SecureBoot auch ohne Verschlüsselung möglich (Win11Home)?

[PapaWo]

Vorweg: Ich habe keinen Microsoft Account und ich will auch keinen.

Frage: Kann ich in meinem UEFI bedenkenlos den "sicheren Start" enabelen, OHNE eine Verschlüsselung meiner Datenträger damit auszulösen ? Eine Verschlüsselung meiner Daten will ich unter gar keinen Umständen, ich habe gelesen, dass um die Daten nach Hardwareänderungen wieder zugänglich machen zu können, ein Code nötig ist (auf den man nur mit Microsoft Account zugreifen kann).
Btw.: Zurzeit arbeitet meine CPU heftig in den ersten 60 Sekunden nach dem Systemstart, weil lt. Ereignisanzeige neue Zertifikate durch Windows-Update installiert werden sollen, aber nicht können da SecureBoot nicht aktiviert ist. Nach eben rund 60 Sekunden gibt der Dienst auf, bis zum nächsten Start.
SecureBoot scheint ja recht sinnvoll, ich möchte nur nicht, dass meine Daten am Ende vor MEINEM Zugriff geschützt werden.
Mag mir Jemand helfen ?

Edit: Meine relativ frische Windows Installation wurde mit Rufus erstellt, um die Verschlüsselung zu vermeiden. Meine Hardware wäre geeignet.

 

[kartoffelpü]

Selbst wenn Windows die Verschlüsselung von sich aus starten sollte, kann man es nachträglich wieder deaktivieren.
Und den Recovery Key kann man lokal auslesen, z.B. in Eingabeaufforderung/Powershell via
manage-bde -protectors -get C:

 

[AndrewPoison]

Bitlocker (das ist das, was deine Platte verschlüsselt) wird meines Wissens nach nicht aktiviert, nur weil man SecureBoot aktiviert hat. Insbesondere bleibt Bitlocker inaktiv, wenn man nicht in einem MS-Account eingeloggt ist.

Möglicherweise geht die "Geräteverschlüsselung" (eine reduzierte Form von Bitlocker) an, aber auch diese kann man eben deaktvieren.

 

[shadowrid0r]

Behandelt der aktivierte ´Sichere Start´ im Bios nicht eher das TPM, was W11 scheinbar benötigt?

 

[gaym0r]

Ich habe gelesen, dass um die Daten nach Hardwareänderungen wieder zugänglich machen zu können, ein Code nötig ist (auf den man nur mit Microsoft Account zugreifen kann).

Du brauchst den Recovery Key. Den kann man u.a. im Microsoft-Account hinterlegen, aber nicht nur dort...

 

[PapaWo]

Die beiden Sachen "BitLocker" und "secureBoot" hängen also schon zusammen ? Das klingt doch recht vage. Wenn es sein kann, dass Windows ungewollt meine Platten verschlüsselt, lass ich den SecureBoot lieber aus. Das ist doch ein Teufelskram, das Windows . Ich bin zu alt für so'n Schmarrn.

 

[cyberpirate]

Ich nutze auch Secure Boot. Benutze dabei lokale Konten. da wird nichts verschlüsselt nur weil SB aktiviert wurde. Und nein es hängt beides nicht zusammen. Wenn Secure Boot deaktiviert ist oder von der Hardware nicht unterstützt wird, kann BitLocker dennoch aktiviert werden.

MfG

 

[PeacemakerAT]

Mehr dazu hier, ich kopier das aber nicht alles rein:
https://learn.microsoft.com/de-de/w...tlocker#bitlocker-automatic-device-encryption

Zitat:
Die automatische BitLocker-Geräteverschlüsselung wird während der Out-of-Box-Experience (OOBE) gestartet. Der Schutz ist jedoch nur aktiviert (scharfgestellt), nachdem sich Benutzer mit einem Microsoft-Konto oder einem Azure Active Directory-Konto angemeldet haben. Bis dahin ist der Schutz ausgesetzt und Daten sind nicht geschützt. Die automatische Geräteverschlüsselung von BitLocker ist nicht für lokale Konten aktiviert. In diesem Fall kann BitLocker mithilfe der BitLocker-Systemsteuerung manuell aktiviert werden.

 

[andy_m4]

SecureBoot scheint ja recht sinnvoll

Und zwar weil.... ?

 

[joel]

@andy_m4 Ne echt jetzt...?

 

[PapaWo]

Naja, angeblich Schutz vor Rootkits...

 

[gimmix]

Ich habe keinen Microsoft Account

Bist du dir da sicher? Mir hat vor Jahren MS ohne Nachfrage einen Account verpasst, weil ich mal Teams installiert hatte.

