1590296

Windows 8: Secure Boot mit UEFI-Firmware

18.10.2012 | 13:09 Uhr |

Auf neueren PCs mit UEFI-Firmware greift ein neuer Schutzmechanismus: Mit Secure Boot will Windows 8 Rootkits und Firmware-Manipulationen verhindern.

Jedes Betriebssystem hat eine strukturbedingte Schwäche – den Bootprozess. Bei Windows-PCs wird nach dem Einschalten der interne Speicher geprüft, dann übergibt das Bios die Kontrolle über den Boot-Prozess dem Boot-Manager, dieser startet dann das Ladeprogramm für Windows. Ein Sicherheitsproblem sind Schädlinge (Rootkits), die sich schon im Boot-Prozess einklinken, noch bevor Windows und somit auch die Antiviren-Software läuft.
 
Windows 8 sichert nun mit Secure Boot den Boot-Prozess mehrfach ab. Voraussetzung ist neuere UEFI-Firmware (Unified Extensible Firmware Interface) mit TPM-Chip (Trusted Platform Module). Auf älterer BIOS-Firmware ist Secure Boot nicht funktionsfähig und fällt dort schlicht unter den Tisch.
UEFI ist aber inzwischen in allen neueren PCs und Notebooks verbaut. Für Windows-8-OEM-Versionen macht Microsoft UEFI-Firmware sogar zur Zertifizierungsvorschrift.
 
Der TPM-Chip speichert diverse Prüfsummen in Form eindeutiger Hash-Werte, nämlich die der UEFI-Firmware selbst, ferner des Windows-Bootloaders, des Windows-Kernels sowie der ELAM-Treiber (Early Launch Anti Malware). Die ELAM-Treiber wiederum sind Teil künftiger Virenscanner. Sie werden bereits ganz am Anfang des Boot-Vorgangs geladen.
Secure Boot läuft nun in mehreren Phasen ab:  Zunächst wird der Hash-Wert der UEFI-Firmware selbst kontrolliert. Nur wenn dieser mit dem im TPM-Chip hinterlegten Wert übereinstimmt, geht’s weiter (andernfalls wurde die UEFI-Firmware verändert und der Boot-Vorgang stoppt).
Dann wird in gleicher Manier die Firmware der Hardware kontrolliert – etwa der Grafik- und der Netzwerkkarte. Weiter geht es mit dem Windows-Bootloader und dem Kernel, schließlich mit dem ELAM-Treiber.
Bei allen diesen Kontrollen muss die aktuell ermittelte Prüfsumme mit jener übereinstimmen, die im TPM gespeichert ist. Ist das nicht der Fall, geht der Mechanismus von einer Manipulation aus.
 
Es ist absehbar, dass es Situationen geben wird, die ein Abschalten der Secure-Boot-Policy in der UEFI-Firmware erfordern werden. Secure Boot wird nämlich nicht nur schädliche Rootkits verhindern, sondern auch das Laden von nützlichen Live-Systemen.
 
 
Siehe auch Windows-8-Artikel "Hybrides Booten".

Lesen Sie hier alle Details zu allen Windows-8-Versionen.

0 Kommentare zu diesem Artikel

Was ist Windows 8?

Das neue Microsoft-Betriebssystem ist der Nachfolger von Windows 7 und erschien am 26. Oktober 2012. Windows 8 baut auf seinen sehr erfolgreichen Vorgänger auf und enthält den neuen Kachel-Startbildschirm, der sich an der Oberfläche mit rechteckigen Kästen orientiert, die Microsoft mit Windows Phone 7 eingeführt und später auch bei der Xbox 360 integriert hat. Der zunächst eingeführte Begriff der "Metro-Oberfläche" wurde kurz vor dem Start aus rechtlichen Gründen zurückgezogen. Inzwischen spricht Microsoft von "Windows-Live-Tiles".

1590296