Windows 8.1 start niet met Secure Boot 'enabled' - Windows clients

maandag 18 november 2013 20:28

Acties:

0 Henk 'm!

Topicstarter

Misschien een rare gewoonte; maar na aanschaf van een splinternieuwe laptop vind ik het altijd prettig om de computer compleet opnieuw te installeren (schone installatie, weg met al die bloatware en partities). Ik heb alle partities verwijderd en windows 8.1 geïnstalleerd op een lege harde schijf.

Om de laptop vanaf USB te laten booten moest ik 'secure boot' (en fast boot) uitschakelen en kiezen voor de optie 'CMS and UEFI OS'.

Windows 8.1 is geïnstalleerd en draait prima, graag wil ik 'secure boot' weer inschakelen. Na inschakeling start de laptop niet meer op, er verschijnt de volgende melding:

"All boot options are tried.
Press <F4> to recovery with factory image using Recovery or any other keys for the next boot loop iteration."

Helaas kon Google mij niet verder helpen. Iemand een fix?

N.B. Voor de duidelijkheid met 'secure boot' uit start Windows prima op.

[ Voor 7% gewijzigd door ChromeFR op 18-11-2013 20:31 ]

maandag 18 november 2013 20:34

Acties:

0 Henk 'm!

Mavamaarten

Omdat het kan!

Ik denk dat je Windows had moeten installeren met secure boot aan. Maar op zich maakt het niet veel uit, Secure Boot uit is sowieso een goed idee voor als je ooit iets linux-based wil draaien (memtest, gparted, ...)

Android developer & dürüm-liefhebber

maandag 18 november 2013 20:40

Acties:

0 Henk 'm!

ChromeFR

Topicstarter

Secure boot moest helaas uitgeschakeld zijn voordat de BIOS mijn bootable USB met (legale) Windows 8.1 herkende. Daarom moest ik 'm uitschakelen.

Je hebt zeker een punt m.b.t. Linux.

maandag 18 november 2013 23:11

Acties:

0 Henk 'm!

TheVMaster

Moderator WOS

RutgerFR schreef op maandag 18 november 2013 @ 20:40:
Secure boot moest helaas uitgeschakeld zijn voordat de BIOS mijn bootable USB met (legale) Windows 8.1 herkende. Daarom moest ik 'm uitschakelen.

Je hebt zeker een punt m.b.t. Linux.

Had je de usb stick toevallig op NTFS geformatteerd (of via de Microsoft tool)? Je stick moet FAT32 geformatteerd zijn om vanaf UEFI (dit is ook vereist voor Secure Boot) te kunnen booten...

dinsdag 19 november 2013 00:13

Acties:

0 Henk 'm!

ChromeFR

Topicstarter

Interessant, dat wist ik niet. De USB-stick heb ik inderdaad via de Microsoft tool geformatteerd. Ik ga een nieuwe bootable stick maken op FAT32. Bedankt voor de tip. Zal een terugkoppeling geven.

dinsdag 19 november 2013 00:29

Acties:

0 Henk 'm!

TheVMaster

Moderator WOS

RutgerFR schreef op dinsdag 19 november 2013 @ 00:13:
Interessant, dat wist ik niet. De USB-stick heb ik inderdaad via de Microsoft tool geformatteerd. Ik ga een nieuwe bootable stick maken op FAT32. Bedankt voor de tip. Zal een terugkoppeling geven.

Ik liep (met m'n Secure Boot / UEFI enabled) laptop tegen hetzelfde probleem aan. Die MS tool die formatteerd hem (vreemd genoeg) op NTFS...succes!

dinsdag 19 november 2013 00:36

Acties:

0 Henk 'm!

Verstekbakker

Misschien een domme, off-topic vraag, maar waarom secure boot precies aanzetten? Is dat niet gewoon hoofdzakelijk een tool voor Microsoft om aan koppelverkoop te doen?

dinsdag 19 november 2013 01:48

Acties:

0 Henk 'm!

TheVMaster

Moderator WOS

Verstekbakker schreef op dinsdag 19 november 2013 @ 00:36:
Misschien een domme, off-topic vraag, maar waarom secure boot precies aanzetten? Is dat niet gewoon hoofdzakelijk een tool voor Microsoft om aan koppelverkoop te doen?

Secure boot is misschien niet noodzakelijk, maar ik zou het (met het oog op de veiligheid) ook niet uitzetten op een systeem waar ik alleen maar Windows 8.x op draai. Waarom zou je het niet aan zetten? Volgens mij gaat ook Ubuntu het gewoon ondersteunen in de toekomst.

dinsdag 19 november 2013 01:54

Acties:

0 Henk 'm!

Verstekbakker

Nou ik vroeg dus waarom zou ik het aanzetten... een antwoord op die vraag lees ik niet als je zegt "waarom niet?"...

Wat doet secure boot, behalve het installeren van non-Windows OS'en ontmoedigen, dat is eigenlijk mijn vraag... Klinkt cynisch, maar mijn vraag is serieus niet van dien aard.

