Einrichtung von Geräten über die Softwareverteilung#

BIOS/UEFI-Einstellungen#

Compatibility Support Module (CSM) / BIOS Boot Mode#

Zur Installation von Windows 11 ist es erforderlich, das Betriebssystem mittels UEFI zu installieren. Bei Verwendung von Windwos 11 sollte der Compatibility Support Module (CSM) also deaktiviert bzw. der BIOS Boot Mode auf UEFI eingestellt werden. Alle anderen Betriebssysteme lassen sich in beiden Modi installieren, wobei wir den Einsatz von UEFI empfehlen.

Secure Boot#

Zur Installation von Windows 11 empfiehlt Microsoft die Aktivierung von UEFI Secure Boot. Die Aktivierung von Secure Boot ist zur Installation von Windows 11 mit IServ allerdings nicht notwendig. Die verwendete Hardware muss lediglich Secure Boot prinzipiell unterstützen. Um ein Gerät mit eingeschalteter Secure Boot-Option per IServ Softwareverteilung installieren zu können, müssen Sie zusätzlich das IServ Secure Boot-Zertifikat importieren.

Die genauen Schritte zum Import des Zertifikates unterscheiden sich je nach Gerätehersteller und -typ. Wir führen nachfolgend verschiedene Alternativen auf.

Import per UEFI-Menü#

  1. Zertifikat herunterladen.

Unser Secure Boot-Zertifikat können Sie auf unserer Webseite herunterladen.

  1. Dateien auf USB-Stick schreiben.

Formatieren Sie einen USB-Stick mit einer FAT/FAT32-Partition und hinterlegen Sie die heruntergeladenen Dateien auf dem USB-Stick.

  1. USB-Stick an zu installierendes Gerät anschließen.

  2. Gerät neustarten und in das UEFI-Menü booten.

Während des Neustarts drücken Sie dafür eine herstellerspezifische Taste, i.d.R. ESC, Entf, F1, F2, F10, F11, oder F12. Ist bereits ein Betriebssystem installiert, bietet dieses möglicherweise eine Option, um direkt in die UEFI-Einstellungen zu booten.

  1. Secure Boot aktivieren.

  2. Ggf. „Secure Boot Mode“ auf „Custom“ umstellen.

  3. „Key Management“ aufrufen.

  4. An die „db“ mithilfe der Datei „db.auth“ weitere Signaturen anhängen.

Sie sollten die Möglichkeit haben, an die „db“ des Gerätes weitere Signaturen anzuhängen. Die nötigen Signaturen befinden sich in der Datei „db.auth“ auf dem von Ihnen beschriebenen USB-Stick. Die Auswahl des USB-Gerätes erfolgt anhand des EFI-Pfades des Gerätes. Achten Sie zu einfachen Auswahl auf die Zeichenketten „USB“ und „HD“. Bitte beachten Sie dabei, dass die „db“ nicht vollständig überschrieben werden darf. Sie müssen lediglich neue Einträge anfügen („append“).

  1. Wiederholen Sie den Vorgang mit „KEK“ und der Datei „KEK.auth“.

Import über den Setup Mode#

Ggf. unterstützt Ihr Gerät nicht den direkten Import über das UEFI-Menü. Ist dies der Fall, so müssen Sie unser Secure Boot-Zertifikat über den Setup Mode importieren. Da im Setup Mode mind. der Platform Key (PK), ggf. aber auch weitere Schlüssel zurückgesetzt werden, müssen diese zunächst gesichert werden, bevor ein Import erfolgen kann. Baugleiche Geräte verwenden üblicherweise die gleichen Schlüssel und Signaturen. Bei diesen Geräten können Sie die Anleitung dann ab dem Punkt 7 fortsetzen.

  1. IServ-Installationsmedium mit Persistenz-Option auf USB-Stick schreiben

Unser Installationsmedium finden Sie, inklusive einer Anleitung zum Beschreiben des USB-Sticks, auf unserer Webseite. Achten Sie darauf, dass Sie die ISO-Datei auf einen USB-Datenträger schreiben. DVDs bieten aus technischen Gründen keinen persistenten Speicher.

  1. Vom USB-Stick booten.

  2. Das Rettungssystem starten.

  3. „start UEFI Key Manager“ auswählen.

  4. „export Signatures“ auswählen.

  5. Den vorgegebenen Speicherort mit Enter bestätigen.

  6. In das UEFI-Menü des Gerätes booten.

  7. Den Secure Boot „Setup Mode“ aktivieren.

In der Regel wird der Setup Mode aktiviert, in dem Sie den Platform Key (PK) löschen.

  1. Das IServ-Rettungssystem erneut starten.

  2. „start UEFI Key Manager“ auswählen.

  3. „import signatures and append IServ vendor certificate“ auswählen.

  4. Die angegebenen Speicherorte mit Enter bestätigen.

  1. In das UEFI-Menü des Gerätes booten.

Das Gerät sollte sich nach dem nächsten Neustart automatisch wieder im „User Mode“ befinden.

  1. Secure Boot Status überprüfen.

Trusted Platform Module (TPM) 2.0#

Zur Installation von Windows 11 ist die Aktivierung des Trusted Platform Module (TPM) 2.0 nötig.

SATA-Modus/RAID#

Wählen Sie im BIOS/EFI des Systems unter dem Menüpunkt „SATA-Modus“ die Option „AHCI“ oder „NVMe“ aus. Eine Installation im RAID-Modus ist nicht möglich.

Administrator-Passwort#

Wir empfehlen das Setzen eines Administrator-Passwortes im UEFI/BIOS, um die unautorisierte Änderungen von Einstellungen, insbesondere der Bootreihenfolge, zu verhindern. Sie sollten kein System-Passwort setzen, da dieses zum Boot des Systems benötigt wird.

Netzwerkboot#

Zur Installation des Gerätes muss einmalig der Boot mithilfe des Netzwerkboots (PXE) über IPv4 erfolgen. Bei nachfolgenden Boots kann der Netzwerkboot auch weiter an erster Position bleiben. Es wird dann beim Boot für wenige Sekunden ein Menü angezeigt, dass Administratoren die Neuinstallation von Geräten ermöglicht. Bei EFI-Installationen wird die Bootreihenfolge ggf. durch die Installationsroutine des Betriebssystems geändert. Ein erneuter Boot findet dann nicht per PXE statt. Wir empfehlen außerdem den Boot von Wechseldatenträgern wie CDs/DVDs und USB-Datenträgern zu deaktivieren.

Installation des Betriebssystems#

Die Installation des Betriebssystems kann entweder über das Bootmenü oder über eine Zuweisung in der Softwareverteilung erfolgen. Weitere Hinweise finden Sie in der Dokumentation des Softwareverteilungs-Moduls.