Die Windows-11-Voraussetzungen Secure Boot und TPM verstehen

Was sind die Voraussetzungen für Windows 11 und Secure Boot?

Sehen wir uns zunächst einmal die Systemvoraussetzungen für Windows 11 an. Verwenden Sie das in Windows 10 enthaltene Tool PC Health Check, um die Kompatibilität von Windows 11 für vorhandene Geräte zu ermitteln. Wenn Sie Windows 11 nicht installieren können, liegt das wahrscheinlich an einer Inkompatibilität mit den Systemanforderungen, zu denen die folgenden gehören:

• zugelassene CPU
• aktiviertes TPM0
• vier GByte Arbeitsspeicher
• 64 GByte Speicher oder Festplatte
• UEFI-Firmware
• Internetverbindung
• Windows 10 Version 2004 oder höher

Einige dieser Anforderungen sind klar, wie die Internetverbindung und die angegebene Version von Windows 10, aber andere, wie UEFI und TPM werfen mehr Fragen auf.

Der Unterschied zwischen UEFI und BIOS

Das Windows-Desktop-BIOS erlaubt Betriebssystemen und Anwendungen die Kommunikation mit Hardware wie der CPU, Festplatten und Netzwerkadaptern. Das BIOS sorgt für die Initialisierung der Hardware beim Booten und wurde für die ersten IBM-kompatiblen PCs in den 1970er Jahren entwickelt. Ursprünglich war das BIOS in ROM-Chips gespeichert, wurde aber schließlich in den Flash-Speicher verlagert.

Durch Drücken von F1, F2 oder F12 vor dem Laden des Betriebssystems – je nach Hersteller – rufen Sie das Verwaltungsprogramm auf, das manche Administratoren immer noch als BIOS bezeichnen, obwohl es auf neuen Geräten inzwischen UEFI heißt. Sie finden hier Einstellungen, um die Hardware zu konfigurieren, zum Beispiel für bestimmte Boot-Funktionen, Virtualisierung, Sicherheit und Festplattentests.

Das BIOS verfügt nur über ein MB ausführbaren Speicherplatz zum Starten von Geräten wie Festplatten, USB-Laufwerken, Bildschirmen, Anschlüssen und anderen Controllern. Das macht Booten langsam und ineffizient. Darüber hinaus erlaubte das BIOS jeder Software mit einem Bootloader, den PC zu starten. Das ist ein großes Sicherheitsrisiko.

Obwohl diese Einschränkungen seit Jahrzehnten bekannt waren, haben sich OEMs erst 2007 darauf geeinigt, UEFI flächendeckend als Ersatz für BIOS auszurollen. Microsoft unterstützt es bereits ins Windows 8, aber erst seit Windows 11 ist es die Voraussetzung für das Betriebssystem.

UEFI hat mehrere wichtige Funktionen, darunter die folgenden:

• UEFI speichert den Code in einem nichtflüchtigen Speicher, beispielsweise RAM, einer Datei auf einer Festplatte oder sogar an einem anderen Ort über eine Netzwerkfreigabe. Beachten Sie, dass der EFI-Ordner auf einem Windows-PC, der sich in der Verzeichnisstruktur \Windows\Boot\EFI befindet, unter anderem von der Hardware benötigte .efi- und .dll-Dateien enthält.
• UEFI unterstützt die Globale Partitionstabelle, die bei 64-Bit-Systemen bis zu 18 Exabyte große Festplatten unterstützt. BIOS hingegen unterstützt nur Festplattengrößen bis zu 2,2 TByte. Windows läuft jetzt nur noch auf 64-Bit-Systemen, um die Vorteile von UEFI und Speichergeräten mit größerer Kapazität zu nutzen, und hat eine praktische Grenze von 16-TByte-Festplatten.
• UEFI enthält eine Funktion namens Secure Boot. Secure Boot beschränkt einen PC darauf, nur ein bestimmtes Betriebssystem zu booten.

Warum Secure Boot und Trusted Platform Module wichtig sind

Die beiden Begriffe werden gelegentlich austauschbar verwendet, aber sie sind nicht genau das gleiche. TPM ist die Hardware- oder Firmware-Grundlage der Secure-Boot-Funktionen.

Secure Boot

Secure Boot ist ein von UEFI unterstützter Sicherheitsstandard, den ein OEM oder ein Administrator durch Firmware-Aktivierung so konfiguriert, dass ein Gerät nur ein vertrauenswürdiges Betriebssystem booten kann. Die Funktion wurde 2016, etwa zur Zeit von Windows 8, erstmals in UEFI integriert. Daher unterstützen alle seither gebauten PCs höchstwahrscheinlich Secure Boot.

TPM reguliert, welche Betriebssysteme der PC bootet, und verhindert, dass böswillige Bootloader über ein bösartiges Betriebssystem Zugang zum Computer bekommen. Außerdem ist es praktisch für Unternehmens-Desktops, da Betriebe auf diesem Wege einschränken können, welche Betriebssysteme ihre Nutzer verwenden können, um so eine konsistente IT-Landschaft zu gewährleisten. Microsoft erzwingt Secure Boot auf Windows-11-Rechnern, um diese Sicherheitsfunktion zu aktivieren.

