Startseite » wie man » Booten und Installieren von Linux auf einem UEFI-PC mit Secure Boot

    Booten und Installieren von Linux auf einem UEFI-PC mit Secure Boot

    Neue Windows-PCs werden mit UEFI-Firmware und aktiviertem Secure Boot geliefert. Sicherer Start verhindert, dass Betriebssysteme gestartet werden, es sei denn, sie sind mit einem in UEFI geladenen Schlüssel signiert. Standardmäßig kann nur von Microsoft signierte Software gestartet werden.

    Microsoft schreibt vor, dass PC-Anbieter Benutzern erlauben, Secure Boot zu deaktivieren. Sie können Secure Boot daher deaktivieren oder Ihren eigenen benutzerdefinierten Schlüssel hinzufügen, um diese Einschränkung zu umgehen. Sicherer Start kann auf ARM-Geräten, auf denen Windows RT ausgeführt wird, nicht deaktiviert werden.

    Wie Secure Boot funktioniert

    PCs, die mit Windows 8 und Windows 8.1 geliefert werden, enthalten UEFI-Firmware anstelle des herkömmlichen BIOS. Standardmäßig bootet die UEFI-Firmware des Computers nur Bootloader, die mit einem in der UEFI-Firmware eingebetteten Schlüssel signiert sind. Diese Funktion wird als "Sicherer Start" oder "Vertrauenswürdiger Start" bezeichnet. Bei herkömmlichen PCs ohne diese Sicherheitsfunktion könnte sich ein Rootkit installieren und zum Bootloader werden. Das BIOS des Computers würde dann das Rootkit beim Booten laden, Windows booten und laden, sich vor dem Betriebssystem verstecken und sich tief einbetten.

    Sicherer Start blockiert dies - der Computer bootet nur vertrauenswürdige Software, sodass böswillige Bootloader das System nicht infizieren können.

    Auf einem Intel x86-PC (nicht auf ARM-PCs) haben Sie die Kontrolle über den sicheren Start. Sie können es deaktivieren oder sogar Ihren eigenen Signaturschlüssel hinzufügen. Organisationen könnten ihre eigenen Schlüssel verwenden, um beispielsweise sicherzustellen, dass nur genehmigte Linux-Betriebssysteme gestartet werden können.

    Optionen zur Installation von Linux

    Sie haben mehrere Möglichkeiten, Linux mit Secure Boot auf einem PC zu installieren:

    • Wählen Sie eine Linux-Distribution aus, die Secure Boot unterstützt: Moderne Ubuntu-Versionen - beginnend mit Ubuntu 12.04.2 LTS und 12.10 - werden auf den meisten PCs mit aktiviertem Secure Boot normal gestartet und installiert. Dies liegt daran, dass der erste EFI-Bootloader von Ubuntu von Microsoft signiert ist. Ein Ubuntu-Entwickler weist jedoch darauf hin, dass der Bootloader von Ubuntu nicht mit einem Schlüssel signiert ist, der für den Zertifizierungsprozess von Microsoft erforderlich ist. Der von Microsoft empfohlene Schlüssel ist jedoch "empfohlen". Dies bedeutet, dass Ubuntu möglicherweise nicht auf allen UEFI-PCs startet. Benutzer müssen möglicherweise den sicheren Start deaktivieren, um Ubuntu auf einigen PCs verwenden zu können.
    • Deaktivieren Sie den sicheren Start: Sicherer Start kann deaktiviert werden, wodurch die Sicherheitsvorteile gegen den Start eines PCs ausgetauscht werden können, genau wie ältere PCs mit dem herkömmlichen BIOS. Dies ist auch erforderlich, wenn Sie eine ältere Version von Windows installieren möchten, die nicht für Secure Boot entwickelt wurde, z. B. Windows 7.
    • Fügen Sie der UEFI-Firmware einen Signaturschlüssel hinzu: Einige Linux-Distributionen signieren ihre Bootloader möglicherweise mit einem eigenen Schlüssel, den Sie der UEFI-Firmware hinzufügen können. Dies scheint momentan nicht üblich zu sein.

    Sie sollten prüfen, welchen Prozess Ihre Linux-Distribution Ihrer Wahl empfiehlt. Wenn Sie eine ältere Linux-Distribution booten müssen, die dazu keine Informationen enthält, müssen Sie nur Secure Boot deaktivieren.

    Sie sollten in der Lage sein, aktuelle Versionen von Ubuntu - entweder die LTS-Version oder die neueste Version - auf den meisten neuen PCs problemlos zu installieren. Anweisungen zum Booten von einem Wechseldatenträger finden Sie im letzten Abschnitt.

    So deaktivieren Sie den sicheren Start

    Sie können Secure Boot über den Bildschirm UEFI Firmware Settings steuern. Um auf diesen Bildschirm zuzugreifen, müssen Sie auf das Startoptionsmenü in Windows 8 zugreifen. Öffnen Sie dazu den Charm "Einstellungen" - drücken Sie die Windows-Taste + I, um ihn zu öffnen. Klicken Sie auf die Ein / Aus-Taste und halten Sie die Umschalttaste gedrückt Sie klicken auf Neustart.

    Ihr Computer wird im Bildschirm mit den erweiterten Startoptionen neu gestartet. Wählen Sie die Option Problembehandlung, wählen Sie Erweiterte Optionen und dann UEFI-Einstellungen. (Auf einigen Windows 8-PCs wird die Option UEFI-Einstellungen möglicherweise nicht angezeigt, auch wenn diese mit UEFI geliefert wird. Informationen zum Aufrufen des Bildschirms UEFI-Einstellungen finden Sie in der Dokumentation Ihres Herstellers.)

    Sie werden zum Bildschirm UEFI Settings (UEFI-Einstellungen) weitergeleitet, auf dem Sie Secure Boot deaktivieren oder Ihren eigenen Schlüssel hinzufügen können.

    Booten von Wechselmedien

    Sie können von einem Wechseldatenträger aus booten, indem Sie auf dieselbe Weise auf das Menü mit den Startoptionen zugreifen. Halten Sie die Umschalttaste gedrückt, während Sie auf die Option Neustart klicken. Legen Sie das gewünschte Startgerät ein, wählen Sie Gerät verwenden aus und wählen Sie das Gerät aus, von dem Sie booten möchten.

    Nach dem Booten vom Wechseldatenträger können Sie Linux wie gewohnt installieren oder die Live-Umgebung vom Wechseldatenträger verwenden, ohne es zu installieren.


    Denken Sie daran, dass Secure Boot eine nützliche Sicherheitsfunktion ist. Sie sollten es aktiviert lassen, es sei denn, Sie müssen Betriebssysteme ausführen, die bei aktiviertem Secure Boot nicht booten.