Secure Boot: UEFI-Bootmanager unter Windows prüfen

Ob Windows oder Linux: Die UEFI-Firmware Ihres Computers erlaubt bei aktivem Secure Boot nur Bootmanager, die einem gültigen Zertifikat signiert wurden. Die für den Abgleich nötigen Zertifikate im UEFI-Speicher stammen meist von Microsoft, laufen allerdings bald ab. Zudem wurden in sehr vielen Bootmanagern ausnutzbare Schwachstellen gefunden, weshalb sie gesperrt werden müssen. Die nötigen Updates können schlimmstenfalls dazu führen, dass Ihr Betriebssystem von der eingebauten SSD nicht mehr bootet, obwohl es das am Tag davor noch tat. Dasselbe kann für bootfähige USB-Laufwerke gelten. Doch welche Bootmanager genau sind von den Problemen betroffen?

Unter Linux ist es kein großes Problem, mal eben das Zertifikat auszulesen, mit dem ein Bootmanager signiert wurde; der Befehl lautet # sudo sbverify –list /boot/efi/boot/bootx64.efi. Doch unter Windows ist es komplizierter.

Also haben wir mit KI-Unterstützung ein weiteres PowerShell-Skript geschrieben. Es zeigt in einer übersichtlichen Tabelle alle für Secure Boot relevanten Dateien auf dem internen Datenträger sowie auf allen gerade angeschlossenen USB-Laufwerken. Die Liste ist in den meisten Fällen sehr kurz, denn auf einem reinen Windows-Rechner kommt es gerade mal auf zwei Dateien an, weil nur diese beiden von der UEFI-Firmware per Secure Boot geprüft werden. Länger wird die Liste, wenn Sie bootfähige USB-Laufwerke anstöpseln, denn die darauf enthaltenen Bootmanager untersucht das Skript ebenfalls. Farbige Markierungen helfen beim Einordnen der ausgelesenen Informationen.

Das war die Leseprobe unseres heise-Plus-Artikels „Secure Boot: UEFI-Bootmanager unter Windows prüfen“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.