Secure Boot (UEFI) Anmerkung

[DaTaRebell]

Bestätigt in meiner Meinung UEFI betreffend hier noch etwas informatives:
31C3: Warnung vor Secure Boot und Trusted Computing
31C3: Warnung vor Secure Boot und Trusted Computing | heise online

Nach etlichen Experimenten an eigenen Systemen und vielen Problemen bei der Daten-Wiederherstellung an Gast-Rechnern sehe ich mich in einem rundum bestätigt:
UEFI ist ein neues Sicherheits-Feature, welches der "private" Nutzer nicht nutzen sollte.
Auch alle Ansagen über die durch das per UEFI mögliche "Fast Boot" erwiesen sich im Allgemeinen als Gerücht.. von wegen schnellerem Systemstart..
Für Firmen, welche oft Rechner für Angestellte zur Nutzung im Firmen-Netzwerk aufnehmen müssen, ist es ein willkommenes und durchaus wirksames Sicherheits-Feature.
Für den privaten Rechner ist es im Fall von System-Problemen zu oft ein Desaster.. dieses UEFI.
Ich verzichte daher nach meinen Experimenten damit darauf und rate jedem, von Installationen mit UEFI abzusehen.

 

[CharlesEd]

Hallo DaTaRebell
Ich habe diesen Bericht bei Heise auch gelesen und mir dann aber gesagt,dieser Schreiberling hat doch nicht "Alle auf der Latte" ! Vorallem seine letzte Bemerkung :
"..... sei es das BSI, die NSA oder eben Microsoft !" ( ???)
Ich weiss nicht,was du für Experimente gemacht hast. Die meisten Heimanwender machen keine und lassen Secure Boot einfach selbständig die Sicherheit von Windows erhöhen . Wie das im Verbund mit mehreren Rechnern aussieht, kann ich natürlich nicht beurteilen. Für mich und meine Belange ist jedenfalls dieser Bericht bei Heise belanglos, oder einfach ein guter Witz zum Jahresausklang ! Gruss Charles

Nachtrag: UEFI ist gar nicht mehr wegzudenken bei den heutigen Computertechnologien. Secure Boot erlaubt nur digital signierte Software. Na und? Das ist auch absolut richtig so,oder ?

 

[areiland]

Secure Boot muss man bei Windows 8/8.1 und auch 10 auch immer in Verbindung mit dem installierten Virenscanner sehen! Der wird dort nämlich immer als erster Fremdtreiber gestartet. Nur so ist es möglich den Rechner komplett ab dem Start zu schützen - dies sollte aber im Interesse des Benutzers sein.

Dass dies zum Verlust von Annehmlichkeiten führen wird, das sollte klar sein. Denn man kann nicht einschränken, ohne dass die Flexibilität leidet. Aber für die Masse dürfte das ohnehin kein Thema sein, die will ja nur ein OS das funktioniert. Experimente, wie wir sie durchführen sind für die Masse der Anwender kein Thema, also sind diese Einschränkungen eher theoretischer als praktischer Natur. Zudem ist es so, dass UEFI, Secure Boot und TPM keine reine MS Erfindung sind. Diese Features werden nur von MS erstmals konsequent genutzt und angewandt.

 

[CharlesEd]

Mit dem "installierten Virenscanner" meinst du den Defender,nehm ich mal an. Wird dann der "Sicherheitskreislauf" beim Verwenden eines Fremdscanner durchbrochen und gestört,weil der Defender deaktiviert wird?
Ja,mir ist bekannt das UEFI ( vormals EFI) eine Entwicklung von Intel ist und dass es UEFI seit 2007 gibt. Microsoft ist in das Projekt eingestiegen um es für windows 8 mitzuentweickeln. Von Version 2.1 kam man so auf Version 2.2,das ersmals Secure Boot enthielt. Heute sind wir bei Version 2.4. Bitte korrigieren,wenn da was falsches von mir gesagt wird. Das ist nur Erinnerung,was ich mal las. Da stellt sich dann aber noch neu die Frage :
Ist es eigentlich vorgesehen und in Sichweite,dass es weitere Updates geben wird,etwa auf Version 2.5 oder höher,oder ist da noch gar nichts im Busch ?

Eins noch zu der Empfehlung von DaTaRebell : Ich denke ,der Rat, nicht mehr in UEFI zu installieren ist etwas "überrissen"! Wer will,kann ja einfach "Secure Boot" im BIOS deaktivieren,um das geht es ja und nicht um UEFI als Gesamtes. Für mich klingt der Rat,nicht in UEFI, sondern wieder im veralteten BIOS zu installieren, ähnlich wie der Rat. wieder XP zu installieren !!

 

[wolf66]

nicht in UEFI, sondern wieder im veralteten BIOS zu installieren, ähnlich wie der Rat. wieder XP zu installieren !!

Den Sinn verstehe ich nun gar nicht.
Bios oder UEFI ist die Grundlage, damit ein Rechner überhaupt startet.
Von den Boardherstellern werden - nun kann ich erst mal nur für Bios sprechen - nach meinen Erfahrungen Updates noch bis zu 2 Jahre nach Auslieferung erstellt und dann kam meist nichts mehr.
Vermute nun, dass es beim UEFI ähnlich sein wird, also hat man dann auch ein "veraltetes" Startsystem, was jedoch meiner Meinung nach keinen weiteren Einfluss hat, wenn keine Systemprobleme auftreten.
Zum unbedingten Biosupdate - warum ? wenn das System sauber läuft.
Von den Herstellern werden da oft nur kleine mögliche Probleme beseitigt und neu hinzu gekommende Hardware, die gleich beim Start erkannt werden soll, weil sie schon gebraucht wird, wenn das OS noch nicht vorhanden ist. (Funkkomponenten Maus/Tastatur oder USB 3 zum booten)

Update kann auch zur Sucht werden.
Wenn ich ständig die fast täglich verfügbaren neuen Updates für alles durchführen würde käme ich fast nicht mehr zum arbeiten.
Da muss man dann schon differenzieren was wirklich nötig ist und dazu gehört eigentlich nur das AV-System und das wird automatisch im eingestellten Plan ausgeführt.

 

[CharlesEd]

Da ich ja kein IT Professional bin,kann ich da nicht so viel dazu sagen. Ich hab höchstens etwas Basisiwissen dazu. Was ich weiss,ist,dass das BIOS, das Basis Input Output System Ist. Man kann es ruhig das System im System nennen. Dieses BIOS ist 30 Jahre alt und die Leistungen genügen den heutigen Ansprüchen kaum noch..
UEFI ist aber nicht einfach ein Update oder ein Zusatz zu BIOS,sondern UEFI wird das BIOS bald in Rente schicken und die Motherbords der Welt alle übernehmen. Das ist so,wie ich es verstanden habe,aber wenn ich falsch liege,bitte korrigieren. Daher meine ich,wenn jemand vom in UEFI installierten Betriebsystem wieder zurück auf ein BIOS gesteuertes System,wechselt und seine Festplatte von GPR zurück formatiert auf MBR,so ist das so,wie von Windows 8 und 10 ,auf Win7 oder XP zurück zu gehen.
Das ist reine Gefühlsache ohne es professionel erklären zu können. Dafür entschuldige ich mich. Ich rede halt manchmal,was ich spontan denke.

BIOS Update hab ich übrigens in meinem gesamten Leben grad mal zwei hinter mir. Wenn mein Notebookhersteller es ausdrücklich als wichtig bereitstellt,dann ja !
Ansonsten halt ich es wie du. Solange alles funktioniert,wozu. Ich lese auch oft in den Foren,das Leute wie verrückt stets updaten und überall nach möglichen Updates suchen,weil sie sich einen Leistungssteigerung erhoffen. Aber: ein einziges falsches BIOS Update reicht um aus dem Notebook Altmetall zu machen.

Mich würde übrigens auch interessieren,ob sich Windows 10 noch auf einer MBR formatierten Festplatte installieren lässt ?

 

[areiland]

@CharlesEd
Jeder Virenscanner wird bei Windows 8/8.1 als Systemtreiber ausgeführt und als erstes ThirdParty Programm gestartet. Ausnahmslos! Daher resultierten auch sehr viele Probleme, weil die Hersteller es anfangs nicht schafften ihre Software korrekt zu implementieren. Selbst heute noch verursachen die Virenscanner massive Probleme. Siehe die immer wieder gesperrten C: Partitionen nach einer Auffrischung.

 

[CharlesEd]

Hallo areiland
Genau das wollte ich eigentlich mit meiner Frage nach dem Defender in # 4 andeuten : Ob dies vielleicht der Grund ist,warum Fremd-VirenScanner im System oft soviele Probleme verursachen? Danke für diese Bestätigung. Ein Grund mehr,warum es das Beste ist in Win 8 und 10 den Defender machen zu lassen. Keiner kann es besser,weil keiner so auf das System zugeschnitten ist und harmoniert. Gruss Charles

 

[DaTaRebell]

@CharlesEd:
Zu diesem Satz:

Ich denke ,der Rat, nicht mehr in UEFI zu installieren ist etwas "überrissen"!

möchte ich auch einmal etwas "Senf" zugeben:
Ich sehe die Angelegenheit nicht als "Normal-User".
Meine Aufgabe besteht darin, im Kreis meiner "Kunden" all die zerschossenen oder durch Schadsoftware infizierte Systeme wieder zu reparieren, all die durch einen Crash verlorenen wichtigen Daten wieder herzustellen und was solcher Dinge mehr sind.
In einem UEFI-System hat der "normale User" nicht mehr die Chance, dies mittels telefonischen Tips und/oder Anweisungen selbst zu tun, auch wenn es reichlich hilfreiche Software zu diesem Zweck gibt, oft sogar kostenlos.
Solche Rechner werden mir, obwohl ich längst aus gesundheitlichen Gründen ein Rentner-Dasein führen muss, weiterhin ins Haus geschleppt.
Als UEFI in Windows zum Standard für Installationen wurde, musste ich mir einen anders bestückten neuen "Werkzeug-Koffer" zusammenstellen, um diese Probleme auch in GPT-Systemen in den Griff zu bekommen.
Die neue "Sicherheit" solcher Systeme wird für den Heim-Anwender oft zur bösen Falle.

Und ob UEFI oder nicht:
Wer alles anklickt und unbedarft jeden angebotenen Button drückt, dem hilft auch UEFI nicht,
So bleibe ich bei meiner Meinung:
UEFI ist hauptsächlich für Geräte in Firmen-Netzwerken gedacht.
Wer sich als Normal-User darauf einlässt und keinen kompetenten Service zur Behebung auftretender Probleme in Reichweite hat, ist oft schlicht verlassen, denn die zur Wiederherstellung und Problem-Behebung von MS gegebenen Tools versagen zu 90%, wenn diese einmal wirklich gebraucht werden.

 

[Michael]

Hi Charles,
zum Thema Defender schau dir das mal an
Test Antivirus-Programme - Windows 8 - Oktober 2014 | AV-TEST

 

[DaTaRebell]

@Michael:
Diese diversen Tests, unternommen von gesponsorten Unternehmen, geben allzu oft nicht die Realität des Alltags wieder.
Im Zusammenspiel mit Gehirn und einer ergänzenden Anti-Trojaner-Software (z.B. MalwareBytes, SuperAntiSpyware usw.) leistet der Defender einen ausgezeichneten Schutz.
Ansonsten hat auch jeder "Allround-Schutz" (z.B. Kaspersky, BitDefender usw.) seine Schwächen:
Denn erstmal muss eine neue Schadsoftware in die Datenbank der Schutz-Anbieter aufgenommen werden, was oft erst Tage nach ersten erfolgreichen Angriffen geschieht.
Somit bleibt "Brain.exe" noch immer der beste Schutz eines Systems. (Immerhin wird dieses "Programm" schon seit einigen hunderttausend Jahren stetig weiter entwickelt.)

 

[areiland]

Zumal selbst MS den Defender als Grundsicherung und nicht als vollständige Antivirenlösung bezeichnet. Dafür schlägt er sich in der Praxis, anders als es die meist synthetischen und einseitigen Tests suggerieren wollen, überraschend gut.

 

[CharlesEd]

Hallo Michael
Danke für den Link,aber erstens hab ich den bereits im Oktober gelesen und zweitens sind für mich solche Tests keine relevante Aussage wie gut ein Programm ist.
Vorallem der MS Defender lässt sich dabei gar nicht erfassen in seiner Wirkungsart und sollte gar nicht als Referenz herangezogen werden,bzw. missbraucht werden um die anderen AV Software in ein besseres Licht zu stellen.Wer sich von den Medien einsuggerieren lassen will,was gefälligst das beste Tool zu sein hat,der kann dem folgen. Ich tue es nicht !

