Windows 8 auf dem Desktop: Der Unterschied zwischen UEFI und BIOS

UEFI bringt viele Vorteile bezüglich Sicherheit und Startzeiten. Bei Dual-Boot-Szenarien mit Windows 8 und Linux können aber Probleme auftreten.

Was bieten Windows 8 und Windows Server 2012, das kein anderes Windows-Betriebssystem bisher hatte? Sie unterstützen...

UEFI (Unified Extensible Firmware Interface). Es ist der lang überfällige Ersatz für das allgegenwärtige BIOS, das uns seit Beginn der PC-Ära aus den Siebzigern begleitet. Was ist denn genau der Unterschied zwischen UEFI und BIOS? Der neue Ansatz ist ein ziemlich großer Schritt in der PC-Welt. Bevor Unternehmen nun vorschnell einen Umstieg auf Windows 8 erwägen, sollten Sie den Begriff UEFI zumindest verstehen.

Seit Jahren hat das BIOS (Basic Input Output System) die Kernfunktionalität bereitgestellt, die ein Computer zum Starten der Hardware brauchte. Weiterhin hat das BIOS den Boot-Vorgang des Betriebssystems eingeleitet, sobald die Hardware aktiviert war. Bis heute ist das BIOS für das Starten der meisten Computer zuständig.

Das BIOS spult auf einem Standard-PC Hardware-spezifischen Code ab und gibt dem Motherboard die ersten Anweisungen. Sind die ersten Schritte getan, gibt es die Kontrolle an das Betriebssystem ab. Allerdings ist das BIOS auf 1024 KByte Arbeitsspeicher beschränkt und kann nur bestimmte Arten von Hardware adressieren. Darüber hinaus gibt es ein Limit bezüglich Festplatten. Hier sind 2,2 TByte die Grenze.

Das BIOS der vergangenen Tage war niemals für die heutigen Computer-Umgebungen entwickelt. Selbst eine Maus ist dem BIOS schon zu hoch. Noch schlimmer ist, dass ein BIOS anfällig für Malware ist. Schadcode kann sich im Boot-Sektor des Computers einnisten, bevor das Betriebssystem überhaupt gestartet wird.

Der Unterschied zwischen UEFI und BIOS

Mit Windows 8 und UEFI konfigurierte Desktops können viele der Einschränkungen eines herkömmlichen BIOS umgehen. Auch wenn UEFI in vieler Hinsicht wie ein BIOS funktioniert, lässt sich damit der Startvorgang des Systems besser kontrollieren und verwalten. Ein UEFI-basierter Computer hat ein ausgefeilteres und umfangreicheres Boot-Interface. Es gibt mehr zu konfigurierende Optionen und die Rechner unterstützen zusätzliche Hardware-Typen.

Mit UEFI kann Windows 8 sogar auf die komplette Hardware des Computers zugreifen. Das beinhaltet die Maus, USB-Ports, Audio-Komponenten, Grafik- und Netzwerkkarten. Somit unterstützt ein UEFI-basiertes System auch Verbindungen über Ethernet, WLAN und Bluetooth. Ein Gerät lässt sich deshalb von außen untersuchen und reparieren, auch wenn das Betriebssystem gar nicht erst startet.

Darüber hinaus kann man das UEFI programmieren. Sie können dem Boot-Vorgang, der in der Regel sehr viel schneller als mit einem BIOS abläuft, Applikationen und Dienste anfügen. Schenkt man dem UEFI-Forum Glauben, kann UEFI mit Festplatten von bis zu 9,4 Zettabyte (ZByte) umgehen. Das ist jede Menge Holz. Im Jahre 2009 bestand das Internet aus geschätzten 500 Exabyte - die Hälfte eines Zettabytes.

Vergleicht man UEFI mit BIOS ist der größte Vorteil wahrscheinlich in Sachen Sicherheit zu finden. UEFI kann verhindern, dass unautorisierte Firmware, Betriebssysteme oder andere UEFI-Treiber während der Boot-Phase ausgeführt werden. Wie schon erwähnt, lassen sich Applikationen und Dienste während des Boot-Prozesses hinzufügen. In einer speziellen Umgebung vor dem Start des Betriebssystems kann UEFI verschlüsselte Treiber und Software verwenden. Nur wenn diese verifiziert sind, dürfen sie laufen.

Windows 8 macht sich die Möglichkeiten von UEFI zu Nutze und verwendet Secure Boot. Der Dienst soll verhindern, dass sich Malware in den Boot-Prozess einklinken kann. Secure Boot untersucht und authentifiziert jeden Bootloader. Weiterhin hält es eine Datenbank vor, in der sich Signaturen von Software und Abbildern befinden, die auf diesem Computer laufen dürfen. In diesem Fall führt der Rechner nur für UEFI zertifizierte Applikationen und Dienste aus.

Die Linux-Debatte

Auch wenn die UEFI-Welt viele Vorteile bringt, gibt es dennoch gewisse Herausforderungen. Die IT-Abteilung kann beim Ausrollen von Windows-8-Rechnern auf Probleme stoßen. Microsoft schreibt wenig überraschend vor, dass mit Windows 8 bestückte Rechner per Standard UEFI nutzen müssen, sollte der Hersteller die Computer mit dem Windows-8-Logo ausliefern wollen.

Somit laufen wiederum nur Betriebssysteme mit einer entsprechenden digitalen Signatur auf diesem Computer. Sofern Anwender ausschließlich Windows 8 ausführen wollen, gibt es hier wohl keine Probleme. Die Nutzer profitieren in diesem Fall sogar von UEFI, da der Boot-Vorgang schneller ist und weniger Neustarts notwendig sind. Aber wie sieht es aus, wenn der Anwender eine Dual-Boot-Konfiguration mit Linux auf dem Computer betreiben möchte?

Weil die Windows-8-Implementierung von UEFI Secure Boot voraussetzt, muss ein Betriebssystem wie Linux von einer vertrauenswürdigen Zertifizierungsstelle ein digitales Zertifikat erhalten. Möchten Sie nun einen Rechner mit Dual-Boot betreiben, braucht das Linux-Betriebssystem einen zertifizierten Schlüssel. Dieser muss Secure Boot bekannt sein. Ansonsten bestünde noch die Möglichkeit, Secure Boot zu deaktivieren. Sie würden aber den wichtigen Schutz beim Booten verlieren.

Die Linux Foundation hat eine Lösung für dieses Dilemma zur Verfügung gestellt. Das Betriebssystem selbst verfügt über einen Mini-Bootloader, der sich wie jede andere Software zertifizieren lässt. Dieser übergibt dann an einen anderen Bootloader, der nicht mehr unterzeichnet sein muss. Der Anwender bekommt anschließend einen Startbildschirm präsentiert. Dort kann er entscheiden, ob er Linux ausführen oder installieren möchte.

Allerdings müssen Anwender UEFI zunächst manuell konfigurieren. Um diesen Prozess so einfach wie möglich zu machen, enthält die Linux-Distribution eine Anleitung. Diese hilft dabei, die entsprechenden Schlüssel bei UEFI anzumelden. Somit wird der Boot-Prozess abgesegnet.

Das Problem an der Sache ist, dass der Anwender selbst Hand anlegen muss. Hier geht nichts automatisch. Außerdem kann sich der Prozess von Maschine zu Maschine unterscheiden. Allerdings muss der Linux-Distributor in diesem Fall keine Zertifikation von Microsoft für sein Produkt erwerben. Einige Anbieter haben sich gegen den Kauf eines solchen Zertifikats entschieden. Das hat in der Regel finanzielle oder moralische Gründe.

Einige Linux-Distributoren wie Fedora, Ubuntu oder openSUSE gehen anders an das Secure-Boot-Problem heran. Zusammen mit dem Betriebssystem liefern Sie einen kleinen Bootloader aus, der mit einem Microsoft-Zertifikat signiert ist. Dieser Bootloader lädt dann einen anderen, der nicht digital unterzeichnet ist. Er ist für den Startvorgang zuständig. In diesem Fall muss der Distributor ein von Microsoft unterzeichnetes Zertifikat erwerben. Der Unterschied zur Lösung der Linux Foundation ist, dass Sie hier weniger Handarbeit haben.

Wir haben das komplexe Szenario etwas vereinfacht dargestellt. Ein anderes Betriebssystem auf einem für Windows 8 zertifizierten Computer laufen zu lassen, ist nicht immer reibungsfrei. Wenn Ihr Unternehmen mit dem Gedanken bezüglich Dual-Boot spielt, sollten Sie sich vorher mit UEFI und potentiellen Stolpersteinen genau befassen.

Das oben genannte Szenario dürfte jedoch die Ausnahme für den durchschnittlichen Enterprise-Desktop sein. Die Vorteile von UEFI sind einfach größer als eventuell auftretende Probleme. Boot-Umgebungen mit UEFI lassen sich gegenüber einem herkömmlichen BIOS besser verwalten und bieten mehr Sicherheit. Weiterhin profitieren Anwender von schnelleren Startzeiten. Auf jeden Fall sind die guten alten BIOS-Zeiten wohl bald vorbei. Es ist auch an der Zeit, den PC in das 21. Jahrhundert zu führen.

Artikel wurde zuletzt im Juli 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Windows-Server

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close