Вместе с анонсом Windows 11, компания Microsoft опубликовала и новые системные требования для установки операционной системы Windows 11. В них требуется поддержка TPM 2.0, UEFI и Secure Boot. В результате, вокруг этих технологий возникло много вопросов. Пользователей интересует, что такое Secure Boot, как проверить его наличие на компьютере и как его включить в BIOS (UEFI), если он отключен.
Содержание
Что такое Secure Boot или безопасная загрузка
Secure Boot – это протокол проверки загружаемых операционных систем, который является частью UEFI. Данный протокол проверяет цифровую подпись операционных систем или драйверов UEFI, которые загружаются при включении компьютера, и при отсутствии такой подписи предотвращает их запуск.
Использование Secure Boot защищает систему от внедрения вредоносного кода в загружаемые компоненты операционных систем. Такое внедрение, например, использовалось вирусом-вымогателем Petya, который распространялся в 2017 году. Также Secure Boot может использоваться для ограничения списка ОС, которые могут запускаться на компьютере.
На данный момент Secure Boot поддерживается такими операционными системами как Windows 8, Windows 10 и Windows 11, а также некоторыми дистрибутивами Linux, например, Fedora, openSUSE, RHEL, CentOS, Debian и Ubuntu.
В еще не выпущенной Windows 11 протокол Secure Boot является обязательным условием и указан в системных требованиях. Хотя, с помощью небольших ухищрений текущие сборки Windows 11 можно установить без TPM и Secure Boot.
Как узнать включен ли Secure Boot
Для того чтобы узнать включен ли Secure Boot на вашем компьютере можно воспользоваться средствами встроенными в Windows 10. Для этого нажмите Win-R на клавиатуре и выполните команду «msinfo32».
В результате должно появиться окно «Сведения о компьютере». Здесь в строке «Режим BIOS» будет указано, в каком режиме работает BIOS – UEFI или Устаревший (Legacy), а в строке «Состояние безопасной загрузки» – состояние Secure Boot (включено или отключено).
Если у вас Secure Boot включен и все готово к установке Windows 11, то должно быть так, как на скриншоте внизу:
- Режим BIOS – UEFI;
- Состояние безопасной загрузки – Вкл.
Также возможен следующий вариант:
- Режим BIOS – UEFI;
- Состояние безопасной загрузки – Откл.
В этом случае для обновления до Windows 11 нужно будет включить безопасную загрузку в BIOS.
Еще один вариант:
- Режим BIOS – Устаревший (Legacy);
- Состояние безопасной загрузки – не поддерживается.
В этом случае возможно 2 варианта, либо у вас старый компьютер без поддержки UEFI и Secure Boot, либо в настройках BIOS включена эмуляция старого BIOS (режим совместимости). Во втором случае для обновления до Windows 11 нужно будет отключить эмуляцию старого BIOS и включить Secure Boot. Функция эмуляции обычно называется CSM (Launch Compatibility Support Module).
Подробней в статье:
Конвертация диска с MBR в GPT
Если включить Secure Boot для уже установленной Windows 10, то система может не загрузиться, а вы получите сообщение о том, что «Загрузочное устройство не найдено». Это происходит из-за того, что на диске используется таблица разделов MBR. Для решения этой проблемы диск нужно предварительно конвертировать из формата MBR в GPT.
Конвертацию диска из MBR в GPT можно выполнить непосредственно в процессе установки Windows 11, вызвав командную строку с помощью комбинации клавиш Shift-F10 (или Shift-Fn-F10), либо заранее, из рабочей Windows 10. Конвертацию при установке мы рассматривали в статье о преобразовании диска с MBR в GPT, здесь же будет рассмотрена конвертация из рабочей Windows 10.
Итак, для начала нужно открыть меню «Параметры» (комбинация клавиш Win-i), перейти в раздел «Обновление и безопасность – Восстановление» и нажать на кнопку «Перезагрузить сейчас».
После этого появится меню с дополнительными действиями. Здесь нужно выбрать «Поиск и устранение неисправностей», а потом «Командная строка». Также может понадобиться выбор пользователя и ввод пароля.
В результате перед вами появится командная строка. Сначала нужно выполнить команду, которая проверит возможность конвертации диска:
mbr2gpt /validate
Если все нормально и конвертация возможна, то вы получите сообщение «Validation completed successfully». Чтобы запустить конвертацию выполните команду:
mbr2gpt /convert
Если же проверка диска выдала сообщение «Failed», то нужно попробовать вручную указать номер диска. Для этого нужно добавить параметр «/disk:0», где 0 – это номер диска.
mbr2gpt /disk:0 /validate
Чтобы узнать номер диска выполните следующие команды:
diskpart lis dis exit
В результате в консоль будет выведен список дисков и их объем. Используя эту информацию, можно определить номер диска, который необходимо конвертировать.
После успешной проверки можно запускать конвертацию диска. Для этого нужно выполнить следующую команду:
mbr2gpt /disk:0 /convert
Где 0 – это номер диска.
После конвертации диска с MBR в GPT нужно зайти в BIOS и выполнить следующие настройки:
- Отключить эмуляцию старого BIOS;
- Включить безопасную загрузку.
Подробней в статьях:
Как включить Secure Boot в BIOS
Для работы Secure Boot диск должен быть в формате GPT. Посмотрите раздел о конвертации диска (выше).
Процесс включения Secure Boot отличается в зависимости от производителя. Точные инструкции по работе с вашим BIOS можно получить в инструкции к материнской плате или ноутбуку. Здесь мы покажем настройку BIOS на примере материнской платы от ASUS.
Чтобы включить Secure Boot на материнской плате ASUS нужно войти в настройки BIOS, активировать режим «Advanced mode (F7)» и перейти в раздел «Boot». Здесь нужно открыть подраздел «CSM (Launch Compatibility Support Module)», который отвечает за эмуляцию старого BIOS.
Если функция «CSM» включена, то ее нужно отключить.
После этого нужно вернуться в раздел «Boot» и перейти в подраздел «Меню безопасной загрузки».
Здесь нужно поменять параметр «Тип ОС» на «Режим Windows UEFI».
После этого сохраняем настройки BIOS и загружаемся в Windows 10. Если диск был сконвертирован в GPT, то загрузка должна пройти без проблем.
Настройка Secure Boot на других платах:
«mbr2gpt /disk:0 /validate»
Ну и что делать, если и после этого «Failed»?
Возможные причины:
Подробней в статье как преобразовать MBR в GPT в Windows 10.
Все очень здорово и подробно, большое спасибо за подробную инструкцию. Очень долго искал такой доходчивый вариант порядка действий. Большое спасибо
Спасибо большое, мне помогло..!
Подскажите, выключил в BIOS CSM, затем поставил режим Windows UEFI и после это F10 и ПК перезагружается в BIOS и не идет дальше
Скорее всего, у вас диск в формате MBR, раз был включен CSM.
Верните все обратно, чтобы загрузилась Windows, и выполните конвертацию MBR в GPT как описано в статье. После конвертации диска в GPT можно отключать CSM и включать безопасную загрузку.
Подскажите перед тем как отключить CSM в биосе я выполнил конвертацию в GPT на диске . Далее я переключил винду на UEFI но проблема осталась винда не запускается горит только знак Asus и даже в биос не даёт зайти лечится только вытаскиванием батарейки !
Не знаю в чем проблема. Возможно ваша Windows не проходит проверку Secure Boot или конвертация не прошла.
Чтобы загрузить Windows попробуйте отключить безопасную загрузку (выбрать «Другие ОС»). Если не поможет, то также включите CSM.
Александр,
В меню безопасной загрузки указано Пользователь, а не Включено
Что делать ?
Возможно у вас включен CSM и поэтому настройки Secure Boot просто не доступны.
Пытаюсь сделать конвертацию MBR в GPT разными способами, но всегда fail. Выяснилось, что Windows при установке создала дополнительный раздел 500 мегабайт на SSD, на котором я её устанавливал в своё время, на котором находятся boot файлы, и скорее всего из-за этого раздела конвертация становится невозможна. Как быть? Сносить Windows, удалять дополнительный раздел, конвертировать и снова устанавливать Windows, Может можно что-нибудь сделать, чтобы сохранить систему?
А с какого накопителя выполняется загрузка системы? Посмотрите загрузочный диск в BIOS в разделе BOOT.
Если загрузка выполняется с этого второго SSD, то я вижу 2 варианта:
Я, наверное, неправильно выразился. SSD один и тот же, но разбит Виндой при её установке на два раздела. На одном установлена сама Винда 10, на втором (500 мегабайт) только загрузочные файлы. Физический SSD один. При попытке преобразования MBR в GPT утилитой из командной строки просто выдаётся постоянный fail без объяснения причин, а утилитой из загрузочного DVD с утилитами и Live Windows пишет, что внимание, загрузочные файлы находятся на другом диске и что при конвертации Винда перестанет загружаться. Можно ли из-под той же Windows PE с DVD перенести простым копированием всё содержимое второго раздела на раздел с Windows и произвести конвертацию? Загрузится ли Windows после такого переноса файлов загрузки и ликвидации второго раздела?
Сорри, посидел вечерок и всё сделал. Перенес бут на диск с системой, сделал его активным, удалил раздел с бывшим бутом, убедился, что система загружается, потом утилитой mbr2gpt конвертировал системный диск. Включил secure boot, всё работает. Спасибо за статью с ликбезом!
Рад помочь.
Подскажите, пожалуйста, как перенесли бут на диск с системой? Точно такая же ситуация как у вас. Как активным сделали потом?
При конвертации данные которые были на диске остаются или удаляются?
Добрый день, если я изменю диск с MBR в GPT то все останется? все мои приложения и т.д будут на месте? или все удалится?
Если использовать mbr2gpt то все останется, это конвертация без потери данных.
Командная строка так и не появляется. Тупо висит комп
Спасибо Вам огромное человеческое!
После перехода с мбр на гпт, чёрный экран и курсор.. Больше ничего.
В BIOS можете зайти? Если да, то отключите CSM и включите безопасную загрузку. Если нет, то попробуйте сбросить настройки BIOS перемычкой на материнской плате.
Спасибо огромное за вашу работу, все получилось. Все доступно объяснено, и не надо скачивать никаких платных программ.
Добрый день. Подскажите пожалуйста, если я выполню конвертацию вашим способом, то Windows 10 загрузится без проблем в том же состоянии, что и до конвертации?
Да. Mbr2gpt ничего не удаляет
То есть когда я устанавливал Windows 10 я специально менял данный раздел, а мог просто в биосе выключить CSM?
Не очень понял вопрос. CSM нужен для работы с MBR дисками и другим оборудованием, которое не поддерживает UEFI. Если на момент установки Windows 10 ваш диск уже был разбит на разделы в формате MBR, то вам пришлось включить CSM. Альтернатива — удаление всех разделов и разбивка в GPT либо конвертация диска с помощью сторонних программ. Недавно появился еще один вариант — mbr2gpt, родная утилита для конвертации от Майкрософт.
Была Windows 7 и чтобы установить Win10 требовалось переделать раздел из gpt в mbr. Я теперь вот думаю, что я мог просто в биосе поменять настройки и оставить gpt раздел. Я думал что win10 не работает на gpt разделе.
Классная статья! Спасибо автору за четкое объяснение проблем. Полегчало! Занесу ваш сайт в закладки.
Добрый день, подскажите в чем может быть проблема, если Secure Boot в БИОСе горит серым и не дает даже переключиться с Disabled на Enabled, хотя единственный диск на котором стоит винда находится в режиме GPT («Таблица с GUID разделов (GUID))», а в msinfo32 режим BIOS стоит «UEFI», но состояние безопасной загрузки: «Откл»? У меня ноутбук HP на Windows 11. Функции CSM в БИОСе вообще нет. Не знаю, что еще сделать можно.
Возможно в вашем случае CSM называется «Legacy Support», посмотрите рядом с Secure Boot, если такая опция есть, то ее нужно отключить.
Подробней: https://support.hp.com/us-en/document/c04784866.
все то же самое что писал человек выше, только ноутбук asus tuf fx707zm
После включения секюр бута у меня комп перестал вообще включаться, система все работает, но только изображений никаких. Мне срочно нужна помощь.
Это проблема с видеокартой, она не поддерживает Graphics Output Protocol (GOP).
Возможные варианты решения проблемы, которые предлагались другими пользователями здесь в комментариях:
Толково написано!
Secure Boot не является обязательным для Windows 11, даже НОВЕЙШИЕ ноутбуки HP идут его отключением в дефолтных настройках BIOS и Windows 11 устанавливается, НО если Вы включите Secure Boot, установите Windows 11 и потом отключите Secure Boot, то не сможете загрузиться, пока не включите.
как поменять? у меня просто не видно BOOT MODE
Умоляю можете помочь, мне нужно активировать secure boot, а у меня он горит не кликабельным и я не могу его включить, что мне делать?