So aktivieren Sie die Secure-Boot-Kompatibilität mit Ventoy

Ventoy ist ein praktisches Tool zum Erstellen von Multiboot-USB-Sticks, besonders wenn man keine Lust mehr hat, sich mit unzähligen separaten ISO-Boot-Setups herumzuschlagen. Es ist kostenlos, Open Source und funktioniert in der Regel gut auf verschiedenen Systemen. Sobald jedoch Secure Boot ins Spiel kommt, kann es etwas knifflig werden. Manche Nutzer stoßen beim Booten ihrer Ventoy-Sticks auf die lästige Fehlermeldung „Verifizierung fehlgeschlagen: (01XA) Sicherheitsverletzung“.Das ist besonders ärgerlich, da dies meist auf neueren UEFI-Systemen mit aktiviertem Secure Boot auftritt. Glücklicherweise lässt sich Secure Boot mit einigen Anpassungen aktivieren – hauptsächlich durch das Eintragen des Ventoy-Schlüssels oder -Hashs in die Trusted-Key-Datenbank des Systems. Allerdings ist die Vorgehensweise nicht immer sofort ersichtlich, und manche Nutzer möchten Secure Boot vielleicht lieber ganz deaktivieren – was absolut verständlich ist, wenn ihnen die Vorgehensweise zu kompliziert oder riskant erscheint.

Wenn Sie hingegen Secure Boot aktiviert lassen und Ventoy problemlos starten möchten, finden Sie hier einige bewährte Optionen. Beachten Sie jedoch, dass nicht jede Methode hundertprozentig funktioniert – insbesondere bei ungewöhnlichen Konfigurationen, stark variierenden BIOS-Einstellungen oder einer extrem streng geschützten Firmware. In den meisten Fällen sollten diese Schritte aber zumindest den Verifizierungsfehler beheben und Ihren USB-Stick wieder bootfähig machen, ohne die Sicherheitsfunktionen vollständig zu deaktivieren.

So beheben Sie Probleme mit dem sicheren Startvorgang bei Ventoy

Ventoys Schlüssel von der Diskette einlesen

Bei dieser Methode wird der Signaturschlüssel von Ventoy in die Datenbank des Maschinenbesitzerschlüssels (MOK) eingetragen – quasi eine Bestätigung des BIOS, dass dieses Laufwerk nun als sicher gilt. Sie eignet sich für alle, die Secure Boot nutzen möchten, ohne es komplett zu deaktivieren. Warum ist das nötig? Ganz einfach: Ohne die Registrierung des Schlüssels gibt das System beim ersten Start eine Fehlermeldung wegen einer Sicherheitsverletzung aus. Diese Methode funktioniert in der Regel, wenn das BIOS Sie beim Start zur Bestätigung der Schlüsselregistrierung auffordert.

1. Sobald beim Startvorgang die Meldung „Verifizierung fehlgeschlagen“ erscheint, drücken Sie die Eingabetaste.
2. Tippen Sie anschließend auf der Seite zur Verwaltung der Shim-UEFI-Schlüssel auf eine beliebige Taste (oder folgen Sie den Anweisungen auf dem Bildschirm), um fortzufahren.
3. Suchen Sie die Option „Schlüssel von Datenträger registrieren“, wählen Sie sie aus und drücken Sie dann die Eingabetaste.
4. Wählen Sie VTOYEFI aus, das Verzeichnis, das die EFI-Dateien von Ventoy enthält. Drücken Sie die Eingabetaste.
5. Wählen Sie die Datei aus ENROLL_THIS_KEY_IN_MOKMANAGER.cer– dies ist die eigentliche Schlüsseldatei – und drücken Sie dann die Eingabetaste. Manchmal müssen Sie im Verzeichnis EFI/ etwas navigieren, um diese Datei zu finden.
6. Wählen Sie anschließend im folgenden Bildschirm „ Weiter“ und bestätigen Sie mit „Ja“, dass der Schlüssel in die Liste der vertrauenswürdigen Schlüssel Ihres Systems aufgenommen wurde.
7. Wählen Sie abschließend „Neustart“ und lassen Sie das System neu starten. Wenn alles geklappt hat, sollte Ventoy jetzt problemlos starten.

Tipp: Dies funktioniert auf den meisten Systemen gut, insbesondere wenn Ihr BIOS Sie explizit zur MOK-Registrierung auffordert. Einige Systeme verlangen bei der ersten Registrierung ein Passwort – lassen Sie sich davon nicht verunsichern.