[ Voor 11% gewijzigd door Verstekbakker op 19-11-2013 01:55 ]

dinsdag 19 november 2013 02:18

Acties:

0 Henk 'm!

TheVMaster

Moderator WOS

Verstekbakker schreef op dinsdag 19 november 2013 @ 01:54:
Nou ik vroeg dus waarom zou ik het aanzetten... een antwoord op die vraag lees ik niet als je zegt "waarom niet?"...

Wat doet secure boot, behalve het installeren van non-Windows OS'en ontmoedigen, dat is eigenlijk mijn vraag... Klinkt cynisch, maar mijn vraag is serieus niet van dien aard.

Volgens mij ontmoedigt het niet het installeren van non-Windows OS'en, want dan zou je het namelijk niet uit kunnen zetten. Het zorgt ervoor dat kwaadaardige code geen kans heeft om je boot proces 'over te nemen'. Waarna een virusscanner dus geen enkele zin meer heeft en malware z'n gang kan gaan.

Hier lees je een complete uit op de website van Fedora

dinsdag 19 november 2013 09:03

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Maar Secure Boot vereist EFI, en EFI vereist GPT schijfindeling. Voor de herinstallatie stonden EFI en secure boot aan, dus de schijf zou GPT indeling moeten hebben. Als je Windows in BIOS mode wilt installeren op een GPT schijf, gaat het hierover klagen.

Dus tenzij de TS de schijfindeling heeft verandert, zou Windows niet eens moeten kunnen installeren.

Commandline FTW | Tweakt met mate

dinsdag 19 november 2013 11:05

Acties:

0 Henk 'm!

ChromeFR

Topicstarter

Ik heb alle partities verwijderd in de Windows Setup. Ik neem aan dat de Windows 8.1 installatie de GPT-indeling heeft aangehouden. Dus ik heb in ieder geval geen MBR partitie gemaakt.

Windows heeft er niet over geklaagd...

dinsdag 19 november 2013 11:20

Acties:

0 Henk 'm!

Verstekbakker

TheVMaster schreef op dinsdag 19 november 2013 @ 02:18:
[...]

Volgens mij ontmoedigt het niet het installeren van non-Windows OS'en, want dan zou je het namelijk niet uit kunnen zetten. Het zorgt ervoor dat kwaadaardige code geen kans heeft om je boot proces 'over te nemen'. Waarna een virusscanner dus geen enkele zin meer heeft en malware z'n gang kan gaan.

Hier lees je een complete uit op de website van Fedora

Wat ik begrepen heb, is dat Fedora heeft moeten betalen om eraan te mogen meedoen. Zulke gesloten systemen noem ik niet veilig... Ik zal eerlijk bekennen dat ik mij niet heb verdiept in het hele systeem van UEFI en Secure Boot (ik zal het ook wel niet goed begrepen hebben), maar het komt op mij nog steeds over als een poging om de hele boel weer achter een hek te krijgen en open source (m.i. de enige veilige manier, zeker nu je weet dat dikke bedrijven zoals Microsoft en Apple gewoon achterdeurtjes op bestelling inbouwen voor o.a. de NSA) alleen maar tegen te gaan.

Zonder Secure Boot is het ineens mogelijk om een geheel ander OS op te starten zonder dat ik dat in de gaten heb?

dinsdag 19 november 2013 11:58

Acties:

0 Henk 'm!

Caelorum

Je moet het zo zien. Alleen correct gesigneerde code kan booten met Secure Boot aan. Een willekeurige hacker kan vooralsnog niet zomaar even zijn code signen.
Daarnaast vind ik je zorgen omtrent veiligheid en open source wel enigszins vermakelijk. Fedora staat er om bekend vrij anaal te zijn met open source en free software. Alles dat ook maar een klein beetje ruikt naar dat het niet open en vrij is wordt geweerd uit de distributie. Alleen al dat zij ook Secure Boot ondersteunen zegt al iets over de technologie ^^
Iedereen staat het overigens vrij om zijn code gesigneerd te krijgen hoor.
Secure Boot in a nutshell is dan ook

quote: Wikipedia
[...]The UEFI 2.2 specification adds a protocol known as Secure boot, which can secure the boot process by preventing the loading of drivers or OS loaders that are not signed with an acceptable digital signature. When secure boot is enabled, it is initially placed in "setup" mode, which allows a public key known as the "Platform key" (PK) to be written to the firmware. Once the key is written, secure boot enters "User" mode, where only drivers and loaders signed with the platform key can be loaded by the firmware. Additional "Key Exchange Keys" (KEK) can be added to a database stored in memory to allow other certificates to be used, but they must still have a connection to the private portion of the Platform key.[37] Secure boot can also be placed in "Custom" mode, where additional public keys can be added to the system that do not match the private key.[38]

Secure boot is supported by Windows 8, Windows Server 2012, and selected Linux distributions.[...]

Microsoft vereist verder ook niet van PC bouwers (die het Windows logo willen hebben op hun PC) dat zij ervoor zorgen dat Secure Boot niet uit kan worden gezet. Alleen bij tablets met Windows RT wordt dat geëist.

dinsdag 19 november 2013 12:01

Acties:

0 Henk 'm!

TheVMaster

Moderator WOS

Hero of Time schreef op dinsdag 19 november 2013 @ 09:03:
Maar Secure Boot vereist EFI, en EFI vereist GPT schijfindeling. Voor de herinstallatie stonden EFI en secure boot aan, dus de schijf zou GPT indeling moeten hebben. Als je Windows in BIOS mode wilt installeren op een GPT schijf, gaat het hierover klagen.

Dus tenzij de TS de schijfindeling heeft verandert, zou Windows niet eens moeten kunnen installeren.

Ik kan me herinneren dat ik op mijn 'oude' pc (geen UEFI) Windows ook wel eens heb geinstalleerd op een GPT disk, dus volgens mij is dat geen probleem...heb er ook OS X op hedraait en daar heb je toch ook GPT disk voor nodig...?

dinsdag 19 november 2013 12:11

Acties:

0 Henk 'm!

Verstekbakker

Caelorum schreef op dinsdag 19 november 2013 @ 11:58:
Je moet het zo zien. Alleen correct gesigneerde code kan booten met Secure Boot aan. Een willekeurige hacker kan vooralsnog niet zomaar even zijn code signen.
Daarnaast vind ik je zorgen omtrent veiligheid en open source wel enigszins vermakelijk. Fedora staat er om bekend vrij anaal te zijn met open source en free software. Alles dat ook maar een klein beetje ruikt naar dat het niet open en vrij is wordt geweerd uit de distributie. Alleen al dat zij ook Secure Boot ondersteunen zegt al iets over de technologie ^^
Iedereen staat het overigens vrij om zijn code gesigneerd te krijgen hoor.
Secure Boot in a nutshell is dan ook

[...]

Microsoft vereist verder ook niet van PC bouwers (die het Windows logo willen hebben op hun PC) dat zij ervoor zorgen dat Secure Boot niet uit kan worden gezet. Alleen bij tablets met Windows RT wordt dat geëist.

Voor de huis tuin en keuken gebruiker zal mijn zorg vermakelijk zijn, maar voor de wat grotere bedrijven of ambassades of de min.pres. van een land is het iets anders...

Ik heb Fedora nog nooit gebruikt, en ken hun benadering ook niet echt, maar als Secure Boot meer voor- dan nadelen kent vind ik het prima. Ik kwam hier ook niet om iemand anders dan mezelf te overtuigen. Weer iets geleerd.

dinsdag 19 november 2013 12:33

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

TheVMaster schreef op dinsdag 19 november 2013 @ 12:01:
[...]

Ik kan me herinneren dat ik op mijn 'oude' pc (geen UEFI) Windows ook wel eens heb geinstalleerd op een GPT disk, dus volgens mij is dat geen probleem...heb er ook OS X op hedraait en daar heb je toch ook GPT disk voor nodig...?

Dat ligt er maar net aan. Als je een GPT schijf hebt, kan je ook een Hybrid tabel maken via gptsync. Daarmee markeer je tot 4 partities om zich ook voor te doen als een MBR primaire partitie. Windows zal dan gewoon installeren omdat het denkt dat 't een MBR schijf is. Zo werkt Bootcamp op Macs.

Dat je OSX op je oude PC hebt gedraaid kan ook door hackintosh komen, dat er geen vereiste is opgegeven voor GPT. Dan is het opeens wel mogelijk om op een MBR schijf OSX te installeren. Even snel op Google zoeken en je hebt genoeg informatie hierover

.

Voor de TS is het nu zaak om te achterhalen in welke modus Windows nou is geïnstalleerd. Bevat zijn harde schijf een ESP, EFI System Partition (of in Windows schijfbeheer een GPT Protective Partition), dan is Windows in EFI mode geïnstalleerd. Ook het type schijf kan je al zien (eigenschappen > tab Volumes).

Commandline FTW | Tweakt met mate

dinsdag 19 november 2013 14:12

Acties:

0 Henk 'm!

TheVMaster

Moderator WOS

Hero of Time schreef op dinsdag 19 november 2013 @ 12:33:
[...]

Dat ligt er maar net aan. Als je een GPT schijf hebt, kan je ook een Hybrid tabel maken via gptsync. Daarmee markeer je tot 4 partities om zich ook voor te doen als een MBR primaire partitie. Windows zal dan gewoon installeren omdat het denkt dat 't een MBR schijf is. Zo werkt Bootcamp op Macs.

[...]

Ik moest hem echt als GPT schijf indelen, maar goed dat is voor de TS niet aan de orde. Als ik hem was zou ik gewoon de USB FAT32 formatteren, Secure boot aanzetten en vervolgens Windows 8.1 opnieuw installeren...dan zou het geen probleem moeten geven. Als het goed is krijg je dan automatisch een UEFI installatie (op een GPT disk).

dinsdag 19 november 2013 14:45

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Idd, betere optie. En mocht de installer klagen, dan een diskpart, select disk 0*, clean en je bent er in principe ook.

*Zorg dat je de juiste schijfnummer hebt. 0 zou de stick kunnen zijn. Controleer daarom eerst met list disk.

Commandline FTW | Tweakt met mate