セキュアブートの設定を変更するにはどうしたらよいのか?
セキュアブートはどういう機能を持っているのか?
有効・無効、どっちにすべきか?どういう注意点があるのか?
といった内容を書いたページです。
注意事項
- 重要なお話がアチコチ(特にページ後半)に散らばっています。
設定をミスるとPCに重大な障害が発生します。
以下の設定変更を試す場合、このページを最後まで読んでから慎重に操作してください。
セキュアブートの変更方法、無効にする方法
セキュアブートの設定は Windows 上からは変更できません。
UEFI画面で行います。
※UEFI画面の起動方法がわからない場合は以下
- UEFI画面を呼び出す方法その1
Windows 10でUEFI (BIOS) 画面を起動する手順 - UEFI画面を呼び出す方法その2
Windows 10でF2キーやDELキーでUEFI (BIOS) 画面を起動する手順
- その他補足
Windows 10/8.1マシンは、初期設定ではセキュアブートが有効になっています。また、最近のマザーボードも初期設定ではセキュアブートが有効になっています。
UEFI画面を起動した後は、「Boot」タブまたは「Security」タブに移動し、「セキュアブート」の項目を変更します。
- 例:AsRockマザーの場合
▲クリックで拡大
- 「セキュアブート」は「セキュリティ」タブにあります。
「Enabled」・・・・セキュアブート有効
「Disabled」・・・・セキュアブート無効 - 通常のマザーの場合、選択肢は「Enabled」と「Disabled」 なので、セキュアブートの設定
変更に迷うところは特にありません。
- 「セキュアブート」は「セキュリティ」タブにあります。
- 例: ASUSマザーの場合
▲クリックで拡大
- 表示を「Advanced Mode」に変更し、「Boot」タブを開く。
- 「OS Type」がセキュアブート有効・無効の切り替え場所。
▲クリックで拡大
ASUSの場合、選択肢が少し特殊です。
「Windows UEFI mode」・・・・セキュアブート有効
「Other OS」・・・・セキュアブート無効
(1回目のリセットで設定が反映されていないケースがあるため)
セキュアブートの無効化・有効化を行う手順解説は以上です。
以下、「セキュアブートとは何か?」「セキュアブートの有効/無効はどう使い分けるのか?」という情報です。
セキュアブートとは何か?
大雑把に説明すると、PC起動時にOSやドライバのデジタル署名をチェックする機能です。
デジタル署名のないOSは、起動できなくなります。
レガシーなブートCD、ブートDVDなども起動出来なくなります。
OSに不正な変更があった場合も、起動できなくなります。
※Windows8.1以降は、常駐ソフトのデジタル署名も必要になっています
以下リンクが分かりやすいです
記者の眼 - セキュアブートの光と陰:ITpro
セキュアブートの有効/無効はどう使い分けるのか?
セキュアブートに対応したOS (64bit版のWindows 8以降)をUEFI(GPT起動)で使う際、主に不正なOS (ルートキット系ウイルス) の起動を防ぐ目的などで セキュアブート有効が効果があります。
※GPTディスクからの起動は 64bit版 Windows Vista SP1以降が対応。
※セキュアブートへの対応は 64bit版 Windows 8 以降。
ただしセキュアブートを有効にする場合、以下のような注意が必要です。
- セキュアブートに未対応なOSは、ほぼすべてが起動すらしなくなります。
- ※例外あり。
例)2016年4月以前までは、64bit版 Windows7も起動できた。 - ※2016年4月以降
64bit版 Windows7はUEFI(GPT)の起動は可能。
セキュアブート有効だと起動できない
- ※例外あり。
- Linux OSの場合、多くはセキュアブートに対応しておらず、OSを起動させるにはセキュアブートを無効にする必要があります。
- 参考リンク
UEFI セキュア ブートの Windows マシンに Linux をインストールする - セキュアブートを無効にするだけでは起動できない(もしくはデュアルブートできない)ケースも多々あります。
その場合、(主だった項目だけを挙げても)
・マザーボード側の「Quickboot/Fastboot」の無効
・CSM(旧BIOS互換モード)の有効化
・Windows OSにインストールされたISRTやIRSTの無効化
・Windows 10/8.1に搭載された「高速スタートアップ」の無効化
なども設定する必要があります。 - その他にも、(やや脱線しますが) Windows8以降 と他OSをデュアルブートする際には色々と注意が必要です。Windows 8→8.1、Windows 7/8.1→10などのOSアップグレードを行うだけでも、デュアルブートしているOSは起動できなくなります
- 参考リンク
- ※ Windows 以外のOSでも、セキュアブートに対応しているものであれば、「セキュアモード有効」を選択してOKです。(※注:Windows側のアップグレードで発生する問題は起きる)
Windows PCで、セキュアブートを無効にするとどうなるの?
PC起動時の「ドライバやOSのデジタル署名のチェック」がなくなります。
それだけです。
それだけなのですが、ウイルスなどの影響でOSが不正に書き換えられたケースでも、PCは起動してしまい、ウイルスによるPCの破壊活動が始まってしまいます。
それ以外のUEFIやOSの機能
- GPT起動ディスクからのブート
- DVDやUSBのUEFIブート
- OSの高速起動
・マザーボード側の「Quickboot/Fastboot」
・OS側の「高速スタートアップ」 - 旧BISOや旧デバイスとの互換性(マザーボードの CSM)
これらはそれぞれ、セキュアブートとは別個に作動します。
セキュアブートを無効にした後、ドライバは正常に動くか?
セキュアブートの設定を変更しても、PCを再起動後に各種ドライバを再インストールしたり、その他特別な手順を踏む必要はありません。(※ただし一部メーカー製PCではセキュアブートの設定を変えるだけで不具合が出るケースがある(らしい)ので、メーカー製PCの場合は設定変更はできるだけ避ける。)
このページの主な情報はここまで。
以下、その他の注意事項(けっこう重要)や参考リンクの紹介です。
その他注意すること
- マザーボードのBIOS(UEFI)をアップデートする時は、セキュアブートは無効にしましょう。
- Windows8以降 と、古いWindowsやLinuxをデュアルブートしたい場合は、セキュアブートは無効にしましょう。
- デュアルブートには別の問題も絡んでくるので注意しましょう。
旧BIOSとの互換問題、ブート領域の違い(MBR/GPTの違い)、NTFSのバージョン違い、ISRT、高速スタートアップなど。
- デュアルブートには別の問題も絡んでくるので注意しましょう。
- 他社製のバックアップツールを使って「Windows システムをバックアップ」し、そのバックアップを利用してリカバリを行いたい場合も、セキュアブートを無効にておきましょう。
- セキュアブートが有効になっている場合、クローンツールのDVD/USBメディアが起動できなかったり、クローンしたシステムドライブ (および一度取り外した元のシステムドライブ) を不正なOS扱いする場合があります。
- OSをクローンしたり、システムディスクを取り外したりすると「OSが不正に書き換えられた恐れがある」として、起動不能になるようです?(個人的見解)
- この場合も、旧BIOSとの互換問題、ブート領域の違い(MBR/GPTの違い)、NTFSのバージョン違い、ISRT、高速スタートアップなどに注意しましょう。
- これは起動メディアがLinux OS系の場合でも、Windows PE系の場合でも発生します。
- 自身の使っているバックアップツールの起動メディアが、セキュアブートやその他の条件に対応しているかどうかは、事前にチェックしておきましょう。
- セキュアブートが有効になっている場合、クローンツールのDVD/USBメディアが起動できなかったり、クローンしたシステムドライブ (および一度取り外した元のシステムドライブ) を不正なOS扱いする場合があります。
- PCパーツを交換する際も、セキュアブートは無効にしましょう。
- 手持ちの Windows 10 マシンでセキュアブート有効なままビデオカードを交換したら、Windowsがセーフモードでしか起動しなくなりました。
- 起動しても画面真っ暗状態・・・・というWindows10アップグレード直後に発生する「ありがちなトラブル」を経験しました(^_^;
- おまけ
余談ですが、「デジタル署名の無いドライバ」をインストールしたい場合も、セキュアブートを無効にする必要があります。