Warum benötigt man für Windows 11 einen TPM-Chip?

Das Sicherheitsmodul TPM ist Voraussetzung für die Nutzung von Windows 11. Der Chip ist nicht so neu, wie es den Anschein hat. Alles rund um TPM 2.0 erfahren Sie in diesem Artikel!

Beim Computer ist es wie beim Fliegen: Der Start ist das Zeitfenster mit dem höchsten Risiko! Dieses Problem betrifft natürlich nicht nur Windows, sondern jedes Betriebssystem. Denn wenn das System hochfährt, können sich Schädlinge unbemerkt in das System einschleusen, da zu diesem Zeitpunkt die Schutzprogramme noch nicht aktiviert sind.

Um den PC auch beim Startvorgang in einer strengen Sicherheitszone zu halten, gibt es aus dem Hause Microsoft eine Verschärfung der Hardware-Regeln für Windows 11.

In diesem Artikel finden Sie alle Informationen über die neuen Hardware-Tools und wie Sie als User und Kunde von Microsoft die Kontrolle über Ihren Computer und das Betriebssystem behalten.

Die wichtigsten neuen Tools und Funktionen für Windows 11 in Kürze:

Zuerst ist natürlich der TPM-2.0-Chip die neueste und wichtigste Sicherheitsfunktion. Das "Trusted Platform Module" fungiert als Hardware-Vertrauensanker und das in Unabhängigkeit vom Betriebssystem, der CPU und des Arbeitsspeichers.

Nach dem TPM stehen in der Liste der Aktualisierungen auf Platz zwei die neuen CPUs, sie müssen einige Dinge mehr beherrschen, als ihre Vorgänger. Zum Beispiel müssen sie über eine ausreichende Performance und adäquate Befehlssätze für den hardwarebasierten Stack-Schutz, für HVCI und VBS verfügen.

Nummer drei ist die nun aktivierte Funktion im UEFI der Hauptplatine namens "Secure Boot".

Der neue Kryptografie-Chip

Der TPM-Chip (Trusted Platform Modul) erzeugt Hashwerte, digitale Zertifikate und hardwarebasierte Keys. Der Sicherheitschip erstellt diese Funktionen nicht nur, er verwaltet und überwacht sie auch. Das Modul ist mit der Computer-Plattform verbunden, da es in die Hardware integriert ist. Der Chip ist ein "Root of Trust", der separat aufgestellt ist. Er ist autonom, also unabhängig von der CPU, vom RAM, vom Massenspeicher und dem Betriebssystem. Der TPM als separater Vertrauensanker speichert als zusätzliche Verschlüsselungsmaßnahme einen Geheimwert. Dieser Geheimwert bleibt immer im TPM und dient als Basis für eine kryptografische Zertifikationskette. Die im TPM-Chip gespeicherten Zertifikate verifizieren, dass die Systemdateien intakt sind.

Der Chip stellt auch "Platform Configuration Registers" bereit. Bei diesem PCRs handelt es sich um einen geschützten Speicherplatz für Hashes.

Windows verwendet Bitlocker, um Festplatten zu verschlüsseln. Auch diese Funktion profitiert vom Chip. Denn vor der Einführung des TPM-2.0-CHIP konnte nie mit Sicherheit bestätigt werden, ob nicht ein Schädling bereits während des Startvorganges das Betriebssystem indoktriniert hatte. Dank des Hashes im Chip lassen sich diese Bedenken nun eindeutig ausräumen.

Palladium war keine Erfolgsgeschichte

Schon vor 20 Jahren wollte Microsoft die Start-Sicherheitslücke entfernen, dazu veröffentlichte das Unternehmen ein System mit dem Namen Palladium. Palladium sollte einen sicheren Startvorgang garantieren, durch seinen TPM-Chip. Die User waren allerdings alles andere als begeistert von Palladium, da mit ihm der Start von Windows nur über den Kontakt zum Microsoft-Server möglich war. Die User vermuteten nicht zu Unrecht das Prinzip: "Big Microsoft is watching you" hinter der Einführung von Palladium. Das Argument für einen sichereren Start schien vorgeschoben, damit Windows in aller Ruhe und von allen Usern Daten sammeln konnte.

Außerdem war Palladium sehr schnell damit, digitale Elemente zu sperren, wenn es der Meinung war, eine Software oder andere Dateien wären unrechtmäßig erworben. Unbeliebt machte es sich auch, in dem es Musikdateien nach eigenem Gutdünken mit einem Kopierschutz versah.

Aus all diesen Gründen konnte Palladium sich nicht durchsetzen. Microsoft stoppte das Palladium-System.

Damit Anwender im professionellen Bereich den Startvorgang nicht ungeschützt durchführen mussten, bot Microsoft für den Business-Bereich ein alternative Sicherung beim Booten an.

Palladium, der zweite Versuch

Etwa Zehn Jahre nach dem Reinfall mit Palladium machte Microsoft einen neuen Anlauf. Windows 8 sollte kombiniert werden mit einem TPM-Chip. Natürlich hatte das Unternehmen aus dem ersten TPM-Desaster gelernt und betonte ausdrücklich, dass der Chip und das damit verbundene Secure Boot nicht unbedingt mit dem Server von Microsoft kommunizieren müssen. Doch diese Bemühungen fruchteten nicht und auch der neue TPM-Chip fand wenig Freunde unter den Windows-Usern.

Durchsetzen konnte sich der neue Vorstoß nur bei den Business-Anwendern. In Unternehmen spielt das Thema Sicherheit verständlicherweise eine ausschlaggebende Rolle. In Office-PCs wurde das Prinzip TPM zunächst mit der Hardware von Intel, der "vPro" realisiert. AMD zog einige Zeit später nach und auch HP, Dell, Fujitso, Toshiba und Lenovo rüsteten ihre Business-Computer mit der TPM-2.0-Spezifikation auf.

Ohne TPM-2.0-Chip geht nichts mehr bei Windows 11

Inzwischen lässt Microsoft den Usern keine Wahl: Computer, die eine Zertifikation für Windows 11 besitzen, müssen einen TPM-2.0-CHIP aufweisen. Zusätzlich muss ein Unified Extensible Firmware Interface (UEFI) nachgewiesen werden. Und das UEFI muss die Funktion "Secure Boot" beherrschen und automatisch ausführen.

Ein weiteres Gesetz im Windows-Universum bestimmt, dass der Prozessor ein gewisses Alter nicht überschreiten darf. All diese Prämissen sollen garantieren, dass die Sicherheit beim Einsatz von Windows gewährleistet ist. Und anders als früher, dreht sich nicht mehr alles nur um die sensible Phase des Startvorgangs.

Die Zuständigkeiten der TPM-Chips wurden erweitert auf eine ganze Reihe weiterer Sicherheitsarbeiten.

Secure Boot ist eine Art Torwächter: Er stellt sicher, dass zu Startbeginn die einzelnen Software-Elemente erst dann die Starterlaubnis bekommen, wenn er bestätigt, dass sie nicht gehackt wurden. Der Secure Boot durchleuchtet also den Bootloader, den Kernel und weitere Start-Codes. Für seine Aktivitäten benötigt er eine Hauptplatine mit UEFI und einen TPM-Chip. UEFI ist der Steuermann für die ersten Startprozesse und lädt den Bootloader.

Im Chip sind verschiedene Prüfsummen gespeichert. Die Speicherung erfolgt in Form von definierten Hash-Werten. Die Hashes beinhalten unter anderem die Werte des Bootloaders, der UEFI-Firmware und des Kernels.

Der TPM-2.0-CHIP und die VBS

Die VBS ist die Funktion der "Virtualisierungsbasierten Sicherheit" (VBS). Windows hat es sich zum Ziel gesetzt, dass diese Funktion bei der 11er Ausgabe standardmäßig aktiviert wird. Das Argument aus der Microsoft-Linie lautet, dass damit viele weitere Tools für die PC-Security verbunden sind. Die Mehrzahl dieser Funktionen gibt es nicht erst seit heute, sondern bereits seit Windows 10. Aber in der 10. Generation lagen diese Funktionen meist noch brach. Windows 11 will die Aktivierung dieser Funktionen quasi erzwingen.

Die VBS schützt das Computersystem, indem es bestimmte Aufgaben und Prozesse in ein Areal verbringt, welches durch Virtualisierung sicher ist. Man kann diesen geschützten Bereich mit einer Sandbox vergleichen. Sauber separiert vom Windows-Kern lassen sich dort Arbeiten durchführen.

TPM ist nicht zwingend notwendig für die Aktivierung von VBS. Allerdings wird die Sicherheit auf virtualisierter Basis mit dem TPM-Chip auf ein noch höheres Securitiy-Level gehoben.

VBS ist die technische Bedingung für eine ganze Reihe von Tools
Ohne VBS läuft unter Windows 11 nicht mehr viel an Sicherheitsarbeiten. Die Windows Sandbox, der Windows Defender Application Guard und der Defender Credential Guard, ihnen allen ist gemeinsam, dass sie abhängig sind von VBS.

HVCI (Hypervisor-Protected Code-Integrität) - auch hier geht nichts ohne VBS

In seiner Arbeitsweise ist die HVCI das Gegenstück zum Sandbox-Prinzip. VBS erstellt in Zusammenarbeit mit der Sandbox einen geschützten Raum. Hier sind die Daten absolut sicher vor Angriffen. Die Sandbox von HVCI dagegen schirmt das System gegen feindliche Angreifer ab, die sich eventuell bereits eingenistet haben. Um das zu erreichen, erstellt die Hypervisor-Protected Code-Integrität eine sichere Enklave im Arbeitsspeicher. In das Hoheitsgebiet der Enklave können nur Codes geladen werden, die nachweislich den digitalen Vertrauenstest bestanden haben. Innerhalb der Enklave werden Daten und Prozesse bearbeitet und die Arbeitsergebnisse an das Computersystem zurückgeschickt.

Wo genau befindet sich der TPM-Chip?

Bei nicht mehr ganz neuen Hauptplatinen handelt es sich bei dem Chip noch um ein separates Bauteil, welches auf der Leiterplatte aufgesteckt oder aufgelötet ist.

Trotzdem lässt sich ein älterer Computer nicht einfach mit dem TPM-2.0-CHIP nachrüsten. Das liegt an den älteren Leiterplatten, die in der Regel nur einen Sockel für ihre eigene CPU-Generation besitzen. Und eben diese ältere zentrale Prozessoreinheit ist nicht fit genug für Windows 11.

Wie kann ein deaktivierter Chip mobilisiert werden?
Bei einem neueren Computer ist die Wahrscheinlichkeit sehr hoch, dass er ein TPM-2.0-Chip schon ab Werk integriert hat. Leider bedeutet dieser Fakt nicht unbedingt, dass der PC auch technisch dazu in der Lage ist, das Modul zu nutzen. Denn der Chip kann erst aktiv werden, wenn das UEFI dementsprechend konfiguriert ist.

Bei sehr preiswerten oder selbst zusammengebauten Computern kann es sein, dass der Chip nicht aktiviert werden kann. Als Lösung in solchen Fällen bietet sich ein TPM-Aufsteckmodul an. Als weitere Alternative kann ein Update des UEFI den Chip in Gang bringen.

Ein kurzer Überblick über die für Windows 11 erforderlichen Hardware-Komponenten

Der Kryptografie-Chip TPM 2.0
Aktuelle CPUs, zum Beispiel die AMD Ryzen-CPU ab der 2000-Serie oder von Intel ab der Generation Core i-8000. In der Regel sind CPUs dieser Reihen in Computern ab den Produktionsjahren 2017 oder 2018 verbaut.
Der Stack-Schutz auf Hardwarebasis funktioniert erst ab der Intel-Serie der 11. CPU-Generation oder bei einer CPU von AMD der 5000er Reihe. Der Stack-Schutz ist eine Ausnahme, denn er ist keine unbedingte Voraussetzung, aber ein höchst wirksames Sicherheitstool. Dieses Feature ist besonders bei Programmierern populär, da sich mit ihm die Codes um Klassen besser vor schädlichen Eindringlingen schützen lassen.
Durchleuchten Sie Ihren PC auf aktivierte Sicherheitsfeatures von Windows 11

Bei Computern, die für das neue Windows zertifiziert sind, müssen die aktuellen Sicherheitstools vorhanden sein. So weit zumindest die Theorie aus dem Hause Microsoft. Denn immerhin sieht es so aus, dass das Unternehmen seine OEM-Hersteller nicht dazu zwingen will, die vorhandenen Features zu aktivieren. Deshalb macht es Sinn, bei einem neuen Rechner nachzuschauen, welche der Sicherheitseinstellungen sich im Aktivmodus befinden.

Und auch beim Update von Windows 10 auf 11 sollte der User kontrollieren, welche Funktionen schon automatisch bereit zur Arbeit sind.

Unter dem Menüpunkt "Gerätesicherheit" kann die Meldung stehen, dass die Sicherheit der Standardhardware nicht unterstützt wird. In diesem Falle ist der TPM-2.0-Chip entweder nicht präsent oder er ist deaktiviert. Wenn dieser Chip in Ihrem Rechner vorhanden ist, können Sie den Punkt: "Details zum Sicherheitschip" anklicken, dort erfahren Sie, ob es sich bei Ihrem Chip um die nötige aktuelle Version 2.0 handelt.

Wenn TPM noch deaktiviert ist, können Sie seine Einstellung im UEFI auf aktiv ändern.

Mit Windows eigenem Bordmittel, der "Msinfo32.exe", können Sie kontrollieren, ob Secure Boot sich im aktiven Zustand befindet. Zu diesem Bordmittel gelangen Sie vom "Windows-Symbol", über "Alle Apps" und dann zum "Windows-Tools Systeminformationen". Wenn neben "Sicherer Startzustand" ein "Ein" steht, dann ist Secure Boot in Ihrem System bereits aktiviert.

Wenn Secure Boot noch nicht eingeschaltet ist, dann können Sie das im UEFI unter den Punkten: "Advanced" oder "Security" ändern.

Und wenn Sie schon grade bei Msinfo32.exe sind, können Sie damit auch nachforschen, ob die HVCI sich im aktiven Modus befindet.

Es ist nicht aktiviert, wenn hinter den beiden Informationen über die Virtualisierungsbasierte Sicherheit - ausgeführte, beziehungsweise konfigurierte Dienste, keine weitere Information hinterlegt ist. Sie Können die HVCI nachträglich aktivieren, gehen Sie dazu in Richtung "Windows-Sicherheit" und von dort zur "Gerätesicherheit", dann zu "Kernisolierung" und "Details zur Kernisolierung". Bei den Details zur Kernisolierung befindet sich ein Schalter, den Sie via Maus auf Aktiv stellen müssen. Wenn die Aktivierung erfolgreich war und alle Treiber vorhanden sind und ihre Arbeit verrichten, dann meldet Windows Ihnen nun, dass Sie einen Neustart durchführen müssen. Nach dem Neustart ist das HVCI in einem aktiven Modus.

Wir haben die Sache mit den Treibern extra erwähnt, da ein Problem mit nicht kooperierenden Treibern häufig auftritt. Man kann sich zwar im System den Punkt "Inkompatible Treiber kontrollieren" anzeigen lassen, aber es ist nicht so leicht, die dazu gehörenden Hardwarekomponenten ausfindig zu machen und neue Treiber für sie zu finden und runterzuladen.

Sie möchten wissen, ob Ihr Rechner sich für die Arbeit unter dem Betriebssystem Windows 11 eignet? Diese Frage beantwortet Ihnen das kostenlose Tool "Whynotwin". Das Tool benötigt keine vorherige Installation und informiert darüber, welche Elemente Ihrer Hardware eventuell nicht den technischen Ansprüchen von Windows 11 genügen.

Fazit:

Auf den ersten Blick mag es vermessen von Microsoft sein, den Usern von Windows 11 so viele neue Regeln vorzuschreiben. Die Sache wird verständlicher, wenn man bedenkt, dass die Virtualisierung als Tool gegen Schadcodes eine anspruchsvolle CPU benötigt. Nur CPUs der neueren Generation schaffen es, die Virtualisierungsaufgaben zu bewältigen, ohne an Performance zu verlieren.

TPM 2.0 bietet auf jeden Fall eine höchstmögliche Sicherheit und das ist schließlich im Interesse aller User.