Blocker-Code für TPM- und Secure Boot in alten Windows 10-Builds gefunden

WindowsFür Windows 11 hat Microsoft ja recht harsche Anforderungen bezüglich der Hardware definiert – da sind TPM- und Secure Boot Pflicht – auch wenn es (noch) By-passing-Lösungen gibt. Aber es sieht so aus, als ob Microsoft bereits in uralten Windows 10 Insider-Builds mit entsprechendem Code experimentiert hat – zu einem Zeitpunkt, als noch nichts von Windows 11 öffentlich bekannt war.


Anzeige

Als Microsoft vor Jahren TPM- und Secure Boot für Windows einführte, warnten ja einige Leute, dass Redmond seine Maschinen verdongelt. Wird als Sicherheitsfeature verkauft – Secure Boot soll die Verwendung von Root-Kits und Malware zur Boot-Zeit verhindert.

Leider ist es so, dass dieses "Versprechen" sich nicht einhalten ließ und sich inzwischen auch als Hypothek erweist. Ich erinnere an meinen Blog-Beitrag ASUS/Gigabyte Mainboards: CosmicStrand Rootkit in UEFI-Firmware gefunden, wo ein Rootkit im UEFI gefunden wurde, der vor dem Betriebssystem geladen wurde. Und auch die Vorfälle, wo Bitlocker-Recovery-Keys auf diversen Maschinen angefordert wurden, deuten nicht auf einen problemfreien Update-Weg hin. Ich hatte DBX-Updates für den Secure Boot ich in den Blog-Beiträgen Update KB5012170 für Secure Boot DBX verursacht Bitlocker-Probleme (August 2022) oder Windows Sicherheitsupdate KB4535680 für Secure Boot (DBX) (Januar 2021) beschrieben.

Windows 11 benötigt TPM und Secure Boot

Mit der Einführung von Windows 11 hat Microsoft die Hardware-Vorgaben ja stark angehoben (siehe Windows 11: Die Hardware-Anforderungen). Zu diesen Anforderungen gehören:

  • Processor: 1 Gigahertz (GHz) or faster with 2 or more cores on a compatible 64-bit processor or System on a Chip (SoC)
  • RAM: 4 Gigabyte (GB)
  • Storage: 64 GB or larger storage device
  • System firmware: UEFI, Secure Boot capable
  • TPM: Trusted Platform Module (TPM) version 2.0
  • Graphics card: Compatible with DirectX 12 or later with WDDM 2.0 driver
  • Display: High definition (720p) display that is greater than 9" diagonally, 8 bits per color channel

Die Begründung Microsofts für diese Anforderungen hatte ich im Blog-Beitrag Microsoft verteidigt die minimalen Windows 11-Systemanforderungen angesprochen. Da ein Großteil der aktuellen Maschinen bisher nicht wirklich Windows 11-kompatibel ist, setzt Microsoft die Restriktionen beim Start von Windows 11 nicht durch. Die Installation prüft das zwar ab, aber es gibt Umgehungslösungen (siehe Windows 11: Mindestanforderungen bei Masse der Hardware nicht erfüllt, Microsoft verrät By-Passing-Trick).

TPM- und Secure Boot-Code in altem Windows 10

Benutzer Xeno hat sich die Windows 10 Insider Build 21327 (ist im März 2021 erschienen) genauer angesehen. Beim Blick in die appraiserres.dll sind ihm dann die in nachfolgendem Tweet gezeigten Blocker-Einstellungen aufgefallen.

Windows 10 Insider Build 21327 TPM

Das ist laut obigem Tweet die älteste Windows 10-Build, in der ihm "Blocker-Vorgaben" für TPM und Secure Boot aufgefallen sind. In der Build 21322 sind diese Vorgaben noch nicht enthalten. Erst im Juni 2021 wurde Windows 11 dann vorgestellt (siehe Ja, Microsoft hat Windows 11 vorgestellt). Damals war noch nichts zu den Anforderungen für Windows 11-Maschinen bekannt. Ist aber alles am Ende des Tages eine "Fußnote der Geschichte", zeigt aber, wie langfristig Microsoft da agiert und scheibchenweise die Anforderungen anhebt. (via)

Ähnliche Artikel:
Windows 11: Die Hardware-Anforderungen
Windows 11 Kompatibilitätstests (PC Health Check, WhyNotWin11)
Windows 11: Doch kein TPM erforderlich?
Microsoft verteidigt die minimalen Windows 11-Systemanforderungen
Windows 11: Microsoft erzwingt TPM 2.0 auf virtuellen Maschinen
Windows 11: Doch kein TPM erforderlich?
Windows 11: Microsoft präzisiert Hardwareanforderungen, keine Blockade auf inkompatiblen Geräten
Windows 11: Mindestanforderungen bei Masse der Hardware nicht erfüllt, Microsoft verrät By-Passing-Trick
VMware: Sicherheitshinweis zu Schwachstellen, Windows 11 TPM-Problem
Windows 10 und 11: fTPM verursacht Systemruckler auf AMD-Systemen
ASUS/Gigabyte Mainboards: CosmicStrand Rootkit in UEFI-Firmware gefunden
Update KB5012170 für Secure Boot DBX verursacht Bitlocker-Probleme


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Windows 10 abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Blocker-Code für TPM- und Secure Boot in alten Windows 10-Builds gefunden

  1. Luzifer sagt:

    Naja das das keine "Sicherheitsfeatures" sind war schon vor deren Einführung bekannt TPM ist das was es ist: DRM Kastration des Users, für die Sicherheit bringt es absolut nix! Genauso wie davor Palladium und Konsorten! DA nützt auch ein umbenennen einer "verbrannten" Brandings nichts.

    • Luzifer sagt:

      /Edit/

      da gibt es auch eine gute Dokumentation für:
      Palladium/NGSCB, DRM und TCPA/TCG-Userkontrollmechanismen unter dem Diktat der Großkonzerne

      bisher von den Usern abgelehnt, mit TPM auf breiter Ebene durch Microsoft durchgedrückt … Generation Milleniums eben ;-P

  2. Anonymous sagt:

    Man musste die Vernagelung in ein "neues" Produkt Win11 verpacken, mit neuen Lizenzbedingungen, die das erlauben. Nachträglicher Win10 Lockdown durch ein Win10 Update wäre rechtlich kaum vorstellbar. Nur deshalb gibt es Win11. Und damit Win11 argumentativ klar ein "anderes" Produkt ist, ist Taskbar anders, Grundfarben anders, anderer Anstrich, mit Lockdown unter der neuen Tapete.

  3. Stephan sagt:

    "Wird als Sicherheitsfeature verkauft – Secure Boot soll die Verwendung von Root-Kits und Malware zur Boot-Zeit verhindert."

    "…wo ein Rootkit im UEFI gefunden wurde, der vor dem Betriebssystem geladen wurde"

    Was hat ein Sicherheits Feature mit einem Verseuchten Bios zu tun.
    Es geht hierbei darum, das kein Fremder Schadsoftware vor Windows ausführen bzw. Installieren kann.

    Secure Boot macht seine Arbeit, nur wenn das UEFI Bios schon Fehlerhaft ist, kann SecureBoot auch nichts daran Ändern.

    Ich Schliesse mein Haus doppelt und Dreifach ab wenn ich Gehe.
    Doch bringt es nicht, wenn der Einbrecher vorher schon im Keller Lauert.
    Deshalb sind die Schlösser an den Türen aber nicht Schlecht oder Billig.

    • McAlex777 sagt:

      Der Anwender sollte die Freiheit behalten selbst über sein Schloss zu entscheiden, und nicht einen Sicherheitsstandard aufdiktiert zu bekommen.

      Warum sind unter Windows eigentlich soviele Sicherheitsschlösser und Überwachungssoftware notwendig, während unter Linux das System Out-Of-Box ohne sicher ist – seit Jahrzehnten. Könnte das vielleicht auch daran liegen das Windows schwere DesignFehler mitbringt, die man jetzt mit schönen bunten Vorhängeschlössern vor den Fenstern kaschieren will?

      Klar gibts auch Bugs unter GNU/Linux, aber die sind da meist in Stunden/Tagen gefixet, und die Updates bis in die Applikationsebene gefixed.

