Windows 10 的安全启动验证模式,本质上相当于为系统构建了一道从硬件到软件的完整“安全门禁”——能够有效阻止未经授权的固件、驱动程序或引导程序在开机时被擅自加载。要启用这一功能,前提是主板必须支持 UEFI 模式,并且在 BIOS 中已经开启了 Secure Boot(安全启动)。如果这一步没有完成,后续在系统内进行的任何设置都将是徒劳无功的。

接下来直接进入实操环节,整个过程分为三个步骤:首先完成固件层面的配置,其次进行系统层面的设置,最后利用工具进行验证确认。
确认并启用 UEFI 固件级安全启动
开机时反复按 F2、Del 或 F12(神舟笔记本通常按 F2)进入 BIOS 设置界面,切换到“Boot”或“Security”选项卡,找到“Secure Boot”选项,将其设置为【Enabled】,然后按 F10 保存并退出。这一步是硬性前提——如果此处显示 Disabled 或者选项呈灰色无法选择,说明你的电脑仍处于 Legacy 模式运行,或者主板根本不支持 UEFI,必须先将启动模式切换为 UEFI 才能继续。特别提醒,像神舟战神 Z7-CT7NA、K6-CT5NA 这类机型,还需要顺手关闭“CSM Compatibility Support Module”(兼容性支持模块),Secure Boot 选项才能变得可操作。
通过 Windows 安全中心启用 System Guard 安全启动
回到 Windows 系统后,点击“开始”,搜索“Windows 安全中心”并打开,在左侧选择“设备安全”,点击“核心隔离详情”,然后在“固件保护”区域将开关拨到“开”。系统会自动检测你的硬件是否支持,如果显示“可用”并且下方提示“System Guard 安全启动:已启用”,说明验证模式已成功激活。这一操作实际上调用了微软原生的 VBS(基于虚拟化的安全性)框架,无需手动修改注册表或组策略,省去了不少麻烦。
使用组策略强制启用(适用于专业版/企业版)
如果你使用的是 Windows 10 专业版或企业版,还可以通过组策略将安全启动策略锁定。按下 Win+R,输入 gpedit.msc 并回车,依次展开:计算机配置 → 管理模板 → 系统 → 设备防护 → 启用基于虚拟化的安全。然后双击“安全启动配置”,选择“已启用”,在下拉菜单中指定“安全启动策略”为“Microsoft”或“Custom”,点击“确定”。重启后即可生效。但请注意:该策略只有在 UEFI + Secure Boot 已开启的前提下才会生效,否则策略项会直接变灰,无法操作。
命令行验证与补救(管理员权限)
最后,通过命令行检查安全启动是否实际生效。以管理员身份运行 PowerShell,输入以下命令:
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace rootMicrosoftWindowsDeviceGuard | Select-Object SecureBootStatus, VirtualizationBasedSecurityStatus
回车执行后,如果SecureBootStatus 返回 True,并且VirtualizationBasedSecurityStatus 显示 Running,那么恭喜你,安全启动验证模式已经准备就绪。如果返回的是 False,说明固件层面根本没有开启 Secure Boot,此时你做的任何软件层配置都是白费力气,请老老实实回到第一步重新设置 BIOS 吧。
