- Secure Boot schützt die Starten Es wird nur signierte Software geladen; die Deaktivierung schadet dem System nicht. HardwareDies verringert jedoch die Sicherheit vor dem Start.
- Für Linux/Batocera kann die Deaktivierung erforderlich sein. Windows ältere Versionen; reaktivieren Sie es später, wenn Sie Windows 10/11 verwenden.
- En Windows 11UEFI, TPM 2.0 und Secure Boot sind entscheidend; nach einem Update oder Reset BIOS Möglicherweise müssen Sie sie reaktivieren.
- Wenn Secure Boot als „Nicht aktiv“ angezeigt wird, stellen Sie die Werksschlüssel aus dem UEFI (Schlüsselverwaltung) wieder her und speichern Sie mit F10.
Wenn Sie sich fragen, was passiert, wenn Sie Secure Boot deaktivieren Dies liegt wahrscheinlich daran, dass beim Versuch, von einem Computer zu booten, eine Warnung angezeigt wurde. USB einer Distribution LinuxBatocera oder ein anderes unsigniertes System. Keine Sorge: Das ist eine häufige Frage, und es gibt eine Erklärung. Hier erfahren Sie genau, was diese Funktion bewirkt, wann man sie am besten deaktiviert, wie das Schritt für Schritt geht und welche Auswirkungen das auf Sicherheit, Kompatibilität und Systemstart hat.
Zusätzlich Sie werden praktische Beispiele sehen, wie etwa die Installation älterer Linux-, Batocera- oder Windows-Systeme....sowie was Sie wissen sollten, wenn Sie Windows 11 verwenden: UEFI, Secure Boot und TPM 2.0 gehört zusammen. Wir gehen außerdem auf typische Situationen im ASUS BIOS/UEFI ein und zeigen, wie der Status „Secure Boot nicht aktiv“ durch Wiederherstellung der Werksschlüssel behoben werden kann.
Was ist Secure Boot und wozu dient es?
Secure Boot, oder Secure Boot, ist eine Funktion der UEFI-Firmware, die Dadurch wird sichergestellt, dass beim Start des Computers nur signierte und vertrauenswürdige Software ausgeführt wird.Diese werden üblicherweise durch herstellerseitig bereitgestellte Schlüssel und auf Windows-PCs durch Microsoft unterstützt. Ihr Zweck ist es, zu verhindern, dass Bootkits, Rootkits oder modifizierte Loader vor dem Betriebssystem geladen werden.
Mit dem Aufkommen von UEFI in der Windows 8-Ära, Secure Boot wurde zu einer Säule der BootketteDiese Kontrolle vor dem Betriebssystem selbst hat sich als besonders nützlich erwiesen gegen Malware Ein hartnäckiges Problem, das im Startvorgang hängen bleibt, hat jedoch eine Konsequenz: Wenn etwas nicht mit den von der Firmware akzeptierten Schlüsseln signiert ist, startet es nicht.
Welche Auswirkungen hat dies auf Linux und andere Systeme? Jahrelang war es ein Kopfschmerz.Dies lag daran, dass vielen Distributionen von Microsoft signierte Bootloader fehlten. Heute enthalten einige Distributionen, wie beispielsweise das 64-Bit-Ubuntu, signierte Shim/GRUB-Dateien und sind kompatibel; allerdings trifft dies nicht auf alle zu, und auf manchen Systemen kommt es weiterhin zu Abstürzen, wenn die Schlüssel oder der Firmware-Modus nicht übereinstimmen.
Es gibt noch eine weitere wichtige Nuance: mit Windows 10 Microsoft hat die Vorschrift abgeschafft, dass Hersteller Secure Boot deaktivierbar machen müssen.Das bedeutet, dass Sie es je nach Gerät möglicherweise deaktivieren können… oder auch nicht. Es hängt von Ihrem Motherboard oder Laptop ab und davon, was der Hersteller in den UEFI-Einstellungen festgelegt hat.
Was passiert, wenn Sie Secure Boot deaktivieren?
Der erste: Sie beschädigen weder die Hardware noch „zerstören“ Sie das System, indem Sie es deaktivieren.Es handelt sich um eine Firmware-Einstellung. Das Deaktivieren von Secure Boot verringert zwar den Startschutz, führt aber zu keinen physischen Änderungen oder Leistungseinbußen bei Komponenten. Die Auswirkung betrifft die Sicherheit: Die Barriere, die das Starten nicht verifizierter Software verhindert, geht verloren.
