So aktivieren Sie Secure Boot nach einem BIOS-Update

Informatec Digital » Ressourcen » So aktivieren Sie Secure Boot nach einem BIOS-Update

Nach einem BIOS/UEFI-Update kommt es häufig vor, dass Secure Boot deaktiviert ist, seinen Status ändert oder als „Nicht aktiv“ angezeigt wird. Daher empfiehlt es sich, die Einstellungen zu überprüfen, um die korrekte Funktion wiederherzustellen. In diesem Artikel erkläre ich detailliert, wie Sie Secure Boot sicher wieder aktivieren, ohne dabei wichtige Punkte wie beispielsweise … zu übersehen. UEFI, GPT, CSM, Boot-Schlüssel, TPM 2.0 und BitLocker.

Bevor Sie irgendetwas ändern, sollten Sie zwei oder drei kurze Überprüfungen an Windows und der Firmware durchführen. So vermeiden Sie häufige Fehler wie das berüchtigte „Legacy UEFI“ oder Verschlüsselungssperren. Halten Sie Ihren Wiederherstellungsschlüssel bereit, wenn Sie [einen bestimmten System-/Softwarenamen] verwenden. BitLocker Konsultieren Sie gegebenenfalls die Bedienungsanleitung Ihres Herstellers, Jedes Motherboard (ASUS, MSI, Gigabyte, Lenovo, Dell, HP usw.) kann unterschiedliche Menüs anzeigen..

Was ist Safe Start und warum sollte man es aktivieren?

Secure Boot ist eine Firmware-Schutzschicht, die die kryptografischen Signaturen der beim Systemstart geladenen Software überprüft und so sicherstellt, dass nur signierte und vertrauenswürdige Software ausgeführt wird. Mit anderen Worten: blockiert die Ausführung von Bootloader oder unbefugte Fahrer und hilft dabei, Schadsoftware einzudämmen, die versucht, sich während der Bootphase einzuschleichen.

Neben der Sicherheit beeinflusst die korrekte Konfiguration auch die Stabilität und Kompatibilität mit modernen Systemen. Falls Sie Tools oder Betriebssysteme verwenden müssen, die diese Überprüfung nicht unterstützen, können Sie sie vorübergehend deaktivieren. Hersteller empfehlen jedoch, sie aktiviert zu lassen. Secure Boot dauerhaft aktiviert außer in sehr speziellen Fällen.

Erste Überprüfungen unter Windows: BIOS-Modus und Secure-Boot-Status

Als Erstes sollten Sie den aktuellen Status Ihres Computers überprüfen. Windows bietet eine Schnellvorschau, um festzustellen, ob Sie sich im UEFI- oder Legacy-Modus (CSM) befinden und ob Secure Boot aktiviert ist. Diese Überprüfung spart Ihnen Zeit, denn Wenn es bereits als „Aktiviert“ angezeigt wird, ist nichts weiter zu tun..

1. Presse Windows-+ RSchreibt msinfo32 und mit Enter bestätigen. Die Systeminformationen werden geöffnet.
2. Suchen Sie die Felder BIOS-Modus y Sicherer Startzustand.
3. Wenn im BIOS-Modus UEFI und Secure Boot aktiviert angezeigt werden, müssen Sie keine Änderungen vornehmen. Wenn dort „Deaktiviert“ steht, können Sie Secure Boot aktivieren. Nicht unterstütztIhr Motherboard unterstützt diese Funktion nicht.
4. Wenn der BIOS-Modus angezeigt wird Geerbt/CSMSie müssen auf UEFI umstellen, bevor Sie Secure Boot verwenden können.

MBR vs. GPT: Konvertieren Sie die Systemfestplatte gegebenenfalls.

Damit Secure Boot funktioniert, muss die Windows-Installation auf einem ... liegen. Festplatte mit Partitionen im GPT-Format (GUID-Partitionstabelle). Wenn Ihre Systemfestplatte als MBR formatiert ist, empfiehlt es sich, sie mithilfe des in Microsoft integrierten Tools in GPT zu konvertieren. Zunächst einmal Sichern Sie Ihre wichtigen Daten.

Überprüfen Sie den Partitionsstil in der Datenträgerverwaltung: Drücken Sie Windows + X, öffnen Sie die Datenträgerverwaltung, klicken Sie mit der rechten Maustaste auf die Systemfestplatte (nicht nur Laufwerk C:) und wählen Sie Eigenschaften > Volumes. Unter Partitionsstil sehen Sie, ob er auf „System“ eingestellt ist. GPT o MBR.

Falls Sie eine Konvertierung benötigen, öffnen Sie die Eingabeaufforderung als Verwalter (Stellen Sie sicher, dass das Fenster diese Berechtigungsstufe anzeigt) und bestätigen Sie mit mbr2gpt /validate /disk:0 /allowFullOS (Ersetzen Sie 0 durch die korrekte Datenträgernummer, falls diese nicht übereinstimmt.) Wenn alles korrekt ist, führen Sie das Programm aus. mbr2gpt /convert /disk:0 /allowFullOSNach der Umrüstung kann es erforderlich sein Ändern Sie den Boot-Modus in der Firmware auf UEFI..

Die Vorvalidierung ist entscheidend, da sie unter anderem prüft, ob genügend Speicherplatz für die GPT-Tabellen vorhanden ist und die Partitionierungsstruktur kompatibel ist. Obwohl das Tool für die direkte Konvertierung konzipiert ist, birgt jede Partitionierungsänderung Risiken. Es wird empfohlen, vorher eine Sicherungskopie zu erstellen..

TPM 2.0 und Windows 11: Kurzer Vergleich

Obwohl TPM 2.0 für Secure Boot nicht erforderlich ist, wird es für Windows 11 benötigt. Wenn Sie Windows 11 verwenden, sollten Sie überprüfen, ob der Chip vorhanden und aktiviert ist. tpm.msc Und überprüfen Sie den Status: Wenn dort „Bereit zur Verwendung“ steht, ist alles in Ordnung; wenn nicht, Aktivieren Sie es im BIOS/UEFI (Achten Sie je nach Hersteller auf TPM, fTPM oder PTT, normalerweise unter Sicherheit oder Erweiterte Optionen).

Bei vielen modernen Geräten ist TPM standardmäßig aktiviert, kann aber nach einem Firmware-Update oder einem Systemreset deaktiviert werden. Der übliche Pfad lautet: Sicherheit > TPM/fTPM/PTT und dort auswählen. Nutzer der Smart‑Spaces‑App mit Google Wallet erhalten berührungslosen Mobile‑Zutritt an jedem NFC‑fähigen HID® Signo™‑Leser.Änderungen müssen mit F10 gespeichert werden, bevor das Programm beendet wird, damit die Aktivierung wirksam wird.

So gelangen Sie unter Windows ins BIOS/UEFI: Tasten und Pfad

Um Secure Boot zu aktivieren, müssen Sie auf die Firmware zugreifen. Am häufigsten geschieht dies durch einen Neustart des Computers und wiederholtes Drücken einer Taste während des POST-Vorgangs. Die gängigsten Tasten sind: Entf, F2, F10, F12 oder Escwobei dies vom Hersteller abhängt.

Wenn Sie dies lieber direkt im System durchführen möchten, verwenden Sie die erweiterten Startoptionen. Navigieren Sie in Windows 10 zu Einstellungen > Update und Sicherheit > Wiederherstellung und drücken Sie die entsprechende Taste. Jetzt neu starten Im erweiterten Startmenü. Gehen Sie in Windows 11 zu Einstellungen > Windows Update > Erweiterte Optionen > Wiederherstellung und wählen Sie unter Erweiterter Start die Option Jetzt neu starten. Nach dem Neustart gehen Sie zu Fehlerbehebung > Erweiterte Optionen > UEFI-Firmware-Einstellungen und bestätigen.

Bei manchen Laptops (insbesondere Gaming-Laptops) ist es üblich, den Knopf gedrückt zu halten, wenn der Computer ausgeschaltet wird. F2 beim EinschaltenBei bestimmten tragbaren Spielgeräten kann die Methode darin bestehen, die Leiser-Taste gedrückt zu halten und gleichzeitig den Ein-/Ausschalter zu drücken. Schlagen Sie in der Bedienungsanleitung Ihres Modells nach. Wenn du es nicht beim ersten Mal schaffst.

Wo sich Secure Boot in der Firmware befindet und was Sie deaktivieren müssen.

Sobald Sie sich im BIOS/UEFI befinden, suchen Sie nach der Option „Secure Boot“. Diese befindet sich möglicherweise in einem Menüpunkt wie beispielsweise … Sicherheit, Booten, Erweitert oder Authentifizierungje nachdem, ob es sich um eine klassische UEFI-Oberfläche, „MyASUS in UEFI“ oder eine Benutzeroberfläche eines anderen Herstellers handelt.

Bevor Sie Secure Boot aktivieren, deaktivieren Sie die CSM (Kompatibilitäts-Support-Modul) oder im Legacy-Modus. Secure Boot funktioniert nur im reinen UEFI-Modus. Wenn CSM aktiviert ist, deaktivieren Sie es. Prüfen Sie anschließend, ob eine Option für den Betriebssystemtyp vorhanden ist. Bei vielen Firmware-Versionen finden Sie „Windows UEFI-Modus“ im Gegensatz zu „Anderes Betriebssystem“. Um Secure Boot zu aktivieren, wählen Sie diese Option. Windows-UEFI.

Bei deaktiviertem CSM und ausgewähltem Betriebssystemtyp suchen Sie den Schalter. SICHERES BOOTEN (Dies kann als „Sicherer Start“ angezeigt werden.) Stellen Sie die Option von „Deaktiviert“ auf „Aktiviert“ um. Wenn die Firmware Sie auffordert, Schlüssel zu verwalten, installieren Sie die Werkseinstellungen oder stellen Sie die Standardschlüssel wieder her. Diese Datenbank ermöglicht die Überprüfung von Microsoft-signierten Bootloadern.

Änderungen speichern, beenden und unter Windows überprüfen.

Wenn Sie fertig sind, speichern und beenden Sie das Programm. Das geschieht normalerweise mit F10 und Bestätigung (Akzeptieren/OK/Bestätigen) oder indem Sie auf die Registerkarte „Speichern und Beenden“ gehen und „Änderungen speichern und beenden“ auswählen. Der Computer wird mit den neuen Einstellungen neu gestartet.

Zurück in Windows, wiederholen Sie die Abfrage. msinfo32 Um zu bestätigen, dass der Secure-Boot-Status nun als „Aktiviert“ angezeigt wird. Falls er weiterhin als „Nicht aktiv“ oder „Deaktiviert“ angezeigt wird, fehlen möglicherweise Schlüssel oder CSM ist in der Firmware noch irgendwo aktiviert.

Was zu tun ist, wenn „Nicht aktiv“ angezeigt wird: Tasten zurücksetzen und den entsprechenden Modus erzwingen.

Es gibt Szenarien, in denen trotz aktiviertem UEFI und Secure Boot der Status Folgendes anzeigt: "Inaktiv"Bei modernen Motherboards besteht die typische Lösung darin, Secure Boot zu aktivieren, die werkseitigen Standardschlüssel wiederherzustellen und anschließend zu speichern.

Bei Laptops, All-in-One-PCs oder Spielekonsolen mit klassischem UEFI: Gehen Sie zu Sicherheit > Sicherer Start und aktivieren Sie die entsprechende Option. Sichere Startsteuerung aktiviertGehen Sie als Nächstes zur Schlüsselverwaltung. Verwenden Sie zunächst „Auf Setup-Modus zurücksetzen“, um die Datenbanken zu löschen, bestätigen Sie mit „Ja“ und wählen Sie dann aus Werkseinstellungen wiederherstellenÄnderungen speichern (F10) und neu starten.

Bei Geräten mit „MyASUS in UEFI“ ist der Vorgang identisch: Secure Boot aktivieren, Schlüsselverwaltung aufrufen und mit dem Befehl „clean“ bereinigen. In den Setup-Modus zurückkehren Installieren Sie abschließend die Schlüssel mit „Werksschlüssel wiederherstellen“. Speichern Sie die Änderungen und starten Sie den Computer neu, damit der Status aktualisiert wird.

Bei Desktop-Computern ist es bei einigen Firmware-Versionen erforderlich, den Secure Boot Mode zu ändern. Maßgeschneidert So verwalten Sie die Schlüssel: Öffnen Sie die Schlüsselverwaltung, führen Sie „Secure Boot-Schlüssel löschen“ aus, bestätigen Sie und wählen Sie dann „Standardmäßige Secure Boot-Schlüssel installieren“. Vergessen Sie nicht, das Fenster mit F10 oder „Änderungen speichern und beenden“ zu schließen, damit sich der Status gegebenenfalls auf „Benutzer/Aktiv“ ändert.

Spezielle Hinweise zur Benutzeroberfläche: Erweiterter Modus und Navigation

Viele UEFI-BIOS-Systeme verfügen über einen Basismodus und einen erweiterten Modus. Falls die oben genannten Optionen nicht angezeigt werden, drücken Sie F7 drücken, um in den erweiterten Modus zu wechseln Überprüfen Sie anschließend erneut die Registerkarten „Sicherheit“ und „Start“. Die Navigation kann je nach System mit den Pfeiltasten und der Eingabetaste, der Maus oder dem Touchpad erfolgen.

Die Benutzeroberfläche kann je nach Modell und Firmware-Version leicht variieren. Wundern Sie sich nicht, wenn der Pfad beispielsweise als Sicherheit > Sicherer Start > Steuerung des sicheren Starts oder als … aufgeführt ist. Start > Sicherer Start > BetriebssystemtypDas Ziel ist dasselbe: CSM deaktivieren, Windows UEFI auswählen und sicherstellen, dass die Secure Boot-Schlüssel geladen sind.

BitLocker und Geräteverschlüsselung: Vermeiden Sie Überraschungen beim Neustart

Wenn Sie BitLocker oder Geräteverschlüsselung verwenden, kann die Änderung kritischer Startparameter (CSM, Secure Boot, TPM) Windows dazu veranlassen, ... Wiederherstellungsschlüssel Beim nächsten Systemstart. Halten Sie diese Information bereit, bevor Sie das BIOS/UEFI berühren, um ein Hängenbleiben zu vermeiden.

Wenn Sie die Verschlüsselung vorübergehend deaktivieren möchten, konsultieren Sie bitte zuerst die offiziellen Richtlinien von Microsoft, um Datenverlust zu vermeiden. In Unternehmenssystemen ist es ratsam, diese Änderungen mit der zuständigen Abteilung/Organisation abzustimmen. das IT-Team um die Richtlinien einzuhalten und die Sicherheit zu gewährleisten.

Alternativer Weg zur Aktivierung von UEFI und zur Konvertierung von Partitionen ohne Neuinstallation

Wenn Sie aus dem Legacy/CSM-Modus kommen und Ihre Festplatte als MBR formatiert ist, ist die sauberste Methode die Konvertierung in GPT mithilfe des entsprechenden Dienstprogramms. mbr2gpt und wechseln Sie dann im BIOS zu UEFI. Vergessen Sie nicht, vorher die Verbindung zu überprüfen. mbr2gpt /validate und dann führe es aus mbr2gpt /convert mit der korrekten Datenträgerkennung.

Ein Detail, das oft übersehen wird: Im Eingabeaufforderungsfenster sollte Folgendes stehen: VerwalterWenn Sie die Konsole nicht mit erhöhten Rechten ausführen, können die Befehle ohne eine klare Fehlermeldung fehlschlagen, sodass Sie die Schritte wiederholen müssen.

Wann Secure Boot vorübergehend deaktiviert werden sollte

Einige Diagnosetools, Wartungsabbilder und Betriebssysteme funktionieren nicht, wenn die Signaturprüfung aktiviert ist. In diesen Fällen können Sie Secure Boot vorübergehend deaktivieren, die benötigten Anwendungen nutzen und Secure Boot anschließend wieder aktivieren. Aktivieren Sie es, sobald Sie fertig sind..

Wenn Sie Linux installieren und im BIOS „Anderes Betriebssystem“ ausgewählt haben, sind Meldungen oder Fehler im Zusammenhang mit dem älteren UEFI-Modus normal. Die Lösung besteht üblicherweise darin, den UEFI-Modus zu konfigurieren, CSM deaktiviert zu lassen und, falls Sie Windows weiterhin nutzen möchten, … Überprüfen Sie, ob die Systemfestplatte im GPT-Format vorliegt. und dass die Secure-Boot-Schlüssel geladen sind. In manchen Linux-Szenarien sind signierte Bootloader erforderlich; andernfalls bleibt Ihnen nur die Möglichkeit, mit deaktiviertem Secure Boot zu booten.

Beispiele für gängige Menüs nach Gerätetyp

Laptops und All-in-One-Computer: Schalten Sie den Computer aus und halten Sie beim Einschalten die Taste F2 gedrückt, um das Setup-Menü aufzurufen. Wechseln Sie dort in den erweiterten Modus. F7Gehen Sie zu Sicherheit > Sicherer Start und passen Sie die Steuerung für sicheren Start an. Falls diese Option nicht angezeigt wird, überprüfen Sie auch die Registerkarte „Start“, insbesondere den Betriebssystemtyp (Windows UEFI vs. Anderes Betriebssystem).

MyASUS im UEFI: Die Navigation ist sehr ähnlich, nur die Darstellung ändert sich. Gehen Sie zu Erweiterte Einstellungen, navigieren Sie zu Sicherheit > Sicherer Start, aktivieren Sie die Steuerung und verwalten Sie die Schlüssel dort. Schlüsselverwaltung Wenn der Status weiterhin „Nicht aktiv“ lautet, denken Sie daran, mit F10 zu speichern.

Desktop-Computer: Bei einigen Modellen ist die Eingabetaste Supr (Del)Gehen Sie zu „Start“ > „Sicherer Start“ und stellen Sie, falls die Schlüsselverwaltung aktiviert ist, den Modus auf „Benutzerdefiniert“ ein, um die Standardschlüssel zu löschen und neu zu installieren (Standard-Sicherer-Start-Schlüssel installieren). Prüfen Sie außerdem, ob CSM deaktiviert ist, und aktivieren Sie es gegebenenfalls.

Abschließende Überprüfung und Fehlerbehebung

Nach jeder BIOS-Änderung speichern und neu starten. Unter Windows das BIOS erneut öffnen. msinfo32 Zur Bestätigung: Der BIOS-Modus ist auf UEFI eingestellt und Secure Boot ist aktiviert. Falls Probleme auftreten und der Computer nicht startet, spielen Sie die Firmware wieder ein und deaktivieren Sie Secure Boot vorübergehend oder stellen Sie die letzte Einstellung wieder her, um die Funktionalität wiederherzustellen.

Typische Fehler, die auf das Problem hinweisen: Wenn die Meldung „Nicht aktiv“ weiterhin angezeigt wird, fehlen Schlüssel; wenn der Schalter für sicheren Start nicht angezeigt wird, befinden Sie sich in der Basisansicht und müssen in den erweiterten Modus wechseln; wenn Windows nach der Konvertierung zu GPT nicht startet, befindet sich die Firmware möglicherweise noch im Installationsmodus. CSM/Geerbt Statt UEFI. Passen Sie diese drei Punkte an, und das Problem ist fast immer behoben.

Konsultieren Sie stets die Dokumentation des Herstellers. Obwohl das Ziel bei allen Marken dasselbe ist, variieren die Bezeichnungen und die genaue Vorgehensweise. Es ist nicht ungewöhnlich, dass eine Option namens „Betriebssystemtyp“ diejenige ist, die aktivieren oder deaktivieren Secure Boot ist darunter (Windows UEFI = aktiv, Andere Betriebssysteme = inaktiv).

• Überprüfen Sie in msinfo32, ob Sie sich im UEFI-Modus befinden und ob Secure Boot aktiviert ist. Falls Sie sich im Legacy-Modus befinden, konvertieren Sie zu GPT und ändern Sie die Einstellungen entsprechend. UEFI in der Firmware.

• Deaktivieren Sie CSM im BIOS. Stellen Sie den Betriebssystemtyp auf Windows UEFI ein und aktivieren Sie Secure Boot. Falls Sie dazu aufgefordert werden, installiert Standardschlüssel oder stellen Sie sie über die Schlüsselverwaltung wieder her.

• Wenn der Status „Nicht aktiv“ anzeigt, führen Sie einen Reset im Setup-Modus durch und installieren Sie die Werksschlüssel neu. Auf Desktop-Systemen müssen Sie möglicherweise in den benutzerdefinierten Modus wechseln, um die Schlüssel zu verwalten. Mit F10 speichern.

• Verwenden Sie TPM 2.0, wenn Sie Windows 11 nutzen, und beachten Sie BitLocker: Notieren Sie sich den Wiederherstellungsschlüssel, bevor Sie Änderungen an der Firmware vornehmen. Falls etwas schiefgeht, machen Sie die letzte Änderung rückgängig. versuchen Sie es erneut.

Wenn UEFI, GPT und CSM deaktiviert und die Werksschlüssel geladen sind, ist Secure Boot aktiv und Ihr Computer startet nur vertrauenswürdige Software. Diese Einstellung sollten Sie überprüfen, insbesondere nach einem BIOS-Update, da solche Änderungen manchmal die Startparameter zurücksetzen oder die Schlüsseldatenbank löschen. Sobald Sie den Vorgang verstanden haben (msinfo32 für die Diagnose, ggf. mbr2gpt, Einstellungen unter Sicherheit/Start und Schlüsselverwaltung), Sicheres Booten wieder aktivieren Es dauert nur wenige Minuten und Sie erhalten zusätzliche Sicherheit, ohne Leistungseinbußen hinnehmen zu müssen.

Verwandte Artikel:

So aktivieren Sie Secure Boot in Windows 11: Eine vollständige Schritt-für-Schritt-Anleitung