应禁用Secure Boot、重置UEFI密钥数据库、更新主板固件、移除非认证启动项、启用固件写保护。五步依次操作可解决“The system found unauthorized changes on the firmware”报错。
如果您启动电脑时看到“The system found unauthorized changes on the firmware”提示,并伴随UEFI安全启动(Secure Boot)报错,则说明系统检测到固件层存在未被签名或被篡改的启动组件。以下是解决此问题的步骤:
一、进入UEFI设置禁用Secure Boot
禁用Secure Boot可绕过签名验证,使系统跳过对固件和启动加载程序的合法性检查,适用于已确认硬件无恶意篡改且需快速恢复启动的场景。
1、重启电脑,在开机自检(POST)阶段反复按特定功能键(如F2、Del、F10或Esc,具体取决于主板品牌)进入UEFI/BIOS设置界面。
2、使用方向键导航至“Security”或“Boot”选项卡。
3、找到名为“Secure Boot”或“安全启动”的选项,将其值从“Enabled”更改为“Disabled”。
4、按F10保存更改并退出,系统将自动重启。
二、重置UEFI密钥数据库(PK/KEK/DB)
UEFI安全启动依赖平台密钥(PK)、密钥交换密钥(KEK)和签名数据库(DB)共同验证启动链完整性。若这些密钥被意外修改或损坏,将触发未授权变更警告。重置可恢复出厂默认密钥状态。
1、在UEFI设置界面中查找“Reset to Setup Defaults”、“Load Default Keys”或“Restore Factory Keys”类似选项。
2、部分主板需先在“Security”菜单下启用“Setup Mode”(设置模式),再执行密钥重置操作。
3、选择确认重置后,系统将清除当前PK、KEK及DB条目,并加载微软或OEM预置的默认密钥集。
4、保存设置并重启,观察是否仍报相同错误。
三、更新主板UEFI固件
旧版UEFI可能存在签名验证逻辑缺陷或兼容性问题,导致误判合法固件模块为“未授权变更”。更新至最新官方固件可修复已知校验异常。
1、访问主板或笔记本制造商官网,根据设备型号下载对应最新UEFI/BIOS固件文件及刷新工具。
2、将固件文件复制至FAT32格式U盘根目录,确保U盘无其他隐藏分区或加密保护。
3、在UEFI设置中启用“Flash BIOS from USB Drive”或类似选项,选择U盘中固件文件执行更新。
4、更新过程中切勿断电或强制关机,等待进度完成并自动重启。
四、检查并移除非认证启动项
第三方驱动、自定义引导加载器(如某些Linux发行版安装时写入的shim或grubx64.efi)若未使用有效微软签名,会在Secure Boot启用时被UEFI拒绝加载,从而触发该报错。
1、进入UEFI设置,进入“Boot”选项卡,查看“Boot Option #1”至“#N”列表中是否存在可疑名称(如“ubuntu”、“grub”、“rEFInd”等非Windows原生条目)。
2、选中可疑启动项,按键盘Delete或“-”键将其从启动顺序中删除。
3、如有必要,进入Windows系统后以管理员身份运行命令提示符,执行:bcdedit /set {bootmgr} path \EFI\Microsoft\Boot\bootmgfw.efi 确保启动管理器指向微软认证路径。
五、启用UEFI固件写保护开关(仅限部分主板)
某些高端主板(如ASUS ROG、MSI MEG系列)提供物理跳线或UEFI内建选项用于锁定固件写入权限。若此前曾手动刷写或调试固件,可能因写保护关闭导致UEFI认为存在未授权变更。
1、查阅主板用户手册,定位“BIOS Write Protect”、“Flash Protection”或“FW Update Lock”相关设置位置。
2、在UEFI“Advanced”或“Tool”菜单中找到该选项,将其设为“Enabled”或“Locked”。
3、保存设置并重启,系统将重新校验固件哈希值并确认其完整性状态。
