1.什么是微软UEFI安全启动 所有电脑启动的时候，都会运行BIOS程序，用于初始化硬件。自从个人电脑诞生后，就一直如此。不用说，BIOS已经变得日益不适用了。 1998年，Intel牵头，联合AMD、AMI、Apple、Dell、HP、IBM、Lenovo、Microsoft和Phoenix等业界主要 厂商，开始制定新一代BIOS。这个项目叫做"统一的可扩展固定接口"（Unified Extensible Firmware Interface），简称UEFI。2005年推出1.1版，目前是2.3版。将来一开机，电脑运行的将不是BIOS，而是UEFI BIOS。等它运行结束，再载入操作系统。UEFI是一个很先进的、面向未来的规格。 但是很长时间内无法推广，原因就是微软公司不支持。Windows操作系统是桌面市场的主流系统，如果它不部署UEFI代码，就没有硬件厂商会跟进。所以，普通消费者对这个新规格所知甚少。 意想不到的变化，出现在2011年9月，微软毫无预兆地突然宣布，Windows 8将支持UEFI。这本来是一件好事。但是，问题是微软感兴趣的不是整个UEFI，而是UEFI的一个子规格Secure Boot。它要强行部署Secure Boot。Secure Boot只是UEFI的一个部分。两者的关系是局部与整体的关系。 Secure Boot的目的，是防止恶意软件侵入。它的做法就是采用密钥。UEFI规定，主板出厂的时候，可以内置一些可靠的公钥。然后，任何想要在这块主板上加载的 操作系统或者硬件驱动程序，都必须通过这些公钥的认证。也就是说，这些软件必须用对应的私钥签署过，否则主板拒绝加载。由于恶意软件不可能通过认证，因此 就没有办法感染Boot。这个设想是好的。但是，UEFI没规定哪些公钥是可靠的，也没规定谁负责颁发这些公钥，都留给硬件厂商自己决定。 现在，微软只是要求，主板厂商内置Windows 8的公钥。 2.什么是宝龙的反“微软UEFI安全启动”行动 宝龙的反“微软UEFI安全启动”行动就是通过宝龙官网全面揭示微软UEFI安全启动的真相和恶劣影响，为信息产业的公平和反垄断而斗争。 3.为什么要发起反“微软UEFI安全启动”行动 Secure Boot规格的本意是，让操作系统厂商自行选择公钥，通过认证。但是实际上，只有微软公司才有能力，让主板厂商内置它的公钥，其他公司都不具备这种能力。 因此，如果要在打开Secure Boot的主板上安装Linux系统，这个系统就必须通过Windows 8的认证。目前，微软公司把Windows 8的数字签名外包给了Verisign。操作系统厂商想要通过认证，就必须花99美元，向Verisign买一张数字证书，嵌入自家的操作系统。 最新动态是，Linux的各个发行版之中，Ubuntu已经购买了数字证书，Fedora和SUSE计划购买，其他发行版还没做出决定。 因此，在预装Windows 8的电脑上安装Linux（或其他操作系统）的最佳做法，就是进入BIOS，关闭Secure Boot。但是，这意味着你花钱买来的Windows 8将无法使用。 为什么Windows 8的公钥不可接受？ 目前看上去，Linux购买Windows 8的数字证书，是眼下唯一可行的相对容易的解决方法。但是，这种做法不可接受。 首先，系统的公钥被微软控制，后果难以预料。如果微软决定更换和废除这个公钥，Linux就要被迫跟进。 其次，Linux的启动管理器Grub是GPL许可证，该许可证（第三版）明文禁止软件使用密钥配合硬件阻止一部分用户的使用，因此要改用非GPL许可证的启动管理器。 再次，只有几个较大的Linux发行版才有能力购买数字证书，较小的发行版和用户自己定制的版本最终还是需要有自己的公钥。 Secure Boot对移动设备的影响，比PC还要严重 微软明确规定，所有PC主板必须带有关闭Secure Boot的选项。这不是因为微软的善意，而是因为如果不这样做，它一定会遭到反垄断起诉。 但是，在移动设备领域，微软不占优势，所以它就没有顾虑，规定所有安装Windows的移动设备的Secure Boot必须打开，而且没有关闭选项。 微软的平板电脑Surface RT就是一个最好的例子。它的Secure Boot是打开的，没法关闭，而且微软用了一个不同于桌面电脑Windows 8操作系统的公钥，且不提供获得数字证书的途径。因此理论上，用户不可能在Surface RT上安装其他操作系统。 还有报道称，使用Windows Phone 8操作系统的智能手机也将采用这种做法。那么，用户也就不可能在Windows Phone上安装其他操作系统了。 Secure Boot的本来用意是保证系统安全，但现在似乎成了厂商保护市场垄断、阻碍竞争一种手段。 除了微软公司，苹果公司也有这种倾向。在新一代的iPhone和iPad上面安装其他操作系统，似乎是不可能的。 自由软件基金会呼吁反Secure Boot垄断，就是基于这种考虑：用户应该拥有硬件和软件的使用自由，操作系统应该是开放的，而不是封闭的。 作为一种规格，自由软件基金会并不反对Secure Boot，它只是要求硬件厂商提供便利，使得用户可以更容易地安装和管理公钥，从而使用硬件平台对所有操作系统（以及设备驱动）保持开放。 我们认为，这是完全合理的要求，对于保证用户的自由和业界的健康生态极为重要。让我们一起支持这个行动（签名和捐助），密切关注事态下一步的发展。 4.如何实施反“微软UEFI安全启动”行动 对于“微软UEFI安全启动”，许多开源软件协会或企业开始行动起来，对微软的这一行动提出反对。 西班牙代表开源软件用户的开源软件协会Hispalinux向欧盟提起了针对微软的诉讼。Hispalinux拥有8000多名会员，是一个代表 Linux操作系统用户的团体。该协会称，微软让购买Windows 8操作系统的用户很难切换到Linux和其他操作系统。 红帽工程师马修加勒特也对微软Win8安全引导提出质疑。加勒特认为，微软要求OEM制造商确保支持Win8的安全引导技术。为了实现这个技术手 段，OEM必须附带UEFI键，该键主要用于允许Windows 8的安装和引导系统。微软将签署Windows密钥，该密钥的公共部分将用于所有系统，或为每个OEM提供密钥，并签署预装Windows 8版本。该技术将确保Windows 8引导安全，但可能意味着其他操作系统可能无法正确安装，包括旧版本的Windows。 对于红帽的疑问，微软也做出回应。微软解释说，它正与OEM合作伙伴紧密合作，以提高Windows的安全方面的经验。微软认为，OEM制造商有能力来定 制自己的固件，以满足其客户的需要，定制自己的平台上的证书和政策管理。OEM制造商可自由使用UEFI固件开关技术。 对于微软的回应，红帽再次进行了追问。加勒特回应微软的解释，“Windows 8认证系统，安装其他的操作系统变得更困难或根本不可能”。加勒特认为，微软在PC桌面统治地位，意味着该公司可以要求OEM制造商支持UEFI键，而较 小的竞争对手不能提出这样的要求。加勒特认为，微软目前正与硬件厂商对PC用户进行控制。

我的surface new pro win10就是关闭不掉UEFI的启动