Windows 10: Neue Geräte nur mit UEFI Secure Boot und TPM

Microsoft verlangt von Hardware-Herstellern, Windows-10-Geräte mit Trusted Platform Modules zu bestücken. Ein "Ausschalter" für Secure Boot wird optional - für die meisten Windows-8-Rechner war er Pflicht.

In Pocket speichern vorlesen Druckansicht 468 Kommentare lesen
Microsoft Windows 10 verlangt ein TPM

Tablets und Smartphones mit Windows 10 brauchen ein TPM, bei Notebooks und Desktops wird es ein Jahr später Pflicht.

(Bild: Microsoft)

Lesezeit: 3 Min.

Mit Windows 10 will Microsoft Hardware noch stärker gegen Malware-Angriffe schützen und schreibt außer UEFI Secure Boot – das war schon bei Windows-8-Komplettrechnern Pflicht – nun auch ein Trusted Platform Modules (TPM) vor. Zwar lässt sich Windows 10 weiterhin auf Systemen ohne TPM installieren, doch neue und mit vorinstalliertem Windows 10 ausgelieferte Geräte sollen eines haben. Das betrifft sämtliche Smartphones und Tablets mit Windows 10 Mobile und ein Jahr nach Vorstellung der "Ready to Manufacturing"-(RTM-)Version von Windows 10 Desktop dann auch alle anderen Geräte.

Bei Systemen mit Windows 10 Desktop, bei denen die Hardware ein Firmware-TPM 2.0 (fTPM) unterstützt, soll dieses auch eingeschaltet sein. Das ist jetzt schon bei allen Windows-8-Tablets der Fall, aber auch die von den Atom-SoCs abgeleiteten Atom-Celerons für Billig-Notebooks unterstützen fTPMs. Auch beim kommenden AMD Carrizo und beim Carrizo-L, bei Intels Core M sowie bei einer Reihe von Qualcomm-Snapdragon-SoCs, die Windows 10 unterstützen, ist die nötige Hardware-Unterstützung für fTPMs eingebaut. Microsoft erwähnt auch den kommenden Atom X3, der dann wohl auch in Windows-10-Smartphones stecken wird.

Microsoft hat die strengeren Hardware-Anforderungen für Windows-10-Komplettgeräte auf der Konferenz WinHEC 2015 im chinesischen Shenzhen verkündet. Die TPMs müssen dabei bestimmte Anforderungen erfüllen, um Windows 10 einen sogenannten "Measured Boot" zu erlauben: Durch die Prüfung digitaler Signaturen von UEFI-BIOS, Bootloader und Treibern und die Speicherung der Ergebnisse in einem Platform Configuration Register (PCR) soll die Sicherheit höher sein als bei einem "Verified Boot" ohne TPM. Das Verfahren mit TPM empfehlen übrigens auch Open-Source-Entwickler von Coreboot.

Windows 10 unterstützt mehr Systems-on-Chip, hinter dem Qualcomm MSM8992 verbrigt sich etwa der Snapdragon 808 - aber ob Windows 10 da auch im 64-Bit-Modus läuft?

(Bild: Microsoft)

Von Nachteil kann es jedoch sein, dass sich Secure Boot bei weniger Windows-10-Geräten abschalten lassen könnte. Bei Desktop-PCs und Notebooks mit Windows 8 schreibt Microsoft in den Logo Requirements vor, dass sich Secure Boot per BIOS-Setup abschalten lassen muss. Künftig ist der Abschalter optional. Bei Smartphones und Tablets mit Windows 10 Mobile darf sich Secure Boot nicht abschalten lassen – das war auch bei den glücklosen Windows-8-Tablets mit ARM-SoCs der Fall, aber auch bei einigen Atom-Tablets unmöglich.

Allerdings stellt UEFI Secure Boot für die meisten gängigen Linux-Distributionen kein Hindernis dar, weil es längst von Microsoft signierte Bootloader oder Lösungen wie shim gibt. Ältere oder exotische Software scheitert jedoch an Secure Boot. Einen BIOS-kompatiblen Startmodus per Compatibility Support Module (CSM) erwähnen die WinHEC-Präsentationen nicht – möglicherweise wird man ihn künftig seltener finden. (ciw)