Bei neuen Computern lege ich jeweils im Bios resp. über UEFI fest, dass nur von der internen Festplatte und dem Netzwerk gestartet werden kann und schütze die Einstellungen über ein Passwort. So soll verhindert werden, dass jemand über eine CD oder einen USB-Stick ein Live-Linux oder ein Windows PE startet und das lokale Administratorpasswort zurücksetzt.

Um beim Surface Pro 4 in die UEFI Einstellungen zu kommen, muss man es mit gedrückter “Lauter-Taste” aufstarten. Sobald das Surface-Logo angezeigt wird, kann man die “Lauter-Taste” loslassen.

Das Surface hat ja keinen Ethernet Adapter. Um es über PXE mit SCCM (oder WDS) neu aufzusetzen, benötigt man einen USB-Ethernet Adapter. Das vorgängige Anlegen des Computerkontos in SCCM nennt sich Prestaging und kann über die MAC-Adresse oder die System-UUID gemacht werden. Da der USB-Ethernet Adapter nicht einem einzelnen Surface zugeordnet, sondern für mehrere benutzt wird, kann nicht (seine) MAC-Adresse fürs Prestaging verwendet werden. Im UEFI findet man unter “PC information” die System UUID, die statt der MAC Adresse benutzt werden kann.

Um die UEFI Einstellungen mit einem Passwort zu schützen, kann man links aussen “Security” und dann bei “UEFI password” “Add or Change” auswählen.

Damit das Surface nur noch von der Festplatte oder über das Netzwerk startet, wählt man unter “Boot configuration” “USB Storage” ab.

Um das Surface über das Netzwerk zu booten, kann man beim Start die “Leiser Taste” drücken oder ganz praktisch direkt aus der UEFI Einstellung im Bild oben über “PXE Network” booten, indem man mit dem Finger nach links darüber streicht.

Nachtrag
Bei der Verwendung vom gleichen USB-Ethernet-Adapter für mehrere Geräte genügt es nicht, nur die System-UUID statt der MAC-Adresse zu verwenden. Die MAC Adresse wird bis zum nächsten Hardwareinventurzyklus trotzdem fest mit dem Gerät verbunden. Wie man dieses Problem löst, ist in diesem Beitrag beschrieben.