UEFI

Windows 11 – Secureboot, UEFI, TPM und der falsche Ansatz bzgl. Umweltschutz und Klimawandel

von

Viele Blogs und Artikel haben sich bislang bereits mit dem Thema Windows 11 beschäftigt. Seitens Microsoft gibt es einige verwirrende Fakten, die nicht nur bei Windowsbenutzern für einige Fragezeichen sorgen.

Alte Hardware wird ausgeklammert

Einerseits kommt es zu TPM und Secureboot-Pflicht (verstehe ich und das ist ja auch noch zumindest nachvollziehbar), andererseits werden einige teils noch recht aktuelle CPUs (u.a. 3 Jahre junge CPUs) -wenn es nach Microsoft geht – einfach und salopp gesprochen „in die Tonne geklopft“. Glaubt man so manchem Artikel, dann gibt weder Microsoft, noch AMD oder INTEL konkrete Auskünfte darüber, weshalb „ältere“ Prozessoren von Windows 11 nicht mehr unterstützt werden.

Auf Gizmodo liest man, dass es beispielsweise zu einer Ausklammerung der ersten Generation der AMD Ryzen CPUs kommt, da sie die Minimal-Hardware-Anforderungen nicht erfüllen und Windows 11 dadurch vermehrt sogenannte „Kernel-Mode-Crashes“ zu verzeichnen hätte. Hingegen hätte man mit CPUs, die den Minimalanforderungen entsprechen zu 99.8% keine derartigen Abstürze.

Originalauszug:

AMD’s first-gen Ryzen chip didn’t make the chopping block. “After carefully analyzing the first generation of AMD Zen processors in partnership with AMD, together we concluded that there are no additions to the supported CPU list,” writes Microsoft. The company adds that devices that didn’t meet the minimum hardware requirements “had 52 percent more kernel mode crashes” in Windows 11, whereas those that met the minimum hardware requirements “had a 99.8 percent crash-free experience.”

Unterstützt werden laut Microsoft folgende Prozessoren (Quelle: Microsoft):

Unterstützte CPUs – Windows 11

 

Was ist außer einer kompatiblen CPU noch nötig, um Windows 11 betreiben zu können?

Nebst teils recht aktueller CPU, müssen noch folgende Hardwareanforderungen (Minimalanforderunge) erfüllt werden.

  • RAM: 4GB
  • Festplatte/SSD: Mindestens 64GB
  • Mainboard: Secure Boot muss vorhanden und aktiv geschaltet sein.
  • Mainbord: Ein TPM (trusted platform module) – Version 2.0 –  muss vorhanden und aktiv geschaltet sein.
  • Mainboard / OS Installation: Das System muss im UEFI Bootmode laufen / Die Windowsinstallation muss im UEFI Modus durchgeführt worden sein.

RAM

4GB sind an sich nichts Besonderes. Im Zweifelsfalle könnte man das System aufrüsten. Keine große Sache!

Festplatte / SSD

Auch die Festplatte bzw. SSD kann man jederzeit gegen ein größeres Modell tauschen. Abgesehen davon: Normalerweise hat man heutzutage keine 64GB Systemplatte im PC laufen. Somit stellt auch diese Anforderung kein Problem dar.

Secure Boot (u.a. betreffend Linux und ältere Betriebssysteme)

Secure Boot ist ein Sicherheitsfeature, welches über das Bios des Mainboard aktiviert werden muss. Wie / wo genau im Bios diese Option zu aktivieren ist, hängt vom verwendeten Mainboard ab. Es verhindert, dass während der Bootphase des PCs unsignierter Code ausgeführt wird. Daraus wird klar, dass Bootloader (wie z.B. Grub2 unter Linux) nur signierte Linuxkernel booten dürfen.

Hat man also ein Betriebssystem installiert, welches keinen signierten Kernel bootet, wird der Start des Betriebssystems bei nachträglichem Aktivieren der Option „Secure Boot – enabled“, nicht gelingen. Linuxdistributionen müssen vor Aktivierung des Secureboot angepasst werden. Folgende Pakete sind beispielsweise bei einem Debian GNU Linux (nach) zu installieren:

  • shim-signed
  • grub-efi-amd64-signed
  • grub-efi-ia32-signed
  • ein Originallinuxkernel der verwendeten Distribution

Wichtig: Das System muss im UEFI Modus booten & auch im UEFI Mode installiert sein!

