Windows 10 2.213 Themen, 28.172 Beiträge

Verfolgung starten Optionen

BIOS auf UEFI umstellen ohne Neuinstallation

RW1 / 3 Antworten / Flachansicht Nickles

Hallo Leute,

leider muss ich meinen Rechner zukünftig absichern, da unter umständen fremde Leute in meiner Wohnung sind und ich die Festplatten deshalb gerne verschlüsseln und den Rechner mit SecureBoot absichern will. Mein Dinestlaptop ist mit SecureBoot und Bitlocker verschlüsselt und startet erst nach Eingabe eines 10-stelligen Codes

Bei meinem Privat-PC, mit 2 SSD und einer HDD, würde ich das auch gerne machen. Da ich letztes Jahr zwar ein neues Board und Prozzi bekam, mir aber die Neuinstallation von W10 sparte, läuft die Kiste noch im normalen BIOS/MBR Modus und nicht mit UEFI. Somit kann ich auch den TPM Baustein auf dem Board nicht nutzen und somit auch nicht die W10 Bitlocker Verschlüsselung und SecureBoot.

Meine bisherige Info ist die, dass ich zwar den Rechner auf UEFI umstellen kann, dann aber W10 nicht mehr startet, weil UEFI zwingend eine GPT benötigt. Und eine Änderung von BIOS auf UEFI ohne komplette Neuionstallation nicht möglich ist.

Ist dem so?

Oder kennt jemand von Euch einen Weg das Ganze ohne komplette Neuinstallation umzustellen?

Sonnige Grüße aus dem Hunsrück

Ralf

bei Antwort benachrichtigen
nemesis² RW1 „BIOS auf UEFI umstellen ohne Neuinstallation“
Optionen
Somit kann ich auch den TPM Baustein auf dem Board nicht nutzen und somit auch nicht die W10 Bitlocker Verschlüsselung und SecureBoot.

Bitlocker funktioniert auch ohne TPM und da fließt gleich das Passwort in den Schlüssel mit ein. Bei der Hardwareverschlüsselung der SSDs war/ist das z. T nicht der Fall gewesen und damit kamen Profis auch ganz ohne Passwort an die Daten der SSD! (... aber es gibt ja ein paar Firmware-Updates ...)

Vom TPM würde ich persönlich fast die Finger lassen, denn wenn das streikt oder dein Board stirbt, kommst du ÜBERHAUPT NICHT MEHR an die Daten auf der (hardware-)verschlüsselten Partition der SSD/HDD. In Firmenumgebung macht das mehr Sinn, SSD raus, entsorgt und damit kommt keiner mehr an die Daten (... außer er treibt das Board auf, an dem die dransteckte ...).

SecureBoot macht zwar Sinn, ohne das müsste aber einer deiner "Fremden Leute" den Bootloader von Win10 auf der Bootpartition infizierten. Ich weiß nicht wie viel Ahnung die haben und wie einfach das jetzt geht. Kurzum: Bitlocker mit BIOS/MBR sollte für den Normalgebrauch eigentlich reichen - falls deine Umstellung scheitert. Bei Sorge vor Geheimdiensten, IT-Profis in deinem Umfeld oder echter Gefahr der Industriespionage würde ich schon etwas mehr Aufwand betreiben.

Selbst testen kann ich es leider nicht, aber wie immer würde ich:

  • Sämtliche Partitionen der Systemplatte sichern
  • die Systemplatte auf GPT umwandeln bzw. neu partitionieren (mit ESP) und die gesicherten Partitionen einzeln zurückspielen
  • das "BIOS" auf "UEFI" umschalten
  • von Boot-CD/Stick mit "bcdboot ..." den Bootloader von Win10 neu draufmachen (und der wird dabei auf die ESP und z. T. mit ins NVRAM geschrieben)

Damit würde Win10 (falls es klappt) von UEFI + GPT booten. Bitlocker sollte danach zumindest per Software nutzbar sein (vergiß nicht vorher auf AES256 umzustellen - wenn dann richtig). Ob die Hardwareverschlüsselung dann noch klappen würde, weiß ich nicht. Die hat diverse Tücken und auch Lücken ...

Vielleicht fällt mir morgen noch etwas ein oder du hast schon etwas probiert ...

bei Antwort benachrichtigen
Du hast natürlich Recht und ich wieder viel zu komplizeirt gedacht. Man muss nur eine Gruppenrichtlinie ändern und schon ... RW1
Mein Beileid! Noch ein paar Tipps: Die anden Daten- Laufwerke kannst/solltest du auch verschlüsseln, ggf. auch mit ... nemesis²