Security: Das bringen TPM und Secure Boot für Windows 11

Mit Windows 11 macht Microsoft zwei schon länger bekannte Sicherheitstechniken zur strikten Voraussetzung. Wofür eigentlich?

Artikel von veröffentlicht am
Unter anderem die Nutzung von TPMs soll Windows 11 sicherer machen. (Symbolbild)
Unter anderem die Nutzung von TPMs soll Windows 11 sicherer machen. (Symbolbild) (Bild: Gigabyte / Montage: Golem.de)

Im Juni dieses Jahres sorgte Microsoft im Rahmen der Ankündigungen für Windows 11 für einigen Ärger und Verwirrung bei den Nutzern. Der Grund: Windows-11-zertifizierte Geräte müssen über ein TPM 2.0 verfügen. Ebenso wird UEFI Secure Boot zwingend zur Nutzung von Windows 11 vorausgesetzt.

Inhalt:
  1. Security: Das bringen TPM und Secure Boot für Windows 11
  2. TPM 2.0 für sicheren Boot

Damit sind zwar einige ältere Systeme von der Nutzung ausgeschlossen, Microsoft erhöht damit aber auch die grundsätzliche Sicherheit, wie das Unternehmen selbst korrekterweise schreibt. Zwar gibt es wohl auch Möglichkeiten, Windows 11 ohne die genannten Techniken zu nutzen. Microsoft behält sich aber vor, für diese Systeme keine Updates zu verteilen.

Sowohl Secure Boot als auch das TPM 2.0 sowie einige weitere Sicherheitstechniken können darüber hinaus zwar schon länger auch in Windows 10 oder alternativen Betriebssystemen wie Linux verwendet werden. Aber erst mit dem Zwang zur Nutzung gelingt es Microsoft, dies wirklich für alle Systeme mehr oder weniger einheitlich bereitzustellen.

Sicheres Starten dank verbreiteter Technik

Die Umsetzung von Secure Boot in Windows reicht dabei bereits rund zehn Jahre zurück, zu Windows 8. Die Idee der Technik ist dabei, dass der Rechner nur noch jene Software starten soll, der tatsächlich auch vertraut wird. So sollen sich etwa klassische Boot- und Root-Kits deutlich schwerer unterschieben lassen.

Stellenmarkt
  1. Service Manager Datenbanksysteme (m/w/d)
    operational services GmbH & Co. KG, Leinfelden-Echterdingen, Dresden, Ingolstadt, Wolfsburg
  2. IT-Professional/IT-Administr- ator (m/w/d)
    PETER BREHM GmbH, Weisendorf / Metropolregion Nürnberg
Detailsuche

Umgesetzt wird dies über eine Datenbank von Signaturen, die in der Firmware gespeichert wird. Auf der anderen Seite kommen Hersteller hinzu, wie etwa Microsoft, die die tatsächlich genutzte Software signieren: von den Firmware-Anwendungen über den Bootloader und Kernel bis hin zu den wichtigsten Komponenten des Betriebssystems.

Beim Start des Systems wird die Signatur der Software mit der in der Firmware hinterlegten Signatur verglichen. Stimmen diese nicht überein, wird der Startvorgang abgebrochen. Bei möglichen Problemen oder schweren Sicherheitslücken können die Signaturen auch zurückgezogen und neue verteilt werden.

Zwar hatte Microsoft bereits vor Jahren die Idee, das Abschalten von Secure Boot nicht mehr zuzulassen, viele Mainboard-Hersteller haben diese Option aber weiter geboten. Für schnelle Tests oder Neuinstallationen war es aus Sicht der Nutzer so unter Umständen oft einfacher, auf Secure Boot zu verzichten und es abzuschalten. Wer Windows 11 nutzen will, kann dies aber nicht mehr so machen und muss Secure Boot verwenden.

Microsoft Windows 11 Home, Betriebssystem-Software

TPM 2.0 für zahlreiche Sicherheitsfunktionen

Ebenso wie Secure Boot sind auch sogenannte Trusted Platform Modules (TPM) schon länger in Windows nutzbar, werden mit Windows 11 aber erstmals standardmäßig vorausgesetzt. Bei dem TPM handelt es sich um einen Chip mit speziellen kryptografischen Funktionen, der etwa zum Generieren oder Speichern von Schlüsseln oder Hashwerten gedacht ist.

