无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
查看: 13791|回复: 26
打印 上一主题 下一主题

[求助] Win7Pe纯UEFI模式启动+Secure Boot 打开的情况下能否实现?

[复制链接]
跳转到指定楼层
1#
发表于 2019-3-15 08:50:41 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
原来做的Win7PE在Legacy与UEFI(CSM支持)下能够顺利运行,现在需要在纯UEFI模式且Secure Boot打开的情况下运行,不知能否实现?该如何实现?
2#
发表于 2019-3-15 09:03:41 | 只看该作者
有可能,不过你得先做出来。以前的坑定不行。
回复

使用道具 举报

3#
 楼主| 发表于 2019-3-15 09:50:48 | 只看该作者
窄口牛 发表于 2019-3-15 09:03
有可能,不过你得先做出来。以前的坑定不行。

谢谢!能不能指导一下?
回复

使用道具 举报

4#
发表于 2019-3-15 15:53:45 | 只看该作者
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=413396
第三种方法,之后用XORBOOT引导试试看
回复

使用道具 举报

5#
 楼主| 发表于 2019-3-16 11:08:01 | 只看该作者
谢谢!阅读权限不够打不开这个链接!
回复

使用道具 举报

6#
发表于 2019-3-16 13:15:41 | 只看该作者
本帖最后由 hilsonma 于 2019-3-16 14:03 编辑

附件是根据 wintoflash 的 安全启动环境下启动任意未签名EFI的方法 做出来的引导方案,@lxlzxy120 可以试试。

secureboot最简版是Shim+grub+xorboot 启动,可通过xorboot菜单管理启动项
secureboot+grub2扩展版是Shim+grub+grub2+xorboot 启动,既可通过xorboot菜单管理启动项,也可以通过grub2配置文件管理启动项

之所以添加grub2扩展是因为有些efi程序xorboot不支持,而grub2支持。

前面的 Shim+grub 这两个启动过程是解决 secureboot 的,之后的xorboot和grub2才真正是用户定义的启动。


一般选用最简版即可,如想试用单文件linux 和 grub2文件管理器之类就要使用grub2扩展版,因为这类EFI程序无法通过XORBOOT启动。

EFI.7z

2.95 MB, 下载次数: 143, 下载积分: 无忧币 -2

secureboot+grub2扩展版

EFI.7z

2.39 MB, 下载次数: 105, 下载积分: 无忧币 -2

secureboot最简版

回复

使用道具 举报

7#
 楼主| 发表于 2019-3-16 17:26:29 | 只看该作者
hilsonma 发表于 2019-3-16 13:15
附件是根据 wintoflash 的 安全启动环境下启动任意未签名EFI的方法 做出来的引导方案,@lxlzxy120 可以试试 ...

谢谢!研究研究试试!
回复

使用道具 举报

8#
 楼主| 发表于 2019-3-16 17:30:10 | 只看该作者
lxlzxy120 发表于 2019-3-16 17:26
谢谢!研究研究试试!

唉,权限还是太低,阅读不了 “安全启动环境下启动任意未签名EFI的方法 ”!
回复

使用道具 举报

9#
发表于 2019-3-16 18:35:00 | 只看该作者
lxlzxy120 发表于 2019-3-16 17:30
唉,权限还是太低,阅读不了 “安全启动环境下启动任意未签名EFI的方法 ”!

压缩包中有个secureboot.txt ,摘录了部分 安全启动环境下启动任意未签名EFI的方法 的内容。
回复

使用道具 举报

10#
发表于 2019-3-16 22:21:55 | 只看该作者
lxlzxy120 发表于 2019-3-16 17:26
谢谢!研究研究试试!

因为我的电脑不能开Secure boot,所以我也没有试过是否真能通过Secureboot,请将结果告知,谢谢。
回复

使用道具 举报

11#
发表于 2019-3-19 16:46:57 | 只看该作者
hilsonma 发表于 2019-3-16 13:15
附件是根据 wintoflash 的 安全启动环境下启动任意未签名EFI的方法 做出来的引导方案,@lxlzxy120 可以试试 ...

请问,我用redhat搭建的uefi pxe在老是被secure boot policy 拦截,有什么办法解决,是不是因为bootx64.efii没有签证。
错误信息:UEFI0073: Unable to boot PXE Device...because of the Secure Boot policy
回复

使用道具 举报

12#
发表于 2019-3-19 21:46:36 | 只看该作者
本帖最后由 hilsonma 于 2019-3-19 21:57 编辑
Lds1350 发表于 2019-3-19 16:46
请问,我用redhat搭建的uefi pxe在老是被secure boot policy 拦截,有什么办法解决,是不是因为bootx64.e ...


是的,都提示了because of the Secure Boot policy
解决办法我目前知道的是wintoflash 的 安全启动环境下启动任意未签名EFI的方法,
他的办法是用Shim的bootx64.efi 做第一启动,Shim版bootx64.efi 会检验 grubx64.efi 的证书。如果检验通过,则加载 grubx64.efi,否则加载 Mokmanager.efi,Mokmanager.efi导入证书GRUBFM.cer 后再加载grubfmx64.efi,从而完成认证引导。

将你原本的bootx64.efi改名为grubfmx64.efi, 将附件中的文件放到同一个文件夹 ( \efi\boot ) ,应该可以解决secure boot 的认证问题。

注意,你的 \efi\boot\ 文件夹下应该有以下几个文件
bootx64.efi  ---------- Shim主程序,通过了微软的认证,由 Red Hat Bootloader Team 开发.
GRUBFM.cer  -------- grubfm密钥
grubx64.efi  --------- 可由Shim加载的GRUB启动文件。
MokManager.efi  --- 用户密钥(Machine Owner Key)管理
grubfmx64.efi  ----- 可由grubx64.efi加载的用户启动文件,原来要启动的EFI文件必须改成此文件名。

前4个文件下载的附件中有,后面那个grubfmx64.efi 就是你原来要启动的efi文件,不过要改名为grubfmx64.efi

secureboot_x64.7z

528.04 KB, 下载次数: 39, 下载积分: 无忧币 -2

回复

使用道具 举报

13#
发表于 2019-3-19 22:34:44 | 只看该作者
应该可以的,过安全启动后用udm.efi或ipxe.efi模板
回复

使用道具 举报

14#
发表于 2019-3-19 22:37:16 | 只看该作者
网启应该没法浏览到证书 无解吧

回复

使用道具 举报

15#
发表于 2019-3-19 23:06:00 | 只看该作者
wintoflash 发表于 2019-3-19 21:58
网启应该找不到文件吧

谢谢 wintoflash 的回复。我没有弄过网启,所以不懂。
我是看楼主的问题,刚好自己看过你的贴子,知道一点,所以就回复楼主了,其实我自己都没有实践过。因为我的电脑一台开了secureboot就没有显示要清cmos,一台开了secureboot就提示secureboot not active 感觉没开一样。

wintoflash 问你一个问题:如果自己定制一个grub2引导,嵌入GRUBFM.cer ,命名为grubx64.efi,再用Shim引导,能不能通过认证引导成功?
回复

使用道具 举报

16#
发表于 2019-3-20 14:28:00 | 只看该作者
wintoflash 发表于 2019-3-20 10:42
嵌入的不是cer文件,而是另外的文件。cer文件是给固件用的。

谢谢。请进一步解惑:
cer文件是给固件用的,那么是不是在Shim验证失败的时候,MokManager.efi 导入 GRUBFM.cer 是写入固件的,写一次之后固件中就已经包含有GRUBFM.cer了?

另外grub2定制中,grub-mkimage.exe 的 -k 参数 对通过secureboot有没有帮助?如果有用的话应该怎么使用?
回复

使用道具 举报

17#
发表于 2019-3-20 17:41:39 | 只看该作者
wintoflash 发表于 2019-3-20 14:40
保存在nvram中。只要不清nvram就一直有效。

与安全启动无关。

好的。感谢您的指导。
回复

使用道具 举报

18#
发表于 2019-4-10 06:01:31 | 只看该作者
研究研究试试!
回复

使用道具 举报

19#
发表于 2019-5-16 07:53:14 来自手机 | 只看该作者
公司新电脑竟然锁了bios,uefi+安全启动,可是有些老程序win10问题多多,正愁win7咋个绕过安全启动呢。得空试验下。
回复

使用道具 举报

20#
发表于 2019-12-28 14:28:38 | 只看该作者
lxlzxy120 发表于 2019-3-16 17:26
谢谢!研究研究试试!

谢谢!研究研究试试!权限不够下不了。。
回复

使用道具 举报

21#
发表于 2019-12-31 10:48:26 | 只看该作者
lxlzxy120 发表于 2019-3-16 17:26
谢谢!研究研究试试!

谢谢!
回复

使用道具 举报

22#
发表于 2019-12-31 10:54:54 | 只看该作者
hilsonma 发表于 2019-3-19 21:46
是的,都提示了because of the Secure Boot policy
解决办法我目前知道的是wintoflash 的 安全启动环 ...

谢谢,分享。
回复

使用道具 举报

23#
发表于 2019-12-31 13:44:16 | 只看该作者
hilsonma 发表于 2019-3-16 13:15
附件是根据 wintoflash 的 安全启动环境下启动任意未签名EFI的方法 做出来的引导方案,@lxlzxy120 可以试试 ...

谢谢,分享。

回复

使用道具 举报

24#
发表于 2019-12-31 13:48:49 | 只看该作者
hilsonma 发表于 2019-3-16 18:35
压缩包中有个secureboot.txt ,摘录了部分 安全启动环境下启动任意未签名EFI的方法 的内容。

谢谢!!!
回复

使用道具 举报

25#
发表于 2021-1-31 16:23:23 | 只看该作者
权限不够,下不了,可以网盘分享一下吗?谢谢!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-11-26 04:30

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表