Fachartikel

Seite 2 - TPM-Reglementierungen in Windows 11

Aufrüsten von PCs mit TPM
Sollten die genutzten Geräte nur über ältere Chipversionen verfügen, lässt sich das Main- oder Motherboard mit einem kompatiblen TPM-Header-Modul nachgerüstet werden, um die Installation von Windows 11 dennoch zu ermöglichen. Dazu müssen Sie prüfen, welches Mainboard im Gerät verbaut ist. Auch das finden Sie über den Geräte-Manager heraus, ohne jeden PC einzeln aufschrauben zu müssen.

Die Systeminformation lassen sich mit der Tastenkombination "Win" + "R" und den Befehl msinfo32.exe öffnen. Dort finden sich die Angaben zum "BaseBoard-Hersteller" und der genauen Modellbezeichnung des Motherboards unter "BaseBoard-Produkt". Alternativ können Sie auch Dienste wie das kostenlose Analyse-Tool "CPU-Z" nutzen. Anschließend sollten Sie im Internet oder in der Betriebsanleitung nach dem Modell in Zusammenhang mit TPM-Chips suchen, um zu prüfen, ob ein TPM 2.0-Chip mit dem Motherboard kompatibel ist. Nur dann lässt sich das Gerät nachrüsten und auf Windows 11 updaten. Es ist zu empfehlen nur ein Modul desselben Motherboard-Herstellers zu verwenden und innerhalb desselben Motherboard-Jahrgangs zu bleiben, denn die tatsächlichen physischen Verbindungen und die Art und Weise, wie das BIOS/UEFI mit ihnen kommuniziert, können von Hersteller zu Hersteller abweichen.
Virtuelle Maschinen und TPM
Auch in virtuellen Maschinen kann TPM als zusätzliche Sicherheitsebene Verwendung finden, um eine zusätzliche Sicherheitsebene zu schaffen. Es ermöglicht, Daten vor unberechtigtem Zugriff zu schützen und zusätzliche Windows-Sicherheitsfunktionen zu nutzen. Beispielsweise können so USB-Fingerabdruck-Scanner für die Absicherung von VMs zum Einsatz kommen. Doch auch in VMs kann es hier zu Problemen kommen, wenn eine bestehende Maschine ein Update auf Windows 11 erhalten oder eine neue Windows 11-VM erstellt werden soll. Anbieter wie Parallels haben dafür bereits eine Lösung gefunden und bieten ein virtuelles Trusted Platform Module (vTPM) in Parallels Desktop 17 an. Dieses ist mit dem Update auf Parallels Desktop 17.1 standardmäßig aktiviert.

Um das vTPM zu aktivieren, müssen Sie die VM zunächst herunterfahren. Anschließend aktivieren Sie vTPM im Konfigurationsfenster unter der Registerkarte "Hardware". Dazu klicken Sie am Ende der Liste der "Hardware" auf das "+"-Zeichen und wählen "TPM Chip" aus. Mit einem Klick auf die Schaltfläche "hinzufügen" ist der vTPM-Chip für die VM aktiviert. Doch ist noch Folgendes zu beachten: Sobald ein vTPM-Chip zu einer VM hinzugefügt wurde, funktioniert diese VM auf keinem anderen Gerät mehr, wenn sie lediglich manuell auf ein anderes Gerät kopiert wird. Um eine VM mit TPM auf eine neue Hardware zu übertragen, müssen Sie ein entsprechendes TPM-Passwort aus dem Mac-Schlüsselbund übertragen. Dies gilt auch bei späterem Entfernen des vTPM.


Laptops und virtuelle Maschinen mit Windows 11 benötigen nun einen (v)TPM-Chip zum Ausführen des neuen Betriebssystems.

Nachdem ein virtueller TPM-Chip zu einer VM hinzugefügt wurde, erstellt Parallels Desktop eine verschlüsselte Datei im Paket der virtuellen Maschine, die als TPM-Speicher fungiert. Das verschlüsselt die Datei mit dem Advanced Encryption Standard (AES) mit einer Schlüssellänge von 128 Bit und legt das Passwort im Mac-System-Keychain ab, der wiederum ein verschlüsselter physischer Speicher ist. So kann nur der Mac-Administrator das TPM-Passwort aus dem Mac-Schlüsselbund einsehen.

