So aktivieren Sie den sicheren Start auf verschiedenen Motherboards (ASUS, MSI, Gigabyte, Dell, HP)

Secure Boot ist eine etwas seltsame, aber äußerst wichtige UEFI-Funktion, wenn Sie Ihren PC vor Schädlingen wie Rootkits oder unsignierten Bootloadern schützen möchten. Sie stellt im Wesentlichen sicher, dass beim Start nur vertrauenswürdiger, signierter Code ausgeführt wird. Wenn Sie ein Upgrade auf Windows 11 planen oder einfach nur ein stärkeres Sicherheits-Setup wünschen, ist die Aktivierung dieser Funktion eine kluge Entscheidung. Allerdings kann der Vorgang etwas verwirrend sein, insbesondere aufgrund der vielen verschiedenen Herstellermenüs, versteckten Optionen und ausgegrauten Einstellungen. Diese Anleitung soll Ihnen helfen, die Schritte auf gängigen Systemen wie ASUS, MSI, GIGABYTE, Dell und HP zu durchlaufen – einschließlich der Fehlerbehebung, falls die Option fehlt oder hartnäckig deaktiviert ist.

So aktivieren Sie Secure Boot – Der wahre Deal

Warum die Aktivierung von Secure Boot wichtig ist

Secure Boot verhindert, dass beim Systemstart schädliche Low-Level-Software geladen wird. Es lässt nur vertrauenswürdige, signierte Betriebssystemkomponenten und Treiber zu und verhindert so das Eindringen von Bootkits, Rootkits und nicht autorisiertem Code. Es ist ein notwendiger Bestandteil moderner Sicherheitsstandards für Windows-PCs, insbesondere wenn Sie Ihr Betriebssystem aktualisieren oder ein Windows 11-Zertifikat anstreben.

Bevor Sie sich in BIOS/UEFI vertiefen – kurze Checkliste

  • Vollständiges Backup. Im Ernst, machen Sie es jetzt. Sichern Sie Ihre Dateien und erstellen Sie idealerweise ein Windows-Wiederherstellungslaufwerk (USB) oder ein komplettes Systemabbild. Das Ändern der Firmware/des Boot-Modus kann zu Boot-Problemen oder Datenverlust führen.
  • Überprüfen Sie den aktuellen Status in Windows : Klicken Sie auf Win+R→ geben Sie ein msinfo32→ sehen Sie sich den BIOS-Modus (UEFI oder Legacy) und den Secure Boot-Status (Ein oder Aus) an.
    • Alternativ können Sie PowerShell als Administrator öffnen und ausführen Confirm-SecureBootUEFI. Wenn <$True> zurückgegeben wird
  • Wenn das System eine Legacy- oder MBR-Festplatte verwendet, müssen Sie zu GPT konvertieren (d.h.vom BIOS auf UEFI umstellen).mbr2gptDas Dienstprogramm von Microsoft ist Ihr Freund und ziemlich zuverlässig, wenn Sie den Anweisungen folgen und zuerst eine Validierung durchführen.
  • Aktualisieren Sie die Motherboard-Firmware – laden Sie die neueste BIOS/UEFI-Firmware von der Website Ihres Herstellers herunter. Dadurch werden häufig Fehler behoben und die Secure Boot-Unterstützung verbessert.
  • Halten Sie die Modelldetails Ihres Motherboards/Laptops bereit und prüfen Sie die Dokumentation/Supportseiten des Herstellers am Ende dieses Artikels. Herstellerspezifische Eigenheiten sind real.

Schnell und einfach: So aktivieren Sie Secure Boot

Dies ist die Schnellversion für die meisten Setups – detaillierte Schritte für bestimmte Anbietermenüs finden Sie weiter unten.

  1. Zuerst ein Backup erstellen. Denn natürlich kann das Herumspielen mit der Firmware schiefgehen.
  2. Überprüfen Sie Ihren aktuellen Status über das Dell-Supporthandbuch oder PowerShell-Befehle.
  3. Konvertieren Sie Ihre Festplatte bei Bedarf von MBR in GPT : Verwenden Sie mbr2gpt /validate /disk:0 /allowFullOSund dann mbr2gpt /convert /disk:0 /allowFullOS. Stellen Sie sicher, dass Ihre Partitionen fehlerfrei sind, und führen Sie Sicherungskopien durch, da jeder PC ein wenig anders ist.
  4. Booten Sie ins BIOS/UEFI : Starten Sie neu, drücken Sie Entf, F2, F10 oder Esc (je nach System).Wird normalerweise während des POST angezeigt. Lesen Sie das Handbuch des Herstellers, wenn Sie die Tasten nicht kennen.
  5. Boot-Modus auf UEFI umstellen : Suchen Sie die Einstellung (oft unter Boot oder Sicherheit).Wechseln Sie von Legacy/CSM zu UEFI. Viele BIOS-Setups verbergen Secure Boot, während Legacy aktiv ist, daher ist dieser Wechsel entscheidend.
  6. Suchen Sie nach den Secure Boot-Optionen : Diese befinden sich normalerweise in den Abschnitten „Boot“, „Sicherheit“ oder „Authentifizierung“.Ändern Sie OS Typedie Einstellung auf „Aktiviert“. Registrieren Sie bei entsprechender Aufforderung die Werksschlüssel oder stellen Sie sie wieder her, indem Sie Optionen wie „Werksschlüssel installieren/wiederherstellen“ wählen Windows UEFI.Dadurch gelangen Sie in den Setup-Modus, wechseln dann in den Benutzermodus und aktivieren Secure Boot.Secure Boot Control
  7. Änderungen speichern und neu starten : Klicken Sie auf „Speichern und beenden“ und starten Sie Windows.Überprüfen Sie noch einmal msinfo32, ob der BIOS-Modus auf UEFI und der Secure Boot State auf Ein eingestellt ist.

Warum manchmal Probleme auftreten – Fehlerbehebung bei fehlenden oder ausgegrauten Optionen

  • CSM/Legacy-Modus: Wenn Secure Boot aktiviert ist, wird es normalerweise automatisch deaktiviert. Deaktivieren Sie CSM oder wechseln Sie vollständig zu UEFI. Anbieter wie GIGABYTE weisen ausdrücklich darauf hin, dass Secure Boot nur bei deaktiviertem CSM funktioniert.
  • Festplatte in MBR? Konvertieren Sie mit in GPT mbr2gpt. MBR-Festplatten unterstützen Secure Boot im UEFI-Modus nicht.
  • Plattformschlüssel nicht installiert : Sie müssen die werkseitigen Standardschlüssel aus Ihrem BIOS installieren oder wiederherstellen. Suchen Sie nach Optionen wie „Standardschlüssel installieren“ oder „Werkseitige Schlüssel wiederherstellen“. Ohne die richtigen Schlüssel bleibt Secure Boot deaktiviert.
  • Firmware-Einschränkungen: Einige BIOS-Versionen sperren Einstellungen mit Supervisor-/Admin-Passwörtern. Möglicherweise müssen Sie vor dem Ändern der Secure Boot-Optionen vorübergehend ein Passwort festlegen und es anschließend entfernen.
  • Veraltete Firmware: Durch die Aktualisierung der BIOS-/UEFI-Firmware werden häufig Fehler behoben oder fehlende Funktionen hinzugefügt. Firmware-Updates sind manchmal der Schlüssel zum Freischalten versteckter Optionen.
  • Wenn alles andere fehlschlägt, sollten Sie die BIOS-Standardeinstellungen wiederherstellen, Schlüssel neu bereitstellen oder sich an den Support des Anbieters wenden.

Anbieterspezifische Schritte – Da BIOS-Bildschirme unterschiedlich sind

ASUS (Desktop & ROG) : Drücken Sie beim Einschalten während des POST Del(oder ).Drücken Sie im BIOS (Erweiterter Modus).Navigieren Sie zur Registerkarte „Boot“ oder „Sicherheit“, suchen Sie „Secure Boot“ und wechseln Sie zu „Aktiviert“. Wenn Sie zur Eingabe von Schlüsseln aufgefordert werden, wählen Sie „Secure Boot-Schlüssel installieren/entfernen“ und wenden Sie sich anschließend an den Asus-Support, um detaillierte Bildschirminformationen zu erhalten.F2F7Secure Boot Control

MSI : Starten Sie neu und drücken Sie Deletewährend des POST, um ins BIOS zu gelangen. Drücken Sie F7für den erweiterten Modus und gehen Sie dann zu EinstellungenSicherheit oder Erweitert. Suchen Sie nach Secure Boot und aktivieren Sie es, indem Sie den Modus auf Standard einstellen. Stellen Sie bei entsprechender Aufforderung die Werksschlüssel wieder her oder registrieren Sie sie. Die MSI-FAQ enthält die gängigen Pfade sowie Anweisungen zur Schlüsselwiederherstellung.

GIGABYTE / AORUS : Drücken Sie während des POST-Vorgangs, Deleteum das BIOS aufzurufen. Navigieren Sie zu BIOS > Secure Boot oder gelegentlich zu Peripherie > Secure Boot. Bei vielen Giga-Modellen muss die CSM-Unterstützung zunächst deaktiviert werden. Deaktivieren Sie CSM, aktivieren Sie dann Secure Boot, wählen Sie den Standardmodus und installieren Sie die Standardschlüssel, falls verfügbar. Die genauen Menübezeichnungen finden Sie im Handbuch. Viele Modelle zeigen Screenshots zur Orientierung.

Dell : Drücken Sie beim Starten, F2um ins BIOS zu gelangen. Stellen Sie unter „Boot Configuration“ die Boot List Option auf UEFI um. Suchen Sie dann nach „Secure Boot“, setzen Sie es auf „Enabled “ und speichern Sie. Auf der Support-Seite von Dell wird dies gut erklärt. Dort wird darauf hingewiesen, dass Sie möglicherweise zuerst UEFI benötigen, damit „Secure Boot“ angezeigt wird.

HP : Einschalten, dann Escwiederholt tippen, um das Startmenü zu starten, drücken F10für BIOS. Gehen Sie zu Sicherheit oder Systemkonfiguration > Startoptionen. Suchen Sie nach „Sicherer Start“ und schalten Sie es auf „Aktiviert“. Manchmal ist „Sicherer Start“ ausgegraut. Versuchen Sie zunächst, die Standardschlüssel zu laden, indem Sie „HP-Werksschlüssel laden“ auswählen. Die Support-Seiten erklären recht eindeutig, wie die Werksschlüssel funktionieren, falls Sie nicht weiterkommen.

Beispiel: Alles in Windows einschalten – eine praktische Anleitung

  1. Führen Sie aus msinfo32. Wenn der BIOS-Modus auf „Legacy“ eingestellt ist und „Secure Boot“ deaktiviert ist, müssen Sie zuerst auf UEFI umstellen.(Die Dell-Dokumente bieten eine gute Übersicht.)
  2. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten: Klicken Sie mit der rechten Maustaste auf das Startmenü und wählen Sie „ Eingabeaufforderung (Admin)“.Überprüfen Sie Ihre Festplatte: mbr2gpt /validate /disk:0 /allowFullOS. Wenn die Prüfung erfolgreich ist, konvertieren Sie mit: mbr2gpt /convert /disk:0 /allowFullOS– Stellen Sie sicher, dass Voraussetzungen wie freier Speicherplatz und Partitionsanzahl erfüllt sind.
  3. Starten Sie das BIOS/UEFI neu (Entf / F2 / F10 / Esc).Ändern Sie den Boot-Modus in UEFI, deaktivieren Sie CSM und speichern Sie die Änderungen.
  4. Rufen Sie das BIOS erneut auf, aktivieren Sie Secure Boot und installieren oder stellen Sie die Standardschlüssel wieder her, wenn Sie dazu aufgefordert werden. Speichern und beenden Sie.
  5. Überprüfen Sie Ihren Status: Führen Sie erneut „run“ msinfo32oder in PowerShell „execute“ aus Confirm-SecureBootUEFI. Es sollte „On“ angezeigt werden.

Reine Fehlerbehebung – wenn etwas schief geht

  • Wenn Windows nach der Umstellung auf UEFI nicht startet: Starten Sie von einem Wiederherstellungs-USB-Laufwerk, wählen Sie „Erweiterte Optionen“, dann „Eingabeaufforderung“ und überprüfen Sie die EFI-Starteinträge. Kehren Sie bei Bedarf zur Legacy-Version zurück und beheben Sie anschließend die Fehler bei der Datenträgerkonvertierung.
  • Wenn Secure Boot weiterhin deaktiviert oder ausgegraut ist: Stellen Sie die Werksschlüssel wieder her, stellen Sie sicher, dass CSM deaktiviert ist, oder aktualisieren Sie Ihr BIOS. In besonders hartnäckigen Fällen kann das Laden der BIOS-Standardeinstellungen oder das Zurücksetzen des CMOS Abhilfe schaffen.
  • In manchen Fällen blockiert Ihre Firmware Änderungen ohne Supervisor-/Admin-Passwort. Legen Sie vorübergehend ein Passwort fest und entfernen Sie es anschließend wieder. BIOS-Einschränkungen sind lästig, aber manchmal unvermeidlich.

Bonus: Linux und Dual-Boot-Situationen

Die meisten modernen Linux-Distributionen unterstützen Secure Boot über signierte Bootloader (wie Shim).Sollte etwas nicht funktionieren, müssen Sie möglicherweise einen Machine Owner Key (MOK) registrieren oder Secure Boot vorübergehend deaktivieren.Überprüfen Sie die Dokumentation Ihrer Distribution – manche Distributionen unterstützen Secure Boot standardmäßig, andere erfordern einen gewissen Einrichtungsaufwand.

