8 800 301 93 09
Написать
Каталог

Оглавление

  • Андрей Кучер Андрей Кучер
  • 8 мин. чтения
  • 16 мая 2026
  • 5 просмотров

Secure Boot в Windows: что это, зачем нужен и как настроить

Secure Boot — одна из тех функций UEFI, о которой большинство пользователей вспоминают только когда что-то не работает: не загружается флешка с Linux, не ставится Windows 11, выдаёт ошибку Verification failed при попытке загрузки с USB. Между тем, это важный слой защиты от руткитов и буткитов, обязательное требование для современных версий Windows. Разбираемся, что Secure Boot делает на самом деле, зачем включать или отключать, и как настроить под конкретные задачи.

Что такое Secure Boot и как он работает

Secure Boot — функция UEFI (преемника BIOS), которая проверяет цифровую подпись каждого загрузчика и драйвера ещё до запуска операционной системы. Если подпись не соответствует одному из доверенных ключей, прошитых в материнской плате, загрузка прерывается с ошибкой безопасности. Защита работает на самом раннем этапе, ещё до того, как ядро Windows получает управление.

Под капотом используется криптография с открытым ключом. В UEFI хранятся четыре базы данных: PK (Platform Key, главный ключ платформы), KEK (Key Exchange Key, для управления остальными базами), db (allowlist, доверенные сертификаты и хэши), dbx (denylist, явно запрещённые). При загрузке любого файла UEFI проверяет его подпись против db, если нашёл — пропускает, не нашёл — отказывает. Если файл присутствует в dbx, отказ независимо ни от чего другого.

По умолчанию в db есть ключи Microsoft, поэтому Windows, подписанные дистрибутивы Linux (Ubuntu, Fedora, RHEL — у них есть Microsoft-подписанные shim-загрузчики) и большинство сертифицированных аппаратных драйверов запускаются без проблем. Любые модифицированные или сторонние загрузчики (старые версии Ventoy, кастомные сборки, некоторые Live USB) проверку не пройдут.

Зачем нужен Secure Boot

Главная цель — защита от вредоносного кода на самом раннем этапе загрузки. Раньше существовал класс атак, называемых буткиты: вредонос подменял или модифицировал загрузчик ОС, получал контроль над системой ещё до запуска антивируса и оставался невидимым практически для всего пользовательского ПО. Антивирус, запускающийся в составе ОС, физически не может проверить уже модифицированное ядро, которое его и запустило.

Secure Boot отрезает эту возможность: подменённый загрузчик просто не запустится. UEFI откажет в загрузке, и систему придётся восстанавливать с установочного носителя. Это не панацея (есть атаки на сам UEFI), но огромный слой защиты, который десятилетиями был узким местом безопасности x86-платформы.

Для Microsoft Secure Boot стал обязательным требованием с Windows 11. Не из идеологических соображений, а потому что современные функции защиты (Credential Guard, Device Guard, Hypervisor-protected Code Integrity) зависят от того, что цепочка доверия не нарушена с самой загрузки.

Как проверить, включён ли Secure Boot

Самый быстрый способ из самой Windows: нажмите Win + R, введите:

msinfo32

В окне «Сведения о системе» в правой панели найдите строку Состояние безопасной загрузки. Возможные значения: Вкл (Secure Boot активен), Откл (отключён в UEFI), Не поддерживается (старая материнская плата без UEFI или с устаревшей прошивкой).

Альтернатива через PowerShell:

Confirm-SecureBootUEFI

Команда вернёт True (включён), False (отключён) или ошибку Cmdlet not supported on this platform (нет поддержки). Запускать в PowerShell от имени администратора, иначе нет доступа к UEFI. Подробности про запуск с правами админа — в гайде по cmd и PowerShell от администратора.

Как включить Secure Boot

Включение делается через UEFI/BIOS Setup материнской платы. Вход в Setup осуществляется при включении компьютера клавишей Del (большинство десктопов), F2 (ноутбуки), F10 (HP), F12 (Dell, Lenovo). Конкретная клавиша обычно указана внизу экрана при включении ПК.

Внутри UEFI ищите раздел Security, Boot или Authentication. Параметр называется Secure Boot, его нужно переключить в Enabled. Если параметр серый и недоступен, обычно нужно сначала:

Отключить CSM (Compatibility Support Module) или Legacy Boot. Это режим эмуляции BIOS для запуска старых ОС, и он несовместим с Secure Boot. Без отключения CSM Secure Boot физически не работает.

Перевести диск с системой в GPT. Secure Boot работает только с UEFI-загрузкой, которая требует разметки GPT. Если диск в MBR, Windows не загрузится после включения. Конвертация MBR в GPT возможна через утилиту mbr2gpt.exe без потери данных, но это отдельная процедура.

Установить пароль на UEFI Setup. На некоторых платах требуется для изменения параметров безопасности.

После включения сохраните настройки (обычно F10), компьютер перезагрузится. Если Windows не загружается с ошибкой загрузки, скорее всего у вас MBR-диск — отключите Secure Boot обратно, перенесите систему на GPT, включите Secure Boot снова.

Как отключить Secure Boot

Когда отключение нужно: установка некоторых Linux-дистрибутивов без Microsoft-подписи, запуск старых Live USB, использование самосборных загрузчиков, работа с Ventoy без регистрации MOK-ключа.

Процедура зеркальна включению: входите в UEFI Setup, ищете параметр Secure Boot, переключаете в Disabled, сохраняете. После этого можно загружаться с любых неподписанных носителей.

Важное предупреждение: с 2023 года Microsoft использует Secure Boot для проверки целостности файлов BitLocker. Если у вас включён BitLocker и вы отключаете Secure Boot, при следующей загрузке Windows запросит ключ восстановления BitLocker. Заранее найдите этот ключ в своей учётной записи Microsoft (account.microsoft.com → Устройства → BitLocker recovery keys), иначе можете потерять доступ к зашифрованному диску.

MOK: добавление своих ключей

Для тех, кто хочет одновременно и Secure Boot, и неподписанные загрузчики (тот же Ventoy), есть промежуточный механизм MOK (Machine Owner Key). Это локальное расширение Secure Boot: пользователь самостоятельно добавляет свои доверенные ключи в UEFI, не отключая защиту целиком.

Процедура добавления MOK обычно происходит через shim-загрузчик. При первой попытке загрузить программу с неизвестной подписью система покажет синий экран MOK Manager, где можно зарегистрировать сертификат с диска. После регистрации ключ сохраняется в NVRAM материнской платы навсегда (точнее, до сброса CMOS).

Хороший практический пример — настройка Ventoy для работы с Secure Boot. Подробный разбор процедуры регистрации MOK-ключа для Ventoy — в статье Ventoy и Secure Boot. Зарегистрированный ключ работает на этой машине независимо от того, какая флешка используется или какая версия Ventoy записана.

Secure Boot и Windows 11: обязательное требование

Windows 11 формально требует Secure Boot для установки. Если PC Health Check сообщает «компьютер не соответствует требованиям», одна из частых причин — отключённый или не поддерживаемый Secure Boot. На компьютерах 2016 года и новее обычно достаточно зайти в UEFI и включить (если выключен изначально).

На более старом железе Secure Boot может вообще отсутствовать. Тогда официальный путь — апгрейд железа или работа с обходом проверок (через MediaCreationTool.bat, регистрацию в реестре LabConfig). Но Microsoft пометит такую установку как unsupported, что в перспективе может привести к проблемам с обновлениями.

Для альтернативного сценария существуют редакции Windows 11 IoT Enterprise LTSC, которые лояльнее к нестандартному железу и поддерживаются до января 2034 года. На совместимом ПК Secure Boot включать строго обязательно, на проблемном — можно работать без него на свой страх.

Распространённые проблемы

Ошибка Verification failed: 0x1A Security Violation. Неподписанный загрузчик пытается стартовать с включённым Secure Boot. Варианты: зарегистрировать MOK, отключить Secure Boot временно, использовать подписанную версию загрузчика.

Параметр Secure Boot серый, недоступен. На большинстве плат это значит, что включён CSM/Legacy Boot, или плата ждёт сброса в Factory Default mode. Отключите CSM, либо в разделе Secure Boot переключите режим из User Mode в Setup Mode и обратно — это «разморозит» переключатель.

После включения Secure Boot не загружается Windows. Скорее всего диск в MBR, а не GPT. Отключите Secure Boot, конвертируйте диск через mbr2gpt, потом включайте обратно.

BitLocker просит ключ восстановления. Любое изменение параметров безопасности UEFI (включая Secure Boot) триггерит BitLocker. Найдите ключ в своей учётной записи Microsoft и введите. После одного ввода система начнёт загружаться нормально.

Не получается зарегистрировать MOK. На некоторых старых ноутбуках HP с прошивкой InsydeH2O и серверных платформах Dell PowerEdge MOK Manager не срабатывает. Единственный выход — полное отключение Secure Boot.

Часто задаваемые вопросы

Обязательно ли включать Secure Boot для работы Windows?

Для Windows 10 не обязательно, работает с включённым и отключённым. Для Windows 11 формально обязательно (PC Health Check проверяет при установке). На практике Windows 11 запускается и без Secure Boot, если установить через обход проверок, но это unsupported конфигурация.

Снижает ли Secure Boot производительность компьютера?

Нет. Проверка подписи происходит только при загрузке (один раз), на работу системы после старта Secure Boot никак не влияет.

Можно ли установить Windows на компьютер без Secure Boot вообще?

Windows 7, 8, 10 — да, без проблем. Windows 11 — да, через обход проверок установщика. Долговременная работа без Secure Boot потеряет часть функций безопасности (Credential Guard, Device Guard), но базовая работа системы возможна.

Что делать, если я не помню пароль на UEFI и не могу отключить Secure Boot?

Сброс настроек CMOS через перемычку на материнской плате или извлечение батарейки CR2032 на 5-10 минут. Это вернёт все настройки UEFI к заводским, включая Secure Boot и пароль. Данные на дисках не пострадают.

Совместим ли Secure Boot с двойной загрузкой Windows и Linux?

Да, если используете дистрибутивы с Microsoft-подписанным shim (Ubuntu, Fedora, openSUSE, RHEL). Они загружаются без отключения Secure Boot. Если дистрибутив без подписи (Arch, Gentoo в чистом виде), нужно добавлять ключи через MOK или временно отключать Secure Boot.

Защищает ли Secure Boot от вирусов в самой Windows?

Нет, Secure Boot защищает только от подмены загрузчика. После запуска ОС защита больше не работает. От вирусов внутри уже работающей Windows нужны обычные средства: антивирус, своевременные обновления, аккуратность с подозрительными файлами.

Полезная статья?

Ваша оценка
поможет нам стать лучше

Товары из статьи

Смотрите также

INACCESSIBLE BOOT DEVICE в Windows 11 и 10: причины и решение
INACCESSIBLE BOOT DEVICE в Windows 11 и 10: причины и решение
  • 16 мая 2026
Windows Server 2025 vs 2022: стоит ли переходить
Windows Server 2025 vs 2022: стоит ли переходить
  • 16 мая 2026
Ошибка 0xc0000225 при загрузке Windows
Ошибка 0xc0000225 при загрузке Windows
  • 16 мая 2026
Ошибка 0x80070643 в Windows: причины и пошаговое решение
Ошибка 0x80070643 в Windows: причины и пошаговое решение
  • 16 мая 2026

Заказ принят

В течение 1 минуты письмо отправится на почту .

Отлично

Возникла ошибка

Во время оформления заказа возникла ошибка. Попробуйте ещё раз.

Ok

Не получилось отправить заявку

Попробуйте ещё раз. Если не получится — напишите нам в онлайн-чат, мы на связи.

Ok

Заявка отправлена

Ваше сообщение отправлено руководителю.
Спасибо, что делаете нас лучше.

Понятно

Заявка отправлена

Менеджер свяжется с вами в ближайшее время и выставит счёт по реквизитам компании.

Понятно

Скидка 10% на первый заказ

Пока качается дистрибутив, заберите промокод. Активируется при оформлении заказа.

DISTR10
Нажмите, чтобы скопировать
Перейти в каталог
артикул скопирован
👍
❤️
😊
👏
🔥
💅
🍀
🎯
🏆
🤔

Вход в личный кабинет

Забыли пароль? · Зарегистрируйтесь
или войдите через

Регистрация

Войти · Забыли пароль?
или зарегистрируйтесь через

Восстановление пароля

Введите email, указанный при регистрации. Мы отправим на него инструкции по восстановлению пароля.

Вернуться ко входу

Введите новый пароль

Введите новый пароль для вашего аккаунта.

Вернуться ко входу