Windows 10 mit UEFI-SecureBoot auf GPT-Disk installieren

Systeminformationen: UEFI SecureBoot aktiviert

Nach Anschaffung eines neuen PCs mit UEFI/SecureBoot/TPM-2.0 fähigem Mainboard (Fujitsu D3410-B) wollte ich Windows 10 eigentlich nicht mehr mit klassichem BIOS (bzw. bei UEFI Boards “CSM” = “Compatibility Support Module” genannt) installieren, sondern das CSM deaktivieren, UEFI-Boot nutzen und darüber hinaus auch SecureBoot und TrustedBoot sowie BitLocker mit TPM aktivieren.

Installiert habe ich das Gerät schließlich aus Unwissenheit zwei mal 🙁

Beim Versuch Nummer #1 kam nur eine klassische MBR (Master Boot Record) Installation zustande, Windows hat die Harddisk nicht mit GPT (GUID Partition Table) initialisiert, sondern für herkömmliches BIOS (bzw. UEFI-CSM) eingerichtet. Der Grund ist, dass ich von einem “klassischen” (also regulär mit MBR initialisierten) USB Stick gebootet hatte, um Windows 10 zu installieren. Damit Windows 10 die Harddisk jedoch im Rahmen der Installation für UEFI/SecureBoot mit GPT initialisiert, muss die Windows-Installation bereits von einem mit GPT initialisierten USB-Stick gebootet werden!

Freilich kann das Erzeugen des hierfür benötigten Installations-USB-Stick auch “von Hand” mittels DiskPart erfolgen (Konvertieren in einen GPT-Datenträger hierbei nicht vergessen!), wesentlich komfortabel geht es aber mittels des kostenfreien Tools Rufus.

Der UEFI-bootfähige Stick muss mit GPT (GUID Partition Table) statt herkömmlichem MBR (Master Boot Record) partitioniert werden. Achtung: Wenn man in Rufus das ISO-Image zum Startfähig machen des Sticks auswählt, wird das zuvor gewählte Partitionsschema wieder auf MBR abgeändert. Daher folgende Reihenfolge beim Klicken einhalten (siehe Screenshot darunter):

  1. Haken [X] bei Startfähiges Laufwerk erstellen setzen
  2. Als ISO Abbild das Windows 10 ISO-Image auswählen
  3. Jetzt erst als Schritt #3 das Partitions-Schema “GPT” wählen!
  4. Dateisystem FAT32 (Standard) wählen
  5. Die standardmäßig vorgeschlagene Größe der Zuordnungseinheit (abhängig von der Stick-Größe) beibehalten
UEFI/SecureBoot tauglichen Windows 10 Installationsstick erstellen
UEFI/SecureBoot tauglichen Windows 10 Installationsstick erstellen

Nach durchgeführter Installation muss sich das System-Laufwerk wie folgt präsentieren:

  • Partitionsstil: GUID-Partitionstabelle (GPT)
  • EFI-Systempartition
Disk-Layout bei aktiviertem UEFI/SecureBoot mit GPT
Disk-Layout bei aktiviertem UEFI/SecureBoot mit GPT

Das Aktivieren von SecureBoot im UEFI-Bios meines Mainboards (Fujitsu D3410-B) erfolgte durch:

1. Deaktivieren des Compatibility Support Modules (CSM)

Advanced -> CSM Configuration -> … das CSM deaktivieren

UEFI: CSM deaktivieren (Compatibility Support Module)
UEFI: CSM deaktivieren (Compatibility Support Module)

 

UEFI: CMS deaktiviert (Compatibility Support Module)
UEFI: CMS deaktiviert (Compatibility Support Module)

2. Aktivieren von Secure Boot

Security -> Secure Boot Configuration -> Secure Boot Control: Enabled

UEFI: SecureBoot aktivieren
UEFI: SecureBoot aktivieren

 

UEFI: SecureBoot aktiv
UEFI: SecureBoot aktiv

Das UEFI/SecureBoot Device wird wie folgt dargestellt:

UEFI: SecureBoot Geräte-Auswahl
UEFI: SecureBoot Geräte-Auswahl

3. Konfiguration des TPM

Advanced -> Trusted Computing -> …

UEFI: TPM aktivieren (Trusted Computing Module)
UEFI: TPM aktivieren (Trusted Computing Module)

Windows 10 BitLocker lässt sich aktuell (Stand Windows 10 v1511 per Juni 2016) noch nicht mit SHA-2 HashPolicy aktivieren, daher Auswahl von SHA-1 als HashPolicy in der TPM-Konfiguration.

UEFI: TPM v2.0 unterstützt SHA1 oder SHA2
UEFI: TPM v2.0 unterstützt SHA1 oder SHA2

Unter Windows wird das TPM 2.0 Modul im Geräte-Manager wie folgt dargestellt:

TPM 2.0 (Trusted Platform Module)
TPM 2.0 (Trusted Platform Module)

In einer mit Administrator-Rechten gestarteten Shell lässt sich der BitLocker-Status prüfen:

manage-bde -status c:
BitLocker TPM geschützte Systempartition
BitLocker TPM geschützte Systempartition

In den von Windows bereitgestellten Systeminformationen wird SecureBoot wie folgt ausgewiesen:

Systeminformationen: UEFI SecureBoot aktiviert
Systeminformationen: UEFI SecureBoot aktiviert

You May Also Like

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert