Fachartikel

TPM-Reglementierungen in Windows 11

Seit Anfang Oktober verteilt Microsoft die neue Version Windows 11. Durch den Umstieg auf die jüngste Ausgabe des Betriebssystems rückt das Thema Trusted Platform Module in den Fokus von IT-Verantwortlichen. Wir erklären, was TPM für die Sicherheit des PCs bedeutet und wie Administratoren herausfinden, ob ihre Systeme und Geräte über den notwendigen TPM-Chip verfügen. Außerdem schildern wir, welche Optionen es für TPM in virtuellen Maschinen gibt.
Windows 11 setzt zur Installation ein funktionierendes TPM-2.0-Modul voraus.
Am 5. Oktober war es so weit: Microsoft hat die neue Version Windows 11 ausgerollt. Dabei rückte wie bei vielen IT-Verantwortlichen auch bei Microsoft das Thema Security noch stärker in den Vordergrund. Gerade seit der Covid-19-Pandemie arbeiten viele Menschen von zuhause und sind dort noch mehr Cyberbedrohungen ausgesetzt. Der Security-Signals-Bericht von Microsoft ergab, dass 83 Prozent der Unternehmen von einem Firmware-Angriff betroffen waren und nur 29 Prozent Ressourcen für den Schutz dieser kritischen Schicht bereitstellen. Zunehmendes Phishing, mehr Ransomware-Attacken und zusätzliche Schwachstellen durch die Remote-Verbindung zum Unternehmensserver – Angreifer haben sich schnell auf die neuen IT-Infrastrukturen eingestellt, um diese für sich auszunutzen.

TPM 2.0 ist Pflicht bei Windows 11
Microsoft hat deswegen an seinen Sicherheitsgrundlagen mit neuen Hardware-Anforderungen gearbeitet, um seinen Kunden die Gewissheit zu geben, dass sie auf zertifizierten Geräten noch besser geschützt sind. Das neue Windows 11 wurde für hybrides Arbeiten und Sicherheit mit integrierter hardwarebasierter Isolierung, bewährter Verschlüsselung und einem starken Schutz vor Malware neu konzipiert.

Dafür wurde es mit dem Trusted Platform Module 2.0 Chip ausgestattet, um sicherzustellen, dass Nutzer von der zusätzlichen Sicherheit profitieren. Da IT-Verantwortliche die Unternehmens-IT immer auf dem aktuellsten Softwarestand halten wollen, rückt für sie nun das neue Betriebssystem Windows 11 und vor allem auch das Thema TPM in den Fokus. Denn ohne verbaute TPM-2.0-Chips kann Windows 11 als neues Betriebssystem nicht genutzt werden. Unter Windows 10 genügte noch die Vorgängerversion TPM 1.2.

Das bedeutet Trusted Platform Module
Das Trusted Platform Module (TPM) ist ein Chip, der entweder in die Hauptplatine eines PCs integriert ist oder sich separat in die CPU einbauen lässt. Die neue Version der TPM-Chips wird schon für Geräte ab Windows 8 unterstützt. Sein Zweck ist es, Verschlüsselungs-Keys, Benutzeranmeldeinformationen und andere sensible Daten hinter einer Hardwarebarriere zu schützen, damit Malware und Angreifer nicht auf diese Daten zugreifen oder sie manipulieren können. In Zukunft benötigen die PCs diesen Hardware-Root-of-Trust, um sich sowohl vor gewöhnlichen als auch vor ausgeklügelten Angriffen wie Ransomware und noch raffinierteren Angriffen von Nationalstaaten zu schützen. Die Forderung nach dem TPM 2.0 erhöht den Standard für die Hardwaresicherheit und erhöht damit die integrierte Vertrauensbasis an die Hardware selbst.

TPM wird von Microsoft bereits für viele Dienste verwendet, um die digitalen Identitäten und Daten der Nutzer zu schützen und die Zero-Trust-Sicherheit zu erleichtern, indem sie ein sicheres Element zur Bescheinigung des Zustands von Geräten bereitstellen. Zu den TPM-nutzenden Diensten zählen unter anderem BitLocker Drive Encryption, Windows Hello PINs und Biometrie, Windows Defender System Guard, die Manipulationserkennung der PC-Hardware, Virtual Smart Card, Credential Guard und Secure Boot. Vor allem Secure Boot macht TPM unter Windows 11 erforderlich. Dabei prüft die Firmware beim Start des PCs die Signatur jeder einzelnen Boot-Software, einschließlich UEFI-Firmware-Treibern, EFI-Anwendungen und des Betriebssystems. Wenn die Signaturen gültig sind, bootet der PC und die Firmware übergibt die Kontrolle an das Betriebssystem.
Überprüfen der Geräte
Um zu überprüfen, ob das eigene Gerät über einen TPM-Chip verfügt, gibt es verschiedene Möglichkeiten. Sowohl über eine PowerShell (Get-TPM), als auch über CMD (tpmtool.exe getdeviceinformation), MMC (TPM-Snap-in) oder Windows-11-Health-App-PC, einer von Microsoft selbst entwickelten App zur Überprüfung der Upgrade-Bereitschaft für Windows 11, kann der Check erfolgen. Allerdings hilft schon ein Blick in die Geräte-Informationen

