2596185

Windows 10/11: Was ist TPM und was brauche ich dafür?

Windows 11 hat strengere Hardware-Anforderungen als alle seine Vorgänger. Das nervt viele Nutzer. Doch für die Windows-Sicherheit sind diese Vorgaben ein Segen. Wir erklären, was die neuen Tools bringen und wie Sie sie kontrollieren.

Jedes Betriebssystem hat eine große Schwäche: Es ist sein Startvorgang. Denn dabei kann sich Schadcode ins System einschleichen, bevor das Betriebssystem seine Schutzmechanismen aktivieren konnte.

Diese Gefahr ist längst bekannt – bereits vor 20 Jahren versuchte Microsoft, diese Lücke zu schließen. Anfang der 2000er-Jahre stellte Microsoft Palladium vor, ein System mit TPM-Chip (Trusted Platform Module), das für einen sicheren Systemstart sorgen sollte. Doch Palladium war bei den Endanwendern extrem unbeliebt. Man sagte dem System nach, dass ein damit geschützter PC beim Startvorgang einen Microsoft-Server kontaktieren müsse.

Da man im Jahr 2002 ohnehin der Meinung war, Windows würde zu häufig nach Hause telefonieren, hielt man auch von Palladium nichts: Es würde nur dazu dienen, noch mehr Informationen über den Anwender zu sammeln. Es würde Musik mit einem Kopierschutz versehen und vermeintlich geklaute Software, Filme und MP3 sperren. Palladium war so unbeliebt, dass Microsoft es beerdigt und eine veränderte Bootsicherung für Business-PCs anbot.

Zehn Jahre später versuchte Microsoft mit Windows 8 erneut, den Systemstart besser zu sichern. 2012 kommunizierte der Konzern aber deutlicher, dass der benötigte TPM-Chip und das dazugehörige Secure Boot auch ohne Microsoft-Server auskommen kann. Auf breiter Front konnte sich die Technik bis heute dennoch nicht durchsetzen. Lediglich im Business-Bereich hat sich der TPM-Chip etabliert.

Windows 11 mit TPM: Mehr als ein sicherer Start

Heute spielt der TPM-Chip wieder eine große Rolle. Denn Microsoft hat festgesetzt, dass Geräte, die für Windows-11 zertifiziert sind, über einen TPM-2.0-Chip verfügen müssen. Außerdem muss ein Uefi (Unified Extensible Firmware Interface) mit der Funktion Secure Boot vorhanden sein. Und schließlich darf der Prozessor nicht zu alt sein. Die Details zu den Hardware-Voraussetzungen finden Sie im Kasten auf Seite 31. Die Voraussetzungen dienen dazu, Windows besser abzusichern als bisher. Dabei geht es nicht mehr nur um den Systemstart. Der TPM-Chip unterstützt darüber hinaus nun viele weitere Sicherheitsfunktionen. Infos dazu finden Sie in der Tabelle auf Seite 30. Außerdem will Microsoft die Funktion „Virtualisierungsbasierte Sicherheit“ (VBS) mit Windows 11 standardmäßig aktivieren. Auf ihr fußen viele weitere Sicherheitstools in Windows. Die meisten dieser Funktionen gibt es schon seit Windows 10. Sie wurden aber oft nicht aktiviert. Das soll sich mit Windows 11 ändern. 

Wichtige Sicherheitsfunktionen in Windows 11

Die folgenden Sicherheitsfunktionen sind für Nutzer von Windows 11 wichtig: 

  1. Die aktivierte Funktion Secure Boot im Uefi der Hauptplatine 

  2. Der Krypto-Chip TPM 2.0 

  3. Aktuelle CPUs, die genügend Performance und passende Befehlssätze für wichtige Sicherheitsfunktionen bieten, etwa für VBS, HVCI und hardwarebasierten Stack-Schutz 

  4. Die Windows-Funktion virtualisierungsbasierte Sicherheit (VBS) 

  5. Das Feature Hypervisor-protected Code Integrity (HVCI) und andere auf VBS aufsetzende Funktionen 

Secure Boot: Gesicherter Startvorgang

Die Funktion „Secure Boot“ im Uefi ist eine der Voraussetzungen, die Windows 11 an die Hardware stellt. Unter Umständen müssen Sie Secure Boot im Uefi erst einschalten.
Vergrößern Die Funktion „Secure Boot“ im Uefi ist eine der Voraussetzungen, die Windows 11 an die Hardware stellt. Unter Umständen müssen Sie Secure Boot im Uefi erst einschalten.

