Was hat es mit UEFI/Secure Boot auf sich? (allgemeine Frage)

lalalu

New member
Registriert
20 Juni 2022
Beiträge
5
Hallo, Hat vielleicht jemand Erfahrungen die er teilen möchte? Ich habe eine kurze Frage:

Bin nicht mehr auf dem neuesten Stand und habe nach einer längeren Pause vom Innenleben der Thinkpads folgenden Unterschied zu früher festgestellt:

Ausführen von diverser Hard- und Software scheitert oftmals weil man dafür den sog. Secure Boot Modus deaktivieren soll und in das alte BIOS System wechseln muss (Laut meiner Recherche, hoffe das ist richtig)!

- Habe es aber bis jetzt noch nicht gemacht.

Was passiert wenn man zurück in den sog. BIOS Legacy Mode wechselt? Muss man dabei irgendwas beachten? Ist es unsicher oder kann man dabei irgendetwas schrotten?

Das neue System soll wohl u.a. verhindern daß Schadsoftware mit BIOS installiert wird, ...oder?

Und ergänzend: Habe gelesen daß das neue UEFI tatsächlich schwere Lücken haben soll, kann man als Benutzer etwas dagegen tun (vermutlich nein)?


Viele Grüße T.
 

Fiestaodin

Member
Registriert
20 Jan. 2008
Beiträge
630
Du kannst kein UEFI OS auf ein BIOS Mode PC Starten.
Jede Software hat Lücken deswegen gibts ja Patches.
Deswegen gibts ja bei neueren Thinkpads immer Update für UEFI Bios. Glaub das letzte Modell was noch Updates bekommt ist das T460s Modell.
Secure Boot und UEFI fördert die Sicherheit deines Rechner und Verschlechtet es nicht.
 

hikaru

Active member
Registriert
1 Okt. 2013
Beiträge
1.284
Secure Boot und UEFI fördert die Sicherheit deines Rechner und Verschlechtet es nicht.
Vorausgesetzt, es ist sauber implementiert ;) :
 

lalalu

New member
Themenstarter
Registriert
20 Juni 2022
Beiträge
5
Also was passiert wenn man in diesen Modus hineinwechselt ? Gar nichts ?
 

Mornsgrans

Help-Desk
Teammitglied
Registriert
20 Apr. 2007
Beiträge
68.898
Also was passiert wenn man in diesen Modus hineinwechselt ? Gar nichts ?
Im Zweifelsfall genau das - also auch kein booten von im UEFI-Modus eingerichteten/partitionierten Geräten. Dafür gibt es im BIOS/UEFI als Boot-Mode die Auswahl UEFI only, Legacy und Both/UEFI first/Legacy first (je nach Gerät bzw. BIOS/UEFI-Version)

Grundsätzliche Infos findest Du in Wikipedia.
 

ebastler

Member
Registriert
29 Dez. 2018
Beiträge
57
Also, grundlegend - das was man mal BIOS nannte gibts in der Form seit Jahren nicht mehr, wurde um 2010 rum glaub ich endgültig von UEFI (siehe link über mir) abgelöst. Wenn man "ins BIOS" geht geht man bei allen modernen Rechnern "ins UEFI" - macht das gleiche, ist daher für den User recht unwichtig wie das Teil sich nennt.

Mit der Umstellung auf UEFI kamen auch neue Boot-Möglichkeiten, Optionen Treiber früher zu laden um schneller zu booten, SSD-Verschlüsselung vor dem Boot vom TPM aus zu entschlüsseln, nur bestimmte Kernel mit hinterlegten Schlüsseln zu booten (SecureBoot) etc.

Ein "vor" UEFI installiertes OS (oder ein OS das noch keinen UEFI Boot kann) ist auf UEFI Systemen aber nicht bootfähig, dafür gibt es den BIOS/Legacy/Compatibility/CSM Modus, wo die "tollen neuen" UEFI Features zu guten Teilen deaktiviert werden und auf den alten BIOS Standard zurück gewechselt wird. Damit verlierst du meist etwas Bootzeit, und eben die neuen Features. Ebenso kann aus dem OS heraus nicht mehr direkt ins UEFI Interface rebooted werden, oder aus dem OS heraus die Bootreihenfolge geändert werden (efibootmgr in Linux kann das, ziemlich cool).

Wenn du dein OS im Legacy Mode installiert hast, wird es, wenn du UEFI only aktivierst, nicht mehr starten. Und anders rum, im UEFI only installiertes OS bootet im Legacy only nicht.

Inzwischen gibts eigentlich keinen mir bekannten sinnvollen Grund mehr, nicht UEFI Only zu fahren, außer man braucht legacy Betriebssysteme (älter als Windows 7) oder hat halt Hardware die es noch nicht kann. Oder man muss öfter DOS Sticks booten, das geht im UEFI Modus so weit mir bekannt auch nicht.

SecureBoot ist ein anderes Thema. Dafür ist UEFI Only schonmal Pflicht, das sorgt dann dafür, dass nur ein bestimmtes, zertifiziertes OS auf der Hardware gebootet werden kann. Da kann also keiner mal eben seinen Linux stick dran klemmen, booten und dann kuriose Dinge mit der Hardware machen, zum Beispiel. Wofür SecureBoot wirklich einsetzbar ist und was es im Detail kann weiß ich auch nicht, aber da gibts sicher gute Artikel zu im Netz.

Nachtrag: Da der Bootloader signiert sein muss (und das wohl auch per Checksum getestet wird) kann eine Malware auch nicht mal eben den Bootloader kapern und dann noch vor dem OS Start wilde Dinge anstellen. Das würde mit Secureboot bemerkt und blockiert.

Hab das jetzt alles ausm Kopf raus geschrieben, wenn ich wo falsch liegen sollte - bitte bescheid geben :)
 

xxxx

Member
Registriert
9 Apr. 2020
Beiträge
38
Oioioioi!
Nein, nein, und nochmals nein.
Inzwischen gibts eigentlich keinen mir bekannten sinnvollen Grund mehr, nicht UEFI Only zu fahren, […]
Es gibt mindestens hundert Gründe. Und jeder einzelne ist eine katastrophale Sicherheitslücke.
[…] UEFI fördert die Sicherheit deines Rechner […]
Das ist es, was uns die Marketingabteilungen der jeweiligen Hersteller seit Jahren weiszumachen versuchen.
Im folgenden nur vier Heise-Links, bewusst über mehrere Jahre gestreut:
Hacking Team verwendet UEFI-Rootkit (14.07.2015): "Mit einem speziellen Hintertür-Programm im UEFI-BIOS soll die Spionage-Software von Hacking Team sogar Neuinstallationen von Windows überlebt haben"
Kaspersky enttarnt UEFI-BIOS-"Bootkit" (06.10.2020): "Die Malware 'MosaicRegressor' nistete sich im Flash-Chip für den BIOS-Code ein und lässt sich nur schwer löschen"
Cybercrime: Trickbot lernt neuen Trick (04.12.2020): "Emotet-Infektionen werden zukünftig noch gefährlicher. Denn die nachgeladene Malware könnte sich im BIOS festsetzen."
Updates notwendig: Sicherheitslücken im UEFI-BIOS erleichtern Rootkitverankerung (02.02.2022): "Zahlreiche Bugs in UEFI-BIOS-Versionen der Firma Insyde H2O betreffen auch große PC-Hersteller. Sie erleichtern gezielte Angriffe auf Desktop-PCs und Notebooks."
Diese Sicherheitslücke (nur in meiner Auflistung die aktuellste, es gibt zahlreiche weitere, die seit Februar bekannt wurden) bekam gleich 19 CVE-Nummern (das heißt, dass 19 verschiedene Angriffsvektoren über dieses Angriffscluster möglich sind – und alle 19 "haben CVSS-Scores von 7,5 bis 8,2, sind also mit einem 'hohem' Sicherheitsrisiko eingestuft").

Ich habe dieses heiße Eisen bereits in anderem Zusammenhang kurz gestreift: (Sicherheitslücken in CPUs […])
Ich kann´s (und möchte es auch hier) nur kurz anreißen: UEFI ist mittlerweile so komplex, dass ein einzelner Programmierer längst nicht mehr den kompletten Code kennt. UEFI-Implementierungen folgen zwar einem standardisierten Muster, sind aber faktisch proprietärer Code (und zwar nicht der Notebook- oder PC-Hersteller, die implementieren das nur), der deshalb auch nicht von (vielen) unabhängigen Augen angeschaut und geprüft werden kann. Es gibt weder einen ökonomischen Areiz, den Code sauber und überschaubar zu halten, noch, Sicherheitslücken zu stopfen. Und wenn diese schließlich doch gestopft werden, vergammelt der Code oft auf den Servern der (PC-)Hersteller, weil Windows die Auslieferung verschlampt oder der Endanwender nicht weiß, dass auch eine PC-Firmware gewartet werden muss.
Das Problematischste ist aber vielleicht, dass stets eine ganze Reihe von Sicherheitslücken in den verschiedenen UEFI-Implementierungen sperrangelweit offenstehen, Sicherheitslücken, von denen kein Mensch und keine Analyse-KI weiß (oder eben nur wenige, und die geben´s nicht preis). So lange, bis das Sicherheitsloch ausgenutzt wird (und es eben niemand merkt bzw. es keine Öffentlichkeit hierzu gibt).
Das Ganze wird nicht einfacher dadurch, dass spätestens seit der Veröffentlichung der Snowden-Dokumente auch nicht mehr abstreitbar ist, dass die "Dienste" rund um den Globus ein großes Interesse daran haben, sich auf dieser Ebene Zugang zu digitalen Geräten zu sichern, einer Ebene, auf der Zugriffe im Prinzip unsichtbar bleiben. - Denn via UEFI (und seine Sicherheitslücken) hat ein (staatlicher oder nichtstaatlicher) Angreifer Zugriff auf ein eigenes Betriebssystem, von dem dem Endnutzer in aller Regel nicht bewusst ist, dass es stets läuft, und über das er auch so gut wie keine Kontrolle hat, auch nicht via (konventionelle) Schadsoftware- und Analysetools.
Und schließlich: Die Sicherheitszertifikate, die z.B. bei SecureBoot genutzt werden, sind nur so sicher wie die Maßnahmen, die ihr Herausgeber unternimmt, um Angriffe abzuwehren. Wenn dann z.B. (auch das ist bereits vorgekommen) ein Zertifikat, weil kompromittiert, zurückgezogen werden muss und durch ein anderes ersetzt: dann starten ab diesem Zeitpunkt alle Betriebssysteme nicht mehr, die auf das nunmehr als "ungültig" eingestufte Zertifikat angewiesen sind. Die Kosten (und Lösung solcher Probleme) werden auf mich als Nutzer/Nutzerin abgewälzt. Es schmerzt, aber es ist offensichtlich so, dass ich hier auf allen Ebenen abhängig bin von anderen Akteuren – deren Motivationen, etwas zu tun (oder auch nicht) oft das genaue Gegenteil sind von dem, was ich als Nutzer/Nutzerin will.

Und hier sind wir wieder beim Marketing: Wenn das nicht so verdammt gut funktionieren würde, könnten die Firmen dieses grundkaputte UEFI-Konzept nicht weiterverkaufen und müssten sich tatsächlich etwas Besseres überlegen ...

Gibt es hier einen Ausweg? - Meiner Ansicht nach: ja. Ich habe es in dem oben verlinkten Thread ebenfalls kurz angesprochen. Es ist zwar eine Krücke, aber es funktioniert (wenngleich einige Hürden übersprungen werden müssen, bis es auf dem Rechner ist): coreboot.
Und: es funktioniert besser als UEFI – der Rechner bootet signifikant schneller, und vor allem ist es möglich, den Bootprozess mit eigenen Zertifikaten abzusichern (via heads). Zum Umgang mit Sicherheitslücken in der Coreboot-Community habe ich dort auch das Wichtigste skizziert.
Übrigens: Google und Facebook und allen großen und größeren Serverfarmen-Betreibern ist dieses UEFI-Ding schon seit Längerem ein (Security-)Dorn im Auge. In den Serverfarmen sind in aller Regel Boards installiert, auf denen Coreboot laufen kann, und es werden nicht unerhebliche Ressourcen bereitgestellt (auch innerhalb der Coreboot-Community), damit das so bleibt und weiterentwickelt wird. Ich weiß, das ist für manchen Verfechter /manche Verfechterin der "reinen Leere" etwas schwer verdaulich, aber die Welt ist in der Realität eben nicht ganz gleichmäßig schwarz-weiß-gemustert ...

Hm. Jetzt ist mein "kurz-Anreißen" doch zu einem längeren Beitrag geworden ...
 
Zuletzt bearbeitet:

der_ingo

Active member
Registriert
22 Okt. 2009
Beiträge
3.445
Nein, nein, und nochmals nein.
Es gibt mindestens hundert Gründe. Und jeder einzelne ist eine katastrophale Sicherheitslücke.

Doch, natürlich. Du beschäftigst dich mit einem ganz anderen Thema. Dir ist das UEFI selbst ein Dorn im Auge wegen möglicher Sicherheitslücken. Das ist sicherlich ein Thema, aber darum geht es hier doch überhaupt nicht.

Es geht darum, dass quasi jeder PC heute ein UEFI hat. Ob du es nun willst oder nicht. Der Normalmensch kann es auch nicht ändern. Die Verwendung des CSM ändert nichts an möglichen UEFI-Sicherheitslücken. Man beraubt sich darüber hinaus halt noch an den entsprechenden Sicherheitsfunktionen.

Da das UEFI nun einmal für die Masse gegeben da ist, ist es auch sinnvoll, dessen Vorteile und zusätzliche Sicherheitsfunktionen gegenüber dem alten BIOS zu nutzen.
Legacy-Modus aus, im UEFI-Modus booten, SecureBoot an. Grundsätzlich, so denn die genutzten Betriebssysteme dies unterstützen. Und damit ist die Aussage völlig richtig, dass es keinen Grund gegen "UEFI-only" gibt.
 

xxxx

Member
Registriert
9 Apr. 2020
Beiträge
38
Ob du es nun willst oder nicht. Der Normalmensch kann es auch nicht ändern. […] Da das UEFI nun einmal für die Masse gegeben da ist, ist es auch sinnvoll, dessen Vorteile und zusätzliche Sicherheitsfunktionen gegenüber dem alten BIOS zu nutzen.
Hmm, ja.

Das ist so, als ob man sagen würde:

"Jeder hat jetzt diese neuen Eingangstüren mit den phantastischen neuen Sicherheitsschlüsseln. Man muss die Türen aber auch abschließen und die Schlüssel nutzen.
Dass von diesen 'Hochsicherheitstüren' Nachschlüssel mittlerweile an allen dunklen Straßenecken angeboten werden, tut nichts zur Sache. Da braucht man nicht zu handeln. Sicherheitstüren aus- und wirklich sichere einzubauen ist eine teure Angelegenheit und deswegen nicht zu empfehlen.
Weil diese 'Hochsicherheitstüren' mittlerweile so weit verbreitet sind, ist es nicht sinnvoll, deren Sicherheit zu thematisieren."

Hmm, hmm.
 

thorfdbg

Member
Registriert
14 Juni 2013
Beiträge
958
Was passiert wenn man zurück in den sog. BIOS Legacy Mode wechselt? Muss man dabei irgendwas beachten? Ist es unsicher oder kann man dabei irgendetwas schrotten?
Typischerweise bedeutet das, dass man zumindest die Boot-Prozedur des Betriebssystems neu installieren muss (bei Windows vielleicht auch gerne das ganze System), weil der Bootvorgang komplett anders funktioniert. Unsicherer ist es auch nicht, es ist "so sicher wie UEFI nur sein kann", mit anderen Worten "nicht sehr". UEFI ist sicherheitstechnisch eher ein Albtraum.

Das neue System soll wohl u.a. verhindern daß Schadsoftware mit BIOS installiert wird, ...oder?
Eher nicht. "Secure boot" ist ein bei UEFI zuschaltbares Feature, so dass nur signierte Betriebssystem-Komponenten vom UEFI geladen werden. Sagen wir mal so: "Sicherheit" ist das eher für Betriebssystemhersteller, die damit absichern können, dass auf Geräte nur noch die Komponenten installiert werden können, deren Schlüssel in der Hardware hinterlegt sind.

Es hilft also gegen oberflächliche Manipulationen des Os (oder gegen die Konkurrenz) aber UEFI selbst ist ein ziemliches Sicherheitsloch, da nicht vernünftig gereviewed und nicht von Dritter Seite auf Sicherheitslücken durchsuchbar. Security by obscurity ist als Konzept "nicht so tolle".

Leider hilft "Legacy Boot" dagegen auch nicht, denn das ist nur ein Modul, was oben auf UEFI drauf sitzt und welches den in die Jahre gekommen MBR-Mechanismus emuliert. Es hilft, bestehende alte Installationen zu booten, kann aber eben nur so sicher sein wie das, worauf es aufsetzt, also "nicht sehr".

