Windows 11 USB-Stick mit Rufus erstellt; Warnung wegen Secure Boot

[MOS1509]

Liebe Community,

ich hätte gerne mal wieder Eure Hilfe:

Ich habe gerade mittels Rufus 3.15.812 (Portable) und der Windows 11 Iso-Datei einen bootfähigen USB-Stick erstellt. Rufus zeigt jetzt den folgenden Hinweis an:

"Sie haben gerade ein Medium erstellt, das den UEFI:NTFS-Bootloader verwendet. Bitte denken Sie daran, dass Sie zum Starten dieses Mediums SECURE BOOT DEAKTIVIEREN müssen. Nach dem Abschluss des Vorgangs sollten Sie SECURE BOOT wieder aktivieren."

Nach meinem Kenntnisstand setzt Windows 11 ein aktiviertes SECURE BOOT voraus. Wie soll man den Windows 11 von einem USB-Stick heraus installieren ?

 

[BFF]

Indem man den Stick mit dem MediaCreationTool erstellt.

 

[Nickel]

Schau mal der letzte Beitrag hier, von vor ein paar Minuten.

→ #719

Oder eben gleich, wie BFF übendrüber schreibt.

 

[Domi83]

Ich bin kurz mal ein Echo und rede das gleiche nach, wie andere. Das Media Creation Tool verwenden... dieses Phänomen gab es wohl schon seit Windows 10. Möchte man also mit aktiviertem Secure Boot Windows installieren, kann man das wohl nicht mittels Rufus machen. Obwohl ich Rufus echt cool finde

 

[Nickel]

Möchte man also mit aktiviertem Secure Boot Windows installieren, kann man das wohl nicht mittels Rufus machen.

Du musst bei Rufus nur eine ISO mit einer "Install.esd" nehmen,
dann gibt's keine Problem mit Secure Boot.
Das wäre z.B. eine vom MCT ertellte ISO.
Siehe Link zum Beitrag, über dir.

 

[xy_Tux]

.. dieses Phänomen gab es wohl schon seit Windows 10.

... und wurde in der neuesten Rufus 3.16 Beta deshalb auch bereits zum Win11 Start gefixt.

 

[MOS1509]

Was mich am Media Creation Tool nervt, dass es jedes Mal die kompletten Daten runter lädt. Man kann keine bereits herunter geladene Iso-Datei benutzen. Unter Windows 7 gab es mal das USB DVD-Download-Tool, welches bereits vorhandene Iso-Dateien zur Erzeugung eines bootfähigen USB-Sticks nutzen konnte.

 

[BFF]

Dann bau den Stick mit Ventoy und pack die Wunsch-ISO's darauf.
Nach Booten davon kann man auswaehlen welche ISO "gestartet" werden soll.

 

[Domi83]

Du musst bei Rufus nur eine ISO mit einer "Install.esd" nehmen

Naja, würde ich nicht das MCT nehmen, würde ich das ISO von hier herunterladen... denen "vertraue" ich mehr

und wurde in der neuesten Rufus 3.16 Beta deshalb auch bereits zum Win11 Start gefixt.

Verstehe ich das richtig, mit der neusten Rufus Version klappt es nun generell immer mit aktiviertem Secure Boot, oder wie?

Aber euch beiden schon mal mein Dank für die Infos

 

[Nickel]

und wurde in der neuesten Rufus 3.16 Beta deshalb auch bereits zum Win11 Start gefixt.

Ausprobiert, die normale ISO (Insall.wim - über 4GB) und ein Installationsmedium
für eine UEFI Installation.

Dann bau den Stick mit Ventoy und pack die Wunsch-ISO's darauf.

Auch Ventoy kriegt die normale ISO nicht komplett auf FAT32,
braucht also auch ein FAT Partition für den UEFI und wohl auch eien NTFS-Loader
wie Rufus, welcher unsigniert ist.

Naja, würde ich nicht das MCT nehmen, würde ich das ISO von hier herunterladen... denen "vertraue" ich mehr

Witzig, mit der ISO von hier hast du dann eine ISO mit Install.wim und das Problem mit Rufus und Secure boot

 

[cvzone]

Wie soll man den Windows 11 von einem USB-Stick heraus installieren ?

Du kannst einfach die Secure Boot Keys im UEFI löschen. Dann ist Secure Boot eingeschaltet aber im Audit Modus, also offen. Nach der Installation die Secure Boot Keys wieder schreiben, dann bist du im read-only Modus und Secure Boot ist scharf.

Ergänzung (7. Oktober 2021)

mit der neusten Rufus Version klappt es nun generell immer mit aktiviertem Secure Boot, oder wie?

Könnte mir nur vorstellen, dass das MCT als Microsoft Produkt die EFI Startdateien signieren kann und daher so durchkommt. EDIT: Ist wohl genau das, der NTFS Treiber in einer FAT Hilfspartition von RUFUS war bisher nicht signiert und daher nicht Secure Boot startfähig.

Liegt teils auch am Board. Mein Asus TUF X570 hatte trotz aktivem Secure Boot keine Probleme mit dem booten, zwei anderen PCs mit dem gleichen Stick schon, da gabs ne Warnmeldung.

 

[xy_Tux]

Verstehe ich das richtig, mit der neusten Rufus Version klappt es nun generell immer mit aktiviertem Secure Boot, oder wie?

So soll es sein, sagt Rufus.

 

[PHuV]

Dann bau den Stick mit Ventoy und pack die Wunsch-ISO's darauf.
Nach Booten davon kann man auswaehlen welche ISO "gestartet" werden soll.

Klasse, danke für diesen prima Tipp, so ein Ding suche ich schon sehr lange. Die Sticks sind ja heute min 16-32 GB groß, und für ein ISO ist das immer Platzverschwendung. So habe ich dann ein Stick für verschiedene Windows-Versionen und Linuxe.

 

[xy_Tux]

Mein Asus TUF X570 hatte trotz aktivem Secure Boot keine Probleme mit dem booten

Bei dem Top-Board wirst du ja sicher auch keinerlei inkompatible Komponenten drauf haben?

 

[cvzone]

auch keinerlei inkompatible Komponenten drauf haben?

Was meinst du damit oder was könnte das deiner Meinung nach sein?

Generell funktioniert das Secure Boot leider sehr gut, was ich an einem UEFI Lock von HVCI sehr gut gemerkt habe, nach ein paar Stunden Sucherei...

 

[xy_Tux]

Was meinst du damit

ich meinte, dass du ohne eigenes Zutun auf dem Board wohl jedes OS deiner Wahl ohne Probleme installiert bekommst.

 

[MOS1509]

Und wo liegt jetzt der Unterschied zwischen der Install.wim und Install.esd ?

Ich habe übrigens versucht, mit dem durch Rufus erzeugte USB-Stick zu booten, bei aktivierten Secure-Boot. Ich bin ins Installationsprogramm reingekommen, habe dann aber abgebrochen, weil ich jetzt sofort noch kein Upgrade auf Windows 11 machen möchte.

Nebenhinweis meinerseits: Ich interessiere mich zwar für PCs, bin aber kein Profi-ITler, also seht es mir bitte nach wenn ich Fragen stelle, welche für manche von Euch banal erscheinen mögen.

 

[Nickel]

Und wo liegt jetzt der Unterschied zwischen der Install.wim und Install.esd ?

Install.esd ist kleiner, komprimiert.

 

[MOS1509]

Toll, hätte ich das mit den Install.esd-Dateien gewusst, hätte ich mir die Anschaffung von teuren DVD+R DL Rohlingen sparen können. Hier bei CB wird nur kommentarlos die Install.wim zum Download angeboten.

 

[cvzone]

bei aktivierten Secure-Boot

Manche Boards lassen wohl gar keine Boots außer dem zugelassenen OS zu, da muss man dann Secure Boot abschalten oder die Keys löschen und manche beschränken die Sperre nur auf das Drive mit dem EFI Bootloader.

Der Hauptunterschied zwischen WIM und ESD ist die Kompression von ESD. Dafür kann man an der WIM bei Bedarf eher Änderungen vor der Installation vornehmen, weil nicht komprimiert.

Ergänzung (7. Oktober 2021)

DVD+R DL Rohling

DV...was?