Fazit
Um die IT-Umgebung von Unternehmen sicherer zu gestalten, ist das Update auf Windows 11 mit seinem erhöhten Security-Layern durchaus sinnvoll. Denn die Anzahl an Phishing- und Ransomware-Angriffen steigt stetig. Deshalb sollten Unternehmen ihre Systeme und Sicherheitsupdates so aktuell wie möglich halten und in das Aufrüsten ihrer Hardware mit den für Windows 11 benötigten TPM-2.0-Chips und sofern nötig neue Geräte investieren. Dank (virtuellem) TPM scannt jeder PC bei jedem Start sein eigenes Betriebssystem (oder die VM) als auch der umgebenden Hardware, in die der Chip verbaut und über die er aktiviert ist, auf Sicherheitsverletzungen. So erkennt es schnell, ob Malware im System agiert und Änderungen vornimmt und Sicherheitsverantwortliche können schnell einschreiten. Nur so bleibt die interne IT-Infrastruktur bestmöglich vor Datendiebstahl und Systemausfällen geschützt.


<< Vorherige Seite Seite 2 von 2
17.11.2021/ln/Dimitry Geynisman, Program Manager bei Parallels

Nachrichten

Direkter Draht mit Abhörschutz [8.12.2021]

Rohde & Schwarz Cybersecurity und GnuPG bieten mit der Kombination ihrer Produkte "R&S Trusted Disk" und "GnuPG VS-Desktop" eine VS-NfD-konforme Krypto-Umgebung an. Die Verschlüsselungstechnologie integriert sich in die Arbeitsprozesse und macht Umwege wie etwa die Übermittlung von Passwörtern per Telefon oder SMS beim Versand von klassifizierten E-Mails unnötig. [mehr]

Multifaktor-Authentifizierung von Box ließ sich aushebeln [7.12.2021]

Box reiht sich in die lange Liste der Cloud-Anbieter ein, bei denen kürzlich MFA-Schwachstellen aufgedeckt wurden: Das Varonis-Forschungsteam entdeckte eine Möglichkeit, MFA durch eine klassische Ein-Faktor-Authentifizierung für Box-Konten zu ersetzen, die Authentifizierungs-Apps wie Google Authenticator verwenden. Angreifer mit gestohlenen Anmeldeinformationen konnten so das Box-Konto eines Unternehmens kompromittieren und sensible Daten exfiltrieren, ohne ein Einmal-Passwort verwenden zu müssen. [mehr]

Kaspersky goes Edge [3.12.2021]

Tipps & Tools

Jetzt vorbestellen: Sonderheft I/2022 "Microsoft Azure" [29.11.2021]

Während der Winter seine ersten Fühler ausstreckt, glühen die Tastaturen unserer Autoren. Im Sonderheft I/2022 "Microsoft Azure – Sichere Infrastrukturen für Anwendungen und Clients aufbauen" beleuchten sie die Cloud-Computing-Plattform rundherum: vom optimalen Ausrollen der Clouddienste über ein gut eingestelltes Azure Active Directory bis zur Bereitstellung von Windows 365 und Windows Virtual Desktop. Bestellen Sie Ihr Exemplar jetzt vor, um es Anfang April druckfrisch zu erhalten. Wie immer profitieren Abonnenten von einem Vorzugspreis. [mehr]

Download der Woche: Hyper-V Switch [24.11.2021]

Mit Hyper-V offeriert Microsoft eine längst wettbewerbsfähige Virtualisierungsplattform, die für manche Anwendungsfälle allerdings zu dominant auftritt. Denn durch die ständige (Hintergrund-)Aktivität des Hypervisors und seine Blockade des Zugriffs auf Erweiterungsressourcen macht er unter Windows 10 den Einsatz anderer Virtualisierungslösungen nahezu unmöglich. Hier tritt das freie Minitool "Hyper-V Switch" auf den Plan: Es deaktiviert beziehungsweise aktiviert wieder Hyper-V mit einem Klick. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen