G
gogochen
Guest
Secure Boot未正确配置水印的解析
dongfang-M 发表于 2013-10-20
Windows 8.1发布以来,很多客户在网络上反映,安装Windows 8.1后,右下角有一个“Secure Boot未正确配置”的水印。
百度一下,提出这个问题的电脑用户还真不少,这个水印问题涉及众多品牌主板、品牌机和笔记本。
本文将对此问题做详细的解析。
一、出现这个水印的原因
出现这个水印的用户,Windows 8.1安装方式如下:
1、主板是UEFI BIOS,并采用UEFI模式安装Windows 8.1。
2、使用集成显卡的,没有在UEFI BIOS设置Secure Boot。
3、使用非UEFI BIOS独立显卡的,不能设置Secure Boot。
设置Secure Boot,开机提示检测到一个非Windows 8 LOGO显卡,而不能继续开机启动。看来根源在Secure Boot(安全启动)。
二、Secure Boot(安全启动)来历
Secure Boot(安全启动)本来是UEFI 的一部分,其目的是防止恶意软件侵入,做法就是采用密钥。UEFI规定,主板出厂的时候,可以内置一些可靠的公钥。然后,任何想要在这块主板上加载的操作系统或者硬件驱动程序,都必须通过这些公钥的认证。也就是说,这些软件必须用对应的秘钥签署过,否则主板拒绝加载。由于恶意软件不可能通过认证,因此就没有办法感染Boot。但是,UEFI没规定哪些公钥是可靠的,也没规定谁负责颁发公钥,这些都留给硬件厂商自己决定。
微软的Windows 8将启用UEFI的Secure Boot。要求主板厂商内置Windows 8的公钥。所有预装Windows 8的厂商(即OEM厂商)都必须打开Secure Boot。因此,一台预装Windows 8的台式机或笔记本,想要在上面再安装其他操作系统(包括以前版本的Windows)是不可能的,除非关闭Secure Boot,或者其他操作系统能够通过Windows 8公钥的认证。如果选择关闭Secure Root,那么预装的Windows 8将无法使用,需要重新安装。
当然,对于个人客户来说,在不打开Secure Boot的情况下,Windows 8可以安装。这与安装以前版本的Windows没有差别。
从Secure Boot(安全启动)来历可以知道启动Secure Boot(安全启动)有三个条件:
第一必须是UEFI BIOS,以前的非UEFI BIOS不支持Secure Boot(安全启动)。
第二BIOS里面安装Secure Boot Key,并开启Secure Boot Control。
第三BIOS的启动方式必须是UEFI启动。
Windows 8没有严格的启用Secure Boot,在UEFI BIOS主板上,没有加载Secure Boot Key,没有开启Secure Boot Control,也不会提示Secure Boot未正确配置。
Windows 8.1开使严格了,用UEFI模式安装Windows 8.1,如果没有安装Secure Boot Key,并开启Secure Boot Control,就会有Secure Boot未正确配置的提示。
三、微星的英特尔芯片组主板配CPU集显的Secure Boot配置
以Z87-GD65主板为例说明
3-1、开启Windows 8 Feature(Windows 8 特征)
3-2、进入Secure Boot
注意:
1-2行显示的信息:Platform Mode(平台模式)显示的是Setup,意思是Secure Boot处于设置模式。
Secure Boot显示的是Disabled,意思是Secure Boot当前是关闭的。
第3行:Secure Boot Control(安全启动管理)是Disabled。
第4行:Secure Boot Mode(安全启动模式)是Standard。
3-3、设置Secure Boot Mode(安全启动模式)
Secure Boot Control(安全启动管理)先不要管他(这个时候不能设置)。
先设置Secure Boot Mode(安全启动模式),把Standard改为Custom(自选)。
3-4、进入Key Management(密钥管理)
设置为Custom后,弹出Key Management(密钥管理),回车进入Key Management(密钥管理)子菜单。注意看PK/KEK/DB/DBX等变量是NOT INSTALLED(未安装)
