已启用安全启动:通过msinfo32查看“安全启动状态”为启用,tpm.msc确认TPM 2.0就绪,PowerShell执行Confirm-SecureBootUEFI返回True,且Firmware日志中ID 1001事件存在。
如果您需要确认Windows 11系统当前是否已启用安全启动(Secure Boot),则必须通过系统内置工具直接读取固件层状态,而非依赖第三方软件或主观判断。以下是验证此状态的准确步骤:
一、使用系统信息工具(msinfo32)查看
该方法调用Windows原生系统信息模块,直接从UEFI固件中读取“安全启动状态”字段,结果权威且无需额外安装组件。
1、按下Win + R组合键,打开“运行”对话框。
2、在输入框中键入msinfo32,然后按回车键执行。
3、等待“系统信息”窗口加载完成,在左侧面板中点击系统摘要。
4、在右侧详细信息列表中,向下滚动查找安全启动状态这一项。
5、其值可能为:启用(表示已激活)、关闭(未启用)、或不支持(固件未提供Secure Boot功能或存在TPM/启动模式冲突)。
二、使用TPM管理控制台(tpm.msc)交叉验证
安全启动与TPM 2.0模块存在协同依赖关系,若TPM未启用或版本不符,Secure Boot即使显示“启用”也可能实际失效,因此需同步检查TPM状态。
1、再次按下Win + R,打开“运行”对话框。
2、输入tpm.msc并回车,启动受信任的平台模块管理界面。
3、在主窗口中查看规范版本是否为2.0,以及状态是否显示为就绪。
4、若状态为“不可用”或版本为1.2,则需重启进入UEFI BIOS,启用Intel PTT或AMD fTPM选项,并确保启动模式为UEFI。
三、通过PowerShell命令行快速查询
PowerShell可直接调用UEFI固件接口获取Secure Boot当前运行时状态,响应迅速且支持脚本化批量验证。
1、以管理员身份运行PowerShell:右键“开始”按钮 → 选择Windows Terminal(管理员)或PowerShell(管理员)。
2、在终端中输入以下命令并回车:Confirm-SecureBootUEFI。
3、若返回结果为True,表示Secure Boot已成功启用并处于活动状态;若返回False,则表明当前未启用或UEFI环境未正确加载密钥。
4、如需进一步查看底层细节,可追加执行:Get-SystemBootOption(部分系统需先导入UEFI模块)。
四、检查UEFI启动日志中的Secure Boot事件
Windows将Secure Boot相关初始化动作记录于固件事件日志,该日志由UEFI固件写入,独立于操作系统日志,具备更高可信度。
1、按下Win + X,选择事件查看器。
2、在左侧树形菜单中依次展开:应用程序和服务日志 → Microsoft → Windows → Firmware。
3、双击打开SecureBoot日志节点。
4、查看最近时间戳下的事件ID:ID为1001表示Secure Boot成功验证引导加载程序;ID为1003表示密钥验证失败;ID为1005表示平台处于Setup Mode(非用户可操作模式)。
