A che serve Avvio Protetto (Secure Boot) e come si attiva o disattiva su PC

Come funziona Avvio Protetto su PC Windows 10 e Windows 11, e come attivare o disattivare "Secure Boot" dal BIOS

Avvio Protetto (Secure Boot) è un requisito indispensabile per installare Windows 11 sul computer: senza l'Avvio Protetto non è possibile eseguire l'ultima versione del sistema operativo Microsoft, a meno di effettuare modifiche profonde durante l'installazione del sistema.

L'effetto collaterale è che sui PC con Avvio protetto attivato viene impedito anche l'avvio di alcuni sistemi operativi interessanti e puliti come Kali Linux.

Nella guida che segue vi mostreremo come funziona Avvio protetto (Secure Boot), come si attiva e disattiva, sia nel caso in cui volessimo installare Windows 11 sia nel caso in cui volessimo installare Windows 10 o una qualsiasi distribuzione Linux senza dover sottostare a Secure Boot.

LEGGI ANCHE -> A che serve Secure Boot e TPM su un PC, Verifica e attivazione

1) A che serve Secure Boot

Secure Boot (in italiano è chiamato Avvio protetto) protegge il processo di avvio del PC in modo che se un malware avesse corrotto il boot loader di Windows sostituendosi ad esso, si potrebbe caricare il virus senza possibilità per il sistema e per l'antivirus di accorgersene, rimanendo attivo in modo completamente invisibile e non rilevabile dal sistema.

Sui PC più vecchi con BIOS tradizionale, all'avvio del computer viene caricato normalmente il boot loader del sistema che viene trovato, che può essere quello di Windows oppure il boot loader GRUB, che viene usato dalla maggior parte delle distribuzioni Linux. Secure Boot è una funzione interna di Windows che impedisce manomissioni al settore di avvio del computer.

Secure Boot funziona tecnicamente come un insieme di certificati, tra cui c'è sicuramente il certificato di Microsoft, memorizzati dentro il firmware UEFI (che viene caricato dalla scheda madre all'accensione del computer), che controlla il boot loader per assicurarsi che questo sia firmato da Microsoft o da altri sviluppatori autorizzati.

Se un rootkit o un altro malware sostituisce il boot loader o lo manomette, UEFI non consentirà l'avvio del computer per impedire al malware di dirottare la procedura di avvio e nascondersi dal sistema operativo. Per questo motivo, Microsoft ha reso l'avvio protetto come uno dei requisiti per installare Windows 11.

Dall'altra parte, molte distribuzioni Linux popolari, quelle mantenute da società organizzate come Ubuntu e Fedora, sono permesse dal Secure Boot per avviarsi sui computer moderni, mentre altre sono escluse e vengono viste come fossero malware. In questo caso, per installare in dual boot una versione di Linux senza essere bloccati dall'avvio protetto di UEFI, bisogna disattivare Secure Boot.

2) Controllare lo stato di Avvio Protetto

Per controllare che sul PC sia attivo Secure Boot premiamo insieme i tasti WIN+R e digitiamo il comando msinfo32. Sulla schermata che appare, nel lato destro, controllare la riga Stato avvio protetto e vedere se è disabilitato o abilitato.

Se il PC è abbastanza vecchio e non supporta UEFI, allora si troverà scritto che l'avvio protetto non è supportato e ciò significa anche che stiamo quasi sicuramente eseguendo Windows 10 o versioni precedenti di Windows (le uniche che possono funzionare senza Secure Boot attivo).

Per approfondire possiamo leggere la guida su come trovare le specifiche complete del PC Windows 10 e 11.

3) Come attivare o disattivare Secure Boot

Per attivare o disattivare l'avvio protetto del computer, si devono aprire le impostazioni di UEFI e trovare l'opzione. Prima di tutto è importante passare da BIOS a UEFI e convertire disco in GPT, altrimenti non si può attivare Secure Boot.

Dopo aver effettuato questa operazione spegniamo il computer, riaccendiamolo e premiamo il tasto per accedere al BIOS/UEFI durante il processo di avvio.

L'opzione Avvio protetto, o Secure Boot se UEFI è in lingua inglese, si trova di solito sotto la scheda Protezione (Security) o la scheda Avvio (Boot). Per disattivare L'avvio protetto, la voce Secure Boot dovrebbe essere impostata su Disabled o su Legacy, mentre per attivarlo accertiamoci che sia impostata su Enabled.

Nel caso dell'attivazione, potrebbe essere necessario rinnovare quelle che il Bios chiama Platform Key (PK) e bisogna cercare, sempre nel BIOS, l'opzione che le rinnovi usando quelle standard o di test.

Si può accedere abilitare l'avvio protetto in Windows 10 anche usando la console di ripristino all'avvio del computer.

Quando il computer si riavvia, si troveranno le impostazioni UEFI sotto il menù Risoluzione dei problemi > Opzioni avanzate. Dalle Impostazioni UEFI è possibile disabilitare CSM (che sarebbe il supporto per le partizioni MBR) e abilitare Secure Boot.

Vi ricordiamo che eseguendo Windows 11 e disattivando il Secure Boot il sistema smetterà di funzionare: meglio quindi lasciarlo attivo con l'ultimo sistema operativo rilasciato da Microsoft. Se invece volessimo disattivare Secure Boot prepariamo una chiavetta USB di Windows 10 e procediamo alla rimozione di Windows 11, così da poter utilizzare il computer anche con Avvio Protetto disattivato.

Visto il livello di sicurezza raggiunto da Microsoft con l'ultima versione del suo sistema operativo non ha molto senso disattivare Avvio Protetto, essendo un requisito importante per far girare Windows 11.

Se il computer non supporta Secure Boot tanto vale usare ancora Windows 10 o una delle tante distribuzioni Linux compatibili con i vecchi computer.

LEGGI ANCHE: come risolvere errore "Nessun sistema operativo" su Windows 10 e 11.