Secure Boot — це не просто опція в BIOS. Це механізм, який перевіряє цифрові підписи кожного файлу ще до того, як Windows або інша система почне завантажуватися. Уявіть прикордонника, який вимагає пред’явити паспорт у кожного, хто заходить у дім: якщо підпис не збігається з довіреним списком — доступ заборонено. Саме так працює технологія, створена для боротьби з руткітами та шкідливим кодом, який намагається проникнути на найнижчому рівні.
У 2026 році її актуальність тільки зросла. Microsoft оновлює старі сертифікати 2011 року, які починають втрачати чинність з червня. Windows у більшості випадків підтягує нові ключі автоматично через оновлення, але для максимального захисту та сумісності з новими іграми та програмами варто мати активний Secure Boot. Багато сучасних тайтлів з античитом тепер вимагають його ввімкнення.
Коротка відповідь на запитання «як увімкнути»: зайдіть у BIOS/UEFI (або через меню відновлення Windows), вимкніть CSM (або Legacy), переконайтеся, що диск у стилі GPT, і активуйте Secure Boot. На більшості плат це займає 5–10 хвилин. Але нюанси залежать від материнської плати, типу накопичувача та встановленої системи. Нижче — усе по поличках.
Що таке Secure Boot і як він працює насправді
Коли комп’ютер умикається, UEFI спочатку завантажує крихітний завантажувач. Secure Boot перевіряє його підпис за допомогою вбудованих ключів (Platform Key, Key Exchange Key, Signature Database). Якщо все гаразд — передає керування далі. Якщо ні — блокує.
Це не те саме, що TPM 2.0 (хоча вони часто працюють разом). TPM — це апаратний чіп для зберігання ключів і вимірювання стану системи. Secure Boot — про перевірку цілісності на етапі завантаження. На нових процесорах AMD та Intel з’являється ще й Microsoft Pluton — вбудований у CPU безпечний процесор, який робить захист ще глибшим, але базовий принцип Secure Boot залишається тим самим.
Для Windows 11 наявність підтримки Secure Boot — обов’язкова вимога до «сумісності». Саму функцію можна залишити вимкненою, але тоді система втрачає один із рівнів захисту. Багато користувачів умикають її саме для того, щоб пройти перевірку при оновленні або встановленні «одинадцятки».
Як швидко перевірити поточний стан
Натисніть Win + R, введіть msinfo32 і натисніть Enter. У вікні «Відомості про систему» знайдіть рядок «Стан безпечного завантаження» (або Secure Boot State). Якщо там «Увімкнено» / «On» — усе працює. Якщо «Вимкнено» — потрібно діяти.
Також зверніть увагу на «Режим BIOS»: має бути UEFI, а не Legacy. Якщо бачите Legacy — це перша причина, чому Secure Boot не активний.
Обов’язкова підготовка перед увімкненням
Перш ніж лізти в BIOS, зробіть три речі:
- Створіть резервну копію важливих даних. Навіть якщо інструменти обіцяють «без втрати даних», ризик завжди є.
- Перевірте стиль розділів диска. Win + X → Керування дисками. Якщо системний диск позначений як MBR — доведеться конвертувати в GPT (про це нижче).
- Переконайтеся, що у вас UEFI-режим завантаження. Якщо досі стоїть Legacy/CSM — Secure Boot просто не з’явиться або не запуститься.
Якщо диск MBR, а ви спробуєте ввімкнути Secure Boot — Windows просто не завантажиться. У такому випадку використовуйте вбудований інструмент Microsoft mbr2gpt. Він конвертує диск без форматування, але перед запуском обов’язково виконайте команду mbr2gpt /validate /allowFullOS. Якщо валідація пройде — можна конвертувати. Якщо ні — краще зробити чисту установку або звернутися до фахівця.
Як зайти в BIOS/UEFI
Найпростіший спосіб для новачків — з Windows:
Налаштування → Система → Відновлення → «Розширений запуск» → «Перезавантажити зараз».
Далі: Усунення несправностей → Додаткові параметри → Параметри мікропрограми UEFI → Перезавантажити.
Прямі клавіші під час завантаження (натискайте кілька разів відразу після увімкнення):
- ASUS, Gigabyte, MSI — Delete
- Dell, Lenovo (багато моделей) — F2
- HP — F10 або Esc, потім F10
- Acer, деякі MSI — F2
- Старі плати — F1 або F12
Якщо не встигаєте — увімкніть у Windows «Швидкий запуск» вимкнено (Параметри живлення → «Дії кнопок живлення»).
Покрокове увімкнення: загальний алгоритм
- Зайдіть у BIOS і перейдіть у розширений режим (Advanced Mode), якщо є.
- Знайдіть вкладку Boot (або Startup).
- Знайдіть CSM Support (або Compatibility Support Module, Legacy Support) — поставте Disabled.
- Знайдіть Boot Mode або UEFI Boot — поставте UEFI (не Legacy і не Dual).
- Знайдіть Secure Boot — поставте Enabled.
- Якщо є вибір Secure Boot Mode — спробуйте спочатку Standard, якщо не працює — Custom, потім «Restore Factory Keys» або «Install Factory Defaults».
- Збережіть зміни (зазвичай F10) і вийдіть.
Після перезавантаження знову перевірте в msinfo32. Іноді стан змінюється не одразу — перезавантажтеся ще раз.
Особливості для популярних брендів
ASUS
Зайдіть у Boot → Secure Boot. Змініть «Тип ОС» з «Other OS» на «Windows UEFI mode». Secure Boot State автоматично перейде в активний режим. Якщо опція сіра — спочатку вимкніть CSM.
Gigabyte (найчастіші скарги)
Після вимкнення CSM з’являється Secure Boot. Поставте Secure Boot Mode у Custom. З’явиться пропозиція «Restore Factory Keys» — погодьтеся. Потім ще раз перезавантажтеся і перевірте, чи з’явилося «Active» під Secure Boot. Багато користувачів саме на цьому етапі застрягають — без відновлення заводських ключів стан залишається «Setup Mode».
MSI
Аналогічно Gigabyte: вимкніть CSM, увімкніть Secure Boot. Якщо не активується — спробуйте комбінацію Custom + Restore Factory Keys. На деяких платах є окремий пункт «Secure Boot Key Management».
Dell, HP, Lenovo (готові ПК та ноутбуки)
Зазвичай усе простіше. У вкладці Security або Boot знайдіть Secure Boot і просто поставте Enabled. На багатьох моделях Dell достатньо F2 → Boot Configuration → UEFI + Secure Boot Enable. HP часто вимагає спочатку «Unlock» паролем BIOS, якщо стоїть.
Кастомні збірки та рідкісні плати
Якщо опції немає взагалі — оновіть BIOS до останньої версії з сайту виробника. Іноді підтримка Secure Boot з’являється тільки після оновлення мікрокоду.
Якщо після увімкнення Windows не завантажується
Не панікуйте. Це трапляється часто і зазвичай лікується.
- Знову зайдіть у BIOS (клавіша під час завантаження) і поставте Secure Boot назад у Disabled або увімкніть CSM.
- Збережіть і спробуйте завантажитися.
- Якщо не допомагає — через меню відновлення Windows (Shift + Перезавантаження) зайдіть у командний рядок і виконайте
bootrec /fixmbr,bootrec /fixboot,bootrec /rebuildbcd.
Після відновлення завантаження можна спробувати увімкнути Secure Boot ще раз, але вже з відновленими ключами.
Dual boot з Linux: що потрібно знати у 2026 році
Сучасні дистрибутиви (Ubuntu 24.04+, Fedora, openSUSE) чудово працюють із Secure Boot завдяки підписаному shim. Однак у 2024–2025 роках були тимчасові проблеми через оновлення SBAT від Microsoft — деякі старі завантажувачі Linux блокувалися. У травні 2025 це виправили.
Якщо у вас уже стоїть dual boot і після увімкнення Secure Boot Linux перестав завантажуватися — тимчасово вимкніть Secure Boot, оновіть Linux до актуальної версії (з новим shim), а потім увімкніть знову. Для ручного керування ключами використовуйте mokutil у Linux.
Оновлення сертифікатів Secure Boot у 2026 році
З червня 2026 починають втрачати чинність старі сертифікати Microsoft 2011 року. Windows автоматично встановлює нові через оновлення безпеки на підтримуваних версіях. Деякі виробники материнських плат випускають оновлення BIOS, які додають нові ключі в базу за замовчуванням.
Що робити вам:
- Тримайте Windows оновленою.
- Перед червнем 2026 перевірте наявність оновлень BIOS на сайті виробника вашої плати.
- Якщо використовуєте Linux — оновіть дистрибутив і shim до версій, підписаних новими сертифікатами.
Просунуті нюанси для тих, хто хоче копнути глибше
Secure Boot має кілька режимів: Setup Mode (ключі не завантажені, можна встановлювати свої) і User Mode (заводські ключі активні, система перевіряє підписи). Більшість користувачів залишаються в Standard/User Mode.
Досвідчені користувачі іноді створюють власні ключі (own PK/KEK) і підписують свої завантажувачі — це корисно для кастомних Linux-систем або коли потрібно запустити непідписане ПЗ. Але для звичайного домашнього чи офісного ПК це зайве.
Якщо у вас ноутбук з Windows 11 і ви плануєте встановлювати Linux — перевірте, чи підтримує виробник «розблокування» ключів. На деяких моделях (особливо з Pluton) це може бути ускладнено.
Після успішного увімкнення рекомендую ще раз перевірити msinfo32 через день-два і переконатися, що стан стабільний. Якщо все гаразд — можете ввімкнути BitLocker (якщо користуєтеся) і насолоджуватися додатковим рівнем захисту.
Secure Boot — це один із тих інструментів, які «ввімкнув і забув». Але щоб він справді працював, потрібно пройти етап налаштування правильно. Тепер у вас є повна картина: від першого кроку до вирішення найскладніших ситуацій 2026 року.