安全启动失败需依次检查并修复:一、启用secure boot并重置密钥;二、切换为uefi only模式;三、禁用快速启动与混合睡眠;四、用msinfo32确认状态;五、必要时清除tpm。
如果Windows系统启动时提示“安全启动失败”,则通常是由于BIOS/UEFI中安全启动(Secure Boot)功能与当前引导环境不兼容,或相关设置被意外禁用、配置错误。以下是针对该问题的多种修复方法:
一、启用Secure Boot并重置密钥
Secure Boot依赖预装的平台密钥(PK)、KEK和DB来验证引导加载程序签名。若密钥损坏或缺失,即使开启Secure Boot也会失败。需进入UEFI界面执行密钥重置操作。
1、关机后重新开机,在出现品牌Logo时反复按F2/F10/Del键(具体按键依主板厂商而定)进入UEFI BIOS设置界面。
2、使用方向键切换至【Security】或【Boot】选项卡,查找Secure Boot选项。
3、将Secure Boot状态设为Enabled,随后定位到“Reset to Setup Mode”或“Restore Factory Keys”选项并执行确认。
4、保存设置并退出(通常为F10 → Yes),系统将自动重启。
二、切换UEFI/Legacy启动模式
安全启动仅在纯UEFI模式下生效;若系统以Legacy(CSM)模式启动,Secure Boot将被强制禁用,导致提示失败。需确保启动模式与安装方式一致。
1、进入UEFI BIOS设置界面。
2、导航至【Boot】选项卡,查找“Boot Mode”、“Launch CSM”或“UEFI/Legacy Boot”选项。
3、若当前为Legacy或CSM Enabled,将其更改为UEFI Only或Disable CSM。
4、同时检查“Fast Boot”是否启用,如是,建议暂时Disable以确保完整初始化UEFI模块。
5、保存更改并重启。
三、禁用快速启动与混合睡眠
Windows的快速启动(Hybrid Boot)会保留内核会话至休眠文件,可能导致UEFI变量状态异常,干扰Secure Boot校验流程。需彻底关闭该功能以排除干扰。
1、在Windows中右键“开始”按钮,选择“电源选项”。
2、点击左侧“选择电源按钮的功能”,再点击“更改当前不可用的设置”。
3、取消勾选启用快速启动(推荐)选项。
4、同时在“控制面板→电源选项→更改计划设置→更改高级电源设置”中,展开“睡眠”,将“允许混合睡眠”设为“否”。
5、执行完全关机:打开命令提示符(管理员),输入shutdown /s /t 0并回车。
四、使用msinfo32确认当前Secure Boot状态
在进入BIOS前,可先通过系统工具确认实际状态,避免误判。msinfo32显示的是Windows读取的UEFI变量值,具有实时参考价值。
1、按Win+R,输入msinfo32并回车。
2、在右侧信息栏中查找“安全启动状态”项。
3、若显示“关闭”,说明UEFI中Secure Boot未启用或已被绕过;若显示“无效”,表明密钥损坏或存在签名冲突。
4、若状态为“关闭”,需返回UEFI启用;若为“无效”,应执行第一种方法中的密钥重置步骤。
五、清除TPM芯片状态(适用于带TPM 2.0设备)
部分OEM设备将Secure Boot策略与TPM状态绑定。TPM处于已激活但未初始化状态时,可能引发安全启动校验中断。
1、进入Windows设置→更新与安全→Windows安全→设备安全性→核心隔离详情。
2、检查“基于虚拟化的安全性”是否启用;如是,点击“管理设备安全性”并选择“清除TPM”。
3、系统会提示重启并进入特殊清除界面,按提示完成清除流程。
4、重启后进入UEFI,重新启用Secure Boot并保存设置。
