TPM 2.0 und Secure Boot: So macht ihr euren PC fit für Windows 11

Witold Pryjda am 29.09.2021 15:52 Uhr
57 Kommentare
Als Windows 11 angekündigt wurde, gab es eine ziemlich große Überraschung bzw. einen großen Aufreger: Denn im Gegensatz zu den meisten früheren Windows-Versionen hat Microsoft be­schlos­sen, zwei signifikante Voraussetzungen bzw. Hürden ein­zu­bau­en: TPM 2.0 und Secure Boot.

Gleich vorweg: In beiden Fällen sind vermutlich Eingriffe ins UEFI/BIOS notwendig. Das klingt "gefährlich", ist es aber nicht. Man kann selbst im BIOS (steht für Basic Input/Output System) nicht viel falsch machen. Wer einmal daneben klickt oder etwas unabsichtlich verstellt, der kann jederzeit die Esc-Taste drücken oder in den Menüs auf die ganz rechte Seite gehen und dort Beenden ohne zu speichern.

Eine zweite Anmerkung vorweg: Auch wenn wir hier immer wieder von BIOS sprechen, so handelt es sich heutzutage vermutlich um UEFI (Unified Extensible Firmware Interface) bzw. eine Mischung aus BIOS und UEFI. Hinzu kommt, dass sich der Begriff BIOS auch durchaus eingebürgert hat und viele zwar UEFI meinen, aber BIOS sagen.

Bevor man derartige Eingriffe durchführt, sollte man allerdings das Windows 11 System-Check-Tool herunterladen und ausführen. Diese Anwendung verrät, ob ein PC für Windows 11 fit ist und wenn nicht, was zu tun ist, um die Mindestvoraussetzungen zu erfüllen. Das Programm verrät auch, ob TPM 2.0 bzw. der sichere Start, also Secure Boot, aktiv sind.

Lesetipp: Findet alle Anleitungen, Tipps und Trick in unseren Windows 11 FAQ

TPM 2.0 aktivieren

Die erste Einstellung, der wir uns widmen, ist das Trusted Platform Module, kurz TPM. Dabei handelt es sich um einen speziellen Chip, der dazu dient, Verschlüsselungs-Keys zu generieren, zu speichern und zu schützen. Ein solcher Chip ist in der Regel auf modernen Mainboards bereits integriert, kann aber im Notfall auch nachgerüstet werden. Bevor man das tut, sollte man aber überprüfen, ob auch CPU und sonstige Komponenten Windows 11 unterstützen, denn wenn man kein TPM an Bord hat, ist auch die Chance groß, dass der Rest der Hardware älteren Datums ist. Es gibt im Wesentlichen zwei Wege, TPM 2.0 zu aktivieren: über Windows 10 direkt und per Boot-Sequenz.

Windows 11 TPM- und Secure Boot-FAQ
Dieser Punkt ist das Ziel

Zunächst widmen wir uns dem Weg, der direkt über Windows 10 führt:

  1. Einstellungen öffnen
  2. Auf "Update und Sicherheit" klicken
  3. Auf "Wiederherstellung" gehen
  4. Bei "Erweiterter Start" den Knopf "Jetzt neu starten" drücken
  5. "Problembehandlung" anklicken
  6. In "Erweiterte Optionen" gehen
  7. Auf UEFI Firmware-Einstellungen gehen (Hinweis: Geräten mit Legacy-BIOS fehlt diese Option)
  8. "Neustart" drücken
  9. Nun landet man in den UEFI-Einstellungen. Hier ist jetzt Suchen angesagt, man muss den passenden Eintrag zum Trusted Platform Module (TPM) finden. Dieser ist oftmals bei Punkten wie Fortgeschritten oder Sicherheit platziert. Zudem versteckt sich das Ganze auch gerne hinter der Abkürzung fTPM. Einen allgemeingültigen Weg gibt es hier übrigens nicht, denn diese Einstellung unterscheidet sich von Hersteller zu Hersteller bzw. Mainboard zu Mainboard - man sollte also die Hersteller-Webseite oder auch das Handbuch bemühen
  10. Hat man die TPM-Einstellung gefunden, muss diese natürlich aktiviert werden (also auf "Enabled" stellen)
  11. Nun sollte man die UEFI-Einstellungen verlassen
  12. Die Einstellungen sind zu bestätigen und der PC muss neu gestartet werden

Der oben erwähnte Weg ist letztlich nur einer von zwei möglichen, um ins UEFI bzw. BIOS zu kommen. Wer das nicht über Windows 10 durchführen kann oder will, sollte den PC neu starten bzw. regulär einschalten. Im Zuge des Boot-Vorgangs kommt als Erstes eine Anzeige bzw. ein Bootscreen bzw. sogenannter Bootsplash. Darüber gelangt man dann ins BIOS, und zwar nach dem Drücken einer bestimmten Taste (welche genau, klärt ein kurzer Blick ins Handbuch. Meist ist es die Taste F2 oder Entf.).

Ins UEFI per Neustart gelangen:

  1. Computer einschalten
  2. Auf dem Bootscreen sollte zu lesen sein, welche Taste man drücken muss, um zur Firmware zu kommen
  3. Diese Taste sollte man am besten mehrfach hintereinander drücken, um den richtigen Zeitpunkt nicht zu verpassen. In der Regel ist das die Entfernen-Taste, auch Esc oder Funktionstasten (vielfach F2) sind hier gerne in Verwendung
  4. Man landet in den UEFI-Einstellungen und sollte wie oben ab Punkt 7 beschrieben vorgehen.

Windows 11 TPM- und Secure Boot-FAQ
So könnte ein klassisches UEFI (BIOS) aussehen - Beispiel: ASUS

Secure Boot aktivieren

Secure Boot ist die zweite wichtige Funktion, die Microsoft für Windows 11 voraussetzt. Der "sichere Start" dient dazu, dass das System nur vorher signierte Bootloader zulässt. Das erhöht die Sicherheit, weil sich Schadsoftware nicht beim Systemstart einschleichen kann.

Um Secure Boot in den UEFI-Einstellungen einzuschalten, muss man wie oben beschrieben vorgehen, weshalb wir an dieser Stelle nicht erneut Schritt für Schritt alles aufzählen. Bevor man das macht, sollte man allerdings überprüfen, ob Secure Boot nicht vielleicht schon aktiv ist.

So überprüft man, ob Secure Boot aktiv ist oder nicht:

  1. Start öffnen
  2. Nach "System Information" suchen, dafür genügt normalerweise das Eintippen des Wortes "Systemi*", das passende Symbole sollte auch als erstes Ergebnis kommen
  3. In der System-Übersicht sollte man den Punkt Secure Boot State suchen, dort erfährt man, ob Secure Boot aktiv ist oder nicht
  4. Überdies sollte man den "BIOS Mode" checken: Steht dort UEFI, dann kann Secure Boot ohne großen Aufwand aktiviert werden, bekommt man "Legacy (BIOS)" oder "Vorgängerversion" zu lesen, sind zusätzliche Schritte erforderlich.

Windows 11 TPM- und Secure Boot-FAQ
BIOS-Modus muss auf UEFI eingestellt sein, damit der Sichere Startzustand funktioniert

Wie bereits erwähnt, gilt es nun wieder (wie zuvor erläutert und beschrieben), ins UEFI/BIOS zu kommen. Dort sollte Secure Boot aktiviert werden, allerdings ist das genaue Wo von Board-Hersteller zu Board-Hersteller anders. In der Regel ist dieser Punkt aber unter "Sicherheit" zu finden. Ist er das nicht, sollte man das Handbuch oder die Hersteller-Webseite zurate ziehen.

Secure Boot ist zwar an, aber BIOS-Mode ist auf Legacy - was jetzt?

Hat man Secure Boot erfolgreich aktiviert und führt das System-Check-Tool für Windows 11 aus, kann es sein, dass man immer noch nicht fit für das neue Betriebssystem ist. Das liegt wie erwähnt am Legacy-Modus des BIOS. Grund ist, dass man das Laufwerk von Master Boot Record (MBR) auf das von UEFI verwendete GUID Partition Table (GPT) umstellen muss.

Microsoft-Anleitung zum Einsatz des MBR2GPT-Tools in Windows 10
videoplayer
Das wird normalerweise während einer Neuinstallation durchgeführt. Doch keine Angst: Diese ist nicht erforderlich. Man kann die Umstellung im laufenden Betrieb und ohne Datenverlust durchführen, und zwar mithilfe eines simplen Microsoft-Tools namens MBR2GPT.exe - dieses sollte sich bereits im korrekten Ordner befinden (C:\WINDOWS\system32)

  1. Eingabeaufforderung über Start suchen
  2. Rechtsklicken und als Administrator ausführen
  3. Folgenden Befehl eingeben oder kopieren: mbr2gpt /convert /allowfullOS
  4. Enter drücken und Kommando ausführen
  5. Das ist es auch schon, danach kann man in die Firmware gehen, um den UEFI-Modus einzustellen

Zum großen Windows 11 Special Alle Infos, News und Termine im Überblick
Video-Rundgang durch Windows 11: Die wichtigsten Neuerungen
videoplayer
57 Kommentare lesen & antworten
Desktop-Version anzeigen
Hoch © 2022 WinFuture Impressum Datenschutz Cookies