Security: Das bringen TPM und Secure Boot für Windows 11

Mit Windows 11 macht Microsoft zwei schon länger bekannte Sicherheitstechniken zur strikten Voraussetzung. Wofür eigentlich?

Artikel von veröffentlicht am
Unter anderem die Nutzung von TPMs soll Windows 11 sicherer machen. (Symbolbild)
Unter anderem die Nutzung von TPMs soll Windows 11 sicherer machen. (Symbolbild) (Bild: Gigabyte / Montage: Golem.de)

Im Juni dieses Jahres sorgte Microsoft im Rahmen der Ankündigungen für Windows 11 für einigen Ärger und Verwirrung bei den Nutzern. Der Grund: Windows-11-zertifizierte Geräte müssen über ein TPM 2.0 verfügen. Ebenso wird UEFI Secure Boot zwingend zur Nutzung von Windows 11 vorausgesetzt.

Inhalt:
  1. Security: Das bringen TPM und Secure Boot für Windows 11
  2. TPM 2.0 für sicheren Boot

Damit sind zwar einige ältere Systeme von der Nutzung ausgeschlossen, Microsoft erhöht damit aber auch die grundsätzliche Sicherheit, wie das Unternehmen selbst korrekterweise schreibt. Zwar gibt es wohl auch Möglichkeiten, Windows 11 ohne die genannten Techniken zu nutzen. Microsoft behält sich aber vor, für diese Systeme keine Updates zu verteilen.

Sowohl Secure Boot als auch das TPM 2.0 sowie einige weitere Sicherheitstechniken können darüber hinaus zwar schon länger auch in Windows 10 oder alternativen Betriebssystemen wie Linux verwendet werden. Aber erst mit dem Zwang zur Nutzung gelingt es Microsoft, dies wirklich für alle Systeme mehr oder weniger einheitlich bereitzustellen.

Sicheres Starten dank verbreiteter Technik

Die Umsetzung von Secure Boot in Windows reicht dabei bereits rund zehn Jahre zurück, zu Windows 8. Die Idee der Technik ist dabei, dass der Rechner nur noch jene Software starten soll, der tatsächlich auch vertraut wird. So sollen sich etwa klassische Boot- und Root-Kits deutlich schwerer unterschieben lassen.

Stellenmarkt
  1. Data Scientist*in - HR Analytics
    Deutsche Bundesbank, Frankfurt am Main
  2. IT-Mitarbeiter (m/w/d) Support / Helpdesk
    Hülskens Holding GmbH & Co. KG, Wesel
Detailsuche

Umgesetzt wird dies über eine Datenbank von Signaturen, die in der Firmware gespeichert wird. Auf der anderen Seite kommen Hersteller hinzu, wie etwa Microsoft, die die tatsächlich genutzte Software signieren: von den Firmware-Anwendungen über den Bootloader und Kernel bis hin zu den wichtigsten Komponenten des Betriebssystems.

Beim Start des Systems wird die Signatur der Software mit der in der Firmware hinterlegten Signatur verglichen. Stimmen diese nicht überein, wird der Startvorgang abgebrochen. Bei möglichen Problemen oder schweren Sicherheitslücken können die Signaturen auch zurückgezogen und neue verteilt werden.

Zwar hatte Microsoft bereits vor Jahren die Idee, das Abschalten von Secure Boot nicht mehr zuzulassen, viele Mainboard-Hersteller haben diese Option aber weiter geboten. Für schnelle Tests oder Neuinstallationen war es aus Sicht der Nutzer so unter Umständen oft einfacher, auf Secure Boot zu verzichten und es abzuschalten. Wer Windows 11 nutzen will, kann dies aber nicht mehr so machen und muss Secure Boot verwenden.

Microsoft Windows 11 Home, Betriebssystem-Software

TPM 2.0 für zahlreiche Sicherheitsfunktionen

Ebenso wie Secure Boot sind auch sogenannte Trusted Platform Modules (TPM) schon länger in Windows nutzbar, werden mit Windows 11 aber erstmals standardmäßig vorausgesetzt. Bei dem TPM handelt es sich um einen Chip mit speziellen kryptografischen Funktionen, der etwa zum Generieren oder Speichern von Schlüsseln oder Hashwerten gedacht ist.

