21 Feb

Alle wichtigen Informationen rund um den Secure Boot

Moderne PCs werden mit einer Funktion namens „Secure Boot“ ausgeliefert. Dies ist eine Plattformfunktion in UEFI, die das traditionelle PC-BIOS ersetzt. Wenn ein PC-Hersteller einen „Windows 10“ oder „Windows 8“ Logo-Aufkleber auf seinem PC anbringen möchte, verlangt Microsoft, dass er Secure Boot aktiviert und einige Richtlinien befolgt. Leider verhindert es auch, dass Sie einige Linux-Distributionen installieren, was sehr aufwendig sein kann.

Wie Secure Boot den Boot-Prozess Ihres PCs sichert

In der heutigen Zeit sind Laptops nicht mehr wegzudenken

Secure Boot ist nicht nur darauf ausgelegt, den Betrieb von Linux zu erschweren. Es gibt echte Sicherheitsvorteile durch die Aktivierung von Secure Boot, und selbst Linux-Benutzer können davon profitieren. Ein traditionelles BIOS startet jede Software. Wenn Sie Ihren PC booten, überprüft er die Hardwaregeräte gemäß der von Ihnen konfigurierten Boot-Reihenfolge und versucht, von ihnen zu booten.  Wenn Sie die nachfolgenden Schritte beachten, können Sie problemlos BIOS bei Windows 8 öffnen und konfigurieren. Typische PCs finden und booten normalerweise den Windows Bootloader, der dann das gesamte Windows-Betriebssystem startet. Wenn Sie Linux verwenden, wird das BIOS den GRUB-Bootloader finden und starten, den die meisten Linux-Distributionen verwenden.

Es ist jedoch möglich, dass Malware, wie beispielsweise ein Rootkit, Ihren Bootloader ersetzt. Das Rootkit könnte Ihr normales Betriebssystem ohne Anzeichen dafür laden, dass etwas nicht stimmt, und bleibt auf Ihrem System völlig unsichtbar und nicht auffindbar. Das BIOS kennt den Unterschied zwischen Malware und einem vertrauenswürdigen Bootloader nicht – es bootet einfach, was es findet.

Secure Boot wurde entwickelt, um dies zu verhindern. Windows 8 und 10 PCs werden mit dem in UEFI gespeicherten Microsoft-Zertifikat ausgeliefert. UEFI überprüft den Bootloader vor dem Start und stellt sicher, dass er von Microsoft signiert ist. Wenn ein Rootkit oder eine andere Malware Ihren Bootloader ersetzt oder manipuliert, lässt UEFI den Start nicht zu. Auf diese Weise wird verhindert, dass Malware Ihren Bootvorgang ausnutzt und sich vor Ihrem Betriebssystem verbirgt.

So lässt Microsoft Linux-Distributionen mit Secure Boot booten

Diese Funktion ist theoretisch nur zum Schutz vor Malware gedacht. Microsoft bietet also eine Möglichkeit, Linux-Distributionen beim Booten zu helfen. Deshalb werden einige moderne Linux-Distributionen – wie Ubuntu und Fedora – auf modernen PCs „einfach funktionieren“, selbst wenn Secure Boot aktiviert ist. Linux-Distributionen können eine einmalige Gebühr von 99 US-Dollar für den Zugriff auf das Microsoft Sysdev-Portal zahlen, wo sie beantragen können, dass ihre Bootloader signiert werden.

Linux-Distributionen haben in der Regel einen „Shim“ signiert. Der Shim ist ein kleiner Bootloader, der einfach den GRUB-Bootloader der Linux-Distributionen bootet. Die von Microsoft signierten Shims prüfen, ob sie einen von der Linux-Distribution signierten Bootloader booten, und dann bootet die Linux-Distribution normal.

Ubuntu, Fedora, Red Hat Enterprise Linux und openSUSE unterstützen derzeit Secure Boot und funktionieren ohne jegliche Änderungen an der modernen Hardware. Es mag noch andere geben, aber das sind die, die uns bekannt sind. Einige Linux-Distributionen sind philosophisch gegen den Antrag, von Microsoft unterzeichnet zu werden.

Wie Sie den sicheren Start deaktivieren oder steuern können

Wenn das alles wäre, was Secure Boot tat, könnten Sie kein nicht von Microsoft zugelassenes Betriebssystem auf Ihrem PC ausführen. Aber Sie können Secure Boot wahrscheinlich von der UEFI-Firmware Ihres PCs aus steuern, die dem BIOS älterer PCs entspricht.

Es gibt zwei Möglichkeiten, Secure Boot zu steuern. Die einfachste Methode ist es, zur UEFI-Firmware zu gehen und sie vollständig zu deaktivieren. Die UEFI-Firmware überprüft nicht, ob Sie einen signierten Bootloader ausführen, und alles wird gestartet. Sie können jede Linux-Distribution starten oder sogar Windows 7 installieren, das Secure Boot nicht unterstützt. Windows 8 und 10 funktionieren einwandfrei, Sie verlieren nur die Sicherheitsvorteile von Secure Boot zum Schutz Ihres Boot-Prozesses.

Sie können Secure Boot auch weiter anpassen. Sie können steuern, welche Signaturzertifikate Secure Boot anbietet. Sie können sowohl neue Zertifikate installieren als auch bestehende Zertifikate entfernen. Ein Unternehmen, das beispielsweise Linux auf seinen PCs ausgeführt hat, könnte sich dafür entscheiden, die Microsoft-Zertifikate zu entfernen und an ihrer Stelle das eigene Zertifikat des Unternehmens zu installieren. Diese PCs würden dann nur noch Bootloader starten, die von dieser speziellen Organisation genehmigt und signiert wurden.

  1. Eine Person könnte dies auch tun – Sie könnten Ihren eigenen Linux-Bootloader signieren und sicherstellen, dass Ihr PC nur Bootloader starten kann, die Sie persönlich kompiliert und signiert haben. Das ist die Art von Kontrolle und Leistung, die Secure Boot bietet.

Was Microsoft von PC-Herstellern verlangt

Microsoft verlangt nicht nur, dass PC-Anbieter Secure Boot aktivieren, wenn sie den schönen Zertifizierungsaufkleber „Windows 10“ oder „Windows 8“ auf ihren PCs haben wollen. Microsoft verlangt von den PC-Herstellern, dass sie es auf eine bestimmte Weise implementieren.

Für Windows 8 PCs mussten die Hersteller Ihnen eine Möglichkeit geben, Secure Boot auszuschalten. Microsoft verlangte von den PC-Herstellern, dass sie den Benutzern einen Secure Boot-Kill-Switch in die Hände geben.

Für Windows 10 PCs ist dies nicht mehr zwingend erforderlich. PC-Hersteller können Secure Boot aktivieren und den Benutzern keine Möglichkeit geben, es auszuschalten. Uns sind jedoch keine PC-Hersteller bekannt, die dies tun.

In ähnlicher Weise, während PC-Hersteller die wichtigsten „Microsoft Windows Pro“ von Microsoft einbeziehen müssen.