Bezpieczny rozruch, w nomenklaturze technicznej Secure Boot, to zaawansowana funkcja bezpieczeństwa zaszyta w UEFI (które zastąpiło dawny, wysłużony BIOS) na płycie głównej każdego nowego komputera PC. Głównym zadaniem tego mechanizmu jest ochrona urządzenia przed złośliwym oprogramowaniem typu rootkit oraz bootkit. Tego rodzaju niebezpieczne programy potrafią zainfekować komputer, przejmując nad nim kontrolę jeszcze zanim załadują się jakiekolwiek systemowe osłony antywirusowe – a więc są potencjalnie bardzo groźne.
Dzięki Secure Boot proces startu komputera zostaje poddany specjalnej procedurze sprawdzającej. Oprogramowanie płyty głównej przegląda podpisy cyfrowe wszystkich kluczowych elementów rozruchowych – od kodu startowego, przez sterowniki sprzętowe, aż po jądro samego systemu operacyjnego. Jeśli dany plik nie posiada ważnego, certyfikowanego podpisu pochodzącego od zaufanego podmiotu (na przykład firmy Microsoft lub producenta sprzętu), Secure Boot zablokuje jego uruchomienie, chroniąc nas przed potencjalnym atakiem i uszkodzeniem danych.
W tym momencie funkcja ta stała się powszechnie wykorzystywana ze względu na wymagania systemowe Windows 11. Firma Microsoft zdecydowała, że posiadanie aktywnego modułu TPM 2.0 oraz właśnie włączonego Secure Boot jest warunkiem koniecznym do oficjalnej instalacji i bezpiecznego użytkowania tego systemu. W tym artykule szczegółowo wyjaśniamy, jak działa ta technologia, w jakich sytuacjach zmuszeni będziemy ją wyłączyć oraz jak bezpiecznie przeprowadzić całą procedurę w ustawieniach komputera.
Warto przeczytać: Twój komputer może wysyłać aktualizacje Windowsa obcym osobom. Oto jak to wyłączyć
Jak działa funkcja Secure Boot?
Aby zrozumieć, jak w praktyce działa Secure Boot, musimy najpierw przyjrzeć się fundamentowi, na którym ta funkcja się opiera – czyli UEFI. W starszych komputerach za rozruch odpowiadał tradycyjny BIOS, który działał w sposób mało skomplikowany. Po uruchomieniu zasilania po prostu przekazywał kontrolę nad sprzętem do pierwszego kodu rozruchowego, jaki znalazł na dysku, nie sprawdzając w żaden sposób jego pochodzenia. UEFI to zmieniło, działając jak coś w rodzaju strażnika całego procesu.
Głównym mechanizmem działania jest tu rygorystyczna weryfikacja podpisów cyfrowych. W pamięci flash płyty głównej przechowywana jest specjalna baza danych zawierająca zaufane klucze publiczne oraz certyfikaty (dostarczane najczęściej przez Microsoft oraz producenta komputera). Z drugiej strony, oprogramowanie to posiada również czarną listę (tzw. dbx), na której znajdują się podpisy cyfrowe powiązane ze znanym złośliwym oprogramowaniem lub podatnymi wersjami bootloaderów.
Podczas każdego uruchomienia komputera, zanim jakikolwiek plik systemowy zostanie uruchomiony, UEFI wykonuje następujące operacje:
- Analiza kodu startowego. Sprawdzany jest podpis cyfrowy bootloadera (w przypadku Windowsa jest to plik bootmgfw.efi).
- Weryfikacja sterowników. Testowane są sterowniki urządzeń niskiego poziomu, np. oprogramowanie czipu karty graficznej.
- Decyzja o rozruchu. Jeśli wszystkie podpisy zgadzają się z kluczami w bazie danych i żaden element nie znajduje się na czarnej liście, komputer uruchamia system. W przeciwnym razie proces zostaje natychmiast przerwany, a na ekranie pojawia się komunikat o błędzie bezpieczeństwa.
Warto tu wyraźnie podkreślić, że Secure Boot nie jest funkcją systemu Windows, lecz niezależnym rozwiązaniem sprzętowym. Choć Microsoft najmocniej z niego korzysta, mechanizm ten potrafi weryfikować również inne systemy operacyjne, o ile ich twórcy zadbali o podpisanie swoich instalatorów odpowiednim kluczem, akceptowanym przez większość producentów płyt głównych.