Kurze Zusammenfassung / Spickzettel

  • Prüfen Sie mit msinfo32oder führen Sie es Confirm-SecureBootUEFIin PowerShell aus.
  • Wenn Sie Legacy-/MBR-Festplatten verwenden, konvertieren Sie sie in GPT und wechseln Sie zu UEFI.
  • Rufen Sie das BIOS mit Entf, F2, F10 oder Esc auf – herstellerabhängig.
  • Deaktivieren Sie CSM, stellen Sie den Startmodus auf UEFI ein, aktivieren Sie dann Secure Boot und installieren Sie die Werksschlüssel.
  • Überprüfen Sie mit, ob Secure Boot wieder aktiviert ist msinfo32.

Abschließende Gedanken – Daumen drücken, das hilft

Das ist zwar kein Hexenwerk, aber BIOS-Menüs können echt lästig sein. Sobald Sie alles eingerichtet haben, ist Ihr PC besser geschützt, insbesondere bei Windows 11-Upgrades. Stellen Sie einfach sicher, dass Sie vorher ein Backup erstellen, sich Zeit nehmen und die Anweisungen des jeweiligen Herstellers genau befolgen. Meiner Erfahrung nach erspart Ihnen die Aktivierung von Secure Boot auf diese Weise später viel Ärger.

FAQ – Schnelle Antworten auf häufig gestellte Fragen

Was ist eigentlich Secure Boot?

Es handelt sich um eine Funktion, die überprüft, dass beim Startvorgang nur signierter, vertrauenswürdiger Code ausgeführt wird – sozusagen wie ein Türsteher im Club, nur für den Startvorgang Ihres PCs.

Warum es einschalten?

  • Windows 11 benötigt es als Mindestanforderung.
  • Es erhöht die Sicherheit, indem es nicht autorisierte Bootloader und Malware blockiert, bevor sie geladen werden können.
  • Schützt Ihre Firmware vor Angriffen auf Boot-Ebene.

Ist dies ohne Dateiverlust möglich?

Ja, insbesondere wenn Ihr System bereits im UEFI-Modus mit einer GPT-Festplatte läuft. Dank des mbr2gptTools können Sie Secure Boot ohne Formatierung oder Neuinstallation aktivieren. Aber hey, immer vorher sichern – diese Schritte sind normalerweise sicher, aber Vorsicht ist besser als Nachsicht.

Warum fehlt meine Secure Boot-Option?

  • Am häufigsten: CSM ist aktiviert. Deaktivieren Sie es, um die Secure Boot-Optionen freizuschalten.
  • Die Festplatte hat das MBR-Format. Konvertieren Sie sie in GPT.
  • Werksschlüssel sind nicht installiert – stellen Sie sie über das BIOS wieder her.
  • Manchmal verhindern BIOS-Einschränkungen oder Passwörter eine Änderung.

Kann ich Linux mit Secure Boot ausführen?

Viele Distributionen unterstützen Secure Boot mit signierten Loadern. Für benutzerdefinierte Kernel oder unsignierte Treiber kann die Registrierung eines Machine Owner Key (MOK) erforderlich sein.Überprüfen Sie die Dokumentation Ihrer Distribution, wenn Sie diesen Weg wählen.

Wie kann ich feststellen, ob Secure Boot aktiviert ist?

  • Drücken Sie Win + R, führen Sie aus msinfo32und sehen Sie sich den Secure Boot State an.
  • Oder führen Sie in PowerShell Folgendes aus:Confirm-SecureBootUEFI

Wird das Aktivieren von Secure Boot Spiele oder andere Apps beschädigen?

Einige Anti-Cheat-Systeme wie Vanguard oder Easy Anti-Cheat erfordern einen aktivierten Secure Boot. Ohne diesen laufen Spiele wie Valorant oder Fortnite möglicherweise nicht richtig.

Benötige ich auch TPM?

Für Windows 11, ja. Sowohl TPM 2.0 als auch Secure Boot sind Teil der Sicherheitsbasis von Microsoft.

Wie stelle ich Werksschlüssel wieder her?

Suchen Sie im Setup nach den Optionen „Standardschlüssel installieren“ oder „Werksschlüssel wiederherstellen“. Dadurch werden die vertrauenswürdigen Schlüssel der Plattform registriert, sodass Secure Boot ordnungsgemäß funktioniert.

Verlangsamt Secure Boot meinen PC?

Nicht wirklich – es wird während des Startvorgangs ausgeführt und lässt Sie dann in Ruhe, sobald Windows geladen ist.

Nützliche Links/Anbieterdokumente

So verwalten Sie die Autostart-Einstellungen der Xbox-App in Windows 11
So verwalten Sie mehrere PCs mit Mouse Without Borders in PowerToys