Windows 10 2.271 Themen, 29.235 Beiträge

BIOS auf UEFI umstellen ohne Neuinstallation

RW1 / 3 Antworten / Baumansicht Nickles

Hallo Leute,

leider muss ich meinen Rechner zukünftig absichern, da unter umständen fremde Leute in meiner Wohnung sind und ich die Festplatten deshalb gerne verschlüsseln und den Rechner mit SecureBoot absichern will. Mein Dinestlaptop ist mit SecureBoot und Bitlocker verschlüsselt und startet erst nach Eingabe eines 10-stelligen Codes

Bei meinem Privat-PC, mit 2 SSD und einer HDD, würde ich das auch gerne machen. Da ich letztes Jahr zwar ein neues Board und Prozzi bekam, mir aber die Neuinstallation von W10 sparte, läuft die Kiste noch im normalen BIOS/MBR Modus und nicht mit UEFI. Somit kann ich auch den TPM Baustein auf dem Board nicht nutzen und somit auch nicht die W10 Bitlocker Verschlüsselung und SecureBoot.

Meine bisherige Info ist die, dass ich zwar den Rechner auf UEFI umstellen kann, dann aber W10 nicht mehr startet, weil UEFI zwingend eine GPT benötigt. Und eine Änderung von BIOS auf UEFI ohne komplette Neuionstallation nicht möglich ist.

Ist dem so?

Oder kennt jemand von Euch einen Weg das Ganze ohne komplette Neuinstallation umzustellen?

Sonnige Grüße aus dem Hunsrück

Ralf

bei Antwort benachrichtigen
nemesis² RW1 „BIOS auf UEFI umstellen ohne Neuinstallation“
Optionen
Somit kann ich auch den TPM Baustein auf dem Board nicht nutzen und somit auch nicht die W10 Bitlocker Verschlüsselung und SecureBoot.

Bitlocker funktioniert auch ohne TPM und da fließt gleich das Passwort in den Schlüssel mit ein. Bei der Hardwareverschlüsselung der SSDs war/ist das z. T nicht der Fall gewesen und damit kamen Profis auch ganz ohne Passwort an die Daten der SSD! (... aber es gibt ja ein paar Firmware-Updates ...)

Vom TPM würde ich persönlich fast die Finger lassen, denn wenn das streikt oder dein Board stirbt, kommst du ÜBERHAUPT NICHT MEHR an die Daten auf der (hardware-)verschlüsselten Partition der SSD/HDD. In Firmenumgebung macht das mehr Sinn, SSD raus, entsorgt und damit kommt keiner mehr an die Daten (... außer er treibt das Board auf, an dem die dransteckte ...).

SecureBoot macht zwar Sinn, ohne das müsste aber einer deiner "Fremden Leute" den Bootloader von Win10 auf der Bootpartition infizierten. Ich weiß nicht wie viel Ahnung die haben und wie einfach das jetzt geht. Kurzum: Bitlocker mit BIOS/MBR sollte für den Normalgebrauch eigentlich reichen - falls deine Umstellung scheitert. Bei Sorge vor Geheimdiensten, IT-Profis in deinem Umfeld oder echter Gefahr der Industriespionage würde ich schon etwas mehr Aufwand betreiben.

Selbst testen kann ich es leider nicht, aber wie immer würde ich:

  • Sämtliche Partitionen der Systemplatte sichern
  • die Systemplatte auf GPT umwandeln bzw. neu partitionieren (mit ESP) und die gesicherten Partitionen einzeln zurückspielen
  • das "BIOS" auf "UEFI" umschalten
  • von Boot-CD/Stick mit "bcdboot ..." den Bootloader von Win10 neu draufmachen (und der wird dabei auf die ESP und z. T. mit ins NVRAM geschrieben)

Damit würde Win10 (falls es klappt) von UEFI + GPT booten. Bitlocker sollte danach zumindest per Software nutzbar sein (vergiß nicht vorher auf AES256 umzustellen - wenn dann richtig). Ob die Hardwareverschlüsselung dann noch klappen würde, weiß ich nicht. Die hat diverse Tücken und auch Lücken ...

Vielleicht fällt mir morgen noch etwas ein oder du hast schon etwas probiert ...

bei Antwort benachrichtigen
RW1 nemesis² „Bitlocker funktioniert auch ohne TPM und da fließt gleich das Passwort in den Schlüssel mit ein. Bei der ...“
Optionen

Cool Du hast natürlich Recht und ich wieder viel zu komplizeirt gedacht. Man muss nur eine Gruppenrichtlinie ändern und schon kann man das Bootlaufwerk verschlüsseln. Somit erscheint beim Starten erst mal die Kennwortabfrage. Das sollte genügen.

Die "Fremden leute" sind ganz einfach die Tier-und Wohnungssitter die ich engagieren musste, da meine Frau kürzlich gestorben ist und ich rel. oft unterwegs bin. Somit sind da eben "Fremde Leute" die ich (noch) nicht richtiog kenne und einzuschätzen weiß.

bei Antwort benachrichtigen
nemesis² RW1 „Du hast natürlich Recht und ich wieder viel zu komplizeirt gedacht. Man muss nur eine Gruppenrichtlinie ändern und schon ...“
Optionen
da meine Frau kürzlich gestorben

Mein Beileid!

Noch ein paar Tipps:

  • Die anden (Daten-)Laufwerke kannst/solltest du auch verschlüsseln, ggf. auch mit Bitlocker und die automatisch entsperren lassen (=> erweiterte Optionen, wenn du das Bitlocker Passwort eingibst). Damit ist alles verschlüsselt und der Mehraufwand beschränkt sich trotzdem auf das eine Bitlocker-Passwort für das BS
  • Bedenke, dass das Systemlaufwerk zu bestimmten Zeiten automatisch entsperrt ist und du beim nächsten Booten kein Passwort eingeben musst!
    Das ist ein bekanntes Problem/Sicherheitslücke, die öfter vorkommt, wenn eine Upgrade-Installation ansteht - aber auch wenn bestimmte Updates installiert werden.
    Der Knackpunkt ist hier, dass es keine vernünftige Warnmeldung gibt wie: "Mal wieder wird ein wichtiges Update installiert und wenn du selbst nicht gleich diverse Neustarts machst, sondern einfach ausschaltest (Ruhezustand, Fastboot, ...) dann steht der Rechner sperrangelweit offen, wenn er das nächste Mal  angeschaltet wird ... ."
    (und daran ändern weder TPM noch SecureBoot etwas)
  • Bedenke, dass es schwieriger wird eine Datenrettung auszuführen, wenn das Laufwerk Bitlockerverschlüsselt ist. Also Sektoradressen von Anfang und Ende der Partitionen aufschreiben, dazu noch denn jeweiligen Bootsektor (genauer die ersten 8 Sektoren! bei 512e) der jeweiligen Partitionen sichern.
    Zwar ist Bitlocker recht robust, was Reset, Freeze usw. angeht, zerbröselt es aber die Partitionstabelle, wird esknifflig. Von der Systempartition hast du sicher ein Image (und auch Bitlocker-verschlüsselt kann man weiter Images nutzen), bei den Datenpartitionen bleibt aber schnell nur das nicht ganz aktuelle Backup ...
bei Antwort benachrichtigen