      • Stephan sagt:

        Deine Antwort hat doch nichts mit meinem Vergleich zu tun.
        Und ein Verseuchtes UEFI Bios ist unter Linux genauso schädlich und kann mit dem Soo Sicheren Linux auch nicht Verhindert werden.

        Also ist Linux nun auch Schlecht, weil das UEFI Bios Infiziert ist. ?

      • Bernd B. sagt:

        "Warum sind unter Windows eigentlich soviele Sicherheitsschlösser und Überwachungssoftware notwendig, während unter Linux das System Out-Of-Box ohne sicher ist – seit Jahrzehnten."

        Weil es sich auf Grund der marginalen Verbreitung wirtschaftlich schlicht nicht lohnt, für Linux Malware zu entwickeln (im Wesentlichen nur sinnvoll, um ausgewählte Ziele anzugreifen – also eher für Staaten).

        Fun fact am Rande: In den frühen 2000ern war ich im Solaristeam einer Bank u.A. für das Patchmanagement zuständig. Ich habe kaum weniger Patches und Fixes einspielen müssen, als Windowsupdates zu Hause. Das mit der "Sicherheit!!!" bei *nixen ist also gar nicht so viel besser.

        • 1ST1 sagt:

          Bei Linux kannst du täglich "sudo apt update" und "sudo apt full-upgrade" ausführen, es kommt immer was.

        • McAlex777 sagt:

          >> Weil es sich auf Grund der marginalen Verbreitung wirtschaftlich schlicht nicht lohnt, für Linux Malware zu entwickeln (im Wesentlichen nur sinnvoll, um ausgewählte Ziele anzugreifen – also eher für Staaten).

          Serverseitig ganz sicher nicht.

          Die Argumentation halte ich inzwischen auch nicht mehr für stichhaltig. Angriffe erfolgen da wo sie technisch ohne Aufwände betrieben werden können. Windows mit seinen 1000 Thirdparty Kernelmodulen, mit ausführbaren Exefiles aus beliebigen Verzeichnissen, ohne Prüfbarkeit woher Files stammen ist da schlichtweg ein eine große Angriffsfläche.

          Hinzu kommt das sträflich vernachlässigte Thema AutoUpdates via Store oder andere Mechanismen. Jeder Thirdparty-Treiber, jede Thirdparty-App ist nach einem Jahr schlichtweg ein offenes Scheunentor wenn der Admin nicht hinter jedem Programmupdate auf jeder Maschine hinterher rennt.

          • Bernd B. sagt:

            Welcher Teil von "marginal" will Ihnen nicht eingehen?
            Es ist ineffizient, (idR von Profis gewartete) Server direkt anzugreifen. Da geht man andere Wege (z.B. eben über Clients), den Content zu extrahieren oder verschlüsseln.

  4. McAlex777 sagt:

    Meine Vermutung als Begründung für ein neues "Windows11" war die Einführung von TPM2.0. Das wäre m.E. juristisch schwierig nachträglich unter Windows10 aufzwingbar gewesen.

  5. Tim B. sagt:

    Der Win10-Build ist von März 2021, das Win11 Ausgabedatum ist Anfang Oktober 2021. So, wie man oft genug bei den Windows-Updates das Chaos bzgl. Testen der Updates und deren Umsetzung sehen kann, würde es mich nicht wundern, wenn der Code durch die parallele Arbeit an beiden Betriebssystemen aufgrund von einer Verwechslung in den Win10-Insider Build kam und gar nicht beabsichtigt war.

    • 1ST1 sagt:

      Naja, die Codebasis für Windows 10 und 11 ist ja weitestgehend die selbe, also möglich dass auch in Windows 10 schon vieles vorbereitet ist, nur eben abgeschaltet, was erst mit Windows 11 offiziell ist. Vielleicht gibt es in Win 10 auch noch irgendwo undokumentierte Schalter, um diese testweise zu aktivieren? Irgendwie müssen die Entwickler bei Microsoft ihre Änderungen ja auch testen…

Schreibe einen Kommentar zu Stephan Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.