Windows 10: Neue Geräte nur mit UEFI Secure Boot und TPM
Moin liebe Kollegen,
In Zukunft solltet Ihr euch neue Hardware sehr genau anschauen, wenn Ihr euch nciht nur auf windows10 als OS beschränken wollt. Ich rechne damit, daß die meisten herstelelr den optionalen Schalter "vergessen" werden, so daß man sich Modelle, auf denen etwas anderes als ein windows 10 oder eine Linux-Distribution "von der Stange" laufen soll man wie die Nadel im heuhaufen suchen muß.
Ganz abgesehen davon, daß TPMs, die nicht unter User/Adminkontrolle sind, sondern von MS kontrolliert werden noch ganz andere Gefahren bergen.
Mal schauen, was die schöne neue Welt da noch bringt.
lks
http://www.heise.de/newsticker/meldung/Windows-10-Neue-Geraete-nur-mit- ...
In Zukunft solltet Ihr euch neue Hardware sehr genau anschauen, wenn Ihr euch nciht nur auf windows10 als OS beschränken wollt. Ich rechne damit, daß die meisten herstelelr den optionalen Schalter "vergessen" werden, so daß man sich Modelle, auf denen etwas anderes als ein windows 10 oder eine Linux-Distribution "von der Stange" laufen soll man wie die Nadel im heuhaufen suchen muß.
Ganz abgesehen davon, daß TPMs, die nicht unter User/Adminkontrolle sind, sondern von MS kontrolliert werden noch ganz andere Gefahren bergen.
Mal schauen, was die schöne neue Welt da noch bringt.
lks
http://www.heise.de/newsticker/meldung/Windows-10-Neue-Geraete-nur-mit- ...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 267136
Url: https://administrator.de/forum/windows-10-neue-geraete-nur-mit-uefi-secure-boot-und-tpm-267136.html
Ausgedruckt am: 05.04.2025 um 12:04 Uhr
6 Kommentare
Neuester Kommentar
Windows 10 - das Imperium schlägt zurück!
Die Weichen sind gestellt und es kommt etwas großes auf uns zu.
Auf die Marktanteile bin ich sehr gespannt wenn man berücksichtigt, was es so alles zu vermelden gibt (kostenlose Upgrades, Windows 10 Mobile, Universal Apps).
Logisch, dass Microsoft die Konkurrenz auch über Hardware-Einschränkungen zu unterdrücken versucht. Ob das gelingt, ist allerdings fraglich.Zudem gibt es haufenweise Ärger mit Secure Boot, sobald mal wieder eine CA kompromittiert wurde oder aus anderen Gründen Zertifikate aktualisiert werden müssen.
Was die Hardware angeht bin ich aber weitestgehend entspannt, da ich normalerweise über den Lebenszyklus der Hardware weiß, was drauf laufen wird, wenn ich diese ausschreibe / bestelle. In virtuellen Umgebungen kann man zumindest weiterhin Secure Boot schalten.
Gruss
Grinskeks
Die Weichen sind gestellt und es kommt etwas großes auf uns zu.
Auf die Marktanteile bin ich sehr gespannt wenn man berücksichtigt, was es so alles zu vermelden gibt (kostenlose Upgrades, Windows 10 Mobile, Universal Apps).
Logisch, dass Microsoft die Konkurrenz auch über Hardware-Einschränkungen zu unterdrücken versucht. Ob das gelingt, ist allerdings fraglich.Zudem gibt es haufenweise Ärger mit Secure Boot, sobald mal wieder eine CA kompromittiert wurde oder aus anderen Gründen Zertifikate aktualisiert werden müssen.
Was die Hardware angeht bin ich aber weitestgehend entspannt, da ich normalerweise über den Lebenszyklus der Hardware weiß, was drauf laufen wird, wenn ich diese ausschreibe / bestelle. In virtuellen Umgebungen kann man zumindest weiterhin Secure Boot schalten.
Gruss
Grinskeks
Hi.
Ich möchte dazu anmerken, dass vielleicht manch einem gar nicht bewusst ist, welche Rolle ein TPM einnimmt - hier mal aus positiver Sicht: ohne TPM kann man keinen Rechner so verschlüsseln, dass der Nutzer ihn zwar starten, aber nicht offline manipulieren kann - geht nicht, zumindest nicht ohne weitere Mittel wie beispielsweise Smartcards. Sobald man dem Nutzer ein Kennwort zum Mounten in die Hand drückt, kann er die Platte offline manipulieren und sich somit über Restriktionen hinwegsetzen, selbst zum Admin/Root machen, usw.
Mit TPM Chip und preboot-Authentifizierung wird eine offline-Attacke auf (TPM-)verschlüsselte Platten unmöglich, bzw. man müsste schon den TPM Chip unter seine Kontrolle bringen können.
Bedenkt man nun, dass sehr viele Angriffe von Kollegen ausgehen und davon der Großteil mit dem Erlangen von Adminrechten auf dem eigenen PC beginnt, wird klar, warum ein TPM (oder ein ähnliches Konzept) notwendig ist.
Ich möchte dazu anmerken, dass vielleicht manch einem gar nicht bewusst ist, welche Rolle ein TPM einnimmt - hier mal aus positiver Sicht: ohne TPM kann man keinen Rechner so verschlüsseln, dass der Nutzer ihn zwar starten, aber nicht offline manipulieren kann - geht nicht, zumindest nicht ohne weitere Mittel wie beispielsweise Smartcards. Sobald man dem Nutzer ein Kennwort zum Mounten in die Hand drückt, kann er die Platte offline manipulieren und sich somit über Restriktionen hinwegsetzen, selbst zum Admin/Root machen, usw.
Mit TPM Chip und preboot-Authentifizierung wird eine offline-Attacke auf (TPM-)verschlüsselte Platten unmöglich, bzw. man müsste schon den TPM Chip unter seine Kontrolle bringen können.
Bedenkt man nun, dass sehr viele Angriffe von Kollegen ausgehen und davon der Großteil mit dem Erlangen von Adminrechten auf dem eigenen PC beginnt, wird klar, warum ein TPM (oder ein ähnliches Konzept) notwendig ist.
MS will Sicherheit bieten und (ge-)braucht diese Technologien dafür. "sich langsam die Hoheit über das TPM holen" ist hingegen doch schon eindeutig ausgelegt. Wo entnimmst Du, dass MS TPMs kontrollieren möchte? Müsste es nicht eher heißen (wenn überhaupt), sie versuchen mittels des TPMs Dinge zu kontrollieren? Bleibt nicht der TPM-Hersteller der Jenige, der das TPM kontrolliert?
Puh, ich finde es ist nicht angebracht, von einem Diktat zu sprechen. Es gibt gute Gründe für die Maßnahme - wie die meisten Dinge hat es eben auch Nachteile.
Der Hintergrund meines ersten Kommentars war, aufzuzeigen, dass man zumindest aus Sicherheitsgesichtspunkten eigentlich kein System mehr ohne will.
Schönes Wochenende!
Der Hintergrund meines ersten Kommentars war, aufzuzeigen, dass man zumindest aus Sicherheitsgesichtspunkten eigentlich kein System mehr ohne will.
Schönes Wochenende!