Bericht Windows 11: Auch unter der Haube hat sich etwas getan

[FTPFreezer]

Wie bei den Autos wird auch das OS mit jedem größeren Update immer verschwenderischer mit dem Platz. Abstände noch größer, Leisten noch breiter und für das, worauf es ankommt, weniger Platz.
Immerhin kann man das Schlimmste mit Open Shell verhindern, aber solche fails wie die Systemsteuerung, in der man nur am scrollen ist und doch nichts findet, sind schon sehr ärgerlich.

 

[Domi83]

Was noch Probleme mit Secure Boot hat ist Rufus...

In wie fern?? Das würde mich mal interessieren... lade mir ja die ISO von Windows 10 herunter und erstelle mir meine USB Sticks via Rufus, und noch ist mir da kein Problem in die Quere gekommen oder ich hab es anderweitig umgangen

Was das Thema TPM generell angeht, wie "sicher" ist denn die TPM Lösung? Ich frage deshalb, weil ich mein ThinkPad X270 immer via Bitlocker vollverschlüsselt habe und im Bootvorgang ein Kennwort eingeben musste. Ich hatte schon mal mit dem TPM Gedanken gespielt um dann nur noch das Windows Kennwort eingeben zu müssen.

 

[Nickel]

In wie fern?? Das würde mich mal interessieren...

Wenn man mit Rufus ein Installationsmedium erstellt für eine UEFI Installation und man nimmt hierfür die normale ISO (install.wim) welche ja über 4GB hat, muss RUFUS das Medium in NTFS erstellen mit einer zusätzlichen FAT Partition für den UEFI-Boot des Installationsmediums. Hier werden dann beim booten von diesem, unsignierte Treiber geladen und Secure Boot muss deshalb aus bis nach der Installation.
Rufus gibt hier dann aber auch einen Hinweis darauf.
Nimmt man eine vom MCT erstellte ISO(install.esd) ist das nicht der Fall. Hier kann RUFUS das Medium dann ganz in Fat32 erstellen und es werden keine unsignierten Treiber benötigt für den UEFI-Boot vom Sick.

 

[mibbio]

Aber warum sollte man für ein Windows 10 Bootmedium Rufus nehmen, wenn es mit dem MCT ein Möglichkeit direkt von Microsoft gibt, die das Ganze Secure Boot kompatibel erstellt?

 

[Nickel]

Das muss jeder selber wissen was er hier nimmt um sein Installationsmedium zu erstellen.

 

[Domi83]

und Secure Boot muss deshalb aus bis nach der Installation.

Alles klar, Secure Boot schalte ich immer aus bevor ich Windows installiere und danach dann wieder ein. Das mache ich fast automatisch. Aber dann wird es das von dir geschilderte Phänomen sein, was mich damals dazu brachte dieses zu tun

Musste ich letztens auch erst wieder, als ich das win10_21h1_german_x64.iso für einen PC vom Kumpel verwendet hatte, weil er einen neuen PC mit aktuellem Windows haben wollte

Dieses Microsoft Creator Tool (oder wie es genau heißt) mag ich irgendwie nicht... darum lade ich mir lieber das ISO herunter und mache mir das mit Rufus fertig. Aber da hat halt jeder so seine "Macken"

 

[Tronix]

Ich finde die Funktion „Schaltflächen der Taskleiste gruppieren“ nicht. Ich habe gern die Beschriftungen der Taskfenster in der Taskleiste. IconOnly ist irgendwie nicht so meins… Gibt’s die Option noch irgendwo in W11 zum aktivieren?

 

[KitKat::new()]

Wenn nur ein Teil davon mit einem TPM Zwang erschlagen werden kann, ist das definitiv der Weg den Microsoft gehen sollte.

Finde ich nicht.
Wenn es mir den beworbenen Sicherheitsgewinn wert wäre, könnte ich die einwandfrei funktionierende HW gut auch selbst entsorgen.
Das Problem werden viele haben, sogar mit deutlich neuerer Hardware.

Bei mir hört da der Spaß auf.

Nicht sein müsste ich immer so eine tolle Behauptung. Es müsste auch keine Treibersignatur geben und auch der Defender ist total überflüssig und eine Firewall sowieso...

Ist auch so. Bis jetzt war es optional nutzbar, und es könnte auch weiterhin optional sein (wird es ggf. auch - bis jetzt steht nichts wirklich fest).
Und irgendwann löst sich das "Problem" ganz von selbst - ich gehe davon aus, dass es sowieso alle neueren haben.

 

[xexex]

Noch ein kleiner Nachtrag zu diesem Thema, auch auf Intel Systemen sollte spätestens mit den 3xx Chipsätzen ein fTPM vorhanden und aktivierbar sein.

Finde ich nicht.

Ist dein recht, nur wenn Microsoft auf 13 Jahre alte Hardware Rücksicht nehmen soll, darf man sich nicht wundern wenn die Entwicklung so schleppend voran geht. Sicherheit sollte nie "optional" sein, weil dann wegen "Dummheit" der Nutzer Rechner zu Virenschleudern werden und am Ende ist wieder das "Böse" Windows schuld.

 

[KitKat::new()]

Ist dein recht, nur wenn Microsoft auf 13 Jahre alte Hardware Rücksicht nehmen soll, darf man sich nicht wundern wenn die Entwicklung so schleppend voran geht.

1. Bezweifle ich, dass das einen nennenswerten Einfluss auf die Entwicklung hat (Optionalität ist längst Teil des Systems)
2. Ich beklagen mich nicht über schleppende Entwicklung

Sicherheit sollte nie "optional" sein, weil dann wegen "Dummheit" der Nutzer Rechner zu Virenschleudern werden und am Ende ist wieder das "Böse" Windows schuld.

1. Daraus wird sicher keine Virenschleuder, nur weil TPM nicht aktiviert ist
2. Selbstverständlich muss Sicherheit optional sein. Sicherheit geht immer mit Tradeoffs einher und gut funktionierende HW auszuschließen liegt bei mir auf der Seite von nicht akzeptablen Tradeoffs - so wie bei Teams E2EE keine hohe Priorität hat, MS auf dem PC Passwörter überhaupt ablegt, Passwortsync anbietet uvm. All das ist keine kompromisslose Sicherheit. Die gibt es nämlich gar nicht.
3. Unterstell mir nicht irgendnen Quatsch

 

[latiose88]

Tya interesaant weder mein laptop mit i7 4700hq noch das system i7 3770k oder i5 3470 können bzw beherschen tpm 2 das heist bei windows 10 ist end station.
Aber ich habe ja die wahl beim laptop als reine zocker laptop ohne internet ja mit windows 7 weiter leben zu lassen. Was ich auch tuen werde. Dann ist halt schluss damit irgendwann weil es dann halt wirklich den geist aufgegeben hat. Bei den pcs werde ich nach und nach auf windows 10 wechseln bis da nix mehr geht weil dann windows 11 nicht drauf gehen darf. Tya die sind ja noch so jung das sie wohl noch länger durchhalten. Der eine pc ist davon erst 5 jahre alt und der andere 8 jahre also kann ich nach den 4 jahren noch immer die hardware verwenden.
Ich werde diese nicht einfach entsorgen, die werden benutzt bis den geist aufgeben. Das kann ja noch im härtefall beim einen 12 jahre lang noch halten und beim anderen 15 jahre. Also bis dahin gibt es wohl dann schon den nachfolger vom nachfolger. Was ich dann so machen werde, ich weis es noch nicht aber soweit kann ich eben leider nicht in die zukunft schauen.

 

[xexex]

1. Daraus wird sicher keine Virenschleuder, nur weil TPM nicht aktiviert ist

Ich zitiere mich an dieser Stelle einfach mal selbst...

The Platform Crypto Provider can create keys in the TPM with restrictions on their use. The operating system can load and use the keys in the TPM without copying the keys to system memory, where they are vulnerable to malware.
https://docs.microsoft.com/en-us/wi...ation-protection/tpm/how-windows-uses-the-tpm

Soll man denn auf diese Sicherheitsmaßnahmen verzichten oder eine Extrawurst für 10 Jahre alte Hardware basteln? Ich sag ein klares nö! Wer meint weiterhin seine Museumshardware nutzen zu müssen, der hat noch mindestens vier Jahre Support für Windows 10.

 

[DKK007]

Ich bin ziemlich sicher das TPM v 2 mit Ryzen ab Gen 1 als fTPM unterstützt wird (musst nur im UEFI eingeschaltet werden… Und bei Intel bin ich ziemlich sicher das Broadwell und Business Geräte ab Haswell TPM v2 Unterstützen…

Da würden bei mir aber derzeit auch alle Geräte außer der 2. PC mit Ryzen 3900X rausfallen.

