Secure Boot серый в BIOS — как исправить

TL;DR: Secure Boot — это стандарт безопасности UEFI, который блокирует запуск неподписанного или модифицированного загрузочного кода. Если параметр Secure Boot в BIOS (UEFI) выделён серым и недоступен для включения, чаще всего причина — отсутствие пароля администратора в BIOS, включённый Fast Boot, нестандартные настройки безопасности или устаревшая прошивка. Пройдите последовательно: установите пароль администратора в BIOS, отключите Fast Boot, восстановите настройки безопасности или загрузочные значения по умолчанию, обновите BIOS, затем проверьте опцию Secure Boot. В статье — пошаговые инструкции, контрольные списки, сценарии отката и рекомендации для IT‑администраторов.

Краткое определение

Secure Boot — функция UEFI, которая разрешает запускать только подписанное доверенным центром загрузочное ПО. UEFI — современный заменитель старого BIOS.

Зачем нужен Secure Boot

Защищает загрузку от rootkit и вредоносных загрузчиков.
Обязателен для установки Windows 11 на совместимых устройствах.
Повышает общий уровень доверия к цепочке загрузки.

Важно: Secure Boot не заменяет антивирус — это дополнительный барьер на этапе запуска компьютера.

Основные причины, почему пункт Secure Boot может быть «серым»

В BIOS/UEFI не задан пароль администратора (на многих ПК включение Secure Boot требует уровня доступа администратора).
Включён Fast Boot в UEFI/BIOS, что ограничивает доступ к некоторым настройкам.
Изменены параметры безопасности или ключи Secure Boot (ключи удалены или находятся в пользовательском режиме).
Устаревшая или некорректная прошивка BIOS/UEFI.
Аппаратная несовместимость (очень редко — устаревшие материнские платы без поддержки Secure Boot).

1. Установка пароля администратора в BIOS (чтобы разблокировать Secure Boot)

Почему это важно: многие OEM‑прошивки требуют наличия пароля администратора (Supervisor) для изменения параметров безопасности, включая Secure Boot.

Пошаговые действия (пример для ноутбука HP; у других производителей шаги сходные, но могут отличаться клавиши доступа):

Полностью выключите компьютер.
Включите питание и сразу нажимайте клавишу для входа в BIOS/UEFI (часто F10 для HP, F2 для Dell/Asus/Lenovo; проверьте подсказку при старте или документацию производителя).
В BIOS используйте стрелки для перехода на вкладку Security (Безопасность).
Найдите пункт Administrator Password или Set Supervisor Password и выберите его.
Введите новый пароль администратора и подтвердите его в соответствующем поле.
Сохраните изменения (обычно F10 — Save and Exit).
Перезагрузите систему и вновь войдите в BIOS: опция Secure Boot должна стать доступной.

Изображение: Установка пароля администратора в BIOS

Примечание: вы можете удалить пароль после успешного включения Secure Boot — для этого в том же меню введите текущий пароль и оставьте поля нового пароля пустыми, затем сохраните.

2. Отключите Fast Boot в BIOS

Пояснение: Fast Boot — это функция UEFI/BIOS, которая пропускает часть аппаратной инициализации для ускорения загрузки. Иногда она ограничивает доступ к полноценным настройкам безопасности.

Шаги:

Войдите в BIOS/UEFI (F10/F2 или другая клавиша в зависимости от производителя).
Перейдите на вкладку Advanced (Дополнительно) или Boot (Загрузка).
Найдите параметр Fast Boot и установите значение Disabled (Отключено).
Сохраните изменения (F10) и перезагрузите компьютер.
Повторно войдите в BIOS и проверьте доступность Secure Boot.

Важное отличие: Fast Boot — опция на уровне прошивки. Fast Startup — функция Windows, это другое и влияет только на состояние ОС.

3. Восстановите настройки безопасности BIOS к заводским по умолчанию

Когда использовать: если в BIOS были внесены значительные изменения в разделы безопасности или ключи Secure Boot были случайно удалены.

Порядок действий:

Войдите в BIOS/UEFI.
Перейдите на вкладку Security (Безопасность).
Найдите Restore Security settings to factory defaults или Security Feature Reset и выберите этот пункт.
Прочитайте окно с инструкцией: обычно потребуется ввести отображаемый pass code в строку подтверждения.
Введите код и подтвердите сброс.
Сохраните изменения (F10) и перезагрузите компьютер.
Повторно войдите в BIOS и проверьте Secure Boot.

Изображения: Восстановление настроек безопасности BIOS к заводским Ввод кода для сброса настроек безопасности BIOS

Примечание: сброс безопасности может удалить пользовательские ключи Secure Boot и вернуть управление к заводским (OEM) ключам.

4. Обновите прошивку BIOS/UEFI

Когда это нужно: если предыдущие шаги не помогли. Новые версии прошивки исправляют ошибки и добавляют совместимость с современными функциями безопасности.

Подготовка и меры предосторожности:

Резервное копирование важных данных перед прошивкой.
При необходимости временно приостановите BitLocker и отключите антивирусы, если производитель требует этого.
Проверьте текущую версию BIOS: запустите System Information (Win + R → msinfo32) и посмотрите поле BIOS Version/Date.

Как обновить:

Перейдите на сайт производителя вашего ноутбука или материнской платы.
Найдите страницу загрузок/драйверов для вашей модели.
Сравните доступную версию BIOS с установленной. Если доступна более новая версия — скачайте файл.
Следуйте инструкциям производителя: обновление может выполняться из Windows через исполняемый файл или через встроенный в BIOS механизм «Update BIOS».
Во время обновления не прерывайте питание. После завершения проверьте в BIOS доступность Secure Boot.

Изображения: Информация о версии BIOS в системе Страница загрузки BIOS у производителя

Важно: не устанавливайте более старую версию прошивки. Это может привести к несовместимости и потере данных конфигурации.

5. Загрузите настройки BIOS по умолчанию (Load Setup Defaults)

Когда это применимо: если конфигурация BIOS повреждена или содержит противоречивые параметры.

Шаги:

Войдите в BIOS/UEFI.
Перейдите на вкладку Exit (Выход) или Find Defaults (Загрузить по умолчанию).
Выберите Load Setup Defaults или Load Optimized Defaults.
Подтвердите выбор — установятся стандартные значения для всех пунктов.
Сохраните изменения и выйдите (Save Changes and Exit).
Войдите снова в BIOS и проверьте параметр Secure Boot.

Изображение: Загрузка стандартных настроек BIOS

Примечание: загрузка стандартов не удалит данные на дисках, но восстановит поведение прошивки к исходному состоянию.

Быстрая схема действий (порядок выполнения)

Установите пароль администратора в BIOS и проверьте Secure Boot.
Отключите Fast Boot и проверьте снова.
Восстановите безопасность BIOS к заводским настройкам (если вносили изменения ключей).
Обновите прошивку BIOS/UEFI.
Загрузите общие настройки по умолчанию, если ничего не помогло.

Mermaid-диаграмма решения (поток):

flowchart TD
  A[Secure Boot серый?] --> B{Пароль администратора установлен?}
  B -- Нет --> C[Установить пароль администратора]
  B -- Да --> D{Fast Boot включён?}
  D -- Да --> E[Отключить Fast Boot]
  D -- Нет --> F{Изменялись настройки безопасности?}
  F -- Да --> G[Восстановить настройки безопасности]
  F -- Нет --> H{BIOS устарел?}
  H -- Да --> I[Обновить BIOS]
  H -- Нет --> J[Загрузить настройки по умолчанию]
  C --> K[Проверить Secure Boot]
  E --> K
  G --> K
  I --> K
  J --> K

Что ещё проверить перед глубоким вмешательством

Режим загрузки: проверьте, что используется UEFI, а не Legacy/CSM (Compatibility Support Module). Secure Boot работает только в режиме UEFI.
Наличие RAID/пользовательских контроллеров: в некоторых конфигурациях контроллеры могут требовать особых драйверов или настроек, но это редко влияет на опцию Secure Boot.
Физический джампер на материнской плате: на старых платах иногда есть джампер, который блокирует изменения прошивки/настроек безопасности.

Когда описанные шаги не помогают

Плата или устройство физически не поддерживают Secure Boot (старое железо).
Прошивка нестандартна (кастомная прошивка от модифицированных OEM) и требует специфичных действий.
Аппаратные повреждения EEPROM, на котором хранится прошивка.

В таких случаях обратитесь в поддержку производителя или к квалифицированному сервисному центру.

Риск‑менеджмент и контрольные меры

Перед обновлением BIOS сделайте резервные копии важных данных и снимите точку восстановления системы.
Если на диске включён BitLocker: временно приостановите защиту или сохраните ключ восстановления (Control Panel → BitLocker или команды manage-bde).
При необходимости отключите сторонние антивирусы на время обновления прошивки (и включите их обратно после).

Роль‑ориентированные чеклисты

Пользователь (домашний пользователь):

Сделать резервную копию важных файлов.
Войти в BIOS и установить пароль администратора.
Проверить и отключить Fast Boot.
Восстановить настройки безопасности, если есть такая опция.
Если не уверен — обратиться к службе поддержки производителя.

IT‑администратор:

Проверить политические настройки управления UEFI через MDM/Group Policy.
Подготовить скрипты/инструкции для массовой установки пароля Supervisor (если поддерживается).
Планировать обновление прошивок по тестовой группе перед массовым развёртыванием.
Документировать конфигурации Secure Boot и ключи, если используется пользовательская PKI.

Критерии приёмки

Secure Boot отображается как Enabled/Available в BIOS и переключается вручную.
Система загружается в режиме UEFI без ошибок после включения Secure Boot.
Если используется BitLocker — устройство успешно расшифровывается/зашифровывается и ключи восстановления доступны.

Короткое руководство по откату (rollback) после проблем с BIOS

Если прошивка дала сбой и система не загружается, используйте возможность восстановления BIOS (многие производители поддерживают аварийное восстановление по USB).
Если после обновления Secure Boot перестал работать корректно, загрузите предыдущую версию прошивки (только если производитель рекомендует) и выполните откат по инструкции.
В случае потери доступа к системе — обратитесь в сервисный центр.

Когда включать Secure Boot необязательно

На компьютерах с экспериментальным ПО, которое требует загрузки неподписанных драйверов (разработческие стенды). В этом случае можно временно отключать Secure Boot, но помните о рисках безопасности.

Частые ошибки и советы по их устранению

Ошибка: «Secure Boot greyed out» даже после установки пароля.
- Проверьте режим загрузки — должен быть UEFI.
- Убедитесь, что Fast Boot отключён.
- Попробуйте восстановить настройки безопасности к заводским.
Ошибка: отсутствует опция Secure Boot в BIOS.
- Сравните версию BIOS с документацией производителя — возможно, функция действительно не поддерживается.

Шаблон записей в тикете для поддержки (копировать/вставить)

Тема: Secure Boot недоступен (пункт серый) на [модель устройства] Тело:

Модель: [вставьте модель]
Версия BIOS/UEFI: [вставьте значение из msinfo32]
Что пробовали: установка пароля администратора, отключение Fast Boot, восстановление настроек безопасности, обновление BIOS (указать версию обновления)
Результат: Secure Boot остаётся серым
Логи/скриншоты: прикреплённые

Заключение

Secure Boot — важный элемент защиты цепочки загрузки, и когда его пункт в BIOS оказывается недоступен, это обычно связано с политикой доступа (пароль администратора), настройками ускоренной загрузки или конфигурацией ключей безопасности. Последовательность простых действий — установка пароля администратора, отключение Fast Boot, восстановление настроек безопасности, обновление прошивки и загрузка значений по умолчанию — в большинстве случаев решает проблему. Если же аппарат или прошивка не поддерживают Secure Boot, обратитесь в поддержку производителя.

Итоговые рекомендации:

Начните с установки пароля администратора и проверки режима UEFI.
Перед обновлением прошивки сделайте резервную копию и сохраните ключи BitLocker.
Документируйте все изменения и тестируйте прошивку на одном устройстве перед массовой установкой.

Короткое напоминание по безопасности: после завершения всех операций восстановите защиту BitLocker и включите антивирус.