FAQ: UEFI-BIOS

Was ist ein UEFI-BIOS?

¯??? Was macht ein UEFI-BIOS anders als ein „normales“ BIOS?

¯!!! Moderne Computer haben ein Basic Input/Output System (BIOS), das die Spezifikation des Unified Extensible Firmware Interface (UEFI) erfüllt. Letztere schreibt einen großen Funktionsumfang verpflichtend vor, beispielsweise wie sich die Einträge für Boot-Reihenfolge per Software schreiben, löschen und ändern lassen. Das nutzen die Setup-Routinen von Betriebssystemen dazu, um ihren eigenen Bootloader einzutragen.

UEFI- oder BIOS-Startmodus?

¯??? Wie erkenne ich, ob mein Betriebssystem im UEFI- oder BIOS-Modus gestartet ist?

¯!!! Unter Windows rufen Sie die Systeminformationen auf (msinfo32.exe). Ist dort der „Sichere Startzustand“ aktiv, also UEFI Secure Boot, dann ist sofort klar, dass auch im UEFI-Modus gestartet wurde. Ansonsten zeigt der Wert des Elements BIOS-Modus den Startmodus an: UEFI oder „Vorgängerversion“.

UEFI Secure Boot

¯??? Was ist Secure Boot?

¯!!! Wenn die UEFI-Funktion Secure Boot aktiviert ist, startet ein UEFI-BIOS ausschließlich kryptografisch signierte Bootloader, für die Zertifikate im BIOS-Code hinterlegt sind. Die Schlüsseldatenbanken für erlaubte oder auch ausdrücklich verbotene Bootloader lassen sich per BIOS-Update, aber etwa auch per Windows-Update ändern. Damit lassen sich beispielsweise bösartige Bootloader nachträglich blockieren.

Viele gängige Linux-Distributionen funktionieren auch mit Secure Boot. Unter anderem Debian GNU/Linux, Arch Linux und viele ältere Distributionen allerdings nicht. Wer solche oder auch Windows 7 nutzen will, muss Secure Boot abschalten. Das ist bei den meisten Windows-Rechnern möglich, doch es gibt Ausnahmen, vor allem bei Windows-Tablets.

UEFI-BIOS bootet im BIOS-Modus

¯??? Kann ein UEFI-BIOS ein Betriebssystem genauso starten, wie es klassische PC-BIOSse jahrzehntelang gemacht haben?

¯!!! Ja, sofern im Firmware-Code ein sogenanntes Compatibility Support Module (CSM) enthalten ist. Secure Boot funktioniert dann aber nicht und ein im BIOS-kompatiblen Boot-Modus gestartetes Betriebssystem oder Setup-Programm kann unter anderem keine UEFI-Boot-Einträge anlegen.

Die meisten Desktop-PCs und fast alle einzeln verkaufte Mainboards für Desktop-PCs haben ein UEFI-BIOS mit CSM. Windows-Tablets mit der Energiesparfunktion Modern Standby hingegen haben oft kein CSM, es fehlt auch Windows-Notebooks mit ARM-SoCs. Ab 2020 will Intel darauf drängen, dass die PC-Hersteller kein CSM mehr einbauen. Dann werden nur noch Betriebssysteme booten können, die UEFI beherrschen.

BIOS-Startmodus aktivieren

¯??? Wie schalte ich den BIOS-kompatiblen Startmodus ein?

¯!!! Viele einzeln verkaufte Mainboards für Desktop-PCs wählen automatisch den BIOS-Startmodus mit CSM, sobald sie einen bootfähigen Datenträger mit Master Boot Record (MBR) und klassischem Bootloader erkennen. Dann müssen Sie nichts umschalten.

Bei manchen UEFI-BIOSsen muss man im Setup zunächst Secure Boot abschalten, dann neu starten, wieder das BIOS-Setup aufrufen und dann erst das CSM aktivieren. Die Option dazu heißt aber manchmal überraschend, bei manchen Boards versteckt sie sich etwa hinter einem Verweis auf das installierte Betriebssystem: Bootmodus „Win 7“ entspricht dann dem BIOS-Bootmodus, „Win 8“ oder „Win 10“ dem UEFI-Modus mit Secure Boot. Letztlich hilft das Handbuch oder der Hersteller-Support.

Vorteile des UEFI-BIOS

¯??? Was sind eigentlich die Vorteile eines UEFI-BIOS im Vergleich zum „alten“ BIOS?

¯!!! Die wesentliche neue Funktion ist Secure Boot. Unter Windows kommt hinzu, dass der Windows-Bootloader nur dann auf einem Datenträger mit mehr als 2 TByte liegen darf, wenn das System im UEFI-Modus startet – das ist allerdings eine willkürliche Vorgabe von Microsoft.

UEFI erleichtert auch die parallele Installation mehrerer Betriebssysteme auf demselben System und spezifiziert eine Standardfunktion für Firmware-Updates (Capsule Update), die proprietäre BIOS-Update-Software ablösen kann – auch unter Linux. Bisher nutzen das aber erst wenige Firmen.

Weitere Vorteile sind bei privat genutzten Windows-PCs eher theoretischer Natur. So bringt UEFI zwar bessere Möglichkeiten zur Verwaltung mehrerer parallel installierter Betriebssysteme, aber die sind oft eigenwillig implementiert.

Einige Sonderfunktionen von Intel-Chipsätzen, insbesondere NVMe-RAID für M.2- und PCIe-SSDs, funktionieren nur beim Start im UEFI-Modus. Letztlich ist der UEFI-Startmodus zukunftssicherer, falls man etwa später einmal das Mainboard austauschen muss, weil ab 2020 immer weniger Systeme erscheinen werden, die im BIOS-Modus starten können.

Boot-Einträge bearbeiten

¯??? In meinem BIOS-Setup ist der Boot-Eintrag „Windows Boot Manager“ doppelt angelegt. Kann ich die Dublette beseitigen?

¯!!! Im Prinzip schon und zwar sogar mit Windows-Bordmitteln, nämlich mit dem Kommandozeilenwerkzeug bcdedit (siehe ct.de/yn1u). Das ist allerdings ziemlich kompliziert. Einfacher klappts mit dem Tool EasyUEFI.

Secure Boot abschalten

¯??? Wie schalte ich Secure Boot ab?

¯!!! In vielen BIOS-Setups findet sich die Option zum Ein- und Ausschalten von Secure Boot im Untermenü „Security“, manchmal aber auch bei „Boot“ oder an überraschenden anderen Stellen. Bei einem älteren Acer-Notebook erschien die Option erst, nachdem ein Passwort für den Aufruf des BIOS-Setup vergeben wurde.

Windows verträgt es bislang problemlos, wenn man bei einer UEFI-Installation Secure Boot nachträglich ein- oder ausschaltet. Wenn der BIOS-Bootmodus aktiv ist, ist Secure Boot zwangsläufig abgeschaltet.

UEFI Secure Boot einschalten

¯??? Mein PC startet im UEFI-Modus, aber ohne Secure Boot. Wie aktiviere ich letzteres?

¯!!! In den meisten UEFI-BIOS-Setups findet sich dazu eine Option, siehe vorstehende Antwort. Die alleine aktiviert Secure Boot aber nicht immer oder ist sogar zunächst ausgegraut. Bei älteren PC-Mainboards und PC-Barebones muss man zuvor erst die für Secure Boot nötigen digitalen Zertifikate ausdrücklich laden. Dazu gibt es dann Optionen mit Bezeichnungen wie „Load Default Keys“. Manchmal ist anschließend sogar ein Neustart nötig (Save Changes and Restart, F10- oder F4-Taste), bevor man wieder das BIOS-Setup aufrufen und dort den Secure-Boot-Modus „Standard“ einstellen kann. Erst danach lässt sich Secure Boot auch aktivieren.

Solche BIOSse kennen oft auch den „Custom“-Modus für Secure Boot, der mit anderen digitalen Zertifikaten als denen von Microsoft arbeitet. Die nötigen Zertifikate müsste man aber erst erstellen und per USB-Stick ins System importieren, bevor man Secure Boot einschalten kann.

Windows will kein GPT trotz UEFI-Modus

¯??? Ich möchte Windows in eine einzige große Partition auf meiner 3-TByte-Festplatte installieren, die dazu eine GPT haben muss. Doch obwohl ich im BIOS-Setup UEFI eingestellt habe, behauptet das Windows-Setup-Programm, keine GPT-Platte verwenden zu können.

¯!!! In diesem Fall hat Sie das Mainboard in die Irre geführt und trotz Einstellung auf UEFI im CSM-Modus gebootet. Das machen viele Boards, wenn sie erkennen, dass es im UEFI-Modus Probleme geben kann, beispielsweise wegen einer Grafikkarte, deren VGA-BIOS nicht UEFI-tauglich ist. Es bleibt dann nur, im BIOS-Setup den CSM-Modus komplett zu deaktivieren.

In welchem Modus das meckernde Windows-Setup-Programm gestartet wurde, lässt sich übrigens herausfinden. Öffnen Sie mit der Tastenkombination Umschalt+F10 eine Eingabeaufforderung und tippen Sie darin zwei Befehle ein:

Hangeln Sie sich im Registry-Editor zum Schlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control durch. Wenn der Wert des Eintrags PEFirmwareType auf 1 steht, wurde im CSM-, bei einer 2 hingegen im UEFI-Modus gebootet.

Windows-10-Setup will partout GPT-Partition

¯??? Ich habe Windows 7 auf der Festplatte und will Windows 10 daneben installieren. Das Setup-Programm verweigert das aber, weil das nur auf einer GPT-partitionierten Platte gehe, während auf meiner Platte ein herkömmlicher MBR ist.

¯!!! Ihr PC kann offenbar sowohl im UEFI- als auch im BIOS-Modus starten. Das gilt auch für ein Windows-10-Installationsmedium. Das Windows-Setup startet bei Ihrem System im UEFI-Modus und verlangt folgerichtig eine GPT-Platte. Wenn Sie auf einen MBR-Datenträger installieren wollen, muss das Windows-Setup im BIOS-kompatiblen Modus starten, was Sie mit einem simplen Trick erzwingen können, sofern Sie einen USB-Stick als Setup-Medium verwenden: Benennen Sie direkt im Wurzelverzeichnis den Ordner „efi“ sowie die Datei „bootmgr.efi“ beliebig um. Das legt den UEFI-Bootloader lahm, sodass vom Medium nur noch im BIOS-Modus gestartet werden kann.

Parallelinstallation von Windows 7 und 10

¯??? Auf der ersten Festplatte meines PC läuft seit Langem problemlos Windows 7. Nun habe ich eine zweite Platte eingebaut und darauf Windows 10 installiert, das klappte auch problemlos. Entgegen meinen Erwartungen erscheint beim Starten des PC nun aber kein Bootmenü, sodass ich nur Windows 10, nicht aber Windows 7 booten kann. Was ist denn da passiert?

¯!!! Die Ursache liegt möglicherweise im UEFI-BIOS: Nicht jedes Mainboard hält sich konsequent an die per BIOS-Setup vorgegebene Einstellung für den UEFI- oder BIOS-Bootmodus.

In Ihrem Fall war das anfangs zu Ihrem Vorteil: Obwohl das Mainboard auf den UEFI-Modus eingestellt war, erkannte es erst beim Installieren und dann bei jedem Start von Windows 7, dass der Betriebssystem-Oldie nur im BIOS-Modus booten konnte – woraufhin das Mainboard eben bei jedem Hochfahren heimlich im BIOS-Modus startete, obwohl etwas anderes eingestellt war.

Nun aber haben Sie vom Windows-10-Installationsmedium gebootet und das kann auch im UEFI-Modus starten. Daher blieb das Mainboard beim Starten in diesem Modus. Und weil während der Installation von Windows 10 im UEFI-Modus ein passender UEFI-Booteintrag ergänzt wird, findet das Mainboard nun bei jedem Start einen UEFI-kompatiblen Bootloader. Es sieht so keinen Grund mehr, heimlich auf den BIOS-Modus umzustellen. Das wiederum hatte Auswirkungen während der Installation von Windows 10: Weil Windows 7 im dann gerade aktiven UEFI-Modus nicht booten kann, fand das Windows-10-Setup-Programm kein weiteres bootfähiges Windows, weshalb es Windows 7 nicht einbinden konnte.

Sie sollten Windows 7 aber trotzdem noch starten können, nur eben nicht über den Windows-Bootloader. Denn über das BIOS-Bootmenü (BIOS Boot Select, BBS) ist es normalerweise weiterhin aufrufbar. Das erscheint meist durch Drücken von Entf, F1, F2 oder F12 beim Anschalten des PC.

Dauerhafte Abhilfe gibt es nur, wenn Sie bei Ihrem BIOS den BIOS-Startmodus wirklich konsequent erzwingen können – das lässt sich nur durch Ausprobieren klären. Doch auch dann ist es kompliziert: Erstellen Sie mit c’t-WIMage (siehe c’t 5/2016, S. 126) ein Abbild von Windows 10. Stellen Sie anschließend im BIOS-Setup auf den BIOS-Startmodus um und spielen Sie danach das Abbild wieder zurück (siehe c’t 5/2016, S. 132). Danach sollte der Bootloader beide Windows-Installationen zum Start anbieten. (ciw@ct.de)

UEFI-Tools:ct.de/yn1u