Secure Boot ist Bestandteil der Uefi-Spezifikation, die den Nachfolger des Bios beschreibt. Dieser wird heute meist als Legacy-Bios bezeichnet. Secure Boot erlaubt den Bootvorgang nur dann, wenn ein Bootloader mit einer gültigen Signatur vorhanden ist. Die Signatur stellt sicher, dass der Bootloader des Betriebssystems nicht verändert oder manipuliert wurde. Auf diese Weise wollte man der Gefahr durch Bootsektorviren und Rootkits begegnen, die bei jedem PC-Start automatisch geladen werden. Denn solchen Schädlinge sind mit Antivirensoftware nur schwierig zu entdecken und zu entfernen.
Secure Boot wird über das Uefi ein- und ausgeschaltet. Sobald es aktiviert ist, bricht es beim Erkennen von nicht signierter Bootsoftware den Startvorgang sofort ab. In den ersten Jahren brachte das häufig Probleme mit sich, da in vielen PCs noch unsignierte Komponenten wie etwa ältere Hardwaretreiber existierten. Aus diesem Grund war Secure Boot im Bios von vielen Motherboard-Modellen per Voreinstellung deaktiviert. Windows 8 und 10 unterstützten die Funktion zwar, bestanden aber nicht darauf, dass sie eingeschaltet war.
Siehe auch: Die besten Uefi-Einstellungen für Windows 11
Das änderte sich jedoch mit Windows 11. Bei der neuesten Version des Betriebssystems erhöhte Microsoft die Anforderungen an die Computersicherheit. Dazu gehörte, dass das Uefi nicht nur eine Secure-Boot-Funktion anbieten muss, sondern dass sie auch aktiviert ist. Falls nicht, erscheint die Meldung „Dieser PC muss Secure Boot unterstützen“, das Upgrade oder Setup von Windows 11 wird abgebrochen.
Secure-Boot-Status überprüfen
In den Systeminformationen von Windows erkennen Sie, ob Ihr Rechner mit einem Legacy- oder wie hier im dargestellten Bild im echten Uefi-Modus arbeitet.
IDG
In den meisten Fällen können Sie die Secure- Boot-Funktion Ihres PCs nachträglich aktivieren. Als Faustregel gilt, dass Rechner seit 2016 Secure Boot gewöhnlich unterstützen. Aber: Das Bios von vielen Computern lässt sich sowohl in einem Legacy- wie auch im Uefi-Modus betreiben (der Legacy ist auch als Kompatibilitälitäts- oder CSM-Modus bezeichnet). Secure Boot ist jedoch nur im echten Uefi-Modus verfügbar.
In einem ersten Schritt verschaffen Sie sich also Klarheit über den tatsächlichen Betriebsmodus: Tippen Sie
msinfoins Suchfeld des Startmenüs, um die „Systeminformationen“ von Windows aufzurufen. Markieren Sie auf der linken Seite die „Systemübersicht“, und suchen Sie rechts den Eintrag „Bios-Modus“. Wenn daneben „Uefi“ steht, ist alles in Ordnung, bei „Legacy“ ist hingegen der alte Modus aktiv.
Sie können das Bios in zwei Schritten von Legacy auf Uefi umstellen. Voraussetzung ist, dass Sie mit der 64-Bit-Ausgabe von Windows 10 (mindestens Version 1703) arbeiten und die Festplattenverschlüsselung Bitlocker deaktiviert ist.
Mit dem kostenlosen Minitool Partition Wizard können Sie GPT-Partitionen schnell und ohne Datenverlust in MBR konvertieren. Der umgekehrte Weg ist ebenfalls möglich.
IDG
Zuerst konvertieren Sie die Systemfestplatte, falls noch nicht geschehen, vom Partitionsstil MBR auf GPT. Dazu installieren und starten Sie Minitool Partition Wizard. Auf der Bedienoberfläche markieren Sie die Windows-Festplatte („Datenträger 1“), klicken links auf „MBR zu GPT konvertieren“ und bestätigen den Warnhinweis mit „OK“. Fahren Sie mit „Übernehmen –› Ja“ fort und warten ab, bis die Konvertierung abgeschlossen ist.
Danach stellen Sie die entsprechende Einstellung im Bios Ihres PCs um. Starten Sie dazu Ihren Computer neu und drücken die während des Startvorgangs angezeigte Taste, um das Bios aufzurufen. Dort finden Sie die Funktion zum Ändern von Legacy auf Uefi meist im Register „Boot“. Nach einem Neustart rufen Sie erneut die „Systeminformationen“ auf und sehen nach, ob neben „Sicherer Startzustand“ – damit ist Secure Boot gemeint – „Ein“ steht. Falls nicht, gehen Sie erneut ins Bios und aktivieren die Funktion. Sie finden sie in der Regel im Register „Sicherheit“.
Von Bios zu Uefi: So klappt der Umstieg problemlos
Windows 11 auch auf älteren Rechnern installieren
Bevor Rufus den Setupstick für Windows 11 konfiguriert, fragt das Programm, ob es bestimmte Elemente aus der Installation herausnehmen soll.
IDG
Da viele Computer die strengen Hardware-Anforderungen von Windows 11 anfangs nicht erfüllten – neben Secure Boot musste der Rechner auch TPM 2.0 unterstützen und vier GByte RAM aufweisen –, präsentierte Microsoft einen Workaround: Über einen Registry-Schlüssel ließ sich die Suche nach Secure Boot und TPM 2.0 bei der Installation überspringen. Am Einfachsten aber ist es, mit Rufus einen Installationsstick zu erstellen. Darin hat der Entwickler eine Option integriert, die sämtliche Systemanforderungen wahlweise übergeht.
So geht’s: Rufen Sie die Seite Windows-Download-Seite auf, scrollen Sie nach unten, und stellen Sie im Abschnitt „Herunterladen eines Windows 11-Datenträgerimages (ISO)“ die Option „Windows 11 (multi-edition ISO)“ ein. Klicken Sie auf „Herunterladen“, wählen als Produktsprache „Deutsch“ aus und fahren mit „Bestätigen –› 64-bit Download“ fort.
Stecken Sie einen USB-Stick mit mindestens acht GByte Kapazität in den Rechner und starten Rufus. Ganz oben wählen Sie das Stick-Laufwerk und die heruntergeladene ISO-Datei aus. Die restlichen Einstellungen können Sie übernehmen. Nach einem Klick auf „START“ erscheint ein Dialogfenster, in dem Sie drei Häkchen setzen.
- Mit der Option „Remove requirement for 4GB+ RAM, Secure Boot and TPM 2.0“ entfernen Sie die Sperre bei ungenügender Hardware.
- „Remove requirement for an online Microsoft account“ verhindert, dass Sie Windows 11 nur mit Anmeldung bei einem Microsoft-Konto installieren können.
- „Disable data collection (Skip privacy questions)“ wiederum unterdrückt die Privatsphärefragen.
Die zweite und dritte Option haben für Secure Boot keine Bedeutung, vereinfachen und beschleunigen jedoch die Installation. Klicken Sie auf „OK“, bestätigen Sie die Warnung und lassen Sie Rufus arbeiten.
Sobald der Stick fertig konfiguriert ist, können Sie Ihren PC davon booten und Windows 11 ohne Secure Boot und TPM 2.0 einrichten. Alternativ dazu können Sie die Installation mit dem Stick auch direkt aus Windows 10 heraus anstoßen. Klicken Sie dazu doppelt auf die Datei setup.exe.
Secure Boot und Linux
Nachdem Microsoft seine Pläne für Secure Boot bekanntgegeben hatte, wurden Stimmen laut, die darin eine mögliche Benachteiligung von Linux sahen. So befürchtete man, dass das Betriebssystem aufgrund fehlender Signaturen auf allen Rechnern mit aktiviertem Secure Boot nicht mehr lauffähig sein würde. Diese Befürchtungen bewahrheiteten sich allerdings nicht.
Denn mit dem freien Bootloader Shim gab es eine Möglichkeit, den Bootloader Grub und über diesen beliebige andere Programme laden zu können. Jede Linux-Distribution kann ihren eigenen Signaturschlüssel in Shim hinterlegen und so dafür sorgen, dass lediglich ihr eigenes Grub und ihr eigener Linux-Kernel geladen werden können. Auf diese Weise ist die Sicherheit von Secure Boot auch für Linux verfügbar.
Heute verwenden praktisch alle Linux-Distributionen Shim und lassen sich die Software von Microsoft für Secure Boot signieren. Auch bei Dual Boot von Windows und Linux ergeben sich daher durch ein aktiviertes Secure Boot normalerweise keine Probleme. Außerdem ist es möglich, Linux in einer virtuellen Maschine unter Windows und Windows in einer virtuellen Maschine unter Linux laufen zu lassen.
DBX steht für die Signatur-Datenbank von Secure Boot, die letztes Jahr ein Update erhalten hat. Seither traten immer wieder Probleme mit Bitlocker und einigen Linux-Distributionen auf.
IDG
Im Sommer 2022 trat ein neues Problem auf: Microsoft hatte in Grub Sicherheitslücken entdeckt, über die es möglich war, unsignierten Code an Secure Boot vorbeizuschleusen. Anfang August veröffentlichte die Firma daher das Update KB5012170, das die Signaturen von rund 100 Linux-Distributionen löschte, welche die unsichere Grub-Version benutzten. Doch diese Betriebssysteme ließen sich anschließend bei aktivem Secure Boot nicht mehr starten. Betroffen waren nahezu ausschließlich Distributionen mit Langzeit-Support und ältere Installationsmedien mit Grub in alten Versionen – und damit zahlreiche Live-Systeme auf DVDs oder USB-Sticks, die Anwender für die PC-Analyse und Reparaturen konfiguriert und genutzt hatten. Auf der Festplatte installierte Distributionen hingegen erhielten automatisch ein Update für Grub auf eine von Microsoft genehmigte Version.
Modifizierte ISO-Datei für Windows 11
Die Freeware NTLite baut die Dateien auf dem USB-Stick wieder zu einer ISO-Datei zusammen. Dieses File enthält sämtliche verfügbaren Windows-11-Varianten.
IDG
Aus dem so modifizierten USB-Stick können Sie auch wieder eine ISO-Datei mit Windows 11 herstellen, die dann ebenfalls die TPM- und Secure-Boot-Prüfung auslässt. Diese ISO-Datei lässt sich beliebig kopieren und auf mehreren Rechnern parallel verwenden. Dazu installieren Sie das Programm NTLite und wählen nach dem Start die kostenlose Free-Version aus.
Stellen Sie ein, dass das Register „Image“ aktiv ist, und klicken Sie auf „Hinzufügen –› Image Verzeichnis“. Markieren Sie im folgenden Explorer-Fenster das Laufwerk des USB-Sticks und fahren mit „Ordner auswählen“ fort.
Zurück im Hauptfenster von NTLite klicken Sie auf „ISO erstellen“ und wählen einen Ordner aus, in dem die Software die ISO-Datei anlegen soll. Klicken Sie auf „Speichern“ und geben Sie der Datei eine aussagekräftige Bezeichnung, wie etwa „Win-11patched“. Mit „OK“ stellt NTLite die ISO-Datei zusammen.
Lösungen, wenn Secure Boot deaktiviert ist
Das Deaktivieren von Secure Boot kann bei Windows Hello zu Problemen führen. Sie sollten diese Anmeldeoptionen daher zunächst entfernen.
IDG
Secure Boot bietet zusätzlichen Schutz vor dem Eindringen zahlreicher Malware-Typen in den Computer. Die Funktion ist zwar nicht perfekt, sollte aber dennoch immer eingeschaltet bleiben. Eine Deaktivierung sollte nur dann erfolgen, wenn sich Windows 11 sonst nicht auf Ihrem PC installieren lässt. Denn das Abschalten von Secure Boot kann eine Reihe unerwünschter Nebenwirkungen auslösen.
So kann es nach dem Ausschalten von Secure Boot im Uefi passieren, dass die erweiterte Anmeldeoption Windows Hello nicht mehr funktioniert. Das lässt sich oft verschmerzen. Wenn Sie Secure Boot jedoch deaktivieren, ohne Hello zuvor abgeschaltet zu haben, startet Windows unter Umständen gar nicht mehr. Um das zu verhindern, schalten Sie vor der Deaktivierung von Secure Boot auch Windows Hello ab.
Öffnen Sie dazu die Einstellungen-App und klicken Sie auf „Konten –› Anmeldeoptionen“. Wählen Sie Ihre Anmeldemethode(n), also „Gesichtserkennung“, „Fingerabdruckerkennung“ und/oder „PIN“, und klicken Sie jeweils auf den daraufhin eingeblendeten Button „Entfernen“.
Bei aktiviertem Bitlocker müssen Sie auf einigen PCs nach dem Abschalten von Secure Boot bei jedem Start den Wiederherstellungsschlüssel eingeben. Es empfiehlt sich daher, Bitlocker vorsichtshalber zu deaktivieren. Dazu gehen Sie in die Systemsteuerung von Windows und öffnen dort in der Symbolansicht „BitLocker-Laufwerkverschlüsselung“. Ohne Secure Boot funktioniert schließlich das Windows Subsystem für Linux nicht. Zudem verlangen einige Spiele wie etwa Valorant nach Secure Boot und lassen sich nach Abschalten der Funktion nicht mehr ausführen.
Probleme mit Secure Boot und Bitlocker
Das ursprünglich am 9. August 2022 erschienene Update KB5012170 für Secure Boot führt in Verbindung mit aktiviertem Bitlocker und dem Uefi einiger Mainboard-Hersteller dazu, dass man beim PC-Start den Wiederherstellungsschlüssel für Bitlocker eintippen muss. Ohne Schlüssel ließ sich Windows nicht starten, in einigen Fällen blieb der Bildschirm sogar total schwarz.
Kaum jemand hatte diese Schlüsselkombination jedoch zur Hand. Falls Sie sich bei Windows mit einem Microsoft-Konto anmelden, gibt es auch zukünftig folgende Lösung: Melden Sie sich an einem zweiten PC über den Link https://account.microsoft.com/devices/recoverykey bei Ihrem Konto an. Dort finden Sie eine Liste mit den Wiederherstellungsschlüsseln für Ihre Windows-Rechner.
Ein Update für Secure Boot aus dem vergangenen Jahr kann dazu führen, dass Windows bei jedem Start den Bitlocker-Wiederherstellungsschlüssel anfordert.
IDG
Falls Sie sich mit einem lokalen Konto bei Windows anmelden, überlegen Sie, ob Sie den Schlüssel vielleicht auf Papier notiert oder auf einem USB-Stick gespeichert haben. In letzterem Fall schließen Sie den Stick an den Rechner an und folgen den Anweisungen.
Um den Fehler schließlich zu beheben und sich wieder ohne Schlüsseleingabe bei Windows anmelden zu können, hilft oft ein Bios-Update. Dazu öffnen Sie die Website des Motherboard-Herstellers und suchen nach einer Anleitung, um das Bios zu aktualisieren.