双启动Linux具有BitLocker设备加密和安全启动

采取一些预防措施,有一个备份计划,您可以将您的Windows分区加密,并将系统与Linux发行版一起使用安全启动。这些说明旨在帮助您在运行Windows 10 Professional的计算机上使用Linux进行双引导系统,使用BitLocker设备加密,现代备用(A.k.a.快速启动)和安全启动。

Linux(或任何其他辅助操作系统)安装仅在简单内容下介绍,因为这些注释将侧重于在这样的设置中保留Windows预启动UEFI环境。

使用兼容可信平台模块(TPM)运送的设备可能会带有BitLocker设备加密,默认情况下启用。由于加密秘密由TPM保持,因此您不会出现在启动时进行解密密码,并且甚至可能无法意识到设备配置为增强的安全性。在对此类设置上更改启动环境时,要做好准备是很重要的。

制作准备

在继续之前,你应该备份所有重要数据外部硬盘或您的首选在线备份提供商;最好是两者。永久性地将Windows 10安装以不可恢复的方式永久破坏Windows 10安装的风险,因为您将更改计算机中的UEFI分区。

您还应在此过程中打印BitLocker恢复密钥的副本。这是不是您的BitLocker PIN或密码,但单独的数字键。您可以从控制面板打印恢复密钥:系统和安全性:BitLocker Drive加密。

请注意恢复关键更改每次禁用并重新启用BitLocker设备加密。确保您始终有几个副本最新的恢复密钥,或者您可以放松对加密数据的访问权限。

你也应该下载并准备一个Windows 10安装媒体(例如,一个16个Gib + USB棒)预先恢复目的。请注意,您还需要一个单独的Linux安装介质。

最后,您应该仔细检查安装了最新的固件更新 - 尤其是可信平台模块(TPM)固件。请注意,供应商可能没有自动更新TPM使用定期驱动程序和固件更新实用程序。

在驱动器上释放空间

安装第二操作系统 - 无论是Windows,Linux还是更多异国情调的另一副本 - 您需要在系统驱动器上释放空间。您还可以使用辅助驱动器,但这可能不是笔记本电脑用户和小型因子设备的选项。

也可以看看:您应该如何制作UEFI系统分区?

你需要释放至少20个吉布对于一个小的Linux安装,但你是唯一可以说出你需要多少磁盘空间的人。一些Linux分发安装程序(至少Ubuntu和Fedora)可以在这种方式准备磁盘时与具有完全引导安装选项的Windows一起安装。

(可选)如果您的分区布局允许它,您还应该将您的UEFI系统分区延长至大约1个GIB。一些制造商只能送出100个MIB分区或更小。由于多个操作系统将存储其UEFI Blob(并且在系统升级期间可能多版本),因此将来可能有益,以便在此分区上提供更多空间。

您可能无法在不重新安装Windows从头开始进行此操作,而不是绝对必要 - 虽然它可能会在以后节省一些故障排除。

您可以使用Windows中的内置磁盘管理实用程序调整和管理您的分区。您可以通过在Windows搜索或Cortana中搜索“创建和管理硬盘分区”来找到它。

如果这是您从未存储任何个人数据的新设备,我建议您首先暂时禁用BitLocker设备加密,然后更改驱动器分区。Windows在自我修复时相当不错地体贴任何意外损坏或可能在操作分区时发生的问题。

如果出现问题,Windows可以使用本机NTFS驱动器进行多于BitLocker加密驱动器。禁用从Windows设置中加密BitLocker设备加密后,您必须等待一些时间进行解密完成。然后,您可以继续缩小主驱动器。这两个操作都可能需要几个小时,具体取决于驱动器。

当您缩小分区和释放空间时,您可以重新启用BitLocker设备加密。您应该重新启动系统并等待几个小时,以便在继续之前完成进程以避免稍后遇到问题。

如果您已经在驱动器上存储了个人数据,则应首先备份所有内容,让启用BitLocker设备加密,然后只需调整加密驱动器的大小并希望最佳。

之后不要格式化或分区释放空间,以后将此留给Linux安装程序。

安装辅助操作系统

Linux Installers很多,因此我只会在安装过程中给出一些普通指针。您不需要禁用安全启动以安装现代的Linux发行版。有关您的分发,请参阅文档。根据您的设备,您可能必须从Windows Settings应用程序启动到您的安装介质:系统和更新:恢复:高级启动。

您不应该选择使用整个驱动器。Fedora和Ubuntu的图形安装程序将使用早期您的系统驱动器上释放的空间自动建议。您应该始终验证安装人员在接受建议之前不会格式化Windows或UEFI分区。

Windows 10和Linux为您的UEFI Blobs共享相同的分区。但是,您无法在同一UEFI系统分区上安装多个版本的Windows或多个版本的相同Linux发行版。每个都将安装到操作系统之后名为的文件夹中,例如,“Fedora”,“Microsoft”和“Ubuntu”,但此命名方案当时不允许超过一个版本。

如果您需要安装多个版本的e.g.Windows,那么您还需要为每个人创建单独的UEFI系统分区。请注意,这将要求您将BitLocker设备加密禁用,因为更改引导分区将扰乱TPM。

旧版本的Windows和一些Linux安装程序有时会覆盖整个UEFI分区,但我不相信现在已经存在了一些问题。您将想要安装现有的Windows UEFI分区没有格式化它/ boot / EFI在您的Linux系统上。您应该使用共享的UEFI分区,即使您将Linux安装到辅助驱动器,因为它将让您更容易使用安全启动,BitLocker和Grub2。

OS-prober.应该自动检测Windows并在GRUB2中沿Linux创建一个引导菜单项。Windows Update需要多次重新启动,因此您需要配置GRUB以记住您的最后一个启动菜单选择(grub_default = saved;grub_savedefault = true)。

这将允许操作系统触发多次重新启动以执行更新,并将其引导到正确的操作系统中。它也会让您回到与您上次启动系统的相同操作系统中。

完成安装后,您可能会提示您的BitLocker恢复密钥。

我希望您现在可以觉得更多准备使用安全启动和BitLocker设备加密创建双启动系统。事情应该只是工作,但是启动过程很精致,以便您必须采取预防措施,以防您需要恢复系统。祝好运!

来源

  • 现代待机,提交301ee27654,,Microsoft Partners,Microsoft Docs,Github,Microsoft的硬件文档
  • Windows 10中BitLocker设备加密概述,提交d35e09bf30,,IT专业人员Docs,Microsoft Docs,Github,Microsoft
  • UEFI.,修订73,,社区帮助Wiki,Ubuntu文档,规范