Co je to Secure Boot? Secure Boot (Bezpečné spouštění) je bezpečnostní funkce v moderních základních deskách (UEFI), která funguje jako digitální ochranka. Zajišťuje, že se při zapnutí počítače nenačte žádný škodlivý kód nebo vir dříve, než samotný operační systém Windows. Zatímco pro samotnou instalaci Windows 11 stačí, aby vaše základní deska tuto funkci pouze podporovala (nemusí být nutně zapnutá), její aktivace je v roce 2026 striktně vyžadována pro spuštění populárních online her s moderní ochranou proti podvádění (anti-cheat), jako jsou Valorant, League of Legends nebo série EA Sports FC.
📅
Představte si, že si chcete večer zahrát s přáteli oblíbenou online hru, ale místo načítací obrazovky na vás vyskočí chybová hláška typu „Vanguard requires Secure Boot to be enabled in order to play“. Nebo se snažíte bezplatně přejít z Windows 10 na Windows 11 a systém vám hlásí, že váš počítač nesplňuje bezpečnostní požadavky.
V obou případech je viníkem jediná položka schovaná hluboko v nastavení vašeho počítače – Secure Boot. Pro běžného laika může znít vstup do "BIOSu" děsivě, ale nebojte se. V tomto průvodci si lidštinou vysvětlíme, co tato funkce dělá, jaké má výhody a hlavně – jak ji na různých počítačích jednoduše a bezpečně zapnout.
📋 Obsah článku
- Co je to Secure Boot (Vysvětlení pro laiky)
- Proč hry jako Valorant a LoL vyžadují Secure Boot?
- Výhody a nevýhody: Zpomaluje to počítač?
- Tajemství šifrovacích klíčů (PK a db): Musím je zálohovat?
- Co dělat, když máte Windows nainstalovaný postaru jako MBR?
- Návod: Jak zapnout Secure Boot v BIOSu (ASUS, Gigabyte, MSI)
- FAQ – 10 nejčastějších otázek a problémů
Co je to Secure Boot (Vysvětlení pro laiky)
Představte si svůj počítač jako exkluzivní noční klub. Když zmáčknete tlačítko pro zapnutí počítače, systém se začne "probouzet". V dobách starých počítačů do klubu (do paměti) mohl vejít úplně kdokoliv – včetně maskovaných zlodějů v podobě tzv. rootkitů (agresivních virů, které se usídlily hluboko v PC ještě před načtením Windows). Antivirový program pak neměl šanci takový vir odhalit, protože vir už v klubu dávno byl, když antivirus teprve přicházel do práce.
Secure Boot funguje jako přísný vyhazovač u dveří. Má v ruce seznam povolených hostů (digitálních podpisů). Když se počítač zapíná, vyhazovač zkontroluje každý kousek softwaru, který se snaží načíst. Pokud narazí na program bez oficiální propustky (nepodepsaný kód od hackera), zabouchne mu dveře před nosem a nepustí ho dál. Windows se tak načte v naprostém bezpečí.
Proč hry jako Valorant a LoL vyžadují Secure Boot?
Možná si říkáte: „Mě nezajímá zabezpečení Windows, chci jen hrát hry. Proč mi to blokují?“ Odpověď leží v boji proti podvodníkům (tzv. cheaterům).
Tvůrci cheatů (programů pro automatické míření, vidění skrz zdi) se postupem času naučili vytvářet podvody, které fungují na stejné bázi jako ony nejnebezpečnější viry. Zavádějí se do počítače dříve než samotná hra a maskují se tak hluboko v systému, že je běžný herní anti-cheat nevidí. Společnosti jako Riot Games proto zavedly tvrdé pravidlo: Na Windows 11 musíte mít zapnutý Secure Boot. Díky němu má hra jistotu, že se do vašeho počítače při startu nenaboural žádný hackerský program. Je to nutné zlo pro udržení férového hraní.
Hry, které v roce 2026 striktně vyžadují Secure Boot na Windows 11:
- Valorant (Riot Vanguard)
- League of Legends (Riot Vanguard)
- FIFA / EA Sports FC 24 a 25 (EA AntiCheat)
- Call of Duty: Warzone (Ricochet - částečně na určitých verzích OS)
Výhody a nevýhody: Zpomaluje to počítač?
Vyvrátíme hned jeden z největších mýtů: Secure Boot nijak nezpomaluje výkon vašeho počítače ani nesnižuje FPS ve hrách. Jeho práce končí v momentě, kdy se načte plocha Windows.
| Výhody zapnutého Secure Bootu | Případné nevýhody |
|---|---|
| ✅ Neochvějná ochrana před nejzávažnějšími typy virů a ransomwaru. | ❌ Může blokovat spuštění starších záchranných USB flash disků. |
| ✅ Umožňuje plnohodnotný upgrade na moderní Windows 11. | ❌ Brání instalaci některých okrajových nebo starých distribucí Linuxu. |
| ✅ Odemkne vám přístup ke všem populárním online esport hrám. | ❌ Složitější zapnutí, pokud máte velmi starý počítač nainstalovaný v režimu Legacy. |
Tajemství šifrovacích klíčů (PK a db): K čemu slouží a musím je zálohovat?
Při procházení nastavení Secure Bootu v BIOSu možná narazíte na děsivě vyhlížející možnosti jako Key Management, Platform Key (PK) nebo dokonce na volby pro uložení klíčů na USB disk. O co se jedná?
Vraťme se k naší analogii s vyhazovačem u vstupu do nočního klubu. Aby vyhazovač (Secure Boot) přesně věděl, koho má pustit dovnitř a koho vyhodit, potřebuje VIP seznam hostů. Tímto seznamem jsou právě šifrovací klíče a digitální podpisy. Tím nejvyšším je takzvaný Platform Key (PK) – pomyslný podpis majitele klubu (v tomto případě výrobce základní desky a společnosti Microsoft). Tento klíč říká vašemu počítači: „Tento seznam je oficiální a můžeš mu stoprocentně věřit.“
Má pro běžného hráče smysl tyto klíče zálohovat?
Krátká odpověď zní: Ne, absolutně ne. Funkce pro zálohování klíčů na flash disk je určena výhradně pro IT administrátory ve velkých korporacích nebo pro nadšence do systému Linux, kteří si programují vlastní verze operačního systému a potřebují si vytvořit svůj vlastní "VIP seznam". Pro běžného uživatele Windows 11 představuje jakékoliv ruční promazávání nebo zálohování klíčů jen zbytečné riziko.
💡 Co dělat, když klíče chybí nebo je omylem smažete?
Často se stává (typicky u základních desek Gigabyte), že v BIOSu zapnete Secure Boot na "Enabled", ale Windows po spuštění stále tvrdí, že je funkce vypnutá. Znamená to, že BIOS ztratil svůj VIP seznam (klíče nejsou načteny). Řešení je triviální: v menu BIOSu hned pod Secure Bootem klikněte na položku Restore Factory Keys (Obnovit tovární klíče) nebo Install Default Secure Boot keys. Tím se bezpečný seznam od výrobce znovu nahraje do paměti a po restartu začne vše okamžitě fungovat.
Co dělat, když máte Windows nainstalovaný postaru jako MBR?
Zjistili jste, že váš pevný disk používá starý formát MBR (Master Boot Record), kvůli kterému nemůžete v BIOSu vypnout CSM a aktivovat Secure Boot? První otázka, která každého uživatele v ten moment napadne, zní: „Musím kompletně smazat celý počítač a přeinstalovat Windows od nuly?“
Skvělá zpráva je, že ne, čistá přeinstalace systému není nutná! Nemusíte přijít o své fotky, rozdělanou práci ani stažené hry. Přímo v systému Windows totiž existuje skrytý, ale mimořádně užitečný oficiální nástroj od Microsoftu s názvem MBR2GPT. Tento program dokáže váš systémový disk bezpečně překlopit do moderního formátu GPT za několik vteřin a bez ztráty jediného souboru.
Jak konverze disku bez ztráty dat funguje?
Aby mohl program formát disku bezpečně změnit, nesmí být systém Windows v danou chvíli aktivně spuštěný. Celý proces se proto provádí přes Příkazový řádek v takzvaném záchranném režimu Windows:
- Podržte na klávesnici klávesu Shift a v nabídce Start klikněte na tlačítko Restartovat. Počítač se namísto běžného vypnutí přepne do modré záchranné obrazovky.
- Zde zvolte možnost Odstranit problémy -> Upřesnit možnosti -> Příkazový řádek. Počítač se restartuje do černého textového okna.
- Nejprve spusťte kontrolu, zda je váš disk pro konverzi bezpečně připraven. Napište příkaz
mbr2gpt /validate /allowFullOSa stiskněte Enter. Pokud systém napíše, že ověření proběhlo úspěšně (Validation completed successfully), můžete pokračovat. - Nyní spusťte samotnou konverzi zadáním příkazu:
mbr2gpt /convert /allowFullOSa potvrďte Enterem. Program během chvíle vytvoří nový bezpečný startovací oddíl. - Jakmile proces skončí, zavřete okno, vypněte PC a při následném startu ihned vjeďte do BIOSu (přes klávesu Delete). Nyní můžete bez obav vypnout CSM Support, zapnout Secure Boot a uložit nastavení (F10). Windows vám v pořádku a v plném bezpečí naběhne.
⚠️ Důležité varování pro laiky
Ačkoliv je tento vestavěný nástroj od Microsoftu spolehlivý, zásah do tabulky oddílů disku je vždy citlivá operace. Pokud se na disku nachází chyba, nebo by během převodu například vypadl elektrický proud, hrozí poškození zavádění systému. Pokud máte na počítači kriticky důležitá rodinná data, dokumenty nebo účetnictví, před spuštěním příkazu si je vždy raději zazálohujte, nebo celou operaci svěřte profesionálnímu servisu.
Návod: Jak zapnout Secure Boot v BIOSu
Abyste Secure Boot zapnuli, musíte se dostat do tzv. BIOSu / UEFI. To je základní systém desky, do kterého vstoupíte ihned po zapnutí počítače (ještě předtím, než naskočí kolečko načítání Windows), zběsilým mačkáním klávesy Delete nebo F2.
⚠️ Kritické varování před zapnutím!
Aby šel Secure Boot zapnout, musíte mít v BIOSu vypnutý modul podpory starých systémů (tzv. CSM Support nebo Legacy Mode). Pokud je váš Windows nainstalovaný postaru na disk ve formátu MBR, po vypnutí CSM a zapnutí Secure Bootu vám Windows nenaběhne! Vždy si nejprve ve Správci disků ve Windows ověřte, že má váš systémový disk oddíl typu GPT. Pokud by se to stalo, stačí v biosu změnit zpět. Jak změnit formát MBR na GPT? Čtěte odstavec výše.
Postup pro základní desky ASUS:
- Po zapnutí PC mačkejte Delete pro vstup do BIOSu.
- Stiskněte F7 pro přepnutí do pokročilého režimu (Advanced Mode).
- Nahoře klikněte na záložku Boot.
- Najděte položku Secure Boot a klikněte na ni.
- Změňte volbu OS Type na Windows UEFI mode (nikoliv Other OS).
- Stiskněte F10, potvrďte uložení a nechte PC restartovat.
Postup pro základní desky Gigabyte:
- Po zapnutí PC mačkejte Delete.
- Přejděte do záložky Boot.
- Najděte položku CSM Support a nastavte ji na Disabled (Vypnuto). Pozn.: Bez toho se vám možnost Secure Boot vůbec neukáže.
- Najděte nově zobrazenou položku Secure Boot a přepněte ji na Enabled.
- Stiskněte F10 pro uložení a restart.
Postup pro základní desky MSI:
- Mačkejte Delete při startu.
- Stiskněte F7 pro pokročilý režim.
- Přejděte do dlaždice Security -> Secure Boot
- Položku Secure Boot přepněte na Enabled.
- (Pokud to nejde, přepněte nejprve Boot Mode z CSM na UEFI a restartujte).
- Pokud Secure Boot nemůžete najít - klikněte nahoře na lupu a vyhledejte
- Uložte změny pomocí klávesy F10.
Nemáte PC, které podporuje Secure Boot?
Pokud je vaše základní deska příliš stará, nepodporuje moderní formát UEFI a Secure Boot na ní nelze zapnout, nejnovější hry jako Valorant nebo EA FC si na Windows 11 bohužel nezahrajete. Vyhněte se zklamání a přejděte na novou generaci.
Mrkněte na nabídku moderních herních počítačůFAQ – 10 nejčastějších otázek a problémů
❓ Proč mi nejde zapnout Secure Boot v BIOSu? Položka je šedá.
K této chybě dochází, pokud máte zapnutý modul kompatibility se starými systémy (CSM - Compatibility Support Module). Abyste mohli aktivovat Secure Boot, musíte nejprve najít položku CSM Support, přepnout ji na "Disabled" (Vypnuto), uložit BIOS (F10), restartovat a znovu vstoupit do BIOSu. Až pak se položka odemkne.
❓ Co dělat, když Windows 11 hlásí "Secure Boot is off", i když jsem ho zapnul?
Na některých deskách (zejména Gigabyte) nestačí položku pouze přepnout na Enabled. Musíte také vygenerovat nebo obnovit bezpečnostní klíče. Hledejte v BIOSu pod položkou Secure Boot možnost "Restore Factory Keys" (Obnovit tovární klíče) nebo přepněte mód z "Custom" na "Standard".
❓ Windows mi po zapnutí Secure Bootu vůbec nenaběhne. Hází mě to zpět do BIOSu. Proč?
Váš operační systém byl nainstalován ve starém režimu Legacy s diskem formátu MBR. Secure Boot vyžaduje moderní systém UEFI a disk ve formátu GPT. Budete muset BIOS vrátit do původního stavu, aby Windows najel, a poté provést systémovou konverzi disku (pomocí nástroje MBR2GPT ve Windows).
❓ Lze hrát Valorant nebo League of Legends bez Secure Bootu?
Na operačním systému Windows 10 vám systém ochrany Riot Vanguard dovolí hrát i bez Secure Bootu. Pokud však používáte Windows 11, Secure Boot i TPM 2.0 jsou pro hraní těchto her absolutně povinné a bez nich se hra nespustí.
❓ Smaže zapnutí Secure Bootu moje soubory a hry z disku?
Ne, zapnutí ani vypnutí funkce Secure Boot v BIOSu nemá absolutně žádný vliv na vaše uložená data. Jde pouze o bezpečnostní kontrolu při startu počítače. Vaše soubory, fotky i hry zůstanou nedotčeny.
❓ Zpomaluje Secure Boot můj počítač nebo hry?
Ne. Secure Boot kontroluje digitální podpisy softwaru pouze během prvních vteřin při zapínání počítače. Jakmile naběhne plocha Windows, jeho práce končí. Na plynulost her (FPS) ani rychlost stahování to nemá sebemenší vliv.
❓ Je Secure Boot to samé jako TPM 2.0?
Nejsou to stejné věci, ale vzájemně se doplňují. TPM 2.0 je hardwarový šifrovací čip (nebo funkce procesoru), který bezpečně uchovává hesla, zatímco Secure Boot je softwarový vyhazovač blokující viry při startu. Windows 11 vyžaduje k instalaci obojí.
❓ Jak poznám, jestli mám Secure Boot už zapnutý?
Nemusíte hned restartovat PC. Ve Windows stiskněte klávesu s logem Windows, napište "Systémové informace" (System Information) a stiskněte Enter. V pravém okně najděte řádek "Stav zabezpečeného spouštění" (Secure Boot State). Bude tam napsáno buď Zapnuto, nebo Vypnuto.
❓ Mohu s nainstalovaným Windows 11 Secure Boot dodatečně vypnout?
Ano, systém Windows 11 bude fungovat i v případě, že Secure Boot v BIOSu dodatečně vypnete (například pro nabootování linuxového USB disku). Ztratíte však možnost hrát hry, které tuto kontrolu na Windows 11 vyžadují.
❓ Potřebuji Secure Boot, když používám pouze starý Windows 10?
Ačkoliv Windows 10 tuto funkci nativně podporuje a je doporučeno ji mít zapnutou kvůli ochraně před rootkity, není její zapnutí pro běh systému a většiny her na Windows 10 povinné. Vzhledem k blížícímu se konci podpory Windows 10 (v říjnu 2025) však doporučujeme PC na Secure Boot připravit.