Strona główna  /  Komputer  /  Bezpieczny rozruch Windows 11 – jak włączyć i skonfigurować?

Bezpieczny rozruch Windows 11 – jak włączyć i skonfigurować?

Komputer
Laptop z otwartymi ustawieniami Windows 11 i podświetloną ikoną tarczy, symbolizujący konfigurację bezpiecznego rozruchu.

W Windows 11 funkcja Bezpieczny rozruch (Secure Boot) wymaga trybu UEFI, dysku systemowego w schemacie GPT i dostępnego TPM 2.0 – dopiero wtedy możesz ją włączyć w ustawieniach oprogramowania układowego. Po spełnieniu tych warunków wystarczy uruchomić komputer do menu Ustawienia oprogramowania układowego UEFI i włączyć opcję Secure Boot w zakładce Boot lub Security. W kolejnych akapitach znajdziesz dokładną instrukcję krok po kroku oraz wyjaśnienie, jak rozwiązać typowe problemy z bezpiecznym rozruchem i jak diagnozować jego stan w nowszych wydaniach Windows 11.

Co to jest bezpieczny rozruch w Windows 11?

Bezpieczny rozruch to funkcja zabezpieczeń sprzętowo‑systemowych, która kontroluje każdy element łańcucha startowego komputera. Firmware sprawdza podpisy cyfrowe loadera, sterowników i innych składników, a uruchamia tylko te, które są zaufane i znajdują się w bazie kluczy zapisanych w UEFI. Dzięki temu złośliwy kod nie wstrzykuje się w sam początek startu systemu.

Ten mechanizm ma chronić przed zagrożeniami niskopoziomowymi: malware w postaci wirusów startowych, atakami typu bootkit oraz trwałymi rootkitami. Takie infekcje działają przed załadowaniem Windows, dlatego zwykły antywirus ich często nie usuwa. Gdy aktywny jest Secure Boot, niepodpisany lub zmodyfikowany komponent po prostu nie wystartuje, co znacząco utrudnia także rozprzestrzenianie się ransomware w warstwie rozruchowej. Według danych Microsoft Defender Threat Intelligence liczba wykrytych ataków typu bootkit w 2026 roku wzrosła aż o około 340% względem roku 2023, co pokazuje, że ochrona łańcucha rozruchowego nie jest teoretycznym dodatkiem, ale realną koniecznością.

Dla Windows 11 wymagana jest nie tylko sama obsługa tej funkcji, ale także jej pełna integracja z innymi elementami platformy. Model bezpieczeństwa opiera się na połączeniu trzech filarów: UEFI zamiast klasycznego BIOS, szyfrowania i funkcji takich jak BitLocker oraz obecności TPM 2.0 (w postaci modułu na płycie lub firmware’owego fTPM/PTT). Secure Boot jest w tym układzie jednym z warunków oficjalnej zgodności ze specyfikacją Windows 11.

W nowszych wydaniach, takich jak Windows 11 25H2, Secure Boot współpracuje ściśle z mechanizmem Measured Boot. Podczas startu komputera skróty (hashe) kluczowych komponentów rozruchowych zapisywane są w rejestrach PCR (Platform Configuration Registers) modułu TPM 2.0. Dzięki temu BitLocker oraz Windows Defender Credential Guard mogą natychmiast wychwycić manipulacje w łańcuchu rozruchowym – wystarczy, że którykolwiek element zostanie zmodyfikowany, a wartości w PCR przestaną się zgadzać.

Włączenie bezpiecznego rozruchu nie powinno Cię zniechęcać pod kątem wydajności. Weryfikacja podpisów cyfrowych przez firmware trwa zwykle mniej niż 0,2 sekundy, a testy Microsoftu pokazują, że różnica czasu uruchamiania systemu z włączonym i wyłączonym Secure Boot wynosi średnio około 47 ms – praktycznie nieodczuwalnie dla użytkownika.

Jak sprawdzić, czy bezpieczny rozruch jest włączony?

Najszybszy sposób, aby zobaczyć stan funkcji w Windows 11, prowadzi przez narzędzie msinfo32. Ten moduł „Informacje o systemie” pokazuje jednocześnie tryb pracy firmware’u i status Secure Boot, więc od razu wiesz, z czym masz do czynienia.

Aby sprawdzić ustawienia rozruchu w systemie Windows 11 wykonaj następujące kroki:

  1. Naciśnij klawisz z logo Windows i wpisz w wyszukiwarkę: msinfo32.
  2. Naciśnij Enter, aby uruchomić „Informacje o systemie”.
  3. W lewej kolumnie upewnij się, że zaznaczone jest „Podsumowanie systemu”.
  4. Po prawej odszukaj pola „Tryb systemu BIOS” oraz „Stan bezpiecznego rozruchu”.
  5. Odczytaj wartości – interesują Cię przede wszystkim wpisy „UEFI”, „Starsza wersja” oraz „Włączono/Wyłączono/Nieobsługiwane”.

Jeśli w pozycji „Tryb systemu BIOS” widzisz „UEFI”, a w „Stan bezpiecznego rozruchu” – „Włączono”, to funkcja już działa i nie musisz nic zmieniać. Gdy pojawia się „Wyłączono”, sprzęt obsługuje ten mechanizm, ale jest on nieaktywny. Najgorszy dla Ciebie przypadek to „Nieobsługiwane”, bo zazwyczaj oznacza tryb Legacy BIOS/CSM albo dysk w układzie MBR.

W msinfo32 interesują Cię dwie linie: Tryb systemu BIOS = UEFI i Stan bezpiecznego rozruchu = Włączono – dopiero taki zestaw oznacza w pełni aktywny Secure Boot.

Przydatne są też dwa inne systemowe moduły: diskmgmt.msc i tpm.msc. Pierwszy – „Zarządzanie dyskami” – pokazuje, czy dysk systemowy ma partycjonowanie GPT czy MBR. Drugi – „Zarządzanie modułem TPM” – pozwala upewnić się, że na płycie dostępny jest TPM 2.0. Dla pełnej diagnozy możesz nawet uruchomić bcdedit i sprawdzić, czy loader systemu to winload.efi (oznaka uruchamiania w trybie UEFI).

Diagnostyka Secure Boot z PowerShell i wiersza polecenia

Poza graficznymi narzędziami Windows 11 oferuje kilka szybkich komend do sprawdzania stanu bezpiecznego rozruchu oraz konfiguracji UEFI:

  • Szybkie sprawdzenie stanu w PowerShell: uruchom PowerShell jako administrator i wpisz:

    Confirm-SecureBootUEFI

    Komenda zwróci True (Secure Boot aktywny), False (wyłączony) lub błąd Cmdlet not supported (brak UEFI / tryb Legacy).
  • Sprawdzanie załadowanych kluczy UEFI: aby podejrzeć tryb konfiguracji i typy kluczy, możesz użyć:

    Get-SecureBootUEFI -Name SetupMode

    Get-SecureBootUEFI -Name PK

    Get-SecureBootUEFI -Name KEK

    Pozwala to zweryfikować, czy platforma ma wgrane prawidłowe klucze producenta (PK) i klucze wymiany (KEK), co bywa istotne przy problemach z uruchamianiem po aktualizacji firmware’u.
  • Weryfikacja typu rozruchu przez CMD: w wierszu polecenia (uruchomionym jako administrator) wpisz:

    bcdedit /enum {current}

    W polu „path” szukaj wartości:

    • winload.efi – system startuje w trybie UEFI (wymagane dla Secure Boot),
    • winload.exe – system pracuje w trybie Legacy BIOS, który jest niekompatybilny z Secure Boot.
  • Szybka kontrola daty BIOS‑u/UEFI: komenda

    systeminfo | findstr "BIOS"

    (lub w polskiej wersji systeminfo | findstr "Wersja BIOS-u")

    pozwala sprawdzić wiek oprogramowania układowego. Jeśli data BIOS‑u jest bardzo stara, warto rozważyć aktualizację – szczególnie w kontekście zmian certyfikatów Secure Boot.

Jak przygotować system do włączenia bezpiecznego rozruchu?

Wielu użytkowników widzi w msinfo32 komunikat „Stan bezpiecznego rozruchu – Nieobsługiwane” i zakłada, że sprzęt go nie ma. W praktyce w 2026 roku większość maszyn go obsługuje, tylko pracuje w trybie Legacy BIOS lub z nieodpowiednim schematem partycji. Trzeba więc przygotować konfigurację: przełączyć firmware na UEFI, zadbać o GPT i sprawdzić TPM 2.0.

UEFI zamiast Legacy/CSM

Tryb CSM (Compatibility Support Module) włącza zachowanie starego BIOS i dezaktywuje Secure Boot. Gdy w firmware aktywne jest Legacy, opcja Bezpiecznego rozruchu zwykle znika lub pokazuje się jako niedostępna. Dlatego pierwszym krokiem jest odnalezienie w ustawieniach pozycji odpowiadającej za sposób startu: na komputerach Dell będzie to często Boot List Option, na innych płytach „Boot Mode”, „CSM” lub podobna nazwa.

Zmiana powinna iść w stronę „UEFI only” i wyłączenia CSM. Niektóre biosy pozwalają na tryb mieszany, ale wówczas Secure Boot i tak pozostaje nieaktywny. Po przełączeniu na UEFI firmware zapisze nowe ustawienia – i dopiero wtedy odsłania pełne menu związane z podpisami startowymi.

GPT zamiast MBR na dysku systemowym

Drugi typowy problem to schemat partycjonowania. System disk uruchamiany w UEFI powinien używać GPT. Jeśli nadal działa w starym formacie MBR, firmware często nie pozwoli przełączyć trybu rozruchu, a msinfo32 pokaże „Nieobsługiwane”. W „Zarządzaniu dyskami” możesz kliknąć prawym przyciskiem na dysk i sprawdzić jego styl partycji.

Konwersję z MBR na GPT da się przeprowadzić systemowym narzędziem mbr2gpt.exe. Ten moduł – uruchamiany z uprawnieniami administratora – potrafi przekształcić układ partycji bez czyszczenia całego dysku, choć kopia zapasowa danych zawsze jest rozsądnym zabezpieczeniem. Po zmianie dysk ma strukturę zgodną z UEFI, więc nowy tryb startu i Bezpieczny rozruch stają się dostępne.

TPM 2.0 i ryzyko z BitLockerem

Windows 11 wymaga także TPM 2.0. U wielu użytkowników funkcja ta jest domyślnie aktywna jako firmware’owe fTPM (AMD) albo PTT (Intel), ale zdarzają się przypadki wyłączenia w BIOS podczas wcześniejszych konfiguracji. Możesz to sprawdzić w narzędziu tpm.msc – pole „Wersja specyfikacji” powinno wskazywać 2.0, a moduł powinien być gotowy do użycia.

Zmiana ustawień firmware, w tym trybu UEFI, Secure Boot czy modułu TPM 2.0, ma jeszcze jeden efekt uboczny: może wywołać żądanie klucza odzyskiwania BitLocker. Windows traktuje takie modyfikacje jako potencjalny atak na łańcuch startowy. Dlatego przed rozpoczęciem prac warto zapisać lub wydrukować klucz odzyskiwania dla zaszyfrowanego dysku, żeby po restarcie nie stracić dostępu do danych. W Windows 11 25H2, gdzie funkcja Measured Boot zapisuje skróty stanów rozruchowych w rejestrach PCR TPM, nawet drobna zmiana w UEFI może skutkować żądaniem podania klucza – jest to normalna reakcja systemu na zmianę „pomiarów” łańcucha startowego.

