- Arrencada segura protegeix l'inici verificant signatures vàlides i bloquejant programari no autoritzat.
- Per activar-lo, l'ordinador ha de fer servir UEFI i particionar GPT; desactiva CSM si està habilitat.
- Si apareix "No actiu", restaura les claus de Secure Boot a valors de fàbrica a la UEFI.
L'arrencada segura és una peça clau de la protecció del sistema: bloqueja que es carregui programari no autoritzat o maliciós durant l'encesa. Està integrat al firmware modern (UEFI) i, encara que la majoria d'equips ho suporten, de vegades apareix com a desactivat o no compatible per ajustaments de la BIOS/UEFI o pel mode d'arrencada. Si t'estàs preparant per a Windows 11 o simplement vols reforçar el teu PC, t'interessa tenir-lo actiu.
En aquesta guia trobaràs una explicació clara de què és, com comprovar si ho tens operatiu i, si cal, com activar-lo pas a pas des de la configuració de Windows i des de la UEFI. També veuràs què fer si apareix com a «No actiu», com restaurar les claus, quines precaucions prendre si fas servir BitLocker, i alguns apunts per a equips de marques populars (Dell, Lenovo, HP, ASUS, MSI, etc.).
Què és Arrencada segura i per què convé tenir-ho activat
Arrencada segura (Secure Boot) és una funció de la UEFI que valida, mitjançant firmes criptogràfiques, el programari que es carrega abans del sistema operatiu. Només permet iniciar components signats per fabricants de confiança (com Microsoft) i controladors validats. Així s'evita que rootkits o altres codis maliciosos es colin a l'arrencada, un moment especialment crític.
Si necessiteu executar sistemes operatius o eines que no són compatibles (certes utilitats de recuperació, entorns antics, etc.), podeu desactivar-lo temporalment. Compte amb això: en deshabilitar-ho reduïxes notablement la seguretat del teu equip, així que si no tens un motiu clar, el recomanable és mantenir-lo actiu per guanyar estabilitat i confiança a l'inici.
A efectes de requisits, Windows 11 exigeix que la màquina sigui compatible amb UEFI i Arrencada segura. No és estrictament obligatori per arrencar Windows 10, però tenir-ho habilitat aporta un plus de protecció i és un requisit per a l'actualització a Windows 11 en equips compatibles.
Com comprovar si el teu PC té Arrencada segura activada
Windows ofereix una manera directa de revisar-ho. Clica Windows + R, escriu msinfo32 i confirma. A «Informació del sistema», localitza «Mode BIOS» i «Estat d'arrencada segura». Si el Mode BIOS és UEFI i l'estat apareix com a Activat, ja esteu al dia. Si el Mode BIOS és Legacy (o CSM), primer haureu de canviar a UEFI i, molt probablement, convertir el disc a GPT.
En aquest mateix panell també podeu aparèixer «No compatible». En aquest cas, la placa base o el microprogramari no suporten Arrencada segura, o hi ha algun ajustament que ho impedeix. A la pràctica, en equips moderns n'hi ha prou amb desactivar CSM i utilitzar UEFI amb particionat GPT perquè l'estat canviï a compatible.
Una altra pista útil la donen algunes solucions de seguretat. Si veieu en eines com Avast One l'avís «El seu PC és vulnerable al codi maliciós (malware) en l'arrencada. Arrencada segura està desactivada», el remei passa per entrar a la UEFI i encendre'l a la secció de Seguretat o Arrencada.
Requisits previs i comprovacions clau
Abans de tocar res et convé revisar tres aspectes: mode d'arrencada (UEFI), estil de partició (GPT) i xifratge (BitLocker). Si tot encaixa, el procés serà ràpid i sense ensurts.
Mode d'arrencada: si a msinfo32 veieu «Mode BIOS: UEFI», perfecte. Si mostra Legacy/CSM, hauràs de canviar-ho a la UEFI. Normalment aquest canvi requereix que el disc del sistema estigui a GPT, altrament l'equip no arrencarà després del canvi.
Estil de partició del disc: obre «Administració de discos» (Windows + X > Administració de discos), fes clic dret al disc del sistema (la unitat on està Windows), entra a Propietats > Volums i mira «Estil de partició». Ha de ser «Taula de particions GUID (GPT)». Si posa MBR, podràs convertir-lo amb l'eina MBR2GPT que ve amb Windows.
BitLocker i xifrat de dispositiu: si utilitzes BitLocker o Xifratge de dispositiu, canviar paràmetres de la UEFI (com activar Secure Boot) pot sol·licitar la clau de recuperació en reiniciar. És imprescindible que la tinguis localitzada abans de procedir per evitar quedar-te sense accés a les dades.
TPM 2.0 (per a Windows 11): no és un requisit de l'arrencada segura en si, però sí de Windows 11. Executa Windows + R, escriu tpm.msc i verifica l'Estat. Si indiqueu «Llista per utilitzar», el TPM està habilitat; si no, hauràs d'activar-ho a la UEFI (busca TPM, PTT o fTPM a Seguretat o Avançat).
Convertir un disc MBR a GPT amb MBR2GPT
En equips que encara arrenquen en mode heretat, veuràs que el disc del sistema és a MBR. La utilitat MBR2GPT permet convertir-lo a GPT sense reinstal·lar, minimitzant riscos (encara que sempre convé tenir còpia de seguretat).
Obre Símbol del sistema com a administrador i executa una validació prèvia. Fes servir el número de disc que correspongui al teu equip (a «Administració de discos», la unitat del sistema sol ser el disc 0):
Comandament de validació:mbr2gpt /validate /disk:0 /allowFullOS
Si la validació és correcta, llança la conversió: Windows ajustarà les particions i prepararà l'arrencada UEFI.
Ordre de conversió:mbr2gpt /convert /disk:0 /allowFullOS
Després de convertir, entra a la UEFI i canvia el mode d'arrencada a UEFI (desactiva Legacy/CSM). Sense aquest canvi, l'equip pot no iniciar. Un cop a UEFI pur, ja podràs activar Arrencada segura a Windows 10.
Entrar a la UEFI/BIOS des de Windows o durant l'arrencada
Hi ha dues maneres habituals d'accedir-hi. La directa és reiniciar i prémer la tecla corresponent repetidament (varia per fabricant: Supr, F2, F10, F12 o Esc). L'alternativa guiada des de Windows és útil si us costa encertar amb la tecla.
Al Windows 10: vés a Configuració > Actualització i seguretat > Recuperació. A "Inici avançat", feu clic a "Reinicia ara". Després entra a Solucionar problemes > Opcions avançades > Configuració del firmware UEFI > Reiniciar. L'equip arrencarà directament a la pantalla de la UEFI.
Al Windows 11: Configuració > Windows Update > Opcions avançades > Recuperació. A «Inici avançat», trieu «Reiniciar ara» i, com abans, seleccioneu Solucionar problemes > Opcions avançades > Configuració del firmware UEFI.
En equips ASUS, quan estan del tot apagats, pots mantenir F2 i prémer el botó d'encesa per entrar a la UEFI; en sobretaula ASUS antics, de vegades es fa servir Superior. En consoles portàtils ASUS, es manté Volum – en encendre per assolir la configuració.
Activar Arrencada segura pas a pas a la UEFI/BIOS
La ubicació exacta canvia segons la placa, però la lògica és semblant: desactivar CSM, assegurar-se que el tipus de sistema operatiu és Windows UEFI i habilitar Secure Boot. Després, desar canvis i reiniciar.
Cerca a les pestanyes Seguretat, Arrencada, Avançat o Autenticació. En molts equips veuràs una opció anomenada «arrencada segur» o «Secure Boot». En altres, es gestiona a través de «Tipus de SO» o «OS Type».
– Desactiva CSM/Legacy: si apareix «CSM» o «Legacy», posa-ho a Disabled. Secure Boot requereix arrancada UEFI pur.
– Tipus de sistema operatiu: si existeix «Mode UEFI de Windows» davant «Un altre SO», trieu el primer per encendre Secure Boot automàticament en certs firmwares.
– Arrencada segura: col·loca l'opció a Enabled/Activat. En algunes interfícies, la línia «Estat d'arrencada segura» no es pot canviar manualment; s'actualitza quan habiliteu el vostre control i deseu la configuració.
Guarda canvis i surt amb F10 (o el menú «Guardar i sortir»). L'equip reiniciarà i, en tornar a Windows, pots confirmar a msinfo32 que ara l'«Estat d'arrencada segura» apareix com a Activat. Si no, revisa les claus de Secure Boot, com expliquem a continuació.
Gestió de claus d'arrencada segura i solució quan apareix «No actiu»
Si l'estat segueix «No actiu» o no et deixa habilitar, acostuma a ajudar restaurar les claus de fàbrica. El menú es pot anomenar Key Management, Secure Boot Keys o similar. La idea és esborrar les claus actuals i reinstal·lar les predeterminades.
En portàtils, AIO o consoles ASUS amb interfície UEFI clàssica:
1) A Secure Boot, activa Control d'arrencada segur a Enabled i entra a Gestió de claus.
2) Executa Restableix al mode de configuració per netejar les bases de dades de claus.
3) A continuació, tria Restaura les claus de fàbrica i confirma amb Yes.
4) Guarda canvis amb F10. Després del reinici, l'estat s'hauria d'actualitzar.
En equips ASUS amb interfície MyASUS in UEFI el flux és molt semblant: habilita Secure Boot Control, obre "Key Management", prem "Reset To Setup Mode", després "Restore Factory Keys" i desa. L'estat s'ajusta quan es reinicia.
A sobretaula ASUS, si veus «Secure Boot Mode», canvia a costum per accedir a la gestió de claus. Després selecciona Esborra les claus d'arrencada segura, confirma i, a continuació, «Instal·leu les claus d'arrencada segura predeterminades». Desa la configuració amb F10. Això reinstal·la les claus per defecte i permet que Secure Boot quedi actiu.
Tingues present dos matisos freqüents:
– En molts firmwares, el «Estat d'arrencada segura» (Actiu/No actiu) no és editable a mà; depèn de si el control està habilitat i que hi hagi claus.
– En certs models, l'estat canvia entre «Usuari» i «Configuració» segons que hi hagi claus de Secure Boot carregades o no. Amb claus presents, l‟estat de seguretat queda operatiu.
Guia ràpida per a equips ASUS: UEFI estàndard i MyASUS
Per als que usin ASUS, aquí va un destil·lat pràctic. Entrar en mode avançat amb F7, anar a Seguretat/Arrencada i activar Secure Boot és la línia general, amb petits canvis de nom segons la versió.
Interfície UEFI clàssica (portàtils i sobretaula):
- Pols F7 per accedir al «Mode avançat».
- Entra en Seguretat i després en arrencada segur.
– Ajusta «Control d'arrencada segur» a Enabled (o «Tipus de SO» a «Mode UEFI de Windows» en alguns sobretaula).
– Guarda amb F10 i confirma a Acceptar.
Interfície «MyASUS in UEFI» (portàtils):
– Entra a «configuració avançada» amb F7.
– Obre Seguretat > arrencada segur.
– Posa «Control d'arrencada segur» a Enabled.
– Guarda amb F10 i confirma. Si persisteix com a No actiu, aplica el procediment de «Key Management» indicat a dalt.
Nota addicional per a sobretaula ASUS: alguns firmwares gestionen Secure Boot mitjançant «Tipus de SO». Selecciona Windows UEFI Mode perquè quedi actiu; «Other OS» ho desactiva. Si utilitzeu eines no signades, és possible que necessiteu aquesta opció temporalment, però recorda revertir-la per recuperar la protecció.
Si utilitzes una ASUS PRIME A320M-K (o altres plaques AM4) i PC Health Check insisteix que falta Arrencada segura, revisa aquests punts:
– A msinfo32 ha de figurar «Mode BIOS: UEFI».
– CSM desactivat.
- "Mode UEFI de Windows» seleccionat a «Tipus de SO».
– Claus restaurades a valors de fàbrica.
– Verifica a msinfo32 que «Estat d'arrencada segura» canvia a Activat després de desar i reiniciar.
Punts a tenir en compte amb BitLocker i solucions de seguretat
Si el vostre disc està xifrat amb BitLocker o Xifratge de dispositiu, tingues a mà la clau de recuperació abans de tocar la UEFI. Després de modificar paràmetres com Secure Boot o TPM, Windows pot demanar-la en la primera arrencada. Pots localitzar-la al teu compte Microsoft o on la guardessis en activar-la.
Antivirus i suites de seguretat poden mostrar avisos si detecten Secure Boot desactivat. A Avast One, per exemple, apareix el missatge de «El seu PC és vulnerable al malware a l'arrencada». La solució no passa per l'antivirus en si, sinó per entrar a la UEFI i activar l'arrencada segura des de les opcions de Seguretat o Arrencada, tal com heu vist.
Dubtes freqüents i errors habituals
Puc activar Secure Boot sense perdre dades? Sí. Habilitar Arrencada segura no esborra la teva informació. On cal anar amb compte és convertir MBR a GPT (usa MBR2GPT i còpia de seguretat prèvia) i canviar a UEFI si el disc no està en GPT.
He habilitat Secure Boot, però Windows no arrenca. Probablement el disc del sistema segueix a MBR o CSM està actiu. Desactiva CSM, converteix el disc a GPT amb MBR2GPT i arrenca a UEFI. Si utilitzeu BitLocker, podeu demanar la clau de recuperació.
A la UEFI veig «Secure Boot State» però no ho puc canviar. És normal: aquest indicador reflecteix l'estat, no és un ajustament. El que has de canviar és Secure Boot Control o OS Type. Després de desar i reiniciar, l'estat s'actualitzarà.
On són les opcions exactament? Canvien segons fabricant i versió de microprogramari. Consulta el suport de la teva marca (Dell, Lenovo, HP, ASUS, MSI, etc.) si la nomenclatura no coincideix. A ASUS, les rutes més comunes són Seguretat > Arrencada segura o Arrancada > Arrencada segura.
I si necessito fer servir un sistema no signat? Podeu desactivar temporalment Secure Boot. Assumeix el risc i torna a activar-lo com més aviat millor. En alguns sobretaula, seleccioneu «Other OS» a «Tipus de SO» per desactivar-lo i «Windows UEFI mode» per activar-lo de nou.
TPM 2.0 no apareix o no està llest. Busca a la UEFI "TPM", "PTT" (Intel) o "fTPM" (AMD) a Seguretat o Avançat i habilita'l. Per a Windows 11, TPM 2.0 i Arrencada segura han d'estar operatius.
Després de seguir la guia de vídeo, PC Health Check segueix queixant-se. De vegades falta restaurar les claus o desactivar CSM del tot. Repeteix msinfo32 i confirma «Mode BIOS: UEFI» i «Estat d'arrencada segura: Activat». Si continua fallant, revisa Key Management i instal·la les claus per defecte.
Amb UEFI actiu, disc en GPT i claus de Secure Boot instal·lades, habilitar Arrencada segura és qüestió d'un parell de canvis a la UEFI. La protecció addicional que ofereix val la pena, sobretot si migraràs a Windows 11 o maneges informació sensible.
