Sempre usei Arch Linux no meu computador, normalmente desativando o Secure Boot. Não entendo muito do assunto, mas sempre consegui instalar facilmente usando o Archinstall. Recentemente, comprei um notebook ThinkPad X1 Yoga na OLX, que veio com a BIOS bloqueada por senha. O vendedor não soube me informar a senha, mas mesmo assim decidi comprar. Consigo acessar a BIOS ao pressionar Enter quando solicita a senha, mas só consigo visualizar a bios sem possibilidade de alterar as configurações do boot, vi que está configurado como “UEFI only”.
Tentei instalar o Arch usando o Rufus, com esquema MBR, sistema de destino BIOS ou UEFI e sistema de arquivos NTFS, mas apareceu o erro “[26] Security Violation”. Também tentei com GPT, UEFI e NTFS, mas o erro se repetiu. Gravei a mídia no modo DD, mas ela nem dá boot, voltando para a tela de seleção. No Balena Etcher acontece o mesmo loop, e no Ventoy também aparece erro relacionado ao Secure Boot.
Curiosamente, já consegui instalar Fedora nonotebook sem problemas; o Arch é que ainda estou quebrando a cabeça para instalar. Vocês acham que é possível instalar o Arch sem desativar o Secure Boot?
Então, ele veio com o Windows formatado e funcionando normalmente. Esse ThinkPad veio de leilão de empresas com muitos lotes, então é quase impossível saberem a senha da BIOS. Comprei porque estava muito barato. O problema é que, para remover a senha, seria necessário retirar e regravar a BIOS. Já fui a uma assistência técnica, mas eles cobram R$ 500 para isso, e eu não tenho o equipamento necessário. Não consigo limpar as chaves, pois ao entrar na BIOS sem a senha, só consigo visualizar as opções não consigo alterar nada.
É possível. Parece tedioso e eu nunca tentei, então vou só linkar para as partes relevantes da wiki.
Primeiro, é preciso instalar o Arch (dã).
Com a ISO do Arch: é possível editar a primeira partição da imagem ISO (quando copiada no modo DD/Etcher) para acrescentar um dos “shims” assinados pela Microsoft que as distribuições que suportam Secure Boot usam. É citada também uma ferramenta para gerar ISOs personalizadas (Archboot), e na seção ISO Repacking (5.1.2) é explicado como fazer isso sem precisar copiar a ISO para um pendrive.
Depois de instalar o Arch, é preciso assinar o bootloader você acabou de instalar. Como você não tem acesso à senha da BIOS, você tem que seguir a seção 3.2 daqui que usa o shim da MS; o guia com sbctl trazido pelo @swatquest não vai funcionar.
Note que a maioria dos links assumem que você usa o systemd-boot, enquanto a grande maioria dos tutoriais de instalação de Arch (até onde eu sei) sugerem o GRUB.
No Arch, como a equipe não suporta o Secure Boot oficialmente, vai ter um tanto de trabalho de formiguinha da sua parte. Em especial, você terá que “assinar” o bootloader e o kernel a cada atualização deles (menos mal que é só fazer dois next-next-finish no boot seguinte).
Como @swatquest já disse, a solução mais simples no longo prazo é desbloquear essa BIOS.
