De Bios en Linux

Beginners laten de uitvoering hiervan best over aan meer ervaren IT’ers want fouten kunnen een toestel totaal onbruikbaar maken. Op oude toestellen uitproberen mag, maar ken het risico: vooral verkennen en kijken is de eerste stap om te leren. Nota en foto nemen helpt om later terug te kijken naar wat gebeurde… Enkel bij een nieuwe installatie is meestal nakijken van de BIOS nodig, gelukkig niet bij het dagelijks gebruik.

We hebben Legacy en UEFI BIOS versies in Intel en AMD chipset en beginnen met de Legacy omdat de meeste oudere Windows PC’s hiermee zijn uitgerust. En omdat te maken BIOS instellingen die gedaan moeten worden voor Legacy en UEFI BIOS hetzelfde zijn, het menu is alleen anders en UEFI heeft 64 bit ondersteuning terwijl Legacy 32 bit ondersteuning heeft.

Het verschil van Intel en AMD chipset is verwaarloosbaar omdat de van toepassing zijnde instellingen te weten:
1) Fastboot
2) Secureboot en voor beide fabrikanten hetzelfde geldt en
3) TPM (Intel) en (fTPM) voor (AMD) ook nagenoeg hetzelfde (Trusted Platform Module) zijn.

De Legacy BIOS met het standaard tabblad Main.

Bovenin staan de Tabbladen Main Advanced Chipset Boot Security Save & Exit.

Daarna volgen drie panelen te weten: Linker paneel met de BIOS elementen, Rechter Boven paneel met de uitleg over de elementen (heel beknopt) en als laatste het rechter onder paneel met de gebruiksaanwijzing van het BIOS waarvan de betreffende toetsen voor zich spreken.

  • Zwart is Inactief of INFO
  • Blauw is Aanpasbaar door er heen te bladeren met de pijltjes toetsen en met een [Enter] te activeren.
  • Wit is een door de [Enter] toets geactiveerde aanpasbaar element.

Inleiding in de BIOS met de voor Linux belangrijkste instellingen te weten:

  • 1) Fast Boot op: [Disabled]
  • 2) Secure Boot op: [Disabled]
  • 3) TPM (Intel) of fTPM (AMD) de Trusted Platform Module.
  • First Boot Device: [onze Bootable USB stick, HDD, SSD of NVMe]
  • Opslaan van de instellingen doen we door een F10 (Functietoets 10) in te geven, waarna je met een bevestigde [Yes of Ja] de gemaakte instellingen ook wegschrijft in de BIOS.

Bij een installatie van Zorin OS onze Bootable USB stick.

Indien het Bootmenu niet werkt of onbekend is, zie tabel Boot en of BIOS toets:

Booting to the Boot Menu and BIOS

This document is an overview of the keys that allow you to boot to a system BIOS and boot menu on various systems.

ManufacturerModelsBoot Menu KeyBios Key
AcerAspire One zg5, zg8, Aspire TimelineF12F2
AcerAspire v3, v5, v7F12 (“F12 Boot Menu” must be enabled in BIOS)F2
AcerEsc, F2, F12Del, F2
ManufacturerModelsBoot Menu KeyBios Key
ApplePost-2006 modelsOption
ManufacturerModelsBoot Menu KeyBios Key
AsusDesktopsF8F9
AsusVivoBook f200ca, f202e, q200e, s200e, s400ca, s500ca, u38n, v500ca, v550ca, v551, x200ca, x202e, x550ca, z202eEscDelete
AsusN550JV, N750JV, N550LF, Rog g750jh, Rog g750jw, Rog g750jx Zenbook Infinity ux301, Infinity ux301la, Prime ux31a, Prime ux32vd, R509C, Taichi 21, Touch u500vz, Transformer Book TX300Esc (Disable “Fast Boot” and “Secure Boot Control”)F2
Asusk25f, k35e, k34u, k35u, k43u, k46cb, k52f, k53e, k55a, k60ij, k70ab, k72f, k73e, k73s, k84l, k93sm, k93sv, k95vb, k501, k601, R503C, x32a, x35u, x54c, x61g, x64c, x64v, x75a, x83v, x83vb, x90, x93sv, x95gl, x101ch, x102ba, x200ca, x202e, x301a, x401a, x401u, x501a, x502c, x750jaF8Delete
AsusEee PC 1015, 1025cEscF2
ManufacturerModelsBoot Menu KeyBios Key
CompaqPresarioEsc, F9F10
ManufacturerModelsBoot Menu KeyBios Key
DellF12 (Select “USB Flash Drive”)F2
ManufacturerModelsBoot Menu KeyBios Key
eMachinesF12tab, Delete
ManufacturerModelsBoot Menu KeyBios Key
FujitsuF12F2
ManufacturerModelsBoot Menu KeyBios Key
HPEsc, F9Esc, F10, F1
HPPavilion Media Center a1477cEscF10
HPPavilion 23 All In OneEsc (Select boot media from the menu)F10
HPPavilion Elite e9000, e9120y, e9150t, e9220y, e9280tEsc, F9F10
HPPavilion g4, g6 and g7, Probook 4520s, 4525s, 4540s, 4545s, 5220m, 5310m, 5330m, 5660b, 5670bEscF10
HPPavilion HPE PC, h8-1287c, Pavilion PC, p6 2317c, Pavilion PC, p7 1297cb, TouchSmart 520 PC, ENVY x2, m4, m4-1015dx, m4-1115dx, sleekbook m6, m6-1105dx, m6-1205dx, m6-k015dx, m6-k025dx, touchsmart m7, Envy, dv6 and dv7 PC, dv9700, Spectre 14, Spectre 13, 2000 – 2a20nr, 2a53ca, 2b16nr, 2b89wm, 2c29wm, 2d29wmEsc (Then f9 for “Boot Menu”)Esc
HP2000Esc (Then F9 for “Boot Menu”. Select “Patriot Memory” on the Boot Option Menu)Esc
HPPavilion a410nEscF1
ManufacturerModelsBoot Menu KeyBios Key
IntelF10
ManufacturerModelsBoot Menu KeyBios Key
LenovoDesktopsF12, F8, F10F1, F2
LenovoLaptopsF12F1, F2
LenovoThinkPad edge, e431, e531, e545, helix, l440, l540, s431, t440s, t540p, twist, w510, w520, w530, w540, x140, x220, x230, x240, X1 carbonF12F1
LenovoIdeaPad s300, u110, u310 Touch, u410, u510, y500, y510, yoga 11, yoga 13, z500Novo Button (Next to power button), F12Novo Button
LenovoIdeaPad P500F12 or Fn + F11F2
LenovoIdeaPad S10-3, g460, g470, g475, g480, g485F12F2
ManufacturerModelsBoot Menu KeyBios Key
MicrosoftSurface Pro 1-3Volume-Down Button
MicrosoftSurface Pro 4 & BookVolume-Up Button
ManufacturerModelsBoot Menu KeyBios Key
NECF5F2
ManufacturerModelsBoot Menu KeyBios Key
Packard BellF8F1, Delete
ManufacturerModelsBoot Menu KeyBios Key
SamsungF12, EscF2, F10
SamsungNC10, np300e5c, np300e5e, np350v5c, np355v5c, np365e5c, np550p5cEscF2
SamsungSeries 5 Ultra, Series 7 Chronos, Series 9 UltrabookEsc (Must disable “Fast Boot” in BIOS)F2
SamsungAtiv Book 2, 8, 9F2 (Must disable “Fast Boot” in BIOS)F10
ManufacturerModelsBoot Menu KeyBios Key
SharpF2
ManufacturerModelsBoot Menu KeyBios Key
SonyVAIO Duo, Pro, Flip, Tap, FitAssist Button (Use the Assist Button when the computer is off, not when it is booting)Assist Button (Use the Assist Button when the computer is off, not when it is booting)
SonyVAIO, PCG, VGNF11F1, F2, F3
SonyVGNEsc, F10F2
ManufacturerModelsBoot Menu KeyBios Key
ToshibaKira, Kirabook 13, Ultrabook, Qosmio g30, g35, g40, g50, Qosmio x70, x75, x500, x505, x870, x875, x880F12F2
ToshibaProtege, Satellite, TecraF12F1, Esc
ToshibaEquiumF12F12
ManufacturerModelsBoot Menu KeyBios Key
ASUSF8DEL
GigabyteF12DEL
MSIF11DEL
IntelF10F2
AsrockF11F2, DEL
EVGAF7DEL
Bron https://kb.wisc.edu/58779

Hiermee openen we het Bootmenu of de BIOS om de USB stick of de Opstartbare Harde Schijf (in welke vorm dan ook: HDD, SSD, NVMe) als eerste Boot op te geven in de instellingen zodat de computer daarvan opstart.

1) Fast Boot op: [Disabled]

Hiervoor gaan we naar het Tabblad Boot.

Waarna we omlaag bladeren met de pijltjestoets omlaag naar Fastboot welke in het voorbeeld al op de correcte instelling [Disabled] staat waardoor deze uitgeschakeld is.

2) Secure Boot op: [Disabled]
Vinden we onder het Tabblad Security

Het ► (pijltje) voor het blauwe vak Secure Boot Menu geeft aan dat er een vervolg menu uit klapt met de Secure Boot Instellingen.
Klik hierop om het menu Secure Boot te openen.

2) Secure Boot op: [Disabled]

Alwaar we de instelling Secure Boot Support op [Disabled] zetten zodat deze uitgeschakeld is.

Verander je de instelling Secure Boot Mode [Standard] naar [Custom] dan wordt het menu Key Management actief alwaar je de Custom instellingen kan doen.

Intel TPM en AMD fTPM

Eenvoudig uitgelegd is TPM een chip op je moederbord die een unieke code code heeft en er dus geen twee dezelfde zijn.

Omdat deze code uniek is, kan je met behulp hiervan diverse taken van de computer versleutelen en ook ontsleutelen.

Wat moeilijker via Google:

Terwijl de decryptiesleutel de cijfertekst weer ontcijfert, ook wel decryptie genoemd. Het is onmogelijk voor iemand zonder toegang tot beide sleutels om informatie te ontcijferen die is vercijferd met de encryptiesleutel.

De TPM chip is dus een unieke vaste sleutel en bijvoorbeeld BitLocker van Windows de 2de door jou opgegeven sleutel.

Met behulp van beide sleutels kan je dus je harde schijf beveiligen door deze te versleutelen waardoor de gegevens zonder de sleutels onleesbaar worden. 

Ik geef hier bewust een Windows voorbeeld omdat ik op het moment van schrijven geen enkele Linux functie ken die je kan toevertrouwen of gebruiken aan of met de TPM of fTPM chip.

Het is echter een unieke beveiliging key waardoor er legio mogelijkheden vrij komen om te gebruiken zoals enkele voorbeelden:

Opstartbeveiliging: Alleen met de 2de door jou zelf gegenereerde key in samenwerking met de de TPM key start de computer op.

Harde schijf beveiliging: Alleen met de 2de door jou zelf gegenereerde key in samenwerking met de de TPM key kan de harde schijf gelezen of beschreven worden.

Anti-virus beveiliging: Alleen met de 2de door jou zelf gegenereerde key in samenwerking met de de TPM key kan er software geïnstalleerd en of verwijderd worden waardoor een virus zich dus niet kan nestelen op een computer zonder de sleutels omdat elke toegang geweigerd wordt.

Deze TPM is mede met Microsoft ontwikkeld en dus specifiek voor Windows computers waar je over een TPM 2.0 chip dient te beschikken om Windows 11 te mogen installeren. 

Het is dus niet van toepassing met of op Linux tenzij jij een dualboot systeem uitvoert waardoor deze wel ingeschakeld dient te zijn in de bios en dat vanwege de Windows 11 installatie ook al is

Het gehele TPM 2.0 gebeuren is nog niet van toepassing op een Linux systeem, echter heb je een dualboot dan zal het aan moeten staan in de BIOS om Windows 11 uit te voeren.

Ook vermoed ik aangezien nagenoeg alle nieuwe systemen uitgerust zijn met TPM 2.0, er wel Linux toepassingen gaan komen zoals reeds door mij vermeld in de 3 aangehaalde voorbeeld toepassingen. 

TPM 2.0 staat momenteel echter nog geheel los van Linux en zou dus bij een Linux only systeem dan ook uitgeschakeld kunnen worden in het BIOS aangezien het voor Linux niet nodig is.

3) TPM (Intel) de Trusted Platform Module.

Intel:

Security Device Support

Ondersteuning voor beveiligingsapparaten
Hiermee kunt u de BIOS-ondersteuning voor een beveiligingsapparaat in- of uitschakelen.
besturingssysteem zal niet verschijnen
Beveiligingsapparaat. TCG EFI-protocol en INT1A-interface zijn niet beschikbaar.
Configuratie Opties: [Disabled] [Enabled] [Uitgeschakeld] [Ingeschakeld]

SHA256 PCR-bank

Hiermee kunt u de SHA256 PCR Bank in- of uitschakelen.
Configuratie Opties: [Disabled] [Enabled] [Uitgeschakeld] [Ingeschakeld]
Operatie in behandeling
Hiermee kunt u een bewerking voor het beveiligingsapparaat plannen.
Configuratie Opties: [Geen] [TPM Wissen]

Platform Hierarchy

Hiermee kunt u de platform hiërarchie in- of uitschakelen.
Configuratie Opties: [Disabled] [Enabled] [Uitgeschakeld] [Ingeschakeld]

Storage Hierarchy

Hiermee kunt u de opslag hiërarchie in- of uitschakelen.
Configuratie Opties: [Disabled] [Enabled] [Uitgeschakeld] [Ingeschakeld]

Endorsement Hierarchy

Hiermee kunt u de goedkeuring hiërarchie in- of uitschakelen.
Configuratieopties: [Disabled] [Enabled] [Uitgeschakeld] [Ingeschakeld]

Physical Presence Spec Version

Hiermee kunt u ervoor kiezen om Vertel O.S. ter ondersteuning van PPI versie 1.2 of 1.3.
Configuratieopties: [1.2] [1.3]
Sommige HCK-tests ondersteunen 1.3 mogelijk niet.

TPM 2.0 UEFI-specificatieversie

Hiermee kunt u ondersteuning voor de TCG2-specificatieversie selecteren.
Windows 8 / Windows 10-compatibele modus.
[TCG_1_2]
[TCG_2]
Ondersteunt het nieuwe TCG2-protocol en evenement voor Windows 10 of hoger.

3) fTPM (AMD) de Trusted Platform Module.

AMD:

Een stuk makkelijker dan Intel:

Firmware TPM Switch [Enable Firmware TPM]
Om de TPM Module in te schakelen.

Firmware TPM Switch [Disable Firmware TPM]
Om de TPM Module uit te schakelen.

Erase fTPM NV for factory reset
[Disable] [Uitgeschakeld] Wis fTPM NV voor fabrieksreset
Hiermee kunt u fTPM-reset voor nieuw geïnstalleerde CPU’s in- of uitschakelen.
[Disabled] Bewaar eerdere fTPM-records en ga door met het opstarten van het systeem.
fTPM zal dat niet zijn ingeschakeld met de nieuwe CPU, tenzij fTPM wordt gereset (opnieuw geïnitialiseerd).
Wisselen terug naar de oude CPU kunt u mogelijk TPM-gerelateerde sleutels en gegevens herstellen.
[Enabled] [Ingeschakeld] Reset fTPM, als u een systeem met Bitlocker of encryptie hebt, start het systeem niet op zonder een herstelsleutel!

Kan je geen info vinden over merk computer of type van de computer dan kan Speccy hulp bieden.
https://www.ccleaner.com/nl-nl/speccy

Hiermee kan je de gegevens van het moederbord bekijken en eventueel op de chipset naar een andere BIOS leverancier / Moederbord fabrikant zoeken op een specifieke BIOS voor de gebruikte Chipset.

Zo kan je over een systeem wat op het internet afgeschermd is toch informatie vergaren bij een concurrent.

Enkele handige links:
Moederbord BIOS handleidingen Engels en Nederlands

MSI:
https://www.manua.ls/motherboards/msi

Wim’s BIOS Forum:
https://www.wimsbios.com/forum/where-can-find-motherboard-manual-f34/

Motherboards manuals Data and More
https://www.elhvb.com/webhq/

MOBO Archive:
https://www.infania.net/misc/moboarchive/index.html
https://www.infania.net/misc/moboarchive/Oldman.ixbt.com/mb/index.html

Intel Support How to find BIOS Version, Motherboard Manufacturer, Model and Processor Number:
https://www.intel.com/content/www/us/en/support/articles/000022425/processors.html

Dell Wat is het BIOS en hoe bij te werken:
https://www.dell.com/support/kbdoc/nl-nl/000129365/wat-is-bios-en-hoe-kunt-u-bios-op-uw-dell-systeem-bijwerken

Asus Moederbord Hoe BIOS instellingen opslaan en laden:
https://www.asus.com/nl/support/faq/1046388/

C’T een computer vakblad magazine en site, BIOS instellingen vóór installatie Windows goed zetten:
https://www.ct.nl/workshops/bios-instellingen-voor-installatie-windows-goed-zetten/

UEFI en Secure Boot:
https://www.ct.nl/achtergrond/uefi-bios-instellen-secure-boot/

AMI BIOS Setup:
https://www.frans-petrij.nl/amibios_setup.htm

AMI BIOS Setup USB Boot Device:
https://www.asunsoft.com/bios/how-to-set-ami-bios-setup-boot-computer-from-usb-flash-drive.html

Everything you need to know about installing Linux:
https://arcolinux.com/everything-you-need-to-know-about-installing-linux-bios-uefi-motherboard-settings/

Accessing the BIOS Information in Linux:
https://www.baeldung.com/linux/bios-access-info

UEFI and Dualboot in Linux:
https://linuxmag.nl/uefi-en-dualboot/

How to clear CMOS (Asus):
https://www.asus.com/support/faq/1040820/

Computer Security Engines (TPM):
https://www.billdietrich.me/SecurityEngines.html

Linux: Configure and use your TPM 2.0 Module:
https://paolozaino.wordpress.com/2021/02/21/linux-configure-and-use-your-tpm-2-0-module-on-linux/

Even surfen op het internet gaf mij bovenstaande links.
Weet je het Merk of Type van de PC of het Moederbord, (wat met Speccy te achterhalen of in Linux met System Profiler and Benchmark) kan je het altijd opzoeken op de Chipset bij een andere fabrikant om uitleg te geven over de instellingen die er gedaan kunnen worden.
De voor Linux belangrijkste instellingen staan hierboven vermeld.

Voor u geschreven door Gerard Nouwen