UEFI: wat is het en wat doet het precies?

Als je computer alleen een besturingssysteem als Windows zou bevatten, kan deze niet opstarten, omdat zo’n systeem afhankelijk is van de aanwezige hardware en die moet eerst worden geconfigureerd. Deze eerste basisstappen gebeuren via zogeheten firmware, een kleine softwarelaag die rechtstreeks op het moederbord van je pc zit. Zodra je de pc inschakelt, start deze firmware op, nog vóór er een besturingssysteem actief is.

De firmware controleert eerst of essentiële hardware-onderdelen correct werken, zoals processor, geheugen, opslag en grafische hardware: de zogeheten POST, oftewel Power-On Self Test. Daarna zoekt de firmware naar een opstartbaar apparaat, zoals een ssd met Windows, waarna de controle - via een bootloader - naar het besturingssysteem gaat.

Sinds de jaren tachtig tot ruwweg een jaar of twaalf geleden gebeurde dit meestal via het klassieke, oftewel legacy BIOS (Basic Input Output systeem), maar moderne pc’s gebruiken vrijwel altijd de krachtigere opvolger UEFI (Unified Extensible Firmware Interface) – gemeenzaam, al is dat wat verwarrend, ook wel aangeduid als UEFI-BIOS.

Voor we dieper graven in het UEFI, moeten we eerst weten wat de belangrijkste functies zijn. Dit kunnen we doen door UEFI af te zetten tegen het legacy BIOS.

Het BIOS was namelijk een 16bit-real-mode omgeving met een zeer beperkte geheugenomgeving van 1 MB, wat het lastig maakte om diverse moderne hardware efficiënt te kunnen initialiseren, temeer daar het BIOS hardwarecomponenten ook sequentieel – en dus traag – initialiseerde.

In het begin van deze eeuw werd daarom (U)EFI ontwikkeld, dat in een 32- of meestal 64bit-modus opereert. Hierdoor heeft de firmware direct toegang tot grote hoeveelheden systeemgeheugen, wat ook een grafische gebruikersinterface toelaat. UEFI kan hardwareprocessen bovendien parallel uitvoeren, ondersteunt firmwaredrivers en biedt netwerkondersteuning.

Verder verschilt ook de opslag van de opstartinformatie grondig. Terwijl het BIOS vertrouwt op opstartcode op de allereerste fysieke schijfsector (de MBR oftewel Master Boot Record), maakt UEFI gebruik van een EFI-systeempartitie (ESP) met uitvoerbare EFI-bestanden, wat het opstarten solider en flexibeler maakt. Bovendien ondersteunt UEFI beveiligingsmechanismen zoals Secure Boot, waarbij alleen digitaal ondertekende en vertrouwde bootloaders mogen worden uitgevoerd.

Ook op het vlak van partitionering heeft UEFI een grote impact. In het MBR-schema van het BIOS kon ook maximaal 2,2 TB van een schijf worden aangesproken (2^32 sectoren van elk 512 bytes) en kon een schijf maximaal 4 primaire partities bevatten. UEFI schakelde over van MBR naar GPT (GUID Partition Table), met ondersteuning voor schijven van nagenoeg onbeperkte grootte en tot 128 partities (in Windows). De opstartcode en partitiegegevens worden bovendien redundant bewaard, zowel aan het begin als op het einde van de fysieke schijf.

Voor je enkele UEFI-functies van dichterbij bekijkt, is het handig te weten hoe je de UEFI-omgeving opent. Dat kan op verschillende manieren.

Net als bij BIOS-systemen lukt dit meteen na het opstarten door herhaaldelijk een specifieke toets in te drukken. Welke toets dat is, hangt af van de fabrikant, bijvoorbeeld Delete of F2 (ASUS, MSI, gigabyte), F2 (Dell), F10 of Esc (HP), F1 of F2 (Lenovo) of F12 (Acer). Lukt dit niet goed, dan kan het ook vanuit Windows. Ga als administrator naar de Opdrachtprompt en voer het commando shutdown /r /fw /t 0 uit.

Werkt dit evenmin, open dan de Instellingen van Windows (we gaan uit van Windows 11) en kies achtereenvolgens Systeem, Systeemherstel en Nu opnieuw opstarten (twee keer). In het opstartmenu kies je daarna Problemen oplossen, Geavanceerde opties en Instellingen voor UEFI-firmware. Bevestig met Opnieuw opstarten.

Je weet nu hoe je de UEFI-omgeving bereikt, maar voor je hieraan sleutelt, controleer je bij voorkeur eerst enkele zaken.

Check eerst of je systeem in UEFI-modus opstart. Start Systeeminformatie vanuit het Windows-startmenu en kijk in de rubriek Systeemoverzicht bij BIOS-modus. Daar staat UEFI of – in geval van BIOS/CSM – Legacy.

Controleer daarna of de UEFI-functie Secure Boot actief is. Je vindt dit eveneens in de rubriek BIOS-modus, bij Status beveiligd opstarten (Ingeschakeld, Uitgeschakeld of Niet ondersteund), of klik in het Windows-startmenu met rechts op PowerShell en kies Als administrator uitvoeren. Voer vervolgens het commando Confirm-SecureBootUEFI uit: verschijnt True, dan is Secure Boot ingeschakeld.

Check vervolgens het partitieschema. Als je UEFI-boot of Secure Boot op een Windows-systeem wilt gebruiken, moet de systeemschijf immers met GPT zijn gepartitioneerd. Open de Opdrachtprompt en voer diskpart uit. Typ achter de DISKPART>-prompt het commando list disk. In de kolom GPT staat een asterisk bij GPT-schijven.

Techneuten vinden vast ook de EFI-partitie interessant, zoals die verschijnt in Schijfbeheer. Ga als administrator naar de Opdrachtprompt en voer diskpart uit, gevolgd door list volume. Zoek de EFI-partitie, herkenbaar aan Fs FAT32 en Info System, met een grootte tussen 100 en 300 MB. Met select volume <x> (vervang <x> door het juiste volumenummer) en daarna assign letter=<y> (vervang <y> door een vrije stationsletter) maak je deze partitie toegankelijk.

Verlaat diskpart met exit, typ <Y>: (de gekozen stationsletter, zoals S:) op de opdrachtprompt en bekijk de inhoud – voorzichtig – met commando’s als dir en cd <submap>. Verwijder daarna de stationsletter via diskpart met select volume <x> en remove letter=<y>.

Laten we nu enkele UEFI-gerelateerde functies en onderdelen van dichterbij bekijken en waar mogelijk en wenselijk aanpassen. Heel specifieke instructies kunnen we helaas niet geven, omdat dit per UEFI-implementatie verschilt.

We beginnen met een situatie waar sommige gebruikers nog mee te maken hebben: je hebt een UEFI-compatibel systeem dat nog met MBR werkt en dat je naar GPT wilt omzetten. In de praktijk gebeurt dit vooral bij UEFI-klasse 2-systemen. Zo’n conversie kan nuttig zijn om Secure Boot te gebruiken op Windows-systemen, schijven groter dan 2,2 TB te adresseren of met meer dan vier partities te werken.

Maak eerst een volledige systeemback-up. Ga vervolgens als administrator naar de opdrachtprompt en voer eerst dit commando uit:

mbr2gpt /validate /disk:0 /allowFullOS

Hierbij gaan we ervan uit dat disk 0 je systeemschijf is; dit kun je controleren met diskpart en het commando list disk. Meldt het systeem dat de validatie succesvol was, voer dan de conversie uit met

mbr2gpt /convert /disk:0 /allowFullOS

Herstart daarna de pc en stel de bootmodus meteen in op UEFI (CSM uit). Controleer vervolgens in Windows of de bootmodus nu inderdaad UEFI is en of je schijf GPT gebruikt.

Werk je op een UEFI-systeem, zorg er dan voor dat Secure Boot ingeschakeld staat. Er zijn wel situaties waarin je deze functie tijdelijk kunt uitschakelen, bijvoorbeeld bij installatie of gebruik van oudere systemen zoals Windows 7 of oudere Linux-distributies. Moderne Linux-distributies gebruiken doorgaans een zogeheten shim-bootloader, een bestand in de EFI-partitie zoals \EFI\ubuntu\shimx64.efi, dat door Microsoft is ondertekend omdat de bijbehorende distributiesleutel niet in de UEFI-firmware zelf zit.

Secure Boot uitschakelen kan bijvoorbeeld ook nodig zijn wanneer je van oudere diagnostische of forensische tools wilt booten, bepaalde niet-gesigneerde hardware(drivers) gebruikt of wilt experimenteren met alternatieve bootloaders.

