Как проверить безопасную загрузку windows

В данной статье показаны действия, с помощью которых можно проверить, включена или отключена Безопасная загрузка (Secure Boot) в интерфейсе операционной системы Windows 10.

Чтобы обеспечить дополнительную безопасность компьютера от воздействия вредоносных программ, изготовители компьютеров используют безопасную загрузку.

Безопасная загрузка предотвращает загрузку сложного и опасного типа вредоносных программ, rootkit, при запуске устройства. Пакеты программ rootkit используют такие же права доступа, как и операционная система, и запускаются раньше нее, что позволяет им полностью скрыть себя.

Зачастую программы rootkit входят в набор вредоносных программ, которые могут обходить процедуры входа, записывать пароли и нажатые клавиши, перемещать конфиденциальные файлы и получать криптографические данные.

Безопасная загрузка — это стандарт безопасности, который гарантирует пользователю, что его компьютер при загрузке использует только программное обеспечение, которому доверяет изготовитель компьютера.

При запуске компьютера встроенное программное обеспечение проверяет подписи всех компонентов, включая драйверы, приложения EFI и операционную систему. Если подписи являются надежными, то компьютер загружается, и микропрограмма передает управление операционной системе.

Проверка через службу «Безопасность Windows»

Чтобы проверить, включена или отключена «Безопасная загрузка», откройте службу Безопасность Windows (прежнее название Центр безопасности Защитника Windows) и выберите Безопасность устройства.

В разделе Безопасная загрузка (если поддерживается) проверьте, включена ли безопасная загрузка или выключена.

Используя сведения о системе

Чтобы проверить, включена или отключена «Безопасная загрузка» в окне «Сведения о системе», нажмите сочетание клавиш + R, в открывшемся окне Выполнить введите msinfo32 и нажмите клавишу Enter↵.

В открывшемся окне «Сведения о системе», в правой области окна в строке Состояние безопасной загрузки вы увидите значение Вкл., Откл., или Не поддерживается (см. скриншоты ниже).

Компьютер поддерживает безопасную загрузку и безопасная загрузка в настоящее время включена.

Компьютер поддерживает безопасную загрузку и безопасная загрузка в настоящее время отключена.

Компьютер не поддерживает безопасную загрузку или Windows установлена с устаревшей версией BIOS

Просмотр состояния в Windows PowerShell

Чтобы проверить, включена или отключена «Безопасная загрузка», откройте консоль Windows PowerShell от имени администратора и выполните следующую команду:

Confirm-SecureBootUEFI

В зависимости от того какое значение возвращает выполненная команда вы будете знать, включена ли безопасная загрузка, отключена или не поддерживается.

True — компьютер поддерживает безопасную загрузку и безопасная загрузка в настоящее время включена.

False — компьютер поддерживает безопасную загрузку и безопасная загрузка в настоящее время отключена.

Отображение ошибки — компьютер не поддерживает безопасную загрузку или Windows установлена с устаревшей версией BIOS

Вместе с анонсом Windows 11, компания Microsoft опубликовала и новые системные требования для установки операционной системы Windows 11. В них требуется поддержка TPM 2.0, UEFI и Secure Boot. В результате, вокруг этих технологий возникло много вопросов. Пользователей интересует, что такое Secure Boot, как проверить его наличие на компьютере и как его включить в BIOS (UEFI), если он отключен.

Что такое Secure Boot или безопасная загрузка

Secure Boot – это протокол проверки загружаемых операционных систем, который является частью UEFI. Данный протокол проверяет цифровую подпись операционных систем или драйверов UEFI, которые загружаются при включении компьютера, и при отсутствии такой подписи предотвращает их запуск.

Использование Secure Boot защищает систему от внедрения вредоносного кода в загружаемые компоненты операционных систем. Такое внедрение, например, использовалось вирусом-вымогателем Petya, который распространялся в 2017 году. Также Secure Boot может использоваться для ограничения списка ОС, которые могут запускаться на компьютере.

На данный момент Secure Boot поддерживается такими операционными системами как Windows 8, Windows 10 и Windows 11, а также некоторыми дистрибутивами Linux, например, Fedora, openSUSE, RHEL, CentOS, Debian и Ubuntu.

В еще не выпущенной Windows 11 протокол Secure Boot является обязательным условием и указан в системных требованиях. Хотя, с помощью небольших ухищрений текущие сборки Windows 11 можно установить без TPM и Secure Boot.

Как узнать включен ли Secure Boot

Для того чтобы узнать включен ли Secure Boot на вашем компьютере можно воспользоваться средствами встроенными в Windows 10. Для этого нажмите Win-R на клавиатуре и выполните команду «msinfo32».

В результате должно появиться окно «Сведения о компьютере». Здесь в строке «Режим BIOS» будет указано, в каком режиме работает BIOS – UEFI или Устаревший (Legacy), а в строке «Состояние безопасной загрузки» – состояние Secure Boot (включено или отключено).

Если у вас Secure Boot включен и все готово к установке Windows 11, то должно быть так, как на скриншоте внизу:

• Режим BIOS – UEFI;
• Состояние безопасной загрузки – Вкл.

Также возможен следующий вариант:

• Режим BIOS – UEFI;
• Состояние безопасной загрузки – Откл.

В этом случае для обновления до Windows 11 нужно будет включить безопасную загрузку в BIOS.

Еще один вариант:

• Режим BIOS – Устаревший (Legacy);
• Состояние безопасной загрузки – не поддерживается.

В этом случае возможно 2 варианта, либо у вас старый компьютер без поддержки UEFI и Secure Boot, либо в настройках BIOS включена эмуляция старого BIOS (режим совместимости). Во втором случае для обновления до Windows 11 нужно будет отключить эмуляцию старого BIOS и включить Secure Boot. Функция эмуляции обычно называется CSM (Launch Compatibility Support Module).

Подробней в статье:

• Как проверить включена ли Безопасная загрузка на компьютере

Конвертация диска с MBR в GPT

Если включить Secure Boot для уже установленной Windows 10, то система может не загрузиться, а вы получите сообщение о том, что «Загрузочное устройство не найдено». Это происходит из-за того, что на диске используется таблица разделов MBR. Для решения этой проблемы диск нужно предварительно конвертировать из формата MBR в GPT.

Конвертацию диска из MBR в GPT можно выполнить непосредственно в процессе установки Windows 11, вызвав командную строку с помощью комбинации клавиш Shift-F10 (или Shift-Fn-F10), либо заранее, из рабочей Windows 10. Конвертацию при установке мы рассматривали в статье о преобразовании диска с MBR в GPT, здесь же будет рассмотрена конвертация из рабочей Windows 10.

Итак, для начала нужно открыть меню «Параметры» (комбинация клавиш Win-i), перейти в раздел «Обновление и безопасность – Восстановление» и нажать на кнопку «Перезагрузить сейчас».

После этого появится меню с дополнительными действиями. Здесь нужно выбрать «Поиск и устранение неисправностей», а потом «Командная строка». Также может понадобиться выбор пользователя и ввод пароля.

В результате перед вами появится командная строка. Сначала нужно выполнить команду, которая проверит возможность конвертации диска:

mbr2gpt /validate

Если все нормально и конвертация возможна, то вы получите сообщение «Validation completed successfully». Чтобы запустить конвертацию выполните команду:

mbr2gpt /convert

Если же проверка диска выдала сообщение «Failed», то нужно попробовать вручную указать номер диска. Для этого нужно добавить параметр «/disk:0», где 0 – это номер диска.

mbr2gpt /disk:0 /validate

Чтобы узнать номер диска выполните следующие команды:

diskpart
lis dis
exit

В результате в консоль будет выведен список дисков и их объем. Используя эту информацию, можно определить номер диска, который необходимо конвертировать.

После успешной проверки можно запускать конвертацию диска. Для этого нужно выполнить следующую команду:

mbr2gpt /disk:0 /convert

Где 0 – это номер диска.

После конвертации диска с MBR в GPT нужно зайти в BIOS и выполнить следующие настройки:

• Отключить эмуляцию старого BIOS;
• Включить безопасную загрузку.

Подробней в статьях:

• Как узнать в каком формате жесткий диск MBR или GPT
• Как преобразовать MBR в GPT в Windows 10

Как включить Secure Boot в BIOS

Для работы Secure Boot диск должен быть в формате GPT. Посмотрите раздел о конвертации диска (выше).

Процесс включения Secure Boot отличается в зависимости от производителя. Точные инструкции по работе с вашим BIOS можно получить в инструкции к материнской плате или ноутбуку. Здесь мы покажем настройку BIOS на примере материнской платы от ASUS.

Чтобы включить Secure Boot на материнской плате ASUS нужно войти в настройки BIOS, активировать режим «Advanced mode (F7)» и перейти в раздел «Boot». Здесь нужно открыть подраздел «CSM (Launch Compatibility Support Module)», который отвечает за эмуляцию старого BIOS.

Если функция «CSM» включена, то ее нужно отключить.

После этого нужно вернуться в раздел «Boot» и перейти в подраздел «Меню безопасной загрузки».

Здесь нужно поменять параметр «Тип ОС» на «Режим Windows UEFI».

После этого сохраняем настройки BIOS и загружаемся в Windows 10. Если диск был сконвертирован в GPT, то загрузка должна пройти без проблем.

Настройка Secure Boot на других платах:

• MSI;
• ASUS;
• Gigabyte / AORUS.

Ужесточение системных требований для Windows 11 изначально было предметом острых дискуссий – очень многие компьютеры, даже достаточно мощные, не обладают такими функциями, как TPM 2.0 и/или Secure Boot. Сегодня мы поговорим о безопасной загрузке (она же Secure Boot): что это такое, для чего нужна, как проверить наличие, включить или отключить.

Кратко о назначении Secure Boot

Под этим термином следует понимать специальный протокол, разработанный для тестирования операционных систем в момент их загрузки. Он является частью микропрограммного кода UEFI, а его деятельность заключается в проверке цифровой подписи загружаемых компонентов ОС, включая драйвера, и, если таковая не будет обнаружена, дальнейший запуск операционной системы останавливается с выдачей соответствующего ошибочного сообщения.

Такая проверка предотвращает загрузку вместе с операционной системой вредоносного кода, который может внедриться, например, в драйверы. Самый известный пример такого заражения – вирус Petya из категории вымогателей, который активно распространялся в сети в 2017 году.

Поскольку речь не идёт о проверке сигнатур и прочих хитростях, используемых антивирусными программами, сам модуль Secure Boot достаточно компактен, чтобы включить его в UEFI.

Такой подход имеет и недостатки – это совместимость на уровне операционных систем. В семействе Windows поддержка безопасной загрузки реализована, начиная с «восьмёрки», есть она и у некоторых ОС семейства Linux (Fedora, Debian, CentOS, Ubuntu и др.).

Но только в Windows 11 компьютер должен поддерживать безопасную загрузку на безусловном уровне, как и модуль TPM 2.0, реализуемый на аппаратном уровне. Впрочем, на программном уровне необходимость наличия этих функций реализована только факультативно, на этапе установки системы. В обычной работе компьютер вполне может обходиться и без них.

Как узнать наличие и статус Secure Boot

Если на вашем компьютере отсутствует или неактивны функция безопасной загрузки, вы просто не сможете обновиться с «десятки» до Windows 11. Так что первым делом нужно узнать, как конкретно у вас обстоят дела с этой фишкой. Сделать это можно несколькими способами. Например, с помощью встроенных в Windows 10 системных утилит (здесь и далее мы предполагаем, что будем обновляться или производить чистую установку именно с «десятки»):

Если в графе «Режим BIOS» указано Legacy, то в графе «Состояние безопасной загрузки» будет указано, что такой режим не поддерживается. Это не приговор, если у вас в UEFI и активирована эмуляция устаревшего BIOS, так иногда делают для обеспечения совместимости со старым ПО. В этом случае функцию эмуляцию (чаще всего она обозначается аббревиатурой CSM) нужно выключить, и проблема будет решена.

Если речь идёт об устаревшем BIOS, то здесь ситуация безвыходная, то есть придётся делать апгрейд или прибегать к другим не рекомендуемым Microsoft ухищрениям.

Итак, если вы убедились, что безопасная загрузка на вашем компьютере присутствует, можно приступать к её активации. Существует два способа, как сделать активной безопасную загрузку: через «параметры» Windows 10, и при загрузке ПК. Рассмотрим оба варианта – они равноценные, хотя первый намного проще.

Включение Secure Boot через «Параметры»

Последовательность действий должна быть такой:

ПК перезагрузится с активированной функцией Secure Boot. Если параметр Secure Boot Control отсутствует, скорее всего, безопасная загрузка здесь не поддерживается.

Включение безопасной загрузки при запуске Windows

Первым делом нам необходимо попасть в пользовательский интерфейс UEFI – у разных производителей чипсетов вход в настройки реализован по-своему, единого стандарта здесь не существует. Чаще всего для этого используются клавиши Delete и F2, но могут быть задействованы и другие функциональные клавиши.

Обычно эта информация выводится на стартовую заставку при загрузке системы, но она мелькает так быстро, что что-либо прочитать зачастую не представляется возможным. Можно найти эту информацию в документации, бумажной или онлайн, указав модель материнской платы.

Мы для удобства приводим таблицу, в которой указаны используемые ведущими производителями Motherboard клавиши для входа в BIOS:

Производитель	Клавиши
HP	F10/Esc
Dell	F2/F12
Acer	Delete/F2
Lenovo	F1/F2
Asus	Delete/F2
Samsung	F2
MSI	Delete
Toshiba	F2

Итак, после включения питания компьютера и появления заставки нажимаем нужную клавишу 2-4 раза ИП дожидаемся загрузки пользовательского интерфейса UEFI. Здесь жёстких стандартов тоже нет, поэтому состав меню UI может быть организован по-разному, хотя смысловая нагрузка микропрограммы будет примерно одинаковой.

Нам нужно искать параметр, включающий безопасную загрузку, то есть содержащий фразу Secure Boot. Чаще всего эта опция расположена в разделе «Boot», но в вашем случае это может быть и другая локация, например, раздел «System Configuration» или «Security».

Если ваши поиски не увенчались успехом, скорее всего, сам параметр необходимо где-то активировать, но здесь поможет только фирменная документация материнской платы или интернет. В последнем случае вам нужно определить модель своей МП, например, с помощью встроенной утилиты msinfo32, о которой мы уже упоминали, в разделе «Сведения о системе».

Найдя параметр Secure Boot, останется активировать его, присвоив значение Enabled и выйти из настроек UEFI с сохранением произведённых изменений.

Отключение безопасной загрузки

Если у вас стоит «десятка», может возникнуть необходимость в установке младших версий Windows или Linux. С включённой опцией Secure Boo вы этого не сможете сделать. Безопасная загрузка может стать помехой и для работы некоторых видеоадаптеров или другого «железа», особенно если это оборудование не оснащено цифровой подписью и будет определено при загрузке как ненадёжное. Сама загрузка ОС при этом прервётся.

Так что в этих случаях Secure Boot необходимо деактивировать. Способов, как отключить функцию безопасной загрузки Windows, существует тоже два, через «Параметры» и через настройки UEFI. Всё, что вам нужно сделать, – воспользоваться описанными выше инструкциями, а на завершающей стадии изменить значение параметра Secure Boot на Disabled.

Заключение

Включение Secure Boot – задача несложная. Может ли Windows 11 работать без этой функции? Вполне, она действительно нужна только при установке операционной системы. Но в сети уже выкладываются способы, как обойти такую проверку при инсталляции ОС, и эти методы можно использовать и для тех компьютеров, BIOS которых не поддерживает безопасную загрузку.

A lot of users complain that Secure Boot is unsupported/off/unavailable on Windows 10/11. What causes the Secure Boot state unsupported error? How to fix it? Now, let’s explore the answers together with MiniTool.

What Is Secure Boot

Secure Boot is a security feature available on most motherboards with UEFI firmware enabled. It is a part of Microsoft Windows 8 and higher operating systems. This feature was designed to ensure your device boot using only the software trusted by the Original Equipment Manufacturer (OEM).

If the software fails to pass the authentication set by the OEM, your motherboard will refuse to load it. That’s to say, the Secure Boot option can prevent malicious software or malware from attacking the boot sector.

However, many users find the Secure Boot is unsupported, off, or unavailable on Windows 11/10. What causes the error? Let’s keep reading.

Why Secure Boot Is Unsupported in Windows 11/10

What causes the Secure Boot unsupported/off/unavailable issue? On Windows 10/8/8.1, if you want to use the Secure Boot feature, it’s required to enable the UEFI mode which uses the GUID Partition Table (GPT).

Now, Microsoft makes the feature a prerequisite when you upgrade to Windows 11. So, if you encounter the “Secure Boot is unsupported” error, it may be caused by one of the following factors:

• Your PC is set to UEFI mode but the TPM and Secure Boot features are disabled.
• The BIOS mode is set to Legacy boot mode instead of UEFI mode.
• The partition table of your boot disk is set to MBR instead of GPT.
• The hardware of your computer is not UEFI and Secure Boot compatible.

How to Fix Secure Boot State Unsupported in Windows 11/10

After analyzing all possible causes, we summarize 6 feasible ways to fix the “Secure Boot is not available” issue. Let’s try them in order until you get the problem solved.

# 1. Enable the Secure Boot

First of all, you need to enable Secure Boot in BIOS settings if you want to upgrade to Windows 11. Here’s how to check the current state of the option and enable it.

Step 1. Press the Win + R keys to open the Run dialog box, and then type msinfo32 in it and hit Enter to open the System Information window.

Step 2. Select System Summary from the left panel and check the Secure Boot State in the right panel. If it is Off or Unsupported, you need to enable it in BIOS. To do this work, proceed with the following steps.

Step 3. Press Win + I keys to open the Settings window, and then select Update & Security > Recovery and click on Restart Now under the Advanced startup section. Then your PC will restart right now and enter into BIOS.

Step 4. Select Troubleshoot and then Advanced options in the Advanced startup menu.

Step 5. Select UEFI Firmware Settings and click Restart to boot your computer into UEFI BIOS.

Step 6. Select BIOS Setup, navigate to the Secure Boot category from the left panel and select the Secure Boot Enable and confirm the option.

Once enabled, restart your computer and check if the “Secure Boot is off/unsupported” issue is gone.

# 2. Enable the TPM Support

If the TPM is disabled on your computer, you will encounter the Secure Boot state unavailable/unsupported issue when installing or upgrading to Windows 11. In this case, you can follow the steps below to enable TPM.

Step 1. Open the Run box again, and then type tpm.msc and press Enter.

Step 2. In the pop-up window, navigate to the Action tab from the top toolbar and select Prepare the TPM.

Step 3. Restart your computer and check if the unsupported Secure Boot issue disappears.

# 3. Change the BIOS Mode to UEFI

As you know, there are 2 different BIOS modes – UEFI and Legacy. If you want to make full use of the Secure Boot feature, you need to set the UEFI as the BIOS mode. Here’s how to do that:

Step 1. Open the System Information window by following Steps 1 to 2 in # 1 and check if the BIOS Mode is Legacy. If it is, you can continue the following steps to enable UEFI on Windows 10/11.

Step 2. Power on your computer, and then press the F2 keys or other function keys (F1, F3, F10, or F12) and the ESC or Delete keys to open the BIOS Setup utility window.

Step 3. Navigate to the Boot tab by pressing the right arrow key.

Step 4. Select the UEFI/BIOS Boot Mode, and press Enter.

Step 5. In the pop-up window, select the UEFI Boot Mode by pressing the up and down arrow keys. Then press the F10 key and Enter to save the change and exit the window.

Once done, restart your computer and check if the “Secure Boot state is off/unsupported” issue gets fixed.

# 4. Convert Your Boot Disk to GPT

As discussed above, the UEFI BIOS mode uses the GPT partition style. If your computer is set to Legacy Boot mode and MBR partition style, you will encounter the “Secure Boot state unavailable/unsupported” issue as well. So, you need to convert your boot disk to GPT apart from enabling UEFI.

How to convert MBR to GPT on Windows 10/11? You can use the Windows built-in tool – MBR2GPT.exe or use a professional disk conversion tool – MiniTool Partition Wizard. If you are using an MBR disk, follow the guide below to convert it to GPT.

Way 1. Convert MBR to GPT Using MBR2GPT

MBR2GPT.exe is a command line tool that starts in Windows 10 version 1703 build 15063. It can be used to convert a system disk from MBR to GPT without modifying any data. Here’s how to use it on Windows 10/11.

Step 1. Type cmd in the Search box, and then right-click the Command Prompt app and select Run as administrator. Then click on Yes in the UAC window to confirm it.

Step 2. In the elevated Command Prompt window, type the following command and hit Enter to convert the partition type of the disk.

mbr2gpt /convert /disk: n /allowfullOS

Step 3. This conversion may take some time to complete depending on the size of your system disk. Once converted, reboot your PC and check if the unsupported Secure Boot issue is resolved.

Way 2. Convert MBR to GPT Using MiniTool Partition Wizard

Sometimes, however, the MBR2GPT tool may fail to convert your disk and run into some errors like “MBR2GPT failed to update ReAgent.xml”. In this case, you may consider using a professional disk conversion tool – MiniTool Partition Wizard to convert MBR to GPT without data loss.

MiniTool Partition Wizard DemoClick to Download100%Clean & Safe

Step 1. Launch the MiniTool software to enter its main interface, and then select the disk that you want to convert and click on Convert MBR Disk to GPT Disk from the left action panel. Then click on OK to confirm this change.

Step 2. Click on Apply to execute the pending conversion.

Now, restart your system and check if the “Secure Boot is not available” issue persists.

# 5. Perform a Clean Boot

Sometimes the Secure Boot is off/unsupported/unavailable just because of certain conflicting services or software. In this case, you can try performing a clean boot in which your computer will boot with a minimal set of drivers and startup programs. Then you can find out what is interfering with the Secure Boot option.

If the “Secure Boot state is off” issue disappears in the Clean Boot state, it may indicate that one of your programs or services was causing the error. To rule it out, you can repeat the clean boot process while re-enabling one of these services until the error occurs again. Once you determine the conflicting service/program, disable or uninstall it from Windows 10/11.

# 6. Clean Install Windows 10/11

If the unsupported Secure Boot issue persists after trying all the above methods, you may consider performing a clean install of Windows 10/11. This operation will delete all information on your system drive and install a fresh system without hidden corruption or problems.

Thus, it’s highly recommended you make a full backup of all important data before reinstalling Windows 10/11. If you don’t know to clean install your system, refer to this post “New SSD, Clean Install or Clone Disk or Migrate Windows OS”.

The Secure Boot is unsupported when I upgrade to Windows 11. Fortunately, the troubleshooting methods helped fix the error. Probably you are also looking for this post.Click to Tweet

What’s Your Opinion

How to fix Secure Boot unsupported/unavailable on Windows 10/11? The top 6 methods have been illustrated in this post. If you have other effective troubleshooting fixes to this problem, leave them down in the following comment zone to help more affected users.

In addition, you can send us an email to [email protected] if you have difficulty using MiniTool Partition Wizard and instant help will be for you.