Administratoren können die Version des verbauten TPM-Chips auch überprüfen, indem Sie im Startmenü das Stichwort "Sicherheitschip" eingeben und auf die Suchergebnisse klicken. Unter dem Punkt "Spezifikationsversion" ist die Version einsehbar. Steht dort nur die Version 1.2, ist in dem betreffenden Gerät nur die ältere TPM-Chip Version 1.2 verbaut und das Gerät kann nicht das Upgrade auf Windows 11 nicht ausführen.

Eine weitere schnelle Alternative bietet der Geräte-Manager. Dieser öffnet sich, indem Sie die Tastenkombination "Windows" + "R" drücken, devmgmt.msc eintippen und mit Enter bestätigen. Unter dem Eintrag "Sicherheitsgeräte" findet sich auch die Übersicht des TPM-Chips mit Angabe der verbauten Version.

Ergeben diese Suchen kein kompatibles Ergebnis für die TPM-Chips, sind diese wahrscheinlich im BIOS deaktiviert. Doch der Chip lässt sich mit wenigen Eingaben aktivieren. Beim (Neu-)Start des PCs drücken Sie dazu die richtige Taste zum Öffnen des BIOS. In den meisten Fällen ist das F2 oder Entf oder Del. Unter dem Abschnitt "Sicherheit" lässt sich – sofern möglich – der verbaute TPM-Chip finden. Oft heißt die Funktion im BIOS/UEFI ganz einfach nur TPM, kann bei Intel aber auch als Platform Trusted Technology (PTT) oder bei AMD als fTPM bezeichnet sein. Mit "TPM on" aktivieren Sie den Chip. Beim anschließenden Hochfahren des PCs können Sie dann noch einmal wie zuvor beschreiben, welche Chip-Version verbaut ist.



Seite 1 von 2 Nächste Seite >>
17.11.2021/ln/Dimitry Geynisman, Program Manager bei Parallels

Nachrichten

Direkter Draht mit Abhörschutz [8.12.2021]

Rohde & Schwarz Cybersecurity und GnuPG bieten mit der Kombination ihrer Produkte "R&S Trusted Disk" und "GnuPG VS-Desktop" eine VS-NfD-konforme Krypto-Umgebung an. Die Verschlüsselungstechnologie integriert sich in die Arbeitsprozesse und macht Umwege wie etwa die Übermittlung von Passwörtern per Telefon oder SMS beim Versand von klassifizierten E-Mails unnötig. [mehr]

Multifaktor-Authentifizierung von Box ließ sich aushebeln [7.12.2021]

Box reiht sich in die lange Liste der Cloud-Anbieter ein, bei denen kürzlich MFA-Schwachstellen aufgedeckt wurden: Das Varonis-Forschungsteam entdeckte eine Möglichkeit, MFA durch eine klassische Ein-Faktor-Authentifizierung für Box-Konten zu ersetzen, die Authentifizierungs-Apps wie Google Authenticator verwenden. Angreifer mit gestohlenen Anmeldeinformationen konnten so das Box-Konto eines Unternehmens kompromittieren und sensible Daten exfiltrieren, ohne ein Einmal-Passwort verwenden zu müssen. [mehr]

Kaspersky goes Edge [3.12.2021]

Tipps & Tools

Jetzt vorbestellen: Sonderheft I/2022 "Microsoft Azure" [29.11.2021]

Während der Winter seine ersten Fühler ausstreckt, glühen die Tastaturen unserer Autoren. Im Sonderheft I/2022 "Microsoft Azure – Sichere Infrastrukturen für Anwendungen und Clients aufbauen" beleuchten sie die Cloud-Computing-Plattform rundherum: vom optimalen Ausrollen der Clouddienste über ein gut eingestelltes Azure Active Directory bis zur Bereitstellung von Windows 365 und Windows Virtual Desktop. Bestellen Sie Ihr Exemplar jetzt vor, um es Anfang April druckfrisch zu erhalten. Wie immer profitieren Abonnenten von einem Vorzugspreis. [mehr]

Download der Woche: Hyper-V Switch [24.11.2021]

Mit Hyper-V offeriert Microsoft eine längst wettbewerbsfähige Virtualisierungsplattform, die für manche Anwendungsfälle allerdings zu dominant auftritt. Denn durch die ständige (Hintergrund-)Aktivität des Hypervisors und seine Blockade des Zugriffs auf Erweiterungsressourcen macht er unter Windows 10 den Einsatz anderer Virtualisierungslösungen nahezu unmöglich. Hier tritt das freie Minitool "Hyper-V Switch" auf den Plan: Es deaktiviert beziehungsweise aktiviert wieder Hyper-V mit einem Klick. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen