UEFIの変更を行うと、BitLockerが有効になっている場合50桁の回復キーがないとWindowsOSがロックされたような状態になる可能性があります。ピンとこない方は変更しないことをお勧めします
セキュアブートとは
端的にいうと、UEFIが信用できるOSしかブート(起動)しなくなる機能です。
仕組み
UEFIがブート領域(パーティション)にある署名を検証して、起動していいOSかを判断します。
個人PCではあまり恩恵がないかもしれませんが、不審なOSが入ったUSBなどを差されても、それを起動しなくなります。
署名のない最新のKali Linuxなどでは、これにより弾かれて起動できないケースがあります。
有効化の手順
先述している通り、これはUEFIの設定です。
旧式のBIOSではこの機能がないため有効化できません。
1.電源を入れたら、F10を連打する。
これにより、UEFIからSSD内のOSを勝手に起動する手順を一旦止めて、UEFIの設定画面が開けます。
2.セキュリティに関する項目を確認する。
BIOS/UEFIは製品やバージョンによってGUI(見た目)が異なります。感覚で頑張ってください。
私のPCでは、以下のようになっていました。
3.セキュアブートを有効にする
Secure Boot(セキュアブート)と書かれたところをEnabled(有効)にする。
この時、セキュアブートを有効にできるのはUEFIのみである。
↓
このPCもそうだが、最新のUEFIは互換性を持たせるためにBIOS/UEFIという形をとっているケースがある。つまりBIOSモードで利用していると有効にできない。
また最悪なのが、SSDのパーティションの分け方の概念にMBRとGPTというものがある。
SSDがMBRだとBIOSで起動できるがUEFIで起動できない。UEFIで起動するにはGPTである必要がある。
もしSSD内がMBRであった場合、ここでBIOSからUEFIに切り替えると、OSを起動できなくなる。
なのでセキュアブートを有効にする前にSSDのパーティション方式をMBRからGPTに変更する必要があるのだが、これは超絶大変で発狂した。解決せず、SSDを新しく用意した。
実際に署名のなさそうなOSをUSBに入れてブートしてみた。
UEFIに登録がなさそうなKali Linuxで起動してみた。
ブート順をUSBが最優先になるようUEFI設定画面で変更しています。
Verification failed : (0x1A) Security Violation
おお~ちゃんと弾かれた。本来ならLinuxが起動するのに。
0x1Aってのがセキュアブート関連のエラーってことらしいです。
Press any key to perform MOK management
MOKというのは署名登録に関するものらしい?
つまり、「ここで署名登録すれば、使えるようにしたるよ」ということ?
ちょっとこれ以上は専門的過ぎるので未検証
その後、左下にあるように数秒待つとSSDの方のWindowsが呼び出されました。
最後に注意
セキュアブートをONにするとUSBから回復用のブートなどが困難になるので注意。
その際はセキュアブートを無効にする必要があるが、それをするとUEFIの設定変更となり今度はBitLockerが掛かるため注意。