在年初的 CES 2022 消费电子展上,AMD 官宣了业内首款支持 Microsoft Pluton 安全特性的锐龙 6000 系列 Rembrandt 处理器。与此同时,联想也发布了支持 Pluton 的 ThinkPad Z13 和 Z16 笔记本电脑,特点是配备了一枚独特的 Ryzen 7 PRO 6860Z CPU 。
据悉,Microsoft Pluton 是微软公司于 2020 年首次推出的 Windows PC 安全协处理器。与 TPM 一道,其旨在增强 Windows 操作系统的安全性。
然而周五早些时候,Linux 信息安全架构师 Matthew Garrett 遗憾地发现 —— 他无法在 ThinkPad Z13 笔记本电脑上,通过 USB 来启动 Linux 。
通过初步调查,他得出了一个结论 —— 受安全启动机制的影响,Pluton 默认设置只接受 Windows 引导加载和配套驱动程序。
由于 Linux 发行版使用了第三方 Microsoft UEFI 证书颁发机构(CA),任何非 Windows 程序的安全启动都会被默认阻止。
Matthew Garrett 在博客文章写道:
我设法搞到了一台 ThinkPad Z13 来检查 Microsoft Pluton 安全协处理器的功能实现。
但在尝试通过 USB 闪存盘启动 Linux 时,却遭遇了开箱即用的失败。
深入检查后发现,固件默认不信任使用第三方 Microsoft UEFI CA 密钥签名的引导加载 / 驱动程序。
这意味着在默认固件设置下,该机除了 Windows 之外,啥都无法启动。此外如果你想要通过雷电连接的任何第三方外设,也是无法顺利启动的。
截图(来自:PDF)
最后,联想在一份 PDF 文档中证实了这一情况 —— 从 2022 年起,该公司开始遵循微软给出的 PC 安全启动建议,并于默认情况下禁用第三方证书。
但若你无论如何都想要在具有安全启动特性的联想笔记本电脑上运行 Linux 操作系统,还是可以通过在 BIOS 中禁用以下选项来实现支持:
(1)启动进入 BIOS 设置菜单 —— 在 PC 启动并显示“按回车(Enter)键,以打断正常启动”的消息时按下 F1 功能键。
(2)转到 BIOS 里的“安全 → 安全启动”(Security -> Secure Boot)子菜单,启用“允许第三方签发的 Microsoft UEFI 证书”。
(3)按 F10 功能键,以保存 BIOS 设置,然后重启计算机。