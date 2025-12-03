Windows 11 290 Themen, 5.164 Beiträge

Aus alter Gewohnheit, weil früher dazu geraten wurde, SecureBoot zu deaktivieren, hatte ich es unter Windows 11 auch deaktiviert.

Das könnte man zwar so lassen (so die allgemeine Lesart), aber es könnte zukünftig dann - sogar mit Spieleplattformen) Schwierigkeiten geben. 

Genau gesagt geht es um die neuen Sicherheitszertifikate. Die einen sagen, dass die auch bei deaktiviertem SecureBoot via Update installiert werden, andere wiederum sagen, dass man die neuen Zertifikate nur via Update erhält, wenn SecureBoot aktiv ist. 

Fakt ist jedoch, dass man, wenn man die nicht via Update erhalten hat, der Rechner dann im nächsten Juni nicht mehr starten würde, wenn es aktiv ist und dann sollte man es deaktiviert lassen.

OK. Bislang habe ich alle Update/Upgrades erhalten. Da mein RechnerBIOS UEFI hat und die Partitionstabelle GPT ist (hab ich grad mit Diskpart überprüft), sollte es keine Probleme machen, SecureBoot zu aktivieren. Und dann bekäme ich auf jeden Fall die Sicherheitszertifikate.

Also: Wie ist eure Meinung? Aktivieren, oder nicht aktivieren? Ich habe da im Netz durchaus widersprüchliche Kommentare gefunden.

Windows11Pro 64, Gehaeuse: FRACTAL DESIGN DEFINE 7X, Be Quiet Straight Power 12 Platin 1200 Watt, Gigabyte X670E AORUS PRO X, AMD Ryzen 9 7950 X, 64 GB Kingston Fury Beast DDR5 CL36, GeForce RTX 4090 OC 24 GB, 2 x WD Black 2TB, Creative Soundblaster Z SE, HyperX Cloud II wireless
Ich wusste gar nicht, dass man einen UEFI-PC mit Windows 11 ohne Secure Boot nutzen kann. Hast du Windows mit Rufus oder so installiert?

Ich habe auf allen PCs und Laptops (zuhause + auf der Arbeit) Secure Boot an und habe keine Probleme. Wenn ich das richtig verstehe, wird dadurch die Kette der Bootloader verschlüsselt. Ist also so gesehen ein Sicherheitsgewinn. Durch die UEFI-Architektur hätte es Malware theoretisch sogar einfacher, sich als ein zusätzliches Modul ins BIOS einzunisten. Bei alten BIOS war das anders soviel ich weiß (CIH hatte ja nur Müll reingeschrieben und keine echte Schadroutine).

Durch den UEFI Capsule-Mechanismus hat man ja sogar von Windows aus einen Zugriff aufs UEFI-BIOS. Ich war damals ganz erstaunt, dass Windows Update tatsächlich ein Update anstoßen kann.

Hast du Windows mit Rufus oder so installiert?

Ja.

Und vielen Dank für die umfangreiche Erklärung. Es gab bei mir einige Befürchtungen, dass MS z.B. über Secrure Boot verhindern könnte, dass Fremdsoftware wie z.B. Libre Office nicht mehr installiert werden kann. - Das mit dem Zugriff aufs UEFI-BIOS unter Windows war mir nicht bekannt.

Aber egal. Leider hast du meine Frage nicht beantwortet...:

Kann ich Secure Boot aktivieren, ohne dass es bei meiner Konfiguration (s. mein Eröffnungsposting) Probleme gibt? Und wie sieht es mit dem Zurückschreiben von Images aus, die ich unter Acronis erstellte?

Für eine zeitnahe Antwort wäre ich dir sehr dankbar, denn dann kann ich Secure Boot noch vor dem kommenden Update aktivieren. - Ich bin da ein wenig ängstlich.....

Befürchtungen, dass MS z.B. über Secrure Boot verhindern könnte, dass Fremdsoftware wie z.B. Libre Office nicht mehr installiert werden kann.

... muß natürlich heißen: 

"Befürchtungen, dass MS z.B. über Secrure Boot bewirken könnte, dass Fremdsoftware wie z.B. Libre Office nicht mehr installiert werden kann." ....Verlegen

Jetzt wird es bunt. Ich habe das Gigabyte X670E Aorus Prp X-Mainboard. Das Trusted Platform Modul mit Trusted Computing 2.0 ist auch aktiviert und Secure Boot ist aktiviert. Allerdings sind das werkseitige Schlüssel. Das BIOS ist aktuell; es gibt kein neueres...

