Windows 10 ASUS Board im Secure Boot Mode – vom USB-Stick booten nicht möglich.

Plastikant

bekommt Übersicht
Hallo Ihr Lieben,

Habe in meinem Desktop ein Mobo ASUS Prime 450-PLUS und WIN10 ist im Secure Boot Mode installiert (GPT-Festplatte). Eigentlich will ich nur das aktuelle Linux-Mint vom USB-Stick booten zum testen. Dazu muss „lediglich“ Secure Boot abgeschalten werden, damit der Rechner im CSM bzw. Legacy-Mode läuft. Bei diesem ASUS-Board geht das nicht so ohne weiteres – zuvor müssen die Secure Boot Keys (PK, KEK, etc.) gelöscht werden.
Wie ich im ASUS-UEFI gesehen habe, besteht auch die Möglichkeit zum Löschen der Secure Boot Keys.

Wie ich recherchiert habe bootet dann WIN10 nicht mehr im Legacy-Mode, sondern erst nachdem wieder von Legacy auf Secure Boot umgestellt wurde. Aber in diesen Beschreibungen mussten zuvor keine Secure Boot Keys gelöscht werden – die Boards hatten anscheinend die Möglichkeit zwischen Legacy und Secure Boot direkt umschalten zu können.

Frage:
Wenn WIN10 mit diesen Secure Boot Keys installiert wurde und diese dann aus dem UEFI gelöscht werden, läuft danach WIN10 wieder problemlos?

Muss man ggf. zuvor die Secure Boot Keys sichern und dann wieder einspielen?
Bei meinen Recherchen war aber nie die Rede von so einer Vorgehensweise geschweige denn, wie man so etwas macht.

Hat von euch schon mal jemand so etwas gemacht?
 
Also normalerweise sollte sich Windows 10 nicht davon beeindrucken lassen, wenn Secure Boot deaktiviert wurde. Ich habe es bei mir schon mehrfach aus- und wieder angeknipst, auf den Systemstart hatte das keine Auswirkung.
 
Secureboot normalerweise nicht, Legacy und UEFI schon. Habe aber auch schon selbst bemerkt, dass es durchaus Boards geben kann, die beim Löschen der Secure Boot Keys dann das Booten des installierten Betriebssystems verweigern.
 
Danke für die schnelle Reaktion von euch beiden.

Als Bill Gates anfangs des Jahrtausends propagiert hatte „nur noch ein Passwort für alle Zugänge“, seitdem misstraue ich dem Laden aus Redmond aufs Tiefste.
Wie perfide das System Microsoft zwischenzeitlich ist, habe ich zwar geahnt, aber noch nicht wahr haben wollen. Ein paar Artikel habe ich eben gelesen, folgender Link fasst es am besten zusammen:
https://www.drwindows.de/news/wird-die-nutzung-eines-microsoft-kontos-zum-unkalkulierbaren-risiko

In einem anderen Forum hat jemand zum Thema Secure Boot eine sehr umfassende Abhandlung geschrieben, wovon ich mir einen Abschnitt in mein „extended memory“ kopiert habe. Ein Satz davon lautet:

„Nur wenn man die SecureBoots Schlüssel beim System-Wechsel wieder sauber von der Hardware löscht (PK clear), lässt sich die Windows Lizenz wieder ohne Umschweife auf anderer Hardware weiterverwenden.“

Allerdings geht für mich nicht hervor, ob hier eher auf die rechtlichen Aspekte der Win-Lizenz angespielt wird oder ob MS tatsächlich so weit ist, nicht nur in der Registry sondern auch im UEFI eine gültige Lizenz zu überprüfen.
Studiere ich diese Seite
https://www.thomas-krenn.com/de/wiki/UEFI_Secure_Boot
scheint keine Lizenzüberprüfung statt zu finden. Allerdings verstehe ich auch nicht, wie die Schlüssel generiert werden und die Prüfmechanismen ablaufen.

Ich weiß aber auch nicht ob bei Mobo‘s, die ein direktes Umschalten zwischen Secure Boot und Legacy in UEFI zulassen, die Keys automatisch gelöscht werden oder ob sie erhalten bleiben.

Da bei meinem ASUS nur die Option „Keys löschen“ entdeckt habe, gehe ich davon aus, dass sie nach dem Umschalten von Legacy auf Secure Boot nicht wieder hergestellt werden.

Ich weiß zwar nicht was mir der Satz
„Secureboot normalerweise nicht, Legacy und UEFI schon.“
von Fernaless sagen soll, aber der zweite Satz bekräftigt meine Befürchtungen.

So wie ich den Sinn und Zweck von Secure Boot verstanden habe, möchte ich lieber Martin zustimmen. Die Spezifikation von Secure Boot hat ja Microsoft nicht allein verbrochen, einige Hardware-Hersteller saßen auch mit im Boot. Aber die Redmonder haben schon in der Vergangenheit bewiesen, dass sie sich nicht an ihre eigenen Absprachen halten müssen – warum nicht auch hier!

Martin, du sagst du hast schon öfter Secure Boot deaktiviert. Das hab ich auch schon zuvor an anderer Stelle im Internet gelesen. Aber weder du noch die anderen im Internet verraten, ob zuvor explizit die Secure Boot Keys zu löschen waren oder ob die beim Umschalten automatisch gelöscht werden oder ob sie erhalten bleiben.

Hast du mir hierzu noch weiterführende Infos?
Oder kennt sich vielleicht jemand anders noch aus?

Ich habe noch nicht herausgefunden ob ASUS hier einen anderen Weg beschreitet als die anderen Mobo-Hersteller oder sich ASUS nur besonders viel Mühe gegeben hat, seine
UEFI-Oberfläche unergonomisch zu gestalten, aber im Prinzip bei allen Herstellern im Hintergrund das Gleiche passiert (z.B. grundsätzlich werden die Keys gelöscht, weil beim Umschalten in den Legacy-Mode die Secure Boot Funktion angreifbar ist und somit unterwandert werden könnte).
 
Mit dem Satz meinte ich: Secureboot hat keinen Einfluss auf die Bootbarkeit des Betriebssystems, egal ob aktiviert oder deaktiviert. Bei UEFI und Legacy sieht es da schon ganz anders aus. Es kann sein, dass es nur bei einen von beiden funktioniert.
 
Zwischenzeitlich habe ich erneut Tante Google bemüht und habe tatsächlich die Infos gefunden, die ich mir erhofft hatte.
Für alle die ein ASUS-Board haben, wo Secure Boot ausgegraut ist und zuvor die Secure Boot Keys (erst gesichert dann) gelöscht werden müssen, finden hier eine genaue Beschreibung:
https://www.techjunkie.com/disable-secure-boot-asus/

Anfangs hatte ich meinen Bootstick nicht mit Rufus erstellt und er wurde nicht erkannt. Wahrscheinlich hatte ich mich davon irritieren lassen. Danach ließen sich die Secure Boot Keys auf einem Stick sichern, der Rufus-Stick ließ sich zum Booten auswählen und das Linux starten.
Leider habe ich mir nicht gemerkt, was ich im UEFI verbogen hatte.
Bevor ich wieder WIN10 von der Festplatte startete, bin ich ins UEFI und fand einen Auswahlpunkt mit ….CSM… (der mir zuvor nicht aufgefallen war) - den konnte man deaktivieren oder auf AUTO stellen. Mit der Einstellung AUTO ließ sich dann WIN10 ohne weiteres starten.
 
Danke für die Info Norbert.
Bei meinen Recherchen bin ich auch auf diesen Artikel gestoßen. Der hatte aber meine Vorbehalte eher bestärkt, da nicht hervorgeht wie die Prüfung beim Booten von WIN10 abläuft bzw. ob die Installation so mit den Secure Boot Keys verknüpft wird, dass WIN10 nicht mehr startet, wenn die Keys gelöscht wurden.
Da ich eine unsaubere Multiboot-Installation auf GPT-formatierten HD‘s mit einem toten WIN7 und funktionierenden WIN10 & Linux Mint habe, bin ich zur Zeit übervorsichtig.

Mein altes MSI-Board hatte offensichtlich instabile Speicherzellen, in dem UEFI-Bereich, der für die Laufwerke zuständig war. Letzten Winter hatte ich es gegen das ASUS-Board getauscht und war auch der Meinung Secure Boot nicht aktiviert zu haben. Die Registry sagt aber das Secure Boot enabeled ist. Im ASUS-Board war der Eintrag „Secure Boot aktiv“ ausgegraut und ich fand nur Hinweise das bei einigen ASUS-Boards die Secure Boot Keys erst zu löschen sind, bevor es deaktiviert werden könne.
Soweit ich mich erinnere hatte ich im Winter nur ein neues WIN10 über das alte drüber gebügelt + neue Treiber und zu meiner Überraschung funktionierte dann sogar der Grub-Bootloader und Linux wieder ohne weiteres Zutun.

Ergo – viel Konfusion wegen einer beschissen gemachter Bedienerführung der ASUS-UEFI-Oberfläche. Wenn ich mir heute diverse Internetseiten und Programme (ääähm - heißt das jetzt nicht alles nur noch Apps?) anschaue, gegenüber wie es noch vor 10-15 Jahren war; wieso sollte man das bewahren, was einmal gut war! In einer Welt voller Fake News und Alternativer Fakten, müssen doch irgendwie noch Heerscharen von dilettantischen Programmieren beschäftigt werden, bevor die Straßen im WeltWeitenWald unsicher gemacht werden.
Vielleicht ist es aber auch nur Taktik der Marketingstrategen – je größer die Scheißhaufen, je übler der Gestank, desto nachhaltiger die Eindrücke beim doch so einfach steuerbaren Pleb.


Gerade wollte ich den "Antworten-Button" drücken, da lese ich deinen Leitspruch mit dem kurzen bequemen Weg. Wie sich doch die Gedanken gleichen - ich habe es in meinem abschließenden Satz nur etwas anders ausgedrückt.
 
Oben