 

[CharlesEd]

Hallo DaTaRebell
Ich verstehe dich mit deinen Einwänden gut . Nur,auch die Privatanwender können doch nur noch neue Notebooks mit vorinstalliertem Windows 8.1 und später 10 ,kaufen,welche nur noch unter UEFI installiert sind. Otto Normalverbraucher merkt doch davon überhaupt nichts und es interessiert ihn kaum. (leider !)
Solange er nicht unbedarft mit den Standardeinstellungen rumspielt,ohne genau zu wissen,was er tut,wird es keine Performance- und Securityproblems geben die durch UEFI verursacht werden.Nicht UEFI ist also das Problem,sondern die User,die nicht wissen,was sie tun, oder tun,was ein "guter Bekannter,der Ahnung hat" empfielt !
Wenn man halt so ein hochspezialisiertes Technologieprodukt bedienen will,sollte man sich halt diesbezüglich etwas weiterbilden und für den Anfang zumindest mal die Gerbraucher Manuals durchlesen. Gruss Charles '
Sektflaschen bereits im Kühler ? Wünsche guten Übergang ins Jahr 2015, ins Jahr von Windows 10 !

 

[wolf66]

doch nur noch neue Notebooks mit vorinstalliertem Windows 8.1 und später 10 ,kaufen,!

Es werden auch 71 NB ohne OS angeboten

 

[CharlesEd]

Ja,Notebooks ohne Systeme gibts schon zu kaufen,ist mir klar. Doch die neueren Modell haben doch schon alle Prozessoren mit UEFI auf den Platinen. Zumindest kann dann der Käufer,wenn er sich auskennt, seine Festplatte auf MBR formatieren und ein System ohne UEFI installieren

 

[DaTaRebell]

Natürlich muss ich als Service-Spezi die Geräte der Kunden, wo immer möglich, auf den originalen Einrichtungen (auch mit UEFI) belassen.
Ich wollte nur verdeutlichen, das Nutzer ohne Service bei Problemen mit ihrem UEFI-System meist nicht mehr in der Lage sind, diese zu lösen.

Euch allen einen guten Rutsch ins Jahr 2015.
ed

 

[wolf66]

Prozessoren mit UEFI auf den Platinen.

UEFI ist genau so wie auch das BIOS in einem besonderen wieder beschreibbaren Chip hinterlegt und somit unabhängig vom Prozessor.
und BIOS und UEFI — Das müssen Sie wissen
Das ist nur ein Speicherchip von dem auch nur gelesen wird und hat nichts mit dem Prozessor zu tun.
Man kann also weiterhin den Prozessor austauschen, wenn man mehr Rechnerleistung haben will und das Bord dazu kompatibel ist.
Für die heute entwickelten Systeme und Komponenten war einfach die Grenze der Machbarkeit mit BIOS erreicht.

seine Festplatte auf MBR formatiere

Auch in einem BIOS-System könne Festplatten mit mehr als 2 TB genutzt werden, muss dann nur als GPT formatiert werden und dazu ist dann weiterhin ein 64-Bit-System Voraussetzung.
Inzwischen gibt es auch schon Programme, die den Wechsel von FAT/NTFS-Formatierung in GPT ohne Datenverlust durchführen können

edit:
Dafür zwei Beispiele
Disks von MBR zu GPT konvertieren ohne Datenverluste
Windows 7 x64 von MBR auf GPT-UEFI ohne Datenverlust


@DaTaRebell

originalen Einrichtungen (auch mit UEFI) belassen

aber zumindest so weit umstellen, dass ein "sicheres" arbeiten ohne vorgegebene Einschränkungen wieder möglich ist.

 

[DaTaRebell]

@wolf66:

aber zumindest so weit umstellen, dass ein "sicheres" arbeiten ohne vorgegebene Einschränkungen wieder möglich ist.

Eine System-Wartung/Reparatur besteht bei mir grundsätzlich aus folgenden Schritten:
1. Fehler-Behebung
2. Bereinigung
3. Backup
4. Updates für System, Hard- und Software
5. Installation von Software zur Erhöhung der System-Sicherheit und gegebenenfalls auch zur Erweiterung der Möglichkeiten zur Bedienung und Arbeit
6. Bereinigung
7. Backup
8. Einweisung des Nutzers, falls nötig

Aufgrund dieser Verfahrensweise habe ich seit 30 Jahren im Service eine nahezu 100%ige Erfolgsbilanz und ebensolche Zufriedenheit der Nutzer.

 

[CharlesEd]

Ok danke,man lernt nie aus. Das mit Prozessor,Platine und UEFI Chip hätte ich eigentlich wissen müssen und hab es wohl auch,falsch formuliert. Wie gesagt,mit euch hier,gibt es immer etwas Neues zu lernen,und nur solange ich etwas schreibe und Fragen stelle,die von euch korrigiert werden,wenn falsch,ist die ganze Sache hier von Wert. Hoffe auf eines neues konstruktives Jahr 2015. Danke und Prosit Charles