Hoe u Secure Boot inschakelt na een BIOS-update

Informatic Digital » Middelen » Hoe u Secure Boot inschakelt na een BIOS-update

Na een BIOS/UEFI-update is het vrij gebruikelijk dat Secure Boot wordt uitgeschakeld, van status verandert of als "Niet actief" wordt weergegeven. Daarom is het raadzaam om de instellingen te controleren om het weer goed te laten werken. In dit artikel leg ik gedetailleerd uit hoe je Secure Boot veilig opnieuw kunt inschakelen zonder kritieke punten over het hoofd te zien, zoals UEFI, GPT, CSM, opstartsleutels, TPM 2.0 en BitLocker.

Voordat u iets aanraakt, is het de moeite waard om twee of drie snelle controles uit te voeren op Windows en de firmware. Dit helpt u veelvoorkomende fouten zoals de beruchte "Legacy UEFI" of encryptievergrendelingen te voorkomen. Houd uw herstelsleutel bij de hand als u [een specifieke systeem-/softwarenaam] gebruikt. BitLocker en raadpleeg indien van toepassing de handleiding van uw fabrikant. Elk moederbord (ASUS, MSI, Gigabyte, Lenovo, Dell, HP, enz.) kan verschillende menu's weergeven.

Wat is Veilige start en waarom zou u het willen inschakelen?

Secure Boot is een firmware-beveiligingslaag die de cryptografische handtekeningen van de software valideert die bij het opstarten van het systeem wordt geladen, zodat alleen ondertekende en vertrouwde software wordt uitgevoerd. Met andere woorden: blokkeert de uitvoering van bootloaders of ongeautoriseerde bestuurders en helpt malware in te dammen die tijdens de opstartfase probeert binnen te dringen.

Naast de beveiliging heeft een correcte configuratie ook invloed op de stabiliteit en compatibiliteit met moderne systemen. Als u tools of besturingssystemen moet gebruiken die deze verificatie niet ondersteunen, kunt u deze tijdelijk uitschakelen. Fabrikanten raden echter aan om deze ingeschakeld te houden. Secure Boot permanent ingeschakeld behalve voor zeer specifieke behoeften.

Eerste controles in Windows: BIOS-modus en Secure Boot-status

Het eerste wat u moet doen, is de huidige status van uw computer controleren. Windows biedt een snelle preview om te zien of u zich in de UEFI- of Legacy (CSM)-modus bevindt en of Secure Boot is ingeschakeld. Door dit te controleren, bespaart u tijd, omdat Als het al als 'Geactiveerd' verschijnt, hoeft u niets meer te doen..

1. pers Windows + RSchrijft msinfo32 en bevestig met Enter. Systeeminformatie wordt geopend.
2. Zoek de velden BIOS-modus y Veilige opstartstatus.
3. Als de BIOS-modus UEFI aangeeft en de Secure Boot Status is ingeschakeld, hoeft u geen wijzigingen aan te brengen. Als er 'Uitgeschakeld' staat, kunt u het inschakelen. Als er ' Niet ondersteundUw moederbord ondersteunt deze functie niet.
4. Als de BIOS-modus aangeeft Overgenomen/CSMU moet overschakelen naar UEFI voordat u Secure Boot kunt gebruiken.

MBR vs GPT: Converteer de systeemschijf indien nodig

Om Secure Boot te laten werken, moet de Windows-installatie zich op een schijf met partities in GPT-stijl (GUID-partitietabel). Als uw systeemschijf is geformatteerd als MBR, is het raadzaam deze te converteren naar GPT met behulp van de ingebouwde tool van Microsoft. Allereerst, Maak een back-up van uw belangrijke gegevens.

Controleer de partitiestijl in Schijfbeheer: druk op Windows + X, open Schijfbeheer, klik met de rechtermuisknop op de systeemschijf (niet alleen station C:) en open Eigenschappen > Volumes. Onder Partitiestijl ziet u of deze is geselecteerd. GPT o MBR.

Als u moet converteren, opent u de opdrachtprompt als administrateur (zorg ervoor dat het venster het toestemmingsniveau aangeeft) en valideer met mbr2gpt /validate /disk:0 /allowFullOS (Vervang 0 door het juiste schijfnummer als het niet overeenkomt). Als alles correct is, voer dan uit mbr2gpt /convert /disk:0 /allowFullOSNa de conversie kan het nodig zijn Wijzig de opstartmodus in de firmware naar UEFI.

Prevalidatie is essentieel omdat het onder andere controleert of er voldoende ruimte is voor de GPT-tabellen en of de partitiestructuur compatibel is. Hoewel de tool is ontworpen voor in-place conversie, brengt elke partitiewijziging risico's met zich mee, en daarom Het is aan te raden om een ​​back-up te maken voordat u.

TPM 2.0 en Windows 11: Snelle verificatie

Hoewel TPM 2.0 niet vereist is om Secure Boot in te schakelen, is het wel vereist voor Windows 11. Als u Windows 11 gebruikt, moet u controleren of de chip aanwezig en ingeschakeld is. tpm.msc En controleer de status: als er "Klaar voor gebruik" staat, is alles in orde; zo niet, Schakel het in BIOS/UEFI in (Zoek naar TPM, fTPM of PTT, afhankelijk van de fabrikant, meestal in Beveiliging of Geavanceerde opties).

Op veel moderne apparaten is TPM standaard ingeschakeld, maar het kan worden uitgeschakeld na een firmware-update of een systeemreset. Het gebruikelijke pad is Beveiliging > TPM/fTPM/PTT en selecteer ingeschakeldSla uw wijzigingen op met F10 voordat u afsluit, zodat de activering van kracht wordt.

Hoe BIOS/UEFI te openen: toetsen en pad vanuit Windows

Om Secure Boot te gebruiken, moet u de firmware openen. De meest gebruikelijke manier is om de computer opnieuw op te starten en herhaaldelijk op een toets te drukken tijdens de POST. De meest gebruikte toetsen zijn: Del, F2, F10, F12 of Eschoewel het van de fabrikant afhangt.

Als u dit liever vanuit het systeem zelf doet, gebruik dan Geavanceerd opstarten. Ga in Windows 10 naar Instellingen > Bijwerken en beveiliging > Herstel en druk op nu opnieuw opstarten In Geavanceerd opstarten. Ga in Windows 11 naar Instellingen > Windows Update > Geavanceerde opties > Herstel en kies onder Geavanceerd opstarten voor Nu opnieuw opstarten. Ga na het opnieuw opstarten naar Problemen oplossen > Geavanceerde opties > UEFI-firmware-instellingen en bevestig.

Bij sommige laptops (vooral gaming-laptops) is het gebruikelijk om de knop ingedrukt te houden terwijl de computer is uitgeschakeld. F2 bij het inschakelenOp bepaalde draagbare spelapparaten kan het nodig zijn om tegelijkertijd de volumeknop ingedrukt te houden en op de aan/uit-knop te drukken. Raadpleeg de handleiding voor uw model als het je de eerste keer niet lukt.

De locatie van Secure Boot in de firmware en wat u moet uitschakelen.

Zoek in het BIOS/UEFI naar de optie Secure Boot. Deze bevindt zich mogelijk in tabbladen zoals Beveiliging, opstarten, geavanceerd of authenticatieafhankelijk van of de interface klassiek UEFI is, of "MyASUS in UEFI" of een laag van een andere fabrikant.

Voordat u Secure Boot inschakelt, schakelt u de CSM (Compatibiliteitsondersteuningsmodule) of Legacy-modus. Secure Boot werkt alleen in pure UEFI, dus als CSM is ingeschakeld, schakel het dan uit. Controleer vervolgens of er een optie voor OS Type is; op veel firmwares vindt u "Windows UEFI-modus" versus "Ander OS"; om Secure Boot in te schakelen, kiest u Windows-UEFI.

Met CSM uitgeschakeld en het juiste besturingssysteemtype geselecteerd, zoekt u de schakelaar Beveiligd Opstarten (Dit kan worden weergegeven als Secure Boot Control.) Schakel van Uitgeschakeld naar Ingeschakeld. Als de firmware u vraagt ​​om sleutels te beheren, de fabrieksinstellingen te installeren of de standaardsleutels te herstellen; deze database stelt u in staat om door Microsoft ondertekende bootloaders te valideren.

Wijzigingen opslaan, afsluiten en verifiëren in Windows

Als je klaar bent, sla je het op en sluit je het af. Meestal doe je dit met F10 en bevestiging (Accepteren/OK/Bevestigen), of door naar het tabblad Opslaan en afsluiten te gaan en "Wijzigingen opslaan en afsluiten" te kiezen. De computer start opnieuw op met de nieuwe instellingen toegepast.

Herhaal de query in Windows om msinfo32 Ter bevestiging: de Secure Boot-status wordt nu weergegeven als Ingeschakeld. Als deze nog steeds wordt weergegeven als "Niet actief" of "Uitgeschakeld", ontbreken er mogelijk sleutels of is CSM mogelijk nog ergens in de firmware ingeschakeld.

Wat te doen als "Niet actief" verschijnt: toetsen resetten en de juiste modus forceren

Er zijn scenario's waarin, ondanks dat UEFI en Secure Boot zijn ingeschakeld, de status als volgt wordt weergegeven: "Inactief"Op moderne moederborden is de gebruikelijke oplossing om Secure Boot Control in te schakelen en de fabrieksinstellingen te herstellen en vervolgens op te slaan.

Op laptops, alles-in-één-pc's of spelconsoles met klassieke UEFI: ga naar Beveiliging > Veilig opstarten en stel Veilige opstartcontrole ingeschakeldGa vervolgens naar Sleutelbeheer. Gebruik eerst 'Reset naar installatiemodus' om de databases te wissen, bevestig met 'Ja' en selecteer vervolgens Fabriekssleutels herstellenSla de wijzigingen op (F10) en start opnieuw op.

Op apparaten met "MyASUS in UEFI" is het proces gelijkwaardig: schakel Secure Boot Control in, ga naar Key Management en maak schoon met Resetten naar installatiemodus Installeer tot slot de sleutels met behulp van 'Fabriekssleutels herstellen'. Sla de wijzigingen op en start het systeem opnieuw op om de status bij te werken.

Op desktopcomputers vereisen sommige firmwares dat de beveiligde opstartmodus wordt gewijzigd naar Eigen Om sleutels te beheren: open Sleutelbeheer, voer 'Wis beveiligde opstartsleutels' uit, bevestig dit en kies vervolgens 'Standaard beveiligde opstartsleutels installeren'. Vergeet niet af te sluiten met F10 of 'Wijzigingen opslaan en afsluiten', zodat de status indien nodig verandert in Gebruiker/Actief.

Specifieke interface-opmerkingen: geavanceerde modus en navigatie

Veel UEFI BIOS-en hebben een basismodus en een geavanceerde modus. Als u bovenstaande opties niet ziet, druk dan op F7 om over te schakelen naar de geavanceerde modus Controleer vervolgens de tabbladen Beveiliging en Opstarten opnieuw. Navigeren kan met de pijltjestoetsen en Enter, de muis of het touchpad, afhankelijk van het systeem.

De interface kan enigszins verschillen per model en firmwareversie. Wees niet verbaasd als het pad wordt weergegeven als Beveiliging > Beveiligd opstarten > Beveiligd opstarten of als Opstarten > Beveiligd opstarten > OS-typeHet doel is hetzelfde: schakel CSM uit, kies Windows UEFI en zorg ervoor dat de Secure Boot-sleutels zijn geladen.

BitLocker en apparaatversleuteling: voorkom verrassingen bij het opnieuw opstarten

Als u BitLocker of Apparaatversleuteling gebruikt, kan het wijzigen van kritieke opstartparameters (CSM, Secure Boot, TPM) ertoe leiden dat Windows... herstelsleutel bij de volgende keer opstarten. Houd deze bij de hand voordat u het BIOS/UEFI aanraakt om te voorkomen dat u vastloopt.

Als u de encryptie tijdelijk wilt uitschakelen, raadpleeg dan eerst de officiële richtlijnen van Microsoft om gegevensverlies te voorkomen. Op bedrijfssystemen is het verstandig om deze wijzigingen af ​​te stemmen met [de betreffende afdeling/organisatie]. het IT-team om te voldoen aan het beleid en de veiligheid te handhaven.

Alternatieve route om UEFI in te schakelen en partities te converteren zonder opnieuw te installeren

Als u uit de Legacy/CSM-modus kwam en uw schijf was geformatteerd als MBR, is de schoonste manier om te converteren naar GPT met behulp van het hulpprogramma mbr2gpt en schakel dan over naar UEFI in het BIOS. Vergeet niet om eerst te valideren met mbr2gpt /validate en voer het dan uit mbr2gpt /convert met de juiste schijf-ID.

Eén detail dat vaak over het hoofd wordt gezien: het opdrachtpromptvenster zou moeten luiden administrateurAls u de console niet met verhoogde bevoegdheden uitvoert, mislukken de opdrachten mogelijk zonder dat er een duidelijke melding verschijnt. U moet de stappen dan opnieuw uitvoeren.

Wanneer u Secure Boot tijdelijk moet uitschakelen

Sommige diagnostische tools, onderhoudsimages en besturingssystemen werken niet met handtekeningverificatie ingeschakeld. In die gevallen kunt u Secure Boot tijdelijk uitschakelen, gebruiken wat u nodig hebt en het vervolgens weer inschakelen. Schakel het in zodra u klaar bent.

Als u Linux installeert en 'Ander besturingssysteem' in uw BIOS hebt geselecteerd, is het normaal dat u berichten of fouten ziet met betrekking tot oudere UEFI. De oplossing bestaat meestal uit het configureren van de UEFI-modus, het uitschakelen van CSM en, als u Windows wilt behouden, Controleer of de systeemschijf GPT is en dat de Secure Boot-sleutels geladen zijn. Sommige Linux-scenario's vereisen ondertekende bootloaders; anders is uw enige optie opstarten met Secure Boot uitgeschakeld.

Voorbeelden van veelvoorkomende menu's per apparaattype

Laptops en all-in-one computers: Houd, terwijl de computer is uitgeschakeld, F2 ingedrukt tijdens het opstarten om het instellingenmenu te openen. Schakel vervolgens over naar de geavanceerde modus met F7Ga naar Beveiliging > Beveiligd opstarten en pas Beveiligd opstarten aan. Als het niet verschijnt, controleer dan ook het tabblad Opstarten, met name het besturingssysteemtype (Windows UEFI versus ander besturingssysteem).

MyASUS in UEFI: De navigatie is vrijwel hetzelfde, alleen het uiterlijk verandert. Ga naar Geavanceerde instellingen, navigeer naar Beveiliging > Veilig opstarten, schakel daar de bediening in en beheer de sleutels. Sleutelbeheer Als de status nog steeds op Niet Actief staat, vergeet dan niet op te slaan met F10.

Desktopcomputers: bij sommige modellen is de sleutel om in te voeren Supr (Del)Ga naar Opstarten > Beveiligd opstarten en stel, indien sleutelbeheer is ingeschakeld, de modus in op Aangepast om de standaardsleutels te wissen en te installeren (Standaardsleutels voor beveiligd opstarten installeren). Controleer ook of CSM is ingesteld op Uitgeschakeld en schakel dit in.

Eindcontrole en probleemoplossing

Sla na elke BIOS-wijziging de wijzigingen op en start opnieuw op. Open in Windows het BIOS opnieuw. msinfo32 Ter bevestiging: de BIOS-modus is ingesteld op UEFI en de Secure Boot-status is ingesteld op Ingeschakeld. Als er iets misgaat en de computer niet opstart, herstel dan de firmware en schakel Secure Boot tijdelijk uit of herstel de laatste instelling om de functionaliteit te herstellen.

Typische fouten die het probleem onthullen: als "Niet actief" blijft bestaan, ontbreken er sleutels; als u de schakelaar Beveiligd opstarten niet ziet, bevindt u zich in de basisweergave en moet u overschakelen naar de geavanceerde modus; als Windows niet start na de conversie naar GPT, is de firmware mogelijk nog steeds in de standaardmodus. CSM/Overgenomen In plaats van UEFI. Pas die drie punten aan en het probleem is bijna altijd opgelost.

Raadpleeg altijd de documentatie van uw fabrikant. Hoewel het doel voor alle merken hetzelfde is, variëren de terminologie en het exacte pad. Het is niet ongebruikelijk dat een optie genaamd "OS Type" degene is die activeren of deactiveren Secure Boot daaronder (Windows UEFI = actief, Ander besturingssysteem = inactief).

• Controleer in msinfo32 of u zich in UEFI bevindt en controleer de Secure Boot-status. Als u zich in Legacy bevindt, converteer dan naar GPT en wijzig naar UEFI in de firmware.

• Schakel CSM uit in het BIOS. Stel OS Type in op Windows UEFI en schakel Secure Boot in. Als u hierom wordt gevraagd, installeert standaardsleutels of herstel ze via Sleutelbeheer.

• Als de status 'Niet actief' is, voer dan een reset uit via 'Herstel naar installatiemodus' en installeer de fabriekssleutels opnieuw. Op desktopsystemen moet u mogelijk overschakelen naar de aangepaste modus om sleutels te beheren. Onthoud opslaan met F10.

• Gebruik TPM 2.0 als u Windows 11 gebruikt en houd BitLocker in gedachten: noteer de herstelsleutel voordat u de firmware aanpast. Als er iets misgaat, draait u de laatste wijziging terug en probeer het opnieuw.

Met UEFI, GPT en CSM uitgeschakeld en de fabriekssleutels geladen, is Secure Boot operationeel en start uw computer alleen vertrouwde software op. Het is de moeite waard om deze instelling te controleren, vooral na een BIOS-update, omdat deze wijzigingen soms de opstartparameters resetten of de sleuteldatabase wissen. Zodra u het proces begrijpt (msinfo32 voor diagnostiek, mbr2gpt indien nodig, instellingen in Beveiliging/Opstarten en sleutelbeheer), Veilig opstarten opnieuw inschakelen Binnen enkele minuten profiteert u van extra beveiliging zonder dat dit ten koste gaat van de prestaties.

Gerelateerd artikel:

Veilig opstarten inschakelen in Windows 11: een complete stapsgewijze handleiding