- Secure Boot bloqueja carregadors sense signatura vàlida o no reconeguda per la UEFI.
- Windows 7 no és compatible; reinstal·lacions i dual boot poden causar desajustos.
- Desactivar és un alleugeriment temporal; la solució real passa per signar o utilitzar claus correctes.
- Si falla la verificació després de tot, restaura claus de fàbrica i contacta amb el fabricant.
Si t'has topat amb l'avís de arrencada 'Secure Boot Violation' i l'equip no passa d'aquesta pantalla, tranquil: no estàs sol. Aquest missatge apareix abans que carregui el sistema operatiu i sol estar relacionat amb com la BIOS/UEFI verifica les signatures digitals dels carregadors d'arrencada.
En molts ordinadors, especialment en marques com ASUS, la verificació d'arrencada segura de Microsoft ve activa per defecte per protegir-te davant de el malware i bootkits. El problema sorgeix quan les 'claus' o firmes que la UEFI espera no coincideixen amb les del carregador que intenta iniciar el teu Windows o el teu Linux, el que dispara el bloqueig de seguretat.
Què és Secure Boot i per què apareix aquest missatge
Secure Boot és una funció de UEFI dissenyada per permetre únicament l'arrencada de programari que estigui signat per entitats de confiança (Microsoft, fabricants o el mateix usuari, segons el cas). Durant l'encesa, la UEFI compara la signatura del carregador amb una base de dades de claus autoritzades; si detecteu alguna cosa fora del que s'espera, s'interromp el procés i apareix la violació d'arrencada segura.
Hi ha escenaris típics que ho provoquen. Per exemple, en equips amb Windows 8.1, 10 o 11, si reinstal·les el sistema, canvies d'edició o instal·les un SO diferent del preinstal·lat, poden quedar desalineades les claus del carregador (bootloader) respecte de les que la UEFI té registrades. Això és suficient perquè la verificació falli i no et deixi continuar.
Un altre cas clàssic afecta Windows 7: aquest sistema no és compatible amb Secure Boot. Després de determinades actualitzacions com la KB3133977, s'han produït errors d'arrencada perquè la UEFI espera una signatura que el Windows 7 no pot proporcionar, de manera que la comprovació s'invalida.
Si veniu d'un entorn Linux o dual boot, el xoc és fins i tot més probable. Instal·lacions amb GRUB, kernels personalitzats o carregadors sense signar poden disparar el bloqueig, especialment en reactivar l'arrencada segura després d'haver-lo desactivat per instal·lar.
Símptomes i missatges habituals
L'avís més comú és 'Secure Boot Violation'. A molts equips veuràs un subtítol de l'estil: 'Invalid signature detected. Check Secure Boot Policy in Setup'. En resum, la UEFI t'està dient que la signatura del carregador que intenta executar no quadra amb la seva política d'arrencada segura i que has de revisar la configuració al microprogramari.
De vegades apareix sense més dades; en altres, s'acompanya d'instruccions genèriques per entrar a la BIOS/UEFI o us obliga a reiniciar. Si en desactivar Secure Boot l'equip arrenca amb normalitat tant a Windows com a Linux, la causa es confirma: és un problema de firmes o de polítiques de verificació, no de maquinari.
Com accedir a la BIOS/UEFI per canviar la configuració
A ordinadors ASUS (i molts altres), pots entrar a la configuració del firmware amb una combinació molt concreta. Amb l'equip apagat, manteniu premuda la tecla F2 (o Supr) i, sense deixar-la anar, premeu el botó d'encesa. No deixeu anar la tecla fins a veure la pantalla de la BIOS/UEFI.
Un cop dins, pots moure't pels menús amb les fletxes i la tecla Intro, o bé usant el panell tàctil o el ratolí si la teva UEFI ho permet. Localitza els apartats relacionats amb Boot (arrencada) o Security (Seguretat), que és on solen viure els ajustaments de Secure Boot.
Per desar canvis, la via ràpida sol ser prémer F10 i acceptar. En confirmar el desament, l'equip es reiniciarà i aplicarà els canvis. Si proves un ajustament i no et convenç, sempre podràs tornar-lo i desfer-lo de la mateixa manera.
Canviar ajustaments de Secure Boot: mètode 1 (pestanya Boot)
A molts equips ASUS, una forma directa de desactivar la verificació consisteix a canviar el tipus de sistema operatiu. Entra a la pestanya Boot (Arranque) i busca l'opció Secure Boot. Dins d'aquesta secció hauria d'aparèixer un paràmetre similar a 'Tipus de sistema operatiu'.
Selecciona aquest paràmetre i, en lloc de l'opció que fa referència a Windows en mode UEFI, tria 'Un altre sistema operatiu'. Aquest canvi desactiva efectivament l'arrencada segura i permet que l'equip continuï amb carregadors no signats o amb firmes no reconegudes per la base de dades de la UEFI.
Convé que tinguis present una nota important: si establiu el mode Windows UEFI, estareu activant de nou Secure Boot. Aquesta manera exigeix que el carregador estigui signat per una autoritat reconeguda per la UEFI (típicament Microsoft i les claus del fabricant), així que si el vostre sistema no encaixa, la violació reapareixerà.
Quan acabis el canvi, desa amb F10, confirma i deixa que l'equip reiniciï. Si el sistema torna a arrencar amb normalitat, heu aïllat el problema a la capa de verificació. Podràs operar amb l'arrencada segura desactivada o planificar la seva reactivació adequada més endavant.
Canviar ajustaments de Secure Boot: mètode 2 (pestanya Seguretat)
Un altre camí freqüent és a la pestanya Seguretat. Navega fins a Security i localitza 'Secure Boot'. Dins aquest menú cerca 'Secure Boot Control' (o 'Security Boot Menu', segons la traducció) i canvia'l a Deshabilitat.
La nomenclatura pot variar segons model i versió de microprogramari, però la idea és la mateixa: commutar el control d'arrencada segura a 'Disabled' perquè la UEFI no bloquegi el carregador. Un cop aplicat, utilitza F10 per guardar i acceptar; l'equip es reiniciarà per aplicar la política nova.
Si esteu en un equip que no és ASUS, la ruta pot canviar lleugerament. En plaques base de diferents fabricants, 'Secure Boot' pot estar a Settings, Boot, Security o Authentication. L'important és localitzar el commutador de control i la base de claus de l'arrencada segura.
Recordeu que sempre podeu revertir l'ajust i reactivar Secure Boot quan tingueu llestos carregadors signats o una configuració compatible. Desactivar temporalment ajuda a recuperar l'accés, però la protecció extra de Secure Boot és recomanable una vegada tot està en ordre.
El cas típic de dual boot amb Windows i Arch Linux
Un exemple real: després de seguir un tutorial per instal·lar Arch Linux al costat de Windows i haver desactivat l'arrencada segura durant la instal·lació, en tornar a activar-lo va aparèixer un avís del tipus 'Secure Boot Violation: signatura no vàlida; revisa la política a la configuració'. En aquest escenari, tots dos sistemes arrenquen bé si Secure Boot està apagat, però amb ell encès es bloqueja el procés.
Això passa perquè, llevat que es configuri el contrari, GRUB, el nucli de Linux o la cadena d'arrencada no porten signatura acceptada per la UEFI. En plaques com una Gigabyte B650M, en reactivar Secure Boot la signatura del carregador de Linux no verifica amb les claus de la base de dades i salta la violació.
Què pots fer si vols mantenir Secure Boot actiu en un dual boot? Al món Linux tens dues vies principals: utilitzar la cadena 'shim' signada per la CA de tercers de Microsoft (quan el teu distro l'ofereix), o signar tu mateix el carregador i el kernel i inscriure la teva clau (MOK/KEK) a la UEFI.
En distribucions que suporten 'shim' (per exemple, moltes basades en Debian/Ubuntu i Fedora), només cal instal·lar els paquets shim i grub signats, i assegurar-te que la teva UEFI té habilitada la 'Microsoft 3rd Party UEFI CA'. La primera vegada, el sistema us demanarà enrolar la clau de propietari (MOK) en arrencar; acceptes, reinicia, ia partir d'aquí la verificació hauria de passar.
A Arch Linux, on sovint es deixa a l'usuari configurar aquest punt, pots optar per signar els teus binaris amb eines com ara sbctl o sbsigntools. El procés consisteix a generar el teu parell de claus, signar el carregador (p. ex., GRUB o systemd-boot) i el kernel/EFI stub, i introduir la teva clau pública a la UEFI (via MOK Manager o directament, segons el mètode triat). Després de fer-ho, Secure Boot podrà validar la vostra cadena d'arrencada.
Si ja vas intentar 'restaurar les claus de fàbrica' a la UEFI i no va funcionar, és senyal que no n'hi ha prou de tornar les bases PK/KEK/DB/DBX a origen; també necessites que el carregador que vols utilitzar estigui signat per alguna d'aquestes claus de confiança, o que inscriguis una nova que legitimi el teu binari.
Particularitats per fabricant: ASUS i Gigabyte
A ASUS, a més de les rutes comentades, hi ha un matís que convé recordar: l'ajust 'Windows UEFI' equival a tenir Secure Boot activat, i 'Un altre sistema operatiu' a tenir-lo desactivat. Si reinstal·leu Windows o canvieu d'edició, una discrepància de claus pot impedir l'arrencada a manera segura fins que s'alineï de nou.
En plaques base Gigabyte (com una B650M), el menú de Secure Boot sol trobar-se a Settings o Security, amb un submenú de verificació de signatures i la gestió de claus. Revisa que el mode estigui a 'Standard' o 'Custom' segons vagis a utilitzar només les claus de fàbrica o les teves pròpies claus. Si vas a tirar de shim i firmes de tercers, habilita la 'Microsoft 3rd Party UEFI CA' si el teu firmware ho exposa.
Evita esborrar la DBX (llista de binaris revocats), ja que serveix per bloquejar carregadors vulnerables o compromesos. Si necessites netejar, limita't a 'Reset to factory keys' per tornar PK/KEK/DB/DBX al seu estat original, i torna a provar amb un carregador signat correctament.
Gigabyte també permet desactivar l'arrencada segura globalment si només busques recuperar l'accés mentre ajustes la teva cadena d'arrencada. Desactiva-ho, inicia el sistema, prepara la signatura del carregador i després torna a activar-lo per mantenir la protecció.
Quan desactivar Secure Boot, i riscos de deixar-lo apagat
Desactivar Secure Boot és una solució pràctica per recuperar l'arrencada immediatament o mentre configures el dual boot. No obstant això, perdràs una capa rellevant de seguretat a nivell de microprogramari, que mitiga atacs que es carreguen abans del sistema operatiu.
Si ho deixes apagat de forma permanent, considera reforçar altres capes: xifrat de disc, arrencada amb contrasenya a la UEFI, i bones pràctiques d'actualització. Quan tinguis el carregador i el kernel correctament signats, és recomanable tornar-lo a activar.
Per a entorns corporatius o equips exposats, convé mantenir Secure Boot actiu i utilitzar cadenes d'arrencada signades per claus de confiança. Les distribucions 'enterprise' solen proporcionar tot el necessari perquè funcioni amb la CA de tercers de Microsoft.
En equips domèstics, si només uses Windows i no has modificat l'arrencada, una reinstal·lació neta de Windows en mode UEFI sol alinear les claus i resoldre els errors de verificació, sempre que no hi hagi canvis de microprogramari peculiars.
Si res no funciona: restaurar claus, revisar polítiques i demanar ajuda
Si segueixes veient la violació amb tot en ordre, entra a la UEFI i busca l'opció de 'Reset to factory keys' o similar per restablir PK, KEK, DB i DBX. Després de la restauració, prova amb un carregador signat i compatible; si funciona amb Windows però no amb Linux, us faltarà completar la cadena de signatura al costat de Linux.
Una altra via és revisar la política exacta que aplica el teu microprogramari: alguns equips separen el mode 'Standard' (només claus del fabricant) del 'Custom' (permet afegir les teves). Si voleu utilitzar les vostres pròpies signatures, activeu el mode personalitzat i afegiu el vostre MOK o el teu certificat a la DB de signatures permeses.
Quan la situació apunti a una fallada del mateix firmware (p. ex., bloquejos inesperats, opcions que es restableixin soles, o impossibilitat de desar claus), contacta amb el suport del fabricant de l'equip o de la placa base. En casos ASUS, el vostre Centre d'Atenció al Client us pot guiar amb passos específics del vostre model.
Si només t'interessen opcions de recuperació de sistema Windows (restaurar, recuperar o reparar), explora les funcions avançades de recuperació que ofereix Microsoft. Aquestes eines ajuden si el problema és del sistema operatiu, encara que recorda que la 'Secure Boot Violation' s'origina a l'etapa de microprogramari.
Bones pràctiques per evitar futures 'Secure Boot Violation'
Abans de reinstal·lar o canviar d'edició de Windows, confirma que ho faràs en mode UEFI amb partició GPT, i evita barrejar modes Legacy/CSM amb UEFI. Com més coherència mantinguis entre firmware i sistema, menys paperetes tindràs per topar amb firmes que no quadren.
Si utilitzeu Linux, verifiqueu si la vostra distribució ofereix paquets shim i carregadors signats. En cas de kernels personalitzats, planifica la signatura i la inscripció de claus perquè la UEFI els pugui validar sense bloquejar l'arrencada.
Actualitza la UEFI/BIOS a la darrera versió estable quan el fabricant ho recomana, ja que millores i correccions de compatibilitat amb Secure Boot són habituals. Això sí, realitza lactualització amb lequip alimentat i seguint les instruccions al peu de la lletra.
Evita canvis bruscos a la base de claus si no és necessari. Limitar-te a 'reset a valors de fàbrica' és més segur que esborrar DBX o modificar PK/KEK sense un pla. Un error en aquestes bases pot deixar-te amb un firmware que ho rebutja gairebé tot, complicant la recuperació.
Notes específiques sobre Windows 7, Windows 8.1/10/11 i Secure Boot
Windows 7 no suporta Secure Boot; si ho instal·les en equips amb la funció activa, és normal que no passi la verificació. Certes actualitzacions, com KB3133977, han posat de manifest aquesta incompatibilitat, resultant en errors d'arrencada quan la UEFI exigeix firmes vàlides.
A Windows 8.1, 10 i 11 el suport sí que existeix, però hi ha matisos: reinstal·lacions, canvis d'edició, o instal·lacions diferents de la versió amb què venia l'equip poden provocar discrepàncies fins que el carregador i les claus tornin a entrar en sintonia.
Si necessiteu reparar el carregador del Windows, podeu utilitzar el vostre entorn de recuperació per reconstruir BCD o reinstal·lar el carregador. Fes-ho sempre amb Secure Boot al cap: si el mantens actiu, procura usar mitjans oficials i signats per evitar nous bloquejos.
Quan tot falli, reinstal·lar Windows en mode UEFI i deixar que l'instal·lador configuri de nou el carregador signat sol funcionar. Després podeu afegir Linux amb una cadena d'arrencada compatible, si aquest és el teu objectiu.
Si necessites desactivar: vés-te a Boot o Security, busca 'Secure Boot' o 'Secure Boot Control' i posa-ho a Deshabilitat, o canvia el 'Tipus de sistema operatiu' a 'Un altre sistema operatiu'. Guarda amb F10 i prova a arrencar.
Si cal activar-lo: tria 'Windows UEFI' o activa 'Secure Boot Control' a Habilitat. Assegureu-vos que el vostre carregador està signat i que la base de claus (DB) reconeix aquesta signatura (ja sigui de Microsoft, del fabricant o teva).
Si utilitzeu Linux amb shim: habilita la CA de tercers de Microsoft quan existeixi l'opció, e inscriu el MOK quan ho sol·liciti a la primera arrencada. Si signes els teus binaris, afegeix la teva clau pública a la DB o mitjançant MOK Manager.
Si alguna cosa falla després de toquetejar claus: restaura a valors de fàbrica les PK/KEK/DB/DBX i torna a intentar-ho amb un carregador signat oficial. Si persisteix, el suport del fabricant és el teu aliat següent.
La famosa 'Secure Boot Violation' no ha de convertir-se en un atzucac: coneixent què comprova la UEFI i com encaixar les firmes correctes, pots recuperar l'arrencada amb seguretat i sense renunciar a la protecció, tant si utilitzes només Windows com si convius amb Linux en dual boot.
Redactor apassionat del món dels bytes i la tecnologia en general. M'encanta compartir els meus coneixements a través de l'escriptura, i això és el que faré en aquest bloc, mostrar tot el més interessant sobre gadgets, programari, maquinari, tendències tecnològiques, i més. El meu objectiu és ajudar-te a navegar pel món digital de forma senzilla i entretinguda.