如何看待微軟允許OEM鎖定Windows 10電腦的Secure Boot的行為？

01-12

Solidot | 微軟允許OEM鎖定Windows 10電腦的Secure Boot

我對此表示不太樂觀。

因為微軟曾經在Designed For Windows 8的時候是明確要求OEM廠商必須提供關閉 Secure Boot 的選項(manufacturers must either allow computer owners to disable the boot restrictions, or provide a sure-fire way for them to install and run a free software operating system of their choice)，否則就構成了壟斷行為

雖然現在是「不再要求」OEM在UEFI 中提供的「關閉 Secure Boot」的選項，但我還是感到有些擔憂：說是不再要求，那就是說廠商自己決定要不要提供選項，以後自己搞小動作就可以賴給別人了。

不過話說回來：openSUSE，Ubuntu，Fedora 等一眾主流發行版早已支持 Secure Boot

win8時就鬧過一次，當時引起軒然大波，微軟後來退縮了。現在提法很怪異，「關閉secure boot」是可選項？估計想搞小動作。

linux發行版現在大部分都支持secure boot。關鍵是固件中enroll哪些OS證書。linux一盤散沙，如何管理證書和發布證書都是問題，還曾經linux都要去微軟那裡申請簽名的事，現在情況好些了，大家越來越關注安全，不過還是不夠團結。有空把這些狗血的事寫篇文章。

secure boot原理可以來我的專欄看看。

這裡我看幾個人的回復好像覺得Secure Boot是微軟搞的，「不再強制要求OEM給出解鎖選項」==「強制要求OEM鎖定」。

這樣的邏輯我有點不懂。。。

下面是我的觀點：部分常見的Linux發行版不需要理這個，有這種需求的去買可以關或者給出導入公鑰介面的主板。

就像我有玩頂級遊戲需求我就不指望4000塊錢的筆記本能滿足我的需求一樣，個人需求個人特殊對待

要折騰還要輕便，還是得搞准系統（逃

很多筆記本都是圍繞著已經裝上去的那個系統來設計的，本來就沒有什麼修改的空間。想想rmbp和thinkpad，哪個刷了別的系統之後會更散熱？

普通用戶沒影響，因為他們幾乎不會裝非window以外的系統，但是對於折騰用戶，或者是專業領域的用戶，就麻煩了，到時候想裝個Linux等非window系統的也不容易了

這樣一來，一旦鎖了 Secure Boot 的話，Clover 安裝起來就比較麻煩了。

幾乎不會有任何負面影響，但是win生態系統更安全。首先，台式OEM幾乎不可能因為這個去鎖定，否則生意別做了。其次，鎖定一般只會是那些平板產品，這些產品用戶都是買來就用，幾乎不可能有人拿他們去折騰系統，所以更安全了。

SecureBoot是一項安全措施。並且Ubuntu也支持SecureBoot（在Hyper-V中可以不關閉安全啟動安裝Ubuntu）。所以在2017年的今天，強制使用SecureBoot已經不是一項壟斷行為。

如果你們認為像Linux這樣免費下載的軟體不需要安全措施來防止系統被篡改，那麼請回想一下之前的XCode被掛馬的事件。操作系統作為一種底層的存在，是最有必要保證安全性的，不管你用的是Windows還是Linux還是Mac。

你們生產的電腦，只要掛上我的Logo，就得按照我的安全標準來。

話說有人還不信Ubuntu可以在安全啟動環境下安裝。你們用的可能是假的Ubuntu。（沒錯，安全啟動就是用來防假的Ubuntu的）

允許關閉這個設置，不是說一定要關閉。

以後不買關閉這個設置的電腦或者筆記本。

另外可以刷UEFI呀。

我在06年的時候給一個朋友裝過一台美國帶來的dell筆記本。因為vista他用不慣。讓我幫忙換個XP。。。

最後我失敗了，筆記本完蛋，得去dell售後解決。

他喵的當時是第一次見到BIOS放在硬碟上的，格掉硬碟BIOS都不見了。

MS學會BAT3那一套並越來越6了

為什麼這麼多刷Ubuntu的……Ubuntu又不會把私鑰提供給我讓我簽名啊。

我需要自己編譯內核

至少應當提供給我添加公鑰的界面……

=======================

基本摸索出了完全繞開Secure Boot限制安裝需要編譯內核的Linux發行版的方法……

stallman大牛曾經說過windows是惡意軟體，而他本人用的雖然是天朝的龍芯本本，低運算效率，但是BIOS層是開源的，而且根本不支持windows系統。 secure boot的問題？好吧，「stallman總是對的」。

可以關閉就不是問題

誰家不允許關閉secure boot我就不買誰家這麼簡單的事情不過反正我用准系統。。。

從Windows 8開始，微軟就強制部署UEFI的安全啟動，要求預裝Windows的電腦必須開啟安全啟動。

安全啟動的最初目的是為了防止引導時的病毒入侵，它的原理是這樣的：UEFI組織規定，主板出廠的時候可以內置一些可靠的公鑰。然後，任何想要在這塊主板上載入的操作系統或者硬體驅動程序，都必須通過這些公鑰的認證。也就是說，這些軟體必須用對應的私鑰簽署過，否則主板拒絕載入。由於病毒不可能通過認證，因此就沒有辦法運行。

但是，這種原理也存在問題：

1. 不通過認證的軟體不一定都是病毒，也有可能是部分技術愛好者的破解程序與一部分自由軟體（私鑰是要花錢購買的）。所以說，技術愛好者與部分自由軟體用戶需要關閉安全啟動。

2. 安全啟動會導致用戶無法安裝其他操作系統。（也無法開啟CSM，進而用戶無法更換操作系統架構【把預裝的32/64位Windows換成64/32位版本】）（UEFI嚴格區分架構【兼容性很差】：32位UEFI只能引導32位系統，64位UEFI只能引導64位系統，若需要更換操作系統架構，必須開啟CSM以使UEFI固件按照BIOS的工作方式運行。）

所以對微軟來說，安全啟動可以保證用戶只能使用預裝操作系統（通常預裝操作系統都是閹割版）。因為這個，微軟遭到了投訴，從而不得不要求OEM提供一個關閉安全啟動的選項。但是到了Windows 10，微軟卻表示：OEM自行確定是否提供關閉安全啟動的選項。也就是說，用戶如果想要自己安裝系統，需要在驗機時檢查固件設置，否則可能無法安裝。

- Windows 10 做的不夠好，Windows 7 用戶不升級，XP 用戶換了 Win 7，怎麼辦？

- 鎖 Secure Boot，讓他們裝不了 Win 7

控制欲極強的蘋果好歹還提供了一個Boot Camp能讓你能安裝一個Windows勉強用用呢。

看了上面的回答，這行為難道和推進https不是一樣的嗎，都得買證書。反正以後大不了不裝arch了

台式機還可以DIY，筆記本就麻煩了。

看來，在Windows8時代微軟讓x86機器必須能關閉secure boot只是為了給微軟自家的老系統做個過渡。現在微軟覺得可以結束過渡了……

In this future, the worst-case scenario means you』ll need to hunt down special PCs designed for Linux—ones that will likely be more expensive. Say goodbye to running Linux on all those PCs that came with Windows, just as you can』t install Linux on an iPad today. Linux PCs will exist, but they』ll be specialty, expensive bits of kit.
Microsoft tightens Windows 10#x27;s Secure Boot screws: Where does that leave Linux?