3-5、Factory Default Key Provisioning(厂方提供默认密钥)设置为Enabled。
3-6、点击Install All Factory Default Keys(安装所有厂方缺省密钥)
点击后,提示:加载默认安全变量,你确实想安装厂方默认安全变量?点“yes”。
然后,PK/KEK/DB/DBX等变量变成INSTALLED(已安装)
3-7、开启Secure Boot Control(安全启动管理)
安装了All Factory Default Keys启后,再回来开启Secure Boot Control(安全启动管理)。
Secure Boot Control(安全启动管理)设置为Enabled后,系统提示:
提示的意思是:
在Setup模式下CSM(Compatibility Support Module 兼容支持模块)是关闭的,请重启后再试试。点击“OK”后,再次保存设置重启。
重启进入BIOS,可以看到Secure Boot Control(安全启动管理)已经是Enabled了。至此,Secure Boot配置完成。
Platform Mode(平台模式)是User。
Secure Boot是Enabled。
Secure Boot Control(安全启动管理)是Enabled。
Secure Boot Mode(安全启动模式)是Custom。
安装Windows 8.1,不会有“Secure Boot未正确配置”。
四、使用独立显卡的Secure Boot配置
在UEFI BIOS的潮流下,显卡BIOS也要UEFI。目前各显卡厂商也有UEFI BIOS的显卡问世,显卡的UEFI BIOS主要是为了加速启动,但是显卡的UEFI BIOS带来一个严重的兼容性问题,很多UEFI BIOS显卡不能正常开机。
4-1、显卡是支持Windows 8的UEFI BIOS
开启Windows 8 Feature(Windows 8 特征)
然后配置Secure Boot,安装Windows 8.1。
4-2、显卡是传统BIOS
4-2-1、不开启Windows 8 Feature(Windows 8 特征)
4-2-2、不用UEFI模式安装
启动模式设置为LEGACY+UEFI
用光盘安装,请选择传统的SATA:CD/DVD启动
LEGACY方式安装和UEFI方式安装除了Secure Boot外,就是硬盘分区,LEGACY方式是MBR分区,UEFI是GPT分区,这2种分区对于硬盘存取性能没有差异,区别只是MBR分区不支持大于2.2TB的分区,如果不是用3TB硬盘作系统盘,MBR和GPT分区都是一样的。
如果你的笔记本、台式机的主板BIOS不是UEFI的,也就不存在UEFI安装,当然也就不存在这个问题。
还要说明一点:UEFI安装的Windows 8/8.1和非UEFI安装的不能相互兼容。就是说你用UEFI模式安装的,在非UEFI模式下不能启动,或者说原来是非UEFI安装的,改为UEFI启动后需要重新安装系统。
4-3、如何判断显卡是否UEFI BIOS
BIOS里开启Windows 8 Feature(Windows 8 特征),F10保存重启,如果出现下面的提示,就是非UEFI BIOS,不出现这个提示能启动并进系统,那就是UEFI BIOS,而且是和主板UEFI BIOS兼容的。
提示的意思是:
系统BIOS检测到一个非Windows 8 LOGO显卡。
在这个显卡中检测不到GOP(图形输出协议)。
BIOS的Windows 8 Feature将被设置为Disabled。
按F1进入BIOS设置。
按F2加载默认值和继续。
五、微星UEFI BIOS配置Secure Boot的特点
Windows 8启动的新特征有2个:快速启动和安全启动,微星主板UEFI BIOS把这2个特征都归于Windows 8 Feature(Windows 8 特征)里面(其他品牌主板没有这样做),方便用户设置。因此要配置Secure Boot,必须先开启Windows 8 Feature(Windows 8 特征),而这个选项默认是关闭的。
开启Windows 8 Feature(Windows 8 特征)后,显示出Secure Boot。
然后才可以进入Secure Boot子菜单配置Secure Boot。
现在微软已经放出解决水印的补丁: http://support.microsoft.com/kb/2902864
更新 Windows 8.1 和 Windows Server 2012 R2 中消除"Windows 8.1 SecureBoot 没有正确配置"水印
dongfang-M 发表于 2013-10-20
Windows 8.1发布以来,很多客户在网络上反映,安装Windows 8.1后,右下角有一个“Secure Boot未正确配置”的水印。
百度一下,提出这个问题的电脑用户还真不少,这个水印问题涉及众多品牌主板、品牌机和笔记本。
本文将对此问题做详细的解析。
一、出现这个水印的原因
出现这个水印的用户,Windows 8.1安装方式如下:
1、主板是UEFI BIOS,并采用UEFI模式安装Windows 8.1。
2、使用集成显卡的,没有在UEFI BIOS设置Secure Boot。
3、使用非UEFI BIOS独立显卡的,不能设置Secure Boot。
设置Secure Boot,开机提示检测到一个非Windows 8 LOGO显卡,而不能继续开机启动。看来根源在Secure Boot(安全启动)。
二、Secure Boot(安全启动)来历
Secure Boot(安全启动)本来是UEFI 的一部分,其目的是防止恶意软件侵入,做法就是采用密钥。UEFI规定,主板出厂的时候,可以内置一些可靠的公钥。然后,任何想要在这块主板上加载的操作系统或者硬件驱动程序,都必须通过这些公钥的认证。也就是说,这些软件必须用对应的秘钥签署过,否则主板拒绝加载。由于恶意软件不可能通过认证,因此就没有办法感染Boot。但是,UEFI没规定哪些公钥是可靠的,也没规定谁负责颁发公钥,这些都留给硬件厂商自己决定。
微软的Windows 8将启用UEFI的Secure Boot。要求主板厂商内置Windows 8的公钥。所有预装Windows 8的厂商(即OEM厂商)都必须打开Secure Boot。因此,一台预装Windows 8的台式机或笔记本,想要在上面再安装其他操作系统(包括以前版本的Windows)是不可能的,除非关闭Secure Boot,或者其他操作系统能够通过Windows 8公钥的认证。如果选择关闭Secure Root,那么预装的Windows 8将无法使用,需要重新安装。
当然,对于个人客户来说,在不打开Secure Boot的情况下,Windows 8可以安装。这与安装以前版本的Windows没有差别。
从Secure Boot(安全启动)来历可以知道启动Secure Boot(安全启动)有三个条件:
第一必须是UEFI BIOS,以前的非UEFI BIOS不支持Secure Boot(安全启动)。
第二BIOS里面安装Secure Boot Key,并开启Secure Boot Control。
第三BIOS的启动方式必须是UEFI启动。
Windows 8没有严格的启用Secure Boot,在UEFI BIOS主板上,没有加载Secure Boot Key,没有开启Secure Boot Control,也不会提示Secure Boot未正确配置。
Windows 8.1开使严格了,用UEFI模式安装Windows 8.1,如果没有安装Secure Boot Key,并开启Secure Boot Control,就会有Secure Boot未正确配置的提示。
三、微星的英特尔芯片组主板配CPU集显的Secure Boot配置
以Z87-GD65主板为例说明
3-1、开启Windows 8 Feature(Windows 8 特征)
3-2、进入Secure Boot
注意:
1-2行显示的信息:Platform Mode(平台模式)显示的是Setup,意思是Secure Boot处于设置模式。
Secure Boot显示的是Disabled,意思是Secure Boot当前是关闭的。
第3行:Secure Boot Control(安全启动管理)是Disabled。
第4行:Secure Boot Mode(安全启动模式)是Standard。
3-3、设置Secure Boot Mode(安全启动模式)
Secure Boot Control(安全启动管理)先不要管他(这个时候不能设置)。
先设置Secure Boot Mode(安全启动模式),把Standard改为Custom(自选)。
3-4、进入Key Management(密钥管理)
设置为Custom后,弹出Key Management(密钥管理),回车进入Key Management(密钥管理)子菜单。注意看PK/KEK/DB/DBX等变量是NOT INSTALLED(未安装)
3-5、Factory Default Key Provisioning(厂方提供默认密钥)设置为Enabled。
