T14*/T15* T14 G4 AMD - Secure Boot kann nicht deaktiviert werden

A

adrianr

New member
Themenstarter
Registriert
5 Aug. 2024
Beiträge
5
Hallo zusammen,

ich habe mir jetzt ein T14 G4 AMD gekauft - siehe https://thinkpad-forum.de/threads/t14-gen4-amd-größte-ssd.240907/#post-2396948

Jetzt wollte ich die Standard 256GB SSD gegen eine mit 4TB tauschen und dort per USB Stick Windows neu installieren.
Klar, dafür muss ich erstmal Secure Boot deaktivieren.
Tja, und genau da hängt es, die Option ist genauso wie der Großteil der andere Einträge im BIOS deaktiviert - sogar Uhrzeit und Datum lassen sich nicht ändern.
Das BIOS habe ich schon auf Version 1.37 aktualisiert, keine Änderung.

Hat jemand eine Idee?

Viele Grüße
Adrian
 
Ist es mit Sicherheit!
Der Themenersteller wird bei der BIOS-Passwort-Abfrage (Schloss-Symbol) mit Enter ins BIOS gelangen und kann dort nichts außer lesen.

Folgerung:
Vom Verkäufer das Supervisor-Passwort erfragen und wenn er es nicht kennt, Kauf wegen schweren Sachmangels rückgängig machen.
 
Nein - siehe meine Antwort oben und schaue auch gleich noch einmal in die Forenregeln, damit Du die nächste Frage erst gar nicht stellst...
 
Zuletzt bearbeitet:
Picard87 schrieb:
Und für eine Neuinstallation musst du Secure Boot nicht deaktivieren!
Zum Vergrößern anklicken....
Bzw darf, ich glaube Windows 11 kann man nichtmal installieren wenn es deaktiviert ist.

Noch was anderes: Es gibt im UEFI unter "Sicherheit" noch eine Option, hab vergessen wie sie heißt, die Secureboot, Virtualisierung, TLP und noch ein paar Dinge erzwingt (Felder sind dann grau und können nicht umgestellt werden). Das aktiviert einmal alles das ein Microsoft Secure Core PC braucht und lässt einen das nicht mehr ausschalten bis man die Option wieder deaktiviert. Das kann ähnliches bewirken.

Auch wenn der TE es schon gelöst hat, wollte ich das der Vollständigkeit halber noch erwähnen wenn jemand das Thema mal per Google findet.
 
An sich reicht es, auf der Seite, auf der man die Einstellungen speichern kann, die Option "OS optimized defaults" zu setzen und danach die Standardwerte zu laden. Meintest du das vielleicht?
 
Der Thread ist ein Jahr alt, demzufolge sicher nicht mehr aktuell.
 
der_ingo schrieb:
Windows 11 erfordert es sogar.
Wenn du ein solches System installieren willst, solltest du also SecureBoot ganz und gar nicht abschalten.
Zum Vergrößern anklicken....
Das stimmt nicht.
Secure Boot muss im UEFI lediglich vorhanden sein. Ob aktiv oder inaktiv, das prüft WinXI jedoch nicht.
 
Welche BIOS Version hast du?

Ich habe gerade ein L14 Gen 1 Intel hier, hat ein SINA BIOS Logo und ich kann secure Boot auch nicht deaktivieren.
Die BIOS Version gibt es nicht öffentlich, wie ich das sehe:
 

Anhänge

  • 20260530_135951.jpg
    20260530_135951.jpg
    111,8 KB · Aufrufe: 20
Was ich im Zusammenhang Secunet-Bios von @Herr Moehre tatsächlich interessant finde ist das sich das BSI zumindest inzwischen freien BIOS-Alternativen wie Coreboot in dem Zusammenhang bewusst ist.

Vgl. https://www.bsi.bund.de/DE/Themen/O...g/SINA/Verschlusssachen/verschlusssachen.html

Beispielsweise darf eine SINA Workstation S grundsätzlich nur VS der Einstufung VS-NfD verarbeiten, während eine SINA Workstation H neben VS-NfD auch VS-VERTRAULICH und GEHEIM verarbeiten darf. Neben den bislang erwähnten Sicherheitsmechanismen kommen bei SINA-Produkten der Varianten E und H noch weitere hinzu, wie z.B. die quelloffene BIOS-Alternative coreboot zur Sicherung der Bootintegrität, Mechanismen zur Detektion von Manipulationsversuchen oder abstrahlgeschützte Gehäuse zur Vermeidung kompromittierender elektromagnetischer Abstrahlung.
Zum Vergrößern anklicken....
 
Richtig und was - für mich - gerade doof ist:

- Custom BIOS
- Safe Boot aktiviert, nicht deaktivierbar
-- Wahrscheinlich Custom Keys, weder Boot ohne Secure Boot, noch mit altem / neuen MS Key möglich, Keys nicht einsehbar
- PXE ist aktiv
-- PXE z.B. über iVentoy funktioniert nur ohne Secure Boot
-- Für Secure Boot bräuchte ich also mehr Aufwand uuuund womöglich einen der hinterlegten Keys
- USB deaktiviert, mindestens für: USB-C Docks, USB-C und A Sticks/SSDs
-- Selbst wenns erkannt würde, Secure Boot Problem

Kann ich doch so perfekt weiter verkaufen, lt. Hardwaretest voll funktionsfähig und komplett frei von Supervisor Kennwörtern :p

Ich denke mit 'nem externen Flasher könnte man noch ein anderes BIOS draufprügeln, notfalls den Chip tauschen, ansonsten geht da nix meiner Meinung nach.

Also endlich mal ein gescheit gehärtetes Gerät x)

Das Gerät kam wohlgemerkt ohne SSD.
 
Lenovo ist secunet Hardware-Partner für die SINA Workstation S.

Nach 3-5 Jahren ist bei Behörden zumeist Leasingende oder die Abschreibezyklen erreicht. Das passt altersmäßig zu nem L14 Gen1 dann geht das Zeug palettenweise ins IT-Remarketing an zertifizierte Verwerter. Davor wird von den Abgebern nur die SSD rausgerissen da muss man froh sein wenn noch die Schraube gelöst wird. Weil die SSD muss vor Abgabe an den Verwerter selbst entfernt und anderweitig vernichtet werden, der Rest ist egal.

Mit ganz viel Glück hat man die Secure-Boot Keys von MS nicht entfernt, du könntest mal ne SSD nehmen in einem anderen Rechner Win11 installieren in das L14 stecken und hoffen das es in der Boot-Reihenfolge irgendwie davon bootet und nicht nur von einem Boot-Manager. Sonst könnte es sich tatsächlich um einen neuen Briefbeschwerer oder Türstopper handeln.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • thinkstore24.de
  • ok2.de - Notebook Computer Server
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben