解决方案时需要考虑的要点
如果您的磁盘已使用 BitLocker 或设备加密进行加密, 请将您的恢复密钥放在手边。 在修改 UEFI 设置之前,请注意:修改安全启动或 TPM 等参数后,Windows 可能会在首次启动时要求您提供相关信息。您可以在 Microsoft 帐户或激活时保存该设置的位置找到它。
如果防病毒程序和安全套件检测到安全启动已禁用,则可能会显示警告。例如,在 Avast One 中,会显示以下消息:“您的电脑容易受到启动恶意软件的攻击。“。 解决方案不在于杀毒软件本身,而在于访问 UEFI 并启用安全启动。 如您所见,可从安全或启动选项中进行设置。
常见问题和常见错误
我可以在不丢失数据的情况下启用安全启动吗?可以。 启用安全启动不会擦除您的信息需要注意的是,将 MBR 转换为 GPT 时(使用 MBR2GPT 和之前的备份),以及如果磁盘不是 GPT 格式,则切换到 UEFI 时。
我已经启用了安全启动,但是 Windows 无法启动系统磁盘可能仍处于 MBR 模式或 CSM 模式处于活动状态。 禁用 CSM,使用 MBR2GPT 将磁盘转换为 GPT,并以 UEFI 启动。如果您使用 BitLocker,它可能会要求您输入恢复密钥。
我在UEFI设置中看到了“安全启动状态”,但我无法更改它。这正常吗? 该指标反映的是状态,而不是调整值。您需要更改的是“安全启动控制”或“操作系统类型”。保存并重启后,状态将会更新。
具体选项在哪里?它们因制造商和固件版本而异。 请联系您品牌的技术支持(戴尔、联想、惠普、华硕、微星等)。 如果命名规则不匹配。在华硕主板上,最常见的路径是“安全”>“安全启动”或“启动”>“安全启动”。
如果我需要使用未签名的系统怎么办?您可以暂时禁用安全启动。 冒险尽快重新激活它。在某些台式机上,选择“操作系统类型”下的“其他操作系统”即可禁用它,选择“Windows UEFI 模式”即可再次启用它。
TPM 2.0 未显示或未准备就绪。请在 UEFI 的“安全”或“高级”设置中搜索“TPM”、“PTT”(Intel)或“fTPM”(AMD),并启用它。 对于 Windows 11,TPM 2.0 和安全启动必须正常运行。.
按照视频教程操作后,PC 健康检查仍然报错。有时甚至会缺失。 恢复密钥 或者完全禁用 CSM。重复运行 msinfo32 并确认“BIOS 模式:UEFI”和“安全启动状态:已启用”。 如果仍然失败,请检查密钥管理并安装默认密钥。.
启用 UEFI,磁盘格式化为 GPT,并安装了安全启动密钥, 启用安全启动只需在 UEFI 中进行几项更改即可。它提供的额外保护是值得的,尤其是在迁移到 Windows 11 或处理敏感信息时。
相关文章:如何立即在 Windows 10 中启用安全启动!