Zu Hauptinhalten wechseln
Matrix42 Self-Service Help Center

Rechner startet nicht mit aktiviertem Secure Boot

ID: 1732837
Sprache: DE, EN
Komponenten: EgoSecure Full Disk Encryption
Betriebssystem: Windows

Zusammenfassung

Mit der EgoSecure FDE verschlüsselte Rechner starten nicht mehr mit aktiviertem Secure Boot.

Ursache

Wenn Secure Boot aktiviert ist, prüft die Firmware die digitale Signatur des Bootloaders, um  sicherzustellen, dass dieser nicht verändert worden ist. Microsoft verwendet zwei Zertifikate zum Signieren von Bootloadern, von denen eines ausschließlich zum Signieren von Original Microsoft-Bootloadern verwendet wird. Für alle Nicht-Microsoft-Bootloader, z.B. andere Betriebssysteme wie Linux und auch für die EgoSecure FDE, bietet Microsoft einen Dienst an, um sie zu analysieren und mit einem Zertifikat namens "Microsoft 3rd Party UEFI CA" zu signieren.
Hardware-Herstellern stand es bisher frei der Signatur dieses zweiten Zertifikats in ihrer jeweiligen UEFI-Implementierung standardmäßig zu vertrauen oder nicht. Dies war bis 2022 bei fast allen auf dem Markt erhältlichen Computern der Fall. Dann entwickelte Microsoft die Zertifizierung Secured Core PCs für Computer. Hersteller, die diese  Zertifizierung verwenden wollen, müssen mehrere Anforderungen erfüllen. Eine davon ist, dass die Vertrauenskette des oben erwähnten Zertifikats "Microsoft 3rd Party UEFI CA" nicht standardmäßig aktiviert sein darf (sondern per BIOS-Option für Nicht-Microsoft-Bootloader aktiviert werden muss). Dies führt dazu, dass andere Betriebssysteme, aber auch die EgoSecure FDE nicht mit der standardmäßigen Secure Boot-Konfiguration starten können.

Lösung

In den UEFI-Einstellungen der meisten Rechner gibt es eine Option, welche bewirkt, dass das Zertifikat "Microsoft 3rd Party UEFI CA" wieder als vertrauenswürdig eingestuft wird.

Hier führen wir die uns bisher bekannten Einstellungen auf:

  • Lenovo: Security → Secure Boot → Allow Microsoft 3rd party UEFI CA
  • HP: Security → Secure Boot Key Management → Enable MS UEFI CA key
  • Dell: Boot Configuration → Enable Microsoft UEFI CA
  • Microsoft Surface / Pro: Security → Secure Boot configuration → Microsoft & 3rd party CA
  • Asus: Boot → Secure Boot → OS Type → Other OS
  • MSI: Security → Secure Boot → Image Execution Policy → Option ROM → Always Execute

 

Zusätzliche Informationen

Darüber hinaus existieren auch Rechner, bei denen der Hersteller das Zertifikat „Microsoft 3rd Party UEFI CA“ überhaupt nicht in seine UEFI-Implementation integriert hat. In diesem Fall besteht die Lösung darin, dieses Zertifikat nachträglich zu importieren. Für eine Anleitung, wie dieser Import genau durchzuführen ist, müssen wir Sie an den jeweiligen
Hersteller verweisen, da jeder Hersteller sein eigenes Verfahren für die Installation eines CA-Zertifikats hat. Der offizielle Name des benötigten Zertifikats lautet: Microsoft third-party Unified Extensible Firmware Interface Certificate Authority (auch bekannt als „Microsoft 3rd Party UEFI CA“). Für weitere Informationen wenden Sie sich bitte an den Hersteller Ihres PCs, um zu erfahren, wie Sie die Unterstützung für Nicht-Microsoft-Bootloader aktivieren können.

  • War dieser Artikel hilfreich?