UEFI の セキュアブートの設定について: 変更方法や注意点など

セキュアブートはどういう機能を持っているのか?セキュアブートは有効・無効、どっちにすべきか?どういう注意点があるのか?といった内容を書いたページです。

セキュアブート,有効,無効などについて。

UEFI の セキュアブートの設定について: 変更方法や注意点など

セキュアブートの設定を変更するにはどうしたらよいのか?
セキュアブートはどういう機能を持っているのか?
有効・無効、どっちにすべきか?どういう注意点があるのか?
といった内容を書いたページです。

はじめに

このページの内容は、2015年10月に書いたページ「UEFI のセキュアブートを設定する(主にASUS製マザー)」で公開した情報です。
「ASUSマザーのお話」と「汎用的な情報」を切り分けておいた方が利便性が高いと判断したため、先のページを二つに分け、このページを作成しました。

注意事項

  • 重要なお話がアチコチ(特にページ後半)に散らばっています。
    設定をミスるとPCに重大な障害が発生します。
    以下の設定変更を試す場合、このページを最後まで読んでから慎重に操作してください。

セキュアブートの変更方法、無効にする方法

セキュアブートの設定は Windows 上からは変更できません。
UEFI画面で行います。

※UEFI画面の起動方法がわからない場合は以下

  • その他補足
    Windows 10/8.1マシンは、初期設定ではセキュアブートが有効になっています。また、最近のマザーボードも初期設定ではセキュアブートが有効になっています。

 

UEFI画面を起動した後は、「Boot」タブまたは「Security」タブに移動し、「セキュアブート」の項目を変更します。

  • 例:AsRockマザーの場合
    AsRockマザーのセキュアブート
    ▲クリックで拡大
    • 「セキュアブート」は「セキュリティ」タブにあります。
      「Enabled」・・・・セキュアブート有効
      「Disabled」・・・・セキュアブート無効
    • 通常のマザーの場合、選択肢は「Enabled」と「Disabled」 なので、セキュアブートの設定
      変更に迷うところは特にありません。
  • 例: ASUSマザーの場合
    ASUS P9X79 Deluxeでセキュアブートを有効にする
    ▲クリックで拡大
    • 表示を「Advanced Mode」に変更し、「Boot」タブを開く。
    • 「OS Type」がセキュアブート有効・無効の切り替え場所。
      「Secure Boot」を開いたところ
      ▲クリックで拡大
      ASUSの場合、選択肢が少し特殊です。
      「Windows UEFI mode」・・・・セキュアブート有効
      「Other OS」・・・・セキュアブート無効
    変更した後は、「Save & Exit」や「Save Changes and Reset」などを選び、設定変更を反映させた上でPCを再起動し、念のためもう一度PCを再起動する。
    (1回目のリセットで設定が反映されていないケースがあるため)

 

セキュアブートの設定方法の説明は以上です。
以下、「セキュアブートとは何か?」「セキュアブートの有効/無効はどう使い分けるのか?」という情報です。

セキュアブートとは何か?

大雑把に説明すると、PC起動時にOSやドライバのデジタル署名をチェックする機能です。
デジタル署名のないOSは、起動できなくなります。
OSに不正な変更があった場合も、起動できなくなります。
※Windows8.1以降は、常駐ソフトのデジタル署名も必要になっています

以下リンクが分かりやすいです
記者の眼 - セキュアブートの光と陰:ITpro

セキュアブートの有効/無効はどう使い分けるのか?

セキュアブートに対応したOS (64bit版のWindows 8以降)をUEFI(GPT起動)で使う際、主に不正なOS (ルートキット系ウイルス) の起動を防ぐ目的などで セキュアブート有効が効果があります。
※GPTディスクからの起動は 64bit版 Windows Vista SP1以降が対応。
※セキュアブートへの対応は 64bit版 Windows 8 以降。

ただしセキュアブートを有効にする場合、以下のような注意が必要です。

  • セキュアブートに未対応なOSは、ほぼすべてが起動すらしなくなります。
    • ※例外あり。
       例)2016年4月以前までは、64bit版 Windows7も起動できた。
    • ※2016年4月以降
       64bit版 Windows7はUEFI(GPT)の起動は可能。
       セキュアブート有効だと起動できない
  • Linux OSの場合、多くはセキュアブートに対応しておらず、OSを起動させるにはセキュアブートを無効にする必要があります。
    • 参考リンク
      UEFI セキュア ブートの Windows マシンに Linux をインストールする
    • セキュアブートを無効にするだけでは起動できない(もしくはデュアルブートできない)ケースも多々あります。
      その場合、(主だった項目だけを挙げても)
       ・マザーボード側の「Quickboot/Fastboot」の無効
       ・CSM(旧BIOS互換モード)の有効化
       ・Windows OSにインストールされたISRTやIRSTの無効化
       ・Windows 10/8.1に搭載された「高速スタートアップ」の無効化
      なども設定する必要があります。
    • その他にも、(やや脱線しますが) Windows8以降 と他OSをデュアルブートする際には色々と注意が必要です。Windows 8→8.1、Windows 7/8.1→10などのOSアップグレードを行うだけでも、デュアルブートしているOSは起動できなくなります
  • ※ Windows 以外のOSでも、セキュアブートに対応しているものであれば、「セキュアモード有効」を選択してOKです。(※注:Windows側のアップグレードで発生する問題は起きる)

Windows PCで、セキュアブートを無効にするとどうなるの?

PC起動時の「ドライバやOSのデジタル署名のチェック」がなくなります。
それだけです。
それだけなのですが、ウイルスなどの影響でOSが不正に書き換えられたケースでも、PCは起動してしまい、ウイルスによるPCの破壊活動が始まってしまいます。

それ以外のUEFIやOSの機能

  • GPT起動ディスクからのブート
  • DVDやUSBのUEFIブート
  • OSの高速起動
     ・マザーボード側の「Quickboot/Fastboot」
     ・OS側の「高速スタートアップ」
  • 旧BISOや旧デバイスとの互換性(マザーボードの CSM)

これらはそれぞれ、セキュアブートとは別個に作動します。

 

セキュアブートの設定を変更しても、PCを再起動後に各種ドライバを再インストールしたり、その他特別な手順を踏む必要はありません。(※ただし一部メーカー製PCではセキュアブートの設定を変えるだけで不具合が出るケースがあるらしいので、メーカー製PCの場合は設定変更はできるだけ避ける。)

その他注意すること

  • マザーボードのBIOS(UEFI)をアップデートする時は、セキュアブートは無効にしましょう。
  • Windows8以降 と、古いWindowsやLinuxをデュアルブートしたい場合は、セキュアブートは無効にしましょう。
    • デュアルブートには別の問題も絡んでくるので注意しましょう。
      旧BIOSとの互換問題、ブート領域の違い(MBR/GPTの違い)、NTFSのバージョン違い、ISRT、高速スタートアップなど。
  • 他社製のバックアップツールを使って「Windows システムをバックアップ」し、そのバックアップを利用してリカバリを行いたい場合も、セキュアブートを無効にておきましょう。
    • セキュアブートが有効になっている場合、クローンツールのDVD/USBメディアが起動できなかったり、クローンしたシステムドライブ (および一度取り外した元のシステムドライブ) を不正なOS扱いする場合があります。
      • OSをクローンしたり、システムディスクを取り外したりすると「OSが不正に書き換えられた恐れがある」として、起動不能になるようです?(個人的見解)
      • この場合も、旧BIOSとの互換問題、ブート領域の違い(MBR/GPTの違い)、NTFSのバージョン違い、ISRT、高速スタートアップなどに注意しましょう。
    • これは起動メディアがLinux OS系の場合でも、Windows PE系の場合でも発生します。
    • 自身の使っているバックアップツールの起動メディアが、セキュアブートやその他の条件に対応しているかどうかは、事前にチェックしておきましょう。
  • PCパーツを交換する際も、セキュアブートは無効にしましょう。
    • 手持ちの Windows 10 マシンでセキュアブート有効なままビデオカードを交換したら、Windowsがセーフモードでしか起動しなくなりました。
    • 起動しても画面真っ暗状態・・・・というWindows10アップグレード直後に発生する「ありがちなトラブル」を経験しました(^_^;
  • おまけ
    余談ですが、「デジタル署名の無いドライバ」をインストールしたい場合も、セキュアブートを無効にする必要があります。


次のページへ
前のページへ
UEFI の セキュアブートの設定について: 変更方法や注意点など
TOPページへ

コメント(多忙中のため休止中) C[0] T[0]

人気ブログランキング
このブログを応援する・このブログに寄付する
mona:MEmMcKYAWfdX1r3XkoWBoweJTSjtDgdqRo
btc :1342ndtQDJ3NKkTw1BfP8AD4xMy8NJ4kWb


サイト内おすすめページ
スポンサー リンク

 

関連記事(ぜんぶ見る>> UEFI
UEFI/GPTインストールしたWindowsのブート領域の復旧方法
Windows10で「F8キー連打」でセーフモードを起動する方法
UEFI/GPT形式で、自分で予約パーティションを切ってWindowsをインストールする
UEFIやセキュアブートの勘違いしやすい設定29個 まとめ

※コメント欄の一時休止中につき、Monacoin企画も休止中です。
簡単!4ステップでふるさと納税 a8
次のページへ
前のページへ

更新日 2016/11/23(2016年11月公開)このページはリンクフリーです

カテゴリ(メニュー)

スポンサーリンク


このページ

Amazon

Amazon 日替わりタイムセール
サイト内検索
Special Thanks (TOP15)

Amazon
リンク集
楽天市場/ブログランキング
a8 a8