ComputerBase Menü
Aktuelles

News Microsoft Pluton: Security-Chip lässt Linux nicht auf das Lenovo Z13 und Z16

Solange das Ganze im BIOS deaktivierbar bleibt sehe ich ehrlich gesagt kein Problem. Ich denke da richtet sich Lenovo einfach nach der Mehrheit, die sowieso nur Windows nutzen wollen.
 
Spike S. schrieb:
Das verhindern fremder Installationen ist bei PCs zu Hause eigentlich eher nicht so wichtig, denn dann hätte man ja einen Einbrecher in der Wohnung, was noch ganz andere, größere Probleme bedeutet.
Und das lässt sich auch heute schon ohne Pluton verhindern. Rechner im gewerblichen Umfeld sind entsprechend konfiguriert (mein Arbeitslaptop kann nicht von USB booten und BIOS ist gesperrt).
Zum Vergrößern anklicken....
absolut richtig, das System entsprechend sicher aufzustellen, ist bereits möglich! Anschlüssen über das Uefi die Boot Option entziehen (bei gefallen sogar die Funktion als Anschluss für einen Datenträger generell entziehen) und das Bios mit einem Kennwort versehe. Wobei ich zugeben muss, dass zumindest in pre-Uefi Zeiten die Bios Kennwörter nie wirklich in mir ein großes Vertrauen erweckten ("Masterkennwörter" für Techniker spukte immer wieder mal durch die Gänge). Aber das ist einer der Vorteile von Uefi, da kann man alles realisieren, also auch eine 2FA Anmeldung am eigenem 2FA Server und gut.
Und dazu die alten Klassiker
Ich will verhindern, dass ein bisher nicht genutzter Sata / M.2 Port genutzt wird? Deaktivieren!
Ich will verhindern, dass über USB gebootet werden kann / generell Laufwerke genutzt werden können? (im Uefi / im OS) Deaktivieren!
Ich will verhindern, dass der lokale Datenträger in einen anderen Rechner genutzt und verändert wird? Verschlüsseln!

Es ist alles bereits möglich, bzw. es fehlt im extrem Fall nur noch die optionale 2FA Anmeldung am Uefi bei Wald und Wiesen Boards, das umzusetzen ist weder Hexerei, noch Raketenwissenschaft, tut niemandes legales Interesse weh und dürfte sogar bei Nerds gut als optionales Feature, weil cool, positiv an
 
  • Gefällt mir
Reaktionen: Kuristina und Spike S.
"Weshalb Pluton plötzlich aber doch bereits ab Werk aktiviert ist und weshalb der Security-Prozessor die Installation von Linux blockiert, ist bislang nicht bekannt."

also ich hab das mysterium geloest, war gar nicht so schwer:
Lenovo will nur dumme Kunden, oder Kunden denen die eigene Sicherheit egal ist.
bin grad dabei einen weiteren Konzern in Linux zu überführen, finde für Windows kaum noch Ausflüchte.
Ein PC konnte mal alles, oder sollte alles können?
Windows kann doch nur noch Games und mit alter nicht notwendiger Software kompatibel sein :D
 
Intruder schrieb:
sorry aber dies ist auch so nicht wirklich richtig. Es gab zum Beispiel CPUs ohne mathematischen Coprozessor die dazu führten, das viele Programme / Games gar nicht liefen. Hatte damals im Freundeskreis auch 2 Leute, die solche Hardware hatten und schlußendlich nicht mehr mit zu Lanpartys kamen und ihr Hobby aufgaben.
Zum Vergrößern anklicken....
du wirfst da einiges, vor allem den Kalender, durcheinander...
100% IBM Compatible hatte nur zu XT und AT Zeiten (8088, 8086, 80186, 80286) Gültigkeit und verschwand mit dem 80386.
Die kamen alle durch die Bank und grundsätzlich ohne integrierten mathematischen Coprozessor daher, man konnte sich bei Bedarf einen zusätzlichen mathematischen Coprozessor dazu kaufen (so wie es mein Vater tat, da er den Coprozessor im Rahmen der Programmierung für seine Forschung gewinnbringend nutzen konnte) und auf einem optionalem zusätzlichen Sockel des Boards stöpseln, der damals aber bei 08/15 Anwendungen inklusive der damals existenten Hand Voll Spiele am PC absolut keinen nutzen hatte.

Des weiteren war das weit vor den Lan Party Zeiten. Du redest von den 90ern, 486DX, erster Prozessor mit integriertem mathematischen Coprozessor (FPU) sowie 486SX (mit deaktivierter FPU), und folgenden Generationen bis Ende der 90er / Anfang der 2000er, als Lan Parties dann aufgrund von DSL verschwanden. Allerdings habe ich nie von einem Spiel gehört, dass eine FPU zwingend vorausgesetzt hat, da kann ich mich aber täuschen... Dennoch gab es mehr als genug andere Optionen, aus denen ein Spiel mit einem bestimmten Prozessor eines bestimmten Herstellers mal mucken konnte, da AMD, Cyrix, IBM, Texas Instruments, ... teilweise nicht mehr nur Intels 486er streng nachgebaut haben, sondern auch verändert haben. Aber auch mit einem Intel 486er konnte es durchaus mal Probleme geben, da grade die etwas älteren Spiele sehr empfindlich auf den Takt der CPU reagieren konnten. Da musste man schon mal die Turbotaste drücken, damit die CPU nur mit ihrem Basistakt lief.
Aber ich vermute mal eher, dass die Probleme deiner Freunde noch nicht mal zu 486er Zeiten auftraten, sondern erst in den ersten paar Jahren des Pentium... die für den Gamer definitiv nicht toll waren und man eher dazu tendierte, gerne noch mal beim 486 zu bleiben, zur Not auf einen schnellen DX4 wechselte
 
  • Gefällt mir
Reaktionen: Intruder
_roman_ schrieb:
Und wie signiert man einen eigenen Kernel ohne offizielles bezahltes Zertifikat?
womöglich nur auf dieser einen Maschine ohne Hilfe eines anderen Rechners?

Das eine ist dumme Theorie, nur nach Blabbern ohne zu Denken. Das andere ist die echte Praxis.
Zum Vergrößern anklicken....
Die großen Distribution können den Kernel bzw den Bootlader mit dem 3rd party Zertifikat von Microsoft signieren lassen, das passiert schon seit es secure boot gibt.

Es ist möglich zusätzlich eigene Schlüssel zu generieren und dieser für secure boot zu verwenden, auch das ist nicht neu.

Es ist auch möglich secure boot ganz auszuschalten, dann braucht man gar keine Schlüssel und Zertifikate.

Was hier neu ist das in der Standard Einstellung das third party Zertifikat nicht akzeptiert wird.
 
  • Gefällt mir
Reaktionen: MountWalker
Frechheit, jeder sollte die Software einsetzen können die er will. Egal welche Hardware und Software das ist.
 
  • Gefällt mir
Reaktionen: Kuristina
Der der Linux auf seinem Notebook laufen lässt weis auch was er Kaufen muss/will.
 
Solange das ganze bei den Geräten dabei steht, ist das doch legitim. Wenn ich was anderes möchte, kaufe ich das Gerät halt nicht. Gerade bei Firmengeräten (sicher sogar der Großteil) gibt's doch eh nur Windows - und selbst das ist verrammelt und verriegelt.
Ob das ganze letztendlich einen Sicherheitsgewinn bringt - so richtig glaube ich das nicht. Allein schon das Auftauchen von solche markigen Phrasen wie "Chip-To-Cloud-Security" lässt mich zweifeln.
 
  • Gefällt mir
Reaktionen: ComputerJunge und Miuwa
kurze Frage so mal als Laie (hoffe ist nicht allzublöde Frage :D )

könnte man nicht gegen sowas vorgehen?

Man muss doch die Chance bekommen, das BS (als Beispiel Linux) selber auswählen zu können, es kann doch nicht sein, dass das einem praktisch verboten wird, bzw. ich werde daran gehindert, mir ein BS selber auszusuchen :confused_alt:

(btw. Aufsichtsbehörde, Kartellamt, oder kP wer)
 
MountWalker schrieb:
Ich kann dir zwar auf die schnelle keine Daten liefern, aber die Massenbeschwerden über UAC-Abfragen waren der Grund, warum mit Windows 7 die Sicherheitsstufe "mittelhoch" voreingestellt wurde, während es bei Vista noch "hoch" war.
Zum Vergrößern anklicken....
Mir ist bekannt, dass die umgestellt wurde. Ich bezweifle nur die "Massenbeschwerden". Aber gut, kann sein, dass ich das falsch in Erinnerung habe bzw. Meine Bubble da untypisch war und ist jetzt eh nicht wirklich relevant für das Thema.
 
Goatman schrieb:
könnte man nicht gegen sowas vorgehen?
Zum Vergrößern anklicken....
Gegen was denn genau und vor allem gegen wen?

Es handelt sich hier ganz offiziell um ein Sicherheitsfeature. Dieses lässt sich über die Firmware ein- und ausschalten. Es ist überhaupt kein Problem Linux auf solch einem System zu installieren.

Es hat sich von der Auswirkung (aus Kundensicht) auch nichts gegenüber der „Problematik“ mit Secure Boot geändert. Hier galt (und tut es noch immer): entweder deaktivieren oder eine der „großen“ Distributionen verwenden.
Es geht hier nicht um die Benachteiligung von Linux, sondern um die Bekämpfung von Rootkits/Schadsoftware, die einen Reboot übersteht.

Wer glaubt Microsoft sei ein Linux-Gegner hat die letzten Jahre wohl voll verpennt.

Ich hoffe CB kommt demnächst wieder von diesem Bild-Niveau weg. Der aktuelle Trend gefällt mir überhaupt nicht.
 
  • Gefällt mir
Reaktionen: xexex, ComputerJunge und 7r1c3
Goatman schrieb:
könnte man nicht gegen sowas vorgehen?
Zum Vergrößern anklicken....
Kommt darauf an, wie der Hersteller das Gerät bewirbt und ob die Einstellungsmöglichkeit im UEFI verbleibt. Wenn es als Personal Computer beworben wird, muss immer die Möglichkeit bestehen ein anderes Betriebssystem verwenden zu können. Und solange ich diese Einstellung verändern kann, werden die Verbraucherschützer höchstens gegen die Voreinstellung vorgehen können.
Wenn die Einstellungsmöglichkeit mit einem Update verschwinden sollte, sieht es wieder anders aus.
Und solange der betroffene Hersteller noch anders konfigurierte Geräte im Portfolio hat, ist der sowieso nur schwer angreifbar.
 
Goatman schrieb:
Man muss doch die Chance bekommen, das BS (als Beispiel Linux) selber auswählen zu können, es kann doch nicht sein, dass das einem praktisch verboten wird, bzw. ich werde daran gehindert, mir ein BS selber auszusuchen :confused_alt:
Zum Vergrößern anklicken....
Also erstmal kann man ja durchaus Linux Problemlos aufspielen. Davon ab bin ich mir ehrlich gesagt nicht sicher, ob ein HW- Hersteller dazu verpflichtet werden kann auf seinem PCs beliebige Betriebssysteme zu erlauben. Bei den Smartphones ist das ja auch nicht der Fall.
Ergänzung ()

Spike S. schrieb:
Wenn es als Personal Computer beworben wird, muss immer die Möglichkeit bestehen ein anderes Betriebssystem verwenden zu können
Zum Vergrößern anklicken....
Gibts die Regelung tatsächlich irgendwo, oder ist da Wunschdenken?
 
@Miuwa Ich weiß nicht ob sich dahingehend etwas geändert hat in den letzten Jahren, aber als die Laptophersteller anfingen diese Garantiesiegel auf die Geräte zu kleben, sodass man nicht mehr an die Hardware kam, hatten deutsche (oder sogar europäische, weiß ich nicht genau) die wieder einkassiert. Ein Laptop gilt allgemein als Personal Computer, nach der damaligen Rechtsauffassung.
 
xexex schrieb:
https://www.itpro.co.uk/security/357795/what-is-the-microsoft-pluton-security-processor

Vereinfacht ausgedrückt indem TPM Funktionen in die CPUs integriert werden und die Angriffsmöglichkeiten die bisher existieren ausgeschlossen werden.
Zum Vergrößern anklicken....
Aber genau um den kritischen Punkt drückt sich der Artikel doch herum. Was sind vertrauenswürdiger Schlüssel und wie kommen sie in Pluton.

Der zweite Punkt was wird getan, um zu erkennen, dass die Quelle eines Installationspakets als vertrauenswürdig gilt. Also wenn ein anstatt Windows ein Betriebssystem installiert wird oder wenn die IT-Abteilung dafür sorgen will dass Installationspakete nur von der IT-Abteilung kommen.

Der dritte Punkt wie wird geprüft ob ein Installationspaket auf dem Weg von der sicheren Quelle zum Computer nicht kompromittiert wurde.

Also von einer Website die sich IT-Pro schimpft hätte ich mir mehr als Microsoft BlaBla erwartet.
 
_roman_ schrieb:
Und wie signiert man einen eigenen Kernel ohne offizielles bezahltes Zertifikat?
womöglich nur auf dieser einen Maschine ohne Hilfe eines anderen Rechners?
Zum Vergrößern anklicken....
Meistens ja über ein Shimloader.
Secure Boot und co unter Microsofts Kontrolle ist in meinen Augen aber sowieso völlig witzlos, da ich MS keinen Meter weit traue.
Leider ist Secure Boot damit dann auch eher so semi-nützlich. Man kann zwar (auf Desktop-Mainboards zumindest) seine eigenen Keys ausrollen und die MS-Keys rausschmeissen, aber dabei kommt es wohl potentiell zu Problemen mit z.b. GPU-Firmware, die dann nicht mehr geladen wird...

Dass sowas nicht von einer neutralen Stelle gemanaged wird ist ein absolutes Unding, vor allem bei Microsofts bunter Geschichte an Monopol-Untaten...
 
Das wird doch sicher weider eine Klage gegen MS geben, wegen der Ausnutzung des Monopols.
Ähnlich wie damals bei den Browsern.
 
Hate01 schrieb:
Man kann Linux installieren, auch ohne secure boot auszuschalten. Man muss nur die Option im BIOS die third party Zertifikate erlaubt aktivieren. Genau das ist hier mit "extra step" gemeint.

Mehr dazu: https://download.lenovo.com/pccbbs/mobiles_pdf/Enable_Secure_Boot_for_Linux_Secured-core_PCs.pdf
Zum Vergrößern anklicken....
Also irgendwie scheint mir das Drama etwas aufgeblasen :D
Wer Linux installieren möchte wird es auch gerade noch hinbekommen,
Im uefi eine Option umzustellen….
Aber hate verkaufst sich halt besser :)
 
  • Gefällt mir
Reaktionen: Miuwa
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

nlr
News Microsoft Pluton: Security-Prozessor für CPUs von AMD, Intel und Qualcomm
2 3 4
Antworten
65
Aufrufe
12.631
Faust II
Faust II

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz