Secure Boot (безопасная загрузка) — технология защиты, которая проверяет подлинность загрузчика операционной системы и предотвращает запуск вредоносного ПО на этапе старта компьютера. Для Windows 11 Secure Boot является обязательным требованием. Разбираем как проверить его статус, включить и что делать при проблемах.
Что такое Secure Boot и зачем он нужен (без "страшилок", по делу)
Secure Boot — это функция UEFI, которая проверяет цифровые подписи загрузчиков операционной системы и драйверов перед их запуском. Если подпись не совпадает с доверенными сертификатами, загрузка блокируется.
Практическая польза:
- Защита от руткитов и буткитов (вредоносных программ, загружающихся до старта Windows)
- Предотвращение загрузки неподписанных драйверов на уровне ядра
- Защита от модификации загрузчика Windows
- Обязательное требование для Windows 11 (без него установка невозможна)
Когда Secure Boot может мешать:
- При установке альтернативных операционных систем (некоторые дистрибутивы Linux)
- При использовании старых драйверов без цифровой подписи
- При восстановлении системы с загрузочной флешки (если она не поддерживает Secure Boot)
Как проверить, включён ли Secure Boot в Windows 11
Проверить статус Secure Boot можно прямо из Windows, не заходя в BIOS:
Способ 1: Через Сведения о системе
- Нажмите Win + R
- Введите команду
msinfo32и нажмите Enter - В разделе «Сведения о системе» найдите строку «Состояние безопасной загрузки»
- Значение «Вкл» означает что Secure Boot активен, «Откл» или «Не поддерживается» — отключён или недоступен
Способ 2: Через Параметры Windows
- Откройте Параметры (Win + I)
- Перейдите в раздел Конфиденциальность и защита → Безопасность Windows
- Нажмите «Безопасность устройства»
- В разделе «Обработчик безопасности» будет указан статус Secure Boot
Способ 3: Через PowerShell
- Откройте PowerShell от имени администратора
- Выполните команду:
Confirm-SecureBootUEFI - Результат True означает что Secure Boot включён, False — отключён
Как попасть в UEFI/BIOS (несколько вариантов)
Для включения Secure Boot нужно попасть в настройки UEFI/BIOS. Существует несколько способов:
Способ 1: Через Параметры Windows (рекомендуется)
- Откройте Параметры (Win + I)
- Система → Восстановление
- В разделе «Расширенные параметры запуска» нажмите «Перезагрузить сейчас»
- После перезагрузки выберите Поиск и устранение неисправностей → Дополнительные параметры → Параметры встроенного ПО UEFI
- Нажмите «Перезагрузить»
Способ 2: Клавиша при загрузке
Сразу после включения компьютера нажмите и удерживайте клавишу входа в BIOS (зависит от производителя):
- Asus, MSI, Gigabyte: Del (Delete)
- HP, Dell, Lenovo: F2 или F10
- Acer: F2 или Del
- Samsung: F2
- Sony: F1, F2 или F3
Способ 3: Через экран входа
- На экране входа в Windows нажмите на кнопку питания
- Удерживая Shift, выберите «Перезагрузка»
- Появится меню выбора действия
- Выберите Поиск и устранение неисправностей → Дополнительные параметры → Параметры встроенного ПО UEFI
Типовой порядок включения Secure Boot (шаги + где обычно находится пункт)
После входа в UEFI/BIOS нужно найти настройку Secure Boot. Расположение зависит от производителя материнской платы:
Общий порядок действий
- Найдите раздел Boot (Загрузка) или Security (Безопасность)
- Найдите пункт Secure Boot или Secure Boot Control
- Измените значение с Disabled на Enabled
- Сохраните изменения (обычно клавиша F10 или пункт Save & Exit)
- Подтвердите сохранение и перезагрузку
Типовые расположения по производителям
ASUS:
- Boot → Secure Boot → OS Type → Windows UEFI mode
- Или: Security → Secure Boot → Secure Boot Control → Enabled
MSI:
- Settings → Security → Secure Boot → Secure Boot Mode → Enabled
Gigabyte:
- BIOS Features → Secure Boot → Secure Boot Enable → Enabled
Dell, HP, Lenovo:
- Security → Secure Boot Configuration → Secure Boot Enable
Почему Secure Boot может быть недоступен (CSM/Legacy, MBR, режим UEFI) — объяснить понятно
Если пункт Secure Boot отображается серым (недоступен), причины могут быть следующие:
Причина 1: Включён режим Legacy/CSM
Secure Boot работает только в режиме UEFI. Если включён CSM (Compatibility Support Module) или режим Legacy, Secure Boot будет недоступен.
