So sichern Sie sichere Startschlüssel

2166
kchak

Ich verwende Windows 7 und mein Motherboard ist Asus p8z77-v.

Ich will Ubuntu nicht doppelt booten, aber der Live-USB wird nicht geladen.

Ich habe einige Nachforschungen angestellt und festgestellt, dass ich den sicheren Start deaktivieren muss.

Dazu muss ich die Plattformschlüssel speichern.

Wenn ich jedoch einen USB-Stecker in das System stecke und die Option Schlüssel speichern wähle, erhalte ich die Meldung "Kein gültiges Dateisystem". Ich habe den USB zu exFat formatiert und alle USB-Anschlüsse ausprobiert, aber nichts scheint zu funktionieren.

Edit: Mein Hauptziel ist es, Ubuntu mit Windows 7 doppelt zu booten. Wenn es einen Weg gibt, dies zu tun, ohne diese Einstellungen zu beeinträchtigen, bin ich froh, es zu tun.

Das Problem, vor dem ich stehe, ist, wenn ich von UEFI: USBboote, bekomme ich das UEFI-Menü. Aber wenn ich wähle

  1. installieren oder
  2. Versuchen Sie es ohne Installation von Optionen

Es blinkt und der Bildschirm wird leer. Nach einiger Zeit geht mein Monitor in den Energiesparmodus, sodass nichts passiert.

1
Ich dachte nicht, dass Sie etwas speichern müssten, um den sicheren Start zu deaktivieren, normalerweise ... aber falls Sie dies tatsächlich tun, ist UEFI für FAT32 standardisiert. Bob vor 7 Jahren 1
Mein BIOS-Menü hat keinen sicheren Startschalter. Ich muss also in ein sicheres Startmenü wechseln und dann die Tasten löschen, um den sicheren Start zu deaktivieren. Jetzt habe ich keine Ahnung, was das alles ist, also möchte ich die Schlüssel speichern, falls etwas schief geht. kchak vor 7 Jahren 0
Windows 7 unterstützt Secure Boot nicht. ** ALL ** OEM-Geräte, die Secure Boot unterstützen, müssen unterstützt werden. Sie können ihn deaktivieren, außer für Windows RT-Geräte (die Windows 7 nicht unterstützen). Wenn also die Option zur Aktivierung fehlt, unterstützt Ihr Gerät den sicheren Start nicht. Alle Asus-Motherboards wie Ihre unterstützen die Aktivierung des Sexy Boot-Modus, wenn der sichere Boot-Modus unterstützt wird Ramhound vor 7 Jahren 0

2 Antworten auf die Frage

1
Rod Smith

Die Antwort von PeterSiul ist meistens richtig, aber in meinem Kommentar finden Sie einige Korrekturen, von denen eine so wichtig ist, dass ich hier näher darauf eingehen möchte . Ich möchte einige Punkte hervorheben und erläutern, die über den kurzen Kommentar hinausgehen:

  • Nicht alle EFIs bieten eine Funktion zum sicheren Start. Wenn Sie keine Option zum Deaktivieren des sicheren Starts sehen, kann Ihre Firmware diese Funktion einfach nicht aufweisen. Es erschien kurz vor der Veröffentlichung von Windows 8 auf Computern. Heutzutage unterstützen die meisten Computer Secure Boot, aber Macs und einige Server verfügen noch nicht über diese Funktion. Ich besitze mehrere EFI- oder UEFI-basierte Computer, die keine Unterstützung für den sicheren Start haben.
  • Windows 7 unterstützt Secure Boot nicht offiziell - Microsoft hat Secure Boot mit Windows 8 und nicht mit Windows 7 vorangetrieben. Das heißt, wenn ich Windows 7 auf einem meiner Computer (mit einem ASUS P8-H77I-Motherboard, FWIW) installierte, sehr Zu meiner Überraschung funktionierte es mit Secure Boot Active. Nach einem Update funktionierte es jedoch nicht mehr. Möglicherweise hat Microsoft einige Windows 7-Bootloader signiert, andere jedoch nicht. oder vielleicht hatte mein Motherboard einen Hashwert des ursprünglichen Bootloaders als gültig angegeben und konnte somit den Secure Boot-Test bestehen. Unter dem Strich müssen Sie jedoch möglicherweise den sicheren Start deaktivieren, wenn Sie Windows 7 starten.
  • Das Deaktivieren von Secure Boot sollte nicht das Löschen von Schlüsseln erfordern - Bei jedem Computer, den ich mit Secure Boot-Unterstützung gesehen habe, können Sie Secure Boot mit einem Umschalter deaktivieren und anschließend über dasselbe Menü erneut aktivieren. Das Löschen von Schlüsseln ist dazu nicht erforderlich. Wenn Sie Secure Boot erneut aktivieren, müssen Sie möglicherweise keine Schlüssel hinzufügen. Siehe diese Seite von mirBeispiele für die Deaktivierung von Secure Boot, einschließlich Screenshots. Das heißt, es gibt nichts in der Spezifikation, die besagt, wie die Benutzeroberfläche zum Deaktivieren von Secure Boot ausgelegt werden sollte. Daher ist es denkbar, dass Sie etwas mit einer besonders primitiven Methode haben, die das Löschen von Schlüsseln erfordert. Ich denke jedoch, dass dies unwahrscheinlich ist. Es ist wahrscheinlicher, dass Sie einfach nicht die richtige Option gefunden haben oder dass Ihr Motherboard Secure Boot nicht unterstützt.
  • Müssen Sie Secure Boot wirklich deaktivieren? - Sie sagten, Sie müssten Secure Boot deaktivieren, damit das Ubuntu USB-Laufwerk booten kann. Nach meiner Erfahrung machen die Leute Secure Boot jedoch häufig für Probleme verantwortlich, die nicht mit dieser Funktion zusammenhängen. In der Regel verwenden Benutzer die falschen Tools oder Einstellungen, wenn sie ein USB-Flashlaufwerk aus einer .isoDatei erstellen. Sehen Sie diese Seite von mir für mehr zu diesem Thema. Bevor Sie jedoch zu weit in diese Richtung eintauchen, stelle ich fest, dass Sie sagen, wenn Sie versuchen, zu booten, "es gibt einen Blitz und der Bildschirm wird leer." Fehler beim sicheren Start generieren (aber nicht immer) eine Meldung, dass das Startmedium nicht vertrauenswürdig ist. Das von Ihnen beschriebene Symptom klingt eher nach einer nicht unterstützten Grafikkarte. Die AskUbuntu-Site hatdiese Frage und ihre zahlreichen Antworten auf dieses Problem. Leider gibt es viele Ursachen für viele verschiedene Lösungen. Daher kann ich Ihnen keine einfache Antwort geben, wenn dies die Ursache Ihres Problems ist.
  • Das Wichtigste bei Shim ist, Secure Boot über GRUB zu unterstützen - PeterSui schrieb: "Shim kann jedoch weder die Integrität von GRUB noch die Integrität von Linux oder den Windows-Bootloader überprüfen, wenn sie von grub geladen wird. Deshalb, sobald Sie es verwenden Dual Boot, Secure Boot wird grundsätzlich unwirksam. " Das ist einfach nur falsch. Tatsächlich würde diese Beschreibung Shim, wenn sie genau ist, völlig unbrauchbar machen. Shim startet ein Folgeprogramm, das hart codiert ist grubx64.efi. (Es gibt andere Programme, die unter bestimmten Umständen gestartet werden können, das Folgeprogramm ist jedoch normalerweise GRUB.) Shim fügt den Secure Boot-Prüfungen einen in die Binärdatei eingebetteten Schlüssel hinzu, und der GRUB, der mit einer Distribution geliefert wird, wird von signiert die private Version dieses Schlüssels. Daher startet Shim GRUB, wennGRUB ist mit dem eingebetteten Schlüssel von Shim oder einem anderen Schlüssel in der Firmware signiert. GRUB kann jedoch nicht gestartet werden, wenn die Secure Boot-Prüfungen nicht bestanden werden. Verschiedene GRUB-Builds variieren, aber in den meisten Fällen ruft GRUB Shim an, um den Kernel zu authentifizieren, den es bootet, und so weiter. Wenn GRUB den Windows-Bootloader startet, sollte es auch authentifiziert werden. Es gibt jedoch einen bekannten Fehler, durch den dieser Vorgang auf einigen (aber nicht auf allen) Computern fehlschlägt .
  • Sie können Ihre Schlüssel speichern, wenn Sie wirklich wollen - Wenn Sie Ihre Standardschlüssel wirklich speichern möchten, können Sie dies tun. Auf dieser Seite von mir finden Sie Einzelheiten dazu. Diese Seite wurde eigentlich mit dem Ziel geschrieben, Ihnen beim Ersetzen der integrierten Schlüssel durch Ihre eigenen Schlüssel zu helfen, aber ein Teil dieses Prozesses besteht darin, Ihre vorhandenen Schlüssel zu speichern. Die meisten EFIs bieten eine Möglichkeit, dies in ihren eigenen Benutzeroberflächen zu tun, oder Sie können das Dienstprogramm KeyTools verwenden. ( Blättern Sie nach unten zu Ersetzen von Schlüsseln mit KeyTool und notieren Sie sich Schritt 3.)
0
PaterSiul

exFAT ist nicht das am weitesten verbreitete Dateisystem. Ich würde nicht erwarten, dass es mit UEFI zusammenarbeitet. Wie Bob schrieb: Versuchen Sie es mit FAT32.

Andererseits sollten Sie diese Schlüssel weder speichern noch den sicheren Start deaktivieren müssen (auch wenn Sie sich nicht verletzen).

Im Allgemeinen sieht der Bootvorgang auf einem Dual-Boot-System mit UEFI folgendermaßen aus: UEFI lädt einen Bootloader mit Linux, das normalerweise GRUB ist. GRUB betrachtet seine Konfiguration, findet einen Eintrag für Linux und einen für Windows. Der Linux-Eintrag lädt den Kernel und möglicherweise die Initramfs. Der Windows-Eintrag startet einfach den Windows-Bootloader.

Beim sicheren Start überprüft UEFI, ob der Bootloader (im obigen Beispiel: GRUB) mit einem Schlüssel signiert wurde, den er überprüfen kann. Das ist beim Windows-Bootloader der Fall, nicht bei Grub. Um nicht auf Windows basierende Systeme zu starten, hat Microsoft einen Mini-Bootloader namens Shim veröffentlicht. Shim ist von Microsoft signiert und kann daher mit UEFI bei aktivem sicheren Startvorgang gebootet werden. Shim kann jedoch weder die Integrität von GRUB noch die Integrität von Linux oder des Windows-Bootloaders überprüfen, wenn es von grub geladen wird. Sobald Sie den Dual-Boot-Modus verwenden, wird der Secure-Boot-Modus daher grundsätzlich unwirksam.

Auf der anderen Seite sollte Ubuntu problemlos booten, entweder von USB oder sobald Sie es installiert haben (ich sage sollte, denn obwohl alle Dokumentationen, die ich je gelesen habe, "will" sagen), musste ich in der Vergangenheit den sicheren Start deaktivieren, um Linux auszuführen ). Wenn dies durch einen sicheren Start verhindert wird, kann GRUB nicht geladen werden. In diesem Fall würden Sie nicht einmal zur "install" / "Try without installation" -Wahl gelangen.

Vielen Dank. Ich werde versuchen, den USB auf FAT32 zu formatieren. Was Sie also sagen, ist, da Secure Boot durch Dual Boot unwirksam wird. Kann ich einfach die Plattformschlüssel löschen? Es gibt kein Szenario, ich muss diese Schlüssel in Zukunft verwenden. Jetzt arbeite ich viel an Windows, ich brauche nur eine schnellere Linux-Option als eine VM. kchak vor 7 Jahren 0
Ja, mit Dual-Boot wird Secure Boot unwirksam. Aber nein, es gibt ein Szenario, in dem Secure Boot wieder interessant wird: Wenn Sie sich für Linux entscheiden, wollen Sie wieder einen sicheren Boot für Windows. In diesem Fall benötigen Sie die Standardschlüssel. Aber: Ihre UEFI sollte die Option "Sicheres Starten auf Werkseinstellungen zurücksetzen" oder "Standardmäßige sichere Startschlüssel wiederherstellen" oder ähnliches haben. PaterSiul vor 7 Jahren 0
Diese Antwort ist * meistens * richtig; aber: (1) Shim wird * nicht * von Microsoft geschrieben. IIRC wurde ursprünglich von Matthew Garret geschrieben, als er für Red Hat arbeitete, und Red Hat ist nach wie vor der Hauptentwickler. Die Shim-Binärdateien, die von großen Linux-Distributionen vertrieben werden, werden von Microsoft oder zumindest von ihren Agenten signiert. (2) Sicherer Start ist in einer Dual-Boot-Umgebung keinesfalls unwirksam - es sei denn, er ist absichtlich deaktiviert. Dies ist selten notwendig, obwohl dies in seltenen Fällen der Fall ist, und in seltenen Fällen verursacht Secure Boot genug Probleme, so dass es praktisch ist, es zu deaktivieren. Rod Smith vor 7 Jahren 0

Verwandte Probleme