ComputerBase Menü
Aktuelles

Bericht Windows 11: So wird TPM 2.0 im BIOS auf AMD- und Intel-PCs aktiviert

p.b.s. schrieb:
Erzählt wer?
Zum Vergrößern anklicken....
"Erzählt" niemand, ist eine Tatsache. Sichere Datenspeicherung, Zufallszahlengenerator.
Trusted Platform Module provides
  • A hardware random number generator[4][5]
  • Facilities for the secure generation of cryptographic keys for limited uses.
  • Remote attestation: Creates a nearly unforgeable hash key summary of the hardware and software configuration. The software in charge of hashing the configuration data determines the extent of the summary. This allows a third party to verify that the software has not been changed.
  • Binding: Encrypts data using the TPM bind key, a unique RSA key descended from a storage key[clarification needed].[6]
  • Sealing: Similar to binding, but in addition, specifies the TPM state[7] for the data to be decrypted (unsealed).[8]
  • Other Trusted Computing functions for the data to be decrypted (unsealed).[9]
Zum Vergrößern anklicken....

daivdon schrieb:
Die erwähnte Kritik ist weder "Geschwurbel" noch ist sie veraltet:
dafür muss eine Kritik entweder widerlegt oder entkräftet werden.
Zum Vergrößern anklicken....
Doch ist sie, dafür müsste man sich mit dem eigentlichen Thema und er damaligen Aussage vom BSI aber etwas mehr beschäftigen und nicht stumpf etwas aus dem Kontext zitieren. Fakt ist, aktuell empfiehlt BSI den Einsatz eines TPM Moduls, womit diese "Kritik" wohl "entkräftet" wurde.

1633478351866.png

https://www.bsi.bund.de/SharedDocs/...von_Windows_10.pdf?__blob=publicationFile&v=3

Aber man kann die Fakten hier im Forum auch 1000 mal zitieren, es kommt immer mal wieder jemand um die Ecke und verweist auf Wikipedia, wo ein Autor damals die stille Post die seinerzeit in den Magazinen herumgeisterte niedergeschrieben hat.

Würde man sich auch nur eine Minute darüber informieren, wie es damals zu den Berichten kam, hätte man auch die Klarstellung von BSI gefunden.
"Das BSI warnt weder die Öffentlichkeit, deutsche Unternehmen noch die Bundesverwaltung vor einem Einsatz von Windows 8. Das BSI sieht derzeit jedoch einige kritische Aspekte im Zusammenhang mit bestimmten Einsatzszenarien, in denen Windows 8 in Kombination mit einer Hardware betrieben wird, die über ein TPM 2.0 verfügt."
https://www.golem.de/news/trusted-c...n-vor-tpm-20-mit-windows-8-1308-101101-3.html
Zum Vergrößern anklicken....
Aber klar, sensationsgeile Presse und Aluhutträger haben daraus alles mögliche gemacht, nur nicht den eigentlichen Kontext richtig wiedergegeben. Es war Snowden Zeit, die Xbox wurde wegen ihrer "Überwachungskamera" schlecht geredet, da passte so eine Aussage wunderbar ins Weltbild und dem Chip wurden plötzlich alle möglichen "wundersamen" Dinge nachgesagt, was sich anscheinend bis heute hält.

Es wurde sogar seitens des BSI das komplette Verhalten von Windows 10, TPM und Secure Boot genaustens analysiert, aber das ist den meisten dann doch zu technisch. TPM = Böse, geht doch viel einfacher von der Zunge.
https://www.bsi.bund.de/DE/Service-...ien/SiSyPHuS_Win10/AP5/SiSyPHuS_AP5_node.html
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: cvzone und PS828
Amiga500 schrieb:
Ich weiß immer noch nicht ob man das VBS aktivieren muss
Zum Vergrößern anklicken....
VBS ist automatisch aktiv wenn die Voraussetzungen erfüllt sind (TPM, UEFI/GPT, CPU-Virtulisierung). Das kann nur via Registry deaktiviert werden.

HVCI aka 'Memory-Integrity' ist optional zuschaltbar. Dies sorgt dann auch für die Leistungseinbrüche in bestimmten Szenarien.

Der Hyperlink: 'PC-Integritätsprüfung abrufen' sollte mehr Aufschluß geben.
 
  • Gefällt mir
Reaktionen: Amiga500
Herdware schrieb:
Dieser Artikel wird vielen Usern sehr helfen. Danke!

Jetzt wünsche ich mir noch einen Artikel, in dem möglichst verständlich erklärt wird, was diese ganzen Funktionen für mich als Anwender bedeuten. Also was dadurch für mich möglich wird und was eventuell nicht mehr funktioniert.
Bisher habe ich da bestenfalls ein gefährliches Halbwissen.

Z.B., für was benötige ich TPM, abgesehen davon, dass Win11 es haben will? Z.B. für Verschlüsselung der Festplatte? Wird das vielleicht auch für sichere Wiedergabeketten beim Streaming genutzt?

Was ändert sich, wenn ich Secure Boot aktiviere/nutze? Hat das Auswirkungen z.B. auf parallel installierte, andere Betriebssysteme?

Wofür brauche ich die Virtualisierungsfunktionen wie VBS? Laufen dadurch VMs besser/sicherer, oder nutzt Win11 selbst diese Funktionen, z.B. um kritische Anwendungen (Browser?) zu isolieren?
Oder ist das eher nur für Server usw. gedacht und ich lasse das auf meinem Gaming-PC wegen der möglichen Leistungsverluste doch besser deaktiviert?

usw.
Zum Vergrößern anklicken....
Ich habe alles eingestellt was win 11 verlangt und ich musste feststellen das Security Boot nicht Aktiviert war also ab in Bios und nachgeschaut und Tatsächlich Security Boot war deaktiv also hatte ich es Versucht zu Aktivieren. Aber nichts ging wenn ich versuchte meinen Läppi neu zu starten ging die Mistmaschine immer wieder ins Bios zurück.
Ich habe einen Schenker Läppi XMG 17" AMD CPU H 4600 mit 16 GB Ram und 3200 Mhz und eine 512 GB SSD und als Betriebsystem ein Win 10 Pro
 
Trimipramin schrieb:
Der ist hierfür gedacht. Möchte ich nicht mehr missen sowas.

0,2 sekunden :D Ich weiß nicht, vielleicht wird die Tastatur auch nicht direkt zu Systemstart aktiviert? Ansonsten mach mal nen extra Thread auf im Forum :)
Zum Vergrößern anklicken....
Danke für den link. Hat leider nicht so geklappt. Erst ließ sich die Datei nicht umbenennen, und dann, als ich todesmutig den Knopf hinten am MB gedrückt hatte, leuchtete es rot auf - aber es geschah nichts. Vielleicht lag es daran, daß der PC in Betrieb war?

Da werde ich wohl wirklich ein Thema aufmachen müssen.
 
mae1cum77 schrieb:
HVCI aka 'Memory-Integrity' ist optional zuschaltbar. Dies sorgt dann auch für die Leistungseinbrüche in bestimmten Szenarien.
Zum Vergrößern anklicken....
Ich hoffe doch mal das die Leistungseinbrüche mit zukünftigen Updates behoben werden kann !?
 
