win11怎么绕过安全启动

题图来自Unsplash，基于CC0协议

导读

请注意，绕过安全启动可能带来安全风险，且违反某些硬件制造商或 Microsoft 的使用条款。本文仅提供信息，并强烈建议只在拥有已格式化的 Bitlocker 加密系统的旧设备上，并且仅出于合法、合规且完全出于个人目的时才进行此类操作。

Windows 11 引入了更严格的安全要求，其中一项关键的安全特性是“安全启动”。它的主要目的是防止未经授权的或恶意的启动加载程序（如某些带有恶意软件的旧版 Windows 副本或第三方修改版内核）在你的电脑启动时加载。

安全启动要求 UEFI 固件只允许签署有效的、被信任的操作系统加载程序继续加载启动过程。这在很大程度上增加了启动过程的安全性，但也对在不完全符合其硬件安全要求（特别是 TPM 2.0）的旧设备上安装 Windows 11 打了脸。

什么是 Windows 11 安全启动？

安全启动是一种在 UEFI 固件层面实施的安全机制。它规定了从操作系统加载程序（如 Windows Boot Manager）到实际操作系统内核之间传递数字签名的链条。只有经过 Microsoft 认证和签名的组件（适用于 Windows 11 或 Windows 10）才能被允许继续加载，否则，固件会阻止启动，并显⽰错误信息。这旨在对抗引导阶段的恶意软件和篡改。

为什么要尝试绕过安全启动？

你可能曾经尝试安装 Windows 11，但遇到了错误，提示要求启用安全启动或者 TPM 模块未准备就绪/未启用。这通常发生在：

1. 在较旧的计算机上安装 Windows 11，该设备可能不支持或启用了 TPM 2.0。
2. 从受保护的 Bitlocker 加密的驱动器启动，并且没有提供解锁密钥或进行相关设置时（这在某些旧系统的重装情况下可能发生）。
3. 某些由制造商锁定的设备，其 UEFI 固件可能阻止了签名钥匙环（Key Exchange Keys，KEK）或可信平台模块（TPM）的修改，以镜像或降级加载程序时。

警告：尝试禁用或绕过 Microsoft 安全启动配置可能会违反某些制造商的软件许可协议，并且可能使您的系统更容易受到恶意软件的攻击。请仅在您完全了解风险并仅为合法目的而这样做时进行。

如何绕过 Windows 11 安全启动？

有多种方法理论上可以尝试绕过 Windows 11 的安全启动，但请注意它们并非在所有硬件上都有效，并且操作不当可能或导致系统不稳定甚至无法启动。实际可行的方法主要包括：

1. 通过 Bitlocker 解锁启动：

   • 如果你正在一台旧的 Windows (7/7 SP1/8/8.1/10) 设备上安装 Windows 11，而且该设备是Bitlocker 加密且已解锁的，或者 VM 环境允许绕过。
   • 是一种古老但经过验证的方法：你可以从 UEFI 固件设置中禁用安全启动或修改其签名钥匙环（Key Exchange Key, KEK），以包含你的旧版 Windows 加载程序或 UEFI 应用程序的签名。然后，使用你的 Bitlocker 解密密钥启动旧系统，再从旧系统内部运行 Windows 11 安装程序。
   • 这主要适用于拥有已格式化的 BitLocker 保护系统的旧电脑用户，用于迁移数据或升级。

2. 使用 Windows 10 通用安装介质：

   • Microsoft 官方生成的 Windows 10 安装 U 盘/ISO 通常被签名并允许在启用了安全启动的设备上安装 Windows 10，有时也能被用来替换加载文件或绕过某些特定的启动验证。
   • 具体步骤可能复杂且无保证：这通常涉及使用像 bcdedit 这样的命令来创建一个指向 Windows 10 加载管理器的引导环境，并可能需要手动注入 UEFI 驱动或加载程序，这在 UEFI 中心操作。这不是一个简单的一键操作，而且可能不稳定。

3. 通过 Windows 11 USB / ISO 搭配 UEFI 固件设置：

   • 最常见的方式之一： 顺利启动 Windows 11 安装程序后，在安装过程中或 BIOS/UEFI 设置中，有时需要在UEFI 固件层面针对安全启动进行特定的设置修改，这通常涉及修改签名钥匙环、可信加密密钥库中的密钥。

4. “用旧系统替换加载程序”的原始指南：

   • 一种旧的方法涉及通过 UEFI 启动不受保护的、来自受信任来源（例如一个安全启动未启用的旧系统、虚拟机或通过修改 KEK 签名来授权安装工具）的标准 Windows 10/11 ISO 副本来启动 Windows。
   • 在受信任的旧 Windows 环境中，手动运行命令行工具（如 bcdedit）来更新引导加载程序或其配置，使其兼容新系统的组件，使其处于“已加载”状态。

Windows 11 绕过安全启动是否合法？

本质上，绕过安全启动是一种违反 UEFI 固件制造商和微软协议的行为。制造商和微软通常将安全启动设计为防止安全威胁，但也禁止了用户在某些情况下修改其设置以实现某些非授权操作（例如阻止签名钥环的更改，用于刷机、绕过数字版权管理等）。

在以下特定情况下，绕过安全启动可能是合规的、甚至可以说是必须的：

• 不符合 Microsoft 最低硬件要求但可正常运行的旧设备： 对于确实可以运行 Windows 11（例如，BIOS 可以通过修改来绕开 TCG MABL 等要求，但仍能保留 TPM 功能）的应用需求，安全启动的绕过是为了能够让 Windows 正常启动，恢复用户的正常使用。这并非刷机式的操作。
• 驱动程序/系统组件缺失或损坏： 当你需要在 UEFI 安全启动无法加载 Windows 内核的情况下，例如驱动程序损坏或中断时，通过一个已解锁的 Windows 10 环境来修复或启动 Windows 11 系统。

如果你试图绕过安全启动是为了进行未经授权的修改、加强访问控制或是为了有恶意目的，则这绝对 NOT 合法。 这可能违反安全协议，甚至在某些国家/地区构成刑事犯罪。

绕过 Windows 11 安全启动的后果？

尝试绕过或禁用 Windows 11 的安全启动可能会带来以下后果：

1. 安全风险： 你直接移除了一个旨在保护系统免受恶意启动加载程序攻击的重要安全层。你的系统更容易受到从启动阶段加载的恶意软件攻击。
2. 系统不稳定性： 在某些不兼容的硬件上进行此操作可能导致无法引导任何操作系统，造成数据丢失风险。
3. 不符合发布协议： 这可能会违反 UEFI 开发人员、主板制造商或计算机制造商随其硬件安装的 UEFI 固件的许可协议。尽管协议具有法律约束力，但实际执行起来可能较为困难。
4. 功能限制： 某些依赖安全启动运行的 Windows 功能（例如 BitLocker，在 TPM 存在时某些专为 Windows 设计的应用或驱动程序）可能会变得不可用。

因此，强烈建议用户仅在必要时、完全理解和承担所有风险后，才考虑在满足条件的旧设备上进行此类操作。对于绝大多数新电脑或只有一次安全启动警告但能运行的情况，不要强行干预。