Secure Boot sorgt dafür, dass die ersten Software-Komponenten nur starten, wenn diese nicht manipuliert wurden. Es geht dabei um den Windows-Bootloader, den Windows Kernel und weiteren Code. Voraussetzung für Secure Boot ist eine Hauptplatine mit Uefi und TPM-Chip. Uefi steuert die ersten Prozesse nach dem Einschalten des PCs und lädt den Windows-Bootloader. Der TPM-Chip hat diverse Prüfsummen in Form eindeutiger Hash-Werte gespeichert. Mit dabei sind die Werte der Uefi-Firmware, des Windows-Bootloaders und des Windows-Kernels. Je nach Konfiguration des Systems kommen weitere Hashes hinzu.

Lesetipp:  Windows 11 ohne TPM-2.0-Chip installieren - so geht´s

TPM 2.0: Was es ist und was es kann

Ein TPM (Trusted Platform Modul) zum Aufstecken auf eine Hauptplatine, sofern sie dafür einen Steckplatz bietet. So lässt sich ein TPM mit Version 2.0 für Windows 11 nachrüsten.
Vergrößern Ein TPM (Trusted Platform Modul) zum Aufstecken auf eine Hauptplatine, sofern sie dafür einen Steckplatz bietet. So lässt sich ein TPM mit Version 2.0 für Windows 11 nachrüsten.

Das Trusted Platform Module (TPM) ist ein Sicherheitschip mit kryptografischen Eigenschaften. Er kann hardwarebasierte Schlüssel, Zertifikate und Hashwerte erstellen beziehungsweise verwalten. Er ist im Grunde ein Schließfach für Schlüssel. Im TPM können Zertifikate gespeichert sein, die belegen, dass der Windows-Bootloader und weitere Systemdateien sich in ihrem Originalzustand befinden. Jenseits von Secure Boot nutzt das Windows etwa für die Funktion Bitlocker, mit der sich Festplatten verschlüsseln lassen. Im Grunde kann aber jede elementare Sicherheitsfunktion in Windows vom TPM-Chip profitieren. Denn bei der Sicherheit steht immer die Frage im Raum, ob ein Virus bereits das System manipuliert hat. Die Hashwerte im TPM-Chip können diese Frage eindeutig beantworten.

Wo sitzt der TPM-Chip und kann er nachgerüstet werden?

In der App Windows Sicherheit zeigt das Betriebssystem an, ob ein TPM-Chip verbaut ist und welche Version dieser hat. Für Windows 11 benötigen Sie die Version 2.0.
Vergrößern In der App Windows Sicherheit zeigt das Betriebssystem an, ob ein TPM-Chip verbaut ist und welche Version dieser hat. Für Windows 11 benötigen Sie die Version 2.0.

Bei älteren Hauptplatinen ist das TPM tatsächlich ein separater Chip, der auf der Platine aufgelötet ist oder sich dort aufstecken lässt. Wer jetzt hofft, er könne das TPM für Windows 11 bei seinem PC nachrüsten, muss bedenken, dass solche Hauptplatinen meist nur einen Sockel für ältere CPU-Generationen bieten. Und diese älteren CPUs sind nicht für Windows 11 geeignet. Es wird vermutlich nur eine kleine Anzahl an Systemen geben, bei denen eine Aufrüstung des TPM-Chips sinnvoll ist. Ab etwa 2013 hat Intel ein firmwarebasiertes TPM in ihre CPUs integriert. Die Prozessoren von AMD folgten wenig später. Eine aktuelle CPU liefert Ihnen also sehr wahrscheinlich das nötige TPM-2.0-Modul gleich mit.

Das heißt aber nicht zwangsläufig, dass Ihr PC mit einer aktuellen CPU das TPM auch nutzen kann. Denn neben der Funktion in der CPU, muss auch das Uefi dafür konfiguriert sein. Wer sich den PC selbst zusammengestellt oder ein günstiges PC-Modell gekauft hat, bei dem könnte das TPM in der CPU nicht aktivierbar sein.

