Secure Boot to jedna z tych funkcji, których nie widać na co dzień, ale jej brak bardzo szybko daje o sobie znać, gdy system zaczyna uruchamiać się z niepodpisanego nośnika albo starszego sprzętu. W tym tekście pokazuję, jak wyłączyć Secure Boot bez błądzenia po menu UEFI, a przy okazji wyjaśniam, kiedy taki ruch ma sens, jak wpływa na antywirusy i co sprawdzić po zmianie. Dorzucam też kilka praktycznych pułapek: od BitLockera po różnice między producentami.
Co musisz wiedzieć, zanim wyłączysz Secure Boot
- Secure Boot działa na poziomie UEFI i pilnuje, żeby podczas startu uruchamiały się tylko zaufane, podpisane komponenty.
- To nie jest to samo co antywirus, więc jego wyłączenie nie poprawia działania zwykłego programu ochronnego w Windows.
- Najprostsza droga do ustawień prowadzi zwykle przez Ustawienia > System > Odzyskiwanie > Uruchamianie zaawansowane.
- Przed zmianą przygotuj klucz BitLocker, bo zmiana środowiska startowego często wywołuje ekran odzyskiwania.
- Po restarcie warto od razu sprawdzić status w Zabezpieczeniach systemu Windows i włączyć ochronę z powrotem, jeśli problem był jednorazowy.
Co robi Secure Boot i dlaczego nie zastępuje antywirusa
Secure Boot działa jeszcze zanim Windows w pełni wystartuje. Jego zadanie jest proste: blokować niepodpisane albo nieufne elementy rozruchowe, zanim przejmą kontrolę nad systemem. W praktyce chroni to przed rootkitami i bootkitami, czyli złośliwym kodem, który potrafi ukryć się głębiej niż zwykły malware.
Antywirus działa później, już w uruchomionym systemie. Skanuje pliki, procesy, pocztę, pobrane dane i zachowanie aplikacji. To dwie różne warstwy ochrony, które się uzupełniają, a nie zastępują. Dlatego jeśli ktoś traktuje wyłączenie Secure Boot jako sposób na „naprawę” antywirusa, zwykle miesza problem firmware z problemem oprogramowania użytkowego.
W 2026 roku ten temat jest tym bardziej istotny, że Microsoft przypomina o aktualizacji certyfikatów Secure Boot i jednocześnie podkreśla, że wyłączanie tej funkcji osłabia ochronę wczesnego startu. Ja patrzę na to bardzo praktycznie: jeśli nie masz konkretnego powodu technicznego, Secure Boot powinien zostać włączony. To prowadzi nas do tego, co warto przygotować jeszcze przed wejściem do UEFI.
Zanim przełączysz opcję, przygotuj system i dane odzyskiwania
Najwięcej czasu traci się nie przy samym kliknięciu, tylko przy chaotycznym szukaniu klucza odzyskiwania albo wejścia do firmware. Dlatego ja zawsze zaczynam od krótkiej kontroli przygotowania. To zajmuje minutę, a oszczędza godziny, jeśli komputer zacznie pytać o BitLocker albo menu będzie wyglądało inaczej niż się spodziewasz.
| Co przygotować | Po co | Co grozi przy pominięciu |
|---|---|---|
| Klucz BitLocker | Zmiana ustawień UEFI często uruchamia ekran odzyskiwania | Ryzyko zablokowania dostępu do dysku po restarcie |
| Informację, czy system działa w trybie UEFI, czy Legacy/CSM | Secure Boot jest powiązany z UEFI, a nie ze starym trybem BIOS | Opcja może być wyszarzona albo niewidoczna |
| Uprawnienia administratora i chwila bez pośpiechu | Zmiana wymaga restartu i wejścia do firmware | Przerwana procedura i niepotrzebne zamieszanie |
| Model komputera lub laptopa | Każdy producent układa menu UEFI trochę inaczej | Szukanie opcji w złej sekcji albo w złym miejscu |
Jeśli masz włączony Legacy Support albo CSM (czyli tryb zgodności ze starym BIOS-em), Secure Boot bywa ukryty, niedostępny lub blokowany. Wtedy nie szukałbym problemu w Windows, tylko w sposobie startu komputera. Gdy to jest wyjaśnione, można przejść do samej procedury bez zgadywania.
Wyłączenie Secure Boot krok po kroku w Windows 10 i 11
Najwygodniejsza droga prowadzi przez narzędzia odzyskiwania systemu. To metoda, którą poleca również Microsoft, bo pozwala wejść do UEFI bez wciskania na ślepo klawiszy przy starcie. Na Surface i części laptopów producentów skrót wejścia wygląda inaczej, ale logika całej operacji pozostaje taka sama.
- Otwórz Ustawienia, przejdź do System, potem Odzyskiwanie.
- W sekcji Uruchamianie zaawansowane wybierz Uruchom ponownie teraz.
- Po restarcie wybierz Rozwiązywanie problemów, następnie Opcje zaawansowane.
- Wejdź w Ustawienia oprogramowania układowego UEFI i potwierdź restart.
- W menu UEFI przejdź do sekcji najczęściej nazwanej Security, Boot albo Authentication.
- Znajdź opcję Secure Boot, Secure Boot Control albo podobną i ustaw ją na Disabled lub odznacz.
- Zapisz zmiany przez Save & Exit, Exit Saving Changes albo równoważny komunikat i pozwól komputerowi uruchomić się ponownie.
Jeśli ekran wygląda inaczej, nie panikuj. Na HP często spotyka się wejście przez Esc, a potem F10, a na Surface do UEFI wchodzi się kombinacją Volume Up + Power. Różne marki mają też różne nazwy dla tej samej opcji, więc czasem „Secure Boot” siedzi pod inną etykietą, ale zawsze w tym samym obszarze ustawień startu.
Jeżeli opcja jest wyszarzona, bardzo często winny jest właśnie tryb zgodności z Legacy albo polityka ustawień producenta. W takim przypadku nie warto klikać po omacku, tylko sprawdzić, czy model nie wymaga wcześniejszego przełączenia systemu na czyste UEFI. Gdy już to zrobisz, pojawia się ważniejsze pytanie: kiedy wyłączenie ma sens, a kiedy tylko obniża poziom ochrony?
Kiedy ma to sens przy antywirusach, a kiedy nie
Tu najłatwiej o nieporozumienie. Secure Boot nie jest dodatkiem do antywirusa, tylko oddzielnym zabezpieczeniem łańcucha startowego. Dlatego jego wyłączenie ma sens głównie wtedy, gdy musisz uruchomić konkretny nośnik, sterownik, system lub narzędzie, które nie dogaduje się z UEFI. W codziennym użyciu zwykły antywirus w Windows nie potrzebuje tej funkcji wyłączonej.
| Sytuacja | Czy wyłączać Secure Boot | Dlaczego |
|---|---|---|
| Bootowalny pendrive z narzędziem ratunkowym producenta antywirusa | Czasowo, jeśli nośnik nie startuje z UEFI | Problem dotyczy uruchomienia nośnika, nie samego programu ochronnego |
| Instalacja zwykłego antywirusa w Windows | Nie | Program działa po starcie systemu i nie wymaga wyłączenia ochrony firmware |
| Stary sprzęt, niepodpisany sterownik albo starszy bootloader | Czasem | Secure Boot może blokować komponent, który nie spełnia aktualnych wymagań podpisu |
| Codzienna praca, bankowość, przeglądanie sieci | Nie | Wyłączasz ochronę przed bootkitami i rootkitami, nie zyskując nic w zamian |
| Próba obejścia komunikatów związanych z certyfikatami Secure Boot w 2026 | Nie | Microsoft zaleca aktualizację certyfikatów i firmware, a nie wyłączanie zabezpieczenia |
Jeśli ktoś mówi „wyłącz Secure Boot, bo antywirus nie działa”, dopytałbym najpierw, co dokładnie ma nie działać. Bardzo często chodzi o narzędzie odzyskiwania, bootowalny pendrive lub starszy komponent sprzętowy, a nie o sam silnik ochronny. I to jest ważna różnica, bo zwykły pakiet antywirusowy zainstalowany w Windows praktycznie nigdy nie wymaga takiej zmiany.
W praktyce traktuję to tak: jeśli problem jest jednorazowy, wyłączam Secure Boot tylko na czas testu albo uruchomienia konkretnego nośnika. Jeśli jest to system produkcyjny albo komputer domowy używany na co dzień, wracam do włączonej ochrony od razu po rozwiązaniu sprawy. Tę logikę warto mieć z tyłu głowy, zanim przejdziesz do sprawdzania efektu.
Jak sprawdzić rezultat i wrócić do ochrony, gdy problem zniknie
Po restarcie nie zakładaj, że ustawienie przyjęło się tylko dlatego, że komputer się uruchomił. Najprościej sprawdzić to w Zabezpieczeniach systemu Windows, w sekcji Zabezpieczenia urządzenia. Tam Windows pokazuje, czy Secure Boot jest aktywny, a przy okazji podsuwa też informacje o innych warstwach ochrony sprzętowej.
- Otwórz Zabezpieczenia systemu Windows i wejdź w Zabezpieczenia urządzenia.
- Sprawdź, czy przy pozycji Secure Boot widnieje stan włączony lub wyłączony.
- Jeśli chcesz szybciej potwierdzić ustawienie, uruchom narzędzie msinfo32 i znajdź wpis dotyczący stanu Secure Boot.
- Gdy problem, który wymagał zmiany, został rozwiązany, wejdź ponownie do UEFI i ustaw Secure Boot z powrotem na Enabled.
- Jeżeli system zażąda klucza BitLocker, wpisz go i po wszystkim sprawdź, czy wszystko działa normalnie.
W mojej ocenie najlepiej działa prosta zasada: wyłączenie tylko na czas potrzebny, a potem powrót do ustawienia domyślnego. To nie jest funkcja, którą warto zostawiać „na wszelki wypadek”, bo z każdym dniem rośnie okno na ataki na wczesny etap startu systemu. I właśnie tu pojawiają się najczęstsze blokady, o których wielu użytkowników dowiaduje się dopiero w trakcie zmian.
Najczęstsze blokady, które spotyka się przy tej zmianie
Najwięcej problemów nie wynika z samego Secure Boot, tylko z tego, że firmware i Windows zachowują się poprawnie, ale niekoniecznie tak, jak oczekuje użytkownik. Dobrze jest znać kilka typowych scenariuszy, bo wtedy łatwiej odróżnić normalny komunikat od realnej awarii.
- Opcja jest niewidoczna - zwykle komputer działa w Legacy/CSM albo producent ukrył przełącznik pod inną nazwą.
- Ekran BitLocker Recovery - to częsta reakcja po zmianie środowiska startowego, więc nie jest zaskoczeniem, tylko mechanizmem ochronnym.
- Nazwa ustawienia jest inna - zamiast „Secure Boot” możesz zobaczyć „Secure Boot Control”, „OS Type”, „Boot Mode” albo „Windows UEFI Mode”.
- Zmiana nie zostaje zapisana - czasem trzeba wyjść dokładnie przez opcję zapisu, a nie tylko zrestartować komputer przyciskiem zasilania.
- Nośnik ratunkowy nadal nie startuje - nie każdy pendrive naprawczy jest przygotowany pod UEFI, więc szukaj wersji zgodnej z tym trybem.
Jeśli mam dać jedną praktyczną radę na koniec, to brzmi ona tak: traktuj Secure Boot jak domyślnie potrzebną warstwę ochrony, a nie zbędny dodatek. Wyłączaj ją tylko wtedy, gdy naprawdę tego wymaga naprawa, test albo uruchomienie konkretnego narzędzia, a po wszystkim wracaj do ustawienia włączonego. W codziennym scenariuszu antywirus i Secure Boot mają współpracować, nie zastępować się nawzajem.