Funkcję Secure Boot można uruchomić z poziomu UEFI. Fot. HotGear.
Dlaczego warto mieć włączoną tę funkcję?
Choć dla zdecydowanej większości użytkowników funkcja ta powinna pozostać stale włączona, istnieją przypadki, w których dezaktywacja będzie zwyczajnie konieczna.
Głównym powodem, dla którego domyślnie korzystamy z Secure Boot, jest skuteczna ochrona systemu operacyjnego. Funkcja ta jest niezbędna nie tylko do poprawnego działania i aktualizacji systemu Windows 11, ale coraz częściej wymagają go również twórcy gier sieciowych. Popularne produkcje, takie jak na przykład Valorant, wykorzystują rygorystyczne systemy anty-cheat (np. Vanguard), które odmawiają uruchomienia gry na komputerach z wyłączonym bezpiecznym rozruchem.
Istnieją jednak sytuacje, w których Secure Boot staje się przeszkodą i musimy go tymczasowo lub na stałe wyłączyć. Najczęstsze z nich to:
- Instalacja i uruchamianie alternatywnych systemów operacyjnych. Choć popularne dystrybucje systemu Linux, takie jak Ubuntu czy Fedora, posiadają odpowiednie podpisy cyfrowe i współpracują z Secure Boot, to wiele mniej znanych, specjalistycznych systemów lub starszych wydań (np. Windows 7) nie przejdzie tej weryfikacji.
- Praca z narzędziami diagnostycznymi. Kiedy chcemy uruchomić z pendrive’a zaawansowane programy do partycjonowania dysków, testowania pamięci RAM (np. starsze wersje MemTest86) czy narzędzia do tworzenia kopii zapasowych, Secure Boot może zablokować ich start, uznając je za nieautoryzowany kod.
- Wymiana podzespołów na starsze modele. Problem pojawia się czasami przy montażu starszych kart graficznych, które nie obsługują standardu UEFI GOP (Graphics Output Protocol). Komputer z aktywnym Secure Boot może wówczas w ogóle nie wyświetlić obrazu po uruchomieniu.
Sprawdzenie stanu funkcji w Windows bez wchodzenia do BIOS/UEFI
Zanim zdecydujemy się na restart komputera i wejście do ustawień płyty głównej, możemy w bardzo prosty sposób sprawdzić bieżący stan bezpiecznego rozruchu bezpośrednio z poziomu działającego systemu Windows. Pozwala nam to szybko upewnić się, czy funkcja jest aktywna, bez konieczności przerywania pracy i nawigowania po skomplikowanym menu UEFI.
Do wykonania tej weryfikacji wykorzystamy wbudowane, systemowe narzędzie diagnostyczne, realizując następujące kroki:
- Otwieramy okno uruchamiania. Naciskamy na klawiaturze kombinację klawiszy Windows + R. Na ekranie pojawi się małe okno z polem tekstowym.
- Wywołujemy Informacje o systemie. W pole tekstowe wpisujemy polecenie msinfo32 i zatwierdzamy je klawiszem Enter lub klikamy przycisk OK.
- Weryfikujemy tryb rozruchu. W nowo otwartym oknie, w lewej kolumnie, upewniamy się, że zaznaczona jest główna gałąź, czyli Podsumowanie systemu. Następnie w prawej części okna odnajdujemy pozycję Tryb systemu BIOS. Aby Secure Boot w ogóle mógł działać, musi tam widnieć wartość UEFI. Jeśli widzimy słowo Tradycyjny (lub Legacy), nasz komputer pracuje w starym trybie i bezpieczny rozruch nie jest aktywny.
- Sprawdzamy stan funkcji. Tuż poniżej odnajdujemy wiersz o nazwie Stan bezpiecznego rozruchu. To tutaj znajduje się ostateczna odpowiedź – zobaczymy tam wartość Włączone lub Wyłączone.
Jeżeli system informuje nas, że funkcja jest wyłączona (mimo aktywnego trybu UEFI), oznacza to, że mechanizm został zdezaktywowany w opcjach płyty głównej i aby go uruchomić, będziemy musieli dokonać zmian bezpośrednio w UEFI podczas uruchamiania komputera.
Sprawdzenie stanu funkcji Secure Boot z poziomu Windows 11. Fot. HotGear.
Jak włączyć? Instrukcja krok po kroku
Kiedy wiemy już, czym jest bezpieczny rozruch, możemy przejść do najważniejszej części, czyli konfiguracji tej funkcji w oprogramowaniu płyty głównej. Cała procedura wymaga wejścia do UEFI i ręcznej modyfikacji parametrów startowych.
Wejście do ustawień UEFI
Restartujemy komputer. Gdy ekran zgaśnie i zacznie się ponownie uruchamiać, wielokrotnie naciskamy klawisz dostępu do UEFI – najczęściej jest to Delete lub F2 (w laptopach bywa to również F10 lub F12). Alternatywnie możemy wejść tam z poziomu Windowsa: wybieramy Ustawienia -> Odzyskiwanie -> Uruchamianie zaawansowane -> Uruchom ponownie teraz, a następnie przechodzimy przez ścieżkę Rozwiąż problemy -> Oszczędności zaawansowane -> Ustawienia oprogramowania układowego UEFI.
Wyłączenie trybu CSM
Przechodzimy do zakładki Boot lub Advanced. Przed włączeniem bezpiecznego rozruchu musimy upewnić się, że funkcja CSM lub Legacy Boot jest całkowicie wyłączona. Secure Boot nie zadziała w trybie emulacji starego BIOS-u.
Lokalizacja opcji Secure Boot
Szukamy sekcji odpowiedzialnej za bezpieczeństwo lub rozruch. W zależności od producenta naszej płyty głównej opcja ta znajduje się najczęściej w zakładce Security lub bezpośrednio w menu Boot. W niektórych interfejsach zaawansowanych musimy najpierw przełączyć widok z trybu podstawowego na zaawansowany (zwykle za pomocą klawisza F7).
Zmiana statusu funkcji
Po odnalezieniu pozycji Secure Boot, zmieniamy jej wartość. Jeśli chcemy ją aktywować, wybieramy opcję Enabled. Jeśli planujemy instalację alternatywnego systemu lub uruchomienie programu diagnostycznego, wybieramy Disabled.
Zapisanie zmian i restart komputera
Po zakończeniu konfiguracji nie możemy po prostu wyłączyć komputera. Naciskamy klawisz F10 (Save & Exit), który zapisuje wszystkie wprowadzone modyfikacje, i zatwierdzamy wybór. Komputer uruchomi się ponownie z nowymi ustawieniami bezpieczeństwa.
Warto pamiętać, że wygląd i nazewnictwo poszczególnych opcji mogą się delikatnie różnić w zależności od tego, czy posiadamy płytę główną marki ASUS, MSI, Gigabyte czy ASRock. Sama zasada działania pozostaje jednak identyczna dla każdego komputera.
Podsumowanie
Bezpieczny rozruch stanowi jeden z najbardziej podstawowych mechanizmów ochrony komputera. Choć jego konfiguracja wymaga od nas odwiedzenia menu UEFI, warto pamiętać, że funkcja ta nie powstała po to, aby ograniczać swobodę użytkownika, lecz po to, by zapewnić odporność systemu operacyjnego na najgroźniejsze odmiany złośliwego oprogramowania.
W codziennym użytkowaniu komputera z systemem Windows 11 optymalnym i zalecanym rozwiązaniem jest pozostawienie Secure Boot na stałe włączonego. Zapewnia to nie tylko pełną stabilność systemu, ale również poprawne działanie nowoczesnych gier oraz aplikacji wymagających najwyższych standardów bezpieczeństwa.
Wyłączanie tej funkcji powinno być wyłącznie tymczasowe i uzasadnione konkretną potrzebą – na przykład testowaniem innych niż Windows 11 systemów operacyjnych lub uruchamianiem specjalistycznych narzędzi diagnostycznych z dysków zewnętrznych. Przy zwykłym użytkowaniu komputera funkcja ta powinna być włączona.
Tomasz Sławiński