Um festzustellen, ob eine Windows-Installation Secure Boot aktiviert hat, öffnen Sie MSInfo32.exe oder geben Sie Systeminformationen in die Windows-Suchleiste ein. Suchen Sie nach Sicherer Startzustand und sehen Sie sich den Status an (siehe Abbildung 1).

Der Status kann folgendermaßen aussehen:

• Nicht unterstützt: Das bedeutet, dass Secure Boot auf dem PC nicht unterstützt wird, was wahrscheinlich darauf zurückzuführen ist, dass der PC zu alt ist.
• Ein: Secure Boot wird unterstützt und ist aktiviert.
• Aus: Secure Boot wird unterstützt, ist aber nicht aktiviert.

Secure Boot wird im UEFI aktiviert oder deaktiviert. Je nach OEM heißt diese Funktion Secure Boot oder TPM.

Trusted Platform Module

TPM ist ein Chip – oder eine Funktion, die in modernere CPU-Chips und Grafikkarten eingebaut ist – der in den Hauptplatinen von Computern installiert ist, um kryptografische Dienste bereitzustellen. Das UEFI ermöglicht Secure Boot über das TPM. Das TPM übernimmt Funktionen wie die Verwaltung, das Speichern und Erstellen der kryptografischen Schlüssel, die Gerätesignaturen erzeugen.

Der PC prüft diese Signaturen beim Booten, um sicherzustellen, dass die Geräte, alle Laufwerke und sogar die Betriebssystemsoftware zulässig sind. Ist das nicht der Fall, verhindert das TPM, dass sie geladen werden. Das geschieht mit öffentlichen und privaten Schlüsseln, die in der Hardware gespeichert sind, und das Verfahren schützt PCs vor Malware, da ein Angreifer diese Schlüssel nicht ändern kann.

TPM 2.0 ist die neueste Version dieser Technologie und eine Voraussetzung für Windows 11. Sie prüfen das Vorhandensein auf jedem Windows-PC, indem Sie TPM.msc (siehe Abbildung 2) in die Eingabeaufforderung eingeben.

Wenn das Tool TPM 1.2 anzeigt, erfüllt es nicht die Anforderungen von Windows 11 für die Installation. Wenn es sich nicht öffnen lässt, ist TPM nicht aktiviert.

Um TPM zu aktivieren, booten Sie den Rechner im UEFI, navigieren Sie zur Option TPM und stellen Sie sicher, dass das Feld aktiviert ist. Diese Option befindet sich in der Regel unter den Sicherheitseinstellungen, kann aber von verschiedenen OEMs unterschiedlich bezeichnet werden. Viele Hersteller veröffentlichen Hilfestellungen zum Bedienen ihres UEFIs online.

Installation von Windows 11 auf nicht unterstützten Geräten

Das Internet ist voll von wohlmeinenden Ratschlägen, wie man Windows 11 auf einem älteren Rechner installiert. Einige dieser Methoden sind jedoch äußerst unzuverlässig, da das Betriebssystem Windows 11 über eine Methode ausgeführt wird, die von Microsoft nicht befürwortet oder unterstützt wird.

Das Ignorieren der offiziellen Empfehlungen ist kein großes Risiko, wenn Sie nur ein Enthusiast sind, dem es Spaß macht, mit alten Systemen zu hantieren. Wenn Sie jedoch Desktop-Administrator in einem Unternehmen sind, kann das aus den folgenden Gründen erhebliche Folgen haben.

• Durch das Deaktivieren von Secure Boot im UEFI wird das System dem Risiko eines Malware-Angriffs ausgesetzt.
• Die Manipulation der Installation, zum Beispiel beim Bearbeiten dynamischer Link-Bibliotheken (Dynamic Link Library, DLL), stellt jeden, der versucht, Support für den betroffenen PC zu leisten, vor große Herausforderungen.
• Das Hinzufügen von TPM-Chips oder aktualisierten CPUs zu Motherboards, die nicht damit ausgestattet sind, um sie für Windows 11 nachzurüsten ist oft technisch nicht umsetzbar.
• Selbst wenn Sie Windows 11 mit einem Trick auf einem Computer installieren, der die Systemanforderungen nicht erfüllt, kann es sein, dass er nicht die erwartete Leistung erbringt.

Wenn Sie immer noch die Warnungen in den Wind schlagen möchten, finden Sie eine Anleitung hier.

Auch, wenn manche Beobachter über die Beschränkungen von Windows 11 murrten, sind es keine komplett aus der Luft gegriffenen Anforderungen, die Microsoft als Voraussetzung angibt. Statt diese zu umgehen, sollten Sie lieber über das Modernisieren Ihrer Desktop-Flotte nachdenken. Da das Ende der Lebensdauer von Windows 10 für Oktober 2025 angesetzt ist, bleibt genug Zeit, um die Desktop-Hardware im Rahmen eines typischen PC-Lebenszyklus zu aktualisieren, bevor Sie auf Windows 11 umsteigen.