共用方式為


Von MBR nach GPT ohne Datenverlust

Verwendete Akronyme werden am Ende des Artikels erklärt!

Express Summary für Techniker

Es gibt einige Sicherheitsfunktionen in Windows 10, die nur mit aktivem Secure Boot verwendet werden können. Leider lässt sich Secure Boot nicht einschalten, solange sich das UEFI im sogenannten „legacy BIOS“ Modus befindet. Wechselt man einfach in den „native UEFI“ Mode, kann das zuvor installierte Betriebssystem nicht mehr booten, da das moderne UEFI mit dem guten, alten MBR nicht viel anfangen kann.
Um den MBR nach GPT zu konvertieren, kann man auf eine Vielzahl von zusätzlich zu installierenden und/oder zu lizensierenden Drittherstellertools zurückgreifen, oder einfach das seit Windows 10 Version 1703 im Betriebssystem vorhandene Utility MBR2GPT.EXE verwenden.

Wann kann das hilfreich sein?

Die neueste Version unseres „Securing the Windows Client“ Trainings (https://www.microsoft.com/de-at/services/PremierWorkshops.aspx) enthält unter anderem Labs zum Thema Virtualization-based Security, d.h. wir implementieren unter anderem Credential Guard und Device Guard in virtuellen Hyper-V Maschinen. Damit das funktioniert müssen bestimmte Hardwarevoraussetzungen erfüllt sein und damit die passenden Rechner bereitstehen, habe ich diese vorab an den Learning Partner gemailt. Naiverweise habe ich in etwa folgende Formulierung verwendet: „…die Rechner müssen UEFI und Secure Boot unterstützen…“. Das ernüchternde Ergebnis war, dass die Rechner vor Ort UEFI-fähig waren, jedoch statt UEFI nur „Legacy BIOS“ aktiviert war, wodurch wiederum auch Secure Boot nicht aktiviert werden konnte.
Nun war guter Rat teuer, denn nach der Umstellung auf UEFI verlangt das System von einer GPT (GUID Partition Table) zu booten, während die Festplatten jedoch mit MBR konfiguriert waren. Die vorhandene Konfiguration beizubehalten hätte wiederum in nicht funktionierenden Labs geendet. Eine Neuinstallation mittels automatisiertem Setup des Schulungspartners hätte neuerlich eine MBR Partitionen erzeugt und war daher ebenfalls keine Option. Die Tools von Drittherstellern zu verwenden um die Partitionstabellen von MBR auf GPT umzuschreiben wäre ebenfalls kompliziert gewesen, hätte zu viel Zeit und in einigen Fällen auch eine entsprechende Software-Lizenz verlangt. Um den Beginn und den Ablauf des Workshops nicht zu gefährden musste eine schnelle Lösung her.

Kein Blog Artikel ohne Happy End

In diesem Fall tauchte die Rettung in Form eines kleinen Tools namens „MBR2GPT.EXE“ auf (seit Version 1706 in Windows 10 integriert). Wie der Name schon vermuten lässt, kann man damit eine MBR-Partition in eine GPT-Partition ohne Datenverlust umwandeln. Die Handhabung ist denkbar einfach: Man startet Windows 10, führt das Tool aus und fährt den Rechner herunter. Im BIOS aktiviert man dann UEFI und Secure Boot und siehe da – Windows 10 startet.
Eine Beschreibung des Tools sowie der Parameter findet man auf /en-us/windows/deployment/mbr-to-gpt

Auch wenn ich dieses Tool inzwischen vielfach an verschiedensten Rechnern ausprobiert habe, kann man nie vollständig ausschließen, dass etwas schiefgeht. Ein vollständiges Backup ist daher Pflicht!

Folgendes Anwendungsbeispiel geht davon aus, dass der MBR der Disk 0 überprüft und anschließend konvertiert werden soll:

  1. Benötigt wird ein PowerShell Prompt mit erhöhten Rechten (aka „run as Administrator“)

  2. Anzeigen der Festplattendetails:

     Get-Disk | ft -Auto
    
  3. Überprüfen, ob eine Konvertierung möglich ist:

     mbr2gpt.exe /validate /disk:0
    
  4. Die tatsächliche Konvertierung wird mit folgendem Befehl gestartet,

     mbr2gpt.exe /convert /disk:0 /allowFullOS
    

    Das Tool wurde eigentlich dafür entworfen in einer Windows PE Umgebung zu laufen, mit der Option /allowFullOS lässt es sich in einer vollständigen Installation von Windows 10 starten.

  5. Rechner herunterfahren oder neu starten und UEFI sowie Secure Boot aktivieren.

UEFI, Secure Boot, MBR und GPT

Der MBR (Master Boot Record) ist ein Startprogramm mit Partitionstabelle für BIOS-basierte Computer.

Die GPT (GUID Partition Table) ist ein Standard für das Format von Partitionstabellen auf Datenträgern. Die GPT-Spezifikation ist ein Teil des UEFI (Unified Extensible Firmware Interface) Standards, welcher in modernen PCs das althergebrachte BIOS beinahe vollständig abgelöst hat. Aus Gründen der Abwärtskompatibilität unterstützt moderne Hardware heute üblicherweise beide Varianten, wobei standardmäßig das moderne UEFI aktiviert ist und die BIOS-Option meist als "Legacy BIOS" bezeichnet wird.

Während ein privater Anwender seinen neuen PC einfach vom USB-Stick installiert und weder von UEFI noch GPT etwas bemerkt, ist die Umstellung für Unternehmen mitunter nicht ganz einfach, denn es gilt die automatisierten Setup Prozesse anzupassen, da ein PC mit aktiviertem UEFI nicht von einer MBR Partition starten kann.

Secure Boot beschränkt das Booten eines Rechners auf vertrauenswürdig signierte Bootloader und stellt dadurch sicher, dass manipulierte Bootloader (aka "Bootkits") nicht gestartet werden können. Secure Boot wird ab Windows 8 unterstützt und setzt ein aktiviertes UEFI voraus.