6
Windows 10: Neue Geräte nur mit UEFI Secure Boot und TPM
Moin liebe Kollegen,
In Zukunft solltet Ihr euch neue Hardware sehr genau anschauen, wenn Ihr euch nciht nur auf windows10 als OS beschränken wollt. Ich rechne damit, daß die meisten herstelelr den optionalen Schalter "vergessen" werden, so daß man sich Modelle, auf denen etwas anderes als ein windows 10 oder eine Linux-Distribution "von der Stange" laufen soll man wie die Nadel im heuhaufen suchen muß.
Ganz abgesehen davon, daß TPMs, die nicht unter User/Adminkontrolle sind, sondern von MS kontrolliert werden noch ganz andere Gefahren bergen.
Mal schauen, was die schöne neue Welt da noch bringt.
lks
http://www.heise.de/newsticker/meldung/Windows-10-Neue-Geraete-nur-mit- ...
In Zukunft solltet Ihr euch neue Hardware sehr genau anschauen, wenn Ihr euch nciht nur auf windows10 als OS beschränken wollt. Ich rechne damit, daß die meisten herstelelr den optionalen Schalter "vergessen" werden, so daß man sich Modelle, auf denen etwas anderes als ein windows 10 oder eine Linux-Distribution "von der Stange" laufen soll man wie die Nadel im heuhaufen suchen muß.
Ganz abgesehen davon, daß TPMs, die nicht unter User/Adminkontrolle sind, sondern von MS kontrolliert werden noch ganz andere Gefahren bergen.
Mal schauen, was die schöne neue Welt da noch bringt.
lks
http://www.heise.de/newsticker/meldung/Windows-10-Neue-Geraete-nur-mit- ...
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 267136
Url: https://administrator.de/forum/windows-10-neue-geraete-nur-mit-uefi-secure-boot-und-tpm-267136.html
Ausgedruckt am: 05.04.2025 um 12:04 Uhr
6 Kommentare
Neuester Kommentar
Windows 10 - das Imperium schlägt zurück!
Die Weichen sind gestellt und es kommt etwas großes auf uns zu.
Auf die Marktanteile bin ich sehr gespannt wenn man berücksichtigt, was es so alles zu vermelden gibt (kostenlose Upgrades, Windows 10 Mobile, Universal Apps).
Logisch, dass Microsoft die Konkurrenz auch über Hardware-Einschränkungen zu unterdrücken versucht. Ob das gelingt, ist allerdings fraglich.Zudem gibt es haufenweise Ärger mit Secure Boot, sobald mal wieder eine CA kompromittiert wurde oder aus anderen Gründen Zertifikate aktualisiert werden müssen.
Was die Hardware angeht bin ich aber weitestgehend entspannt, da ich normalerweise über den Lebenszyklus der Hardware weiß, was drauf laufen wird, wenn ich diese ausschreibe / bestelle. In virtuellen Umgebungen kann man zumindest weiterhin Secure Boot schalten.
Gruss
Grinskeks
Die Weichen sind gestellt und es kommt etwas großes auf uns zu.
Auf die Marktanteile bin ich sehr gespannt wenn man berücksichtigt, was es so alles zu vermelden gibt (kostenlose Upgrades, Windows 10 Mobile, Universal Apps).
Logisch, dass Microsoft die Konkurrenz auch über Hardware-Einschränkungen zu unterdrücken versucht. Ob das gelingt, ist allerdings fraglich.Zudem gibt es haufenweise Ärger mit Secure Boot, sobald mal wieder eine CA kompromittiert wurde oder aus anderen Gründen Zertifikate aktualisiert werden müssen.
Was die Hardware angeht bin ich aber weitestgehend entspannt, da ich normalerweise über den Lebenszyklus der Hardware weiß, was drauf laufen wird, wenn ich diese ausschreibe / bestelle. In virtuellen Umgebungen kann man zumindest weiterhin Secure Boot schalten.
Gruss
Grinskeks
Hi.
Ich möchte dazu anmerken, dass vielleicht manch einem gar nicht bewusst ist, welche Rolle ein TPM einnimmt - hier mal aus positiver Sicht: ohne TPM kann man keinen Rechner so verschlüsseln, dass der Nutzer ihn zwar starten, aber nicht offline manipulieren kann - geht nicht, zumindest nicht ohne weitere Mittel wie beispielsweise Smartcards. Sobald man dem Nutzer ein Kennwort zum Mounten in die Hand drückt, kann er die Platte offline manipulieren und sich somit über Restriktionen hinwegsetzen, selbst zum Admin/Root machen, usw.
Mit TPM Chip und preboot-Authentifizierung wird eine offline-Attacke auf (TPM-)verschlüsselte Platten unmöglich, bzw. man müsste schon den TPM Chip unter seine Kontrolle bringen können.
Bedenkt man nun, dass sehr viele Angriffe von Kollegen ausgehen und davon der Großteil mit dem Erlangen von Adminrechten auf dem eigenen PC beginnt, wird klar, warum ein TPM (oder ein ähnliches Konzept) notwendig ist.
Ich möchte dazu anmerken, dass vielleicht manch einem gar nicht bewusst ist, welche Rolle ein TPM einnimmt - hier mal aus positiver Sicht: ohne TPM kann man keinen Rechner so verschlüsseln, dass der Nutzer ihn zwar starten, aber nicht offline manipulieren kann - geht nicht, zumindest nicht ohne weitere Mittel wie beispielsweise Smartcards. Sobald man dem Nutzer ein Kennwort zum Mounten in die Hand drückt, kann er die Platte offline manipulieren und sich somit über Restriktionen hinwegsetzen, selbst zum Admin/Root machen, usw.
Mit TPM Chip und preboot-Authentifizierung wird eine offline-Attacke auf (TPM-)verschlüsselte Platten unmöglich, bzw. man müsste schon den TPM Chip unter seine Kontrolle bringen können.
Bedenkt man nun, dass sehr viele Angriffe von Kollegen ausgehen und davon der Großteil mit dem Erlangen von Adminrechten auf dem eigenen PC beginnt, wird klar, warum ein TPM (oder ein ähnliches Konzept) notwendig ist.
Zitat von @DerWoWusste:
Bedenkt man nun, dass sehr viele Angriffe von Kollegen ausgehen und davon der Großteil mit dem Erlangen von Adminrechten auf
dem eigenen PC beginnt, wird klar, warum ein TPM (oder ein ähnliches Konzept) notwendig ist.
Bedenkt man nun, dass sehr viele Angriffe von Kollegen ausgehen und davon der Großteil mit dem Erlangen von Adminrechten auf
dem eigenen PC beginnt, wird klar, warum ein TPM (oder ein ähnliches Konzept) notwendig ist.
Das Problem ist ja nicht, daß es ein TPM gibt. das TPM ist, sofern der Anwender (oder der Admin der Firma) die Kontrolle darüber hat, ein wichtiges Hilfmittel, die Kisten "sauber" zu halten.
Das Problem ist aber, wie das schon vor Jahrzehnten befürchtet wurde, MS sich langsam die Hoheit über das TPM holt und der Anwender/Admin die Kontrolle verliert. ein gutes beispiel dafür ist, daß man die Kontrolle über die BIOS-Firmware verliert, was in zeiten von Lighteater einen ggf. schutzlos läßt, weil man das BIOs nicht mehr selbst fixen kann.
lks
MS will Sicherheit bieten und (ge-)braucht diese Technologien dafür. "sich langsam die Hoheit über das TPM holen" ist hingegen doch schon eindeutig ausgelegt. Wo entnimmst Du, dass MS TPMs kontrollieren möchte? Müsste es nicht eher heißen (wenn überhaupt), sie versuchen mittels des TPMs Dinge zu kontrollieren? Bleibt nicht der TPM-Hersteller der Jenige, der das TPM kontrolliert?
Zitat von @DerWoWusste:
MS will Sicherheit bieten und (ge-)braucht diese Technologien dafür. "sich langsam die Hoheit über das TPM
holen" ist hingegen doch schon eindeutig ausgelegt. Wo entnimmst Du, dass MS TPMs kontrollieren möchte? Müsste es
nicht eher heißen (wenn überhaupt), sie versuchen mittels des TPMs Dinge zu kontrollieren? Bleibt nicht der
TPM-Hersteller der Jenige, der das TPM kontrolliert?
MS will Sicherheit bieten und (ge-)braucht diese Technologien dafür. "sich langsam die Hoheit über das TPM
holen" ist hingegen doch schon eindeutig ausgelegt. Wo entnimmst Du, dass MS TPMs kontrollieren möchte? Müsste es
nicht eher heißen (wenn überhaupt), sie versuchen mittels des TPMs Dinge zu kontrollieren? Bleibt nicht der
TPM-Hersteller der Jenige, der das TPM kontrolliert?
Das Problem ist doch, daß MS den Hardwareherstellern mehr oder weniger diktiert, wie die Geräte konfiguriert sein müssen, damit die ein Windows-Logo bekommen. im Zusamennspiel mit Intels verified boot und der Secure-boot-Forderung von MS die nicht mehr zwingend abschaltbar sein muß, läuft das darauf hinaus, das dr "normaluser keien Kontrolel mehr darüber hat, was er auf seiner Kiste laufen lassen kann, sondern nru noch das was MS (und ggf. intel) signiert hat.
Da braucht kann man nicht mehr einfach mal einen eigen selbtgebackenen BDS oder linux-kernel laufen lassen.
Das TPM an sich ist nciht das Problem, sondern nur die mangelnde Kontrolel des Admins darüber.
lks
Puh, ich finde es ist nicht angebracht, von einem Diktat zu sprechen. Es gibt gute Gründe für die Maßnahme - wie die meisten Dinge hat es eben auch Nachteile.
Der Hintergrund meines ersten Kommentars war, aufzuzeigen, dass man zumindest aus Sicherheitsgesichtspunkten eigentlich kein System mehr ohne will.
Schönes Wochenende!
Der Hintergrund meines ersten Kommentars war, aufzuzeigen, dass man zumindest aus Sicherheitsgesichtspunkten eigentlich kein System mehr ohne will.
Schönes Wochenende!
