- Boot Aman memerlukan UEFI, partisi GPT, dan kunci boot yang valid.
- msinfo32 memungkinkan Anda memeriksa mode BIOS dan status Boot Aman.
- Menonaktifkan CSM dan memilih Windows UEFI memungkinkan verifikasi tanda tangan.
- Mengelola kunci (mengembalikan default pabrik) menyelesaikan status "Tidak aktif".

Setelah pembaruan BIOS/UEFI, Secure Boot sering kali dinonaktifkan, berubah status, atau muncul sebagai "Tidak Aktif". Oleh karena itu, disarankan untuk meninjau pengaturan agar berfungsi kembali dengan baik. Dalam artikel ini, saya akan menjelaskan secara detail cara mengaktifkan kembali Secure Boot dengan aman tanpa mengabaikan poin-poin penting seperti: UEFI, GPT, CSM, kunci boot, TPM 2.0 dan BitLocker.
Sebelum menyentuh apa pun, ada baiknya melakukan dua atau tiga pemeriksaan cepat pada Windows dan firmware. Ini akan membantu Anda menghindari kesalahan umum seperti "Legacy UEFI" atau kunci enkripsi yang terkenal. Siapkan kunci pemulihan Anda jika Anda menggunakan [nama sistem/perangkat lunak tertentu]. BitLocker dan konsultasikan dengan panduan produsen Anda, jika berlaku, karena Setiap motherboard (ASUS, MSI, Gigabyte, Lenovo, Dell, HP, dll.) mungkin menampilkan menu yang berbeda.
Apa itu Safe Start dan mengapa Anda harus mengaktifkannya?
Secure Boot adalah lapisan perlindungan firmware yang memvalidasi tanda tangan kriptografi perangkat lunak yang dimuat saat sistem dimulai, memastikan bahwa hanya perangkat lunak yang ditandatangani dan tepercaya yang dijalankan. Dengan kata lain, memblokir eksekusi Bootloader atau pengemudi yang tidak sah dan membantu menahan malware yang mencoba masuk selama fase boot.
Selain keamanan, konfigurasi yang tepat juga memengaruhi stabilitas dan kompatibilitas dengan sistem modern. Jika Anda perlu menjalankan alat atau sistem operasi yang tidak mendukung verifikasi ini, Anda dapat menonaktifkannya untuk sementara, meskipun produsen menyarankan untuk tetap mengaktifkannya. Boot Aman diaktifkan secara permanen kecuali untuk kebutuhan yang sangat spesifik.
Pemeriksaan awal di Windows: mode BIOS dan status Boot Aman
Hal pertama yang harus dilakukan adalah mengonfirmasi status komputer Anda saat ini. Windows menawarkan pratinjau cepat untuk melihat apakah Anda berada dalam mode UEFI atau Legacy (CSM) dan apakah Secure Boot diaktifkan. Memeriksa ini menghemat waktu Anda karena Jika sudah muncul sebagai “Diaktifkan”, tidak ada lagi yang perlu dilakukan..
- pers Windows + Rmenulis msinfo32 dan konfirmasi dengan Enter. Informasi Sistem akan terbuka.
- Temukan bidang-bidangnya Mode BIOS y Status Booting Aman.
- Jika Mode BIOS menunjukkan UEFI dan Status Boot Aman Diaktifkan, Anda tidak perlu melakukan perubahan apa pun. Jika ditampilkan Dinonaktifkan, Anda dapat mengaktifkannya. Jika ditampilkan Tidak cocokMotherboard Anda tidak mendukung fungsi ini.
- Jika Mode BIOS menunjukkan Diwarisi/CSMAnda perlu beralih ke UEFI sebelum dapat menggunakan Secure Boot.
MBR vs GPT: Konversi disk sistem jika perlu
Agar Secure Boot berfungsi, instalasi Windows harus berada di disk dengan partisi dalam gaya GPT (Tabel Partisi GUID). Jika drive sistem Anda diformat sebagai MBR, disarankan untuk mengonversinya ke GPT menggunakan alat bawaan Microsoft. Pertama-tama, Cadangkan data penting Anda.
