Fragen zu Sicherer Start und BitLocker Systemverschlüsselung

gaxel

Ensign
Registriert
Okt. 2016
Beiträge
138
Hallo,

ich habe mir selbst einen PC zusammengebaut, Windows 11 installiert und die BitLocker Verschlüsselung aktiviert und dabei über Gruppenrichtlinie und Eingabeaufforderung ein Preboot Passwort festgelegt.

Jetzt habe ich bemerkt, dass die Option "Sicherer Start" scheinbar nicht aktiviert ist, was sich nach Blick ins Bios bestätigt hat.

Mein Mainboard: ASRock B650M-HDV/M.2 (aktuellste Bios Version)

Ich habe keine Ahnung von dieser Funktion, aber soweit ich verstanden habe, ist es sinnvoll diese zu aktivieren, weil es die Sicherheit des Systems gegen Kompromittierung erhöht, daher ein paar Fragen dazu:

Ist es normal, dass Secure Boot (Sicherer Start) bei einem selbst zusammengebauten System deaktiviert ist, wenn man es nicht manuell aktiviert?

Ist es ratsam, es nun zu aktivieren?

Hätte ich dies vor der Installation von Windows 11 oder zumindest vor der Bitlocker Verschlüsselung tun sollen oder spielt es keine Rolle, dass ich es jetzt erst aktiviere?

Ich frage auch, weil nach Setzen des Pre-Boot Passwortes/Pin für Bitlocker via manage-bde in der Eingabeaufforderung beim Surface meiner Freundin "Sicherer Start" genannt wurde; dort heißt es:
"Hinzugefügte Schlüsselschutzvorrichtungen: TPM und PIN [...] (Verwendet den sicheren Start für die Integritätsüberprüfung)".
Der eingeklammerte Satz bzgl. sicherer Start wurde bei mir im gleichen Eingabeaufforderungsprozess nicht genannt, dadurch bin ich erst darauf aufmerksam geworden, dass dieser bei mir deaktiviert ist.
Daher aber die Vermutung, dass es einen Einfluss auf Bitlocker hat oder umgekehrt Bitlocker den sicheren Start beeinflusst?
Ist meine Verschlüsselung nun weniger sicher, weil sicherer Start zum Zeitpunkt des Einrichtens von Bitlocker deaktiviert war?

Was muss ich im Bios beim Einschalten des sichere Starts auswählen? Standard oder Custom?
(habe irgendwas von Schlüssel laden gelesen, damit das aktuell System als bekannt gespeichert wird oder ähnliches?)

Gibt es sonst was zu beachten? (ich frage, weil ich verhindern möchte, dass mein System nicht mehr startet bzw. ich mich aussperre (bzgl. Verschlüsselung))

Vielen Dank :)
 
Eigentlich sollte es keine Probleme geben wenn du "Sicherer Start" im Nachhineine aktivierst. Allerdings würde ich für den Fall der Fälle den Bitlocker Wiederherstellungskey bereit halten.
 
gaxel schrieb:
Ist es normal, dass Secure Boot (Sicherer Start) bei einem selbst zusammengebauten System deaktiviert ist, wenn man es nicht manuell aktiviert?

Ist es ratsam, es nun zu aktivieren?
Secure Boot bootet Systeme mit Schwachstellen per default, daher ist der Nutzen, sagen wir mal, überschaubar.

Secure Boot verhindert noch nicht mal die Installation von Root-Kits der Spielehersteller, offentsichtlicher kann die Nutzlosigkeit nicht aufgezeigt werden.
 
  • Gefällt mir
Reaktionen: pietervandekant und SSD960
Der sichere Start verhindert, dass sich Schadcode in den Bootprozess einschleusen kann, also bevor der Kernel oder irgend ein Virenscanner hochgefahren wurde. Diese Option sollte man immer aktivieren, es gibt keinen einzigen plausiblen Grund, es aus zulassen.
 
Doch, die letzte Eskapaden von Microsoft. Und sicherer bist du deshalb auch nicht unterwegs. Die Verwaltung der Zertifikate mit den zurückgezogenen Booltoadern reicht im BIOS auch nicht mehr. Infolgedessen reicht die Bootpartition nicht mehr aus. Eine Anpassung seiten MS ging teilweise in die Hose.
 
Zuletzt bearbeitet:
@SSD960 Für den unwahrscheinlichen Fall, das du Aufgrund der Zertifikate nicht booten kannst, kannst du SecureBoot einfach wieder im Bios ausschalten. Du klingst so, als könne man dann nicht mehr booten.
 
gaxel schrieb:
Ich frage auch, weil nach Setzen des Pre-Boot Passwortes/Pin für Bitlocker via manage-bde in der Eingabeaufforderung beim Surface meiner Freundin "Sicherer Start" genannt wurde; dort heißt es:
"Hinzugefügte Schlüsselschutzvorrichtungen: TPM und PIN [...] (Verwendet den sicheren Start für die Integritätsüberprüfung)".
Der eingeklammerte Satz bzgl. sicherer Start wurde bei mir im gleichen Eingabeaufforderungsprozess nicht genannt, dadurch bin ich erst darauf aufmerksam geworden, dass dieser bei mir deaktiviert ist.

Ist meine Verschlüsselung nun weniger sicher, weil sicherer Start zum Zeitpunkt des Einrichtens von Bitlocker deaktiviert war?

Weiß dazu jemand was? Ergänzend dazu: Oder nutzt bitlocker den sicheren Start auf gleiche Weise, wenn ich ihn nun noch aktiviere?

und das folgende ist noch offen:

gaxel schrieb:
Mein Mainboard: ASRock B650M-HDV/M.2 (aktuellste Bios Version)

Was muss ich im Bios beim Einschalten des sichere Starts auswählen? Standard oder Custom?
(habe irgendwas von "Schlüssel laden" gelesen, damit das aktuelle System als bekannt gespeichert wird oder ähnliches?)

Gibt es sonst was zu beachten?
 
aluis schrieb:
@SSD960 Für den unwahrscheinlichen Fall, das du Aufgrund der Zertifikate nicht booten kannst, kannst du SecureBoot einfach wieder im Bios ausschalten. Du klingst so, als könne man dann nicht mehr booten.
Womit man die vermeintliche Attestierung die Secure-Boot eigentlich verspricht verliert.
 
aluis schrieb:
@SSD960 Für den unwahrscheinlichen Fall, das du Aufgrund der Zertifikate nicht booten kannst, kannst du SecureBoot einfach wieder im Bios ausschalten. Du klingst so, als könne man dann nicht mehr booten.
Ja weiß ich weil ich bzw. Linux betroffen war. Danke MS...☹️
 
die Fragen aus meinem letzten Beitrag in diesem Thread sind noch offen.

Ich habe jetzt im Bios unter "Secure Boot Mode" "Custom" ausgewählt, sodass ich "Install default Secure Boot keys" auswählen konnte. Im Bestätigungsfenster "Load Default Secure Variables" habe ich auf "Yes" geklickt. Neustart, dann wieder ins Bios und Secure Boot auf "Enabled" und "Secure Boot Mode" auf "Standard" gestellt. Mir ist aufgefallen, dass unter "System Mode State" nun "User" steht, statt "Setup", was vor einschalten des Sicheren Starts dort stand.
Ist das so alles korrekt gewesen? Jetzt scheint sicherer Start zumindest aktiviert, auch wenn ich nicht wirklich weiß, was ich da gemacht habe...

Noch eine andere Frage nebenbei:
In Windows Sicherheit steht nun "Ihr Gerät erfüllt die Anforderungen für erweiterte Hardwaresicherheit".
Im dort verlinkten Microsoft Artikel steht, dass es noch eine sicherere Stufe gibt, nämlich "Auf Ihrem Gerät sind alle Features von Secured-Core-PCs aktiviert".
Dazu muss scheinbar "SMM-Schutz (System Management Mode)" aktiviert sein.
Was ist Secured-Core PC? Was SMM-Schutz?
Ich hab danach gegoogelt, werde daraus aber nicht wirklich schlau und frage mich, ob ich da was aktivieren sollte und ob es eine einfache Methode gibt, es zu aktivieren, falls es empfehlenswert ist.
 
Zurück
Oben