3-6、点击Install All Factory Default Keys(安装所有厂方缺省密钥)
点击后,提示:加载默认安全变量,你确实想安装厂方默认安全变量?点“yes”。
然后,PK/KEK/DB/DBX等变量变成INSTALLED(已安装)
3-7、开启Secure Boot Control(安全启动管理)
安装了All Factory Default Keys启后,再回来开启Secure Boot Control(安全启动管理)。
Secure Boot Control(安全启动管理)设置为Enabled后,系统提示:
提示的意思是:
在Setup模式下CSM(Compatibility Support Module 兼容支持模块)是关闭的,请重启后再试试。点击“OK”后,再次保存设置重启。
重启进入BIOS,可以看到Secure Boot Control(安全启动管理)已经是Enabled了。至此,Secure Boot配置完成。
Platform Mode(平台模式)是User。
Secure Boot是Enabled。
Secure Boot Control(安全启动管理)是Enabled。
Secure Boot Mode(安全启动模式)是Custom。
安装Windows 8.1,不会有“Secure Boot未正确配置”。
四、使用独立显卡的Secure Boot配置
在UEFI BIOS的潮流下,显卡BIOS也要UEFI。目前各显卡厂商也有UEFI BIOS的显卡问世,显卡的UEFI BIOS主要是为了加速启动,但是显卡的UEFI BIOS带来一个严重的兼容性问题,很多UEFI BIOS显卡不能正常开机。
4-1、显卡是支持Windows 8的UEFI BIOS
开启Windows 8 Feature(Windows 8 特征)
然后配置Secure Boot,安装Windows 8.1。
4-2、显卡是传统BIOS
4-2-1、不开启Windows 8 Feature(Windows 8 特征)
4-2-2、不用UEFI模式安装
启动模式设置为LEGACY+UEFI
用光盘安装,请选择传统的SATA:CD/DVD启动
LEGACY方式安装和UEFI方式安装除了Secure Boot外,就是硬盘分区,LEGACY方式是MBR分区,UEFI是GPT分区,这2种分区对于硬盘存取性能没有差异,区别只是MBR分区不支持大于2.2TB的分区,如果不是用3TB硬盘作系统盘,MBR和GPT分区都是一样的。
如果你的笔记本、台式机的主板BIOS不是UEFI的,也就不存在UEFI安装,当然也就不存在这个问题。
还要说明一点:UEFI安装的Windows 8/8.1和非UEFI安装的不能相互兼容。就是说你用UEFI模式安装的,在非UEFI模式下不能启动,或者说原来是非UEFI安装的,改为UEFI启动后需要重新安装系统。
4-3、如何判断显卡是否UEFI BIOS
BIOS里开启Windows 8 Feature(Windows 8 特征),F10保存重启,如果出现下面的提示,就是非UEFI BIOS,不出现这个提示能启动并进系统,那就是UEFI BIOS,而且是和主板UEFI BIOS兼容的。
提示的意思是:
系统BIOS检测到一个非Windows 8 LOGO显卡。
在这个显卡中检测不到GOP(图形输出协议)。
BIOS的Windows 8 Feature将被设置为Disabled。
按F1进入BIOS设置。
按F2加载默认值和继续。
五、微星UEFI BIOS配置Secure Boot的特点
Windows 8启动的新特征有2个:快速启动和安全启动,微星主板UEFI BIOS把这2个特征都归于Windows 8 Feature(Windows 8 特征)里面(其他品牌主板没有这样做),方便用户设置。因此要配置Secure Boot,必须先开启Windows 8 Feature(Windows 8 特征),而这个选项默认是关闭的。
开启Windows 8 Feature(Windows 8 特征)后,显示出Secure Boot。
然后才可以进入Secure Boot子菜单配置Secure Boot。
现在微软已经放出解决水印的补丁: http://support.microsoft.com/kb/2902864
更新 Windows 8.1 和 Windows Server 2012 R2 中消除"Windows 8.1 SecureBoot 没有正确配置"水印