Secure Boot im UEFI Bios (MSI) aktiviert aber Sicherer Start wird von Windows nicht erkannt

[B.]

Hallo,
ich habe folgendes Problem, hoffe dass mir da jemand Helfen kann.
Auf meinem MSI Mainboard ist im Bios (aktuellste Version) die Funktion Secure Boot aktiviert und das Bios ist im UEFI Modus. Trotzdem erkennt Windows den "Sicheren Start" nicht. (siehe Screenshot)
War mir bisher egal. Jetzt startet aber ein neu installiertes Programm nicht mit der Fehlermeldung, dass der Sichere Start auf meinem Computer nicht verfügbar ist.
Zusätzlich ist mir aufgefallen, dass Windows unter Gerätesicherheit ein gelbes Ausrufezeichen an der Kernisolierung anzeigt. (siehe zweiten Screenshot).
Steht das im Zusammenhang?
Wie kann ich den Sicheren Start für Windows aktivieren?
Vielen Dank vorab

 

[D.]

Hallo BastianPauli,

Ich bin Dave, ich werde dir dabei helfen.

Wenn Sie sicher sind, dass Ihr BIOS auf der Support-Seite für Ihren PC auf der Website des Herstellers vollständig auf dem neuesten Stand ist, und wenn Sie Bitlocker nicht zum Verschlüsseln Ihres Laufwerks verwenden, starten Sie das BIOS, suchen Sie die Option zum Wiederherstellen von TPM-Schlüsseln im Abschnitt Sicherheit und wenden Sie diese an, starten Sie dann Ihren PC neu und prüfen Sie, ob Windows Secure Boot im BIOS aktiviert sieht.

 

[U.]

Hallo
Ist im Bios CSM aktiviert wenn ja bitte deaktivieren
So das Only UEFI aktiv ist
Liebe grüße UWE

 

[W.]

. . . und ergänzend zu Uwe: Schau', ob Du im BIOS eine Option zur Aktivierung der HVCI (Hypervisor Protected Code Integrity) findest. Dann lässt sich voraussichtlich auch die (auf privat genutzten Rechnern überflüssige Kernisolierung ;-)) aktivieren.

 

[I.]

Im BIOS des Mainboards sollte es bei den SecureBoot Einstellungen eine Möglichkeit geben, die Schlüssel auf Standardwerte zu setzen. Aktiviere diese bitte. Sie sollte auf "Microsoft Keys" (oder ähnlich) gesetzt sein.
Bezüglich der Virtualisierung muss der Virtualisierungssupport im BIOS-Setup aktiviert sein. Ob das der Fall ist, zeigt msinfo32 etwas weiter unten:

 

[B.]

Hallo Uwe, ja irgendwie ist CSM als Modus im Bios angezeigt, obwohl in der msinfo32 als Bios Modus UEFI angezeigt wird. Ich konnte bisher nicht finden, wo ich das im Bios umstellen kann. Hier mal ein Screenshot davon

Da sieht man oben CSM weiß, wobei UEFI ausgegraut erscheint.

 

[B.]

Ja also in meiner msinfo32 sieht das so aus

Da steht in der Tat nichts von Sicherer Start... ich hab die Einstellung im Bios zum zurücksetzten der Standartwerte gesucht aber nichts gefunden womit man konkret Microsoft Keys setzten könnte.

Unter Key management kann man sich keys auslesen und speichern lassen. aber bezüglich MS Keys stand da nichts. Auf "Delete all secure boot variables" zu klick hab ich mich nicht so ohne weiteres getraut. Soll ichs mal mit all factory default keys versuchen?

 

[B.]

Danke, leider hat das zurücksetzten der TPM Schlüssel nicht zum Erfolg geführt. Das Bios ist das aktuellste was MSI auf der Seite für das Bord hat

 

[I.]

Was kannst du denn als Secure Boot Modus noch auswählen außer Standard?
Das CSM muss auf jeden Fall aus. Das sieht ja so aus, als wäre das aktiv. Auch wenn es nicht genutzt wird und das System im UEFI-Modus bootet, ist das CSM ein Hemmschuh. Irgendwo wirst du dazu eine Einstellung finden. Vermutlich bei den Boot-Optionen.

 

[U.]

Hallo
Laut englischer Beschreibung findest du es unter Boot Seite 63
https://de.msi.com/Motherboard/MPG-Z390-GAMING-PRO-CARBON/support#manual
Liebe grüße UWE

 

[D.]

Hallo BastianPauli,

Entschuldigung, ich war offline, booten Sie ins BIOS, ist die CSM-Unterstützung im BIOS aktiviert?

Wenn dies der Fall ist, deaktivieren Sie dies und prüfen Sie, ob Windows Secure Boot sehen kann.

 

[U.]

Hallo BastianPauli,Entschuldigung, ich war offline, booten Sie ins BIOS, ist die CSM-Unterstützung im BIOS aktiviert?Wenn dies der Fall ist, deaktivieren Sie dies und prüfen Sie, ob Windows Secure Boot sehen kann.

Hallo Dave
Wenn du dich hier in der CM eingeloggt hättest , hättest du dir diese Frage ersparen können und deine Frage zieht den Thread in die Länge da nicht mitgelesen wird
Liebe grüße UWE

 

[B.]

Hi und nochmals Danke an alle Beteiligten bisher für die Hilfen.
Also bei dem Auszug aus dem Manual meinst du bestimmt den Punkt Boot Mode Select oder?
Das steht allerdings auf UEFI ... trotzdem wird in der Kopfzeile vom BIOS CSM. Oder hat das damit gar nichts zu tun?

Ich hab bisher sonst keine Funktion gefunden um CSM abzuschalten ...

 

[U.]

Hallo
Dann lade dir das englische bitte runter und lies es bitte
Das mit CSM hat was damit zu tun was vorher unter Windows WHQL beschrieben wurde solange das aktiv ist bekommst du keine CSM Einstellungen zum ändern angeboten
Das Windows WHQL muss deaktiviert werden damit du das mit UEFI und UEFI+ Legacy( CSM) zu Gesicht bekommst unter dem Reiter Boot um es auf UEFI Only stellen zu können
So habe ich die Anweisung verstanden zum Board
Liebe grüße UWE

 

[B.]

Ok Problem gelöst, dafür neues Problem bekommen ...
Also laut MSI muss diese Windows 10 WHQL Funktion an sein. Damit blieb mein Monitor jedoch schwarz und startet nicht mehr. Und das liegt jetzt daran, dass meine Grafikkarte (der Displayport) nicht UEFI kompatibel ist. Über HDMI startet der PC normal und der sichere Start wird von Windows erkannt. jetzt muss ich "einfach" die Firmware der GPU aktualisieren und dann wäre auch der Displayport der Grafikkarte UEFI kompatibel und alles wäre gut.
Nur leider blockiert Windows jetzt die Installation der Firmware (von NVIDIA) weil es als unsicherer Treiber erkannt wird.
Wie kann ich denn Windows jetzt dazu überreden, dass ich den Treiber installieren kann?

 

[W.]

Bevor Du "Firmware" installierst, beantworte bitte noch einige Fragen:

• Der Monitor arbeitet nur dann nicht, wenn er am Display-Port-Ausgang des Boards angeschlossen ist?
• Nach Eingabe vom msinfo32 in einer Eingabeaufforderung werden Dir in der Zeile BIOS-Modus nun "UEFI" und in der Zeile Sicherer Startzustand "Ein" angezeigt?
• Wird ausschließlich die onboard-GPU, d. h. der im Prozessor integrierte Grafikchip (Intel UHD 930) verwendet, oder ist eine weitere Grafikkarte verbaut? Wenn ja, welche, bitte (findest Du auch in msinfo32 unter "Komponenten > Anzeige")?
• Hast Du zwischenzeitlich die (auf privaten PCs nicht erforderliche) Kernisolierung aktiviert?
  

 

[I.]

Nur leider blockiert Windows jetzt die Installation der Firmware (von NVIDIA) weil es als unsicherer Treiber erkannt wird.Wie kann ich denn Windows jetzt dazu überreden, dass ich den Treiber installieren kann?

Klemme den Monitor wieder an DisplayPort, schalte diese Windows 10 WHQL Funktion wieder aus, die du da erwähnt hast, dann sollten die Sicherheitsfunktionen ja wieder aus sein. Möglicherweise klappt auch dann das Firmware-Update für die Grafik. Falls ja, schaltest du danach dann wieder auf die sicheren Einstellungen um.

 

[B.]

Also zu den Fragen
Ich habe zwei Monitore. Einen am Display Port, einen an HDMI. Der PC Startet nicht wenn ein Monitor am Display Port hängt. Sobald ich diesen ausstecke und nur den zweiten Monitor am HDMI verwende bootet das System ganz normal und Windows erkennt den sicheren Start.
msinfo32 zeigt Sicherer Startzustand EIN
Es ist eine Nvidia 1060 Grafikkarte. Laut MSI Hotline ist das ein bekanntes Problem bei Nvidia Grafikkarten u.A. der 1000er Serie wie die 1060, die ich verwende. Es gibt dazu eine Firmware von Nvidia, die die Grafikkarte so aktualisiert, dass auch der Display Port UEFI fähig ist und ich wieder beide Monitore verwenden kann.
Ich habe die Kernisolierung aktiviert, indem ich unter dem gelben Ausrufezeichen auf "verwerfen" geklickt habe. Nach dem Neustart zeigt Windows die Kernisolierung als aktiv an mit einem grünen Symbol. Allerdings hatte ich auch schon wieder versucht die Kernisolierung zu deaktivieren, um die Firmware von Nvidia installieren zu können. Das hat allerdings nicht funktioniert.
Die Fehlermeldung sieht so aus

Wenn ich da auf weitere Informationen klicke wird erklärt, dass ich die Kernisolierung ausschalten soll. Das hatte ich aber bereits versucht und trotzdem die gleiche Fehlermeldung erhalten
Welche Funktion von Windows verhindert denn jetzt, dass ich diesen Treiber installieren kann?
Hier noch ein Auszug aus der msinfo32. Der sichere Startzustand ist nun aktiviert, indem im BIOS die Windows 10 WHQL Funktion aktiviert hatte. Nur jetzt brauch ich halt die neue Firmware in der Grafikkarte...

 

[I.]

Es gibt eine Treiber-Blocklist, auf der Microsoft bekanntermaßen unsichere Treiber blockiert. An sich müsste die aus sein, wenn die Kernisolierung aus ist.
Schalte ansonsten SecureBoot im BIOS wieder aus und die Kernisolierung in Windows. Danach sind die Sicherheitsfunktionen aus, dann müsste das Update auch laufen.

 

[W.]

Wenn Du die Version NVIDIA_DisplayPort_Firmware_Updater_1.0-x64.exe des Firmware-Updaters heruntergeladen hast, enthält diese vermutlich eine Sicherheitslücke (CVE‑2019‑5688), die von Windows erkannt wird und zur Blockade des Updates führt. Das kannst Du mW mit Bordmitteln von Windows nicht umgehen. Die Sicherheitslücke wurde von Nvidia zwar durch ein Update geschlossen, kann aber von privaten Anwendern nicht heruntergeladen werden.
Wende Dich bitte entweder an den Nvidia-Support NVIDIA-Kundendienst oder lade Dir einen aktuellen Treiber für die GTX 1060 hier Lade dir die neuesten offiziellen GeForce-Treiber herunter mit diesen Auswahlparametern herunter:

Bei der Installation des Treibers achte darauf, die benutzerdefinierte Installation zu wählen und ein Häkchen bei "Neuinstallation" zu setzen. Installiere auch nur den Treiber für die Grafikkarte. Evtl. reicht ein aktueller Treiber aus, um den DisplayPort wieder zum Arbeiten zu bringen.