Das TPM kann als dedizierter Chip auf dem Mainboard vorliegen oder per Firmware direkt auf der installierten CPU ausgeführt werden. Ersterer wird bei den meisten moderneren Business-Notebooks und integrierten Systemen verbaut. Das Firmware-TPM (fTPM) ist hingegen auf Intel-, AMD- und einigen ARM-Prozessoren vorhanden. Der Vorteil des TPM ist es dabei, dass es für Angreifer sehr schwer ist, an das gesicherte TPM zu gelangen und so etwa Passwort-Hashes oder Schlüssel zu erlangen.

Ist die Kommunikation des TPM mit dem Rest des Systems aber nicht ausreichend kryptografisch abgesichert, etwa durch eine Verschlüsselung oder auch nur durch eine PIN oder ein Passwort, sind unter Umständen physische Angriffe auf die Daten möglich, die aus dem TPM ausgelesen werden. Das ist aber zumindest mit erhöhtem Aufwand verbunden.

Beim für Windows 11 genutzten TPM 2.0 stehen im Vergleich zur Vorgängerspezifikation TPM 1.2 vor allem mehr kryptografische Funktionen bereit und aus Sicht vieler OEMs besser standardisierte Schnittstellen für einen leichteren Einsatz.

Die Liste der möglichen Einsatzszenarien für TPM 2.0 ist dabei recht lang. Genutzt wird dies etwa für Bitlocker oder auch die komplette Geräteverschlüsselung, für Windows Hello oder als virtuelle Smart Card. Aber auch beim Systemstart kommt das TPM zum Einsatz.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
TPM 2.0 für sicheren Boot 
  1. 1
  2. 2
  3.  


Ach 15. Okt 2021

Wie gesagt, je durchgehender der Schwenk vom Desktop aufs Notebook im Arbeitsumfeld von...

Talhawkins 11. Okt 2021

Bei TPM und Secure Boot geht es MS wirklich um die Sicherheit der Daten ihrer Kunden...

HiddenX 11. Okt 2021

Deaktiviert, vorhanden ist ja mehr oder weniger mit jedem Mainboard des letzten...

My1 09. Okt 2021

Ubuntu kann ohne Probleme sowohl uefi als auch secure boot. Bei custom kernel treibern...



Aktuell auf der Startseite von Golem.de
Gene Roddenberrys andere Sci-Fi-Stoffe
Neben Star Trek leider fast vergessen

Der Name Gene Roddenberry steht vor allem für Star Trek. Nach dem Ende der klassischen Serie hat er aber noch andere Science-Fiction-Stoffe entwickelt.
Von Peter Osteried

Gene Roddenberrys andere Sci-Fi-Stoffe: Neben Star Trek leider fast vergessen
Artikel
  1. Carsten Spohr: Lufthansa-Chef wird Opfer eigener Sicherheitslücke
    Carsten Spohr
    Lufthansa-Chef wird Opfer eigener Sicherheitslücke

    Unbekannte haben einen QR-Code auf einem Boardingpass von Lufthansa-Chef Carsten Spohr ausgelesen und auf persönliche Daten zugreifen können.

  2. Showcar: Renault 5 Turbo 3E kommt als Driftauto mit Elektromotoren
    Showcar
    Renault 5 Turbo 3E kommt als Driftauto mit Elektromotoren

    Renault hat sich zum 50. Geburtstag des Renault 5 den R5 Turbo 3E einfallen lassen. Das Showcar mit zwei E-Motoren ist wie gemacht zum Driften.

  3. James Earl Jones: Darth Vader gibt seine Stimme an ukrainisches Unternehmen ab
    James Earl Jones
    Darth Vader gibt seine Stimme an ukrainisches Unternehmen ab

    Die Originalstimme von Darth Vader aus Star Wars gehört James Earl Jones, der sich alterbedingt zurückzieht. Künftig wird die Stimme künstlich generiert.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • CyberWeek: Bis -53% auf Gaming-Zubehör und bis -45% auf PC-Audio • Crucial 16-GB-Kit DDR5-4800 69,99€ • Crucial P2 1 TB 67,90€ • MindStar (u. a. Intel Core i5-12600 239€ und Fastro 2-TB-SSD 128€) • Logitech G Pro Gaming Keyboard 77,90€ • Apple iPhone 12 64 GB 659€ [Werbung]
    •  /