Software::Systemverwaltung
UEFI Secure Boot und TPM werden Pflicht
Auf der WinHEC-2015-Konferenz im chinesischen Shenzhen hat Microsoft seine neuen Richtlinien für den Umgang mit UEFI, Secure Boot und TPM unter Windows 10 vorgestellt. Demnach müssen Hersteller Secure Boot bei PCs und Notebooks nicht mehr abschaltbar implementieren.
Michael Kofler
UEFI-Bootmenü
Schon beim Marktstart von Windows 8 gab es Befürchtungen, UEFI Secure Boot könne künftig die Installation alternativer Betriebssysteme als Dual-Boot oder auch als alleiniges System verhindern beziehungsweise einen erheblichen Mehraufwand für Distributoren bedeuten. Mittlerweile setzen
dank der intensiven Auseinandersetzung von Matthew Garrett und anderen mit dem Thema viele Distributionen den von Garrett bereitgestellten Shim oder den Bootloader der Linux Foundation ein. Im Gegensatz zum Bootloader der Linux Foundation ist Garretts Shim nicht von Microsoft signiert. Kleinere Linux-Anbieter könnten mit der jetzigen Marschrichtung von Microsoft aber in Handlungszwang geraten, um ihren Anwendern weiterhin die freie Wahl des Betriebssystems zu ermöglichen.
Microsoft wird OEMs, die das Label »Designed for Windows 10« auf ihrer Hardware anbringen wollen, nicht mehr zwingen, Secure Boot für PCs und Notebooks in UEFI abschaltbar zu machen. Zudem ist für Fertigrechner mit vorinstalliertem Windows 10 nun ein Trusted Platform Module (TPM) vorgeschrieben, was beim Vorgänger Windows 8 noch optional war. Mittels Secure Boot und TPM soll das Betriebssystem aus Redmond weiter gegen Malware-Angriffe aus dem Boot-Prozess heraus gehärtet werden. Dabei werden verschlüsselte und vertrauensvoll signierte Dateien beim Rechnerstart auf ihre Unversehrtheit überprüft.
Das gilt zunächst für Smartphones und Tablets mit Windows 10 Mobile und ein Jahr nach der Vorstellung der »Ready to Manufacturing«-Version (RTM) der Desktop-Version auch für damit vorinstallierte Geräte. Das 2014 veröffentlichte TPM 2.0 brachte auch Firmware-TPM (fTPM) mit sich, das laut Microsoft, so vorhanden, auch eingeschaltet sein soll. Unter Windows 8 war dies bereits bei Tablets und günstigen Notebooks der Fall.
Dies gilt ebenfalls für Secure Boot, das bei Smartphones und Tablets mit Window 10 Mobile nicht optional abschaltbar sein darf. Für Linux-Anwender auf Desktops und Notebooks können diese durchaus wünschenswerten Sicherheitsmerkmale zum Stolperstein werden, wenn sie nicht mehr abgeschaltet werden können, da sie die Auswahl auf Distributionen eingrenzen, die einen signierten Bootloader verwenden.
){kind=small}