Hash von der Festplatte speichern (alternativer Ansatz)

Wenn Ihnen das Einlesen des Schlüssels von der Festplatte nicht zusagt oder Sie Ihr System stärker absichern möchten, können Sie versuchen, der spezifischen EFI-Binärdatei zu vertrauen, indem Sie deren Hashwert einlesen. Das ist etwas aufwendiger, aber ideal, wenn Sie langfristige Änderungen an Ihren vertrauenswürdigen Schlüsseln vermeiden möchten. Beachten Sie jedoch, dass Sie die gleichen Schritte benötigen, um ins MOK-Menü zu gelangen. Anstelle eines Schlüssels vertrauen Sie hier der Binärdatei selbst – gut für schnelle Lösungen, muss aber nach Updates möglicherweise wiederholt werden.

1. Folgen Sie den Schritten 1 und 2 der vorherigen Methode, um während des Bootvorgangs zum MOK-Verwaltungsbildschirm zu gelangen.
2. Wählen Sie „Hash von Festplatte einlesen“ und drücken Sie die Eingabetaste.
3. Wählen Sie auf dem Bildschirm VTOYEFI aus und drücken Sie anschließend die Eingabetaste.
4. Navigieren Sie zu EFI/ und dann in BOOT/.
5. Wählen Sie grubx64.efidie eigentliche Bootloader-Binärdatei aus und drücken Sie die Eingabetaste.
6. Wählen Sie bei der nächsten Aufforderung „ Weiter“ und anschließend „Ja“ und „Neustart“, wenn Sie dazu aufgefordert werden.

Dieser Vorgang vertraut dem Bootloader direkt, daher muss er nach Systemaktualisierungen oder dem Ersetzen der EFI-Dateien möglicherweise wiederholt werden. Nicht ganz so elegant wie die Registrierung eines Schlüssels, aber manchmal notwendig, wenn das BIOS sehr restriktiv ist.

Secure Boot deaktivieren (Manchmal am einfachsten)

Ja, wenn Sie keine Lust mehr auf die umständliche Registrierung haben – und ehrlich gesagt, manchmal ist es einfach leichter –, können Sie Secure Boot auch komplett deaktivieren. Es ist zwar etwas ärgerlich, dass Ventoy diese Funktion in Version 1.0.76 standardmäßig aktiviert hat, aber es ist machbar. Bedenken Sie jedoch, dass Sie durch das Deaktivieren von Secure Boot etwas angreifbarer werden, sich aber viel Ärger ersparen können, insbesondere wenn Ihr BIOS die Registrierung von Schlüsseln nicht ohne Weiteres unterstützt.

1. Starten Sie Ihren PC neu und drücken Sie die Taste, die die BIOS/UEFI-Einstellungen öffnet (oft Entf oder F2, F10 oder F12, je nach Hersteller Ihres Motherboards).
2. Suchen Sie nach einer Option für den erweiterten Modus oder die Einstellungen – manchmal ist das Drücken der Taste F7 im BIOS der richtige Weg.
3. Navigieren Sie zum Reiter „Sicherheit“ (kann je nach BIOS-Version abweichen).
4. Stellen Sie Secure Boot Control oder eine ähnliche Option auf Deaktiviert.
5. Speichern Sie Ihre Änderungen (normalerweise F10 ) und starten Sie das System neu.

Danach sollte Ihr System das Booten von Ventoy-USB-Laufwerken nicht mehr blockieren und es sollten keine Sicherheitsverstöße mehr auftreten.

Bedenken Sie, dass das Ändern von BIOS-Einstellungen etwas nervenaufreibend sein kann – gehen Sie daher vorsichtig vor. Bei manchen Geräten müssen Sie Secure Boot im BIOS-Menü des Betriebssystems deaktivieren und später bei Bedarf wieder aktivieren. Die BIOS/UEFI-Oberfläche ist manchmal recht uneinheitlich, sodass die Suche nach den richtigen Optionen etwas mühsam sein kann. BIOS-Updates können außerdem Optionen hinzufügen oder entfernen. Schlagen Sie daher im Handbuch Ihres Mainboards oder auf der Supportseite des Herstellers nach, falls Sie nicht weiterkommen.

Hoffentlich startet Ventoy damit reibungslos auf Ihrem Secure-Boot-System oder lässt sich zumindest leichter deaktivieren. Manchmal hilft nur ein bisschen Ausprobieren, bis es klappt – also nicht entmutigen lassen, wenn es beim ersten Mal nicht funktioniert.