Schlagwort-Archive: UEFI

Secure Boot: Status abfragen

Secure Boot ist eine Funktion neuerer UEFI-Firmware, die nur zertifizierte Bootloader akzeptiert und damit vor Rootkits schützen kann. Kehrseite der Medaille: Auch nicht zertifizierte Linux-Systeme haben aktuell ihre liebe Not, sich an dieser Funktion vorbei zu booten. Neben ersten, noch nicht voll überzeugenden Lösungsansätzen steht die simple Maßnahme, „Secure Boot“ im UEFI-Setup einfach abzuschalten, bevor man ein alternatives System starten möchte. Nicht ganz komfortabel, aber immerhin machbar.

Secure Boot ist auf neueren PCs mit vorinstalliertem Windows 8 Standard. Der Status dieser Schutzfunktion lässt sich über die Registry abfragen:

HKLM\System\CurrentControlSet\Control\SecureBoot\State

DWord-Eintrag: UEFISecureBootEnabled
Wert 1: Aktiviert
Wert 0: Abgeschaltet

Windows 8: Secure Boot

Trotz sich stets verbessernder Viren-Erkennungssoftware hat Windows eine strukturbedingte Schwäche – den Bootprozess. Bei normalen Windows-PC wird nach dem Einschalten der interne Speicher gecheckt, dann übergibt das Bios die Kontrolle über den Boot-Prozess dem Boot-Manager, dieser lädt das Ladeprogramm für Windows, die Treiber und den Windows-Kernel. Dann startet Windows, zeigt den Anmeldebildschirm und gibt den Desktop frei. Das Problem sind Schädlinge (Bootkits oder Rootkits), die sich im Boot-Prozess einklinken, bevor Windows und somit auch die Antiviren-Software läuft.
Windows 8 sichert den Boot-Prozess mehrfach ab. UEFI-Firmware („Unified Extensible Firmware Interface“) ist in allen neueren PCs und Notebooks verbaut und kann die digitalen Signaturen der Bootprogramme prüfen. Ist die Signatur eines Bootloaders unbekannt, wird der Prozess nicht gestartet.
Secure Boot unterstützt ferner Early-launch Anti-Malware (ELAM). Dabei handelt es sich um Antiviren-Programme, die vor der Treiber-Initialisierung im Boot-Vorgang laufen.
Wenn der PC über einen TPM-Chip verfügt („Trusted Platform Module“), kann den Startvorgang über „Measured Boot“ protokolliert werden. Das Protokoll vereinfacht der Antiviren-Software die Malware-Suche.

Befürchtungen, dies könne oder solle alternative Betriebssysteme wie Linux von Windows-8-PCs fernhalten, sind nicht stichhaltig:

  1. Erstens lässt sich Windows 8 natürlich auch auf älteren Geräten ohne UEFI-Firmware installieren. UEFI-Firmware ist Voraussetzung für Secured Boot, ältere BIOS-Firmware beherrscht die Funktion nicht.
  2. Zweitens kann der PC-User die Secure-Boot-Policy in seiner UEFI-Firmware jederzeit generell deaktivieren, wenn er das möchte, oder ad hoc mal schnell deaktivieren, wenn das notwendig werden sollte, um ein alternatives System zu starten. Diese Option besteht aber nur auf PCs und Notebook, nicht auf Tablets und Smartphones mit Windows RT.

Windows 8: Hardware-Unterstützung

Wie erste, problemlose Windows-8-Installationen am PC zeigen, bringt das System die gewohnt breite Unterstützung für PC-Peripherie mit. Erwähnenswert sind folgende Neuerungen:

  1. ARM-Prozessoren (Windows RT)
    Die Entscheidung, Windows 8 auch für ARM-basierte Geräte (Advanced RISC Machines) zu kompilieren, zielt auf den breiten Wachstumsmarkt von Tablet-PCs und Smartphones. Mit einer ARM-kompatiblen Variante von Windows 8 ist es aber nicht getan: Dem Schritt muss eine nennenswerte Zahl von attraktiven WinRT-Apps für die ARM-Architektur folgen. Bislang ist Office 2013 RT Standard auf allen ARM-Tablets, ferner natürlich die Standard-Apps (Video, Foto, Musik, Mail etc.). Das reicht aber nicht: Windows RT besitzt keine Win-32-API und kann daher klassische Windows-Software weder installieren noch ausführen. Diese Einschränkung ist gravierend, solange der Windows Store keine vergleichbaren Modern Apps bereitstellt. Aktuell (Anfang 2013) kann es ein ernstes Kaufhindernis sein, wenn ein Tablet-PC mit Windows RT nur den vorinstallierten Internet Explorer 10 als Browser anbieten kann. Auch bei Dateimanagern oder im Multimedia-Bereich fehlt im Windows Store bislang die Qualitäts-Software an RT-Apps.
  2. UEFI (Unified Extensible Firmware Interface)
    Windows 8 unterstützt UEFI-Firmware – aus Sicherheitsgründen wie aus Leistungsgründen hätte Microsoft diese für Windows 8 am liebsten vorausgesetzt. Dies hätte aber ältere, BIOS-basierte Rechner ausgeschlossen. Windows 8 akzeptiert BIOS- wie UEFI-basierte Hardware.
  3. USB 3.0
    Native Unterstützung der aktuellen USB-Version 3.0 ist erwartungsgemäß an Bord. USB-3.0-Geräte können folglich ohne Installation externer Treiber angesprochen und genutzt werden. Abwärtskompatibilität zu USB-2.0-Geräten steht außer Frage.

siehe auch Taskleiste mit Multimonitor-Unterstützung