Wenn ich in msinfo32 nachschaue, wird da aber angeführt, dass SecureBoot (Sicherer Start) nicht aktiv ist!!! Mithin sind die werkseitigen Schlüssel nicht die von MS geforderten neuen Schlüssel.

Im BIOS selbst jedoch ist "Custom", der werkseitige Schlüssel festgeschrieben. Wenn ich den Ändern will, soll ich den User-Mode aktivieren. Dafür aber müßte ich einen Plattformschlüssel eingeben!!! - Keine Ahnung, was der Plattformschlüssel ist, oder wie ich an ihn herankomme....

Es ist zum Mäusemelken. Hat jemand ne Ahnung wie ich da rankommen kann?

dass SecureBoot (Sicherer Start) nicht aktiv ist!!!

Steht bei mir auf "EIN"

Antwort einer AI auf meine Frage: "Windows Plattformschlüssel ersetzen"

Automatische Erneuerung durch Updates: 

  • Windows Update: Microsoft liefert die notwendigen Updates für die Secure Boot-Zertifikate (KEK und DB) automatisch über Windows Update aus. Solange Ihr PC mit dem Internet verbunden ist und Sie Windows-Updates installieren, sollte dieser Prozess im Hintergrund ablaufen.
  • BIOS-Update: Ihr PC- oder Mainboard-Hersteller kann ebenfalls BIOS-Updates bereitstellen, die aktualisierte Schlüssel enthalten. Es ist ratsam, die Support-Website Ihres Herstellers regelmäßig auf empfohlene BIOS-Updates zu überprüfen. 

    Manuelle Verwaltung (Nur für fortgeschrittene Benutzer)

    Nur in seltenen Fällen, etwa wenn Sie ein anderes Betriebssystem installieren möchten, das nicht von Microsoft zertifiziert ist, oder bei spezifischen Fehlermeldungen, müssen Sie die Schlüssel manuell im BIOS/UEFI verwalten. Vorgehensweise im UEFI-BIOS:

    1. Zugriff auf BIOS/UEFI: Starten Sie Ihren PC neu und drücken Sie die Taste, die Ihnen auf dem Bildschirm angezeigt wird, um das BIOS/UEFI-Setup aufzurufen (oft Entf, F2, F10 oder Esc).
    2. Secure Boot-Einstellungen: Navigieren Sie zum Abschnitt "Secure Boot" (Sicherer Start).
    3. Schlüssel zurücksetzen/erneuern: Suchen Sie nach Optionen wie "Secure Boot Keys auf Werkseinstellungen zurücksetzen" (Reset Secure Boot keys to factory defaults) oder "Setup Mode" (Setup-Modus). Durch das Zurücksetzen in den Setup-Modus können Sie neue Standardschlüssel (PK, KEK, DB) registrieren, die oft automatisch vom BIOS generiert werden.
    4. Speichern und Beenden: Speichern Sie die Änderungen (oft F10) und starten Sie den PC neu. 

      Wichtig: Das manuelle Ändern der Secure Boot-Schlüssel kann dazu führen, dass Ihr System vorübergehend nicht mehr startet oder BitLocker-Wiederherstellungsmeldungen auslöst, wenn Sie eine Festplattenverschlüsselung verwenden. Gehen Sie mit Vorsicht vor und konsultieren Sie im Zweifelsfall die Dokumentation Ihres PC-Herstellers, z.B. auf der Microsoft Learn Website.

      Also lasse Windows das Problem bei Updates beheben.

      Also lasse Windows das Problem bei Updates beheben.

      Tja - ich warte jetzt mal sehnsüchtig auf das neue Update, dass ja wohl am 9. d. M. kommen sollte. Allerdings habe ich im Netz auch gelesen, dass man die Schlüssel nicht per Update bekommt, wenn SecureBoot nicht aktiv ist. - Und das ist es nun mal nicht bei mir.

      Bitlocker habe ich übrigens noch nie verwendet. In meinem UEFI wird "Reset Secure Boot keys to factory defaults" nicht angeboten.....

      Das Trusted Platform Modul mit Trusted Computing 2.0 ist auch aktiviert und Secure Boot ist aktiviert.
      wenn SecureBoot nicht aktiv ist. - Und das ist es nun mal nicht bei mir.

      Watt denn nu?Zwinkernd  Du musst dich entscheiden.

      Im Zweifel einen Werksreset machen (danach gucken ob der sichere Start aktiv ist) und danach das Bios neu einstellen.

      Mehr kann ich dazu auch nicht sagen.

