不知道是不是我没弄明白, 但感觉 OEM 厂家没有积极处理 Secure Boot 的一些问题

比如之前的 grub 2 uefi 有严重漏洞, 而且也给了解决方案:

• 拉黑有问题的 grub2 efi 文件的 hash,
• 或者设置 secure boot 只启动微软的 Windows, 拒绝加载其他的 OS.

第一个方法需要厂商更新 bios 完成或者微软可以通过 Windows update 更新 secure boot 的 dbx, 不过呢, 厂商基本上不是很重视的样子, 微软更新 dbx 翻车了好像也变谨慎了, 后续好像没有很积 极地推送更新.

方法二, 目前我只看到 surface pro uefi 设置 和 hyper-v 里面有这个设置, 其他计算机上似乎没见过.

然后, 刚才闲的, 新电脑上去 powershell 里面执行 Get-SecureBootUEFI -Name dbx -OutputFilePath dbx.bin, 得到的 dbx.bin 好像有点小啊. 很明显不像更新过的 dbx.

不知道是不是我理解有误, 本身 efi var 获取到的 dbx 可能就不全? 回头找个有 bug 的 ubuntu iso 测试下.