News Keine Updates für Windows 11: Microsoft schränkt PCs ohne TPM bei Windows Update ein

[begin_prog]

PCs beim Supportende nicht explodieren

Über solche "Argumente" müssen wir uns nicht unterhalten. Um deine Worte zu benutzen: die IT-Sicherheit explodiert durchaus. So macht Online-Banking gleich mehr Spaß

Deine Bank freut sich hinterher: Sie verweist bei einer Entschädigungs-Forderung einfach auf ihre "Nutzungsbedingungen für das Online-Banking", die du zwar unterschrieben, aber nie gelesen hast. Einfacher und billiger kann man eine Forderung nicht abweisen.

Anderes Problem: Wenn du einen riesigen Aufwand betreiben musst, um z. B. einen Identitätsdiebstahl irgendwie zu beweisen, wirst du das auch merken. Dein Problem wird sein, dass alle Indizien gegen dich sprechen. Mit einem verseuchten PC kann man einiges anstellen.

 

[supermanlovers]

Wir schaffen das! 👍
Du musst erst im UEFI im Security Reiter Secure Boot aktivieren/enablen, default Key klicken.

Ich habe es gefunden danke.

Mein Fehler war das ich nur unter "Security\Trusted Computing" TPM eingeschaltet habe.
Ich musste aber zusätzlich unter "Windows OS Configuration" "Windows 10 WQHL Support" aktivieren und dann konnte ich "Secure Boot" aktivieren.

 

[stalagg]

Das sagt niemand und das ist exakt das, was ich mit deinen übertriebenen Anforderungen meine.

Das suggeriert Microsofts Marketing durchaus.

Deine gesamte Argumentation zielt darauf ab, etwas, das wie du selbst sagst, einen Nutzen hat (s.o.) so hinzustellen, als hätte es ausschließlich negative Seiten.

Nein, die Frage ist, ist der Vorteil eines TPM so groß, dass es verhältnismäßig ist den Nutzer derart zu gängeln? Nein. Es würde völlig reichen, wenn man selbst entscheiden könnte, ob man das TPM nutzen möchte oder nicht.

Wie ich in meinem ursprünglichen Beitrag schon geschrieben habe, ist nichts, absolut gar nichts, perfekt. Für absolut jede Soft- und Hardware kann man Angriffsszenarien wie deine kreieren.

Ja, und wenn man welche findet muss man den Fehler beheben, nicht das Werbebudget erhöhen.

In der Folge ist SSL dann unnötig, weil es gibt Man-In-The-Middle-Angriffe. Auf eine Diskussion auf dieser Basis kann und werde ich gerne verzichten.

Nein, in der Folge macht SSL nur mit überprüfbar signiertem Zertifikat wirklich Sinn. Für Diffie-Hellman muss ich schließlich wissen, dass die andere Seite authentisch ist. Aber darauf kommt man nicht wenn man einfach sagt "SSL ist toll weil sicher".

 

[4nanai]

Dann verstehe ich dein Geläster über berechtigte Kritik nicht. Ich habe das Lippenbekenntnis übrigens auch umgesetzt. Dennoch fordere ich von Microsoft eine andere Politik für die User, die das nicht können.

Das ist kein Geläster, ich verstehe den Unmut vollkommen. Mein Thinkpad mit 7th Gen Intel wird auch nicht unterstützt.

Aber Stand jetzt gibt es für Win10 bis 2025 weiterhin Sicherheitsupdates. Das sind noch ganze 4 Jahre und wenn es so läuft wie bei Win7 womöglich noch etwas mehr. Bis dahin fließt noch viel Wasser den Rhein hinunter. Hier wird aber mitunter so getan, als müsse man am Release-Tag seine nicht kompatible Kiste gleich verbrennen.

 

[begin_prog]

Falls du meinst, Microsoft würde nochmal umdenken, nach dem die Leute sich in 4 Jahren damit abgefunden haben: Bestimmt nicht.

 

[tukse]

Über solche "Argumente" müssen wir uns nicht unterhalten. Um deine Worte zu benutzen: die IT-Sicherheit explodiert durchaus. So macht Online-Banking gleich mehr Spaß

Deine Bank freut sich hinterher bestimmt: Sie verweist dann einfach auf ihre "Nutzungsbedingungen für das Online-Banking", die du zwar unterschrieben, aber nie gelesen hast. Einfacher und billiger kann man eine Forderung nicht abweisen.

Und deshalb ist es doof, TPM unfähige Geräte auszuschließen? Um es zusammenzufassen, MS erhöht den Sicherheitsstandard, viele Geräte fallen damit raus. Alle heulen, wie böse das ist. Und das Argument gegen den Schritt ist dann wiederum die Sicherheit? Das macht ja mal gar keinen Sinn.

 

[begin_prog]

MS erhöht den Sicherheitsstandard

Das ist deine Interpretation. Dummerweise hat so ein abgeschottetes "System im System" selbst auch Sicherheitslücken, wie oft genug demonstriert wurde.

Worüber wir uns nicht unterhalten müssen, ist unsichere Systeme weiter zu betreiben, mit der Begründung, sie wären "noch nicht explodiert". Wie du oben geschrieben hast.

 

[M-X]

Glaubst du das echt?

Was willst du denn damit sagen? Das ein Win 11 OS kein update braucht weil andere Geräte auch angreifbar sind ? Was ist das für ein Argument? Schnallst du dich im Auto auch nicht an weil der Radfahrer vor dir ja auch ohne rumfährt ?

Es gibt keine 100% Sicherheit, man sollte sich aber bemühen die Angriffsvektoren so klein wie möglich zu halten. OS Updates sind da ein integraler Bestandteil.

 

[stolperstein]

endlich keine nervige Zwangsupdates mehr...


Viele Grüße,
stolpi

 

[MADman_One]

@MADman_One
Wozu dann noch das TPM? Als 2. Faktor?

Hehe das ist recht einfach zu erklären. Bisher hatte ich fTPM im UEFI immer deaktiviert und hatte per Gruppenrichtlinie dafür gesorgt, trotzdem (Bootpasswortgeschütztes) Bitlocker zu haben. Hätte mir auch gereicht, mir ging es primär um das Boot-Passwort, niemand soll ohne meine Erlaubnis ins OS booten können.
Dann kam aber die Windows 11 Ankündigung und der TPM Zwang und da wollte ich dann natürlich wissen, ob ich trotzdem später noch ein Boot-Passwort haben kann, da unsere Firmen-PCs z.B. Bitlocker ohne Boot-Passwort einsetzen dank TPM. Was ich privat nicht will, ich will da auch später noch das Boot-Passwort haben. Und eine 4-stellige numerische PIN reicht mir nicht. Also hatte ich recherchiert wie ich eine längere und vor allem Passphrase äquivalente PIN haben kann. So kam ich drauf, habe fTPM aktiviert und es funktioniert.
Und da ich davon ausgehe, daß diese Option in W11 nicht wegfallen wird, werde ich wohl meine Lösung weiter nutzen können wenn ich irgendwann auf W11 umsteige.

 

[4nanai]

Falls du meinst, Microsoft würde nochmal umdenken, nach dem die Leute sich in 4 Jahren damit abgefunden haben: Bestimmt nicht.

Dann haben die Leute in 4 Jahren ja endlich einen guten Grund sich ein sichereres OS zu installieren. Oder es wird bereits Mittel und Wege geben den Update-Ausschluss zu umgehen. Jedenfalls wird es rationalere Lösungen geben als "schrottreife Hardware", die automatisch zu Virenschleudern werden.

 

[begin_prog]

Jedenfalls wird es rationalere Lösungen geben als "schrottreife Hardware", die automatisch zu Virenschleudern werden.

Damit ist aber zu rechnen, das ist sehr realistisch. Die Leute werden nicht einsehen, einen Ryzen 1 wegzuwerfen, der noch eine top Performance hat. Wie du hier siehst, werden sogar auf einer IT-Seite Sicherheitslücken klein geredet. "Ist noch nicht explodiert", wie lustig. Wie die Normalbevölkerung denkt, kann man sich an 5 Fingern abzählen.

Bei bisherigen Systemwechseln gab es zwei große Unterschiede: Windows 10 lief auf dem alten PC und die alte Möhre a la Pentium 4 oder Athlon 64 war schon sehr träge geworden.

 

[scryed]

Da Windows 10 noch bis 2025 Supported wird, wo ist das Problem?

Kann ich dir sagen sobald ansich jetzt schon wird Windows 10 auf das Abstellgleis gestellt und gibt es wirklicheute die glauben das ms dann noch viel Geld in die Hand nimmt ich nicht

Es wird hier und da fixes geben aber wirklich supportet ist anderes.....

Und wer hier so tut als würde ms den Kunden nichts Schulden frage ich aber sonst noch klar oder? Ohne den Kunden der das Produkt kauft kann ms dicht machen

Auch diese tpm Geschichte bringt absolut keinen Mehrwert und oder Vorteile für den Heim Nutzer was nicht schon vorher möglich gewesen wäre sicherer wird dadurch auch nichts am Ende hat der Nutzer daheim nur Probleme damit mal schauen wann es das erstemal Probleme beim Hardware Wechsel macht bzw einfach verkompleziert......

So und zum Schluss

Wenn es doch so toll ist.... Warum nicht optional? Zwangs tpm ist der eine Schritt der es möglicherweise es ms erleichtert ein geschlossenes Ökosystem zu schaffen

Ergänzung (24. September 2021)

Asus/Asrock/Gigabyte für ~20€ Intel sogar für 15

Also entweder schwankt das arg oder es ist ein Lastwagen mit Chips aufgetaucht, kürzlich habe ich für mein Asus x299 Board nachgeschaut ob es ein tpm2 Modul gibt, war bei keinem Händler käuflich und ebay wollte 50 Euro haben.....

 

[.Sentinel.]

Kann ich dir sagen sobald ansich jetzt schon wird Windows 10 auf das Abstellgleis gestellt und gibt es wirklicheute die glauben das ms dann noch viel Geld in die Hand nimmt ich nicht

Haben sie aber bei Vista so gemacht. Vista wurde so lange kostenlos weitergepflegt, bis man zum Schluss fast ein Windows 7 hatte.

Und wer hier so tut als würde ms den Kunden nichts Schulden frage ich aber sonst noch klar oder? Ohne den Kunden der das Produkt kauft kann ms dicht machen

Der Deal ist: Geld gegen Ware. Du schließt keinerlei Vertrag ab, der MS dazu verpflichtet dem User bis zum St. Nimmerleinstag konstelos Updates zur Verfügung zu stellen.

Auch diese tpm Geschichte bringt absolut keinen Mehrwert und oder Vorteile für den Heim Nutzer was nicht schon vorher möglich gewesen wäre sicherer wird dadurch auch nichts am Ende hat der Nutzer daheim nur Probleme damit mal schauen wann es das erstemal Probleme beim Hardware Wechsel macht bzw einfach verkompleziert......

Die Sicherheitsvoraussetzungen bringen demjenigen Mehrwert, der gerne ein sichereres System hätte.
Sicherer- Nicht sicher.

Wenn es doch so toll ist.... Warum nicht optional?

Weil Du vielleicht integrale Bestandteile eines OS aufweichen musst und dann wieder x- Verschiedene Versionen zu pflegen hast, dafür, dass es dann doch wieder heisst, dass das System nicht sicher sei.
Oftmals muss man die Benutzer zu ihrem Glück einfach zwingen, weil er mit seinem verhalten eben auch andere User gefährden kann (indem er z.B. unbemerkt zur Virenschleuder mutiert oder Mitglied eines Bot- Netzes wird).

Zwangs tpm ist der eine Schritt der es möglicherweise es ms erleichtert ein geschlossenes Ökosystem zu schaffen

TPM ist nicht die einzige Voraussetzung....

 

[Geringverdiener]

Wenn ich bei meinem Board (MSI z390 Tomahwk) TPM und Kernisolierung einschalte kommt es in unregelmäßigen Abständen vor das sich mein PC abschaltet (Klick) als würde ich den Stecker ziehen. (Kernel Power 41) "Es passiert im Desktopbetrieb und beim Spielen". An der Hardware kann es nicht liegen da es deaktiviert nicht vorkommt.

 

[Sebbi]

Microsoft muss endlich erklären warum TPM unbedingt erforderlich und damit Voraussetzung ist.

Vollständige Kontrolle des privaten Rechners durch MS und weitere Behörden zumindest in den US. Die Kontrolle drüber was du gnädigerweise an Software ausführen und welche Inhalte du konsumierst.
Die "sichere"Speicherung von Schlüsseln ist nur eine Begleiterscheinung.

 

[Fleischmann]

Und ich dachte Windows 10 wird das letzte WIndows? Scheinbar hat Microsoft zusammen mit dem PC Herstellern nun auch gemerkt, dass sie dann bald gar keine PCs mehr verkaufen. Denn die allermeisten Nutzer sind mit einem Computer aus 2021 mehr als gut bedient - vermutlich auch noch in 20 Jahren (vielleicht sogar für immer). Die wenigsten Nutzen auch nur einen Bruchteil der Leistung eines modernen Comptuers. Nur Gamer und rechenintensive Anwendungen (die meist nur bei einigen wenigen Anwendungsbereichen relevant sind) profitieren auch in Zukunft noch von einem Hardware-Upgrade. Das gleiche gilt für Software und Betriebssystem - beides in einem Stadium vorhanden, wo es kaum noch logische Verbesserungen geben wird.
Warum sollte ein Nutzer also einen Windows 11 PC kaufen? Das einzige Argument ist dann nur noch, dass das System Sicherheitsupdates bekommt, zum Schutz vor Angriffen aus dem Internet. Da wäre Windows 10 aber dann doch sinnvoller, da hier schon sehr viele Lücken geschlossen sind und praktisch gesehen sind bei einem System irgendwann alle Lücken gefunden und geschlossen, wenn es nicht mehr verändert wird.
Würde es nicht daher Sinn machen jetzt wirklich auf "Long-Term-Support" zu setzen und dafür eine Gebühr zu verlangen? zB. dass ein Jahr Windows Updates 50€ kostet, das gleiche für Treiber Updates.