In diesen Fällen kann entweder ein Uefi-Update  oder doch ein TPM-Aufsteckmodell helfen ( ab 30 Euro ).

Schutz dank virtualisierungsbasierter Sicherheit und HVCI

TPM und die aktuellen Prozessoren dienen außerdem einer weiteren wichtigen Sicherheitsfunktion von Windows, der „virtualisierungsbasierten Sicherheit“ (VBS). Wenn in Windows 11 VBS aktiv ist, kann das System einzelne Aufgaben in einen durch Virtualisierung geschützten Bereich packen, einer Art Sandbox. Darin lassen sich wichtige Aufgaben getrennt vom Windows-Kern erledigen.

VBS funktioniert zwar auch ohne TPM, wird mit TPM aber noch sicherer. VBS bietet die technische Voraussetzung für Tools wie den Windows Defender Application Guard, den Windows Defender Credential Guard oder die Windows Sandbox. Sie alle nutzen das Konzept von VBS. Das aktuell am häufigsten genannten Feature, das VBS nutzt, heißt Hypervisor-Protected Code-Integrität (HVCI).

Während VBS für die Windows-Sandbox einen geschützten Bereich erstellt, aus dem heraus kein Schadcode das System befallen kann, verhält es sich mit HVCI genau andersherum: Der Sandkasten von HVCI schützt wichtige Daten und Prozesse gegen Schadcode, der möglicherweise schon im System sitzt. Dafür erzeugt HVCI im Arbeitsspeicher eine sogenannte Enklave und stellt sicher, dass nur vertrauenswürdiger Code dorthinein geladen wird. Dieser kann in der Enklave Daten verarbeiten und das Ergebnis an das System zurücksenden. 

Ein Beispiel: Angreifer haben es oft auf die Anmeldedaten in einem Netzwerk abgesehen. Denn sobald sie Log-in-Daten mit Administratorrechten erbeutet haben, können sie deutlich tiefer ins System eindringen. Aus diesem Grund werden die Anmeldedaten in Unternehmensnetzwerken mit dem Tool Windows Defender Credential Guard besonders geschützt. Der Credential Guard nutzt HVCI, das eine sichere Enklave erstellt. Darin ist eine Benutzeranmeldung auf einem verseuchten System möglich, ohne dass der Angreifer die Login-Daten stehlen kann.

Windows 11 wird deutlich restriktivere Hardwarevoraussetzungen haben als bisherige Versionen. So ist z.B. ein TPM 2.0-Sicherheitschip Pflicht. Auch viele CPUs, die gerade einmal 4 oder 5 Jahre alt sind, sind vom Upgrade ausgeschlossen. Warum das so ist und was sich Microsoft davon verspricht, klären wir in diesem Video.

► Kein Windows 11 auf älteren Rechnern: Auch nicht auf DEINEM?
youtu.be/sl7skijokCI

► Ärgerlich: Windows 11 verliert diese Taskbar-Funktionen:
www.pcwelt.de/2607582

Fazit: Windows 11 bietet die Chance auf mehr Sicherheit

Sicherheitsspezialisten weisen darauf hin, dass die meisten der jetzt diskutierten Sicherheitsfunktionen bereits in Windows 10 verfügbar sind. Die Änderungen in Windows 11 hinsichtlich der System- und Datensicherheit sei im Grunde nicht so groß. Dieser Ansicht möchten wir einen positiveren Blick entgegenstellen. Man merkt, dass Microsoft an vielen Stellen die Sicherheit von Windows und von Windows-Programmen verbessert. Das TPM schützt dabei nicht nur den Systemstart, sondern auch viele andere Sicherheitsfunktionen. Genauso wie die virtualisierungsbasierte Sicherheit viele weitere Security-Features, etwa das HVCI, ermöglicht. Durch die Hardware-Voraussetzungen von Windows 11 können diese Features standardmäßig aktiv sein und für eine deutlich höhere Wehrhaftigkeit von Windows gegen Angriffe sorgen.

PC-WELT Marktplatz

2596185