RyzA
PCGH-Community-Veteran(in)
Brauche ich nicht.
News Windows 10 bald EOL: Microsoft rechtfertigt TPM-Anforderung für Windows 11
- Ersteller PCGH-Redaktion
- Erstellt am
Standard-Bitlocker ist iirc eine Vollverschlüsselung der Systempartition nach AES und der Key ist der TPM-Schlüssel. Das ist eine "richtige" Laufwerksverschlüsselung. Wenn du manuell noch eine einrichtest, etwa mit VeraCrypt dann ja, dann würden diese (sofern sie sich nicht gegenseitig stören, keine Ahnung ob dem so ist) nacheinander angewendet.
Sowas ist natürlich Unsinn. Also mehrfache Verschlüsselungen mit verschiedenen Programmen.
Wenn man den Algorithmen nicht traut oder ngst hat, dass beispielsweise AES gebrochen werden könnte, bieten gute Verschlüsseler im Tool selbst Mehrfachverschlüsselungen an. VeraCrypt kann auch AES(Twofish(Serpent)) beispielsweise. Wenn ein Standard wie auch immer gebrochen würde wären die Daten weiterhin sicher.
Bitlocker nutzt hauptsächlich deswegen (nur) AES, weil dieser Algorithmus mittlerweile in jeder modernen hardware integriert ist und entsprechend SEHR schnell Ver-/Entschlüsseln kann im Vergleich zu anderen Algorithmen, die über die normalen CPU-Einheiten laufen müssen.
VC kann das auch Benchen - AES ist extrem schnell gegenüber den anderen.
Zuletzt bearbeitet:
Das ist aber kein normales Verhalten... Dann war da was defekt...
Allein schon Bluescreen
Warum TPM ein Windows abstürzen lassen sollte...
Es gab kurzzeitig bei FTPM und Ryzen ein Problem, das Performance bei aktivierten TPM leicht negativ beeinflusst wurde, wurde aber schon seit Jahren von AMD gefixt
Wenn du Bluescreen hattest, hast du dir die Log Files angeschaut.
Windows legt bei jeden Bluescreen logfiles an...
PS: Google mal ist ne saudumme Aussage ich kann auch googeln und da steht AFD ist eine sinnvolle Partei und Trump ein toller Präsident
Mich würden deine Logfiles interessieren
bertstrampe
Schraubenverwechsler(in)
Ich selbst, halte TPM für Sinnlos. Aber ich bin auf Windows 11 leider angewiesen, wegen SkyGo. Funktioniert leider nicht unter Linuxsystemen. Ansonsten würde ich sofort wechseln.
Ich meinte damit eine, bei der der Schlüssel nicht im Gerät mitgeliefert wird, da war ich wohl zu ungenau. Ich halte es z.B. für wesentlich wahrscheinlicher, dass mir jemand das ganze Notebook als nur die SSD daraus klaut. Kann ja auch Bitlocker sein, dann müsste es aber halt noch einen zweiten Schlüssel geben, der z.B. noch mal mit einem Passwort verschlüsselt ist.
Windows hat exakt einen Microsoft-Store. Bei Linux dagegen haben viele Distributionen ihre eigenen Repositories und wenn ich mich richtig erinnere, gibt es als mögliche Grundlage für diese sogar insgesamt ein halbes Dutzend Paketformate. Das dezentrale Installationsmechanismen unter Windows stärker genutzt werden, liegt also nicht an den aktuellen Möglichkeiten der Systeme, sondern einerseits historische Gründe (Microsoft war spät dran) und anderer mögen es Windows-Nutzer schlichtweg (sehr zum Leidwesen des Erfinders von Universal Apps^^), dass man ein Programm einfach installieren (oder ggf. sogar direkt ausführen) kann, ohne dass eine zentrale Institution involviert ist. Und Entwickler respektive Publisher wiederum mögen es ebenfalls, dass sie eigene Parallelsysteme pflegen können – von A wie Adobe Cloud bis ... mindestens bis U wie Uplay. Aber sicherlich auch noch irgendwas mit V/W/X/Y/Z, das mir gerade nicht einfällt. Im Falle von Steam wurde das sogar auf Linux übertragen und kommt da auch bei den Usern recht gut an. (Was für A & U eher weniger gilt.)
Irgendwo zwischen diesen beiden Interessensgruppen sind Admins sicherlich am fluchen. Aber das ist ja oft so, dass die Wünsche der User und die Aktivitäten der Publisher bei Admins schlecht ankommen.
Capucius
Software-Overclocker(in)
Das ist so nicht korrekt, das ist nur der Fall, wenn man ausufernde Komplexität als unvermeidbar sieht. Klar definierte überschaubare Software oder Schnittstellen mit abschließend definierten und dokumentierten Zuständen und deren Übergängen sind beweisbar sicher zu machen. Es wollte halt nur lange keiner machen, weil man mit beschissener Software mit Schwachstellen, die dafür aber shiny und bunt ist, viel mehr Geld machen kann. Das heißt aber nicht, dass es nicht möglich ist. Ich sehe im Job regelmäßig auch Anwendungen, die heute noch so gemacht werden. Meistens sind das welche, wo so richtig Kohle dranhängt.
Im Serverbereich, und ich wage mal zu behaupten, dass der grundsätzlich attraktiver als Ziel ist, stellt Linux die überwältigende Mehrheit der Ziele. Und es gibt dort auch genug Schwachstellen, und die werden auch ausgenutzt. Das ist gar nicht hypothetisch, das ist Alltag.
Wenn das Legitimität gibt, dann gerne: ich nehme das von meiner Arbeit als Pentester, wo ich mir sowohl Windows- als auch Linux-Targets vornehme.
Siehe oben, du kannst auch eine ins Netzwerk exponierte Schnittstelle sicher machen, das geht schon. Es ist eine Frage des Umfangs, der Funktionalität, der Bequemlichkeit und des Budgets. In der Industrie werden auch über zwanzig Jahre alte SCADA-Produktionsanlagen sicher betrieben, obwohl sie noch auf Windows XP basieren. Sie werden halt sauber abgekapselt und bekommen nur wo nötig sauber abgegrenzte Schnittstellen, alles andere wird blockiert. Eine Produktionsanlage, die 20 Mio. gekostet hat kann man nicht einfach mal nach 5 Jahren durch das Nachfolgemodell ersetzen, nur weil das dann auf einem neuen OS beruht.
Du hast mit deiner Argumentation durchaus recht, aber meiner Meinung nach nur im Endkundenbereich. Von den Unternehmen, die ich kenne haben >90% den Microsoft-Store aus verschiedenen Gründen deaktiviert und benutzen eine kommerzielle zusätzliche Paketverwaltung (meist in Verbindung mit einer schwindelerregenden Menge an Gruppenrichtlinien). Die Linux-Landschaft bei Unternehmen ist meiner Erfahrung nach meist deutlich besser in Schuss als die Windows-Endpoints.
Tja, es ist halt wirklich immer ein Tradeoff zwischen Sicherheit und Bequemlichkeit.Irgendwo zwischen diesen beiden Interessensgruppen sind Admins sicherlich am fluchen. Aber das ist ja oft so, dass die Wünsche der User und die Aktivitäten der Publisher bei Admins schlecht ankommen.
Zuletzt bearbeitet:
T-MAXX
Volt-Modder(in)
, technisch korrekt steht es für mehr Sicherheit. Zu schön um wahr zu sein, denn man kann den Spieß auch umdrehen und das TPM gegen einen einsetzen. Z. B. könnte man dann Daten verschlüsseln, Passwörter ändern, Systemstarts manipulieren usw. Dafür gibt es paar nahezu simple Tricks die auch über das Netzwerk funktionieren. Microsoft wäre damit in der Lage mit ihrer bestimmten TPM Software so etwas wie Recall durchzuführen. Werde ich hier aber nicht offenlegen. Möchte damit nur sagen, das TPM keines Weges als "gute" Sicherheit angesehen werden soll. Mein Mainboard hat zwar ein TPM Header, aber der bleibt schön frei. Ich möchte mir keinen Ärger mit irgendwelchen Angriffen einfangen...
MechUnit
Software-Overclocker(in)
Stimmt, aber dazu müsste jemand -außer mir- meinen PC nutzen bzw. Zugriff darauf haben.
Du meinst, dass die besseren/höheren Sicherheitsmaßnahmen, bei denen der User davor für höhere Recht mit der Eingabekonsole arbeiten muss, keine Rolle spielen?
Ich denke doch schon.
Zuletzt bearbeitet:
Für mich war das fehlende TPM2.0 Modul der Grund, warum ich letztes Jahr auf Linux umgestiegen bin (zunächst als dual-boot zum Eingewöhnen).
Grundsätzlich gibt es, wie bereits erwähnt wurde, durchaus Möglichkeiten, selbst einen WinXP Rechner in einem Firmennetz weiterhin zu betreiben. Siehe die von @Capucius beschriebenen Großanlagen. Da kannst du nicht einfach ne 10Mio Maschine rauswerfen, nur weil der Vis-Rechner ein altes OS hat.
Das wird dann sehr gut über gekapselte Systeme gemacht, die auch physikalisch voneinander getrennt sind, und nur eine exakt definierte Schnittstelle dazwischen funktioniert für den Datenaustausch zum Leitsystem u.Ä.
Oder ein Whitelisting für definierte Programme/strukturen.
Damit lässt sich gut Geld verdienen - ich bin aber von berufswegen "nur" auf Hardwareseite, die Software überlasse ich anderen.
Dennoch gibt es kein sicheres System. Wo ein Wille, da ein Weg.
Und das gilt für Win genauso wie für Linux.
Auch wenn Linux vielleicht vond er Grundstruktur her schon sicherer ist, heißt das nix. Nur wegen der Rechteverwaltung, die ja Win (zumindest seit Win7) auch recht gut hat, gibt es auch da in den Prozessen keine wirklich saubere Trennung. Ist schlicht nicht möglich.
Der normale Win Nutzer ist das Feeling gewohnt, irgendein Programm ausm Netz runter zu laden, zu installieren, und zack - schon ist der Trojaner etc drauf.
Kann unter Linux genauso passieren, die Möglichkeit besteht. Da kannst du jederzeit aus dubiosen Quellen irgendwas einbinden, was nicht geprüft ist durch die Community. Oder die Community schleust selbst was ein (hats ja schon gegeben).
Dann heißt es immer - schalt halt dein Hirn ein, dann passiert das nicht. Und die Community rechnet nicht unbedingt mit dem DAU Verhalten.
Ich denke eher, da Microsoft so viel Erfahrung damit hat, sind die eher im Vorteil, was den Schutz vor Malware angeht. Es gibt viele Programme mit Echtzeitschutz, die es so unter Linux nicht gibt (v.a. wegen der Stuktur des OS)
Für mich persönlich ging der Weg aber eben vorallem dahin zum Linux, weil ich keinen neuen Rechner kaufen will.
Der zunehmende Zwang und die Möglichkeit zur Kontrolle durch MS schrecken mich etwas ab.
Und man darf nicht vergessen, auch Win10, damals mit dem Update Zwang, nur weil man grad nicht die Maus bewegt, war auch nicht dolle. Hat mir 2 SSDs zerstört, weil Win einfach Updates installiert hat, ohne mitzubekommen, das meine SSDs in Betrieb sind. Hat Jahre gedauert, bis sich das gebessert hat. Und Win11 wird wieder solche Macken haben.
Sobald ein OS von MS fertig und weitgehend sauber ist, wird es abgekündigt. Auch ein Grund zum Wechsel für mich privat
Grundsätzlich gibt es, wie bereits erwähnt wurde, durchaus Möglichkeiten, selbst einen WinXP Rechner in einem Firmennetz weiterhin zu betreiben. Siehe die von @Capucius beschriebenen Großanlagen. Da kannst du nicht einfach ne 10Mio Maschine rauswerfen, nur weil der Vis-Rechner ein altes OS hat.
Das wird dann sehr gut über gekapselte Systeme gemacht, die auch physikalisch voneinander getrennt sind, und nur eine exakt definierte Schnittstelle dazwischen funktioniert für den Datenaustausch zum Leitsystem u.Ä.
Oder ein Whitelisting für definierte Programme/strukturen.
Damit lässt sich gut Geld verdienen - ich bin aber von berufswegen "nur" auf Hardwareseite, die Software überlasse ich anderen.
Dennoch gibt es kein sicheres System. Wo ein Wille, da ein Weg.
Und das gilt für Win genauso wie für Linux.
Auch wenn Linux vielleicht vond er Grundstruktur her schon sicherer ist, heißt das nix. Nur wegen der Rechteverwaltung, die ja Win (zumindest seit Win7) auch recht gut hat, gibt es auch da in den Prozessen keine wirklich saubere Trennung. Ist schlicht nicht möglich.
Der normale Win Nutzer ist das Feeling gewohnt, irgendein Programm ausm Netz runter zu laden, zu installieren, und zack - schon ist der Trojaner etc drauf.
Kann unter Linux genauso passieren, die Möglichkeit besteht. Da kannst du jederzeit aus dubiosen Quellen irgendwas einbinden, was nicht geprüft ist durch die Community. Oder die Community schleust selbst was ein (hats ja schon gegeben).
Dann heißt es immer - schalt halt dein Hirn ein, dann passiert das nicht. Und die Community rechnet nicht unbedingt mit dem DAU Verhalten.
Ich denke eher, da Microsoft so viel Erfahrung damit hat, sind die eher im Vorteil, was den Schutz vor Malware angeht. Es gibt viele Programme mit Echtzeitschutz, die es so unter Linux nicht gibt (v.a. wegen der Stuktur des OS)
Für mich persönlich ging der Weg aber eben vorallem dahin zum Linux, weil ich keinen neuen Rechner kaufen will.
Der zunehmende Zwang und die Möglichkeit zur Kontrolle durch MS schrecken mich etwas ab.
Und man darf nicht vergessen, auch Win10, damals mit dem Update Zwang, nur weil man grad nicht die Maus bewegt, war auch nicht dolle. Hat mir 2 SSDs zerstört, weil Win einfach Updates installiert hat, ohne mitzubekommen, das meine SSDs in Betrieb sind. Hat Jahre gedauert, bis sich das gebessert hat. Und Win11 wird wieder solche Macken haben.
Sobald ein OS von MS fertig und weitgehend sauber ist, wird es abgekündigt. Auch ein Grund zum Wechsel für mich privat
Zuletzt bearbeitet:
Homerclon
Volt-Modder(in)
Über PCIe nicht, aber über den TPM-Header, der seit einigen Jahren auf quasi jedem Mainboard untergebracht ist.
TPM in Mainboards Zubehör PC Games Hardware (PCGH) Preisvergleich Deutschland: Preisvergleich
Aktuell, fundiert und übersichtlich: PC Games Hardware berichtet über Grafikkarten, CPUs, PC-Spiele und Gamer-PCs. Im Extreme Forum bekommen Sie PC-Hilfe.
@ Topic:
Win10 unterstützt TPM doch auch, MS hatte doch ursprünglich schon für Win8 TPM als Anforderung vorgesehen. TPM als Grund für Win11, ist also etwas ...
Ich bin kein Fan von TPM, es ist für mich ein Grund gegen Win11. Daneben noch, das MS es immer schwerer und schwerer macht, ohne ein Online-Konto auszukommen.
Was ich sagen wollte ist, dass Linux ohne TPM und SecureBoot in den meisten Fällen zwar nicht wirklich weniger sicher als Windows ist, aber dass man, wenn man den falschen Code auf seinem System ausführt, auf beiden Systemen dran ist.
Man muss für höhere Rechte nicht mit der Konsole arbeiten. Viele DEs fragen einfach das entsprechende Passwort ab, wenn erhöhte Rechte gebraucht werden. Das unterscheidet sich nach meinem letzten Stand nicht sonderlich von der Standardeinstellung der UAC in Windows.
MechUnit
Software-Overclocker(in)
Richtig. ABer wenn nicht gerade ein DAU vor dem PC sitzt und man weiß, welchen Code man ausführt, ist alles in Butter.
Ok, mein letztes Linux war Ubuntu 20.XX. Da musste ich noch mit sudo in der Konsole arbeiten. Aber auch für Linux gilt ja: ich muss wissen, welchen Code ich ausführe.
Das gilt aber prinzipiell halt genauso für Windows.
Gut, kann ich jetzt nicht so genau sagen. In der Konsole muss man natürlich heute noch genau so die Rechte erhöhen, aber mich würde ehrlich gesagt wirklich wundern, wenn die DEs das nicht auch schon länger könnten, das braucht man ja schließlich für jedes Update.
G4mest3r
gesperrt
Ah! NiceSeit 23H3 ist Bitlocker auch in der Home enthalten:
Geräteverschlüsselung/Bitlocker in Windows 11 24H2 Home: So einfach geht’s
Die Bitlocker-Laufwerk-Verschlüsselung von Windows 11 Pro können Sie auch mit Windows 11 Home nutzen. Dort heißt sie nur anders.www.pcwelt.de
Immerhin bietet MS die Möglichkeit, den Wiederherstellungsschlüssel im MS-Konto zu speichern, so dass oben genannter Otto nicht daran denken muss, ihn sich zu notieren um im mFalle einer defekten CPU nicht alle seine Daten unwiederbringlich zu verlieren.
Wo liegt das MS-Konto? In Azure, mitsamt das PW-Safes und den Passkeys, wo die feindlichen Cyber-Commandos raumsausen.
Gestohlener Azure-Master-Key: Microsofts Sicherheitsversagen ist jetzt amtlich
Vermeidbare Fehler, Unternehmenskultur der Unsicherheit: Die US-amerikanische Cybersicherheitsbehörde CISA erhebt massive Vorwürfe gegen Microsoft.
Kommentar zum Azure-Master-Key-Diebstahl: Microsofts Reaktion lässt tief blicken
Microsoft lässt sich einen Signing Key für Azure klauen. Bis jetzt ist die Tragweite des Angriffs unklar. Das ist unverantwortlich, kommentiert Oliver Diedrich.
Den zwang finde ich auch bedenklich. Wie ich schon in den beitrag zu MS und windows 11 upgrade was das BSi sagt geschrieben hab.
Kommt ergänzent hier dazu, Dass es ne menge elektroschrott produziert wird. Nur weil es pase nicht mehr geht. Was ich schwirig finde. Dazu kommt noch das die anderen überwachungsmasnahmen irgend wie sich falsch an fühlen wie Incredible Alk in seinen ersten post hier schrieb. Finde ich das genau so bedenklich.
Kommt ergänzent hier dazu, Dass es ne menge elektroschrott produziert wird. Nur weil es pase nicht mehr geht. Was ich schwirig finde. Dazu kommt noch das die anderen überwachungsmasnahmen irgend wie sich falsch an fühlen wie Incredible Alk in seinen ersten post hier schrieb. Finde ich das genau so bedenklich.
tokenrider
Freizeitschrauber(in)
Danke für die guten Beiträge. Ich hatte eh nicht vor, auf Win11 zu wechseln.
Das TPM Modul, das ich mir für den Fall der Fälle besorgt hatte, solange es das für mein board noch gibt,
werde ich sofort wieder ausbauen. Ich möchte weder ein M$ Konto noch eine eineindeutige ID für mein System.
Ich möchte mit Sicherheit auch kein Abo für Windows.
Das TPM Modul, das ich mir für den Fall der Fälle besorgt hatte, solange es das für mein board noch gibt,
werde ich sofort wieder ausbauen. Ich möchte weder ein M$ Konto noch eine eineindeutige ID für mein System.
Ich möchte mit Sicherheit auch kein Abo für Windows.
Ähnliche Themen