Periksa gaya partisi di Manajemen Disk: Tekan Windows + X, buka Manajemen Disk, klik kanan pada disk sistem (bukan hanya drive C:), lalu buka Properti > Volume. Di bawah Gaya partisi, Anda akan melihat apakah GPT o MBR.
Jika Anda perlu mengonversi, buka Command Prompt sebagai Administrator (pastikan jendela menunjukkan tingkat izin) dan validasi dengan mbr2gpt /validate /disk:0 /allowFullOS (Ganti 0 dengan nomor disk yang benar jika tidak cocok). Jika semuanya benar, jalankan mbr2gpt /convert /disk:0 /allowFullOSSetelah konversi, mungkin diperlukan Ubah mode boot di firmware ke UEFI.
Pra-validasi sangat penting karena memeriksa, antara lain, apakah ada cukup ruang untuk tabel GPT dan apakah struktur partisi kompatibel. Meskipun alat ini dirancang untuk konversi di tempat, setiap perubahan partisi mengandung risiko, dan itulah alasannya. Disarankan untuk membuat cadangan sebelum.
TPM 2.0 dan Windows 11: Verifikasi Cepat
Meskipun TPM 2.0 tidak diperlukan untuk mengaktifkan Boot Aman, TPM 2.0 diperlukan untuk Windows 11. Jika Anda menggunakan Windows 11, Anda harus memastikan bahwa chip tersebut ada dan diaktifkan. Jalankan tpm.msc Dan periksa statusnya: jika tertulis "Siap digunakan", semuanya baik-baik saja; jika tidak, Aktifkan di BIOS/UEFI (Cari TPM, fTPM atau PTT tergantung pada produsennya, biasanya di Keamanan atau Opsi Lanjutan).
Pada banyak perangkat modern, TPM diaktifkan secara default, tetapi mungkin dinonaktifkan setelah pembaruan firmware atau pengaturan ulang sistem. Jalur yang umum adalah Keamanan > TPM/fTPM/PTT dan pilih EnabledMenyimpan perubahan dengan F10 sebelum keluar agar aktivasi efektif.
Cara masuk ke BIOS/UEFI: kunci dan jalur dari Windows
Untuk mengakses Secure Boot, Anda perlu mengakses firmware. Cara paling umum adalah dengan me-restart komputer dan menekan tombol berulang kali selama POST. Tombol yang paling umum adalah: Del, F2, F10, F12 atau Escmeskipun itu tergantung pada produsennya.
Jika Anda lebih suka melakukannya dari dalam sistem itu sendiri, gunakan Startup Lanjutan. Di Windows 10, buka Pengaturan > Pembaruan & Keamanan > Pemulihan dan tekan Restart Sekarang Di Startup Lanjutan. Di Windows 11, buka Pengaturan > Pembaruan Windows > Opsi Lanjutan > Pemulihan, lalu di bawah Startup Lanjutan, pilih Mulai Ulang Sekarang. Setelah memulai ulang, buka Pemecahan Masalah > Opsi Lanjutan > Pengaturan Firmware UEFI dan konfirmasi.
Pada beberapa laptop (terutama laptop gaming), biasanya tombol ditekan terus saat komputer dimatikan. F2 saat menyalakanPada perangkat permainan portabel tertentu, metodenya mungkin melibatkan penekanan tombol volume bawah dan tombol daya secara bersamaan. Konsultasikan panduan untuk model Anda jika Anda tidak masuk pada kali pertama.
Lokasi Secure Boot dalam firmware dan apa yang perlu dinonaktifkan.
Setelah masuk ke BIOS/UEFI, cari opsi Secure Boot. Opsi ini mungkin terletak di tab seperti Keamanan, Boot, Lanjutan atau Autentikasitergantung pada apakah antarmukanya UEFI klasik atau "MyASUS di UEFI" atau lapisan pabrikan lain.
Sebelum mengaktifkan Secure Boot, nonaktifkan CSM (Modul Dukungan Kompatibilitas) atau mode Legacy. Secure Boot hanya berfungsi di UEFI murni, jadi jika CSM diaktifkan, nonaktifkan. Selanjutnya, periksa apakah ada opsi Jenis OS; pada banyak firmware, Anda akan menemukan "mode Windows UEFI" alih-alih "OS Lain"; untuk mengaktifkan Secure Boot, pilih Windows UEFI.
Dengan CSM dinonaktifkan dan jenis OS yang benar dipilih, temukan sakelarnya Secure Boot (Ini mungkin muncul sebagai Kontrol Booting Aman.) Alihkan dari Dinonaktifkan ke Diaktifkan. Jika firmware meminta Anda untuk mengelola kunci, menginstal pengaturan default pabrik, atau memulihkan kunci default; basis data inilah yang memungkinkan Anda memvalidasi bootloader yang ditandatangani oleh Microsoft.
Simpan perubahan, keluar, dan verifikasi di Windows
Setelah selesai, simpan dan keluar. Biasanya dilakukan dengan F10 dan konfirmasi (Terima/OK/Konfirmasi), atau dengan membuka tab Simpan dan Keluar dan memilih "Simpan perubahan dan keluar". Komputer akan memulai ulang dengan pengaturan baru yang diterapkan.
Kembali ke Windows, ulangi kueri ke msinfo32 Untuk mengonfirmasi bahwa status Boot Aman kini ditampilkan sebagai Diaktifkan. Jika masih ditampilkan sebagai "Tidak aktif" atau "Dinonaktifkan", kunci mungkin hilang atau CSM mungkin masih diaktifkan di suatu tempat di firmware.
Apa yang harus dilakukan jika "Tidak aktif" muncul: setel ulang tombol dan paksa mode yang sesuai
Ada skenario di mana, meskipun UEFI dan Secure Boot diaktifkan, statusnya menunjukkan "Tidak aktif"Pada motherboard modern, solusi yang umum adalah mengaktifkan kontrol Secure Boot dan mengembalikan kunci default pabrik, lalu menyimpannya.
Di laptop, PC all-in-one, atau konsol game dengan UEFI klasik: buka Keamanan > Boot Aman dan atur Kontrol Boot Aman DiaktifkanSelanjutnya, buka Manajemen Kunci. Pertama, gunakan "Reset ke Mode Pengaturan" untuk menghapus database, konfirmasi dengan Ya, lalu pilih Pulihkan Kunci PabrikSimpan perubahan (F10) dan mulai ulang.
Pada perangkat dengan "MyASUS di UEFI", prosesnya setara: aktifkan kontrol Boot Aman, masuk ke Manajemen Kunci, dan bersihkan dengan Atur Ulang ke Mode Pengaturan Terakhir, instal kunci menggunakan "Pulihkan Kunci Pabrik". Simpan perubahan dan mulai ulang agar status diperbarui.
Pada komputer desktop, beberapa firmware memerlukan perubahan Mode Boot Aman ke Kustom Untuk mengelola kunci: buka Manajemen Kunci, jalankan "Hapus Kunci Boot Aman", konfirmasi, lalu pilih "Pasang Kunci Boot Aman Default". Jangan lupa untuk menutup dengan F10 atau "Simpan Perubahan dan Keluar" agar statusnya berubah menjadi Pengguna/Aktif jika diperlukan.
Banyak BIOS UEFI memiliki mode dasar dan mode lanjutan. Jika Anda tidak melihat opsi di atas, tekan F7 untuk beralih ke Mode Lanjutan Kemudian, periksa kembali tab Keamanan dan Boot. Navigasi dapat dilakukan menggunakan tombol panah dan Enter, tetikus, atau touchpad, tergantung sistemnya.
Antarmukanya mungkin sedikit berbeda antara model dan versi firmware. Jangan kaget jika menemukan jalur yang tercantum sebagai Keamanan > Boot Aman > Kontrol Boot Aman atau sebagai Boot > Boot Aman > Jenis OSSasarannya sama: nonaktifkan CSM, pilih Windows UEFI, dan pastikan kunci Secure Boot dimuat.
BitLocker dan enkripsi perangkat: hindari kejutan saat memulai ulang
Jika Anda menggunakan BitLocker atau Enkripsi Perangkat, mengubah parameter boot penting (CSM, Boot Aman, TPM) dapat meminta Windows untuk... kunci pemulihan pada boot berikutnya. Siapkan sebelum menyentuh BIOS/UEFI agar tidak macet.
Jika Anda ingin menonaktifkan enkripsi sementara, konsultasikan terlebih dahulu panduan resmi Microsoft untuk menghindari kehilangan data. Pada sistem perusahaan, sebaiknya koordinasikan perubahan ini dengan [departemen/organisasi terkait]. tim TI untuk mematuhi kebijakan dan menjaga keamanan.
Rute alternatif untuk mengaktifkan UEFI dan mengonversi partisi tanpa menginstal ulang
Jika Anda berasal dari mode Legacy/CSM dan disk Anda diformat sebagai MBR, cara terbersih adalah mengonversi ke GPT menggunakan utilitas mbr2gpt lalu beralih ke UEFI di BIOS. Ingatlah untuk memvalidasi terlebih dahulu dengan mbr2gpt /validate dan kemudian jalankan itu mbr2gpt /convert dengan pengenal disk yang benar.
Satu detail yang sering diabaikan: jendela command prompt harus dibaca AdministratorJika Anda tidak menjalankan konsol dengan hak istimewa yang lebih tinggi, perintah mungkin gagal tanpa pesan yang jelas, sehingga memaksa Anda mengulangi langkah-langkah tersebut.
Kapan harus menonaktifkan Secure Boot untuk sementara
Beberapa alat diagnostik, gambar pemeliharaan, dan sistem operasi tidak berfungsi dengan verifikasi tanda tangan diaktifkan. Jika demikian, Anda dapat menonaktifkan Boot Aman untuk sementara, menggunakan yang diperlukan, lalu mengaktifkannya kembali. aktifkan segera setelah Anda selesai.
Jika Anda menginstal Linux dan memilih "OS Lain" di BIOS, wajar jika muncul pesan atau kesalahan terkait UEFI lama. Solusinya biasanya dengan mengonfigurasi mode UEFI, menonaktifkan CSM, dan, jika Anda ingin tetap menggunakan Windows, verifikasi bahwa disk sistem adalah GPT dan kunci Boot Aman telah dimuat. Beberapa skenario Linux memerlukan bootloader yang ditandatangani; jika tidak, satu-satunya pilihan Anda adalah melakukan boot dengan Boot Aman dinonaktifkan.
Laptop dan komputer all-in-one: Dalam keadaan komputer mati, tahan tombol F2 saat menyalakan untuk masuk ke menu pengaturan. Setelah masuk, alihkan ke mode lanjutan dengan F7Buka Keamanan > Boot Aman dan sesuaikan Kontrol Boot Aman. Jika tidak muncul, periksa juga tab Boot, terutama Jenis OS (Windows UEFI vs. OS Lain).
MyASUS di UEFI: Navigasinya sangat mirip, hanya tampilannya yang berbeda. Buka Pengaturan Lanjutan, navigasikan ke Keamanan > Boot Aman, lalu aktifkan tombol kontrol dan kelola dari sana. Manajemen Kunci Jika statusnya tetap Tidak Aktif, ingatlah untuk menyimpan dengan F10.
Komputer desktop: pada beberapa model tombol untuk masuk adalah Supr (Del)Buka Boot > Boot Aman dan, jika manajemen kunci diaktifkan, atur mode ke Kustom untuk menghapus dan memasang kunci default (Instal Kunci Boot Aman Default). Pastikan juga CSM diatur ke Nonaktif dan aktifkan.
Pemeriksaan akhir dan pemecahan masalah
Setelah setiap perubahan BIOS, simpan dan mulai ulang. Di Windows, buka kembali BIOS. msinfo32 Untuk mengonfirmasi: Mode BIOS diatur ke UEFI dan status Boot Aman diatur ke Diaktifkan. Jika terjadi kesalahan dan komputer tidak bisa boot, kembalikan ke firmware dan nonaktifkan Boot Aman untuk sementara atau kembalikan pengaturan terakhir untuk memulihkan fungsionalitas.
Kesalahan umum yang menunjukkan masalah: jika "Tidak aktif" tetap ada, kunci hilang; jika Anda tidak melihat sakelar Boot Aman, Anda berada dalam tampilan dasar dan perlu beralih ke mode lanjutan; jika Windows tidak memulai setelah mengonversi ke GPT, firmware mungkin masih dalam CSM/Diwariskan Alih-alih UEFI. Sesuaikan ketiga poin tersebut dan masalah hampir selalu teratasi.
Selalu periksa dokumentasi produsen Anda. Meskipun tujuannya sama untuk semua merek, terminologi dan jalur pastinya berbeda-beda. Opsi yang disebut "Jenis OS" biasanya merupakan opsi yang mengaktifkan atau menonaktifkan Boot Aman di bawah (Windows UEFI = aktif, OS Lain = tidak aktif).
• Verifikasi di msinfo32 bahwa Anda berada di UEFI dan periksa status Boot Aman. Jika Anda berada di Legacy, ubah ke GPT dan ubah ke UEFI dalam firmware.
• Nonaktifkan CSM di BIOS. Atur Jenis OS ke Windows UEFI dan aktifkan Boot Aman. Jika diminta, menginstal kunci default atau memulihkannya dari Manajemen Kunci.
• Jika statusnya menunjukkan "Tidak Aktif", lakukan pengaturan ulang menggunakan Atur Ulang ke Mode Pengaturan dan instal ulang kunci pabrik. Pada sistem desktop, Anda mungkin perlu beralih ke mode Kustom untuk mengelola kunci. Ingat simpan dengan F10.
• Gunakan TPM 2.0 jika Anda menggunakan Windows 11 dan ingat BitLocker: catat kunci pemulihan sebelum menyentuh firmware. Jika terjadi kesalahan, kembalikan perubahan terakhir dan coba lagi.
Dengan UEFI, GPT, dan CSM dinonaktifkan, dan kunci pabrik telah dimuat, Boot Aman akan berfungsi dan komputer Anda hanya akan menjalankan perangkat lunak tepercaya. Pengaturan ini patut diperiksa, terutama setelah pembaruan BIOS, karena terkadang perubahan ini akan mereset parameter boot atau menghapus basis data kunci. Setelah Anda memahami prosesnya (msinfo32 untuk diagnostik, mbr2gpt jika perlu, pengaturan di Keamanan/Boot dan manajemen kunci), Aktifkan kembali Boot Aman Hanya dalam hitungan menit, Anda mendapatkan keamanan tambahan tanpa mengorbankan kinerja.
Daftar isi
- Apa itu Safe Start dan mengapa Anda harus mengaktifkannya?
- Pemeriksaan awal di Windows: mode BIOS dan status Boot Aman
- MBR vs GPT: Konversi disk sistem jika perlu
- TPM 2.0 dan Windows 11: Verifikasi Cepat
- Cara masuk ke BIOS/UEFI: kunci dan jalur dari Windows
- Lokasi Secure Boot dalam firmware dan apa yang perlu dinonaktifkan.
- Simpan perubahan, keluar, dan verifikasi di Windows
- Apa yang harus dilakukan jika "Tidak aktif" muncul: setel ulang tombol dan paksa mode yang sesuai
- Catatan antarmuka khusus: mode lanjutan dan navigasi
- BitLocker dan enkripsi perangkat: hindari kejutan saat memulai ulang
- Rute alternatif untuk mengaktifkan UEFI dan mengonversi partisi tanpa menginstal ulang
- Kapan harus menonaktifkan Secure Boot untuk sementara
- Contoh menu umum berdasarkan jenis peralatan
- Pemeriksaan akhir dan pemecahan masalah