Das TPM kann als dedizierter Chip auf dem Mainboard vorliegen oder per Firmware direkt auf der installierten CPU ausgeführt werden. Ersterer wird bei den meisten moderneren Business-Notebooks und integrierten Systemen verbaut. Das Firmware-TPM (fTPM) ist hingegen auf Intel-, AMD- und einigen ARM-Prozessoren vorhanden. Der Vorteil des TPM ist es dabei, dass es für Angreifer sehr schwer ist, an das gesicherte TPM zu gelangen und so etwa Passwort-Hashes oder Schlüssel zu erlangen.

Ist die Kommunikation des TPM mit dem Rest des Systems aber nicht ausreichend kryptografisch abgesichert, etwa durch eine Verschlüsselung oder auch nur durch eine PIN oder ein Passwort, sind unter Umständen physische Angriffe auf die Daten möglich, die aus dem TPM ausgelesen werden. Das ist aber zumindest mit erhöhtem Aufwand verbunden.

Beim für Windows 11 genutzten TPM 2.0 stehen im Vergleich zur Vorgängerspezifikation TPM 1.2 vor allem mehr kryptografische Funktionen bereit und aus Sicht vieler OEMs besser standardisierte Schnittstellen für einen leichteren Einsatz.

Die Liste der möglichen Einsatzszenarien für TPM 2.0 ist dabei recht lang. Genutzt wird dies etwa für Bitlocker oder auch die komplette Geräteverschlüsselung, für Windows Hello oder als virtuelle Smart Card. Aber auch beim Systemstart kommt das TPM zum Einsatz.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
TPM 2.0 für sicheren Boot 
  1. 1
  2. 2
  3.  


Ach 15. Okt 2021 / Themenstart

Wie gesagt, je durchgehender der Schwenk vom Desktop aufs Notebook im Arbeitsumfeld von...

Talhawkins 11. Okt 2021 / Themenstart

Bei TPM und Secure Boot geht es MS wirklich um die Sicherheit der Daten ihrer Kunden...

HiddenX 11. Okt 2021 / Themenstart

Deaktiviert, vorhanden ist ja mehr oder weniger mit jedem Mainboard des letzten...

My1 09. Okt 2021 / Themenstart

Ubuntu kann ohne Probleme sowohl uefi als auch secure boot. Bei custom kernel treibern...

My1 09. Okt 2021 / Themenstart

Wo ist da der sinn dahinter? ich habe selbst Tests gemacht mit einem Board das uefi hat...

Kommentieren



Aktuell auf der Startseite von Golem.de
Drucker
Ohne Tinte kein Scan - Klage gegen Canon

In den USA wurde eine Sammelklage gegen Canon eingereicht: Klagegrund ist, dass einige 3-in-1-Geräte nur scannen, wenn Tinte vorhanden ist.

Drucker: Ohne Tinte kein Scan - Klage gegen Canon
Artikel
  1. Microsoft: Xbox-Kühlschrank kostet 100 Euro
    Microsoft
    Xbox-Kühlschrank kostet 100 Euro

    Microsoft bringt wie angekündigt einen Minikühlschrank im Design der Xbox Series X auf den Markt, der auch nach Deutschland kommen wird.

  2. Silicon Valley: Apple entlässt #Appletoo-Aktivistin
    Silicon Valley
    Apple entlässt #Appletoo-Aktivistin

    Apple hat Janneke Parrish gekündigt, die sich für die Offenlegung von Diskriminierung in dem Unternehmen einsetzte. Auch Netflix entlässt offenbar eine Aktivistin.

  3. Streaming: Squid Game soll Netflix 900 Millionen US-Dollar bringen
    Streaming
    Squid Game soll Netflix 900 Millionen US-Dollar bringen

    Die südkoreanische Serie Squid Game ist dabei, sich zu Netflix' größtem Erfolg zu entwickeln: Die Survival-Serie bricht mehrere Rekorde.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 37% Rabatt auf Corsair-Produkte • Mehrwertsteuer-Aktion bei MediaMarkt • Crucial BX500 1 TB 69€ • Aerocool Aero One White 41,98€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /