跳到主要内容

安全引导配置

如果有新的密钥更新,您必须在更新 UEFI 固件后手动加载“出厂策略”。(例如,UEFI 更新只会将新的证书添加到 dbDefault 而非 db,因此用户必须将所有密钥重置为默认的“出厂策略”才能将 dbDefault 复制到 db。)

表 1. 安全引导配置
选项描述
安全引导状态

  • 已禁用

  • 已启用

显示当前安全引导状态。

安全引导模式

  • 用户模式

  • 设置模式

当此项设置为 [用户模式] 且启用了安全引导时,系统将执行安全引导认证。

安全引导设置

  • 已启用

  • 已禁用(默认)

启用或禁用安全引导。模式更改需要重新引导系统。

仅当启用了安全引导、注册了平台密钥(PK)且系统处于 [用户模式](安全引导模式)时,安全引导功能才可用。

安全引导策略

  • 出厂策略(默认)

  • 自定义策略

  • 删除所有密钥

  • 删除 PK

安全引导策略选项:

  • [出厂策略]:重新引导后将使用出厂默认密钥。选择此选项后,将删除自定义密钥。

  • [自定义策略]:重启后将使用自定义密钥。选择此选项后,您可以进入安全引导自定义策略页面进行密钥自定义,例如添加/删除特定密钥或注册 UEFI 映像。

  • [删除所有密钥]:重启后将删除平台密钥(PK)、密钥交换密钥(KEK)、授权签名数据库(DB)和禁用签名数据库(DBX)。删除所有密钥后,安全引导模式将为 [设置模式],安全引导策略将为 [自定义策略]。

  • [删除 PK]:重启后将删除 PK。删除 PK 后,安全引导模式将为 [设置模式],安全引导策略将为 [自定义策略]。

  • [将所有密钥重置为默认值]:重新引导后,所有密钥都将设置为出厂默认密钥,“安全引导策略”将设置为 [出厂策略]。

这些选项无法在 UEFI Setup Utility 中加载为默认值。
查看安全引导密钥

不适用

查看 PK、KEK、DB 和 DBX 的详细信息。

安全引导自定义策略

不适用

自定义 PK、KEK、DB 和 DBX。

仅当安全引导策略设置为 [自定义策略] 时,才能配置此菜单。