新的Windows PC配备了UEFI固件并启用了安全引导。安全引导阻止操作系统引导，除非它们由加载到UEFI中的密钥签名-开箱即用，只有微软签名的软件才能引导。

Microsoft要求PC供应商允许用户禁用安全启动，因此您可以禁用安全启动或添加您自己的自定义密钥来绕过此限制。无法在运行Windows RT的ARM设备上禁用安全启动。

安全引导的工作原理

配备Windows 8和Windows 8.1的PC采用UEFI固件，而不是传统的BIOS。默认情况下，机器的UEFI固件将仅引导由UEFI固件中嵌入的密钥签名的引导加载程序。此功能称为“安全引导”或“可信引导”。在没有此安全功能的传统PC上，rootkit可以自行安装并成为引导加载程序。然后，计算机的BIOS将在引导时加载rootkit，该rootkit将引导并加载Windows，从而对操作系统隐藏自身，并将其嵌入到深层。

安全引导会阻止这一点-计算机将只引导受信任的软件，因此恶意引导加载程序将无法感染系统。

在Intel x86 PC(不是ARM PC)上，您可以控制安全启动。您可以选择禁用它，甚至可以添加您自己的签名密钥。例如，组织可以使用自己的密钥来确保只有经过批准的Linux操作系统才能启动。

用于安装Linux的选项

在具有安全引导的PC上安装Linux有几种选择：

选择支持安全引导的Linux发行版：现代版本的Ubuntu-从Ubuntu 12.04.2 LTS和12.10开始-可以在大多数启用了安全引导的PC上正常引导和安装。这是因为Ubuntu的第一阶段EFI引导加载程序是由微软签署的。然而，一位Ubuntu开发人员指出，Ubuntu的引导加载程序并没有使用微软认证过程所要求的密钥签名，而只是使用了微软所说的“推荐”密钥。这意味着Ubuntu可能无法在所有UEFI PC上启动。用户可能必须禁用安全引导才能在某些PC上使用Ubuntu。 禁用安全启动：可以禁用安全启动，这将以其安全优势换取让您的PC启动任何东西的能力，就像使用传统BIOS的老式PC所做的那样。如果您想要安装开发时没有考虑安全引导的旧版本Windows，如Windows7，这也是必要的。 向UEFI固件添加签名密钥：一些Linux发行版可能会使用自己的密钥对其引导加载程序进行签名，您可以将其添加到您的UEFI固件中。这在目前看来并不常见。

您应该检查一下您选择的Linux发行版推荐的进程。如果您需要引导一个没有提供任何相关信息的较旧的Linux发行版，您只需要禁用安全引导。

您应该能够在大多数新PC上毫无问题地安装当前版本的Ubuntu-无论是LTS版本还是最新版本。有关从可移动设备引导的说明，请参阅最后一节。

如何禁用安全引导

您可以从UEFI固件设置屏幕控制安全引导。要访问此屏幕，您需要访问Windows 8中的启动选项菜单。要执行此操作，请打开设置咒语-按Windows键+I将其打开-单击电源按钮，然后在单击重新启动时按住Shift键。

您的计算机将重新启动，进入高级启动选项屏幕。选择疑难解答选项，选择高级选项，然后选择UEFI设置。(您可能在一些Windows 8 PC上看不到UEFI设置选项，即使它们是随UEFI一起提供的-有关在这种情况下进入UEFI设置屏幕的信息，请参阅制造商的文档。)

您将被带到UEFI设置屏幕，在此您可以选择禁用安全引导或添加您自己的密钥。

从可移动介质启动

您可以从可移动介质启动，方法与访问启动选项菜单的方式相同-在单击重新启动选项的同时按住Shift键。插入您选择的引导设备，选择使用设备，然后选择要从中引导的设备。

从可移动设备引导后，您可以像往常一样安装Linux，或者只从可移动设备使用实时环境而不安装它。

请记住，安全引导是一项有用的安全功能。除非您需要运行不能在启用安全引导的情况下引导的操作系统，否则您应该将其保持启用状态。