Windows Windows 11 - fuer alte Thinkpads - jetzt testen!

[Ambrosius]

Hallo,

ich wollte eben ein T14s Gen3 AMD mit einem frischen Windows 11 aufsetzen, habe den Stick mit Rufus erstellt, und aus irgendeinem Grund wollte er nicht booten. Mit Rufus mehrmals neu geflasht, es lag letztlich an der Secure Boot Funktion. Erst als ich es deaktiviert habe, konnte er in das Windows Setup booten. Jetzt musste ich den Stick erneut flashen und bei Rufus die Einstellung "Disable Requirements for older HW" aktivieren, damit ich ohne Secure Boot installieren kann.

Meine Frage ist nun folgende: Wenn ich das Setup so durchführe und nach der Installation wieder Secure Boot aktiviere, könnte es dann in zukunft Probleme mit Updates geben, v.a. wenn größere Versionssprünge kämen? Installiert habe ich 22H2 und ich war wie gesagt nur gezwungen die Requiremtents zu deaktivieren, weil das System sonst nicht in den Stick bootet...

Hab ich iwo ein Denkfehler? Oder sollten Updates davon nicht mehr berührt werden?

 

[der_ingo]

Warum nutzt du nicht einfach das offizielle Media Creation Tool von Microsoft, um den Stick zu erstellen?

Wenn du ohne SecureBoot installierst und es hinterher aktivierst, gibt das keine Probleme. Ich würde es trotzdem lieber gleich richtig machen.

 

[Ambrosius]

Warum nutzt du nicht einfach das offizielle Media Creation Tool von Microsoft, um den Stick zu erstellen?

Weil ich dem MS-Konto Zwang nicht erlegen möchte, es ist schlichtweg Nötigung, kann man ja gar nicht mehr anders bezeichnen.. Und mit Rufus geht der Bypass (noch)!

Wenn du ohne SecureBoot installierst und es hinterher aktivierst, gibt das keine Probleme.

Ja perfekt, das habe ich mir nämlich auch gedacht, aber sicher war ich mir nicht, weil Windows wird das sicher iwo in der Registry oder so speichern, dass SB bei der Installation nicht an war, auch wenn die Firmware nachher was anderes sagt... Keine Ahnung vielleicht ist das auch Overkill..

 

[ebastler]

Du kannst auch mit dem MCT ohne Account installieren, gleich wie mit Rufus. Beim Account "a@a.com" als Adresse eingeben, irgendwas beliebiges beim Passwort, dann erlaubt er einen Offline Account.

 

[der_ingo]

Bei einem Windows 11 Pro brauchst du keinen "Bypass". Wähle nach der Installation einfach aus, dass das Gerät einer Organisation gehört und du es einer klassischen Domäne hinzufügen willst. Dann kannst du ein lokales Konto anlegen.

 

[ebastler]

Oh, das war mir neu. Geht aber auch ohne Domäne (und bei Home) problemlos indem man ein "gesperrtes Konto" angibt. Dann wirft es einen Fehler und erlaubt offline Account. Gestern so gemacht mit 22H2 auf meinem T14s G3.

 

[Ambrosius]

Ja interessant diese ganzen Hacks, ist leider nicht ideal alles. Ich geb die Schuld Redmont die es den usern einfach schwer machen will, nicht weil dahinter etwas nützliches stünde...Danke mit dem Tipp der Organisation, hoffentlich gehen einem damit dann nicht andere Funktionen flöten, wenn man nicht gerade als Admin angemeldet ist.

Ich hab erst vor einer Woche 22H2 auf einer Win 10 Maschine perfekt mit Rufus auf einen Stick geflasht, keinerlei Hickups..Auch Installation hat ootb geklappt. Jetzt bei einer Win11 vorinstallierten Maschine auf einmal alle möglichen Prolem(chen) die auch nicht sein müssen..Ich vermute mal entweder dass die neueren ISOs modifiziert wurden (fragt mich aber nciht wie, wieso oder Rufus 3.21 hat ein Major Bug. Vielleicht kann das ja jemand bestätigen hier.

 

[bodu]

ich wollte eben ein T14s Gen3 AMD mit einem frischen Windows 11 aufsetzen, habe den Stick mit Rufus erstellt, und aus irgendeinem Grund wollte er nicht booten. Mit Rufus mehrmals neu geflasht, es lag letztlich an der Secure Boot Funktion. Erst als ich es deaktiviert habe, konnte er in das Windows Setup booten.

Rufus lies seinen eigenen UEFI loader bootx64.efi bei MS signieren.
Wenn nun secure boot auf moderner Hardware fehl schlägt, ist der alte signierte Treiber eventuell nicht mehr gültig. Das ist eine Vermutung, ich habe keine moderne Hardware.

FAQ · pbatard/rufus Wiki

The Reliable USB Formatting Utility. Contribute to pbatard/rufus development by creating an account on GitHub.

github.com

rufus/res/uefi at master · pbatard/rufus

The Reliable USB Formatting Utility. Contribute to pbatard/rufus development by creating an account on GitHub.

github.com

Hier sehe ich auf den ersten Blick keinen Hinweis.

Issues · pbatard/rufus

The Reliable USB Formatting Utility. Contribute to pbatard/rufus development by creating an account on GitHub.

github.com

Bei Window 11 (offiziell kompatbiler) Hardware bevorzuge ich den Standard OEM boot loader, sprich von MS. (Bitlocker...)
Anahmee: auf moderner Hardware wird das nächsten Feature Upgrade in ein, zwei, drei Jahren mit Secure boot autmatisch installiert. Ohne secure boot gibt es kein feature upgrade, oder erst wenn der Support für die vorhandene Build ausläuft. Genaues läßt sich heute nicht vorhersagen.
Z.B. erstelle einen USB Stick mit dem MS tool, und füge ein (auto)unattended.xml von z.B. rufus hinzu.

 

[ebastler]

Wenn das Notebook mit Win10/11 geliefert wird, sind im UEFI nur MS-eigene Bootloader Zertifikate erlaubt. Zertifikate die MS für Dritte ausgestellt hat kann bzw muss man extra aktivieren im UEFI. Bei meinem T14s G3 (kam ohne OS) war das bereits ab Werk an, denke aber bei Modellen mit Windows wird das auf Windows eigene Certs only stehen.

 

[der_ingo]

Ich geb die Schuld Redmont die es den usern einfach schwer machen will, nicht weil dahinter etwas nützliches stünde...

Für die Mehrzahl der Nutzer ist das Konto sinnvoll.
Und die meisten Leute dürften solche Konten von ihren Google, Apple, Amazon oder sonstigen Geräten auch gewohnt sein.

Danke mit dem Tipp der Organisation, hoffentlich gehen einem damit dann nicht andere Funktionen flöten, wenn man nicht gerade als Admin angemeldet ist.

Nein. Du hast danach ein ganz normales System, nur halt mit lokalem Konto.

 

[Ambrosius]

Bei meinem T14s G3 (kam ohne OS) war das bereits ab Werk an, denke aber bei Modellen mit Windows wird das auf Windows eigene Certs only stehen.

Jaaa genau richtig. Das hatte ich gesehen aber nicht damit im Zusammenhang gesehen. Das hieße wenn ich das ausschalten kann, könnte ich es mit secure boot normal laufen lassen?

Beitrag automatisch zusammengeführt: 17 Dez. 2022

Wenn nun secure boot auf moderner Hardware fehl schlägt, ist der alte signierte Treiber eventuell nicht mehr gültig. Das ist eine Vermutung, ich habe keine moderne Hardware.

Sowas in der Richtung habe ich auch vermutet. Betrifft halt auch nur die neueste Version. Leider kann ich nicht sehen welche ver ich letzte Woche genutzt habe. Und ältere Versionen kann man auf rufus.ie nicht einsehen

 

[ebastler]

Ja, wenn du die Drittanbieter Zertifikate aktivierst geht der Rufus Stick vermutlich.

Verstehe aber immer noch nicht warum du nicht einfach einen Media Creation Tool Stick nimmst ^^

 

[der_ingo]

denke aber bei Modellen mit Windows wird das auf Windows eigene Certs only stehen.

Der Bootloader, den Rufus verwendet, ist von Microsoft signiert. Solange nicht speziell dieses Zertifikat gesperrt wird, sollte er auf Systemen mit aktivem SecureBoot starten. Ich hab die Erfahrung gemacht, dass das mit Rufus an sich funktioniert.
Eine Funktion, wirklich nur den Windows Bootloader zuzulassen gibt es m.W. bei SecureBoot aktuell nicht.

Beitrag automatisch zusammengeführt: 17 Dez. 2022

Ja, wenn du die Drittanbieter Zertifikate aktivierst geht der Rufus Stick vermutlich.

Das ist aber eben nicht notwendig. Drittanbieter-Zertifikate sind notwendig, wenn du selbst ein OS oder Treiber signierst und diese dann einbinden willst. Das ist hier aber nicht der Fall.

Das wird z.B. genutzt, wenn du ein Linux mit aktivem SecureBoot installierst und hinterher Treiber von Herstellern nachinstallierst. Die entsprechenden Signaturen müssen dann vom UEFI geladen werden, damit das System weiterhin startet und die Treiber lädt.

 

[ebastler]

@der_ingo dem ist seit der aktuellen Generation nicht mehr so. Lenovo nennt es "Allow Microsoft 3rd Party UEFI CA" - das sind alle offiziellen SecureBoot Zertifikate, die aber nicht von MS für MS ausgestellt wurden, sondern von MS für andere.

Zitat Heise:

Die bisher betroffenen Notebooks unter anderem von Dell und Lenovo stellen im jeweiligen BIOS-Setup jedoch Optionen bereit, um der Microsoft UEFI CA zu vertrauen. Damit lässt sich dann auch Linux installieren. Bei Dell heißt die BIOS-Setup-Option „Enable Microsoft UEFI CA“, bei Lenovo „Allow Microsoft 3rd party UEFI CA“.

Linux-Installation auf manchen Windows-11-Notebooks etwas erschwert

Einige der sogenannten „Secured-Core PCs“ mit stärker gegen Manipulation geschützter Firmware booten in Standardkonfiguration nur Windows 11.

www.heise.de

 

[xsid]

Bei einem Windows 11 Pro brauchst du keinen "Bypass". Wähle nach der Installation einfach aus, dass das Gerät einer Organisation gehört und du es einer klassischen Domäne hinzufügen willst.

Hallo,

seit wann ist der "Bypass" nicht mehr erforderlich?
Wie ist das weitere Vorgehen, wenn man danach doch keiner Organisation angehört?

MfG
xsid

 

[der_ingo]

@der_ingo dem ist seit der aktuellen Generation nicht mehr so. Lenovo nennt es "Allow Microsoft 3rd Party UEFI CA" - das sind alle offiziellen SecureBoot Zertifikate, die aber nicht von MS für MS ausgestellt wurden, sondern von MS für andere.

Danke, das war irgendwie an mir vorbei gegangen.

Beitrag automatisch zusammengeführt: 18 Dez. 2022

seit wann ist der "Bypass" nicht mehr erforderlich?

Bei Pro brauchte man nie solch einen "Bypass".

Wie ist das weitere Vorgehen, wenn man danach doch keiner Organisation angehört?

Es gibt keines. Du fügst den Rechner einfach nicht deinem nicht vorhandenen lokalen AD hinzu.

 

[xsid]

Windows 11 auch ohne TPM und Secure Boot installieren

www.deskmodder.de

Ist der Bypass nicht dazu da, Windows 11 auch auf alten PC's installieren zu können?
Der MS Harwarecheck wird übergangen.

Oder was ist der "Bypass"?

 

[der_ingo]

Es ging die ganze Zeit um Benutzerkonten und das Anlegen eines lokalen Kontos. Keine Ahnung, warum du jetzt plötzlich ganz andere Dinge damit in Zusammenhang bringst. Auf einem Windows 11 Pro braucht man keinen "Bypass" oder sonstwas, um ein lokales Konto bei der Installation zu erstellen.

Es gibt nicht "den einen Bypass" für alles. Wenn deine Hardware nicht passend ist, musst du natürlich weiterhin entsprechende Methoden zum Umgehen der Beschränkungen verwenden, wenn du trotzdem Windows 11 installieren willst. Das hat dann allerdings weiterhin nichts mit den Benutzerkonten zu tun.

 

[xsid]

Danke
"Bypass" und "Bypass" konnte, kann ich nicht unterscheiden.

Das hat dann allerdings weiterhin nichts mit den Benutzerkonten zu tun.

Das Thema Benutzerkoten ist hier im Thread nicht passend.

 

[der_ingo]

"Bypass" und "Bypass" konnte, kann ich nicht unterscheiden.

Ja, kaum reißt du Dinge aus dem Zusammenhang, werden sie für dich unverständlich. So ein Zufall aber auch.

Das Thema Benutzerkoten ist hier im Thread nicht passend.

Ich gehe davon aus, dass ein Moderator sich dazu äußern würde, wäre dem so.

Die Einrichtung des ersten Benutzerkontos gehört zur Windows-Installation und ist daher meiner Meinung nach in einem Thread passend, in dem es um die Windows-Installation geht.