在年初的CES2022消費電子展上,AMD官宣業內首款支持MicrosoftPluton安全特性的銳龍6000系列Rembrandt處理器。與此同時,聯想也發佈支持Pluton的ThinkPadZ13和Z16筆記本電腦,特點是配備一枚獨特的Ryzen7PRO6860ZCPU。
據悉,Microsoft Pluton 是微軟公司於 2020 年首次推出的 Windows PC 安全協處理器。與 TPM 一道,其旨在增強 Windows 操作系統的安全性。
然而周五早些時候,Linux 信息安全架構師 Matthew Garrett 遺憾地發現 —— 他無法在 ThinkPad Z13 筆記本電腦上,通過 USB 來啟動 Linux 。
通過初步調查,他得出一個結論 —— 受安全啟動機制的影響,Pluton 默認設置隻接受 Windows 引導加載和配套驅動程序。
由於 Linux 發行版使用第三方 Microsoft UEFI 證書頒發機構(CA),任何非 Windows 程序的安全啟動都會被默認阻止。
Matthew Garrett 在博客文章寫道:
我設法搞到一臺 ThinkPad Z13 來檢查 Microsoft Pluton 安全協處理器的功能實現。
但在嘗試通過 USB 閃存盤啟動 Linux 時,卻遭遇開箱即用的失敗。
深入檢查後發現,固件默認不信任使用第三方 Microsoft UEFI CA 密鑰簽名的引導加載 / 驅動程序。
這意味著在默認固件設置下,該機除 Windows 之外,啥都無法啟動。此外如果你想要通過雷電連接的任何第三方外設,也是無法順利啟動的。
截圖(來自:PDF)
最後,聯想在一份 PDF 文檔中證實這一情況 —— 從 2022 年起,該公司開始遵循微軟給出的 PC 安全啟動建議,並於默認情況下禁用第三方證書。
但若你無論如何都想要在具有安全啟動特性的聯想筆記本電腦上運行 Linux 操作系統,還是可以通過在 BIOS 中禁用以下選項來實現支持:
(1)啟動進入 BIOS 設置菜單 —— 在 PC 啟動並顯示“按回車(Enter)鍵,以打斷正常啟動”的消息時按下 F1 功能鍵。
(2)轉到 BIOS 裡的“安全 → 安全啟動”(Security -> Secure Boot)子菜單,啟用“允許第三方簽發的 Microsoft UEFI 證書”。
(3)按 F10 功能鍵,以保存 BIOS 設置,然後重啟計算機。