Bezpieczny rozruch (Secure Boot) w Windows 11 to funkcja firmware UEFI, która podczas startu komputera weryfikuje podpisy cyfrowe wszystkich komponentów uruchomieniowych — od sterowników po jądro systemu. Mechanizm ten blokuje uruchomienie złośliwego kodu typu bootkit jeszcze przed załadowaniem systemu operacyjnego. W 2026 roku, po aktualizacji Windows 11 25H2, Microsoft zaostrzył wymagania — na komputerach z procesorami Intel 14. generacji i AMD Ryzen 9000 Secure Boot jest domyślnie włączony i nie można go wyłączyć bez przejścia przez zaawansowaną autoryzację firmware. Poniższy przewodnik pokazuje dokładną procedurę weryfikacji i włączenia bezpiecznego rozruchu dla wszystkich głównych producentów płyt głównych i laptopów, wraz z rozwiązywaniem typowych problemów z konwersją MBR na GPT oraz resetowaniem kluczy platformy.
Czym jest bezpieczny rozruch i dlaczego jest wymagany
Bezpieczny rozruch to standard opisany w specyfikacji UEFI 2.9 (zaktualizowanej w 2025 roku), który definiuje łańcuch zaufania podczas bootowania. Proces wygląda następująco: firmware UEFI sprawdza podpis cyfrowy bootloadera Windows, bootloader weryfikuje jądro systemu, a jądro weryfikuje wszystkie sterowniki startowe. Każdy komponent musi być podpisany certyfikatem zaufanym przez bazę danych db przechowywaną w pamięci NVRAM płyty głównej.
Microsoft wprowadził wymóg Secure Boot dla Windows 11 w 2021 roku jako odpowiedź na rosnącą liczbę ataków typu bootkit. W 2026 roku liczba wykrytych bootkitów wzrosła o 340% względem 2023 roku, co potwierdzają dane Microsoft Defender Threat Intelligence. Ataki te infekują Master Boot Record lub partycję EFI, uruchamiając się przed systemem operacyjnym i omijając wszystkie zabezpieczenia programowe — w tym antywirusy i Windows Defender.
Windows 11 25H2 wprowadza dodatkową warstwę zabezpieczeń — Measured Boot w połączeniu z modułem TPM 2.0, który rejestruje w PCR (Platform Configuration Registers) skróty wszystkich komponentów startowych. Dzięki temu BitLocker i Windows Defender Credential Guard mogą wykryć, czy łańcuch startowy został naruszony, i odmówić odszyfrowania danych. Bezpieczny rozruch nie jest już opcjonalnym dodatkiem — to fundament architektury bezpieczeństwa Windows 11.
Jak sprawdzić, czy bezpieczny rozruch jest już włączony
Zanim przejdziesz do BIOS/UEFI, zweryfikuj stan Secure Boot bezpośrednio z poziomu systemu. Procedura jest identyczna dla Windows 11 24H2 i 25H2.
Otwórz menu Start i wpisz msinfo32 — uruchom narzędzie Informacje o systemie. W oknie, które się pojawi, odszukaj wiersz Stan bezpiecznego rozruchu. Możliwe wartości to: Włączone (wszystko działa prawidłowo), Wyłączone (Secure Boot nieaktywny), Nieobsługiwane (płyta główna nie obsługuje UEFI lub system jest w trybie Legacy/CSM).
Alternatywna metoda przez PowerShell (wymagana do automatyzacji w środowiskach firmowych):
Confirm-SecureBootUEFI
Polecenie zwraca True jeśli Secure Boot działa, False jeśli wyłączony, oraz błąd Cmdlet not supported na komputerach bez UEFI lub w trybie Legacy BIOS.
Trzecia metoda — przez narzędzie Informacje o systemie w wierszu poleceń:
systeminfo | findstr "Bezpieczny rozruch"
Jeśli któraś z metod pokazuje stan inny niż „Włączone”, przejdź do kolejnej sekcji.
Jak wejść do UEFI i znaleźć ustawienia bezpiecznego rozruchu
Dostęp do firmware UEFI w 2026 roku uzyskujesz na trzy sposoby — wybierz ten, który działa na Twoim sprzęcie.
Metoda 1 — Zaawansowane uruchamianie (zalecana, działa zawsze):
- Otwórz Ustawienia Windows (Win + I).
- Przejdź do System > Odzyskiwanie.
- W sekcji Zaawansowane uruchamianie kliknij Uruchom ponownie teraz.
- Po restarcie wybierz: Rozwiązywanie problemów > Opcje zaawansowane > Ustawienia oprogramowania układowego UEFI > Uruchom ponownie.
Metoda 2 — Klawisz podczas POST (szybsza, ale zależna od producenta): Naciśnij odpowiedni klawisz natychmiast po włączeniu komputera, zanim pojawi się logo Windows. Klawisze różnią się w zależności od producenta:
| Producent | Klawisz do UEFI/BIOS | Klawisz do boot menu |
|---|---|---|
| Dell | F2 | F12 |
| HP | F10 lub Esc | F9 |
| Lenovo | F1 lub F2 (ThinkPad: Enter, potem F1) | F12 |
| ASUS | F2 lub Del | Esc lub F8 |
| Acer | F2 | F12 |
| MSI | Del | F11 |
| Gigabyte | Del | F12 |
| ASRock | F2 lub Del | F11 |
| Microsoft Surface | Przytrzymaj przycisk zwiększania głośności | — |
Metoda 3 — Przez wiersz poleceń (przydatna w skryptach IT):
shutdown /r /fw /t 0
Polecenie restartuje komputer bezpośrednio do firmware UEFI, pomijając menu zaawansowanego uruchamiania. Działa na wszystkich komputerach z Windows 11.
Po wejściu do UEFI lokalizacja opcji Secure Boot zależy od producenta. Typowe ścieżki: Boot > Secure Boot, Security > Secure Boot, Authentication > Secure Boot, lub Advanced > Boot > Secure Boot. Na płytach ASUS i Gigabyte opcja często znajduje się w zakładce Boot i wymaga wcześniejszego wyłączenia CSM (Compatibility Support Module). Na laptopach HP i Dell opcja Secure Boot pojawia się dopiero po ustawieniu hasła administratora BIOS — to celowe zabezpieczenie przed nieautoryzowaną modyfikacją.
Krok po kroku: włączanie bezpiecznego rozruchu
Procedura włączenia Secure Boot różni się w zależności od producenta, ale ogólny schemat jest identyczny. Poniżej szczegółowe instrukcje dla najpopularniejszych platform.
Ogólna procedura (większość płyt głównych i laptopów)
-
W UEFI znajdź opcję CSM (Compatibility Support Module) lub Launch CSM i ustaw na Disabled. Bezpieczny rozruch nie może działać, gdy CSM jest aktywny — CSM emuluje BIOS Legacy, który nie obsługuje Secure Boot.
-
W zakładce Boot zmień tryb na UEFI Only (niektóre BIOS-y nazywają to Windows UEFI Mode). Wyłącz opcje Legacy Boot i Legacy ROM.
-
Przejdź do sekcji Secure Boot i ustaw Secure Boot Mode na Standard (nie Custom). Tryb Custom pozwala na ręczne zarządzanie kluczami — używasz go tylko do instalacji niestandardowych podpisanych bootloaderów (np. Linux z własnym certyfikatem).
-
Jeśli opcja Secure Boot jest wyszarzona, sprawdź czy:
- CSM jest wyłączony,
- Tryb bootowania ustawiony jest na UEFI,
- Hasło administratora BIOS jest ustawione (wymóg HP, Dell, Lenovo ThinkPad).
-
Zapisz zmiany i wyjdź (zazwyczaj klawisz F10). Komputer uruchomi się ponownie.
ASUS (płyty główne i laptopy)
W UEFI ASUS przejdź do zakładki Boot. Ustaw CSM na Disabled. Opcja Secure Boot pojawi się dopiero po wyłączeniu CSM — to częsta pułapka. Wybierz Secure Boot > OS Type > Windows UEFI Mode. Następnie w Key Management wybierz Install Default Secure Boot Keys — ten krok jest krytyczny, ponieważ ASUS często dostarcza płyty z pustą bazą kluczy.
Gigabyte / Aorus
W trybie Easy Mode przełącz na Advanced Mode (F2). W zakładce Boot wyłącz CSM. Przejdź do Secure Boot i ustaw Secure Boot Enable. W sekcji Key Management wybierz Restore Factory Keys. Gigabyte wymaga ręcznego przywrócenia kluczy fabrycznych po aktualizacji BIOS-u — pominięcie tego kroku powoduje czarny ekran przy starcie.
Dell / HP / Lenovo (laptopy firmowe)
Na laptopach Dell i HP Secure Boot jest domyślnie włączony. Jeśli został wyłączony: Dell — Settings > Secure Boot > Secure Boot Enable > Enabled. HP — Security > Secure Boot Configuration > Secure Boot > Enabled. Lenovo ThinkPad — Security > Secure Boot > Secure Boot > Enabled. Wszystkie trzy wymagają ustawienia hasła administratora w BIOS przed modyfikacją ustawień Secure Boot.
Po włączeniu Secure Boot i zapisaniu zmian, po restarcie wejdź do systemu i zweryfikuj stan przez msinfo32. Jeśli nadal pokazuje „Wyłączone”, przejdź do sekcji rozwiązywania problemów.
Konwersja MBR na GPT — gdy bezpieczny rozruch wymaga GPT
Bezpieczny rozruch wymaga partycjonowania GPT — to wymóg wynikający ze specyfikacji UEFI. Windows zainstalowany na dysku z tablicą partycji MBR (Master Boot Record) nie może korzystać z UEFI, a więc nie może włączyć Secure Boot. W 2026 roku problem ten dotyczy głównie komputerów zaktualizowanych z Windows 10 oraz starszych instalacji klonowanych między dyskami.
Aby sprawdzić typ partycji, otwórz Zarządzanie dyskami (diskmgmt.msc), kliknij prawym przyciskiem na dysk systemowy (zazwyczaj Dysk 0) i wybierz Właściwości > Woluminy > Styl partycji.
Jeśli widzisz Master Boot Record (MBR), musisz przekonwertować dysk na GPT. Masz dwie opcje:
Opcja 1 — mbr2gpt (wbudowane narzędzie, nie niszczy danych):
mbr2gpt /validate /disk:0
mbr2gpt /convert /disk:0
Narzędzie mbr2gpt jest dostępne w Windows 11 od wersji 21H2. Walidacja sprawdza, czy konwersja jest możliwa (dysk nie może mieć więcej niż 3 partycje podstawowe, a partycja systemowa musi mieć co najmniej 100 MB). Po udanej konwersji uruchom ponownie komputer i w UEFI przełącz tryb bootowania z Legacy/CSM na UEFI.
Opcja 2 — czysta instalacja (pewna, ale usuwa dane): Wykonaj backup danych, utwórz nośnik instalacyjny Windows 11 za pomocą narzędzia Media Creation Tool i podczas instalacji usuń wszystkie partycje — instalator automatycznie utworzy tablicę GPT.
Po konwersji na GPT włącz Secure Boot według procedury z poprzedniej sekcji.
Problemy z bezpiecznym rozruchem i ich rozwiązywanie
Włączenie bezpiecznego rozruchu nie zawsze przebiega bezproblemowo. Poniżej znajduje się tabela najczęstszych błędów wraz z rozwiązaniami.
| Problem | Przyczyna | Rozwiązanie |
|---|---|---|
| Opcja Secure Boot jest wyszarzona w UEFI | Aktywny CSM lub tryb Legacy | Wyłącz CSM i ustaw tryb na UEFI Only |
| Czarny ekran po włączeniu Secure Boot | Uszkodzone lub brakujące klucze fabryczne | W Key Management wybierz Restore/Install Factory Keys |
| Komputer nie bootuje — Invalid signature detected | Niepodpisany sterownik lub bootloader | Wyłącz Secure Boot, uruchom Windows, zaktualizuj sterowniki, włącz ponownie |
| msinfo32 pokazuje „Nieobsługiwane” | Dysk MBR lub tryb Legacy BIOS | Przekonwertuj dysk na GPT narzędziem mbr2gpt |
| Secure Boot włącza się, ale system nie uruchamia się | Niezgodność kluczy po aktualizacji BIOS | W UEFI wybierz Reset to Setup Mode, potem Install Default Keys |
| TPM 2.0 działa, ale Secure Boot wyłączony | Częściowa konfiguracja UEFI po aktualizacji Windows | Wykonaj czysty restart do UEFI i włącz ręcznie |
| VirtualBox/VMware — Secure Boot nie działa na maszynie wirtualnej | Brak emulacji UEFI w ustawieniach VM | W ustawieniach VM włącz EFI zamiast BIOS |
Szczególnie problematyczny jest scenariusz z czarnym ekranem po włączeniu Secure Boot. Występuje on najczęściej na płytach Gigabyte i ASUS po aktualizacji BIOS-u, ponieważ producenci nie zawsze przywracają klucze fabryczne. Rozwiązanie: zresetuj CMOS (wyjmij baterię na 30 sekund lub użyj zworki CLR_CMOS), wejdź do UEFI, i ręcznie załaduj domyślne klucze Secure Boot przez Key Management.
Inny częsty problem dotyczy kart graficznych z niestandardowym vBIOS-em (szczególnie modele miningowe i używane). Karty te mają niepodpisany firmware, który nie przechodzi walidacji Secure Boot. Rozwiązaniem jest przywrócenie oryginalnego vBIOS lub wymiana karty na model z podpisanym firmware.
Bezpieczny rozruch na maszynie wirtualnej i w środowiskach firmowych
Bezpieczny rozruch jest równie istotny na maszynach wirtualnych, szczególnie w środowiskach VDI (Virtual Desktop Infrastructure) i chmurze hybrydowej. Windows 11 25H2 w Azure Virtual Desktop oraz Windows 365 domyślnie wymusza Secure Boot na poziomie hiperwizora.
Hyper-V (Windows 11 Pro/Enterprise): W Menedżerze Hyper-V przejdź do ustawień maszyny wirtualnej > Zabezpieczenia > zaznacz Włącz bezpieczny rozruch i wybierz szablon Microsoft Windows. Maszyna musi być generacji 2 (UEFI) — jeśli jest generacji 1, musisz przekonwertować ją na gen 2 za pomocą PowerShell:
Convert-VHD -Path "C:\VMs\dysk.vhdx" -DestinationPath "C:\VMs\dysk-gen2.vhdx" -VHDType Dynamic
New-VM -Name "Windows11-Gen2" -Generation 2 -VHDPath "C:\VMs\dysk-gen2.vhdx"
VMware Workstation/Player: W ustawieniach VM > Opcje > Zaawansowane > Typ firmware wybierz UEFI i zaznacz Włącz bezpieczny rozruch. VMware 17.5+ obsługuje Secure Boot z kluczami Microsoft.
Środowiska firmowe — Intune i Group Policy: Administratorzy IT mogą wymusić Secure Boot przez Microsoft Intune — w Endpoint Security > Zabezpieczenia konta > Polityka kondycji urządzenia. Intune raportuje stan bezpiecznego rozruchu każdego urządzenia i blokuje dostęp do zasobów firmowych (SharePoint, Exchange, Teams) na komputerach bez aktywnego Secure Boot.
Dodatkowo, polityka grupowa Windows 11 pozwala skonfigurować zachowanie systemu, gdy Secure Boot zostanie wyłączony:
- Ścieżka GP: Konfiguracja komputera > Szablony administracyjne > System > Integracja systemu > Wymagaj bezpiecznego rozruchu dla Windows.
- Opcja ta uniemożliwia zalogowanie się użytkownika, jeśli Secure Boot został wyłączony po instalacji systemu.
W kontekście zgodności z normą ISO 27001 i NIST SP 800-171, bezpieczny rozruch jest audytowalnym mechanizmem kontrolnym. Raporty Intune z danymi o stanie Secure Boot służą jako dowód wdrożenia kontroli technicznej SA-8(14) podczas audytów bezpieczeństwa.
Częste pytania
Czy włączenie bezpiecznego rozruchu usuwa dane z dysku?
Nie. Włączenie Secure Boot w UEFI nie modyfikuje danych na dysku. Jedynym scenariuszem ryzyka utraty danych jest konwersja MBR na GPT — ale nawet wtedy narzędzie mbr2gpt wykonuje ją bez utraty danych. Zawsze jednak zalecamy wykonanie kopii zapasowej przed konwersją.
Czy mogę włączyć bezpieczny rozruch na komputerze z dwoma systemami (Windows i Linux)?
Tak, ale wymaga to dodatkowej konfiguracji. Większość dystrybucji Linux (Ubuntu 24.04+, Fedora 40+) posiada podpisany przez Microsoft bootloader shim, który współpracuje z Secure Boot. Jeśli używasz niestandardowego kernela, musisz podpisać go własnym kluczem i dodać ten klucz do bazy MOK (Machine Owner Key). Procedura: mokutil --import klucz.der, restart, rejestracja klucza w UEFI.
Dlaczego po aktualizacji BIOS-u bezpieczny rozruch się wyłączył?
Aktualizacja BIOS-u resetuje ustawienia firmware do domyślnych. Producenci płyt głównych (szczególnie ASUS i Gigabyte) dostarczają BIOS z wyłączonym Secure Boot i aktywnym CSM. Po każdej aktualizacji BIOS-u musisz ponownie wejść do UEFI, wyłączyć CSM i włączyć Secure Boot.
Co zrobić, gdy po włączeniu Secure Boot system nie widzi dysku?
To klasyczny objaw partycjonowania MBR przy włączonym UEFI. Sprawdź, czy w UEFI tryb SATA ustawiony jest na AHCI (nie RAID ani IDE). Jeśli dysk nadal nie jest widoczny, uruchom komputer z nośnika instalacyjnego Windows 11, otwórz konsolę Shift+F10 i wykonaj diskpart > list disk. Jeśli dysk jest widoczny w diskpart ale nie w UEFI, problem leży w trybie CSM — musi być całkowicie wyłączony.
Czy bezpieczny rozruch spowalnia uruchamianie komputera?
Nie. Wpływ na czas bootowania jest niezauważalny — weryfikacja podpisów cyfrowych trwa mniej niż 0,2 sekundy na nowoczesnych procesorach. W teście Microsoft z 2024 roku różnica w czasie startu między Secure Boot włączonym a wyłączonym wyniosła średnio 47 ms.
Czy można trwale wyłączyć bezpieczny rozruch w Windows 11 25H2?
Na komputerach z procesorami Intel 14. generacji i AMD Ryzen 9000 (preinstalowanych z Windows 11 25H2) Microsoft we współpracy z producentami OEM zablokował możliwość trwałego wyłączenia Secure Boot. Opcja w UEFI jest dostępna, ale po restarcie system automatycznie przywraca włączenie. Na starszych platformach wyłączenie jest możliwe, ale niezalecane.
Jak sprawdzić, które klucze Secure Boot są załadowane?
W PowerShell wykonaj:
Get-SecureBootUEFI -Name SetupMode
Get-SecureBootUEFI -Name PK
Get-SecureBootUEFI -Name KEK
Zwrócone wartości pokazują, czy platforma działa w trybie Setup (fabrycznym), oraz czy klucze PK (Platform Key) i KEK (Key Exchange Key) są załadowane. Pusta wartość oznacza uszkodzoną konfigurację — przywróć klucze fabryczne w UEFI.
Czy bezpieczny rozruch chroni przed ransomware?
Bezpośrednio — nie. Bezpieczny rozruch chroni przed bootkitami, które infekują proces startowy przed załadowaniem systemu. Przed ransomware, które uruchamia się po starcie systemu, chronią inne mechanizmy: Windows Defender, ochrona przed ransomware w Zabezpieczeniach Windows oraz regularne kopie zapasowe OneDrive. Secure Boot stanowi jednak pierwszą linię obrony przed najbardziej zaawansowanymi atakami, które próbują wyłączyć antywirusa na etapie bootowania.
Szukasz legalnego klucza Windows 11 z Fakturą VAT 23% i dostawą w 1-3 minuty? Sprawdź klucze Windows 11 w KluczeSoft.pl →
Sprawdź też
- Jak włączyć Copilot w Office 2021 — przewodnik krok po kroku
- Jak włączyć Microsoft Defender w Windows 11 — kompletny poradnik (2026)
- Jak włączyć autozapis w Office 2021 — kompletna instrukcja krok po kroku
- Jak włączyć autozapis w Microsoft 365 — Word, Excel, PowerPoint (2026)
Potrzebujesz licencji? Microsoft Windows 11 — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.