注意：此问题仅当您在仅装有 Windows 的系统上使用 Windows / Rufus / 等以及 Windows 更新 (自 2024 年 8 月起) 应用的更新签名密钥时才会发生。当 Windows 上装有除 Windows 以外的其他操作系统时，Windows 不应该覆盖或更改这些密钥，但无论如何也不能保证它不会干扰已接受的密钥。

我联系了发布团队并得到了以下答复（解释）：

发布团队意识到最新一轮的 Microsoft 修补导致仅限 Windows 的机器上的 MOK 和 shim 发生了变化。

20.04.6 媒体中的密钥实际上并没有被我们撤销/过期，而是微软在最新一轮更新中将其过期了。

由于 20.04 已过时，我们不会为该版本制作新的 ISO（特别是因为它将在 2025 年达到标准支持的结束）。

从长远来看，如果微软要通过 MS Update 推出撤销措施，这可能不是一个解决方案，但我们必须在将来重新审视这个问题。

这里还有一条注释，微软推出了一个更新，撤销了所有 shim 版本 15.7 或更早版本，因此 20.04.6 无法验证。Ubuntu Discourse 上对此进行了记录：

2024 年 8 月 20 日，Windows 发布了一个软件补丁，撤销了 15.8 之前的 shim。该 shim 是多个 Linux 发行版（包括 Ubuntu）使用的上游组件。

哪些 Ubuntu 用户受到影响

• 任何打算在当前运行 Windows 的硬件上安装任意版本 Ubuntu、启用安全启动并安装相关更新的用户。
• 除 24.04 LTS 之外的任何 Ubuntu 版本的现有双启动设置以及 Windows，均已启用安全启动并已收到相关的 Windows 更新。

专用的 Ubuntu 机器不受影响。

这对 Ubuntu 用户有何影响

由于此更新，任何使用 15.8 版以上 shim 的 Ubuntu 发布媒体都无法直接安装在已应用此 Windows 更新的机器上，除非先在 BIOS 中禁用安全启动。这可能包括已预装 Windows 的新系统或比 Ubuntu 24.04 LTS 更早的现有双启动 Windows 和 Ubuntu 系统。

虽然 Ubuntu 24.04 LTS 在安装时已包含 15.8 shim，但当前版本的 ISO 使用 shim 15.7 来执行安装。因此，对于在已收到 Windows 更新的计算机上全新安装 24.04 的用户，仍需要更新的安装介质来解决此问题。

什么时候可以修复？

要减轻此更改的影响，需要发布带有更新的 shim 15.8 的 Ubuntu 版本。这项工作正在进行中，Canonical 将于 8 月 29 日作为 .1 版本的一部分提供 Ubuntu 24.04 LTS（Noble Numbat）的更新安装介质 (ISO)。即将发布的 Ubuntu 22.04.5 LTS 版本也将包含相同的更新。

这将确保 Ubuntu 24.04 LTS 和 22.04 LTS 都可以安装在受 Windows 更新影响的系统上。

如何缓解现有 Ubuntu 安装中的这一变化

对于遇到问题的现有 Ubuntu 安装，可以在我们发布新的 ISO 之前使用以下解决方法：

Ubuntu 20.04 LTS 及以上版本：

• 在设备 BIOS 设置中禁用安全启动。
• [可选] 如果您尚未安装，请安装系统。
• 启动 Ubuntu，然后根据发布版本执行以下操作：
  • 24.04：一切顺利，安装的系统没有问题，因为安装的系统有 15.8 垫片。
  • 20.04/22.04： 8 月 29 日之前，补丁可在建议的补丁包中使用。8 月 29 日之后，补丁将普遍可用，用户只需使用以下命令更新系统即可升级到新补丁包：sudo apt update && sudo apt upgrade shim-signed。
• 再次启动 Ubuntu（安全启动仍然处于禁用状态），这将导致垫片重置 SBAT。
• 重新启动进入 BIOS 并重新启用安全启动。

如果您必须使用 20.04.6，则应该禁用安全启动，更新 Ubuntu，安装更新的 shim 版本等，然后启用安全启动并注册任何相应的密钥。

请注意，我已经在具有更新的 UEFI/安全启动固件的 VM 环境中测试了 20.04.6 ISO，而且在双启动 Windows 或未安装 Windows 的桌面上也测试了该 ISO，并且 ISO 在启动时不会显示为已撤销，因此您可能会看到 Windows/Rufus 错误，该错误与媒体在未运行 Windows 的系统上的实际启动方式不准确。