Jedes Betriebssystem hat eine große Schwäche: Es ist sein Startvorgang. Denn dabei kann sich Schadcode ins System einschleichen, bevor das Betriebssystem seine Schutzmechanismen aktivieren konnte.
Diese Gefahr ist längst bekannt – bereits vor 20 Jahren versuchte Microsoft, diese Lücke zu schließen. Anfang der 2000er-Jahre stellte Microsoft Palladium vor, ein System mit TPM-Chip (Trusted Platform Module), das für einen sicheren Systemstart sorgen sollte. Doch Palladium war bei den Endanwendern extrem unbeliebt. Man sagte dem System nach, dass ein damit geschützter PC beim Startvorgang einen Microsoft-Server kontaktieren müsse.
Da man im Jahr 2002 ohnehin der Meinung war, Windows würde zu häufig nach Hause telefonieren, hielt man auch von Palladium nichts: Es würde nur dazu dienen, noch mehr Informationen über den Anwender zu sammeln. Es würde Musik mit einem Kopierschutz versehen und vermeintlich geklaute Software, Filme und MP3 sperren. Palladium war so unbeliebt, dass Microsoft es beerdigt und eine veränderte Bootsicherung für Business-PCs anbot.
Zehn Jahre später versuchte Microsoft mit Windows 8 erneut, den Systemstart besser zu sichern. 2012 kommunizierte der Konzern aber deutlicher, dass der benötigte TPM-Chip und das dazugehörige Secure Boot auch ohne Microsoft-Server auskommen kann. Auf breiter Front konnte sich die Technik bis heute dennoch nicht durchsetzen. Lediglich im Business-Bereich hat sich der TPM-Chip etabliert.
Windows 11 mit TPM: Mehr als ein sicherer Start
Heute spielt der TPM-Chip wieder eine große Rolle. Denn Microsoft hat festgesetzt, dass Geräte, die für Windows-11 zertifiziert sind, über einen TPM-2.0-Chip verfügen müssen. Außerdem muss ein Uefi (Unified Extensible Firmware Interface) mit der Funktion Secure Boot vorhanden sein. Und schließlich darf der Prozessor nicht zu alt sein. Die Details zu den Hardware-Voraussetzungen finden Sie im Kasten auf Seite 31. Die Voraussetzungen dienen dazu, Windows besser abzusichern als bisher. Dabei geht es nicht mehr nur um den Systemstart. Der TPM-Chip unterstützt darüber hinaus nun viele weitere Sicherheitsfunktionen. Infos dazu finden Sie in der Tabelle auf Seite 30. Außerdem will Microsoft die Funktion „Virtualisierungsbasierte Sicherheit“ (VBS) mit Windows 11 standardmäßig aktivieren. Auf ihr fußen viele weitere Sicherheitstools in Windows. Die meisten dieser Funktionen gibt es schon seit Windows 10. Sie wurden aber oft nicht aktiviert. Das soll sich mit Windows 11 ändern.
Wichtige Sicherheitsfunktionen in Windows 11
Die folgenden Sicherheitsfunktionen sind für Nutzer von Windows 11 wichtig:
- Die aktivierte Funktion Secure Boot im Uefi der Hauptplatine
- Der Krypto-Chip TPM 2.0
- Aktuelle CPUs, die genügend Performance und passende Befehlssätze für wichtige Sicherheitsfunktionen bieten, etwa für VBS, HVCI und hardwarebasierten Stack-Schutz
- Die Windows-Funktion virtualisierungsbasierte Sicherheit (VBS)
- Das Feature Hypervisor-protected Code Integrity (HVCI) und andere auf VBS aufsetzende Funktionen
Secure Boot: Gesicherter Startvorgang
Secure Boot sorgt dafür, dass die ersten Software-Komponenten nur starten, wenn diese nicht manipuliert wurden. Es geht dabei um den Windows-Bootloader, den Windows Kernel und weiteren Code. Voraussetzung für Secure Boot ist eine Hauptplatine mit Uefi und TPM-Chip. Uefi steuert die ersten Prozesse nach dem Einschalten des PCs und lädt den Windows-Bootloader. Der TPM-Chip hat diverse Prüfsummen in Form eindeutiger Hash-Werte gespeichert. Mit dabei sind die Werte der Uefi-Firmware, des Windows-Bootloaders und des Windows-Kernels. Je nach Konfiguration des Systems kommen weitere Hashes hinzu.
Lesetipp: Windows 11 ohne TPM-2.0-Chip installieren – so geht´s
TPM 2.0: Was es ist und was es kann
Das Trusted Platform Module (TPM) ist ein Sicherheitschip mit kryptografischen Eigenschaften. Er kann hardwarebasierte Schlüssel, Zertifikate und Hashwerte erstellen beziehungsweise verwalten. Er ist im Grunde ein Schließfach für Schlüssel. Im TPM können Zertifikate gespeichert sein, die belegen, dass der Windows-Bootloader und weitere Systemdateien sich in ihrem Originalzustand befinden. Jenseits von Secure Boot nutzt das Windows etwa für die Funktion Bitlocker, mit der sich Festplatten verschlüsseln lassen. Im Grunde kann aber jede elementare Sicherheitsfunktion in Windows vom TPM-Chip profitieren. Denn bei der Sicherheit steht immer die Frage im Raum, ob ein Virus bereits das System manipuliert hat. Die Hashwerte im TPM-Chip können diese Frage eindeutig beantworten.
Wo sitzt der TPM-Chip und kann er nachgerüstet werden?
Bei älteren Hauptplatinen ist das TPM tatsächlich ein separater Chip, der auf der Platine aufgelötet ist oder sich dort aufstecken lässt. Wer jetzt hofft, er könne das TPM für Windows 11 bei seinem PC nachrüsten, muss bedenken, dass solche Hauptplatinen meist nur einen Sockel für ältere CPU-Generationen bieten. Und diese älteren CPUs sind nicht für Windows 11 geeignet. Es wird vermutlich nur eine kleine Anzahl an Systemen geben, bei denen eine Aufrüstung des TPM-Chips sinnvoll ist. Ab etwa 2013 hat Intel ein firmwarebasiertes TPM in ihre CPUs integriert. Die Prozessoren von AMD folgten wenig später. Eine aktuelle CPU liefert Ihnen also sehr wahrscheinlich das nötige TPM-2.0-Modul gleich mit.
Das heißt aber nicht zwangsläufig, dass Ihr PC mit einer aktuellen CPU das TPM auch nutzen kann. Denn neben der Funktion in der CPU, muss auch das Uefi dafür konfiguriert sein. Wer sich den PC selbst zusammengestellt oder ein günstiges PC-Modell gekauft hat, bei dem könnte das TPM in der CPU nicht aktivierbar sein.
In diesen Fällen kann entweder ein Uefi-Update oder doch ein TPM-Aufsteckmodell helfen ( ab 30 Euro ).
Die Sicherheitsfunktionen von Windows 11: Diese Hardware benötigen Sie
Uefi mit Secure Boot: Das Uefi muss die Funktion „Secure Boot“ bieten. Hier dürfte es für PC-Nutzer die wenigsten Probleme geben, da die meisten Rechner der letzten zehn Jahre diese Funktion integriert haben.
TPM 2.0: TPM ist ein Kryptografie-Chip. Seine Aufgabe ist es, Verschlüsselungsschlüssel und andere sensible Daten zu schützen. TPM 2.0 sollte in vielen PCs ab dem Baujahr 2015 zu finden sein.
Neuere CPUs: Windows 11 verlangt zum Beispiel Intel-CPUs ab Core i-8000 oder AMD Ryzen-CPUs ab der 2000er Reihe. Diese CPUs finden sich überwiegend erst in Rechnern mit Baujahr ab 2017 oder 2018. Eine komplette Liste mit allen unterstützten CPUs finden Sie hier . Wer auch das neueste Sicherheitsfeatures von Windows nutzen möchte (hardwarebasierter Stack-Schutz), benötigt eine Intel-CPU der 11. Generation oder eine AMD-CPU 5000 mit AMD Shadow Stack nötig. Mit diesem Stack-Schutz können Programmierer ihren Code besser vor Schadcode schützen.
Warum verlangt Windows 11 so neue Prozessoren? Windows setzt zum Schutz vor Schadcode auf Virtualisierung. Diese erfordert aber viel Rechen-Power sowie bestimmte Befehlssätze in der CPU. Nur neuere CPUs können die Virtualisierungsfunktionen ohne spürbare Performance-Einbußen laufen lassen.
Ist mein PC für Windows 11 geeignet? Diese Frage beantwortet das Tool Whynotwin11 (gratis). Das Tool startet ohne Installation und zeigt, welche Komponente den Anforderungen von Windows 11 nicht genügt, falls solche vorhanden sind.
Schutz dank virtualisierungsbasierter Sicherheit und HVCI
TPM und die aktuellen Prozessoren dienen außerdem einer weiteren wichtigen Sicherheitsfunktion von Windows, der „virtualisierungsbasierten Sicherheit“ (VBS). Wenn in Windows 11 VBS aktiv ist, kann das System einzelne Aufgaben in einen durch Virtualisierung geschützten Bereich packen, einer Art Sandbox. Darin lassen sich wichtige Aufgaben getrennt vom Windows-Kern erledigen.
VBS funktioniert zwar auch ohne TPM, wird mit TPM aber noch sicherer. VBS bietet die technische Voraussetzung für Tools wie den Windows Defender Application Guard, den Windows Defender Credential Guard oder die Windows Sandbox. Sie alle nutzen das Konzept von VBS. Das aktuell am häufigsten genannten Feature, das VBS nutzt, heißt Hypervisor-Protected Code-Integrität (HVCI).
Während VBS für die Windows-Sandbox einen geschützten Bereich erstellt, aus dem heraus kein Schadcode das System befallen kann, verhält es sich mit HVCI genau andersherum: Der Sandkasten von HVCI schützt wichtige Daten und Prozesse gegen Schadcode, der möglicherweise schon im System sitzt. Dafür erzeugt HVCI im Arbeitsspeicher eine sogenannte Enklave und stellt sicher, dass nur vertrauenswürdiger Code dorthinein geladen wird. Dieser kann in der Enklave Daten verarbeiten und das Ergebnis an das System zurücksenden.
Ein Beispiel: Angreifer haben es oft auf die Anmeldedaten in einem Netzwerk abgesehen. Denn sobald sie Log-in-Daten mit Administratorrechten erbeutet haben, können sie deutlich tiefer ins System eindringen. Aus diesem Grund werden die Anmeldedaten in Unternehmensnetzwerken mit dem Tool Windows Defender Credential Guard besonders geschützt. Der Credential Guard nutzt HVCI, das eine sichere Enklave erstellt. Darin ist eine Benutzeranmeldung auf einem verseuchten System möglich, ohne dass der Angreifer die Login-Daten stehlen kann.
Fazit: Windows 11 bietet die Chance auf mehr Sicherheit
Sicherheitsspezialisten weisen darauf hin, dass die meisten der jetzt diskutierten Sicherheitsfunktionen bereits in Windows 10 verfügbar sind. Die Änderungen in Windows 11 hinsichtlich der System- und Datensicherheit sei im Grunde nicht so groß. Dieser Ansicht möchten wir einen positiveren Blick entgegenstellen. Man merkt, dass Microsoft an vielen Stellen die Sicherheit von Windows und von Windows-Programmen verbessert. Das TPM schützt dabei nicht nur den Systemstart, sondern auch viele andere Sicherheitsfunktionen. Genauso wie die virtualisierungsbasierte Sicherheit viele weitere Security-Features, etwa das HVCI, ermöglicht. Durch die Hardware-Voraussetzungen von Windows 11 können diese Features standardmäßig aktiv sein und für eine deutlich höhere Wehrhaftigkeit von Windows gegen Angriffe sorgen.
So kontrollieren Sie, ob die Sicherheitsfunktionen von Windows 11 aktiv sind
Microsoft betont, dass die neuen Sicherheitsfunktionen bei Geräten, die für Windows 11 zertifiziert sind, vorhanden sein müssen. Doch scheint Microsoft seine OEM-Partner nicht zu zwingen, dass sie die neuen Sicherheitsfunktionen auch aktivieren. Es lohnt sich also auch bei neuen Geräten, die Sicherheitseinstellungen zu kontrollieren. Bei Rechnern, die Sie von Windows 10 auf Windows 11 aktualisiert haben, sollten Sie den Status von VBS & Co. auf jeden Fall kontrollieren.
TPM: Wählen Sie „Windows-Symbol –› Alle Apps –› Windows Sicherheit –› Gerätesicherheit“. Steht dort „Die Standardhardwaresicherheit wird nicht unterstützt.“ ist TPM nicht vorhanden oder nicht aktiviert. Sollte er vorhanden sein, können Sie nach einem Klick auf „Details zum Sicherheitschip“ kontrollieren, ob es sich bei ihm auch um die nötige Version 2.0 handelt. Sollte TPM nicht aktiviert sein, lässt sich das im Uefi nachholen. Wie Sie den PC in die Uefi-Einstellungen booten, erklärt dieser Beitrag .
Secure Boot: Ob Secure Boot aktiviert ist, prüfen Sie mit den Windows-Bordmittel Msinfo32.exe, das Sie über Windows-Symbol –› Alle Apps –› Windows-Tools Systeminformationen“ in Windows 11 starten können. Dort muss hinter „Sicherer Startzustand“ das Wort „Ein“ stehen. Falls das nicht der Fall ist, lässt sich Secure Boot im Uefi im Menü „Security“ oder „Advanced“ aktivieren.
VBS: Ob die virtualisierungsbasierte Sicherheit (VBS) aktiv ist, prüfen Sie ebenfalls mit dem Bordmittel Msinfo32.exe. Ganz unten auf der rechten Seite steht der Eintrag „Virtualisierungsbasierte Sicherheit“. Dahinter muss „Wird ausgeführt“ stehen. Falls das nicht der Fall ist, aktivieren Sie VBS über die Registry. Starten Sie diese etwa über regedit.exe und gehen Sie zu „HKLMSYSTEM CurrentControlSetControlDeviceGuard“ und erstellen dort ein DWORD namens EnableVirtualizationBasedSecurity mit dem Wert 1 und starten Sie Windows neu.
HVCI: Ob die Hypervisor-Protected Code Integrity (HVCI) aktiv ist, zeigt ebenfalls das Bordmittel Msinfo32.exe an. Auf der rechten Seite unten in den Zeilen „Virtualisierungsbasierte Sicherheit – konfigurierte Dienste“ und „Virtualisierungsbasierte Sicherheit – ausgeführte Dienste“. Steht hinter beiden Zeilen nichts, ist HVCI inaktiv. Sie aktivieren die Funktion über die „Windows-Sicherheit“. Darin wählen Sie „Gerätesicherheit –› Kernisolierung –› Details zu Kernisolierung“. Schieben Sie den Schalter auf „Ein“. Sofern alle Treiber mitspielen, verlangt Windows einen Neustart, danach ist HVCI aktiv. Bei Tests in der Redaktion stießen wir auf viele Rechner, bei denen sich die Funktion nicht aktivieren ließ. Schuld waren stets nicht kompatible Treiber. Ein Klick auf „Inkompatible Treiber überprüfen“ zeigt zwar die schuldigen Dateien an. Es bedarf dann aber einer Portion detektivisches Gespür, um die zugehörige Hardware zu identifizieren und dafür neue Treiber zu finden.
Autor: Arne Arnold
Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.