Anmerkung: Seit Debian GNU Linux Version 10 wird Secure Boot unterstützt.

UEFI Modus (Boot)

Um den UEFI Bootmodus verwenden zu können, muss dieser im Bios des Mainboard aktiviert werden. Wie auch bei der oben beschriebenen Option „Secure Boot“, hängt es vom Mainboardhersteller ab, wo diese Option im Bios „versteckt“ ist.

Wichtig: Sofern euer Betriebssystem NICHT im UEFI Modus, sondern im sogenannten alten „legacy Mode“ installiert wurde, kann man nicht einfach auf den UEFI Modus umschalten. In der Regel wird ein installiertes Betriebsystem dann nicht mehr booten! Sofern euer System im UEFI Modus neu installiert werden soll, ist zuerst die Option im Bios zu aktivieren und – im Falle von Debian GNU Linux – ein bootbarer USB Stick im „UEFI Modus“ zu booten. Die Auswahl des zu bootenden Modus erhält man beim Bootmenü des USB-Sticks.

TPM 2.0

Wie sicherlich bereits vermutet, ist auch TPM 2.0 über das Bios zu aktivieren. TPM = Trusted Platform Module. Es dient u.a. zur eindeutigen Identifizierung eines PC. Genauere Details: Wikipedia

Mein Fazit zu den Anforderungen (abseits der CPU)

Da jedes halbwegs moderne Motherboard und Gott sei Dank auch diverse Linuxdistributionen Secureboot und UEFI unterstützen, wäre das für mich noch nicht der große Aufreger. Diese Funktionalität halte ich sogar für sinnvoll!

Bei TPM sieht es anders aus. TPM kann zur Sicherheit beitragen, jedoch auch missbraucht werden. Aufgrund der eindeutigen Identifizierbarkeit von Endgeräten und der vorhandenen Möglichkeit Anwendungen gezielt auszusperren (Sicherheit vs. Bevormundung des Anwenders) halte ich die TPM Pflicht für fragwürdig.

In Summe aber dennoch keine großen Aufreger, was meine Person betrifft.

Mein Fazit zu den Anforderungen bezüglich die CPU

Hier wird mir schon etwas „wärmer“, muss ich sagen… denn:

Klimaziele verfehlt Nummer 1

Klimaziele verfehlt Nummer 2

usw. usf.

Die Liste könnt noch elendslange weiter gehen. Wir verfehlen unsere Klimaziele. Jahr für Jahr, immer wieder… immer wieder gibt es Lippenbekenntnisse, wie toll man nicht zukünftig arbeiten will, um die Umwelt und die nächsten Generationen zu schützen. Ich kann es langsam schon nicht mehr hören!

…da kommt Microsoft daher

und meint ein neues Betriebssystem einführen zu müssen, das aufgrund der (für mich nicht nachvollziehbaren) Anforderungen CPUs jungen Semesters als unbrauchbar tituliert und dem geneigten updatewilligen Windowsuser, der seine Hardware länger nutzen will, auf diese Weise eine ins Gesicht klatscht, dass es gleich so scheppert.  Als wäre es nicht genug, dass man

  • mit „10“ immer wieder massive Probleme mit der Qualität der monatlichen Updates hat.
  • in letzter Zeit annähernd monatlich Workarounds zu tätigen hat, da es MS nicht schafft, einen Patch zu bringen, der Probleme wirklich löst. (Administratoren, die ohnehin oft an der Belastungsgrenze sind,  dürfen hinter MS „nachbessern“).
  • noch immer keine Möglichkeit hat, sämtliche installierten Standardprogramme via Paketmanager zentral auf aktuellstem Stand zu halten.
  • verlautbart, dass man „11“ auch noch auf alten CPUs installieren kann (Workaround), durch Einsatz des Workaround dann aber keine Updates mehr bekommt.

Die Kernaussage für mich ist: „Wenn ihr das Pech habt, „11“ wollt und eine nicht supportede CPU habt, dann kauft euch doch gefälligst neue Hardware, die von „11“ unterstützt wird. Was mit euren alten Komponenten wird, spielt doch keine Rolle! Hauptsache wir kurbeln den Hardwaremarkt an!

  • Corona, Engpass bzgl. Elektronik, Hardware?
  • Umweltschutz, Klimawandel, Müll?
  • Seltene Erden, Umgang mit noch funktionierender recht aktueller Hardware?

We don’t care!