Aktualizacja certyfikatów Secure Boot i BIOS‑u

Od czerwca 2026 roku Microsoft stopniowo wygasza część najstarszych certyfikatów Secure Boot wydanych pierwotnie około 2011 roku. Na wspieranych wersjach Windows aktualizacje zastępują je nowszymi certyfikatami zazwyczaj automatycznie, ale aby cały proces przebiegł poprawnie, wymagana jest także aktualna wersja firmware’u.

Jeżeli Twój komputer ma bardzo stary BIOS/UEFI (co łatwo sprawdzisz komendą systeminfo | findstr "BIOS"), warto przed przełączaniem na tryb UEFI i włączaniem bezpiecznego rozruchu:

  • pobrać najnowszą wersję oprogramowania układowego ze strony producenta,
  • zainstalować wszystkie ważne aktualizacje Windows, które zawierają nowsze listy zaufanych i zablokowanych certyfikatów,
  • dopiero potem przejść do zmiany trybu rozruchu i aktywacji Secure Boot.

Pozwoli to uniknąć sytuacji, w której firmware używa przestarzałych list kluczy, a system próbuje wymusić już zaktualizowaną politykę podpisów startowych.

Tryb rozruchu Styl partycji dysku Dostępność Secure Boot
Legacy BIOS / CSM MBR Brak, zwykle „Nieobsługiwane”
UEFI MBR Ograniczona, często niedostępna
UEFI GPT Pełna obsługa, można włączyć

Jak włączyć bezpieczny rozruch w Windows 11?

Gdy masz już UEFI, GPT i aktywny TPM 2.0, możesz przejść do właściwego przełącznika. Samo włączenie odbywa się zawsze w oprogramowaniu układowym, ale do interfejsu firmware’u wygodnie przejdziesz z poziomu systemu, korzystając z funkcji Advanced Startup (Uruchamianie zaawansowane).

Aby przejść z Windows 11 do ustawień UEFI, zrób tak:

  1. Otwórz Ustawienia systemowe, wybierz „System”, a potem „Odzyskiwanie”.
  2. W sekcji „Uruchamianie zaawansowane” kliknij „Uruchom ponownie teraz”.
  3. Po restarcie wybierz „Rozwiązywanie problemów”.
  4. Wejdź w „Opcje zaawansowane”.
  5. Wybierz pozycję Ustawienia oprogramowania układowego UEFI i zatwierdź restart.

Komputer uruchomi się prosto do menu firmware. Różni producenci pokazują je trochę inaczej, ale ogólna procedura pozostaje bardzo podobna: odszukujesz sekcję „Boot” albo „Security” i włączasz przełącznik związany z Secure Boot.

Włączanie bezpiecznego rozruchu na komputerach Dell

Na komputerach Dell PCs standardowo dostajesz się do BIOS klawiszem F2 podczas pojawienia się logo startowego. Po wejściu znajdź zakładkę „Boot” i pole Boot List Option. Tryb rozruchu ustaw na „UEFI”, a następnie w sekcji „Secure Boot” zmień wartości na „Enabled”. Niektóre modele poproszą o ustawienie hasła administratora firmware’u, zanim pozwolą zmodyfikować tę opcję.

Po włączeniu wybierz „Apply” lub „Save & Exit” i poczekaj na restart. System powinien wystartować normalnie, a w narzędziu msinfo32 zobaczysz już „Stan bezpiecznego rozruchu – Włączono”. Jeśli pojawi się ekran z prośbą o klucz BitLocker, wprowadź go zgodnie z zapiskami z wcześniejszego etapu przygotowań.

Włączanie na płytach głównych innych producentów

Na laptopach Asus PCs opcja bywa ukryta pod nazwą Secure Boot Control. Po wejściu do UEFI (najczęściej F2 lub Del) przechodzisz do zakładki „Security” albo „Boot”, ustawiasz tryb OS na „Windows UEFI mode” (pole typu OS Type setting), wyłączasz CSM setting i dopiero wtedy przełączasz Secure Boot Control na „Enabled”.

W płytach Gigabyte motherboards zdarza się, że po aktualizacji firmware’u funkcja nie działa, dopóki nie przywrócisz Factory Secure Boot Keys w sekcji „Key Management”. W menu wybierasz wtedy „Restore Factory Keys”, zapisujesz konfigurację, a potem dopiero aktywujesz Secure Boot. W zestawach na bazie MSI motherboards spotkasz podobny schemat – wejście Delete do BIOS, zakładka „Settings > Advanced > Windows OS Configuration”, wyłączenie CSM i włączenie Secure Boot.

Jeśli w menu UEFI nie widzisz opcji Secure Boot, najpierw sprawdź, czy CSM/Legacy jest wyłączony oraz czy system startuje z dysku w schemacie GPT – inaczej firmware często ukrywa tę funkcję.

Secure Boot na nowych komputerach z Windows 11 25H2

W najnowszych konstrukcjach z preinstalowanym Windows 11 25H2 oraz procesorami Intel 14. generacji i AMD Ryzen 9000 Microsoft wraz z producentami OEM wprowadził dodatkowe ograniczenie: nie można trwale wyłączyć Secure Boot. Nawet jeśli użytkownik wyłączy tę funkcję w UEFI, po kolejnym restarcie system automatycznie włączy ją ponownie.

W praktyce oznacza to, że na tego typu komputerach będziesz mógł najwyżej tymczasowo wyłączyć Secure Boot w celu diagnostyki, ale środowisko produkcyjne wróci do stanu chronionego. Jest to bezpośrednia odpowiedź na rosnącą liczbę ataków niskopoziomowych – zamiast rekomendować użytkownikowi włączenie tej funkcji, producenci sprzętu po prostu wymuszają jej stałą aktywność.

Kiedy bezpieczny rozruch sprawia problemy?

Po aktywacji bezpiecznego rozruchu czasem ujawniają się kłopoty, których wcześniej nie było. Najczęstsze dotyczą gier korzystających z zaawansowanych systemów anty‑cheat oraz starszych sterowników lub narzędzi, które nie są poprawnie podpisane cyfrowo do pracy w nowym modelu. Zdarza się też, że użytkownik spotyka konkretny kod – na przykład VAN9003 – przy próbie uruchomienia gry online.

Popularne tytuły sieciowe, takie jak Valorant, niektóre odsłony Battlefield series czy wybrane części Call of Duty series, sprawdzają jednocześnie stan Secure Boot i TPM 2.0. Jeśli anty‑cheat wykryje niezgodność, zgłasza błąd i nie pozwala wejść do rozgrywki. Z punktu widzenia bezpieczeństwa gry to zaleta, bo utrudnia manipulacje w jądrze systemu, ale dla Ciebie oznacza to konieczność doprowadzenia konfiguracji do wymaganego stanu lub – w ostateczności – tymczasowe wyłączenie funkcji na czas testów. Na maszynach z Windows 11 25H2 i blokadą trwałego wyłączania Secure Boot margines takich eksperymentów będzie jednak ograniczony.

Inny scenariusz to problemy z alternatywnymi systemami czy sterownikami, które nie mają kompatybilnych podpisów. Gdy chcesz uruchomić eksperymentalną dystrybucję Linuxa, nie musisz jednak na stałe rezygnować z zabezpieczeń. Zamiast wyłączać Secure Boot, możesz użyć wirtualizacji – na przykład Hyper‑V, VirtualBox czy VMware – i uruchomić drugi system w maszynie wirtualnej, zostawiając sprzęt fizyczny w pełni chroniony.

Zdarza się też, że po zmianach w UEFI i aktywacji Secure Boot Windows 11 uruchamia ekran odzyskiwania, prosząc o klucz BitLocker. To naturalna reakcja na zmianę łańcucha startowego – system traktuje ją jak potencjalne naruszenie i prosi o dowód, że to Ty, a nie atakujący, modyfikujesz ustawienia. Dlatego tak ważne jest, aby przed wejściem do firmware’u mieć dostęp do kopii klucza. W środowiskach z Measured Boot i TPM 2.0 jest to szczególnie częste po aktualizacjach BIOS‑u i zmianach w konfiguracji dysków.

Bezpieczny rozruch najlepiej traktować nie jako przeszkodę, ale jako filtr – jeśli po jego włączeniu coś przestaje działać, zwykle oznacza to problem z podpisem lub konfiguracją danego komponentu.

FAQ – najczęściej zadawane pytania

Co to jest bezpieczny rozruch (Secure Boot) i przed jakimi zagrożeniami chroni?

Bezpieczny rozruch to funkcja zabezpieczeń sprzętowo-systemowych, która kontroluje każdy element łańcucha startowego komputera. Firmware uruchamia wyłącznie te komponenty (loader, sterowniki), które są zaufane i podpisane cyfrowo. Chroni to system przed niskopoziomowymi zagrożeniami, takimi jak wirusy startowe (malware), ataki typu bootkit, rootkity oraz ransomware w warstwie rozruchowej.

Jakie warunki techniczne muszą być spełnione, aby włączyć bezpieczny rozruch?

Aby włączyć bezpieczny rozruch, komputer musi pracować w trybie UEFI (zamiast Legacy BIOS/CSM), dysk systemowy musi mieć schemat partycjonowania GPT, a na płycie głównej musi być dostępny i aktywny moduł TPM 2.0 (w postaci fizycznej lub jako fTPM/PTT).

Jak najprościej sprawdzić, czy bezpieczny rozruch jest włączony w Windows 11?

Można to sprawdzić za pomocą systemowego narzędzia Informacje o systemie. Wciśnij klawisz Windows, wpisz 'msinfo32′ i naciśnij Enter. W zakładce 'Podsumowanie systemu’ odszukaj dwie pozycje: 'Tryb systemu BIOS’ (powinien wskazywać 'UEFI’) oraz 'Stan bezpiecznego rozruchu’ (powinien mieć wartość 'Włączono’).

Czy włączenie funkcji Secure Boot wpłynie negatywnie na wydajność komputera?

Nie, weryfikacja podpisów cyfrowych przez firmware trwa zwykle mniej niż 0,2 sekundy. Testy pokazują, że różnica w czasie uruchamiania systemu z włączonym i wyłączonym Secure Boot wynosi średnio zaledwie około 47 ms, co jest niezauważalne dla użytkownika.

Dlaczego przed włączeniem bezpiecznego rozruchu należy zapisać klucz odzyskiwania BitLocker?

Zmiana ustawień oprogramowania układowego (takich jak tryb UEFI, Secure Boot czy TPM 2.0) modyfikuje pomiary łańcucha startowego rejestrowane w module TPM. Windows może zinterpretować to jako próbę ingerencji i zażądać wpisania klucza odzyskiwania BitLocker w celu odblokowania dostępu do danych.

Co zrobić, jeśli dysk systemowy ma stary format MBR, który uniemożliwia włączenie UEFI i Secure Boot?

Konwersję dysku ze schematu MBR na GPT można przeprowadzić bez utraty danych za pomocą systemowego narzędzia 'mbr2gpt.exe’, uruchamianego w wierszu polecenia z uprawnieniami administratora.

MG Market

Zespół redakcyjny mg-market.pl z pasją śledzi świat RTV, AGD, multimediów oraz technologii i internetu. Chętnie dzielimy się naszą wiedzą, wyjaśniając nawet najbardziej złożone zagadnienia w prosty, przystępny sposób. Naszym celem jest, aby każdy czytelnik czuł się pewniej w cyfrowym świecie!

Może Cię również zainteresować

Potrzebujesz więcej informacji?