我明白你遇到的这个问题有多棘手——明明用的是官方最新的Ubuntu 24.04 ISO，也把Secure Boot设置为允许第三方证书，结果启动时还是弹出「Verifying shim SBAT data failed: Security Policy Violation」的报错。咱们结合你提到的微软更新说明，一步步梳理问题和解决办法：

问题根源分析 #

你提到的微软更新说明很关键：

This update applies SBAT to systems that run Windows. This stops vulnerable Linux EFI (Shim bootloaders) from running. This SBAT update will not apply to systems that dual-boot Windows and Linux. After the SBAT update is applied, older Linux ISO images might not boot. If this occurs, work with your Linux vendor to get an updated ISO image.

简单来说，微软的这个SBAT安全更新会在单Windows系统上严格执行Shim引导程序的SBAT版本验证，而你的系统正好是单Windows环境且安装了该更新。虽然你用的是Ubuntu 24.04的ISO，但部分早期的24.04镜像（甚至部分所谓的「最新版」）里的Shim组件SBAT版本可能没跟上微软最新的安全策略要求，导致验证失败。

可行的解决办法 #

1. 临时关闭Secure Boot完成安装（最快捷）

这是最直接的临时方案：

• 进入BIOS/UEFI设置，暂时关闭Secure Boot选项
• 正常引导Ubuntu ISO完成安装，安装完成后重启进入系统
• 再次进入BIOS/UEFI，重新开启Secure Boot——此时Ubuntu已经自动注册了合法的Shim证书，后续启动不会再出现验证失败的问题

2. 使用符合SBAT要求的最新ISO制作启动盘

• 先确认你下载的Ubuntu 24.04 ISO是2024年4月之后的更新版本：部分初始发布的24.04镜像存在SBAT兼容问题，建议去官方网站重新下载最新的镜像文件
• 用Rufus制作启动盘时，保持以下设置：
  • 分区方案选择「GPT」
  • 目标系统选择「UEFI (non-CSM)」
  • 不修改任何高级选项，用默认配置写入镜像
• 如果用Ventoy，先将Ventoy更新到最新版本，然后在Ventoy的设置界面开启「Secure Boot Support」选项，再把最新的Ubuntu ISO复制到Ventoy盘中

3. 临时卸载微软的SBAT更新（不推荐长期使用）

如果你必须保持Secure Boot开启且不想重新下载ISO，可以尝试暂时卸载对应的微软更新：

• 打开Windows设置 → 「Windows更新」→ 「更新历史记录」→ 「卸载更新」
• 在更新列表中找到带有「SBAT」或「Secure Boot」关键词的KB更新（比如KB5034441之类的相关编号），右键选择卸载
• 重启系统后，再尝试引导Ubuntu ISO完成安装，安装后记得重新安装该安全更新

补充说明 #

微软的更新逻辑是双系统环境下会跳过SBAT限制，但单Windows系统会严格执行。Ubuntu官方已经在跟进这个兼容问题，后续的ISO更新会修复Shim组件的SBAT版本问题，所以优先推荐你使用最新的官方ISO来制作启动盘。

备注：内容来源于stack exchange，提问作者ubuntu_ambassador