Nun Die Deaktivierung kann notwendig und legitim sein. in verschiedenen Szenarien. Zum Beispiel beim Starten unsignierter Systeme (Batocera, einige Linux-Distributionen, Diagnosetools) oder bei der Verwendung älterer Windows-Versionen, die nicht mit Secure Boot kompatibel sind.
In der Praxis kommt das häufig vor: Man versucht, Batocera von USB zu starten und erhält eine unschöne Secure-Boot-Meldung. Durch Deaktivieren von Secure Boot wird in der Regel das Booten vom USB-Laufwerk verhindert. Dadurch können Sie die Software ohne diese vorherige Einschränkung testen oder installieren. Es empfiehlt sich jedoch, die Einschränkung nach Abschluss der Nutzung wieder zu aktivieren, wenn Sie Windows als Ihr Hauptbetriebssystem verwenden möchten.
Daran sollte man sich erinnern Secure Boot ist kein Ersatz für Antivirensoftware oder bewährte Vorgehensweisen.Es handelt sich um eine Überprüfung der Boot-Integrität. Das Deaktivieren dieser Funktion setzt Sie nicht automatisch einem Katastrophenrisiko aus, öffnet aber ein Sicherheitsfenster, das von Schadsoftware ausgenutzt werden könnte, falls Ihr Computer kompromittiert ist.
Wann ist es angebracht, es aktiviert zu lassen?
Wenn Sie Windows 10 oder 11 als Ihr Hauptsystem verwenden und keine alternativen Tools oder Systeme benötigen, Am sinnvollsten ist es, Secure Boot aktiviert zu lassen.Es handelt sich um eine zusätzliche Schutzebene gegen Bedrohungen, die den Bootvorgang manipulieren, sie trägt zur Stabilität der Bootkette bei und sollte Ihre täglichen Abläufe nicht beeinträchtigen.
Es ist auch vorzuziehen Halten Sie es auf verwalteten oder sensiblen Geräten aktiviert. (Büroautomation, Arbeit, Studium), wobei die Priorität darin besteht, die Integrität des Start-ups und die Einhaltung der Sicherheitsanforderungen des Herstellers oder der Organisation zu gewährleisten.
So deaktivieren Sie Secure Boot (zwei Wege)
Die Einstellung befindet sich im UEFI/BIOS. Sie können darauf von Windows aus oder mit einer Taste beim Systemstart zugreifen.Der genaue Ablauf variiert je nach Hersteller, aber es gibt gängige Muster.
Direkter UEFI/BIOS-Zugriff mit Schlüssel: Drücken Sie beim Einschalten Ihres PCs die auf dem Startbildschirm angezeigte Taste. Normalerweise ist dies F1, F2, F12 oder Esc, bei einigen älteren Desktop-Computern ist es die Entf-Taste. Wenn der Startvorgang schnell geht, versuchen Sie es mehrmals. oder aktivieren Sie die POST-Verzögerung in den Einstellungen.
Von Windows (Erweiterte Startoptionen): Gehen Sie zu Einstellungen > Update und Sicherheit > Wiederherstellung und tippen Sie unter Erweiterter Start auf Jetzt neu starten. Nach dem Neustart wählen Sie Problembehandlung > Erweiterte Optionen > UEFI-Firmware-EinstellungenBestätigen Sie den Neustart, um ins UEFI zu gelangen.
Sobald Sie sich im UEFI befinden, suchen Sie nach Secure Boot. Man findet es üblicherweise in Registerkarten wie Sicherheit, Booten oder Authentifizierung.Wählen Sie „Sicherer Start“ und ändern Sie den Wert von „Aktiviert“ auf „Deaktiviert“. Speichern Sie die Änderungen und beenden Sie das Programm (normalerweise mit F10), um die Einstellungen zu übernehmen und den Computer neu zu starten.
Wichtiger Hinweis: Wenn Sie BitLocker oder Geräteverschlüsselung verwenden, Beim Ändern der Startoptionen kann das Laufwerk nach dem Wiederherstellungsschlüssel fragen. Beim nächsten Start. Halten Sie Ihr Passwort bereit, bevor Sie diese Einstellungen ändern, und konsultieren Sie unsere Diagnose von Startproblemen damit Sie nicht stecken bleiben.
Spezielle Hinweise für ASUS-Motherboards und -Laptops
Bei vielen ASUS-Computern Sie gelangen mit F2 ins UEFI. Drücken Sie beim Einschalten F7 für den erweiterten Modus. Suchen Sie nach „Sicherheit“ > „Sicherer Start“ und geben Sie „Sicherer Start – Steuerung“ ein. Dort können Sie die Option aktivieren oder deaktivieren. Speichern Sie die Einstellungen mit F10 und starten Sie den Computer neu, damit die Änderungen wirksam werden.
Auf einigen ASUS-Desktop-PCs Die Option wird als Betriebssystemtyp angezeigt.Windows-UEFI-Modus (aktiviert Secure Boot) oder Modus „Anderes Betriebssystem“ (deaktiviert Secure Boot). Beim Wechsel zwischen diesen Modi ändert sich der Secure-Boot-Status entsprechend. Speichern Sie daher die Einstellungen und beenden Sie das Programm, damit die Änderungen wirksam werden.
Wenn die Meldung „Secure Boot nicht aktiv“ angezeigt wird, Aktiviert die Secure-Boot-Steuerung und stellt die Werkseinstellungen wieder her.. in portátiles Und AIO, Sie können zur Schlüsselverwaltung gehen und auswählen Zurücksetzen Um in den Setup-Modus zu wechseln, können Sie die Werkseinstellungen wiederherstellen. Bei Desktop-Computern müssen Sie manchmal den Secure-Boot-Modus auf „Benutzerdefiniert“ einstellen, die Schlüssel löschen (Secure-Boot-Schlüssel löschen) und die Standardschlüssel installieren (Standard-Secure-Boot-Schlüssel installieren).
In der MyASUS-Oberfläche im UEFI, die Schritte sind sehr ähnlichAktivieren Sie Secure Boot Control, rufen Sie die Schlüsselverwaltung auf, drücken Sie „Zurücksetzen in den Setup-Modus“ und anschließend „Werkseinstellungen wiederherstellen“. Speichern Sie die Änderungen mit F10, um sie nach dem Neustart zu aktivieren.
So aktivieren Sie Secure Boot wieder.
Wenn Sie diese Funktion deaktiviert haben, um eine Grafikkarte, ein Betriebssystem oder ein Tool zu installieren, Sie können es reaktivieren, indem Sie dem gleichen Weg folgen. Bis Sie die Einstellung „Sicherer Start“ erreichen. Aktivieren Sie diese und speichern Sie die Einstellungen mit F10.
Bei einigen Geräten muss es reaktiviert werden. Sie müssen den benutzerdefinierten Modus auswählen und die Schlüssel laden. Diese Funktion ist vom Hersteller integriert. Falls Sie sie nicht aktivieren können, setzen Sie das UEFI auf die Werkseinstellungen zurück und wiederholen Sie die Aktivierung.
Wenn der Computer nach Aktivierung von Secure Boot nicht startet, Gehen Sie zurück zum UEFI und deaktivieren Sie es vorübergehend.Dies deutet in der Regel darauf hin, dass das System, das Sie starten möchten, nicht signiert ist oder dass ein vertrauenswürdiger Schlüssel in der UEFI-Datenbank fehlt. Sollte das Problem weiterhin bestehen, lesen Sie bitte die folgenden Hinweise. Repariere den Bootvorgang mit Bootrec..
Linux, Dual-Boot und der Batocera-Fall
Mit Linux hat sich die Situation verbessert: Einige moderne Distributionen unterstützen Secure Boot Sie starten ohne jegliche Modifikationen (z. B. Ubuntu 64-Bit mit einem signierten Shim). Andere unsignierte Distributionen oder Tools bleiben jedoch gesperrt, und hier erleichtert das Deaktivieren von Secure Boot die Sache erheblich.
Batocera, spezialisiert auf Retro-Gaming, Es bootet normalerweise von USB.Wenn beim Starten die Meldung und der Fehlerbildschirm von Secure Boot angezeigt werden, können Sie diese Funktion deaktivieren und sie anschließend testen oder installieren. Das ist weder ungewöhnlich noch schlecht: Es bedeutet lediglich, dass der Bootloader nicht mit Schlüsseln signiert ist, die Ihr UEFI erkennt.
Dauerhafte Folgen? Es gibt keine dauerhaften Auswirkungen auf die Hardware oder Software.Es handelt sich um eine Boot-Richtlinien-Einstellung. Denken Sie daran, diese wieder zu aktivieren, wenn Sie zu Ihrer gewohnten Windows-Installation zurückkehren und die Schutzebene vor dem Systemstart wiederherstellen möchten.
Bei Geräten, bei denen der Hersteller die Deaktivierung nicht zulässt, Erwägen Sie die Verwendung von Distributionen, die Secure Boot unterstützen. Oder prüfen Sie, ob der OEM Firmware-Updates mit aktualisierten Schlüsseln anbietet, die die Unterstützung für weitere Ladegeräte ermöglichen.
Windows 7: Nostalgie ja, aber mit Nuancen
Viele Leute versuchen zu installieren Windows 7 Aus Nostalgie findet man Screenshots oder Neustarts. Falls Sie im abgesicherten Modus starten müssenDiese Anleitung könnte hilfreich sein, aber das Deaktivieren von Secure Boot ist fast unerlässlich, da Windows 7 für BIOS/Legacy und nicht für das moderne Secure Boot entwickelt wurde. Allerdings garantiert das Deaktivieren der Boot-Sperre nicht, dass Bluescreens vermieden werden.
Warum? Treiber und UnterstützungDer Support für Windows 7 endete im Januar 2020. Moderne Hardware verfügt nicht über die notwendigen Treiber (USB 3.0, NVMe, neuere Chipsätze), was zu Installationsfehlern oder Instabilität führen kann. Zudem ist die Sicherheit geringer und es werden keine Updates mehr bereitgestellt.
Falls du es trotzdem versuchst, Möglicherweise müssen Sie die CSM-/Legacy-Kompatibilität aktivieren.Bereiten Sie einen USB-Stick mit den integrierten Treibern vor, und sogar formatear die Scheibe a MBRNichts davon ist auf einem Hauptrechner empfehlenswert: Es erschwert den Systemstart und beeinträchtigt moderne Sicherheitsfunktionen.
Deshalb Die vernünftige Empfehlung lautet, Windows 10 oder 11 zu verwenden.Wenn es Ihnen lediglich darum geht, klassische Software auszuführen, sollten Sie eine virtuelle Maschine oder den Kompatibilitätsmodus auf einem unterstützten System in Betracht ziehen.
Windows 11: UEFI, Secure Boot und TPM 2.0
Windows 11 benötigt UEFI-, TPM 2.0- und Secure Boot-Unterstützung. Nach dem Aktualisieren oder Zurücksetzen Ihres BIOS können UEFI, Secure Boot oder fTPM/AMD PSP TPM deaktiviert sein. Man muss sie manuell reaktivieren. Es ist nicht ungewöhnlich, dass sie in den Standardeinstellungen nicht aktiviert bleiben, selbst in BIOS-Versionen, die Windows 11 unterstützen.
Startet Windows 11, wenn sie deaktiviert sind? Es kann gestartet werden, wenn es bereits installiert wurde.Allerdings erfüllen Sie dann nicht mehr die Sicherheitsanforderungen und könnten bei einigen Updates oder Validierungen auf Probleme stoßen. Idealerweise sollten Sie UEFI (Booten ohne CSM), Secure Boot und TPM 2.0 im UEFI wieder aktivieren.
Wenn Sie auf reines UEFI umstellen und der Computer Windows nicht mehr findet, Ihre Festplatte könnte noch im MBR-Format vorliegen.Sie können die Datei ohne Formatierung mithilfe des Microsoft-Tools mbr2gpt in GPT konvertieren. Überprüfen Sie sie zunächst wie folgt: mbr2gpt /validate /disk:0 /allowfullOSBei erfolgreicher Validierung führen Sie die Konvertierung mit dem entsprechenden Befehl durch und starten Sie das System im UEFI-Modus neu. Anweisungen zur Bootkonvertierung und Reparatur finden Sie unter „Anleitung“. Analysiere und repariere den Startvorgang.
Denken Sie daran, dass Die Aktivierung von CSM deaktiviert in der Regel Secure Boot. und erfordert möglicherweise MBR und eine Neuinstallation. Vermeiden Sie die gleichzeitige Verwendung von CSM und Windows 11: Setzen Sie stattdessen auf UEFI, GPT und TPM, um Kompatibilität und Sicherheit zu gewährleisten.
BitLocker und andere Warnungen beim Eingriff in das UEFI
Wenn Ihre Festplatte verschlüsselt ist, Durch Ändern der Startoptionen kann der Wiederherstellungsbildschirm ausgelöst werden. BitLocker oder Geräteverschlüsselung. Stellen Sie sicher, dass Sie Ihren Schlüssel in Ihrem Microsoft-Konto oder im Unternehmensportal gefunden haben, bevor Sie Änderungen vornehmen.
Einige Hersteller Sie aktualisieren die Datenbank der vertrauenswürdigen Schlüssel. mit neuen Firmware-Versionen. Halten Sie Ihr UEFI auf dem neuesten Stand, um die Kompatibilität zu erweitern und Secure-Boot-Warnungen bei legitimer, signierter Software zu reduzieren.
Lösung: Secure Boot wird als „Nicht aktiv“ angezeigt.
Wenn der Status als „Nicht aktiv“ angezeigt wird, obwohl die Funktion aktiviert ist, Stellt Secure-Boot-Schlüssel wieder her Im UEFI gehen Sie üblicherweise zu Sicherheit > Sicherer Start > Schlüsselverwaltung und wählen Sie „Auf Setup-Modus zurücksetzen“, gefolgt von „Werkseinstellungen wiederherstellen“. Speichern Sie die Einstellungen und starten Sie das System neu.
Desktop mit erweiterten Optionen Verwenden Sie den benutzerdefinierten Modus, um die Standardschlüssel zu bereinigen und zu installieren.Löschen Sie die Secure-Boot-Schlüssel und installieren Sie anschließend die Standard-Secure-Boot-Schlüssel. Stellen Sie danach, falls vorhanden, den Standardmodus wieder her, aktivieren Sie Secure Boot und speichern Sie die Änderungen.
Was ist, wenn ich die Option nicht finde oder sie sich nicht deaktivieren lässt?
Wie wir kommentiert haben, Bei manchen Geräten ist der Schalter nicht sichtbar. Um Secure Boot zu deaktivieren oder je nach Firmware-Modus auszublenden, wechseln Sie zwischen dem einfachen und dem erweiterten Modus (F7 bei vielen ASUS-Geräten) und überprüfen Sie die Einstellungen unter Sicherheit/Start/Authentifizierung.
Wenn es überhaupt nicht erscheint, Möglicherweise hat der Hersteller es gesperrt.In diesem Fall können Sie nur kompatible Systeme verwenden, die mit den aktuellen Schlüsseln signiert sind. Wenden Sie sich an den OEM-Support, um zu bestätigen, ob es eine alternative Firmware gibt, die dies ermöglicht.
Kompatibilität mit Grafikkarten und anderen Geräten
Es gibt Szenarien, in denen Die Installation bestimmter GPUs oder Hardware kann dazu führen, dass Secure Boot deaktiviert wird. Dies ist nur vorübergehend. Sollte Ihr Gerät nach der Änderung mit aktiviertem Secure Boot nicht starten, deaktivieren Sie es bitte, installieren Sie das Gerät neu und aktivieren Sie Secure Boot anschließend wieder, um zu prüfen, ob das Problem dadurch behoben wird.
Merken einige Diagnose- oder Installationsprogramme von Drittanbietern Sie sind außerdem unsigniert und werden durch Secure Boot gesperrt. Das Booten von USB mit diesen Tools erfordert in der Regel die vorübergehende Deaktivierung von Secure Boot.
Bewährte Vorgehensweisen zur Vermeidung von Verwirrung
Bevor Sie etwas anfassen Beachten Sie den aktuellen Status von UEFI/CSM, Secure Boot und TPM.Fotografieren Sie die Einstellungen gegebenenfalls mit Ihrem Mobiltelefon: Dies hilft Ihnen, Änderungen rückgängig zu machen, falls etwas nicht wie geplant verläuft.
Wenn Ihr Ziel darin besteht, ein Dual-Boot-System mit Linux einzurichten, Beginnen Sie mit einer Secure-Boot-kompatiblen Distribution. Schalten Sie es nur ab, wenn es unbedingt notwendig ist. Dies reduziert Probleme mit Windows 10/11 und verhindert den Verlust des Vorstartschutzes.
Wenn der Secure-Boot-Status nicht mit dem übereinstimmt, was Sie sehen, Die Wiederherstellung der Schlüssel ist in der Regel die Lösung.Vergessen Sie nicht, die Änderungen mit F10 oder über das Menü „Speichern und Beenden“ zu speichern, damit UEFI die neue Richtlinie anwendet.
Leidenschaftlicher Autor über die Welt der Bytes und der Technologie im Allgemeinen. Ich liebe es, mein Wissen durch Schreiben zu teilen, und genau das werde ich in diesem Blog tun und Ihnen die interessantesten Dinge über Gadgets, Software, Hardware, technologische Trends und mehr zeigen. Mein Ziel ist es, Ihnen dabei zu helfen, sich auf einfache und unterhaltsame Weise in der digitalen Welt zurechtzufinden.