Ich für meinen Fall werde nebst Debian GNU Linux, Windows 10 noch bis Supportende (2025) verwenden und dann endgültig auf Windows verzichten.

Appell an euch da draußen

Bevor ihr eure Hardware wegschmeißt, weil „11“ nicht mehr bei euch läuft:

Schaut euch eine der vielen Linuxdistributionen an. Sofern man nicht auf Spezialsoftware angewiesen ist, die ausschließlich auf Windows läuft, ist „Linux“ mittlerweile wirklich eine sehr gute, sichere Alternative. Ggf. könnte man hier sogar auf Windows innerhalb einer VM die unter Linux läuft zurückgreifen. Dann hätte man Windows im Fenster. 😉

Dank Steam (Proton) lässt es sich unter „Linux“ mittlerweile auch sehr komfortabel spielen.

Es ist defintiv einen Versuch wert!

Uefi 2.3.1 – Kontaktaufnahme mit Uefi.org – bislang Fail ^^

von

Der Vollständigkeit halber poste ich hier mal meine Email die ich vor einiger Zeit an Uefi.org geschrieben habe. Ich nehme nicht an, dass ich da drauf noch ne Antwort bekomme ;-).

Gesendet 26.09.2011 12:16:10
An: admin@uefi.org
Betreff: Booting only from signed Operating Systems

Dear Sir!
Dear Madam!

I hope you can tell my something about the new „feature“ in Uefi V2.3.1, which only boots signed OS.

Is it true, that only operating systems -which are allowed (signed)- can be booted / alter the bootsector?
What about Linuxdistributions like Debian, Ubuntu…? Will they be „kicked“ out, because they are not signed?
Who decides which OS will be signed and „is allowed“ to boot?

Yours faithfully

Uefi 2.3.1 – go home „Linux?“

von

In Zusammenhang mit einem vorhergehenden Artikel, gibt es nun neuen (Zünd?-)stoff in Sachen „Uefi“.

Angeblich scheint es wirklich so zu sein, dass es nicht signierten OS einfach nicht erlaubt werden soll, den Bootsector zu ändern bzw. zu booten. Ganz klar ist die Situation jedenfalls sicher noch nicht.

Auch wenn ich davon ausgehe, dass die Sache im Moment nur hochgespielt wird und es am Ende hoffentlich dem User überlassen wird, ob er diese Sicherheitsoption aktiviert oder nicht, bleibt ein fader Beigeschmack.

Sagt und MS wirklich schon, was wir auf den PC installieren dürfen und was nicht? Viel Wirbel um nichts, oder doch der Anfang vom Ende der freien Betriebssystemwahl…

Interessanter Artikel zu diesem Thema: http://mjg59.dreamwidth.org/5850.html, welcher folgende Fakten? in den Raum stellt:

  • Windows 8 certification requires that hardware ship with UEFI secure boot enabled.
  • Windows 8 certification does not require that the user be able to disable UEFI secure boot, and we’ve already been informed by hardware vendors that some hardware will not have this option.
  • Windows 8 certification does not require that the system ship with any keys other than Microsoft’s.
  • A system that ships with UEFI secure boot enabled and only includes Microsoft’s signing keys will only securely boot Microsoft operating systems.

Ich habe Uefi.org mal eine Email geschrieben. Bin gespannt ob etwas retour kommt…

 

Windows 8 sperrt Linux Bootloader aus?

von

Glauben kann ich das im Moment noch nicht wirklich. Wie jedoch zu lesen ist, kann in den noch nicht sehr verbreiteten neuen Biosvarianten (UEFI) offenbar eine Funktion aktiviert werden, die den Start von nicht signierten Bootloadern verhindert.

Geht man nun davon aus, dass nur MS Windows einen solchen signierten Bootloader zur Verfügung stellt, kann man annehmen, dass Linux hier ausgesperrt wird.

Was mir allerdings nicht ganz klar ist: Wenn diese Option im UEFI Bios erst aktiviert werden muss, warum lässt man selbige nicht einfach abgedreht? Dann hätte man mit dieser Funktion auch im Zusammenhang mit dem Linux Bootloader (z.B. Grub) keine Probleme.

Im Artikel von HEISE lautet es ganz klar: „Ist Secure Boot aktiv, lässt sich also auch kein Linux starten, sofern es nicht die nötigen Signaturen mitbringt und vom Besitzer oder Administrator des jeweiligen Computers explizit für das Gerät erlaubt wurde.“

Was also, wenn man Secureboot inaktiv lässt?