xexex schrieb:
Es wurde sogar seitens des BSI das komplette Verhalten von Windows 10, TPM und Secure Boot genaustens analysiert, aber das ist den meisten dann doch zu technisch.
Zum Vergrößern anklicken....
xexex schrieb:
Würde man sich auch nur eine Minute darüber informieren
Zum Vergrößern anklicken....
Deinen letzteren Satz kann ich dir nur ans herz legen: es geht nicht darum, ob TPM "böse" ist oder nicht,
TPM selbst ist nur eine technische Möglichkeit, Hashwerte zu verifizieren. Die technischen Mängel
wurden seit der Kritik seitens MS (und der TPMGROUP) behoben. Das Szenario,
das vom BSI "genauestens" analysiert wurde, ist denn auch, wie du beschreibst, ausschliesslich
das Zusammenspiel zwischen Windows, TPM und Secure Boot. In Zusammenhang mit Drittanbietern von
Produkten, die nichts direkt mit der Sicherheit zu tun haben, wurde nichts getestet (siehe DRM),
das ist für das BSI-Szenario und vor allem für den gedachten Einsatzzweck auch völlig irrelevant.
Entscheidend an der Kritik ist das letzte Zitat:
Das BSI erachtet die vollständige Kontrolle über die eingesetzte Informationstechnik, die ein bewusstes Opt-In sowie die Möglichkeit eines späteren Opt-Outs beinhaltet, als grundlegende Voraussetzung für eine verantwortungsvolle Nutzung von Hardware und Betriebssystemen
Zum Vergrößern anklicken....
Aus Sicht des BSI, das eben nur das Szenario "Anwendungsfall in öffentlichen EInrichtungen" beurteilt,
ist diese Kontrolle hinreichend gegeben. Diese wurden von anderen zur Genüge beschrieben
(siehe Analyse an der Uni Växjö . c´t noch vor Einführung von TPM, Aluhut-Fraktion?die Fragestellung auf Stackexchange , ).Falls es dir nicht aufgefallen ist: wenn man über "vollständige Kontrolle" und "bewusstes Opt-in" oder "späteres Opt-out" reden möchte, ist MS nicht anwesend. Nichts, keine Dementis, keine Erwähnung,einfach nichts. Wir wissen aus "Palladium"-Zeiten, dass MS durchaus DRm auch als Einsatzfeld gesehen hatte und aufgrund Kritik damals zurückgezogen hat, dass jetzt dazu gar nichts mehr kommentiert wird, in einer Zeit, in der MS zielstrebig eine geschlossene Umgebung a la Apple anstrebt, bestätigt nicht geradedeine Annahme, dass die Kritik "veraltet" sei.
Und ob das heute noch als Pluspunkt gesehen werden kann,
dass das NSA mitgearbeitet hat, na, ich weiss nicht :p
 
  • Gefällt mir
Reaktionen: gimmix
xexex schrieb:
Aber klar, sensationsgeile Presse und Aluhutträger haben daraus alles mögliche gemacht, nur nicht den eigentlichen Kontext richtig wiedergegeben. Es war Snowden Zeit, die Xbox wurde wegen ihrer "Überwachungskamera" schlecht geredet, da passte so eine Aussage wunderbar ins Weltbild und dem Chip wurden plötzlich alle möglichen "wundersamen" Dinge nachgesagt, was sich anscheinend bis heute hält.

Es wurde sogar seitens des BSI das komplette Verhalten von Windows 10, TPM und Secure Boot genaustens analysiert, aber das ist den meisten dann doch zu technisch. TPM = Böse, geht doch viel einfacher von der Zunge.
https://www.bsi.bund.de/DE/Service-...ien/SiSyPHuS_Win10/AP5/SiSyPHuS_AP5_node.html
Zum Vergrößern anklicken....
Was ich mir wünsche, ist eine sachliche Diskussion. Du betreibst Polemik.

Es müsste doch möglich sein, die - von niemandem abgestrittenen! - Sicherheitsvorteile von TPM gegen die möglichen Nachteile abzuwägen. Und da sind die von dir verlinkten Texte des BSI leider nicht hilfreich.
Es interessiert mich nicht, welche WIN10-Funktionen des Builds 1607 (Enterprise Edition von 2016) TPM benutzt haben - es geht doch hier um WIN11 !
Wenn du auf Seiten des BSI verlinken könntest, die analysieren, was WIN11 grundsätzlich mit TPM machen könnte, wäre es mir recht.
TPM ist nicht = Böse, sondern TPM ist die große Unbekannte. Das ist doch der Punkt.
 
gimmix schrieb:
TPM ist nicht = Böse, sondern TPM ist die große Unbekannte. Das ist doch der Punkt.
Zum Vergrößern anklicken....
Nö! TPM ist ganz genau spezifiziert und dient den genannten Einsatzfeldern. TPM selbst beschränkt nichts, sperrt keine Benutzer aus, oder verhindert dass irgendwas nicht gestartet werden kann. Windows kann es durchaus und Windows braucht dafür kein TPM, aber genau das geht anscheinend nicht in die Köpfe einiger ein.

Was ein TPM2.0 Chip kann, ist ganz genau öffentlich einsehbar.
1633511887345.png

https://trustedcomputinggroup.org/resource/tpm-library-specification/
 
Zuletzt bearbeitet:
Hab ein komisches Problem, bei mir sagt der PC in der Sektion "Update and Security" dass "This PC doesnt currently meet...." um Win 11 zum laufen zu bekommen, aber der PC Health Check von Microsoft sagt alles ist im grünen Bereich und der PC is fähig Win 11 zu betreiben, alle Häkchen stehen auf grün inkl TPM. Also was nun? :p
 
cvzone schrieb:
Nein, gar nicht, eher das Gegenteil ist der Fall. SVM/AMD-V kannst du eigentlich bedenkenlos ausschalten, wenn du weißt, was du tust. Teils ist VBS auch mit AMD-V noch nicht aktiv, kannst du mit MSINFO32 prüfen.
Zum Vergrößern anklicken....
also ich sehe lediglich einen Unterschied in msinfo ob HyperV an oder aus ist oder Speicher Integrität aktiviert oder deaktiviert ist, von VBS ist da nicht die spur zu erkennen.

Gruss HL
 
Amiga500 schrieb:
Ich hoffe doch mal das die Leistungseinbrüche mit zukünftigen Updates behoben werden kann !?
Zum Vergrößern anklicken....
Das muss es garnicht, es ist standardmässig deaktiviert und das bleibt es sicherlich auch.
VBS wenn es aktiviert ist, braucht im Prinzip quasi garkeine Leistung.

Das ist wie Diskette rein vs. WHDLoad auf dem Amiga, die Games laufen dennoch gleichgut ;-)

Gruss HL
 
gimmix schrieb:
Wenn du das für den interessierten Durchschnittsuser runterbrechen könntest, wäre das super.
Zum Vergrößern anklicken....
Längst ein paar Posts vorher geschehen, der Wikipedia Artikel fasst alle Funktionen zusammen und da TPM durch ISO/IEC spezifiziert ist und solche Chips von Unternehmen wie Infineon hergestellt werden, gibt es da auch keine "Unbekannten".
 
Hm, schade, dass es keinen BioStar Mainboard Support diesbezueglich hier zu geben scheint bzw. der Boardpartner im CB Artikel unter den Tisch fallen gelassen wird, obwohl dieser wohl mehr Modelle im Portfolio haben duerfte als EVGA bspw. und es BioStar laenger gibt als bspw. ASRock.

@Jan
Somit bleibt der Artikel leider unvollstaendig und nicht in allen Faellen hilfreich. Nun gut, besser als gar keinen Artikel zu schreiben, denn die Mehrheit duerfte damit wohl ausreichend bedient werden.
 
Amiga500 schrieb:
Bei mir in Windows Update steht die Meldung das mein PC die Anforerungen nicht erfüllt , da ich wohl TPM nicht aktiviert habe

Ich weiß immer noch nicht ob man das VBS aktivieren muss und wenn ja ob es überhaupt empholen ist !?
Anhang anzeigen 1130240
Zum Vergrößern anklicken....
rödel dich mal durch dein Bios, du musst UEFI laufen haben, ohne CSM, "fTPM" der CPU aktiviert haben sowie Secure Boot eben.

Gruss HL
Ergänzung ()

ebenholzjunge schrieb:
mein mainbord H110M-K D3 taucht zwar dort auf (ganz unten)

https://www.asus.com/microsite/motherboard/ASUS-motherboards-Win11-ready/

aber es gibt keine entsprechene option im bios. wird das nicht angezeigt weil ich nur ein intel i5 6600 habe?
Zum Vergrößern anklicken....
deine CPU wird auch garnicht unterstützt, die Liste die CB verlinkt
https://docs.microsoft.com/en-us/wi...pported/windows-11-supported-intel-processors

Du bist also einer von denen die "Schummeln" müssen wie hier zum schluss bei CB beschrieben
https://www.computerbase.de/2021-09/windows-11-installation-tpm-pflicht-cpu-kompatibilitaet-updates/
Du hast halt Umwege es installieren/updaten zu können.

Sicherlich wird dein Brett und die CPU Secure Boot können, CSM deaktivieren wird auch gehen, nur TPM dafür wirst du den Bypass machen müssen für den check

Gruss HL
 
HasseLadebalken schrieb:
rödel dich mal durch dein Bios, du musst UEFI laufen haben, ohne CSM, "fTPM" der CPU aktiviert haben sowie Secure Boot eben.

Gruss HL
Zum Vergrößern anklicken....
UEFI ist, es wird wohl an FTPm liegen was ich nicht aktiviert habe.
 
HasseLadebalken schrieb:
Du bist also einer von denen die "Schummeln" müssen wie hier zum schluss bei CB beschrieben
https://www.computerbase.de/2021-09/windows-11-installation-tpm-pflicht-cpu-kompatibilitaet-updates/
Du hast halt Umwege es installieren/updaten zu können.

Sicherlich wird dein Brett und die CPU Secure Boot können, CSM deaktivieren wird auch gehen, nur TPM dafür wirst du den Bypass machen müssen für den check

Gruss HL
Zum Vergrößern anklicken....

das ist ja alles klar das es wegen der cpu nicht offizell gehn würde, aber dachte das ich unabhängig davon TPM aktivieren könnte. auf der hp steht von asus steht ja das das board es unterstützt
 
Hirschschnaps schrieb:
Ist W11 denn "besser" in irgendetwas als Windows 10? Verstehe aktuell nicht was das große Argument für W11 sein soll.
Zum Vergrößern anklicken....
Dann sind wir schon 2. Hoffentlich können die gameentwickler durch die TPM Sicherheitszertifikate und ip adressen nun endlich leichter Dobbelaccounds und Trolls in game besser ausfindig machen und deren accounds sperren. Laut Wiki ....."Er enthält einen eindeutigen kryptografischen Schlüssel und kann damit zur Identifizierung des Rechners genutzt werden. ".....
Ergänzung ()

Herdware schrieb:
Wobei ich wie gesagt nicht weiß, was die von Win11 vorgeschriebenen Funktionen wie TPM, Secure Boot, VBS usw. mir als Anwender jetzt oder zukünftig für neue Möglichkeiten eröffnen. Da habe ich noch viel Lernbedarf.
Zum Vergrößern anklicken....
Ich fänds besser wenn Win 11 noch abgespeckter wäre wie android oder ios. ^^ Und dann sollte win 11 in der Lage sein alle 5 sec. Verschlüsselung zu generieren, welche 300k Stellen haben. Wäre bestimmt sicherer wie son hardware bassierer TPM 2.0 Quark.^^
Ich mein viele haben mittlerweile 8 Kerne und 16 Threats.^^ Brauch ich soviel kerne für Cortana? Oder der Fotobearbeitung mit paint? RemoteApp- & Destopverbindung, Spracherkennung, Schriftarten, Komponentendienste, Aufgabenplanung,..... . Sicher nicht.^^ Win 10 hat nach wie vor soviel unnützen Kram, wo man in soner Fundamentsoftware Definitiv streichen kann.
 
Zuletzt bearbeitet:
Skjöll schrieb:
Danke für den Artikel und das Bild, gerade für MSI-Bord-Inhaber. Auch wenn ich mein BIOS gerade nicht finde....)
Zum Vergrößern anklicken....
So, endlich erledigt. Das BIOS war nicht zu erreichen, bisher schlug alles fehl: DragonCenter, gut zureden, abgesicherter Modus, Knopf hinten am Board.

Erst die Herausnahme der Batterie brachte das BIOS wieder zum Vorschein. Jetzt ist auch TPM 2.0 aktiviert.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

HeinMueck
Gigabyte tpm 2.0 und secure boot/uefi Einstellungen für win11 Installation
Antworten
10
Aufrufe
2.441
Dr. McCoy
Dr. McCoy
M
Ich kann Windows 11 nicht installieren, TPM 2.0 wird nicht erkannt
Antworten
14
Aufrufe
2.048
C-Phase
C-Phase
I
Von CSM auf UEFI Wechsel BIOS startet nicht
2
Antworten
21
Aufrufe
1.565
Terrier
T
*-MaXXimus-*
TPM 2.0 und Probleme mit Windows 10 - 11
Antworten
8
Aufrufe
1.157
*-MaXXimus-*
*-MaXXimus-*
Eletron
Probleme mit Windows Defender und TPM Modul?
Antworten
4
Aufrufe
1.776
Eletron
Eletron
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz