Co je Zabezpečené spouštění ve Windows? Jak (a proč) ho povolit?
Smysl funkce Secure Boot je jasný: povolit při zapnutí či restartu počítače načtení pouze důvěryhodných aplikací, tedy těch vyvíjených a vydaných ověřenými vývojáři s bezchybnou historií. V podstatě jde o pojistku, ochranné opatření navržené k tomu, aby zabránilo načtení škodlivého softwaru — rootkitů a podobných — před vším ostatním, včetně antivirového softwaru, který by se mohl bránit. Secure Boot ve Windows tak zajišťuje integritu systému a uzavírá další cestu, kterou by jinak mohl malware využít.
Většina moderních počítačů s Windows 11 má Secure Boot předem zapnutý. Většina, ale ne všechny; a pokud jde o Windows 10, které stále nejsou ze hry, je tam Secure Boot spíše volitelnou možností, nikoli povinným požadavkem.
Bezpečnost stranou, proč byste ještě potřebovali Secure Boot zapnout? Kvůli hraní! Mnoho titulů, od Battlefield 6 přes Call of Duty: Black Ops 6 a Black Ops 7 až po Valorant a Fortnite, vás bez této ochrany nepustí ke zábavě. Nejde tu ale o vaše bezpečí: vydavatelé nechtějí, abyste v jejich hrách podváděli, a Secure Boot v tom pomáhá.
Jak zjistit, zda je Secure Boot zapnutý
Tento notebook má zapnutý Secure Boot
Nejprve je potřeba ověřit, zda máte na počítači Secure Boot již zapnutý. Postupujte takto:
- stiskněte klávesu Windows a začněte psát “System Information”;
- ve výsledcích klikněte na aplikaci System Information;
- v tabulce najděte položku “Secure Boot State”. Pokud je stav ON, je vše v pořádku; pokud ne (OFF nebo “Unsupported”), a chcete Secure Boot zapnout, čtěte dál.
Jak převést starší BIOS/MBR na UEFI/GPT
Starší stroje často používají firmware BIOS místo dnes běžného UEFI a jejich styl oddílů je MBR, nikoli GPT. Postup je podrobně popsán na samostatné stránce obsáhlé znalostní báze Microsoftu; obecně vypadá takto:
Nejprve ověřte, zda opravdu máte BIOS a MBR. U prvního se v tabulce System Information podívejte na položku BIOS; pokud je tam “Legacy,” je třeba provést konverzi. U druhého v Průzkumníku souborů klikněte pravým tlačítkem na systémový disk, zvolte Vlastnosti, poté Hardware – Vlastnosti a kartu Svazky; hledejte tam “Master Boot Record (MBR)”.
Dále stiskněte klávesu Windows, napište “cmd,” a v nabídce klikněte na “Run as administrator”. Do okna Terminálu vložte tento příkaz:
mbr2gpt /validate /disk:0 /allowFullOS
Stiskněte Enter. Zkontroluje se, zda je vůbec možné provést konverzi. Poté vložte tento příkaz:
mbr2gpt /convert /disk:0 /allowFullOS
A znovu stiskněte Enter. Konverze netrvá dlouho.
Poté změňte firmware z Legacy BIOS na UEFI: restartujte počítač, stiskněte F2, Del nebo jinou klávesu určenou výrobcem pro vstup do BIOSu; po vstupu najděte nastavení režimu bootování a změňte jej z “Legacy” či “CSM” na “UEFI.” Uložte změny a z BIOSu odejděte.
Jak ručně zapnout Secure Boot
Ověřili jste tedy, že Secure Boot není ve výchozím stavu zapnutý, a případně jste provedli konverzi na UEFI/GPT. Teď je čas Secure Boot ručně zapnout:
- Vstupte do UEFI. Restartujte počítač a jakmile se objeví logo, opakovaně stiskněte F1, Del nebo jinou klávesu, která vás podle pokynů výrobce zavede do firmwaru.
- Najděte kartu s názvem Boot, Security nebo Authentication. Vstupte do ní a najděte tam volbu Secure Boot; nastavte ji na Enabled.
- Nainstalujte klíče Secure Boot. Pouze pokud budete vyzváni, potvrďte instalaci výchozích klíčů Secure Boot.
A je to! Uložte změny a opusťte UEFI. Nyní máte Secure Boot zapnutý; ověřte to podle pokynů z první části tohoto textu. Ať se vám dobře hraje!