Решение:
- Найдите в BIOS пункт Boot Mode, Boot Mode Selection или UEFI/Legacy Boot
- Измените значение с Legacy или CSM на UEFI
- Отключите CSM (если есть отдельный пункт)
Причина 2: Диск использует MBR вместо GPT
UEFI и Secure Boot требуют стиль разделов GPT. Если Windows установлена на MBR-диске, Secure Boot не заработает.
Как проверить тип диска:
- Нажмите Win + X и выберите «Управление дисками»
- Нажмите правой кнопкой на диск (например, Диск 0)
- Выберите «Свойства» → вкладка «Тома»
- Посмотрите на строку «Стиль раздела» — должно быть GPT
Решение:
Используйте встроенную утилиту mbr2gpt для конвертации без потери данных:
- Откройте командную строку от имени администратора
- Выполните команду:
mbr2gpt /convert /allowFullOS - Дождитесь завершения процесса
- Перезагрузитесь в BIOS и переключите режим на UEFI
Причина 3: TPM отключён или недоступен
На некоторых системах Secure Boot связан с модулем TPM (Trusted Platform Module). Если TPM отключён, Secure Boot может быть недоступен.
Решение:
- Найдите в BIOS раздел Security или Advanced
- Найдите пункт TPM Device, TPM State или TPM Configuration
- Включите TPM (Enabled или Available)
Причина 4: Установлен пароль администратора BIOS
Некоторые производители (особенно HP и Dell) требуют установить пароль администратора BIOS перед включением Secure Boot для защиты от несанкционированного изменения настроек.
Когда и как безопасно отключать Secure Boot (риски и последствия)
Отключение Secure Boot может потребоваться в следующих ситуациях:
- Установка старых драйверов без цифровой подписи
- Загрузка с USB-флешки, которая не поддерживает UEFI Secure Boot
- Установка некоторых дистрибутивов Linux
- Использование специализированного софта для восстановления данных
Порядок отключения:
- Зайдите в UEFI/BIOS
- Найдите раздел Boot или Security
- Найдите пункт Secure Boot
- Измените значение с Enabled на Disabled
- Сохраните изменения и перезагрузитесь
Риски отключения Secure Boot:
- Снижение защиты от руткитов
- Возможность загрузки модифицированного загрузчика Windows
- Потенциальные проблемы с некоторыми функциями безопасности Windows 11
- Windows может показывать предупреждения в Центре безопасности
Что НЕ произойдёт после отключения:
- Windows 11 продолжит работать нормально
- Система не станет нестабильной
- Лицензия не слетит
- Обновления будут приходить как обычно
Что делать, если после изменений Windows не загружается (план восстановления)
Если после включения Secure Boot или переключения в режим UEFI Windows не загружается, следуйте этому плану восстановления:
Шаг 1: Верните настройки BIOS назад
- Зайдите в BIOS
- Если включили Secure Boot — отключите
- Если переключили в UEFI — верните Legacy/CSM
- Попробуйте загрузиться
Шаг 2: Восстановите загрузчик Windows
Если система не загружается даже после возврата настроек:
- Загрузитесь с установочной флешки Windows 11
- Выберите «Восстановление системы» → «Поиск и устранение неисправностей» → «Командная строка»
- Выполните команды:
bootrec /fixmbrbootrec /fixbootbootrec /rebuildbcd
- Перезагрузите компьютер
Шаг 3: Проверьте режим загрузки и стиль диска
Убедитесь что режим BIOS соответствует стилю разделов диска:
- Legacy BIOS требует диск с MBR
- UEFI требует диск с GPT
Если не совпадает — конвертируйте диск через mbr2gpt (из MBR в GPT) или используйте программы типа MiniTool Partition Wizard для обратной конвертации.
Шаг 4: Сбросьте настройки BIOS
Если ничего не помогает:
- Зайдите в BIOS
- Найдите пункт Load Optimized Defaults или Reset to Default Settings
- Сохраните изменения
- Попробуйте загрузиться
Заключение
Secure Boot — важная технология безопасности для Windows 11, но её настройка требует понимания взаимосвязи UEFI, стиля разделов диска (GPT) и режимов загрузки. Главное правило: прежде чем менять настройки BIOS, убедитесь что ваша система соответствует требованиям (UEFI + GPT), иначе Windows не загрузится. Если нужно отключить Secure Boot для специфических задач — делайте это осознанно и не забывайте включить обратно после завершения работы.