Und ergänzend: Habe gelesen daß das neue UEFI tatsächlich schwere Lücken haben soll, kann man als Benutzer etwas dagegen tun (vermutlich nein)?
Nicht wirklich. Die Installation von alternativen Boot-Systemen wie Coreboot würde ich jetzt einem normalen Anwender nicht zutrauen. Offenbar ist hier "Augen zu und durch" gefragt.
 

asc

Member
Registriert
26 Jan. 2008
Beiträge
639
Gibt es hier einen Ausweg? - Meiner Ansicht nach: ja. Ich habe es in dem oben verlinkten Thread ebenfalls kurz angesprochen. Es ist zwar eine Krücke, aber es funktioniert (wenngleich einige Hürden übersprungen werden müssen, bis es auf dem Rechner ist): coreboot.
Und: es funktioniert besser als UEFI – der Rechner bootet signifikant schneller, und vor allem ist es möglich, den Bootprozess mit eigenen Zertifikaten abzusichern (via heads). Zum Umgang mit Sicherheitslücken in der Coreboot-Community habe ich dort auch das Wichtigste skizziert.
Was ist der Ausweg im Hinblick auf W11 ?, aktuell kann ich W10 noch im Legacy Modus booten. Das ist mit W11 nur noch mit Einschränkungen möglich. Und ja, es gibt alternative Betriebssystem abseits von Microsoft, will ich aber Software XY nutzen welche es nur für Windows gibt, dann ist das keine wirkliche Lösung. Ich sehe leider keine Möglichkeit längerfrisitig an UEFI vorbeizukommen.
 

ahoellrigl

Active member
Registriert
10 Mai 2017
Beiträge
275
Ich sehe leider keine Möglichkeit längerfrisitig an UEFI vorbeizukommen.
Lies noch mal den Beitrag #10 von @thorfdbg. Jeder Rechner, der W11 können soll, hat ein UEFI und nur ein UEFI. Und auch schon viele Rechnergenerationen davor. Wenn du im Legacy Mode bootetst, simuliert dir dieses UEFI ein altes BIOS. Du kommst also auch jetzt schon nicht "an UEFI vorbei". Die Frage ist nur, ob du seine zusätzlichen Möglichkeiten nutzt oder nicht. Jedenfalls solange du nicht den von @xxxx in Beitrag #7 angesprochenen tiefergehenden Eingriff (Coreboot) vornimmst.
 

der_ingo

Active member
Registriert
22 Okt. 2009
Beiträge
3.445
Das ist so, als ob man sagen würde:

Nein, denn die Alternative Coreboot steht halt quasi niemandem zur Verfügung. Insofern kann die noch so toll sein und schnell und sicher und sonstwas. Das ist alles völlig irrelevant, solange sie quasi niemand einsetzen kann. Ab dem Punkt, wo auf der Masse der Standard-PCs ein normaler Nutzer per einfachem Windows-Installer seinen Rechner von UEFI auf Coreboo umzustellen, da kannst du dich hinstellen und versuchen, die Leute von irgendwas in der Art zu überzeugen.

Um bei deinem Vergleich zu bleiben sagst du den Leuten, sie mögen die Haustür doch gleich offen lassen, denn es gäbe ja Möglichkeiten, sie selbst dann zu knacken, wenn sie geschlossen und noch abgeschlossen wäre. Und das ist halt dumm.
Natürlich kann man Sicherheitsprobleme im UEFI thematisieren. Aber man sollte dann nicht in ein "alles doof außer Coreboot" verfallen. Das hilft nicht weiter.
 

schoerg

Active member
Registriert
12 Juni 2009
Beiträge
3.670
Ausführen von diverser Hard- und Software scheitert oftmals weil man dafür den sog. Secure Boot Modus deaktivieren soll und in das alte BIOS System wechseln muss (Laut meiner Recherche, hoffe das ist richtig)!

Naja - kommt drauf an. Secure Boot betrifft das Starten vom Betriebssystem. Wenn das OS erstmal läuft brauchst du da nichts mehr verändern. Sollte das OS wegen Secure Boot nicht starten (zB Linux-Distribution ohne Signatur) wird dir das mtigeteilt.

Was passiert wenn man zurück in den sog. BIOS Legacy Mode wechselt? Muss man dabei irgendwas beachten? Ist es unsicher oder kann man dabei irgendetwas schrotten?

Wenn du Windows hast: eventuell startet das Betriebssystem nicht mehr wenn du es im UEFI-Modus installiert hast. Du kannst Secure Boot auch deaktivieren und UEFI aktiv lassen.

Und ergänzend: Habe gelesen daß das neue UEFI tatsächlich schwere Lücken haben soll, kann man als Benutzer etwas dagegen tun (vermutlich nein)?

Kannst ja Updates installieren, sofern der Hersteller da was macht. Ob diese Lücken relevant sind steht auf einem anderen Blatt.
 

xxxx

Member
Registriert
9 Apr. 2020
Beiträge
38
Um bei deinem Vergleich zu bleiben sagst du den Leuten, sie mögen die Haustür doch gleich offen lassen, denn es gäbe ja Möglichkeiten, sie selbst dann zu knacken, wenn sie geschlossen und noch abgeschlossen wäre.
Nein, das sage ich nicht.
Mein Vergleich zielt darauf ab, dass man damit rechnen muss, dass an verschiedenen Stellen Nachschlüssel existieren, und dass jeder, der einen solchen Nachschlüssel hat, die mir als "Hochsicherheitstür" verkaufte Lösung ohne mein Zutun (und ohne mein Wissen) öffnen kann. (Und im Extremfall kann es sogar passieren, dass ich eines schönen Tages vor verschlossener Tür stehe, und mein eigener Schlüssel nicht passt, weil ich selbst nicht die Rechte habe, das Schloss zu tauschen, wohl aber der Hochsicherheitstürenverkäufer:
Wenn dann z.B. (auch das ist bereits vorgekommen) ein Zertifikat, weil kompromittiert, zurückgezogen werden muss und durch ein anderes ersetzt: dann starten ab diesem Zeitpunkt alle Betriebssysteme nicht mehr, die auf das nunmehr als "ungültig" eingestufte Zertifikat angewiesen sind.
).
Dass das wenig befriedigend ist, ist offensichtlich. Und es hilft auch nicht weiter, wenn man die Sorge, die eigene Eingangstür mit dem eigenen Schlüssel nicht (sicher) abschließen zu können, beiseite wischt mit dem Argument: "Den Nachbarn geht´s ja auch nicht besser!"
[…] die Alternative Coreboot steht halt quasi niemandem zur Verfügung.
Auch das stimmt so nicht.
Es gibt eine ganze Reihe von Anbietern, bei denen auch neue Rechner mit bereits vorinstalliertem Coreboot gekauft werden können. Auf der coreboot-Projektseite sind einige unter "Vendors" aufgelistet.
In Deutschland bietet Nitrokey z.B. einen fertigen Mini-PC mit vorinstalliertem Coreboot zu einem marktgängigen Preis an. Und es gibt wiederaufbereitete X230 und T430 in verschiedenen Konfigurationen mit Coreboot.
Lenovo allerdings bietet ab Werk bekanntermaßen nichts an …
 

der_ingo

Active member
Registriert
22 Okt. 2009
Beiträge
3.445
Mein Vergleich zielt darauf ab, dass man damit rechnen muss, dass an verschiedenen Stellen Nachschlüssel existieren, und dass jeder, der einen solchen Nachschlüssel hat, die mir als "Hochsicherheitstür" verkaufte Lösung ohne mein Zutun (und ohne mein Wissen) öffnen kann.

Deine Beiträge hier zielen darauf ab, für Coreboot zu werben. Allerdings ist das halt am Thema vorbei. Der Threadersteller nutzt offenbar Windows und hat einen PC mit UEFI und stellte dazu konkrete Fragen.

(Und im Extremfall kann es sogar passieren, dass ich eines schönen Tages vor verschlossener Tür stehe, und mein eigener Schlüssel nicht passt, weil ich selbst nicht die Rechte habe, das Schloss zu tauschen, wohl aber der Hochsicherheitstürenverkäufer:

Dafür kann man SecureBoot weiterhin ausschalten. Einschalten sollte man es trotzdem generell. Und darum ging es hier im Thread. Das wurde in #6 sinnvoll beschrieben: die Sicherheitsfunktionen, die der Rechner bietet, sollten aktiv sein.

In Deutschland bietet Nitrokey z.B. einen fertigen Mini-PC mit vorinstalliertem Coreboot zu einem marktgängigen Preis an. Und es gibt wiederaufbereitete X230 und T430 in verschiedenen Konfigurationen mit Coreboot.

Cool, Notebook-Hardware von vor zehn Jahren und ein überteuerter Mini-PC. Das wird natürlich die Welt verändern.
 

ebastler

Member
Registriert
29 Dez. 2018
Beiträge
57
Long story short: Wenn der Rechner UEFI hat - und das hat er - alle Sicherheitsfunktionen aktivieren die man aktivieren kann. Die Angriffsvektoren sind so oder so da, da kann ich mir wenigstens auch noch die zusätzlichen Komfort- und Sicherheitsfeatures ins Haus holen, statt nur der Nachteile.

CSM aus, UEFI boot an, wenn zertifiziertes OS (Windows oder die meisten großen Distros) SecureBoot an.
 
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Oben