IT-Blog

UEFI – Secure Boot

So, 5. September 2021

Verwechslungsgefahr

Gerade in den letzten Wochen kam es vermehrt zu Diskussionen um die Sicherheitsfunktionen und Anforderungen von Windows 11. Dass aufgrund mangelnder Informationen dann auch gerne mal Dinge verwechselt werden, liegt in der Natur der Sache. Und in ganz extremen Fällen werden solche Vorgaben, wie Windows 11 sie in Zukunft haben möchte, gerne aufgebauscht.
So ist zum Beispiel auch der UEFI Secure Boot nichts Neues und wird gerne zusammen mit TPM 2.0 ins Boot gebracht. Was es mit dem TPM auf sich hat, klären wir in unserem Blog TPM 2.0 und Windows 11. Der UEFI Secure Boot hat eine andere Funktion.

Was macht der UEFI Secure Boot

Die Idee hinter dem, meist deaktivierten, UEFI Secure Boot ist, dass kein Betriebssystem ohne einen kryptischen Schlüssel auf einem System starten kann. Damit soll verhindert werden, dass unsichere Betriebssysteme oder Schadsoftware auf dem Gerät gestartet werden können. Im Gegensatz zum TPM Chip greift also der UEFI Secure Boot schon bereits beim Booten des Betriebssystems ein und kann damit auch nicht signierte Starts von Software verhindern.

Das war schon mal ein Problem

Als Windows 10 im Jahr 2015 auf den Markt kam, wurde von einigen Herstellern, speziell von Notebooks, der UEFI Secure Boot aktiviert. Dieser soll verhindern, dass eben diese nicht signierte Software auf keinen Fall starten darf bzw. noch nicht einmal installiert werden kann.
Das hatte damals zur Folge, dass sich zwar ein Windows 10 anstandslos installieren ließ, ein Windows 7, das erstaunlicherweise nicht für den Secure Boot zertifiziert war, nicht mehr installiert werden konnte.
Und damals war Windows 7 natürlich das weitverbreitetste Betriebssystem der Welt, das gerade erst den Kampf gegen Windows XP gewonnen hatte. Vergleiche zum kommenden Windows 11 und der künftige Kampf mit Windows 10 um die Weltherrschaft sind rein zufällig.

Kurzerhand abgeschaltet

Einige dreiste Hersteller hatten noch nicht einmal die Option vorgesehen, den UEFI Secure Boot abzustellen. Andere wiederum hatten dies eben als Standard im UEFI (BIOS) eingestellt. Heute ist das auf dem PC-Sektor kaum mehr ein Thema. In den meisten Fällen ist es von Haus aus deaktiviert und stört die Vielfalt der Betriebssysteme, die auf einem PC installiert werden können, nicht mehr. Denn neben Windows soll es ja noch unzählige Derivate von Linux geben, die doch viele User gerne auf ihren PCs installieren wollen.

Nicht ganz dicht

Zudem sind die UEFI Secure Boot-Mechanismen nicht durchgehend eine Schutzmöglichkeit. So wird zum Beispiel der Start eines nicht zertifizierten Bootloaders verhindert. Lädt dieser aber ein anderes Image nach, wie es zum Beispiel mit dem von Microsoft zertifizierten Bootloader „Shim“ möglich ist, sind nicht zertifizierte Starts zum Beispiel GRUB (Bootloader für Linux) ohne Weiteres möglich.
Natürlich sind das dann gewollte Umgehungen des Schutzes, denn ganz so einfach würde sich das von außen nicht aushebeln lassen.

Die Sache mit dem Hausverstand

In der Regel ist man immer gut beraten, wenn man bei einer Installation eines Betriebssystems genau weiß, was man tut und was man bekommt. Wer sich für bestimmte Linux-Distributionen entscheidet, der macht dies wohl bewusst und sagt nach dem erfolgreichen Installationsvorgang sicher nicht „Hoppla, das wollte ich ja gar nicht“. Gleiches passiert auch nicht im Serverbereich. Hoffentlich.

Für Windows 11 verlässt sich Microsoft nicht auf den Hausverstand der User, sondern setzt den Secure Boot zwingend voraus. Um zu überprüfen, ob dies bei Ihrem System bereits der Fall ist, gehen Sie wie folgt vor:

Drücken Sie die Windows-Taste und geben „Systeminformation“ ein.

UEFI Secure Boot - Systeminformationen

Scrollen Sie ein wenig nach unten und suchen nach dem Eintrag „Sicherer Startzustand“ (bzw. „secure boot“ in der englischen Version).

UEFI Secure Boot - sicherer Startzustand

Die Aktivierung von Secure Boot

Falls dort der Wert „Aus“ gesetzt ist, müssen Sie diesen im UEFI (ehemals BIOS) auf aktiv setzen. Dazu sehen Sie in der Dokumentation des PCs oder im Handbuch des Mainboards nach, welcher Eintrag wo zu finden und zu setzen ist. In der Regel finden sich diese Einträge aber wieder im Security-Bereich des UEFI und sollten tatsächlich „Secure Boot“ heißen. Stellen Sie diesen Wert „aktiviert“, speichern die Einstellungen und starten neu. Jetzt sollte auch Windows den aktiven Zustand erkennen und bei der Überprüfung ein „Ein“ stehen haben.

Welche Voraussetzungen Windows 11 sonst noch benötigt, können Sie direkt auf der Microsoft Seite für die Windows 11 Spezifikationen nachlesen.