部分ThinkPad关闭SecureBoot后仍无法对引导模式进行更改（显示为灰色），经过分析，目前已经确认为BIOS内的“Kernel DMA Protection”选项开启导致，在BIOS内将其关闭即可。同时，该选项也将对Thunderbolt雷电接口进行保护，如果Thunderbolt选项无法更改的话，也可以考虑此选项。

1.按F1进入BIOS；

2.进入“Security”模块，然后选择“Virtualization”选项，将“Kernel DMA Protection”置为Disabled。

3.此时会提示进行取消的确认，选择“Yes"即可。

关于Kernel DMA ：

在 Windows 10 版本 1803 中，Microsoft 引入了一项称为内核 DMA 保护的新功能，以使用连接到可从外部访问的 PCIe 端口 （如 Thunderbolt™ 3 端口和 CFexpress) 的 PCI 热插拔设备保护电脑免受驱动器直接内存访问 (DMA) 攻击。 在 Windows 10 版本 1903 中，Microsoft 扩展了内核 DMA 保护支持，以涵盖内部 PCIe 端口 (例如 M.2 插槽)。DMA 攻击可能会导致泄露驻留在电脑上的敏感信息，甚至导致恶意软件的注入，使得攻击者可以绕过锁屏界面或远程控制电脑。但此功能无法抵御通过 1394/FireWire、PCMCIA、CardBus、ExpressCard 等的 DMA 攻击。并且，内核 DMA 保护需要新的 UEFI 固件支持，也直接导致并解释了为什么在Kernel DMA enable的情况下，UEFI FW的设置与Thunderbolt相关设置会失效。

有关的详细内容也可以参考：https://docs.microsoft.com/zh-cn/windows/security/information-protection/kernel-dma-protection-for-thunderbolt