Ratkaistu Secure boot käyttöönotto uudelle koneelle

[arcane]

Uusi pelikone saapui kasattuna myyjäfirman toimesta. Asensin tuohon itse Windows 11 Homen tikulta.

Asentamisen jälkeen kävin tässä kurkkimassa vielä BIOSia, niin huomasin, että Secure boot on tilassa "Disabled". Ymmärtääkseni olisi suositeltavaa pistää päälle. Jos koetan sitä enabloida, saan virheen

"System in setup mode

Secure boot can be enabled when System in User Mode. Repeat operation after enrolling Platform Key (PK)"

Alla on vaihtoehdot:
- Secureboot mode: [Custom]
- Install default Secure Boot keys
- Clear Secure boot keys

Nyt tyhmänä varmistan, mitä tämä käytännössä tarkoittaa ja mitä minun pitää tehdä? Klikkailla tuo install default secure boot keys ja sen jälkeen kokeilla uudelleenaktivoida?

 

[Intta83]

Uusi pelikone saapui kasattuna myyjäfirman toimesta. Asensin tuohon itse Windows 11 Homen tikulta.

Asentamisen jälkeen kävin tässä kurkkimassa vielä BIOSia, niin huomasin, että Secure boot on tilassa "Disabled". Ymmärtääkseni olisi suositeltavaa pistää päälle. Jos koetan sitä enabloida, saan virheen

"System in setup mode

Secure boot can be enabled when System in User Mode. Repeat operation after enrolling Platform Key (PK)"

Alla on vaihtoehdot:
- Secureboot mode: [Custom]
- Install default Secure Boot keys
- Clear Secure boot keys

Nyt tyhmänä varmistan, mitä tämä käytännössä tarkoittaa ja mitä minun pitää tehdä? Klikkailla tuo install default secure boot keys ja sen jälkeen kokeilla uudelleenaktivoida?

Otat kohdan Secureboot mode: [Custom] ja pistät sen enable.Se pitää olla päällä.

 

[Intta83]

Sen jälkeeen laitat biosista kovon minne oot asentanut windowsin.

 

[palsternakka]

Esim. Asrock-emolevyllä Secure Boot laitetaan päälle ensimmäistä kertaa seuraavasti:

Security > Secure Boot > "Install default Secure Boot keys" > "Yes" > "Discard changes and exit setup?" > "No" > "Secure Boot" > "Enabled".

 

[Intta83]

Eri emolevyilla on erilaisia kohtia biosista mistä secure boot laitetaan päälle.

 

[arcane]

Esim. Asrock-emolevyllä Secure Boot laitetaan päälle ensimmäistä kertaa seuraavasti:

Security > Secure Boot > "Install default Secure Boot keys" > "Yes" > "Discard changes and exit setup?" > "No" > "Secure Boot" > "Enabled".

Asrockin emolevy sattui olemaan, joten tälläpä tämä meni.

 

[Lumikki]

Boottaako Windows kuitenkin puhtaassa UEFI tilassa, ei UEFI CSM/legacy bios tilassa? Se on käytännössä välttämätön modernilla raudalla ja jopa Win11 ei asennu helposti ilman. Olettaisin että kyllä, se on oleellisin asia noissa.

Secure boot on oletuksena kaikilla merkkikoneilla päällä ja joillain se on jopa hieman hankalaa kytkeä pois, mutta se ei varsinaisesti ole välttämätön. Tälläisillä liikkeiden kasaamilla geneerisillä koneilla heittäisin että 50% todennäköisyydellä se on päällä tai pois, eikä sillä ole mitään merkitystä. Se pääasiallisesti suojaa käyttöjärjestelmää rootkiteiltä, mutta sellaiset eivät kenenkään koneelle itsestään eksy.

Yleisesti, secure boot setup tilassa on tarkoitus asentaa käyttäjärjestelmä, joka sitten asentuessaan lukitsee/varmentaa boot tiedostot avaimillaan, jolloin se secure boot menee täysin päälle ja käyttökuntoon. Tälläin näitä boot tiedostoja ei voi muokata ilman että se asennettu käyttöjärjestelmä huomaa asian.

 

[arcane]

On tämä UEFI-tilassa, ja Windows 11 näyttää myös järjestelmätiedoissa sekä bios-malliksi UEFIn että nyt "Suojatun käynnistyksen tila: Käytössä".

Eli pitäisi olla tältä erää taputeltu. Datatronicin kasauspalvelun kautta tosiaan tullut, mahdollisesti secure boot jätetty pois heidän omissa testauksissa tai ihan vaan ennen kuin käyttäjä asentaa käyttöjärjestelmänsä. Windows 11 ei itsessään Secure bootin perään asennuksen aikana tai sen jälkeen kysellyt. Ainoat josta Windows minulle nalkuttaa ovat OneDriven käyttöönotto ja se että vaihdoin asennuksen jälkeen paikalliseen käyttäjään.