🔍 联想笔记本彻底禁用网络启动功能指南

联想笔记本的网络启动功能（如PXE网络启动）虽然方便远程维护，但若未妥善管理可能带来安全隐患。以下从BIOS底层设置和系统级操作两个维度，提供彻底禁用该功能的完整方案，并附带恢复出厂设置的应急步骤。

---### 🔧 第一步：BIOS设置禁用网络启动

1. 进入BIOS界面

开机瞬间连续按 F2 （部分机型为 F1 或 Enter ），进入UEFI固件界面。若遇到启动密码保护，需先联系管理员获取密码。

2. 定位关键设置项

在BIOS主界面依次选择：
`Boot > Secure Boot Control` → 确保启用`Secure Boot Mode`（增强启动验证）
`Security` → 禁用以下选项：
• `Network Boot from LAN`（局域网启动）
• `Intel AMT/ME Features`（需关闭Intel主动管理技术）
• `Remote Access`（远程唤醒/控制）

3. 高级网络设置

进入`Advanced` → `Intel Virtualization Technology` → 禁用`PXE Over LAN`选项。若存在`Out-of-band Management`模块，需一并关闭。

4. 保存并退出

按 F10 保存设置，重启时观察是否仍有网络启动选项。若发现残留，尝试更新BIOS到最新版本（官网下载驱动程序）。

---### 🛠️ 第二步：系统级操作加固

1. 禁用相关服务

以管理员身份运行命令提示符（Win+X → 选择`命令提示符（管理员）`），依次输入以下命令：
```powershellsc config WinRM start= disabled # 关闭Windows远程管理sc stop WinRMsc config IntelAMTService start= disabled # 禁用Intel AMT服务sc stop IntelAMTService```

2. 封锁网络端口

打开防火墙高级设置（控制面板 → 系统和安全 → Windows Defender 防火墙 → 先进设置），创建入站规则：阻止TCP/UDP端口 623 （IPMI）、 16992-16993 （AMT通信）。

3. 修改启动管理器配置

编辑`BCDedit`启动配置文件：
```powershellbcdedit /set {bootmgr} integrityservices enable # 启用启动完整性检查bcdedit /deletevalue {fwbootmgr} recoverysequence # 移除恢复序列```

---### 🔄 联想笔记本恢复出厂设置操作流程

1. 使用官方工具恢复

• 开机按 Lenovo 徽标键或 F2 进入`OneKey Recovery`（Vostro系列为`Lenovo Vantage` → 系统工具 → 系统恢复）
• 选择`恢复出厂设置` → 确认删除数据 → 等待重置完成

2. 无恢复分区时的应急方案

• 制作Windows安装U盘 → 从U盘启动 → 选择`修复计算机` → 进入命令提示符执行：
```powershellmd c: eimagecopy c:windowsSystem32sysprepsysprep.exe c: eimagec: eimagesysprep.exe /oobe /Generalize /shutdown```

---### ⚠️ 重要注意事项 1. 数据备份 ：恢复出厂设置会清除所有个人数据，务必提前备份至移动硬盘或云存储。2. 驱动适配 ：重置后需立即通过联想官网下载对应型号的最新驱动程序包（如ThinkVantage Toolbox）。3. BIOS密码管理 ：建议设置BIOS启动密码（路径：`Security → Password Configuration`），防止未授权修改设置。4. 固件漏洞防护 ：定期检查联想官网的固件更新公告，部分旧型号（如ThinkPad T460s）需手动下载 .hag 升级包通过Lenovo Utility安装。---### 📌 异常情况处理 - 若BIOS界面无法修改网络启动选项，可能是硬件锁定了企业级管理功能，需联系联想技术支持（400-990-8888）获取解锁授权。- 系统重置失败时，尝试在UEFI中将启动模式从`UEFI`切换为`Legacy BIOS`模式后重试。

通过上述双维度设置，可实现网络启动功能的物理层+逻辑层双重禁用，同时确保紧急情况下系统可快速回退至初始状态。操作时建议全程连接电源，避免意外断电导致配置失效。