Windows 8 1.157 Themen, 15.601 Beiträge

News: Von Windows 8 gefordert

Aktueller Aldi-PC hat bereits umstrittenes UEFI Secure Boot

Michael Nickles / 18 Antworten / Flachansicht Nickles

Windows 8 wird sich generell auch auf älteren PCs installieren lassen, die Systemanforderungen sind quasi die gleichen wie bei Windows 7. Damit ein neuer Komplett-PC das Windows-8-Logo kriegt, muss er allerdings von Microsoft festgelegte Voraussetzungen erfüllen.

Eine davon ist das Vorhandensein eines UEFI-BIOS mit Secure Boot Option - also ein damit ausgestattetes Mainboard. Jetzt wurde bekannt, dass der neue Komplettrechner Medion Akoya P2410 D, der seit gestern bei Aldi-Nord für 499 Euro verkauft wird, diese Voraussetzung bereits erfüllt.

Das wird unter anderem von Heise gemeldet. Im Standard-BIOS-Setup des Rechners wurden Optionen zum Aktivieren von UEFI Secure Boot gesichtet.

Das Setup des im Medion-PC verbauten MSI-Mainboards fordert zuvor aber die Vergabe eines Administrator- und Benutzerpassworts. Die Passwörter müssen dabei zwangsläufig ein bisschen "kompliziert" sein.

Laut Heise ist Secure Boot beim neuen Aldi-PC im Auslieferungszustand nicht aktiviert. Auf jeden Fall ist klar, dass der aktuelle Medion-PC zwar der erste mit UEFI Secure Boot ist, aber gewiss nicht der einzige blieben wird. Höchstwahrscheinlich werden alle kommenden Komplettsysteme mit Windows 8 das haben.

Michael Nickles meint: Erster PC mit UEFI Secure Boot, im Auslieferungszustand nicht aktiviert. Warum nicht aktiviert? Ganz einfach deshalb, weil das erst ab Windows 8 unterstützt wird. Die Kunden des aktuellen Aldi-PCs werden sich also erst im Oktober mit diesem "Secure Boot" beschäftigen müssen, wenn Windows 8 kommt und sie von ihrem Recht gebrauch machen, das Windows 8 Upgrade im Rahmen des Upgrade-Programms für 15 Dollar (Euro?) zu kaufen (siehe Windows 8 Upgrade kostet 15 Dollar).

Das Stichwort "UEFI Secure Boot" wird natürlich jetzt auch alle zum Grübeln bringen, die ein neues Mainboard brauchen. Muss man dieses UEFI Secure Boot haben? Was bringt es? Generell ist es ein Sicherheitsmechanismus. Er soll verhindern, dass vor Start des Betriebssystems unerwünschtes Zeugs geladen wird.

Das kann neben Schadsoftware auch unerwünschte Treiber, Firmware oder ein anderes Betriebssystem sein. Dazu zählen auch Bootloader, also Mechanismen mit denen man auswählen kann, welches Betriebssystem gestartet werden kann.

Gemäß UEFI-Standard spielt sich "Secure Boot" nicht nur direkt im "BIOS" des Mainboards ab. Es ist auch erforderlich, dass auf der Festplatte ein sogenannter GUID Partition Table eingerichtet wird - das ist sozusagen ein Nachfolger des altbekannten "Master-Boot-Record".

Unterm Strich gilt schließlich: bei aktiviertem UEFI Secure Boot kann nur das vor dem Betriebssystem gestartet werden, was dazu berechtigt ist, einen "Erlaubnisschlüssel" hat. Und exakt diese "Erlaubnisschlüssel" gibt es nur von Microsoft.

Alle Macher von Linux-Distributionen sind also gezwungen sich bei Microsoft die Erlaubnis zu holen (zu kaufen) damit sie parallel zu Windows 8 auf einem Rechner gebootet werden können.

So eine Abhängigkeit stinkt den Linux-Leuten natürlich. Damit ist dieses UEFI Secure Boot eine zwiespältige Sache. Macht man es zu einem "offenen" Standard (wo jeder Schlüssel basteln kann), dann ist der Sicherheitsaspekt natürlich für die Tonne.

bei Antwort benachrichtigen
robinx99 Acader „robinx99 schrieb: so währe eine Absicherung durch UEFI...“
Optionen
Es wäre vielmehr die Frage zu klären weshalb da überhaupt Änderungen vorgenommen werden sollten. Bisher ging es auch so und warum soll da eine unbedingte Veranlassung erforderlich sein.

Zusätzlicher Schutz vor Rootkits für die es momentan kaum Schutz gibt. Klar man hat Virenscanner, aber spätestens wenn jemand mit Hardware zugriff da war der das System von einem Fremden Medium gebootet hat hat sich das erledigt. So gibt es halt eine zusätzliche Barriere. Entweder muss der Rootkit Programierer zugriff auf einen Vorhanden Schlüssel haben oder er muss einen zusätzlichen Schlüssel im System ablegen. Und auch bei Hardware zugriff wird es schwerer dort ein Rootkit zu installieren, da man erst mal seinen eigenen schlüssel ablegen muss und dafür erst mal am BIOS Passwort vorbei muss, was schon mal zusätzliche zeit erfordert und man muss es auch noch unauffällig machen. (Der Besitzer könnte feststellen dass sein BIOS Passwort nicht mehr funktioniert, bzw. dass ein zusätzlicher Schlüssel abgelegt wurde und ob man jedes BIOS Passwort bei einem Notebook überhaupt simpel Resetten kann ist eine Andere Frage, selbst wenn es da einen CMOS Clear jumper geben soll, so bereitet dass öffnen zusätzliche Probleme)

Und da Rootkits / Bootkits immer mehr Verbreitung finden ist ein zusätzlicher Schutz nicht verkehrt. Auch wenn es sicherlich nur ein Teil eines Sicherheitskonzeptes sein kann und natürlich durch weitere Maßnahmen unterstützt werden sollte.

Ein UEFI System, dass zusätzliches Insallieren von Schlüsseln über das BIOS Menu erlaubt finde ich eigentlich gut. Es ist ein zusätzlicher Sicherheitsaspekt und schadet eigentlich nicht wirklich. Man muss halt vor der Installation einen extra Schlüssel im BIOS Ablegen, aber dass wird auch nicht so schwer sein. Immerhin kann mein Normaler PC ja auch schon ein Update Programm starten dass ein neues BIOS über einen USB Stick einlesen kann, da wird es wohl nicht schwer sein, dass man dann auch Schlüssel über das BIOS von USB Sticks einspielen kann.

Klar es fehlen noch Guides wie man seinen eigenen Schlüssel erzeugt und dann im System ablegt, aber die werden noch kommen und bis dahin wird man es auch ausschalten können. Etwas spannender wird es vielleicht in Firmen Netzwerken, mit Netzwerk Installationen (PXE BOOT), und der Frage wie man da den Schlüssel im System ablegt, aber vermutlich dürfte es auch nicht so schwer sein vor der Erst Inbetriebnahme den Schlüssel von einem USB Stick einzuspielen immerhin muss man ja vermutlich sowieso an das System da Netzwerkboot selten in der Standard Bootreihenfolge stehen dürfte.

bei Antwort benachrichtigen