Windows 10 és 11 UEFI Telepítés: Részletes Útmutató és Fontos Információk

A Windows 10/11 UEFI telepítési menete jellemzően ~2015-nél nem régebbi gyártású ATX és ITX gépekre vonatkozik, de fontos ismerni a részleteket a sikeres folyamat érdekében. Egy igazán tiszta Windows 10 telepítéshez feltétlenül telepítő adathordozóról kell bootolni, hiszen a Windows 10 frissítés Windows 8.1-ről hagyta a Surface gépemet a képen látható partíciókkal, melyekre már nem volt szükség.

Windows 10 esetén általában javasolt az egyszerű frissítés, amely megőrzi az alkalmazásokat (modern és asztali), adatokat és beállításokat. Azonban a Surface Pro 3 (SP3) esetében tiszta telepítést szerettem volna végezni, beleértve a már nem szükséges Windows 8.1 partíciók eltávolítását is.

Telepítő Pendrive Elkészítése

A telepítés megkezdése előtt szükségünk lesz egy legalább 8 GB méretű pendrive-ra. Először töltsünk le egy Windows 10 vagy 11 ISO fájlt bárhonnan. Ehhez készítsen elő egy legalább 8 GB méretű USB-meghajtót (ne használja a biztonsági másolatokat tartalmazó meghajtót, mert törlődik), majd töltse le és futtassa a Windows 11 Media Creation Tool eszközt egy másik számítógépen.

Egy NTFS-re formázott pendrive-ra rámásolhatjuk a fájlkezelővel (duplakattintással) felcsatolt ISO tartalmát. Ezzel elkészült a bootolható telepítő pendrive. Fontos tudni, hogy a pendrive-nak nem kell üresnek lennie, tárolhatunk mellette más adatokat, fájlokat, drivereket stb.

Amennyiben a Media Creation Tool-lal (MCT) letöltött ISO-t használunk, Fat32 formátumot célszerű használni. Az USB stickeknek UEFI bootoláshoz FAT32 formátumúnak kell lenniük, habár a jelenlegi szabványos Microsoft eszközök lehetővé teszik az NTFS formátum létrehozását is. Régebbi, ntfs/exfat-et nem ismerő alaplapokhoz a régebbi leírást célszerű használni. Vagy ha már le van töltve az ISO, akkor a pendrive-ot formázd át Fat32-re és a másolás után kövesd a vonatkozó útmutatót.

Mint látható, a pendrive elkészítése gyakorlatilag operációs rendszer-független; Linux, Windows egyre megy, sőt emelt szintű jogosultság sem szükséges (mint az MCT-hez). A listában meg fog jelenni a pendrive is (mert remélhetőleg előtte bedugtuk), a mérete alapján meg fogjuk ismerni. Ezután már csak rá kell másolnunk a telepítőkészletet a pendrive-ra.

BIOS/UEFI Beállítások

A telepítés előtt érdemes a BIOS-ban ellenőrizni és beállítani néhány fontos opciót. A BIOS-ban a CSM (Compatibility Support Module) kapcsolót ki kell kapcsolni; a Secure Boot-ot be kell kapcsolni; a TPM-nek is bekapcsolva kell lennie. Ez a módszer Secure Boot kompatibilis. Ha van a gépben másik fizikai lemez telepített operációs rendszerrel, akkor azt vagy húzzuk le, vagy tiltsuk ki a bootolásból, mielőtt a pendrive-ról bootolunk.

A Telepítési Folyamat

A telepítési adathordozó létrehozása után csatlakoztassuk a számítógéphez, és indítsuk el UEFI módban. Bootkor az UEFI: kezdetű pendrive-ot kell választani a BIOS gyors bootmenüben. Az alaplapgyártóknál ez eltérő lehet; jellemzően az F8 (ASUS), F11 (ASRock, MSI) vagy F12 (Gigabyte, Dell) gomb megnyomásával érhető el. A pontos eljárás az alaplapgyártóknál eltérő, ezért kérjük, olvassuk el a felhasználói kézikönyvet a részletekért.

Indítás után válasszuk a "Telepítés most" lehetőséget. Kövesse az utasításokat, és a telepítés típusának kiválasztásakor válassza az "Egyéni: Csak Windows telepítése" lehetőséget. A következő telepítési képernyőn törölje az összes partíciót (beleértve az EFI-t, a fenntartott és a helyreállítási partíciókat is) a rendszerlemezről. Válassza ki a fel nem osztott helyet, és adjuk meg telepítési célnak, majd válassza a "Tovább" lehetőséget. Mindössze ennyi az egész. Next, next, next és már: Készen is vagyunk!

Telepítés Után és Illesztőprogramok

Amikor a telepítés során licenckulcsot kér, mindig ugorjuk át. A Windows 10 automatikusan aktiválódik. Telepítés után, mielőtt bármilyen Windows frissítést telepítenénk, a vezeték nélküli internet már működni fog. Az Eszközkezelő sok hiányzó eszközmeghajtót mutathatott. Egyszerűen futtassuk a Windows frissítést. Miután az összes frissítés telepítve lett, az Eszközkezelő már nem mutatott hiányzó illesztőprogramokat. Javaslom, hogy mindig legyen otthon egy így megírt aktuális Windows 10/11 telepítő pendrive-unk, amin külön könyvtárba oda van másolva pár kicsomagolt driver (LAN, IRST/VMD) is.

Speciális Tippek és Megoldások Windows 11 esetén

Windows 11 esetén nem kompatibilis gépen cseréljük le a \sources\appraiserres.dll fájlt egy 0 bájtosra a korlátozások kikerüléséhez (vagy \sources\setupprep.exe /product server parancsot futtassunk) a pendrive-on (csak régi géphez). Aki pedig nem akar Microsoft fiókot használni, az az első újraindulás után húzza le a hálókábelt és Shift + F10 -el parancssort nyitva írja be az OOBE\BYPASSNRO kódot, és akkor kiválasztható lesz a helyi fiók. A 25H2 verziótól kezdve használható a start ms-cxh:localonly vagy start ms-cxh://setaddlocalonly, vagy setup.exe /product server parancs.

A 24H2 verzió esetén legtöbbeteknél automatikusan be fog kapcsolódni a belső meghajtókon az eszköztitkosítás (=BitLocker) még Home verzió esetén is. A leírás alapján meg kell jelölnie a partíciót UEFI rendszerpartícióként.

Gyakori Hibák és Hibaelhárítás

Windows 10-et próbáltam telepíteni, amihez letöltöttem az ISO image-et az MSDN-ről, majd a jól bevált Windows USB/DVD Download Tool segítségével kiírtam pendrive-ra. Azonban a gép nem akarta felismerni a pendrive-ot, nem kínálta fel azt a lehetőséget, hogy bootoljak róla. A BIOS-ban a boot beállítások UEFI boot ON, secure boot ON értéken álltak, ami jól bevált az adott gépen korábban futó Windows 8.1 esetén, de néha épp ez okozta a problémát. Ha átkapcsoltam ugyanis Legacy boot ON, secure boot OFF értékre, akkor máris megjelent a pendrive, és el is indult a telepítés. Később rájöttem, hogy az "Boot from side USB" opciót letiltottam az UEFI speciális biztonsági beállításaiban.

Előfordulhat, hogy a "Windows cannot be installed to this disk" hibaüzenet jelenik meg. Ezen a ponton kimerítettük az összes hibaelhárítást, és azt javaslom, hogy próbáljunk meg tiszta telepítést végrehajtani, hogy a számítógép újra működőképes állapotba kerüljön.

Fontos Biztonsági Információk: A Secure Boot Sebezhetőség

Az ESET szakemberei egy rendkívül veszélyes sebezhetőségre bukkantak, ami lehetővé teszi, hogy a Secure Boot funkciót kijátszva bootkitet telepítsenek az adott rendszerre. Ez gyakorlatilag annyit jelent, hogy a kártékony kód még az operációs rendszer és a különböző védelmi szoftverek előtt be tud töltődni, így érzékelése kvázi lehetetlen, eltávolítása pedig nem oldható meg egyszerű operációs rendszer újratelepítéssel.

A sebezhetőségről természetesen már tudnak a Microsoft szakemberei is, van rá javítás, amit a legutóbbi Patch Tuesday keretén belül már széles körben elérhetővé is tettek. Az említett összegző frissítés, ami Windows 10-hez és Windows 11-hez egyaránt elérhető, egyébként 159 hibára hozott gyógyírt, köztük néhány nulladik napi sebezhetőségre, illetve néhány kritikus sérülékenységre is.

A CVE-2024-7344 bejegyzés alatt futó sebezhetőség a Howyar Taiwan Secure Boot Bypass név alatt fut és igen-igen veszélyes. A sérülékenység lényegében az egyedi PE betöltőben foglal helyet, ami lehetővé teszi, hogy gyakorlatilag bármilyen UEFI binárist betöltsön a rendszer, még akár olyat is, ami egyébként alá sincs írva. A sebezhetőség miatt kártékony kód telepítésére is lehetőség van, ami abból fakad, hogy a szoftver nem olyan megbízható funkciókra támaszkodik, mint amilyen a LoadImage vagy a StartImage.

A támadók a sebezhetőség révén lecserélhetik az operációs rendszer alapértelmezett bootloader-jét, ami az EFI partíción található, a helyére pedig egy sebezhető, kezdetlegesen titkosított XOR PE képfájlt helyezhetnek, amelynek kártékony adataival bootolhat az adott rendszer. Mivel ezzel a módszerrel lényegében teljes egészében kiütik a Secure Boot funkciót, illetve az összes többi biztonsági szolgáltatást is, gyakorlatilag kiszolgáltatottá teszik az adott rendszert, amelyen így hiába fut a legmodernebb operációs rendszer a legnagyobb biztonságot nyújtó védelmi szoftverekkel karöltve, ezek mit sem érnek.

A sebezhetőséget több olyan szoftveres eszköz tartalmazza, amelyek eredetileg arra szolgálnak, hogy helyreállítsák az adott rendszert, karbantartást végezzenek rajta, vagy éppen biztonsági mentést készítsenek róla. A Microsoft csapata időközben elkészítette a javítást a hibára, ami a múlt hét keddi Patch Tuesday frissítőcsomag keretén belül elérhetővé is vált.

tags: #dirty #windows #uefi #telepites

Népszerű bejegyzések:

• A Honvéd szurkolói dalainak története
• A Loki legendája: Kelemen Éva
• Fedezd fel a légi sport felejthetetlen pillanatait a Harry Potter filmekben
• a női válogatott céljairól
• Az RB Leipzig – Mainz 05 mérkőzés elemzése