Fachartikel

TPM-Reglementierungen in Windows 11

Seit Anfang Oktober verteilt Microsoft die neue Version Windows 11. Durch den Umstieg auf die jüngste Ausgabe des Betriebssystems rückt das Thema Trusted Platform Module in den Fokus von IT-Verantwortlichen. Wir erklären, was TPM für die Sicherheit des PCs bedeutet und wie Administratoren herausfinden, ob ihre Systeme und Geräte über den notwendigen TPM-Chip verfügen. Außerdem schildern wir, welche Optionen es für TPM in virtuellen Maschinen gibt.
Windows 11 setzt zur Installation ein funktionierendes TPM-2.0-Modul voraus.
Am 5. Oktober war es so weit: Microsoft hat die neue Version Windows 11 ausgerollt. Dabei rückte wie bei vielen IT-Verantwortlichen auch bei Microsoft das Thema Security noch stärker in den Vordergrund. Gerade seit der Covid-19-Pandemie arbeiten viele Menschen von zuhause und sind dort noch mehr Cyberbedrohungen ausgesetzt. Der Security-Signals-Bericht von Microsoft ergab, dass 83 Prozent der Unternehmen von einem Firmware-Angriff betroffen waren und nur 29 Prozent Ressourcen für den Schutz dieser kritischen Schicht bereitstellen. Zunehmendes Phishing, mehr Ransomware-Attacken und zusätzliche Schwachstellen durch die Remote-Verbindung zum Unternehmensserver – Angreifer haben sich schnell auf die neuen IT-Infrastrukturen eingestellt, um diese für sich auszunutzen.

TPM 2.0 ist Pflicht bei Windows 11
Microsoft hat deswegen an seinen Sicherheitsgrundlagen mit neuen Hardware-Anforderungen gearbeitet, um seinen Kunden die Gewissheit zu geben, dass sie auf zertifizierten Geräten noch besser geschützt sind. Das neue Windows 11 wurde für hybrides Arbeiten und Sicherheit mit integrierter hardwarebasierter Isolierung, bewährter Verschlüsselung und einem starken Schutz vor Malware neu konzipiert.

Dafür wurde es mit dem Trusted Platform Module 2.0 Chip ausgestattet, um sicherzustellen, dass Nutzer von der zusätzlichen Sicherheit profitieren. Da IT-Verantwortliche die Unternehmens-IT immer auf dem aktuellsten Softwarestand halten wollen, rückt für sie nun das neue Betriebssystem Windows 11 und vor allem auch das Thema TPM in den Fokus. Denn ohne verbaute TPM-2.0-Chips kann Windows 11 als neues Betriebssystem nicht genutzt werden. Unter Windows 10 genügte noch die Vorgängerversion TPM 1.2.

Das bedeutet Trusted Platform Module
Das Trusted Platform Module (TPM) ist ein Chip, der entweder in die Hauptplatine eines PCs integriert ist oder sich separat in die CPU einbauen lässt. Die neue Version der TPM-Chips wird schon für Geräte ab Windows 8 unterstützt. Sein Zweck ist es, Verschlüsselungs-Keys, Benutzeranmeldeinformationen und andere sensible Daten hinter einer Hardwarebarriere zu schützen, damit Malware und Angreifer nicht auf diese Daten zugreifen oder sie manipulieren können. In Zukunft benötigen die PCs diesen Hardware-Root-of-Trust, um sich sowohl vor gewöhnlichen als auch vor ausgeklügelten Angriffen wie Ransomware und noch raffinierteren Angriffen von Nationalstaaten zu schützen. Die Forderung nach dem TPM 2.0 erhöht den Standard für die Hardwaresicherheit und erhöht damit die integrierte Vertrauensbasis an die Hardware selbst.

TPM wird von Microsoft bereits für viele Dienste verwendet, um die digitalen Identitäten und Daten der Nutzer zu schützen und die Zero-Trust-Sicherheit zu erleichtern, indem sie ein sicheres Element zur Bescheinigung des Zustands von Geräten bereitstellen. Zu den TPM-nutzenden Diensten zählen unter anderem BitLocker Drive Encryption, Windows Hello PINs und Biometrie, Windows Defender System Guard, die Manipulationserkennung der PC-Hardware, Virtual Smart Card, Credential Guard und Secure Boot. Vor allem Secure Boot macht TPM unter Windows 11 erforderlich. Dabei prüft die Firmware beim Start des PCs die Signatur jeder einzelnen Boot-Software, einschließlich UEFI-Firmware-Treibern, EFI-Anwendungen und des Betriebssystems. Wenn die Signaturen gültig sind, bootet der PC und die Firmware übergibt die Kontrolle an das Betriebssystem.
Überprüfen der Geräte
Um zu überprüfen, ob das eigene Gerät über einen TPM-Chip verfügt, gibt es verschiedene Möglichkeiten. Sowohl über eine PowerShell (Get-TPM), als auch über CMD (tpmtool.exe getdeviceinformation), MMC (TPM-Snap-in) oder Windows-11-Health-App-PC, einer von Microsoft selbst entwickelten App zur Überprüfung der Upgrade-Bereitschaft für Windows 11, kann der Check erfolgen. Allerdings hilft schon ein Blick in die Geräte-Informationen

Administratoren können die Version des verbauten TPM-Chips auch überprüfen, indem Sie im Startmenü das Stichwort "Sicherheitschip" eingeben und auf die Suchergebnisse klicken. Unter dem Punkt "Spezifikationsversion" ist die Version einsehbar. Steht dort nur die Version 1.2, ist in dem betreffenden Gerät nur die ältere TPM-Chip Version 1.2 verbaut und das Gerät kann nicht das Upgrade auf Windows 11 nicht ausführen.

Eine weitere schnelle Alternative bietet der Geräte-Manager. Dieser öffnet sich, indem Sie die Tastenkombination "Windows" + "R" drücken, devmgmt.msc eintippen und mit Enter bestätigen. Unter dem Eintrag "Sicherheitsgeräte" findet sich auch die Übersicht des TPM-Chips mit Angabe der verbauten Version.

Ergeben diese Suchen kein kompatibles Ergebnis für die TPM-Chips, sind diese wahrscheinlich im BIOS deaktiviert. Doch der Chip lässt sich mit wenigen Eingaben aktivieren. Beim (Neu-)Start des PCs drücken Sie dazu die richtige Taste zum Öffnen des BIOS. In den meisten Fällen ist das F2 oder Entf oder Del. Unter dem Abschnitt "Sicherheit" lässt sich – sofern möglich – der verbaute TPM-Chip finden. Oft heißt die Funktion im BIOS/UEFI ganz einfach nur TPM, kann bei Intel aber auch als Platform Trusted Technology (PTT) oder bei AMD als fTPM bezeichnet sein. Mit "TPM on" aktivieren Sie den Chip. Beim anschließenden Hochfahren des PCs können Sie dann noch einmal wie zuvor beschreiben, welche Chip-Version verbaut ist.



Seite 1 von 2 Nächste Seite >>
17.11.2021/ln/Dimitry Geynisman, Program Manager bei Parallels

Nachrichten

Alexa.com geht in Rente [9.12.2021]

Ein ganz wesentlicher Aspekt für Webseitenbetreiber ist die Analyse der eigenen Popularität sowie die Suchmaschinenoptimierung. Seit 25 Jahren wichtiger Anlaufpunkt hierfür ist Alexa.com. Nun schickt Amazon den Dienst in Rente. Am 1. Mai 2022 gehen dort die Lichter aus. Seit gestern können keine neuen Subscriptions mehr abgeschlossen werden. [mehr]

Red Hat stellt Automatisierung auf Azure bereit [8.12.2021]

Red Hat kündigt die "Ansible Automation Platform" auf Microsoft Azure an. Die Umgebung fuße auf dem Standard von Red Hat für die Hybrid-Cloud-Automatisierung. Aus der Zusammenarbeit von Red Hat und Microsoft soll nun ein System resultieren, das Nutzern eine hohe Flexibilität in Sachen Automatisierung bietet: Sie könnten Anwendungen ohne zusätzlichen Aufwand oder Komplexität bereitstellen. [mehr]

Tipps & Tools

Der Faktor Mensch in der Cybersicherheit [9.12.2021]

Mit dem Ziel der schnellen Geldbeschaffung agieren Cyberkriminelle taktisch variabel und ergreifen jede sich ihnen bietende Gelegenheit. Deshalb wirft der Beitrag ein Schlaglicht auf die unterschiedlichen Taktiken der Angreifer, zeigt, wie Letztere von der Pandemie profitieren, und beleuchtet vor allem eine große Gemeinsankeit der Attacken: ihre zunehmende Fokussierung auf Menschen statt auf Infrastukturen. [mehr]

Download der Woche: Wox [8.12.2021]

Wem die Windowssuche zu separiert oder zu langsam agiert, der sollte sich das kostenfreie Mini-Tool "Wox" anschauen. Es integriert eine multifunktionale Suchleiste in das Microsoft-OS, mit der sich neben dem Computer auch das Internet durchforsten lässt. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen