Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Es ist zwar eine Voraussetzung für Windows 10 aher funzt momentan auch ohne. Das kann sich natürlich ändern.
Bei dir könnte es aber scheitern an der CPU.
spinstone schrieb:
Bei Win 11 müssen ja TPM und Secure Boot zwingend aktiviert sein, bei Linux nicht.
Zumindest Secure Boot wird auch erstmal optional bleiben. Im Gegensatz zu TPM ist das nämlich keine Systemvoraussetzung bei Windows 11. Nur OEMs müssen Secure Boot ab Werk aktivieren, wenn sie Fertig-PCs mit vorinstalliertem Windows 11 ausliefern. Das kann der Nutzer dann aber hinterher auch ohne Probleme wieder deaktivieren, sofern es die Option dazu im UEFI gibt.
Die Anleitungen zum "Umgehen" in der Registry kenne ich, ich möchte aber eine saubere Installation beider Betriebssysteme haben, ohne Trickserei. Nochmal meine Frage: kann ich Ubuntu 22.04 mit aktiviertem TPM Chip und eingeschaltetem Secure Boot installieren?
Wenn man in Windows 10 mittels Rufus einen Windows 10 USB STick erstellt, ist auch dieser nicht bootbar wenn SECURE Boot aktiv ist im Bios. Media Creation tool funktioniert nicht - 2x probiert - dann habe ich es gelassen. Rufus funktioniert immer.
Für mich kann man keine eigenen Boot Medien booten, wenn Secure boot aktiv ist im Bios. Vielleicht funktionieren diese Media Craetion tool medien - aber das Werkzeug funktioniert nicht.
--
Ich sehe keinen Vorteil von Secure boot aktiv im Bios.
Das Erste bei einem neuen Rechner - Secure boot ausschalten im Bios - USB Stick als erste Boot Option im Bios setzen.
Ergänzung ()
kim88 schrieb:
Secure Boot ist bei allen Main-Stream Diskussionen kein Problem.
...
Installier einfach Windows 10/11, mach danach ein Ubuntu Boot Stick, boote davon udn wähle im Installer Dual Boot aus.
Es ist wirklich nicht kompliziert. Ich verstehe dein Problem nicht.
@_roman_ was genau ist los? SecureBoot und Linux ist seit rund 10 Jahren unter Linux ABSOLUT KEIN Problem.
Ubuntu, Fedora, openSuse, Debian und viele viele andere unterstüzen das Out-of-the-Box. Die einzigen die das nicht tun ist Arch, und ihre Ableger (Manjaro & Co).
Secure Boot und Linux ist wirklich nichts mehr spezielles, funktioniert problemlos und den Leuten den Tipp zu geben Secure Boot vor der Linux-Installation zu deaktivieren ist seit 10 Jahren veraltet.
Aktivier Secure Boot in deinem UEFI, lade dir ein aktuelles Ubuntu 22.04 oder 22.10 runter, schreib es auf einen Stick und boote davon -> das funktioniert ohne Probleme und hat auch schon die letzten 10 Jahre ohne Probleme funktioniert.
Irgenjemand muss die Schlüssel von Secure Boot ausstellen und verwalten. Dieser irgendjemand muss das seriös und richtig machen, weil sonst das ganze System "Secure Boot" keinen Sinn macht.
Seit der Einführung von Secure Boot ist dieser Schlüsselverwalter Microsoft. Das gab damals 2013 dieser riesen Aufschrei.
Das ist nun beinahe 10 Jahre her. In diesen 10 Jahren hat noch nie auch nur eine Linux Distribution darüber gejammert, das Micosoft hier irgendwelche Macht ausspielen.
Es ist trotzdem "Secure Boot", weil der Mechanismus sicherstellt, dass nur signierter Bootcode ausgeführt wird. Dem UEFI und Secure Boot ist es prinzipiell erstmal egal, von wem der Code signiert ist und man könnte theoretisch auch eigene Signaturen hinterlegen. Dass in der Praxis in der Regel nur Signaturen von Microsoft erlaubt sind, liegt letztendlich an den Mainboardherstellern. Die könnten genauso Signaturen von anderen vertrauenswürdigen Stellen (bspw. gemeinnützigen Organisationen) erlauben oder gar vom Nutzer ausgestellte Signaturen, machen sie aber nicht.
Und irgendeine (oder mehrere) festgelegte Stellen, deren Signaturen erlaubt sind, braucht man halt, damit das Konzept seinen Zweck erfüllt. Denn sonst könnte ja auch ein Angreifer eine Signatur hinterlegen, die seinen Schadcode signiert und damit ausführbar macht.
Wenn dir also nicht passt, das nur Signaturen von Microsoft akzeptiert werden, sind im Prinzip die Mainboardhersteller dein Ansprechpartner. Denn Secure Boot an sich schreibt erstmal nicht vor, von wem die Signatur stammen muss. Die Festlegung auch Microsoft only wurde von den Herstellern getroffen.
Das ist halt eine - sorry dumme Frage. Secure Boot, TPM, Partitionsverschlüsselung, Dinge wie GateKeeper, etc sind alles kleine Bausteine in einem grossen Prozess.
Einzel haben sie wahrscheinlich wenig Einfluss. Im Gesamtkonzept eben schon. Wie ein Orchester eine einzelne Trompete ist nicht toll anzuhören, in Komposition mit den anderen Instrumenten eben schon.
Fakt ist ein verifizierter Start, kann verhindern das irgendwas gebootet wird was du nicht booten willst. Bei Business-Hardware (z.b. Business Laptops) kannst du im UEFI die Schlüssel auch komplett selbst verwalten und problemlos deinen Linux Kernel mit eigenem Schlüssel signieren.
Für mich bleibt, am Ende die Frage warum sich Menschen gegen mehr Sicherheit auf Ihren Geräten wehren. Wir verschklüsseln unsere Kurznachrichten inzwischen End-2-End.
Immer mehr Cloud Dienste nutzen einen End-2-End Verschlüsselung.
Webseiten werden nur noch per https aufgerufen, um auch hier mehr Sicherheit zu haben.
All diese Dinge bringen nichts, wenn Schadsoftware auf deinem System booten kann und du das nicht mal merkst -> weil dort Dinge abgegriffen werden können die dann schon entschlüsselt sind.
Das ganze ist doch am Ende ein bisschen so, dass wir zunehmend Einbruchsichere Fenster in ein Haus einbauen, aber die Eingangstüre offen lassen -> kann es ja nicht sein.
Und wie gesagt ob nun Microsoft oder Organisation XY diese dir funktionierende Hausschlüssel in die Hand drückt, ist am Ende einfach egal. Wichtig ist, dass du die benutzt und deine Haustüre abschliesst.
Und wie gesagt ob nun Microsoft oder Organisation XY diese dir funktionierende Hausschlüssel in die Hand drückt, ist am Ende einfach egal. Wichtig ist, dass du die benutzt und deine Haustüre abschliesst.
Warum soll/muss es eine fremde Organisation geben?
Warum kann ich ich im Bios nicht einfach auswählen wem ich vertrauen möchte?
Und warum soll Windows keine Schadsoftware sein?
Warum verhindert secure boot eigentlich nicht den Start von Outlook?
Das ist schließlich die Software über die die meiste Schadsoftware verbreitet wird.
Musst du deinen Hardware Hersteller Fragen. Bei meinem Thinkpad UEFI (BIOS gab es damals vor 20 Jahren oder so) kann ich das problemlos machen -> würdest du wissen wenn du meinen Beitrag gelesen hast.
Wenn du verstehen würdest was Secure Boot ist würdest du merken wie dumm deine Frage ist. Aber offensichtlich willst du es nicht verstehen.
Aber hier für alle die es noch nicht ganz verstanden haben. Secure Boot hat NICHTS damit zu tun ob ein Betriebssystem ein Programm starten soll oder nicht.
Secure Boot verhindert nur das Systeme gebootet werden die nicht mit einem vertrauenswürdigen Schlüssel zertifiziert wurden.
Wenn das Betriebsystem mal geladen wurde, hat Secure Boot absolut keinen Einfluss auf gar nichts mehr. Es gibt aber auch Möglichkeiten, das ein Betriebssystem nur Programme starten kann die mit einem Schlüssel signiert wurden die vom Betriebssystem als vertrauenswürdig eingestuft werden.
Musst du deinen Hardware Hersteller Fragen. Bei meinem Thinkpad UEFI (BIOS gab es damals vor 20 Jahren oder so) kann ich das problemlos machen -> würdest du wissen wenn du meinen Beitrag gelesen hast.
Dass es die Möglichkeit nur bei Businessgeräten gibt, dürfte einen einfachen Grund haben. Da geht der Hersteller davon aus, dass die geräte von einem Admin (firmenintern oder vom Dienstleister) verwaltet werden, der hoffentlich weißt was er tut, wenn er da eigene Signaturen hinterlegt.
Bei Consumerboards birgt die Möglichkeit aber das Potential, dass sich da ein Nutzer mit Halbwissen dran zu schaffen machen, weil ihm irgendein Tutorial da was empfohlen hat. Der achtet dann nicht wirklich drauf, dass da keine ungewollten Signaturen hinterlegt werden und macht evtl. ungewollt die Tür für Schadcode auf. Also lassen die Hersteller dort die Möglichkeit aus Sicherheitsgründen eben vorsorglich ganz weg. In 99% der Fälle gibt es für den Nutzer auch gar keinen Grund, etwas an den hinterlegten Signaturen zu ändern.
Aber hier für alle die es noch nicht ganz verstanden haben. Secure Boot hat NICHTS damit zu tun ob ein Betriebssystem ein Programm starten soll oder nicht.
Secure Boot verhindert nur das Systeme gebootet werden die nicht mit einem vertrauenswürdigen Schlüssel zertifiziert wurden.
Hallo nochmal in die Runde: vielen Dank für die Antworten und Tipps. Werde die dann mal einfach ausprobieren, wenn die Teile kommen und ich den neuen PC aufbaue. Mit etwas "Mut zur Lücke" wird das schon funzen
Bei Consumerboards birgt die Möglichkeit aber das Potential, dass sich da ein Nutzer mit Halbwissen dran zu schaffen machen, weil ihm irgendein Tutorial da was empfohlen hat. Der achtet dann nicht wirklich drauf, dass da keine ungewollten Signaturen hinterlegt werden und macht evtl. ungewollt die Tür für Schadcode auf
Da "Secure" Boot nicht verhindert das irgendwelcher alter Kram mit heftigen Lücken oder Problemen gebootet wird ist der Unterschied gleich Null.
Würde man das verhindern wollen müsste nach jedem Update ein neues Zert in die Firmware, blöd nur das damit dann auch alte Installationsmedien hinfällig sind.
Nochmal: "Secure" Boot löst kein ernsthaftes Problem.
[...]
Für mich bleibt, am Ende die Frage warum sich Menschen gegen mehr Sicherheit auf Ihren Geräten wehren. Wir verschklüsseln unsere Kurznachrichten inzwischen End-2-End.
Immer mehr Cloud Dienste nutzen einen End-2-End Verschlüsselung.
[...]
Und das hat nullkommanullgarnichts mit SecureBoot zu tun, weil es die Verschlüsselung des Datentransports ist. Ja, ich möchte nicht, dass irgendjemand auf dem Transportweg Daten abfangen kann, wie das vor 15 Jahren mit Fcebook auf dem Handy war, als man im gleichen OpenWLAN Logindaten mitlesen konnte. Aber die Verschlüsselungswut von allem lokalem überall - nicht des Übertragungswegs, sondern des lokalen Ortes - führt nur dazu, dass sich gelegentlich Leute von ihren Daten aussperren. Die Frage, ob es je ein Problem gab, ist nicht dumm - hat ein Virus bessere Chancen BIOS/UEFI-Rootkit zu werden, wenn SecureBoot aus ist? Villeicht ja, aber diese Frage und Antwort sind nicht dumm, sondern wichtig, und dein Orchesterspekulatius hat diese Frage eben nicht beantwortet. Andere dumm nennen und die Frage dann nur mit Spekulationen beantworten, ist nicht fein.
Ich persönlich sehe SecureBoot nicht als Problem an. Lokale Laufwerksverschlüsselung (BitLocker+TPM) schon. Wenns mir wichtig ist, den Physischen Zugriff zu verhindern, darf ich ja auch die Passwörternicht irgendwo auf einen Zettel oder in ein Buch schreiben und wenn ich die nirgendwo hinschreibe, sind sie beim nächsten Fahrradunfall mit Krankenhausaufenthalt weg.
P.S.
Meine Real-Life-Wohnungstür ist aufbrechbar - dann haben Feuerwehr und Rettungssanitäter eine Chance reinzukommen.
Ja, und deswegen ist für mich SecureBoot auch nicht den Aufreger wert. Aber das ist eben die wichtige und nicht dumme Frage/antwort - wenn das so ist, ist SecureBoot sinnvoll. Ich will nur, dass wir konkret werden und wenn wir behaupten, zu erklären, auch wirklich erklären.
Ich bin derweil auch für die andere, bisher in diesem Thread unkonkrete Antwort zu "Wann verursacht SecureBoot auf Linux Probleme" gestoßen: SecureBoot verursacht dann Probleme, wenn jemand ein - unsigniertes - Nvidia-Proprietärer-Treiber-Kernelmodul mit Llinux starten will. Auf Gamerrechnern sind das nicht wenige. Nur wenn wir diesen Punkt konkret ausführen, können schweigende Mitlesende in diesem Thread erkennen, ob dieser Punkt für sie relevant ist oder nicht.
Warum verursacht SecureBoot in diesem Fall "Probleme"? Weil es genau das macht, was es machen soll, nämlich das Starten mit unsignierten Kernelmodulen verhindern.
Ich persönlich komme seit über 10 Jahren ohne proprietären Treiber aus, habe auch seitdem keine Nvidiakarte mehr besessen, aber das gilt halt nicht für jeden.
Neuer PC steht, Win 11 und Ubuntu 22.04 auf getrennten Datenträgern. Funzt alles ganz gut.
Ubuntu habe ich auf freiem Platz auf der SSD vom alten Win10-PC (Ubuntu 18.04) installiert mit Grub in einer neuen Partition. So wie früher.
Dank Secure Boot befindet nun aber die Signatur (dieses Shim-Zeugs von Canonical) im UEFI (also auf dem ersten Datenträger mit Win 11).
So, nun meine Frage: Ich möchte Ubuntu auf einer neuen SSD installieren und die alte SSD wieder in den alten PC einbauen. Reicht es, die alte "abzuknipsen" und Ubuntu auf der neuen erneut zu installieren? Wird dann automatisch eine neue Signatur ins UEFI geschrieben, was passiert mit der alten, oder sind die beiden identisch (22.04)? Wenn nicht: wie kann ich die alte Signatur aus dem UEFI löschen?
PS: Grub würde ich wieder auf der Ubuntu SSD installieren, obwohl mir boot-repair den Win11 Datenträger vorschlägt (sinnvoll?).
Ergänzung ()
Noch ein eher kleines Problem so am Rande:
Wenn ich im UEFI den Windows Manager zum Booten auswähle, dann lässt sich Win11 nur noch über den shutown Befehl runterfahren. Habe alles andere ausprobiert, Energiesachen usw. nix funzt ansonsten. Boote ich Win11 dagegen über Grub, dann funktioniert es wieder. Merkwürdig.