Kann ich in meinem UEFI bedenkenlos den "sicheren Start" enabelen, OHNE eine Verschlüsselung meiner Datenträger damit auszulösen ?

Bei Win11 Pro wohl schon, bei Win11 Home wäre ich mir da nicht sicher.

Im Fall der Fälle den Bitlocker-Key auf einen Zettel schreiben!

Schutz vor Rootkits...

Sind die von MS zertifizierten Rootkits besser als nicht zertifizierte Rootkits?
Wenn dein Kernel sicher vor Rootkits jeglicher Art sein soll, ist Windows das falsche Betriebssystem.

 

[PapaWo]

Ja genau, wegen dem Updategerödel im Hintergrund nach Systemstart erwäge ich SecureBoot....

Ergänzung (Heute um 09:56)

Mein Win11 läuft auf lokalem Konto. Nein, ich habe keinen Microsoft Account, und keinen Google Account, und keinen.....

 

[gimmix]

Dann schalte es ein, lass das Update durchlaufen, und guck was passiert. Kannst Secure Boot später auch jederzeit wieder im UEFI ausschalten, falls es dich mal nach einem anderen Betriebssystem gelüsten sollte...

Denn es ist zu erwarten, dass Windows über kurz oder lang ohne MS-Account nicht mehr funktionieren wird.

 

[andy_m4]

Ne echt jetzt...?

Ja klar.
Seine Wortwahl deutet darauf hin, das er gar nicht genau weiß was Secure Boot leistet und was nicht.
Und dann ist es ja gut darauf hinzuweisen.

Naja, angeblich Schutz vor Rootkits...

Ok. Du weißt also offenbar nicht Bescheid, aber willst es unbedingt anknipsen. :-)

 

[yxcvb]

Windows 11 pro: Bitlocker

Windows 11 home: Geräteverschlüsselung

Und ja, tatsächlich wird bei einer Neu-Installation beides automatisch aktiviert, und nur bei Bitlocker hast d die Möglichkeit, den Schlüssel separat abzulegen. Bei der Geräteverschlüsselung liegt der im MS-Konto.

Dort kann man sich den natürlich anzeigen lassen und irgendwo ablegen, oder aber man deaktiviert hinterher die Verschlüsselung oder aber man erstellt sich ein Installationsmedium mit Hilfe der bekannten Tools wie Rufus und deaktiviert die automatische Verschlüsselung.

 

[PC295]

ich möchte nur nicht, dass meine Daten am Ende vor MEINEM Zugriff geschützt werden.

Prüfe einfach, ob die Geräteverschlüsselung deaktiviert.
PC-Einstellungen -> Datenschutz & Sicherheit -> Geräteverschlüsselung.

Unter bestimmten Umständen wird die Geräteverschlüsselung vorbereitet. Dabei wird der Datenträger schonmal verschlüsselt, aber nicht aktiviert. Damit kommst du immernoch, egal ob der Datenträger intern, extern oder an einem anderen Windows-PC verwendet wird, an deine Daten.
Probleme gibt es nur mit andere Betriebssystemen (Linux, etc.), die können den vor-verschlüsselten Datenträger nicht mehr lesen.
Die Geräteverschlüsselung wird erst dann aktiviert, wenn du dich im MS-Konto anmeldest.
Einen entspr. Hinweis würdest du auch unter "Geräteverschlüsselung" finden.

Wenn du die Geräteverschlüsselung deaktivierst umgehst du solche Probleme, solltest aber bei Aktualisierungen auf neueren Windows 11 Versionen diese Einstellung überprüfen.

Windows setzt gern mal Datenschutz-/Sicherheits-Einstellungen zurück.

 

[PapaWo]

Vielen herzlichen Dank euch Allen !
Jetzt weiß ich sicher, dass ich sowohl auf den "sicheren Start", und damit auch zuverlässig auf die Verschlüsselung verzichten werde. Denn die Option Windows den Rücken zu kehren, will ich mir keinesfalls nehmen lassen. Jetzt wäre es nur noch schön, wenn ich diese speziellen Zertifikat-Updates (und nur die) abstellen könnte, damit das Hintergrundgezappel nach dem Systemstart aufhört.

 

[shadowrid0r]

Bei mir:
Sicherer Start im Bios aktiv
Konto Lokal

Bedeutet ´Aus´ Schalter Links oder muss für ´Aus´ der Schalter aktiv sein (also Rechts)?
Merkwüdige Kennzeichnungsart eines Schalters!? ms Style halt...

 

[PC295]

Aus ist links. Der Text "Aus" ist eine Statusanzeige, ändert sich also auf "Ein" wenn du den Schalter umlegst.