無論你是否在使用 Windows 8，以后大家購買的新電腦默認都會啟用微軟正在推行的安全啟動（Secure Boot）功能。安全啟動功能可以防止在電腦啟動過程中加載“未經授權”的操作系統和軟件。

“安全啟動”是 UEFI 提供的功能，UEFI 主要是為了取代傳統的計算機 BIOS – 但微軟針對 x86（Intel）與 ARM PC 實施了不同的規范。任何帶有 Windows 8 徽標貼紙的計算機都已經啟用了安全啟動功能。

安全收益

傳統的 BIOS 可以引導任何軟件。通常，BIOS 可以引導到 Windows 啟動加載器，或者 Linux 啟動加載器，例如 GRUB。然而某些惡意軟件，例如 Rootkit 有可能替換你的啟動加載器。Rootkit 可以照常加載操作系統，完全不會表現出任何異常，保持徹底的隱形，并且在操作系統中根本無法察覺。BIOS 并不知道惡意軟件和可信賴的啟動加載器之間有何區別，因此會直接引導不加干涉。

Windows 8 PC 在出廠時在 UEFI 中包含了微軟的證書（此外還可能包括其他證書，這主要取決于具體制造商）。UEFI 會在開始加載之前對啟動加載器進行檢查，確保加載器具備微軟的簽名 – 如果 Rootkit 或其他惡意程序替代了啟動加載器，UEFI 將拒絕啟動。這樣即可預防惡意軟件劫持系統的啟動過程，并將自己隱藏在操作系統底層。

有關安全啟動功能工作原理的更多技術信息，請參閱微軟針對該功能的介紹。

你可以控制什么

如果安全啟動功能這樣工作，你將無法在計算機上運行任何非微軟操作系統。好在你可以在 UEFI 中對安全啟動功能進行設置（就像以往設置 BIOS 選項一樣）。你可以徹底禁用安全啟動功能，或者添加額外的證書。甚至還可以刪除微軟的證書 – 刪除微軟的證書，添加自己的證書，隨后你的計算機就只能引導你自己簽名過的啟動加載器。

安裝 Linux

其實計算機在出廠時還可以包含 Ubuntu 的證書。各種 Linux 發行版也可以發布自己的證書，并建議用戶安裝 – 或者建議用戶徹底禁用安全啟動功能。Fedora 愿意花費 99 美元購買微軟的簽名服務，因此 Fedora 無需任何額外配置即可安裝到任何通過 Windows 8 認證的計算機上。其他 Linux 發行版也可以這樣做。

有關不同 Linux 發行版具體情況的詳情，請參閱 Fedora 開發人員的這篇文章。

【譯注：原文引用了 Fedora 開發人員的文章，但在原文發布后，引用的這篇文章有更新，澄清了一些問題：99 美元是支付給 Verisign 的，用于購買證書使用，并且一次付款無限制使用】

x86 vs. ARM

壞消息來了：上文介紹的有關對安全啟動功能進行控制，以及安裝自己的操作系統的所有信息都只適用于運行了標準 Windows 8 操作系統的 x86（Intel）Windows PC 和平板。

還有很多運行 Windows RT 的 ARM 架構計算機 – 這類設備最初只有少量平板，但很快我們將看到 ARM 架構的 Windows 筆記本甚至臺式機。除了在傳統 Windows 桌面無法支持第三方應用，并且 Metro 應用也非常有限外，ARM 架構的 Windows RT 計算機啟動加載器還會被鎖定。你將無法禁用安全啟動功能并安裝自己的操作系統 – 微軟強制要求所有預裝 Windows RT 的 ARM 設備不能禁用安全啟動功能。微軟希望你將 ARM 架構的 Windows RT 系統看作一種“設備”，而非計算機。Microsoft 告訴 Mozilla 說 Windows RT “已經不再是 Windows 了”。

好消息是，安全啟動功能可以讓每個人在 Intel 架構的計算機上獲得更安全的環境 – 就算 Linux 用戶也是如此。壞消息是安全啟動功能會將 ARM 設備徹底鎖定。