主页 / computer / 问题 / 1694631
Accepted
caecilius
Asked: 2021-12-18 11:27:05 +0800 CST

在装有 Windows 10 Pro 的定制 PC 上支持安全启动

  • 772

作为我的 Windows 11 升级活动的一部分,MS 说我的 PC 不支持Secure Boot。msinfo32.exe 也证实了一些事情: msinfo32 快照

奇怪的是,当我进入 BIOS 时,它显示Secure Boot 状态:“已启用”: BIOS Secure Boot Menu 快照

因此,我假设还需要设置其他 BIOS 设置。

然后,我尝试了此安全启动菜单(通过将操作系统类型:“其他操作系统”更改为“Windows UEFI 模式”)和 CSM 菜单中 的几种组合值: BIOS CSM 菜单快照

但是,每当我将CSM\Launch CSM更改为“已禁用”(无论安全启动\操作系统类型值如何)或当安全启动\操作系统类型=“Windows UEFI 模式”时,我的 Windows 都会停止启动。对于安全启动目的,所有其他组合似乎没有任何区别。


我没有搞乱安全启动\密钥管理(我应该吗?...): BIOS 安全启动密钥管理快照


进一步挖掘,我发现了一个超级用户发布的内容:

如果操作系统安装在 CSM 下,它会认为这台机器不兼容 UEFI 并以传统模式安装。如果您切换到 UEFI,它将无法启动,因为这不是 UEFI 加载程序期望看到的。如果系统安装在 UEFI 下,它会检测到并配置 BIOS,因此如果您之后切换到 CSM,它不会启动,因为这不是传统 BIOS 加载程序期望看到的。可以将系统配置为以任何一种方式启动,但这并不容易,我不知道如何在 Windows 中执行此操作。

由于我有一台定制机器,我在其中安装了大部分 BIOS 默认设置的 Windows 10,我现在怀疑我的 Windows 安装在 CSM 下。


那么,是否有一种简单的方法(例如,通过调整 BIOS)来支持安全启动,而无需重新安装 Windows 10?


编辑:
实际分区布局

Windows 10 Pro,64 位 (21H1)
M/B Asus Prime Z370-P RAM: 板载
16GB
Intel i7 8700 GPU (Intel 630) Broadcom 802.11ac PCIe Sound Blaster X-Fi Xtreme Audio PCIe




windows secure-boot

1 个回答

  1. Best Answer

    永远不应该为操作系统启用CSM 模式,因为它的唯一目的是支持不支持 EFI 引导的发行版,大约在 <2017 年(Windows ≥7 支持 EFI 引导);CSM 模式在 32 位环境中模拟 BIOS 的 16 位架构,这样做会导致性能下降(启动时间增加 400%+,无法使用 GPT 等)

    • 启用 CSM 模式的唯一原因是当需要访问旧版 OP[tion] ROM 时,一旦在 OP ROM 中完成,应重新禁用 CSM 模式

    解决:

    1. Windows 10 安装媒体→ 在另一台 PC 上安装 → 保存 ISO
    2. 使用Rufus创建可启动 USB → 重新启动 → 在 UEFI 固件中禁用 CSM 模式
    3. 引导 Windows 安装 USB → 当 GUI 加载时,通过Shift+打开终端F10
    4. 用于mbr2gpt将分区表转换为 GPT:
      1. 确定操作系统磁盘#: DiskPartlis diskexit
      2. mbr2gpt /convert /disk:#

    5. 通过以下方式在 OS HDD 上创建所需的 UEFI 引导分区DiskPart
      1. DiskPartlis disksel dis #→ 验证它是操作系统磁盘:lis par
      2. 删除旧的引导分区:sel par #→ 验证:det pardel par override
      3. 确定磁盘布局:(lis par 最佳分区布局:WinRE、EFI、MSR、OS)
      4. 添加必要的 UEFI 分区:
        1. WinRE
          选择操作系统分区:sel par 1→ 验证它是操作系统分区:det par 
          Shrink Desired=665 minimum=650
Cre Par Pri Size=665 Id=de94bba4-06d1-4d40-a16a-bfd50179d6ac
Format Quick Fs=NTFS Label=WinRE
Gpt Attributes=0x8000000000000001
        2. EFIMSR
          选择操作系统分区:sel par 2→ 验证它是操作系统分区:det par 
          Shrink Desired=388 Minimum=388
Cre Par EFI Size=100
Format Quick Fs=FAT32 Label=EFI
Assign Letter=Y
Cre Par Msr Size=16
      5. 获取操作系统分区盘符:lis volexit
        C:通常不是WinPE/WinRE中的操作系统盘符)

    6. 配置 EFI 引导: 
      ::# Create EFI directories and enter:
    MkDir "Y:\EFI\Microsoft\Boot"
    Cd /d "Y:\EFI\Microsoft\Boot"

::# Create EFI boot structure:
    BootRec /Fixboot

    ::# If Access Denied error occurs (C: is OS partition):
        BcdBoot C:\Windows /s C: /f UEFI

::# Resolve any other boot issues:
    BootRec /FixMBR && BootRec /RebuildBCD
      移除 EFI 挂载点:DiskPartSel Vol YRemoveExit

    7. 通过 重新启动,然后在重新启动到 Windows wpeutil reboot后配置WinRE :
      1. 打开管理终端:WinKey+R打开powershellCTRL+SHIFT + OK
      2. 通过以下方式挂载 WinRE 分区DiskPart
        lis volsel vol #→ 验证:det parAssign Letter=ZExit
      3. 从 Windows 中提取WinRE.wim安装 USB 的sources\install.wim|| .esd
        # Get list of images [indexes] within the ESD/WIM:
  Dism /Get-ImageInfo /ImageFile:"E:\sources\install.wim"

# Mount install.wim||.esd (usually index 1: Home | 6: Pro):
  MkDir "C:\Mount" ; Dism /Mount-Image /ImageFile:"E:\sources\install.wim" /Index:1 /MountDir:"C:\Mount" /ReadOnly

# Copy WinRE.wim:
  Xcopy "C:\Mount\Windows\System32\Recovery\WindowsRE\WinRE.wim" "C:"
  # If hidden file: Xcopy /H

# Unmount image, discard changes:
  Dism /Unmount-Image /MountDir:"C:\Mount" /Discard

      4. # Copy WinRE.wim:
  MkDir "Z:\Recovery\WindowsRE" ; Xcopy "C:\WinRE.wim" "Z:\Recovery\WindowsRE"

# Disable WinRE:
  ReAgentC /Disable

# Set Custom WinRE Path:
  ReAgentC /SetREimage /Path "Z:\Recovery\WindowsRE"

# Enable WinRE and verify:
  ReAgentC /Enable ; ReAgentC /Info

# Cleanup:
  Del "C:\WinRE.wim" ; RmDir "C:\Mount"
      5. 删除 WinRE 挂载点:DiskPartsel vol zremoveexit
    • 3

相关问题