Prüfen ob Secure Boot ein, angeblich WIn 11 ohne Secure Boot installiert

[linuxnutzer]

Ich habe mittlerweile 3 Mini PC, die grundsätzlich unter Win 11 und Linux funktionieren.

Bei einem fiel mir auf, dass im UEFI / BIOS Secure Boot nicht aktiviert war und Win 11 21 installiert war. Es funktionierte aber unter Win11 und Linux alles. Ich habe dann neu installiert und Secure Boot aktiviert, sofwie auf "optimized defaults" gestellt. Unter Linux habe ich dann bei "MOK" zu lange nachgedacht und der PC hat einfach gebootet, funktioniert wohl weiter bis zum nächsten Linux-Kernel-Update.

Die anderen 2 Mini PC hatten im Bios / UEFI Secure Boot eingestellt und so wurde auch installiert. LInux meint in dmesg, dass Secure Boot nicht eingestellt ist.

Jetzt frage ich mich, wie man unter WIn11 23 abfragen kann, ob Secure Boot aktiv ist?

Ich dachte gelesen zu haben, dass man Win 11 ohne Secure Boot gar nicht installieren kann, außer man patcht irgendwie das System.

 

[redjack1000]

Ich dachte gelesen zu haben, dass man Win 11 ohne Secure Boot gar nicht installieren kann

Das ist nicht ganz richtig, aber falsch.

SecureBoot kann man nutzen, muss man aber nicht.


CU
redjack

 

[JennyCB]

SecureBoot ist nur optional nicht zwingend.

 

[mannefix]

sb ist eine voraussetzung für win 11. im bios gucken.

Ergänzung (23. November 2023)

SecureBoot ist nur optional nicht zwingend.

es ist (offiziell) zwingend.

 

[JennyCB]

es ist doch zwingend.

Falsch. Ist es nicht.
Secure-Boot muss vorhanden sein, ob enabled oder disabled egal.
Meine Windows 11-Installation läuft mit den UEFI-Einstellungen:
Secure Boot
Secure Boot->Disabled

Zwingend höchstens das ein UEFI vorhanden sein muss.
Secure-Boot sicherlich nicht aktiv sein muss.

Überprüfen mit msinfo32:
Secure-Boot ist Sicherer Startzustand

 

[mannefix]

Ich meine die (offizielle) Installation von Win 11. Nicht was Du mit Tricks machst, oder nachträglich veränderst.

 

[JennyCB]

Du verstehst es nicht. Mein Rechner ist 100 % Windows 11-kompatibel. Ohne Tricks. Secure-Boot ist optional. Punkt.
Darfst gerne mal deinen Rechner mit nicht aktivierten Secure-Boot starten.
In Microsoft-Sprache heißt es dann so:
"Die Anforderung für ein Upgrade eines Windows 10-Geräts auf Windows 11 ist zwar nur, dass der PC über Secure Boot-Unterstützung verfügt, indem UEFI/BIOS aktiviert ist"
Nur über eine Unterstützung verfügt (durch UEFI), nicht das es aktiviert sein muss.

 

[linuxnutzer]

$ sudo dmesg | grep -i "secure boot"
[    0.000000] secureboot: Secure boot disabled
[    0.003509] secureboot: Secure boot disabled
[    0.822564] Loaded X.509 cert 'Canonical Ltd. Secure Boot Signing: ....'
[    0.822575] Loaded X.509 cert 'Canonical Ltd. Secure Boot Signing (2017): ....'
[    0.822587] Loaded X.509 cert 'Canonical Ltd. Secure Boot Signing (ESM 2018): ....'
[    0.822598] Loaded X.509 cert 'Canonical Ltd. Secure Boot Signing (2019): ....'
[    0.822608] Loaded X.509 cert 'Canonical Ltd. Secure Boot Signing (2021 v1): ....'
[    0.822619] Loaded X.509 cert 'Canonical Ltd. Secure Boot Signing (2021 v2): ....'
[    0.822630] Loaded X.509 cert 'Canonical Ltd. Secure Boot Signing (2021 v3): ....'
[    0.822640] Loaded X.509 cert 'Canonical Ltd. Secure Boot Signing (Ubuntu Core 2019): ....'

Vielleicht habe ich da nur was falsch verstanden. Zuerst steht da "Secure boot disabled", aber nach vielen weiteren Einträgen, die mit dem Filter ausgeblendet sind, steht da plötzlich "loaded"

 

[JennyCB]

Ich persönlich halte von Secure-Boot, außer Gängelungen, gar nichts.
Nutze selbst Manjaro (99 %) und Windows 11 Pro (1 %)
Ubuntu kann Secure-Boot durch Microsofts Gnaden machen, ja.
Tut mir leid. Ich bin dann lieber ohne.

 

[linuxnutzer]

ch persönlich halte von Secure-Boot, außer Gängelungen, gar nichts.

Darum geht es überhaupt nicht.

Tut mir leid. Ich bin dann lieber ohne.

Ich auch, solange ich dann nicht mit irgendwelchen Einschärnkungen kämpfen muss, musste deswegen auch schon neu installieren. Also wenn da jetzt 4 Mini PCs frisch aufgesetzt werden, so, dass ich später keine Problem habe, auch wenn ich Win sehr wenig nutze.

Vielleicht ist da was im UEFI / Bios falsch eingestellt und nicht alles was benötigt wird.

Warum steht da nicht active?

Das meint Windows:

 

[Aduasen]

Der PC muss für Windows 11 Secure Boot fähig sein.
Sobald man es aber drauf hat, kann man das wieder abschalten, wenn man es nicht nutzen möchte.

 

[Keylan]

Laut BIOS ist Secure Boot verfügbar, aber nicht aktiv. Dafür müsstest du warscheinlich einmal die Factory Key restore durchführen. (Achtung wenn Bitlocker altiv, restore Key vorher sichern)

Und ja, Win 11 erfordert einen SecureBoot fähiges System, tatsächlich aktiv sein muss SecureBoot aber nicht.

 

[AndyMutz]

stand auch mal bei heise.de richtig formuliert.. der PC (bzw. das UEFI) muss secure boot fähig sein, aber für eine windows 11 installation muss es nicht eingeschaltet sein.

-andy-

 

[s1ave77]

Ist etwas verwirrend dargestellt von MS. UEFI-Boot ist Pflicht. Sobald das System GPT-Layout hat und UEFI-Boot aktiviert ist, ist auch Secure Boot nutzbar. Die Extra-Erwähnung läßt Leute denken, das muß aktiv sein - ungünstiger geht's nicht wirklich. Führt ständig zu Verwirrung.

 

[cyberpirate]

Ich meine die (offizielle) Installation von Win 11. Nicht was Du mit Tricks machst, oder nachträglich veränderst.

Nein ist schon richtig das Secure Boot nur vorhanden sein muss. Aber nicht aktiv gestellt! Im Gegensatz zu TPM! Das muss dann auch aktiv sein! Ich installiere auch ohne Tricks und es funktioniert tadellos auch wenn ich Secure Boot deaktiviert habe. ich will das auch nicht nutzen. Bisher, auch bei Win11 23H2 ist das immer noch optional zu nutzen.

 

[cvzone]

Warum steht da nicht active?

Du bist laut UEFI im Secure Boot "Setup" Mode. Einmal Restore Factory Keys drücken sollte das System in den User Mode und dann aktiv setzen.

Ggf. ist die Option auch unter Key Management und da Enroll User Keys oder so ähnlich.

 

[linuxnutzer]

Einmal Restore Factory Keys drücken

Muss man das immer machen, oder ist das bei meinem Motherboard speziell so?

Enroll User Keys

Kann das nicht vernünftig übersetzen, was bedeutet das?

Habe da auch schon "enroll HASH" gehabt. Der Unterschied zu "enroll KEY" war mir nicht klar. Und dann kann man da noch zwischen verschiedenen Bereichen auswählen, wie ESM und NVME. Wer soll da durchblicken, "sicherer" wird das sicher nicht, wenn man vieles falsch machen kann.

Kann man da letztlich den ganzen PC kaputt machen, wenn man ein PW vergisst? Ich nehme da immer eine komplette Neuinstallation an.

WIe setze ich alles zurück und verwende dann kein Secure Boot?

So wie ich das jetzt verstanden habe, ist es am gescheitesten Secure Key einmal aktiv setzen und dann deaktivieren. Wie schon geschrieben, kann das unter Linux Probleme machen und Win 11 ist glücklich, wenn es möglich ist, verlangt es aber nicht.

Ergänzung (23. November 2023)

Achtung wenn Bitlocker altiv, restore Key vorher sichern)

Was ist wenn das nicht der Fall ist, man also keine Keys hat? Sind dann "nur" die Daten weg? Kann man problemlos neu installieren?

 

[cvzone]

ist das bei meinem Motherboard speziell so?

Das ist bei allen Geräten so. Im Setup Modus kann Windows allerdings diese Eintragungen während der Installation automatisch aktivieren, sodass man davon sonst nichts mitbekommt.

was bedeutet das?

Das Eintragen von Benutzer Schlüsseln. Du sagst dem System, dass der aktuelle Boot Zustand mit dem aktuellen Bootloader sicher ist und davon keine (signierten) Abweichungen gemacht werden dürfen. Er braucht diese Schlüssel quasi für einen Soll/Ist Vergleich.

Bei dir fehlen aktuell diese Schlüssel und damit bleibt es inaktiv.

Kann man da letztlich den ganzen PC kaputt machen, wenn man ein PW vergisst?

Nein, solange du kein Bios Passwort setzt, kannst du secure boot jederzeit wieder deaktivieren. Solange es aktiv ist, können nur zugelassene oder signierte Bootloader gestartet werden.

 

[Keylan]

Was ist wenn das nicht der Fall ist, man also keine Keys hat? Sind dann "nur" die Daten weg? Kann man problemlos neu installieren?

Neu Installieren geht in jedem Fall, nur kann man beim Einrichten von Bitlocker sagen, das die Keys vom Mainboard auch für die Verschlüsselung genutzt werden. Und wenn man das gemacht hat, und die Keys nie gesichert hat (was man eh hätte machen sollen, weil sonst mit Hardwaredefekt am System auch alle Daten Futsch) dann kann man mit der alten Platte nichts mehr ausser einer Neuinstallation machen.

Wenn man kein Bitlocker Verwendet, oder den Schlüssel selbst eingibt oder per Token, dann braucht man sich nicht sorgen, und Daten gelöscht werden gar nicht. Ist quasi wie ein Passwort Reset und wenn man das Passwort an anderer Stelle verwendet hat (also Bitlocker) sollte man es vorher sichern.

Auf unseren Arbeitsnotebooks werden z. B. auch die Hardwarekeys vom Board genutzt, damit man nicht bei jedem Start einen Schlüssel/Pin/Passcode für die Systemplatte braucht, sondern erst für den Benutzer auf OS-Ebene.
Aber die Keys sind in der Auzre-Cloud Synchronisiert.

 

[cvzone]

Der TPM Bitlocker Key und die Secure Boot Keys haben btw nichts miteinander zu tun.
Solange du kein Bitlocker aktiv hast, brauchst du dir da keine Gedanken machen.

Bei Secure Boot geht es nur darum, welche Bootloader gestartet werden dürfen. Und Secure Boot kann bestimmte EFI Einstellungen gegen Veränderungen schützen.