Secure Boot — co to jest, jak włączyć i sprawdzić w Windows 11 (2026)

Secure Boot to standard bezpieczeństwa wbudowany w oprogramowanie układowe UEFI, który podczas uruchamiania komputera sprawdza podpisy cyfrowe każdego składnika startowego — od sterowników firmware przez bootloader aż po jądro systemu operacyjnego. Jeśli którykolwiek z tych składników nie ma ważnego, zaufanego podpisu, komputer odmawia jego załadowania — co skutecznie blokuje rootkity, bootkity (jak głośny BlackLotus) i inne złośliwe oprogramowanie próbujące przejąć kontrolę jeszcze przed wystartowaniem Windows.

W skrócie

• Secure Boot to sprzętowo-programowa blokada — nie pozwala uruchomić niepodpisanego kodu podczas startu komputera
• Jest wymagany do instalacji i działania Windows 11 (wraz z TPM 2.0 i UEFI)
• Sprawdzisz go w 10 sekund: Win + R → msinfo32 → pozycja Bezpieczny rozruch („Włączony” / „Wyłączony”)
• Włącza się go w ustawieniach UEFI/BIOS (klawisz F2/Del/Esc podczas uruchamiania)
• Nie myl z TPM 2.0 — to dwa osobne, choć powiązane mechanizmy; oba są obowiązkowe dla Windows 11
• W czerwcu 2026 wygasają oryginalne certyfikaty Secure Boot z 2011 roku — Microsoft wdraża automatyczną aktualizację na wspieranych systemach

Czym jest Secure Boot — pełna definicja

Secure Boot to standard opracowany przez konsorcjum UEFI Forum i wdrożony we wszystkich nowoczesnych płytach głównych (od około 2012 roku). Jego działanie opiera się na łańcuchu zaufania (chain of trust) — każdy element sekwencji startowej jest weryfikowany kryptograficznie, zanim dostanie pozwolenie na wykonanie:

1. Platform Key (PK) — klucz główny, jedyny w swoim rodzaju na danej płycie; to od niego zaczyna się cała weryfikacja. Producent sprzętu (OEM) zapisuje go w nieulotnej pamięci firmware podczas produkcji.
2. Key Exchange Key (KEK) — baza kluczy pośredniczących, które mogą aktualizować bazy sygnatur. Microsoft ma swój klucz KEK w każdej fabrycznej instalacji, co pozwala na bezpieczne dodawanie nowych certyfikatów przez Windows Update.
3. Signature Database (db) — „biała lista” — zawiera hashe i certyfikaty dozwolonych bootloaderów, sterowników UEFI i aplikacji EFI. Tylko to, co znajdzie się w db, może zostać uruchomione.
4. Forbidden Signature Database (dbx) — „czarna lista” — zawiera hashe i certyfikaty zabronione. Jeśli składnik znajduje się jednocześnie w db i dbx, dbx ma pierwszeństwo — składnik jest blokowany.

Gdy włączasz komputer, firmware UEFI sprawdza podpis bootloadera Windows (plik bootmgfw.efi) względem bazy db. Jeśli podpis pasuje — bootloader startuje i przekazuje kontrolę do jądra systemu. Jeśli nie pasuje — start jest zatrzymywany, a użytkownik widzi komunikat o naruszeniu bezpieczeństwa.

ℹ️ Secure Boot ≠ TPM 2.0. TPM (Trusted Platform Module) to fizyczny lub firmware'owy układ kryptograficzny przechowujący klucze szyfrowania (np. dla BitLocker, Windows Hello). Secure Boot tylko weryfikuje podpisy przy starcie. Oba mechanizmy są niezależne, ale oba są obowiązkowe dla Windows 11.

Jak sprawdzić, czy Secure Boot jest włączony — 3 metody

Zanim przejdziesz do włączania, upewnij się, jaki jest obecny stan. Masz trzy szybkie sposoby:

Metoda 1: msinfo32 (najszybsza) ⭐

1. Naciśnij Win + R, wpisz msinfo32 i zatwierdź Enter.
2. W oknie „Informacje o systemie” znajdź wiersz Stan bezpiecznego rozruchu (ang. Secure Boot State).
3. Możliwe wartości:
   • Włączony — Secure Boot działa prawidłowo.
   • Wyłączony — Secure Boot jest wyłączony w UEFI.
   • Nieobsługiwany — płyta główna lub tryb BIOS (Legacy/CSM) nie wspiera tej funkcji.

Metoda 2: PowerShell

Otwórz PowerShell jako Administrator i wykonaj:

Confirm-SecureBootUEFI

Zwróci True (włączony) lub False (wyłączony). Jeśli zobaczysz błąd „cmdlet not supported”, oznacza to, że komputer pracuje w trybie Legacy BIOS — Secure Boot jest wtedy niedostępny.

Metoda 3: Ustawienia Windows 11

1. Ustawienia → System → Odzyskiwanie.
2. Kliknij Uruchom ponownie teraz (obok „Uruchamianie zaawansowane”).
3. Po restarcie wybierz: Rozwiązywanie problemów → Opcje zaawansowane → Ustawienia oprogramowania układowego UEFI → Uruchom ponownie.
4. W interfejsie UEFI poszukaj zakładki Security lub Boot — tam zobaczysz stan Secure Boot.

Jak włączyć Secure Boot — instrukcja krok po kroku

Krok 1: Sprawdź, czy masz UEFI (nie Legacy BIOS)

Secure Boot działa tylko w trybie UEFI. Jeśli Twój system używa starszego trybu Legacy BIOS (zwanego też CSM), musisz najpierw przełączyć tryb rozruchu:

1. Wejdź do UEFI/BIOS (zwykle klawisz F2, Del, F10 lub Esc podczas startu — konkretny klawisz zależy od producenta).
2. Znajdź opcję Boot Mode, Boot Control lub CSM (Compatibility Support Module).
3. Zmień z Legacy/CSM na UEFI (w niektórych BIOS-ach: „UEFI Only” lub „UEFI with Legacy” — wybierz UEFI jako pierwszą opcję).
4. Uwaga: przełączenie z Legacy na UEFI na systemie z już zainstalowanym Windows może uniemożliwić rozruch! Jeśli planujesz taką zmianę na działającej instalacji, najpierw przekonwertuj dysk z MBR na GPT za pomocą narzędzia mbr2gpt (wbudowanego w Windows 11).

Krok 2: Znajdź opcję Secure Boot w UEFI

Po wejściu do ustawień firmware (klawisz F2/Del/Esc przy uruchamianiu):

Krok 3: Włącz Secure Boot

1. Ustaw opcję Secure Boot na Enabled (Włączony).
2. Jeśli widzisz opcję Secure Boot Mode, wybierz Standard (nie Custom — chyba że potrzebujesz własnych kluczy, np. dla Linuxa z podpisanym kernelem).
3. Niektóre płyty wymagają również ustawienia OS Type na Windows UEFI Mode (zamiast „Other OS”) — dotyczy to zwłaszcza płyt ASUS i Gigabyte.

Krok 4: Zapisz zmiany i uruchom ponownie

1. Naciśnij klawisz zapisu zmian (zwykle F10 lub wybierz „Save & Exit”).
2. Komputer uruchomi się ponownie. Po restarcie sprawdź stan Secure Boot przez msinfo32 — powinien pokazywać Włączony.

💡 Jeśli po włączeniu Secure Boot system nie chce wystartować (czarny ekran, błąd „Invalid signature”), wejdź ponownie do UEFI i wybierz opcję Reset Secure Boot Keys lub Restore Factory Keys — to przywróci fabryczną bazę certyfikatów, która na pewno zawiera klucze Microsoftu.

Secure Boot w 2026 roku — certyfikaty wygasają

W czerwcu 2026 roku wygasają oryginalne certyfikaty Secure Boot wystawione w 2011 roku — w tym Windows Production PCA 2011, którym podpisane są wszystkie bootloadery Windows od Windows 8 do wczesnych wersji Windows 11. Microsoft wprowadził już do Windows Update nowe certyfikaty Windows UEFI CA 2023, którymi podpisywane są zaktualizowane bootloadery.

Co to oznacza dla Ciebie:

• Jeśli regularnie aktualizujesz Windows 11 (do wersji 24H2 lub nowszej), aktualizacja certyfikatów nastąpi automatycznie — nie musisz robić nic.
• Jeśli masz wyłączone aktualizacje lub korzystasz ze starszego systemu, bootloader może przestać być uznawany za zaufany po wygaśnięciu starych certyfikatów. W skrajnym przypadku komputer odmówi uruchomienia Windows.
• Użytkownicy dual-boot z Linuxem — część dystrybucji polega na podpisanym przez Microsoft shim-loaderze; warto sprawdzić, czy dana dystrybucja zaktualizowała już shim do wersji używającej nowych certyfikatów.

Secure Boot a wydajność i gry — czy wpływa?

Secure Boot nie ma żadnego wpływu na wydajność komputera po zakończeniu rozruchu. Weryfikacja podpisów odbywa się tylko podczas sekwencji startowej (trwa milisekundy) i nie angażuje procesora w trakcie normalnej pracy systemu.

W kontekście gier:

• Wszystkie współczesne gry i launchery (Steam, Epic Games, Xbox) działają z włączonym Secure Boot bez problemu.
• Niektóre gry z anty-cheatami na poziomie kernela (np. Valorant, League of Legends z Vanguard, Fortnite z EasyAntiCheat) faktycznie wymagają włączonego Secure Boot — wyłączenie go może uniemożliwić uruchomienie tych tytułów.

Najczęstsze problemy i ich rozwiązania

„W msinfo32 widzę 'Nieobsługiwany' — co robić?”

Twój komputer działa w trybie Legacy BIOS / CSM. Secure Boot wymaga UEFI. Wejdź do BIOS-u i zmień tryb z Legacy/CSM na UEFI. Jeśli system nie chce później wystartować, użyj narzędzia mbr2gpt z poziomu nośnika instalacyjnego Windows, aby przekonwertować dysk na GPT.

„Secure Boot jest wyszarzony / nie da się zmienić”

Najczęstsze przyczyny:

1. Tryb BIOS to Legacy/CSM — Secure Boot jest dostępny tylko w UEFI.
2. Nie ustawiono hasła administratora BIOS — niektóre płyty wymagają ustawienia hasła, zanim odblokują opcje bezpieczeństwa.
3. Brak zapisanych kluczy fabrycznych — wybierz opcję Restore Factory Keys lub Load Default Keys w zakładce Secure Boot.

„Po włączeniu Secure Boot nie mogę uruchomić Linuxa z dual-boot"

Większość nowoczesnych dystrybucji (Ubuntu 22.04+, Fedora 38+, Debian 12+) wspiera Secure Boot przez podpisany shim. Jeśli Twoja dystrybucja nie startuje:

• Przełącz Secure Boot Mode na Custom i zaimportuj klucz MOK (Machine Owner Key) swojej dystrybucji — większość instalatorów oferuje taką opcję podczas pierwszego uruchomienia.
• Alternatywnie, wyłącz Secure Boot — ale pamiętaj, że osłabia to ochronę przed bootkitami.

„System nie startuje po aktualizacji BIOS-u — Secure Boot się zresetował”

Aktualizacja BIOS-u/UEFI często przywraca ustawienia domyślne, w tym wyłącza Secure Boot i resetuje klucze. Po aktualizacji:

1. Wejdź do UEFI.
2. Włącz Secure Boot.
3. Wybierz Restore Factory Keys.
4. Zapisz i uruchom ponownie.

Częste pytania

Czy Secure Boot jest obowiązkowy do Windows 11?

Tak — Microsoft wymaga, aby komputer wspierał Secure Boot (czyli miał UEFI z tą funkcją dostępną) do instalacji Windows 11. Nie musi być koniecznie włączony w momencie instalacji, ale płyta główna musi go obsługiwać. W praktyce jednak zaleca się, aby był włączony przez cały czas dla pełnej ochrony przed złośliwym oprogramowaniem startowym.

Czy włączenie Secure Boot usuwa dane z dysku?

Nie. Włączenie lub wyłączenie Secure Boot nie dotyka danych na dysku — zmienia jedynie ustawienia w pamięci firmware. Jedyne ryzyko pojawia się przy konwersji z Legacy BIOS na UEFI (co jest warunkiem wstępnym Secure Boot) — ten proces może wymagać konwersji dysku z MBR na GPT, ale można to zrobić bez utraty danych narzędziem mbr2gpt.

Czy mogę wyłączyć Secure Boot po instalacji Windows 11?

Tak — Windows 11 uruchomi się z wyłączonym Secure Boot. Jednak:

• Tracisz ochronę przed bootkitami i rootkitami.
• Niektóre gry z zaawansowanymi anty-cheatami (Valorant, LoL) przestaną działać.
• Funkcje bezpieczeństwa Windows (Virtualization-Based Security, Credential Guard) mogą być ograniczone.

Czy Secure Boot przeszkadza w bootowaniu z USB?

Tylko jeśli nośnik USB nie jest podpisany lub zawiera niepodpisany bootloader. Oficjalny nośnik instalacyjny Windows (tworzony przez Media Creation Tool) jest podpisany i uruchomi się bez problemu. Starsze narzędzia ratunkowe lub niestandardowe Live USB z Linuxem mogą wymagać tymczasowego wyłączenia Secure Boot.

Jaka jest różnica między Secure Boot a TPM 2.0?

Secure Boot weryfikuje podpisy oprogramowania podczas rozruchu — pilnuje, żeby nie uruchomił się niepodpisany, potencjalnie złośliwy kod. TPM 2.0 to układ kryptograficzny — przechowuje klucze szyfrowania (np. dla BitLocker), poświadcza tożsamość sprzętu i umożliwia Windows Hello. Oba są wymagane dla Windows 11, ale pełnią zupełnie inne funkcje: Secure Boot = strażnik przy bramie, TPM = sejf na klucze.

Czy Secure Boot chroni przed wszystkimi rodzajami złośliwego oprogramowania?

Nie. Secure Boot chroni wyłącznie przed zagrożeniami, które próbują załadować się przed lub w trakcie uruchamiania systemu — czyli przed bootkitami, rootkitami UEFI i niepodpisanymi sterownikami na poziomie firmware. Nie zastępuje antywirusa ani nie chroni przed phishingiem, ransomware czy złośliwymi załącznikami w e-mailach. To jedna warstwa w wielowarstwowej strategii bezpieczeństwa — konieczna, ale nie wystarczająca samodzielnie.

Co się stanie, gdy certyfikaty Secure Boot wygasną w 2026?

Microsoft wdraża nowe certyfikaty (Windows UEFI CA 2023) poprzez Windows Update. Dla użytkowników z włączonymi automatycznymi aktualizacjami przejście będzie niezauważalne. Jeśli jednak korzystasz ze starszej wersji Windows 10 lub masz wyłączone aktualizacje, bootloader podpisany starym certyfikatem może zostać odrzucony przez firmware — w efekcie komputer nie uruchomi systemu. Rozwiązaniem jest aktualizacja do wspieranej wersji Windows 11 i zainstalowanie wszystkich dostępnych aktualizacji.

Twój komputer nie wspiera Secure Boot lub potrzebujesz nowej licencji?

Jeśli Twoja płyta główna nie obsługuje UEFI i Secure Boot, jedynym długoterminowym rozwiązaniem jest modernizacja sprzętu wraz z nową, oryginalną licencją Windows 11 — która w pełni wykorzystuje wszystkie współczesne mechanizmy bezpieczeństwa.

Jeśli potrzebujesz nowej licencji na Windows 11, w KluczeSoft.pl znajdziesz legalne, w pełni aktywowane klucze w atrakcyjnych cenach:

→ Microsoft Windows 11 Home — klucz licencyjny od 199 zł → Microsoft Windows 11 Professional — dla wymagających użytkowników i firm

KluczeSoft.pl jest niezależnym sprzedawcą oprogramowania i nie jest powiązany z Microsoft Corporation. Microsoft, Windows i Secure Boot są zastrzeżonymi znakami towarowymi Microsoft Corporation.

Sprawdź też

• TPM 2.0 — jak włączyć w BIOS/UEFI
• UEFI vs BIOS — czym się różnią
• PC Health Check — Windows 11 compatibility
• BitLocker — co to jest