Windows 11 290 Themen, 5.170 Beiträge

Verfolgung starten Optionen

Fragen zu SecureBoot

winnigorny1 / 13 Antworten / Flachansicht Nickles

Aus alter Gewohnheit, weil früher dazu geraten wurde, SecureBoot zu deaktivieren, hatte ich es unter Windows 11 auch deaktiviert.

Das könnte man zwar so lassen (so die allgemeine Lesart), aber es könnte zukünftig dann - sogar mit Spieleplattformen) Schwierigkeiten geben. 

Genau gesagt geht es um die neuen Sicherheitszertifikate. Die einen sagen, dass die auch bei deaktiviertem SecureBoot via Update installiert werden, andere wiederum sagen, dass man die neuen Zertifikate nur via Update erhält, wenn SecureBoot aktiv ist. 

Fakt ist jedoch, dass man, wenn man die nicht via Update erhalten hat, der Rechner dann im nächsten Juni nicht mehr starten würde, wenn es aktiv ist und dann sollte man es deaktiviert lassen.

OK. Bislang habe ich alle Update/Upgrades erhalten. Da mein RechnerBIOS UEFI hat und die Partitionstabelle GPT ist (hab ich grad mit Diskpart überprüft), sollte es keine Probleme machen, SecureBoot zu aktivieren. Und dann bekäme ich auf jeden Fall die Sicherheitszertifikate.

Also: Wie ist eure Meinung? Aktivieren, oder nicht aktivieren? Ich habe da im Netz durchaus widersprüchliche Kommentare gefunden.

Windows11Pro 64, Gehaeuse: FRACTAL DESIGN DEFINE 7X, Be Quiet Straight Power 12 Platin 1200 Watt, Gigabyte X670E AORUS PRO X, AMD Ryzen 9 7950 X, 64 GB Kingston Fury Beast DDR5 CL36, GeForce RTX 4090 OC 24 GB, 2 x WD Black 2TB, Creative Soundblaster Z SE, HyperX Cloud II wireless
bei Antwort benachrichtigen
Ich wusste gar nicht, dass man einen UEFI-PC mit Windows 11 ohne Secure Boot nutzen kann. Hast du Windows mit Rufus oder so ... lexlegis
Ja. Und vielen Dank für die umfangreiche Erklärung. Es gab bei mir einige Befürchtungen, dass MS z.B. über Secrure ... winnigorny1
... muß natürlich heißen: Befürchtungen, dass MS z.B. über Secrure Boot bewirken könnte, dass Fremdsoftware wie z.B. ... winnigorny1
Jetzt wird es bunt. Ich habe das Gigabyte X670E Aorus Prp X-Mainboard. Das Trusted Platform Modul mit Trusted Computing 2.0 ... winnigorny1
Steht bei mir auf EIN Antwort einer AI auf meine Frage: Windows Plattformschlüssel ersetzen Automatische Erneuerung durch ... hatterchen1
Tja - ich warte jetzt mal sehnsüchtig auf das neue Update, dass ja wohl am 9. d. M. kommen sollte. Allerdings habe ich im ... winnigorny1
Watt denn nu? Du musst dich entscheiden. Im Zweifel einen Werksreset machen danach gucken ob der sichere Start aktiv ist ... hatterchen1
nicht nicht ja lexlegis
Schau mal, ob du tpm.msc öffnen kannst in Windows Win R . Oben rechts habe ich bei mir TPM vorbereiten und TPM löschen ... lexlegis
Ja - kann öffnen. TPm vorereiten ist ausgegraut, wie in deinem Screenshot. TPM löschen ist möglich - und nun? winnigorny1
Ich weiß nicht was passiert wenn man auf Löschen draufklickt, aber wenn du ein Image hast, dann ist es ja einen Versuch wert. lexlegis
lexlegis winnigorny1 „... muß natürlich heißen: Befürchtungen, dass MS z.B. über Secrure Boot bewirken könnte, dass Fremdsoftware wie z.B. ...“
Optionen

Ich habe noch nie Secure Boot nachträglich aktiviert, das hatte ich bislang vorher schon an. Als ich bei der Arbeit einen Dell-PC bekommen habe und Windows neu installierte, hatte ich erstmal etwas Stress mit den Keys, aber irgendwann habe ich es hingekriegt. Da musste ich teilweise Default Keys laden, aber die Möglichkeit fehlt bei dir ja.

"CSM Support" ist aus im UEFI-BIOS? Ach sehe gerade, Secure Boot geht nur an, wenn das hier aus ist.

BIOS F36 hast du drauf?

Bei Gigabyte kann man manchmal mit STRG+F1 weitere Funktionen freischalten.

Und wie sieht es mit dem Zurückschreiben von Images aus, die ich unter Acronis erstellte?

Wenn du ein Image machst mit Secure Boot = aus, dann solltest du es ja zumindest mit der gleichen Einstellung wiederherstellen können, da sehe ich da keine Probleme. Habe es aber auch nicht ausprobiert, da ich keine Imagetools verwende. Ich sichere von Hand und es läuft alles :)

Befürchtungen, dass MS z.B. über Secrure Boot bewirken könnte, dass Fremdsoftware wie z.B. Libre Office nicht mehr installiert werden kann

Halte ich für unbegründet. Es geht hier um Treiber und Bootloader, also Software, die vor dem Windowsstart ausgeführt wird. Hintergrund wird wohl der sein, dass man diesen Bereich absolut sauber und somit vertrauenswürdig halten möchte.
Denn: Wenn sich auf dieser Ebene schon Malware eingenistet hat, könnte sie unter Umständen alles darauf aufbauende (das Betriebssystem, die Programme, etc.) manipulieren. Antivirensoftware könnte bei einem befallenen System zum Beispiel nach Viren suchen, und ein installierter Treiber von der Malware könnte Anfragen an den Dateisystemtreiber so ändern, dass der Virus nicht erkannt wird.

Das ist jetzt nur ein Beispiel. So etwas ähnliches gab es früher mal bei Sony-Musik-CDs. Da wurde die Malware XCP installiert, ein Kopierschutz. Der Treiber dieses Schutzes veränderte die Datei- und Ordnerabfragen so, dass man die Software nicht mehr sehen konnte. Da aber die Software alles versteckte, was mit einer bestimmten Zeichenfolge begann, konnten sich andere Viren und Trojaner genau so verstecken. Und XCP brachte Rechner zum Abstürzen, machte Probleme bei normalem CD-Gebrauch, etc.

Also um auf LibreOffice zurückzukommen: Secure Boot wird kein LibreOffice verhindern. Das sind völlig verschiedene Bereiche. Höchstens könnte der Defender LO für gefährlich halten, aber selbst dann kann man diesen (falschen!) Befund natürlich korrigieren.

Das wäre übrigens sehr schlecht, wenn Microsoft da einfach was blockieren könnte. Wir haben auf der Arbeit massig selbstgeschriebene Software, die wir natürlich nicht bei MS zur Prüfung einreichen, warum auch. Wenn MS das blockieren würde, hätten die sehr viel Gegenwind im Gesicht ;)

Work it harder, make it better, do it faster, makes us stronger
bei Antwort benachrichtigen
Natürlich ist das aus - von Anbeginn. winnigorny1