Und irgendwo muss man doch auch mal an den ganzen Elektroschrott denken. Ein Laptop von 2013 ist für die meisten Nutzer auch in zehn Jahren oder zwanzig Jahren noch mehr als ausreichend schnell für alle Anwendungen. Nur für ein neues Windows ein neues Gerät kaufen zu müssen widerspricht doch jedem Gedanken von Nachhaltigkeit. Ich selbst arbeite hier noch mit einem Vostro von 2013 und nutze dies nicht nur für Office und Internet, sondern auch für CAD und Grafik-Bearbeitung und leichtes Gaming. Kann mir doch keiner erzählen, dass Otto-Normaluser jemals mehr damit macht.

 

[rgbs]

Oftmals muss man die Benutzer zu ihrem Glück einfach zwingen, weil er mit seinem verhalten eben auch andere User gefährden kann (indem er z.B. unbemerkt zur Virenschleuder mutiert oder Mitglied eines Bot- Netzes wird).

Von mir aus kannst Du Dich zu Deinem Glück zwingen lassen, ich als mündiger Mensch sehe das anders.
Und wenn mein Rechner zur Virenschleuder oder Teil eines Botnetzes wird gefährde ich ja allenfalls die User, die Ihre Rechner ebenso leichtfertig und unwissend betreiben wie ich.

Gruß
R.G.

 

[DenHL15]

Da wird für zukünftige Installationen auf „alten“ Rechnern Windows 10 LTSC 2019 sehr interessant. (Updates bis 2029, kein App-Müll, in meinen Augen das “beste Windows aller Zeiten“)

Wird nur leider schwierig bis unmöglich, legal für schmales Geld an eine Lienz zu kommen. Wir sind längst an einem Punkt, wo Hardware 10 Jahre und länger brauchbar verwendet werden kann, auch wenn Microsoft das ganze irgendwie nicht passt.

Klar, es gibt Alternativen zu Windows und wenn es sich anbietet diese zu nutzen, umso besser.

 

[TomH22]

Welche der Sicherheits- und Datenschutzkatastrophen die wir die letzten 2 Jahre gefühlt täglich erleben hätte durch ein TPM verhindert werden können?

Durch das TPM selbst wird garnichts verhindert. Aber viele Datenschutz Pannen die z.B. durch unsachgemäß entsorgte Computer bzw. HDDs oder SSDs passiert sind (etwa hier: https://www.datenschutz-notizen.de/...-loeschen-aussortierter-datentraeger-4922942/) liessen sich durch konsequente Verschlüsselung der Datenträger vermeiden. Ich frage mich immer, warum das bei Desktop Betriebsystemen nicht längst Standard ist. „Löschen“ des Datenträgers geschieht trivial durch „wegwerfen“ des Schlüssels. Das TPM ist eine (wenn auch nicht die Einzige) Möglichkeit den Schlüssel zu speichern.
Es ist durchaus möglich, dass Microsoft die Einführung von Ab-Werk verschlüsselten Geräten vorbereitet und dafür gerne ein TPM hätte.
So viel ändert sich durch die Neuerung ja sowieso nicht, die überwiegende Anzahl aller fertigen PCs erfolgt ja schon heute mit aktivem TPM und Secure Boot.

Wenn MS über Secure Boot mit TPM bestimmen kann, was auf meinem Rechner läuft, ist das für mich kein Sicherheitsgewinn.

Secure Boot und TPM haben erst mal nicht direkt was miteinander zu tun. Bei Secure Boot bestimmt immer noch der Hersteller der Hardware oder, falls die Firmware die Installation eigener Keys zulässt, der Besitzer, welches Betriebsystem gebootet werden kann.
Es gab ja einen großen Hype bei der Einführung von Secure Boot, das Microsoft die Installation von Linux verhindern wird. Das ist bis heute nicht passiert, und es wird auch nicht mehr passieren, Linux ist schon lange kein Feindbild für MS mehr und Microsoft ist es heute wichtiger das möglichst jeder ein Microsoft- oder Azure-AD (für Firmenkunden) Konto hat, als das überall Windows läuft.

Eines ist aber auch klar: Bei einer closed Source Black-Box wie Windows bestimmt in letzter Instanz Microsoft was für eine Software darauf läuft, ob mit oder ohne TPM. Allerdings auch nur das in den Grenzen, die der Markt zu akzeptieren bereit ist, siehe Windows Vista und 8.

Wer das nicht möchte, muss, anstatt rumzuheulen, konsequent sein und Linux nutzen.