ON
🔍
← Back to feed
GermanyTechnology12 days ago

Safe boot: checking UEFI boot managers on Windows

The article discusses Secure Boot settings in UEFI firmware under Windows and provides guidance on checking and managing boot managers. It explains that Secure Boot only allows boot managers signed with valid certificates, which are often provided by Microsoft but are set to expire soon. The article highlights potential issues with outdated or vulnerable boot managers and warns that updates could prevent the operating system from booting properly. It also mentions that while Linux users can easily check certificate signatures using commands like 'sudo sbverify –list /boot/efi/boot/bootx64.efi,

Secure Boot: UEFI-Bootmanager unter Windows prüfen

Download

Schnellüberblick

Pfad und Hersteller

Architektur und Zertifikate

Gültigkeit und PE256-Hash

Ausblick

Ob Windows oder Linux: Die UEFI-Firmware Ihres Computers erlaubt bei aktivem Secure Boot nur Bootmanager, die mit einem gültigen Zertifikat signiert wurden. Die für den Abgleich nötigen Zertifikate im UEFI-Speicher stammen meist von Microsoft, laufen allerdings bald ab. Zudem wurden in sehr vielen Bootmanagern ausnutzbare Schwachstellen gefunden, weshalb sie gesperrt werden müssen. Die nötigen Updates können schlimmstenfalls dazu führen, dass Ihr Betriebssystem von der eingebauten SSD nicht mehr bootet, obwohl es das am Tag davor noch tat. Dasselbe kann für bootfähige USB-Laufwerke gelten. Doch welche Bootmanager genau sind von den Problemen betroffen?

Unter Linux ist es kein großes Problem, mal eben das Zertifikat auszulesen, mit dem ein Bootmanager signiert wurde; der Befehl lautet # sudo sbverify –list /boot/efi/boot/bootx64.efi . Doch unter Windows ist es komplizierter.

Secure Boot blockiert Bootmanager, deren Signatur-Zertifikate gesperrt oder abgelaufen sind.

Unser PowerShell-Skript listet alle relevanten Bootmanager-Dateien auf internem Datenträger und USB-Laufwerken auf.

Farbige Markierungen zeigen, welche Bootmanager nach den anstehenden Secure-Boot-Updates noch starten werden.

Also haben wir mit KI-Unterstützung ein weiteres PowerShell-Skript geschrieben. Es zeigt in einer übersichtlichen Tabelle alle für Secure Boot relevanten Dateien auf dem internen Datenträger sowie auf allen gerade angeschlossenen USB-Laufwerken. Die Liste ist in den meisten Fällen sehr kurz, denn auf einem reinen Windows-Rechner kommt es gerade mal auf zwei Dateien an, weil nur diese beiden von der UEFI-Firmware per Secure Boot geprüft werden. Länger wird die Liste, wenn Sie bootfähige USB-Laufwerke anstöpseln, denn die darauf enthaltenen Bootmanager untersucht das Skript ebenfalls. Farbige Markierungen helfen beim Einordnen der ausgelesenen Informationen.

Das war die Leseprobe unseres heise-Plus-Artikels "Secure Boot: UEFI-Bootmanager unter Windows prüfen".

Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.

Read the full article at heise online

1 reports

heise onlineIndependentCenter12 days ago
Safe boot: checking UEFI boot managers on Windows

The article discusses Secure Boot settings in UEFI firmware under Windows and provides guidance on checking and managing boot managers. It explains that Secure Boot only allows boot managers signed with valid certificates, which are often provided by Microsoft but are set to expire soon. The article highlights potential issues with outdated or vulnerable boot managers and warns that updates could prevent the operating system from booting properly. It also mentions that while Linux users can easily check certificate signatures using commands like 'sudo sbverify –list /boot/efi/boot/bootx64.efi,

Bias read (Center): The article focuses on technical aspects of UEFI firmware and Secure Boot without taking a political stance or showing bias toward any particular ideology, group, or policy.