Op een Windows-systeem kun je Secure Boot doorgaans probleemloos in- en uitschakelen vanuit het UEFI-setupvenster, meestal in een rubriek als Boot, Security, Advanced of Authentication. Mogelijk moet je hiervoor eerst een administrator- of supervisor-wachtwoord in UEFI instellen. Windows 11 vereist Secure Boot-ondersteuning wel tijdens de installatie, maar het hoeft niet noodzakelijk actief te zijn.

Secure Boot maakt deel uit van de UEFI-architectuur. Dat geldt niet meteen voor de onderdelen die we verder in dit artikel bespreken, maar het zijn wel opties die je ook vanuit de UEFI-setup kunt instellen, zoals de opstartvolgorde.

Hiermee bepaal je op een UEFI-systeem in welke volgorde bootloaders (EFI-programma’s) worden geprobeerd. Wil je gedurende een bepaalde tijd van een ander besturingssysteem opstarten, dan kan het handig zijn deze volgorde in UEFI aan te passen. Je vindt deze instelling meestal in een rubriek als Boot (Options) of Boot Configuration. Hier stel je het eerste, tweede, enzovoort ‘boot entry’ in. In de meeste gevallen staat Windows Boot Manager als eerste apparaat vermeld.

Gaat het slechts om een eenmalige wijziging van de bootvolgorde, gebruik dan beter het speciale bootmenu. Op de meeste systemen roep je dit meteen na het inschakelen op door enkele keren op een specifieke toets te drukken, zoals Esc, F8, F11 of F12 (raadpleeg je systeemhandleiding). Bij een volgende start keert het systeem automatisch terug naar de normale bootvolgorde zoals vastgelegd in de UEFI-setup.

TPM (Trusted Platform Module) maakt evenmin deel uit van de UEFI-specificatie, maar wordt wel door de firmware beheerd. Het is een cryptografische beveiligingsmodule die sleutels veilig opslaat en integriteitscontroles mogelijk maakt tijdens het opstartproces. Zo worden onder meer de sleutels van BitLocker en Windows Hello beschermd.

Werk je met Windows 11, dan laat je TPM dus het best ingeschakeld. Voor de installatie van Windows 11 is TPM (2.0) zelfs vereist, al bestaan er workarounds, net als voor Secure Boot, bijvoorbeeld via Rufus. Schakel TPM in principe alleen uit wanneer je specifieke oudere software of besturingssystemen wilt gebruiken, of wanneer je experimenteert met firmware of forensische analyses. In de UEFI-setup vind je deze optie meestal in een rubriek als Security of Advanced. Afhankelijk van het systeem kan dit ook PTT (Intel Platform Trust Technology) of fTPM (AMD) heten.

Controleer de TPM-status in Windows als volgt. Druk op Windows-toets+R en voer tpm.msc uit. In het middenpaneel bij TPM-beheer op lokale computer zie je bij Status normaal De TPM is klaar voor gebruik, samen met de Specificatieversie, zoals 2.0.

Net als bij TPM vormt ook hardware-virtualisatie geen onderdeel van de UEFI-specificatie; het gaat immers om een cpu-functie. Wel kun je deze functie vanuit de UEFI-setup beheren. Je vindt deze hier meestal in een rubriek als CPU Configuration, Processor of Advanced, met namen als Intel Virtualization Technology of VT-x of, bij AMD, SVM Mode of AMD-V.

Op Windows 11-systemen laat je deze functie normaal ingeschakeld, bijvoorbeeld voor VM-managers als VirtualBox of VMware Workstation en voor functies als Hyper-V, (Docker Desktop op basis van) WSL2 (Windows Subsystem for Linux), Virtual Machine Platform en Windows Sandbox. Deze opties kun je overigens in- of uitschakelen door Windows-toets+R in te drukken en optionalfeatures uit te voeren. Schakel hardware-virtualisatie in principe alleen uit wanneer bijvoorbeeld bepaalde (oudere) VM-managers er niet goed mee overweg kunnen.

Je controleert de status in Windows het eenvoudigst via Taakbeheer. Druk op Ctrl+Shift+Esc, open Prestaties, klik op Processor en kijk rechtsonder bij Virtualisatie.