lochkartenstanzer
Goto Top

Windows 10: Neue Geräte nur mit UEFI Secure Boot und TPM

Moin liebe Kollegen,

In Zukunft solltet Ihr euch neue Hardware sehr genau anschauen, wenn Ihr euch nciht nur auf windows10 als OS beschränken wollt. Ich rechne damit, daß die meisten herstelelr den optionalen Schalter "vergessen" werden, so daß man sich Modelle, auf denen etwas anderes als ein windows 10 oder eine Linux-Distribution "von der Stange" laufen soll man wie die Nadel im heuhaufen suchen muß.

Ganz abgesehen davon, daß TPMs, die nicht unter User/Adminkontrolle sind, sondern von MS kontrolliert werden noch ganz andere Gefahren bergen.

Mal schauen, was die schöne neue Welt da noch bringt.

lks

http://www.heise.de/newsticker/meldung/Windows-10-Neue-Geraete-nur-mit- ...

Content-ID: 267136

Url: https://administrator.de/forum/windows-10-neue-geraete-nur-mit-uefi-secure-boot-und-tpm-267136.html

Ausgedruckt am: 05.04.2025 um 12:04 Uhr

Grinskeks
Grinskeks 24.03.2015 um 17:19:27 Uhr
Goto Top
Windows 10 - das Imperium schlägt zurück!

Die Weichen sind gestellt und es kommt etwas großes auf uns zu.
Auf die Marktanteile bin ich sehr gespannt wenn man berücksichtigt, was es so alles zu vermelden gibt (kostenlose Upgrades, Windows 10 Mobile, Universal Apps).

Logisch, dass Microsoft die Konkurrenz auch über Hardware-Einschränkungen zu unterdrücken versucht. Ob das gelingt, ist allerdings fraglich.Zudem gibt es haufenweise Ärger mit Secure Boot, sobald mal wieder eine CA kompromittiert wurde oder aus anderen Gründen Zertifikate aktualisiert werden müssen.

Was die Hardware angeht bin ich aber weitestgehend entspannt, da ich normalerweise über den Lebenszyklus der Hardware weiß, was drauf laufen wird, wenn ich diese ausschreibe / bestelle. In virtuellen Umgebungen kann man zumindest weiterhin Secure Boot schalten.


Gruss
Grinskeks
DerWoWusste
DerWoWusste 26.03.2015, aktualisiert am 30.03.2015 um 12:41:46 Uhr
Goto Top
Hi.

Ich möchte dazu anmerken, dass vielleicht manch einem gar nicht bewusst ist, welche Rolle ein TPM einnimmt - hier mal aus positiver Sicht: ohne TPM kann man keinen Rechner so verschlüsseln, dass der Nutzer ihn zwar starten, aber nicht offline manipulieren kann - geht nicht, zumindest nicht ohne weitere Mittel wie beispielsweise Smartcards. Sobald man dem Nutzer ein Kennwort zum Mounten in die Hand drückt, kann er die Platte offline manipulieren und sich somit über Restriktionen hinwegsetzen, selbst zum Admin/Root machen, usw.

Mit TPM Chip und preboot-Authentifizierung wird eine offline-Attacke auf (TPM-)verschlüsselte Platten unmöglich, bzw. man müsste schon den TPM Chip unter seine Kontrolle bringen können.

Bedenkt man nun, dass sehr viele Angriffe von Kollegen ausgehen und davon der Großteil mit dem Erlangen von Adminrechten auf dem eigenen PC beginnt, wird klar, warum ein TPM (oder ein ähnliches Konzept) notwendig ist.
Lochkartenstanzer
Lochkartenstanzer 26.03.2015 um 11:39:04 Uhr
Goto Top
Zitat von @DerWoWusste:

Bedenkt man nun, dass sehr viele Angriffe von Kollegen ausgehen und davon der Großteil mit dem Erlangen von Adminrechten auf
dem eigenen PC beginnt, wird klar, warum ein TPM (oder ein ähnliches Konzept) notwendig ist.

Das Problem ist ja nicht, daß es ein TPM gibt. das TPM ist, sofern der Anwender (oder der Admin der Firma) die Kontrolle darüber hat, ein wichtiges Hilfmittel, die Kisten "sauber" zu halten.

Das Problem ist aber, wie das schon vor Jahrzehnten befürchtet wurde, MS sich langsam die Hoheit über das TPM holt und der Anwender/Admin die Kontrolle verliert. ein gutes beispiel dafür ist, daß man die Kontrolle über die BIOS-Firmware verliert, was in zeiten von Lighteater einen ggf. schutzlos läßt, weil man das BIOs nicht mehr selbst fixen kann.

lks
DerWoWusste
DerWoWusste 26.03.2015 aktualisiert um 17:52:46 Uhr
Goto Top
MS will Sicherheit bieten und (ge-)braucht diese Technologien dafür. "sich langsam die Hoheit über das TPM holen" ist hingegen doch schon eindeutig ausgelegt. Wo entnimmst Du, dass MS TPMs kontrollieren möchte? Müsste es nicht eher heißen (wenn überhaupt), sie versuchen mittels des TPMs Dinge zu kontrollieren? Bleibt nicht der TPM-Hersteller der Jenige, der das TPM kontrolliert?
Lochkartenstanzer
Lochkartenstanzer 27.03.2015 um 09:21:44 Uhr
Goto Top
Zitat von @DerWoWusste:

MS will Sicherheit bieten und (ge-)braucht diese Technologien dafür. "sich langsam die Hoheit über das TPM
holen" ist hingegen doch schon eindeutig ausgelegt. Wo entnimmst Du, dass MS TPMs kontrollieren möchte? Müsste es
nicht eher heißen (wenn überhaupt), sie versuchen mittels des TPMs Dinge zu kontrollieren? Bleibt nicht der
TPM-Hersteller der Jenige, der das TPM kontrolliert?

Das Problem ist doch, daß MS den Hardwareherstellern mehr oder weniger diktiert, wie die Geräte konfiguriert sein müssen, damit die ein Windows-Logo bekommen. im Zusamennspiel mit Intels verified boot und der Secure-boot-Forderung von MS die nicht mehr zwingend abschaltbar sein muß, läuft das darauf hinaus, das dr "normaluser keien Kontrolel mehr darüber hat, was er auf seiner Kiste laufen lassen kann, sondern nru noch das was MS (und ggf. intel) signiert hat.

Da braucht kann man nicht mehr einfach mal einen eigen selbtgebackenen BDS oder linux-kernel laufen lassen.

Das TPM an sich ist nciht das Problem, sondern nur die mangelnde Kontrolel des Admins darüber.

lks
DerWoWusste
DerWoWusste 27.03.2015 um 12:48:40 Uhr
Goto Top
Puh, ich finde es ist nicht angebracht, von einem Diktat zu sprechen. Es gibt gute Gründe für die Maßnahme - wie die meisten Dinge hat es eben auch Nachteile.
Der Hintergrund meines ersten Kommentars war, aufzuzeigen, dass man zumindest aus Sicherheitsgesichtspunkten eigentlich kein System mehr ohne will.

Schönes Wochenende!