Bootsystem, BIOS

~ 0 min
2024-06-18 18:57

Im BIOS befinden sich im Allgemeinen 2 Zertifikate (für Windows und "Andere") für UEFI Secure Boot.
Beide Zertifikate sind von Microsoft und laufen 2026 aus.

Microsoft plant, das Zertifikat zu widerrufen, mit dem alle UEFI Secure Bootlader für Windows signiert sind.
Das betrifft alle Windows Bootlader ab 2012 sämtlicher Versionen ab Windows 8 / Server 2012 in allen Editionen, Plattformen und Architekturen.
Es ist egal, ob der Bootloader auf einem internen Datenträger ist oder extern (CD/DVD, USB, ISO, VHD, Backups, Setup- und Rettungsmedien).
Es ist also unbedingt zuerst ein neuer Bootlader erforderlich, der das neue Zertifikat kennt.
Auch PCIe-Erweiterungskarten, die vom BIOS initialisiert werden, müssen aktuelle Zertifikate haben! (oder Secure Boot abschalten)
Außerdem muß dieses neue Zertifikat im BIOS hinterlegt werden.

Windows 11 fordert die Existenz UEFI Secure Boot, es muß aber nicht aktiviert sein.

msinfo.exe kann den aktuellen Zustand von Secure Boot erkennen
Sicherer Startzustand:
Ein - Secure Boot aktiv
Aus - Secure Boot aus
Nicht unterstützt - kein Secure Boot vorhanden oder PC läuft im Legacy CSM Mode
BIOS-Modus:
UEFI - UEFI
Vorgängerversion - CSM ist aktiv

BIOS:
- initialisiert Hardware
- übergibt an Bootlader
Legacy BIOS
- MBR Partitionschema
- proprietäre Flash-Verfahren der Boardhersteller
UEFI BIOS
ohne Secure Boot
- GPT Partitionschema bei internen HD
- Überschreiben standardisiert, vom Betriebssystem möglich
UEFI BIOS
mit Secure Boot
- GPT Partitionschema bei internen HD
- Überschreiben standardisiert, vom Betriebssystem möglich
USB-Stick können auch MBR-partitioniert im UEFI-Mode booten.
Secure Boot:
- BIOS übergibt die Kontrolle nur an Bootlader, die mit dem Zertifikat im BIOS signiert sind.
gibt es nicht Boot per Legacy Bios (Compatibility Support Mode - CSM)
- Secure Modul nicht aktiv
UEFI Secure Boot aktiv Das Zertifikat stammt meist von Microsoft.
Auch Linux-Loader arbeiten mit Zertifikaten von Microsoft.
Bootloader
Der Bootloader ist bei Windows 10 und 11 gleich. Der neue Bootloader hat ein Zertifikat von 2023, das bis 2035 gültig ist.
  - in EFI System Partition (ESP), nicht sichtbar - in EFI System Partition (ESP), nicht sichtbar  
         
Durchschnittliche Bewertung 0 (0 Abstimmungen)

Es ist möglich, diese FAQ zu kommentieren.