笔者现在的笔记本电脑依旧是Thinkpad E495,目前所使用的操作系统是Windows 11 25H2,电脑的UEFI固件默认是启用Device Guard功能的,这个Device Guard在启用之后会禁止修改大部分的UEFI设置,也无法从U盘启动电脑。然而因为笔者需要调整UEFI固件的部分设置,需要禁用Device Guard,但在禁用Device Guard之后,系统无法正常引导,一直停留在选择启动设备一栏,启动设备里面有“Windows Boot Manager”,以及系统所能识别的另外两个固态硬盘,但无论选择哪一个,都无法进入引导程序引导系统启动。
这时笔者认为可能跟系统的 Secure Boot 有关系,进入UEFI固件设置,把Secure Boot关闭了,系统就能顺利启动了,难道是在禁用Device Guard之后,会对安全启动证书有影响?于是笔者重新启用了Secure Boot,然后试了一下“Restore Factory Keys”,再从其电脑,电脑依旧无法正常引导系统。不过在选择了“Reset to Setup Mode”之后,系统就可以正常引导了。那么“Restore Factory Keys”和Reset to Setup Mode”有什么区别?查询了一下,在选择“Restore Factory Keys”后,UEFI会严格验证启动文件的签名,只允许加载与预存签名完全匹配的引导程序,而选择“Reset to Setup Mode”后,UEFI不验证签名,允许任何引导程序启动,所以笔者的电脑才能顺利进入系统。因此,笔者基本可以肯定,应该是UEFI中存储的安全启动签名数据库,和硬盘上Windows引导程序的签名”不匹配”,导致无法正常引导系统。
而为什么会无法正常引导系统?这个跟安全证书的版本有关系。笔者电脑所使用的Windows 11 25H2系统,以及在执行禁用Device Guard之前的电脑,已经安装了最新版的安全启动证书,而在执行禁用Device Guard +“Restore Factory Keys”之后,UEFI中存储的安全启动证书会恢复到老的版本,导致Windows引导程序的签名”不匹配”,从而无法正常引导系统。
那么有没有办法可以在重新启用Device Guard+恢复到老版本启动证书之后,可以顺利引导系统呢?方法是有的,但需要准备一个支持修复UEFI系统引导修复功能的可启动的U盘。过程如下:
一、先进入UEFI固件设置中执行一次“Reset to Setup Mode”,然后重启电脑,选择从U盘启动电脑;
二、启动完成后,打开系统引导修复程序((笔者所使用的引导修复程序名为“IQIX引导修复”);
三、执行引导修复操作;
四、执行完毕后,先不要急着进入Windows操作系统,而是先进入UEFI设置界面,把安全启动功能启用起来,并且执行一次“Restore Factory Keys”,然后重新启用“Device Guard”。执行完毕后,保存设置,重启电脑;
执行以上操作之后,正常情况下系统应该可以正常引导了,但如果需要尽快重新启用新版的安全启动证书,可以执行以下操作:
一、以管理员模式打开PowerShell,执行以下两条命令:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f上面这个命令的作用是在Windows注册表中创建一个标记,告诉系统有安全启动更新需要处理了。
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"上面的命令执行后会立即触发一个系统任务,该任务会处理安全启动证书的更新流程,将2023年的新证书写入UEFI。
二、执行完毕之后,重启电脑;
三、电脑重启之后,重新以管理员模式进入Powershell,执行以下命令:
如果返回的是True,那就说明更新完成。
