How to enable secure boot

Windows 11 and Secure Boot

Published August 2021

This article is intended for users who are not able to upgrade to Windows 11 because their PC is not currently Secure Boot capable. If you are unfamiliar with this level of technical detail, we recommend that you consult your PC manufacturer’s support information for more instructions specific to your device.

Secure Boot is an important security feature designed to prevent malicious software from loading when your PC starts up (boots). Most modern PCs are capable of Secure Boot, but in some instances, there may be settings that cause the PC to appear to not be capable of Secure Boot. These settings can be changed in the PC firmware. Firmware, often called BIOS (Basic Input/Output System), is the software that starts up before Windows when you first turn on your PC.

To access these settings, you can consult your PC manufacturer’s documentation or follow these instructions: Run Settings > Update & Security > Recovery and select Restart now under Advanced startup. From the next screen, select Troubleshoot > Advanced options > UEFI Firmware Settings > Restart to make changes.

To change these settings, you will need to switch the PC boot mode from one enabled as “Legacy” BIOS (also known as “CSM” Mode) to UEFI/BIOS (Unified Extensible Firmware Interface). In some cases, there are options to enable both UEFI and Legacy/CSM. If so, you will need to choose for UEFI to be the first or only option. If you are unsure how to make any necessary changes to enable the UEFI/BIOS, we recommend that you check your PC manufacturer’s support information on their website. Here are a few links to information from some PC manufacturers to help get you started:

While the requirement to upgrade a Windows 10 device to Windows 11 is only that the PC be Secure Boot capable by having UEFI/BIOS enabled, you may also consider enabling or turning Secure Boot on for better security.

Windows 11 and Secure Boot

Published August 2021

This article is intended for users who are not able to upgrade to Windows 11 because their PC is not currently Secure Boot capable. If you are unfamiliar with this level of technical detail, we recommend that you consult your PC manufacturer’s support information for more instructions specific to your device.

Secure Boot is an important security feature designed to prevent malicious software from loading when your PC starts up (boots). Most modern PCs are capable of Secure Boot, but in some instances, there may be settings that cause the PC to appear to not be capable of Secure Boot. These settings can be changed in the PC firmware. Firmware, often called BIOS (Basic Input/Output System), is the software that starts up before Windows when you first turn on your PC.

To access these settings, you can consult your PC manufacturer’s documentation or follow these instructions: Run Settings > Update & Security > Recovery and select Restart now under Advanced startup. From the next screen, select Troubleshoot > Advanced options > UEFI Firmware Settings > Restart to make changes.

To change these settings, you will need to switch the PC boot mode from one enabled as “Legacy” BIOS (also known as “CSM” Mode) to UEFI/BIOS (Unified Extensible Firmware Interface). In some cases, there are options to enable both UEFI and Legacy/CSM. If so, you will need to choose for UEFI to be the first or only option. If you are unsure how to make any necessary changes to enable the UEFI/BIOS, we recommend that you check your PC manufacturer’s support information on their website. Here are a few links to information from some PC manufacturers to help get you started:

While the requirement to upgrade a Windows 10 device to Windows 11 is only that the PC be Secure Boot capable by having UEFI/BIOS enabled, you may also consider enabling or turning Secure Boot on for better security.

How to enable Secure Boot in BIOS settings

When we try to install Windows 11 or run Microsoft PC Health Check, or other third-party tools to check whether the current computer can run Windows 11, we may get such a result, «This PC cannot run Windows 11. The PC must support Secure Boot.» What is Secure Boot? How do I fix the problem of «The PC must support Secure Boot»?

About Secure Boot?

UEFI has a firmware verification process (called «Secure Boot»), which is defined in chapter 27 of UEFI Specification Version 2.3.1 Errata C. Secure boot defines how the platform firmware manages security certificates, how to perform firmware verification, and defines the interface (protocol) between the firmware and the operating system. To put it plainly is to verify the hardware through the onboard TPM chip, and then start.

Should I enable or disable the Secure Boot?

If you want to newly install Windows 11 operating system (not to upgrade from Windows 10 through the Insider Program), then the secure boot needs to be turned on, otherwise, the prompt «This computer must support secure boot» will appear.

If your computer is running Windows 7, the Safe Boot should be disabled.

How to enable Secure Boot?

We can enable the Secure Boot in the BIOS settings of the motherboard. For different brands of motherboards and computers, the way to activate the Secure Boot is slightly different. We will show how to turn on the Secure Boot of MSI, ASUS motherboards, and Lenovo, Dell, and HP notebooks. If your motherboard or computer is of other brands, please refer to the motherboard manual, or contact the motherboard manufacturer, or search through Google or Bing.

How to enable Secure Boot on MSI motherboard?

1. Press the power button to turn on the computer, and then immediately press the Delete key or F2 continuously until you enter the BIOS setup.

2. Select Settings, then select Security

3. Change Secure Boot to Enabled

4. Press F10 to save the settings, and then restart the system.

How to enable Secure Boot on ASUS motherboard?

1. Before the laptop power on, press and hold the F2 button, then click the power button. (Do not release the F2 button until the BIOS screen display.)

2. go to the Advanced Mode by using Hot Key F7

3. Select Security, then select Secure Boot

4. Select Secure Boot, then select Enabled

5. Save & Exit Setup

How to enable Secure Boot on Lenovo laptops?

1. Press the power button to turn on the computer, and then immediately press F2 or Fn+F2 to enter the BIOS.

3. Save changes and Exit

If it is a Think brand (ThinkPad, ThinkStation, ThinkCentre), please click the link below. https://support.lenovo.com/us/en/solutions/ht509044/

How to enable Secure Boot on Dell laptops?

1. Press the power button to turn on the computer, and then immediately press F2 or F12 to enter BIOS.

3. Press F10 to save and exit

How to enable Secure Boot on HP laptops?

1. Press the power button to turn on the computer, and then immediately press the Esc key repeatedly until the Startup Menu opens.

2. Select the option BIOS Setup (F10)

3. Then select Advanced – Secure Boot Configuration

4. Click Configure Legacy Support and Secure Boot，then select Legacy Support Disable and Secure Boot Enable.

Secure Boot: как отключить защиту или настроить правильно в UEFI

Компьютерные вирусы стали неотъемлемой частью нашей жизни. О них слышали даже те люди, которые сроду не пользовались компьютерами. Для улучшение защиты от зловредного ПО и был внедрен протокол Secure Boot. О том, с чем его едят и как его отключать будет подробно описано в статье.

Что такое Secure Boot (Безопасная загрузка) и когда может потребоваться ее отключение?

Secure Boot – одно из новшеств, привнесенных при внедрении UEFI. Это в свою очередь приемник БИОСа. Он, соответственно, отвечает за подготовку и загрузку ОС. BIOS можно считать очень простой утилитой с примитивным дизайном, которая прошита в материнскую плату. UEFI выполняет те же функции, но это уже весьма красивая и продвинутая программа. Например, при упорстве с помощью UEFI можно даже просматривать содержимое подключенных накопителей, что для BIOS считалось бы невероятным новшеством.

Не одними только эстетическими побуждениями руководствовались творцы UEFI. Одной из важных целей при разработке было обнаружить и ограничить влияние вредоносного ПО. Предполагалось, что технология станет препятствовать его загрузке вместе с операционной системой (ОС), а также исполнению на уровня ядра ОС после ее запуска. Честь исполнять эту важную миссию выпала на протокол Secure Boot. Техническая реализация была такой: использовалась криптографическая схема с открытыми и закрытыми сигнатурами (электронными цифровыми подписями, ЭЦП). В общем виде цели были достигнуты, но на практике это требовало определенных и правильных действий не только со стороны пользователей, но и со стороны производителей компьютерного оборудования. Описание всего процесса займет много времени, так что остановимся на ключевых особенностях:

Сложности с технологией начались еще на этапе внедрения, когда Microsoft заявила, что с помощью протокола будет ограничивать установку других ОС на компьютеры с предустановленной Windows. Тогда от таких планов отказались под натиском общественности, но осадок остался. На сегодня основная сложность заключается в том, что производители материнских плат используют одинаковые закрытые ключи для всей своей продукции либо для отдельных линеек. В любом случае благие намерения привели к тупику.

В подавляющем большинстве случаев отключать Secure Boot стоит для решения двух проблем:

Secure Boot сам по себе никаким образом не нагружает систему, так как работает на более низком программном уровне. Отключение протокола однозначно не улучшит отзывчивость системы и не повысит быстродействие процессора.

Как отключить защиту Secure Boot в БИОСе?

Отметим, что некоторые пользователи ошибочно думают, что протокол Secure Boot отключается в BIOS. У этой достаточно примитивной прошивки нет, не было, и не может быть поддержки СекюрБут. Этот протокол безопасности работает исключительно на UEFI и отключение нужно производить именно там. Природа этой ошибки вполне простая. За многие годы пользователи привыкли, что все, что возникает на экране до загрузки ОС это и есть БИОС. В действительности времена этой программной надстройки уходят и она уже является устарелой в любом отношении.

Примеры отключения Secure Boot на разных ноутбуках и материнских платах

Общий алгоритм всегда один и тот же:

Важно, что этот протокол безопасности поддерживается только в Windows 8 и более поздних версиях. Следовательно, если у вас в прошивке материнской платы включен Secure Boot, но на ПК установлена Windows 7, то ничего отключать не надо. Опция безопасной загрузки все равно не работает, а возможные проблемы с запуском ОС нужно искать в других местах.

Как отключить Secure Boot и UEFI на ноутбуке Acer Aspire?

Есть много моделей ноутбуков этого производителя, но специфика такова, что сначала требуется создать собственный пароль. Общий алгоритм действия следующий:

Отключение Secure Boot на ноутбуках Pavilion и других моделях HP?

При последующей перезагрузке будьте внимательны. Система перестрахуется и включит “защиту от дурака”. Нужно смотреть на то, что идет после надписи “Operating System Boot Mode Change (021)” – там будет указана цифровая последовательность. Наберите ее и нажмите Enter. Если вам нужно просто отключить Secure Boot, то дальше ничего делать не нужно. Если же изначально все делалось ради возможности загрузиться с USB-носителя, то сразу после прохождения “защиты от дурака” жмите ESC, а потом F9. Установите требуемой флешке максимальный приоритет, чтобы она грузилась первой на жесткий диск.

На ноутбуках Dell

Secure Boot на ноутбуках Леново и Тошиба

Для входа в UEFI на этих устройствах нужно жать F12, после чего выполнять следующие действия:

Отключения Secure Boot на материнских платах

Рынок материнских плат для настольных компьютеров достаточно консервативен и явными лидерами являются 2 компании: Asus и Gigabyte. Они поставляют более половины всего оборудования, так что рассматривать способы деактивации Secure Boot рациональней всего именно в разрезе этих производителей. В любом случае третье и четвертое место давно оккупировали MSI и ASRock, – первая четверка полностью состоит из компаний Тайваня. Итог: принципиальных различий в инструкции по отключению все равно не будет и большая часть пользователей найдет ниже именно то, что ищет.

Отметим, что перейти сразу в UEFI можно в некоторых случаях напрямую с Windows (от 8 версии и более поздних). Для этого пробуйте следующее:

Как отключить Secure Boot на материнской плате Gigabyte?

После входа в UEFI (нажатием на F12 перед запуском ОС) действуйте следующим образом:

После всего нужно выполнить запись изменений, то есть нажать F10 => “OK”.

Материнские платы и ноутбуки Асус

Сразу отметим, что чаще всего на материнках именно этого производителя появляется ошибка при загрузке ОС: Invalid signature detected. Check Secure Boot Policy in Setup. В большинстве случаев для устранения проблемы следует выключить Secure Boot, а для этого необходимо:

Конкретно для ноутбуков Asus алгоритм будет следующим:

Как узнать активирована ли функция Secure Boot на Windows?

Этот протокол несложно активировать и деактивировать, а для понимания текущего статуса есть несколько проверенных подходов:

Заключение

What Is Secure Boot? How to Enable and Disable It in Windows? [MiniTool Wiki]

What Is Secure Boot?

Nowadays, the modern computers come in a feature named Secure Boot. Do you have any idea about it? Secure Boot is a part of Microsoft’s Windows 8 and the above versions of Microsoft Windows operating system.

As we know, a traditional BIOS will boot form anywhere, while Secure Boot which is working on the top of UEFI is used to make sure that Windows operating system remains safe from Malware. To put it more clearly, Secure Boot ensures that a device boots using only the software that is trusted by the Original Equipment Manufacturer.

How Does Secure Boot Work?

Once you power on a PC, it starts the process of executing code that configures the processor, memory, and hardware peripherals to make a preparation for the operating system to boot.

During the preparation, Secure Boot checks the signature of firmware code that exists on hardware peripherals like storage deices.

During the boot process, secure Boot will check for an embedded signature inside of the fireware module. If the signature match against a database of signature in Secure Boot, the nodule is allowed to execute.

It can be said that Secure Boot works like a security gate. Code with valid credentials can get through the security gate and execute. Surely, code with bad credentials or no credential will be refused.

Enable Secure Boot

Seeing the function of Secure Boot, you may want to enable it. In order to use it, your PC must meet the following requirements.

Now, lets see how to enable Secure Boot.Please following the steps below.

Step 1: Boot into the system settings by powering on the system and using the manufacture’s method to access the system settings.

Step 2: Look through the menu and select UEFI as the boot mode.

Step 3: Navigate to the Secure Boot option and turn it on.

Step 5: After the operating system is installed, you can verify that Secure Boot is enabled by opening msinfo32.exe (type the command in the open box) and checking that the value for Secure Boot State is “on”.

Disable Secure Boot in Windows 10

Let’s see how to disable Secure Boot in Windows 10.

Step 1: Please click the following terms in order: Settings, Update & security, Recovery, Restart now, Troubleshoot, Advanced options, UEFI Firmware Settings, and Restart.

Step 2: When you access the UEFI utility screen, please move to the Boot tab on the top menu. According to the information on the screen, use the arrow key to go to the Secure Boot option.

Step 3: Use + or —to change its value to Disable.

Warning: After disabling Secure Boot and installing other software and hardware, it may be difficult to re-active Secure Boot unless you restore your PC to the factory state. Please be careful when you make some changes on your BIOS settings, and be sure to follow the manufacturer’s instructions exactly.