Pluton安全特性讓ThinkPad銳龍6000筆記本默認無法運行Linux
在年初的CES 2022 消費電子展上,AMD 官宣了業內首款支持Microsoft Pluton 安全特性的銳龍6000 系列Rembrandt 處理器。與此同時,聯想也發布了支持Pluton 的ThinkPad Z13 和Z16 筆記本電腦,特點是配備了一枚獨特的Ryzen 7 PRO 6860Z CPU 。
據悉,Microsoft Pluton 是微軟公司於2020 年首次推出的Windows PC 安全協處理器。與TPM 一道,其旨在增強Windows 操作系統的安全性。
然而周五早些時候,Linux 信息安全架構師Matthew Garrett 遺憾地發現—— 他無法在ThinkPad Z13 筆記本電腦上,通過USB 來啟動Linux 。
通過初步調查,他得出了一個結論—— 受安全啟動機制的影響,Pluton 默認設置只接受Windows 引導加載和配套驅動程序。
由於Linux 發行版使用了第三方Microsoft UEFI 證書頒發機構(CA),任何非Windows 程序的安全啟動都會被默認阻止。
Matthew Garrett 在博客文章寫道:
我設法搞到了一台ThinkPad Z13 來檢查Microsoft Pluton 安全協處理器的功能實現。
但在嘗試通過USB 閃存盤啟動Linux 時,卻遭遇了開箱即用的失敗。
深入檢查後發現,固件默認不信任使用第三方Microsoft UEFI CA 密鑰簽名的引導加載/ 驅動程序。這意味著在默認固件設置下,該機除了Windows 之外,啥都無法啟動。
此外如果你想要通過雷電連接的任何第三方外設,也是無法順利啟動的。
截圖(來自:PDF)
最後,聯想在一份PDF 文檔中證實了這一情況—— 從2022 年起,該公司開始遵循微軟給出的PC 安全啟動建議,並於默認情況下禁用第三方證書。
但若你無論如何都想要在具有安全啟動特性的聯想筆記本電腦上運行Linux 操作系統,還是可以通過在BIOS 中禁用以下選項來實現支持:
(1)啟動進入BIOS 設置菜單—— 在PC 啟動並顯示“按回車(Enter)鍵,以打斷正常啟動”的消息時按下F1 功能鍵。
(2)轉到BIOS 裡的“安全→ 安全啟動”(Security -> Secure Boot)子菜單,啟用“允許第三方簽發的Microsoft UEFI 證書”。
(3)按F10 功能鍵,以保存BIOS 設置,然後重啟計算機。