Falsche Einstellung auf MSI-Motherboards hebelt Secure Boot aus

Guten Tag Gast. Schön, dass Du hereinschaust! Einen angenehmen Aufenthalt wünscht das CompiWare-Team.

    Ich bin über folgenden Artikel auf Winfutre.de gestoßen und möchte ihn euch nicht vorenthalten.

    Falsche Einstellung auf MSI-Motherboards hebelt Secure Boot aus
    Eine der wichtigsten Sicherheitsfunktionen, die Microsoft sogar als Systemvoraussetzung für Windows 11 vorgeschrieben hat, ist Secure Boot. Die Hersteller…
    winfuture.de

    Es geht darin um die Einstellungen für Secure Boot auf diversen Mainboards von MSI. Steht die Einstellung auf "Standard", werden sämtliche Sicherheitsfunktionen, die Secure Boot eigentlich liefern soll, ausgehebelt. Secure Boot selbst ist nach außen hin aktiviert und somit kein Problem für Windows 11.

    Liest man den Artikel, wird man auf Github verwiesen. Dort wurde das Thema öffentlich gemacht. Außerdem sind dort auch alle betroffenen Mainboards aufgelistet.

    MSI has very insecure Secure Boot defaults · Issue #181 · Foxboron/sbctl
    Some MSI motherboards with some firmware versions by default allow booting binaries on policy violations, thereby not providing any additional security…
    github.com

    Eine sehr interessante Sache. MSI scheint auf mehrmalige Anfragen nicht zu reagieren. Mal sehen, was passiert, nachdem das Thema nun offiziell die Runde im Internet gemacht hat.

    Ich selbst bin mit meinem Maiboard ebenfalls betroffen, denke aber, dass ich die Einstellungen auf "Standard" stehen lassen werde. Was soll passieren? Wenn, dann stecke nur ich einen USB-Stick in meinen Rechner und da weiß ich dann auch, was darauf ist. Oder sollte man die Einstellungen tatsächlich anpassen? Was meint ihr?

    Zitat von Plissken1979

    danach bootete der Rechner nicht mehr...

    Richtig. Und genau das wollte ich vermeiden, indem ich Secure Boot komplett deaktiviere, nur für die blöden USB-Sticks, die jetzt funktionieren. ;)

    Letztendlich geht es hier aber um etwas anderes, Alexander1970 . Windows 11 verlangt eine Aktivierung von Secure Boot. Das ist laut Einstellung im BIOS / UEFI auch aktiviert. Aber die Optionen dahinter sind unsicher eingestellt. Somit ist trotz eigentlicher Aktivierung von Secure Boot, damit Windows 11 nicht mosert, die Sicherheit nicht gegeben.

    Die Option kann und wird bereits von vielen Leuten bei der Installation von Windows 11 ganz einfach umgangen.

    Also ist das ebenfalls kein Hindernis,diese im Bios zu deaktiveren.

    Es ist ehrlich gesagt wie eine Impfung.

    Sie kann helfen oder auch nicht.

    Nur weil Intel "Angst" hatte vor weiteren Sicherheitslücken in Ihren (neuen) Prozessoren und deshalb diese Mechanismen "eingeführt" wurden, heisst das ja noch lange nicht,dass der ganze PC unsicher sein muss.

    Eigentlich schon.

    Denn nur weil du dann DIESE Fehlermeldung hast:

    heisst das gar nicht.

    Diese Optionen im BIOS von MSI sind genau deshalb da,weil ned jeder alles "zumauern" will und selber entscheiden will.

    Daher wirst vom MSI auch keine Antwort dazu kriegen zu dem Thema,weil das im krassen Kontext zu Microsofts Sicherheitspolitik steht

    So einfach ist das.

    Und wennst wirklich mal ein "Sicherheits" Problem haben solltest,(sprich es wird was "ausgehebelt") wird dir MSI sagen "Dann aktivieren Sie bitte Optionen 1,2 und 3 -> fertig" und gegen höher Gewalt können wir auch nichts machen,kaufen sie sich einen Stahltresor.....

    MSI soweit ich mich erinnern kann,hat immer eher auf "offene Optionen" in deren Bioses gesetzt.

    Und wenn du vor der Installation alles aktiviert hattest,kann ja nichts passieren,wie Plissken1979 schon bestätigt hatte (kein Booten möglich).

    Einmal editiert, zuletzt von Alexander1970 (19. Januar 2023 um 12:17)

    Der Sicherheitsgewinn von Secure Boot ist - nüchtern betrachtet - eh vergleichsweise klein. Selbst wenn wir mal annehmen, dass es fehlerfrei funktioniert und das Booten manipulierter Systeme unterbindet - so what? Man kann auch im Betrieb genug Schaden anrichten und auch das Betriebssystem so manipulieren, dass Secure Boot nicht greift. Zudem kann auch ein bösartig manipuliertes OS mit validen Secure-Boot-Signaturen ausgestattet sein.

    Bei mir ist Secure Boot nicht mehr aktiv, weil mein Board (übrigens von MSI) leider rumzickt, wenn ich es einschalte. Vermutlich hat das TPM eine Macke. Stört mich aber wenig, muss ich sagen...

    Zitat von PoooMukkel

    Letztendlich geht es hier aber um etwas anderes, Leon1970 . Windows 11 verlangt eine Aktivierung von Secure Boot. Das ist laut Einstellung im BIOS / UEFI auch aktiviert.

    Das ist übrigens nicht wirklich so. Windows 11 verlangt standardmäßig lediglich für die Installation ein funktionierendes und aktives TPM 2.0 (was sich allerdings umgehen lässt). *Nach* der Installation kann man das TPM - auch in einem originalen Windows-Image ohne jegliche Manipulationen - jederzeit abschalten. Windows erkennt natürlich, dass Secure Boot nicht mehr aktiv ist, beschwert sich darüber aber nicht aktiv und funktioniert normal weiter. Genau das ist ja bei mir der Fall.

    Zitat von Sybok

    Windows erkennt natürlich, dass Secure Boot nicht mehr aktiv ist, beschwert sich darüber aber nicht aktiv und funktioniert normal weiter. Genau das ist ja bei mir der Fall.

    Genau. Aber das ist hier nicht das Problem! Was Windows macht oder was man tun kann, um die Prüfung für Windows zu umgehen, spielt keine Rolle! Es geht um die Funktion "Secure Boot" generell! Und diese wird auch von bestimmten Linux Distributionen unterstützt.

    Hier geht es darum, dass bei MSI Mainboards bei der reinen Aktivierung von Secure Boot in der Standardeinstellung, die eigentlichen Sicherheits-Features von Secure Boot überhaupt nicht aktiv sind.

    Ich zeige hier mal Screens aus dem verlinkten Thema auf Github.

    Secure Boot aktiviert auf "Standard"

    Nach außen hin sieht eigentlich alles gut aus. Secure Boot ist aktiviert und wird auch so vom OS erkannt.

    Setzt man Secure Boot jedoch auf "Custom", lässt sich die Einstellung "Image Execution Policy" aufrufen und hier ist alles erlaubt, was dem eigentlichen Sinn von Secure Boot widerspricht.

    Das bedeutet, dass Secure Boot Schlüssel in der Standardeinstellung gar keine Bewandtnis haben und ein Image immer ausgeführt wird, egal ob es zertiziert wurde oder nicht.

    Dem normalen Benutzer (so wie mir) fällt das nicht auf. Secure Boot ist aktiviert, das OS erkennt es als aktiviert und alles ist gut ...

    Zitat von PoooMukkel

    Aber das ist hier nicht das Problem!

    Ich wollte niemanden verwirren und habe das ursprünglich geschilderte Problem schon verstanden. Mir ging es nur darum, dass man es auch für Windows 11 eben nicht wirklich braucht. Natürlich ist es trotzdem ein Problem, wenn die Standardeinstellungen verwirrend oder gar falsch sind, keine Frage.

    Ich meine DAS

    Zitat von Winfuture.de

    Secure Boot soll verhindern, dass bösartige Software beim Hochfahren eines Systems geladen wird. Dies geschieht durch die Überprüfung von signierten Treibern und die Authentifizierung von Windows-Boot-Dateien. Bei MSI sieht es jedoch so aus, dass diese UEFI-Secure-Boot-Einstellungen in den Motherboards seit über einem Jahr falsch eingestellt sind, sodass sie beim Start keine Überprüfungen durchführen können. Für den Nutzer bleibt das unbemerkt und es gibt auch keinerlei Windows-Warnhinweise.

    Einmal editiert, zuletzt von PoooMukkel (19. Januar 2023 um 18:51) aus folgendem Grund: Zitat angepasst

    Weils in Wahrheit kein Schwein interessiert (ausser den Zwangsneurotikern....:face_with_tears_of_joy:)

    Nur weil INTEL sich ins Hemd macht wegen deren vergangener und möglicherweise zukünftigen Sicherheitslücken in deren CPU´s,hat sich Microsoft

    wohl dazu "überreden" lassen,den Schas überhaupt einzubauen.

    Ob´s was bringt ?

    Wenn man schaut,wie oft Sicherheitsupdates für Windows rauskommen......