Praxis & Tipps | FAQ

Christof Windeck

Secure Boot

Antworten auf die häufigsten Fragen

Secure Boot abschalten

Mein Windows-8-PC bootet weder vom USB-Stick noch von DVD- oder CD-ROM – es erscheint jeweils ein Hinweis auf Secure Boot. Was kann ich tun?

Theoretisch könnte die Firmware Ihres Rechners ein Auswahlmenü anbieten, das den Start ohne Secure Boot oder im BIOS-Modus erlaubt. Ein solches Boot-Select-Menü erscheint oft nach Druck von Funktionstasten wie F11, F10 oder F8 beim Start – siehe Handbuch. Lässt sich Secure Boot so nicht umgehen, müssen Sie es abschalten.

Nach unseren bisherigen Erfahrungen ist das bei normalen Desktop-Rechnern und Notebooks mit Windows 8 problemlos möglich, und zwar über das Setup-Menü der UEFI-Firmware. Ein BIOS im alten Sinne gibt es auf solchen Rechnern nicht mehr, weil Secure Boot eine UEFI-Funktion ist. Das Firmware-Setup erscheint für gewöhnlich, wenn Sie sofort nach einem Neustart des Rechners Tasten wie „Entf“ (Del) oder F2 drücken. Bei neuen Systemen kommt man auch über eine Windows-8-Funktion ins Firmware-Setup: Wählen Sie aus dem „Charms“-Menü (Windows-Taste + C) unter Einstellungen/Ein/Aus mit der Maus die Option „Neustart“, während Sie die „Umschalt“-(Shift-)Taste festhalten. Dann taucht ein Auswahlmenü auf, wo Sie „Problembehandlung“ wählen. Über „erweiterte Optionen“ gelangen Sie zur Schaltfläche „UEFI-Firmwareeinstellungen“, die nach einem weiteren Klick ins Firmware-Setup führt. Auf Touch-Systemen finden Sie den Einstieg über Einstellungen/PC-Einstellungen/Allgemein/Erweiterter Start.

Je nach Firmware verstecken sich die Einstellmöglichkeiten für Secure Boot in verschiedenen Untermenüs des Setup, meistens unter „Security“. Auch die Optionen zum Ein- oder Ausschalten heißen unterschiedlich – im Zweifel hilft das Handbuch. Zum Einschalten sind bei mancher Firmware zwei Schritte nötig: Dort wechselt das System zunächst in den „Setup Mode“. Dann kann man die digitalen Schlüssel (Platform Key/PK, Key Exchange Key/KEK) und die Datenbanken für erlaubte (db) und verbotene (dbx) Signaturen bearbeiten – muss man aber nicht. Es reicht üblicherweise, den „Default“-Schlüsselsatz laden zu lassen. Nach einem Neustart befindet sich die Firmware dann im „User Mode“ von Secure Boot – die Funktion ist jetzt aktiv.

Wozu Secure Boot?

Was bringt Secure Boot eigentlich?

Secure Boot wurde mit der Version 2.3.1 des Unified Extensible Firmware Interface (UEFI) spezifiziert und soll verhindern, dass sich Schadsoftware vor dem Start eines Betriebssystems einnistet. Im Secure-Boot-Modus lädt die Firmware des Desktop-Rechners oder Notebooks ausschließlich digital signierte UEFI-Bootloader. Das Betriebssystem muss im UEFI-Modus und nicht im BIOS-Modus installiert worden sein. Secure Boot darf sich nicht per Software abschalten lassen, sonst wäre die Funktion nutzlos. Außer Windows 8 werden auch einige Linux-Distributionen Secure Boot nutzen.

Microsoft verlangt, dass Computer mit Windows-8-Logo mit aktiviertem Secure Boot ausgeliefert werden. Die Firmware darf auch nicht im BIOS-kompatiblen Modus starten, also kein Compatibility Support Module (CSM) laden. Außerdem muss sie bestimmte digitale Schlüssel enthalten, darunter vor allem welche von Microsoft selbst. Im Auslieferungszustand starten Secure-Boot-Systeme nur Bootloader, deren Code von Microsoft digital signiert wurde. Dazu gehört der Windows-8-Bootmanager bootmgfw.efi aus dem Verzeichnis \efi\Microsoft\boot auf der EFI System Partition (ESP) der Festplatte oder der Bootloader bootx64.efi auf der Setup-DVD von Windows. Um unsignierte UEFI-Bootloader zu laden, andere Signaturen einzuspielen oder im BIOS-Modus zu starten, sind manuelle Eingriffe des Nutzers ins Firmware-Setup nötig.

Secure Boot enttarnen

Woran merkt man, dass Secure Boot eingeschaltet ist?

Unter Windows 8 kann man in der Registry nachsehen: Im Schlüssel HKLM\System\CurrentControlSet\Control\SecureBoot\State befindet sich der DWord-Wert UEFISecureBootEnabled, der bei aktivem Secure Boot den Inhalt „1“ hat und sonst „0“.

Secure Boot und Connected Standby

Windows-RT-Tablets mit ARM-Prozessorkernen und Windows-8-Tablets mit Intels Atom Z2760 unterstützen die Funktion Connected Standby: Dabei schläft das System nie, sondern kontaktiert in bestimmten Abständen den Windows Push Notification Service (WNS) auf Microsoft-Servern. Liegen Nachrichten vor – etwa E-Mails oder Updates –, können Windows-Store-(Metro-)Apps darauf reagieren.

Connected-Standby-Systeme benötigen ein Trusted Platform Module (TPM) und Secure Boot. Ähnlich hält es etwa auch Google bei den Chromebooks (Verified Boot), und viele Smartphones sind auf vergleichbare Art „verdongelt“. Bei Windows-RT-Tablets lässt sich Secure Boot nicht abschalten. Bei Tablets mit Atom Z2760 kann das möglich sein. (ciw)

Artikel kostenlos herunterladen

Kommentare

Anzeige