A maioria dos computadores fornece uma maneira de redefinir o firmware para os padrões de fábrica, o que não deve incluir nenhuma senha de firmware (embora a Inicialização Segura provavelmente ainda esteja ativa). Verifique seu manual ou ligue para a Lenovo para descobrir como fazer isso.
Quanto ao Secure Boot, como já foi dito, deve ser desativado quando o problema de senha for resolvido. Além disso, várias distribuições trabalham com ele habilitado. Ubuntu deve, mas isso parece problemático com base em relatórios on-line que eu vi. Fedora parece melhor nessa pontuação. O OpenSUSE também funciona com o Secure Boot, mas eu não o tenho acompanhado tão de perto, então não tenho certeza de como isso funciona. Teoricamente, você pode obter qualquer distribuição para inicializar com o Secure Boot ativado, conforme descrito em meu Página da Web sobre o tópico. O problema é que você precisará modificar a mídia de instalação para inicializar via shim ou PreLoader ou desativar temporariamente a Inicialização Segura para fazer a instalação e, em seguida, instalar o shim ou PreLoader. Instalar shim ou PreLoader manualmente pode ser um pouco incômodo. Assim, para facilidade de uso, é melhor ficar com uma distribuição que ofereça suporte a Boot Seguro ou desative totalmente o recurso.