Mein 1. PC und die Notebooks, das Tablet und der Mini-PC haben Sandy/Ivy Bridge und Haswell drin.

Was das Thema TPM generell angeht, wie "sicher" ist denn die TPM Lösung? Ich frage deshalb, weil ich mein ThinkPad X270 immer via Bitlocker vollverschlüsselt habe und im Bootvorgang ein Kennwort eingeben musste. Ich hatte schon mal mit dem TPM Gedanken gespielt um dann nur noch das Windows Kennwort eingeben zu müssen.

Das macht nicht viel Sinn. Denn was bringt eine Verschlüsselung die jedem der den PC hochfährt Zugang gewährt.
Am Verschlüsselungspasswort würde ich bei Vollverschlüsselung nie sparen. Dann eher mit SmartCard etc. als 2. Faktor ergänzen.

Ergänzung (18. Juni 2021)

Ich finde die Funktion „Schaltflächen der Taskleiste gruppieren“ nicht. Ich habe gern die Beschriftungen der Taskfenster in der Taskleiste. IconOnly ist irgendwie nicht so meins… Gibt’s die Option noch irgendwo in W11 zum aktivieren?

Das wäre ja wirklich doof, wenn das ganz gestrichen ist.
Ist bei mir an einem PC auch mit das Erste das ich mir die Taskleiste wie gewohnt einstelle.

Hoffentlich kommt auch ClassicShell für Win11. Das neue Startmenü sagt mir auch nicht mehr zu als das von Win10.

 

[KitKat::new()]

Ich zitiere mich an dieser Stelle einfach mal selbst...

Lies vielleicht nochmal genauer.

Soll man denn auf diese Sicherheitsmaßnahmen verzichten oder eine Extrawurst für 10 Jahre alte Hardware basteln? Ich sag ein klares nö! Wer meint weiterhin seine Museumshardware nutzen zu müssen, der hat noch mindestens vier Jahre Support für Windows 10.

Es muss für keinen auf etwas verzichtet werden. Die "Extrawurst" gibt es bereits seit Jahren, es muss also auch nichts neues gebastelt werden.

Selbst wesentlich jüngere HW ist davon betroffen, siehe andere Posts.
Wenn du ausgezeichnet funktionierende HW als Museumshardware bezeichnest, ist das dein Fehler.

 

[xexex]

Es muss für keinen auf etwas verzichtet werden. Die "Extrawurst" gibt es bereits seit Jahren, es muss also auch nichts neues gebastelt werden.

Nur will man vielleicht die Extrawurst schlichtweg weglassen? Eine Extrawurst kostet Leistung, bietet ein zusätzliches Angriffsfeld und gehört eben zu den Altlasten die immer wieder bei Windows bemängelt werden.

Ergänzung (18. Juni 2021)

Selbst wesentlich jüngere HW ist davon betroffen, siehe andere Posts.

Ändert nichts an dem Punkt, ab den 100 Chipsätzen bei Intel sollte ein TPM Modul nachrüstbar sein und seit 6 Jahren ist TPM bei allen Notebooks Pflicht. Irgendwann muss man halt einen Schlussstrich ziehen und was wäre naheliegender, als es mit einem "neuen" OS zu verbinden?

 

[KitKat::new()]

Nur will man vielleicht die Extrawurst schlichtweg weglassen?

Scheinbar. Vielleicht - vielleicht auch nicht. Bisher alles Spekulation.

Eine Extrawurst kostet Leistung, bietet ein zusätzliches Angriffsfeld und gehört eben zu den Altlasten die immer wieder bei Windows bemängelt werden.

Eine minimale Altlast, die sich tatsächlich selbst entsorgt - im Gegensatz zu win32 und anderen Softwarealtlasten. Leistung und Angriffsfeld sind insbesondere für nicht-Betroffene Systeme vernachlässigbar.
Dem steht jede Menge obsoleszierte funktionstüchtige HW entgegen.

Irgendwann muss man halt einen Schlussstrich ziehen und was wäre naheliegender, als es mit einem "neuen" OS zu verbinden?

Jetzt imho ordentlich zu frueh, sollte es wirklich passieren

 

[mibbio]

Mein 1. PC und die Notebooks, das Tablet und der Mini-PC haben Sandy/Ivy Bridge und Haswell drin.

Das fTPM ist ja auch "nur" die Variante, die direkt von der CPU bereitgestellt wird. Auch ohne eine entsprechende CPU haben ja die meisten Boards auch einen TPM-Header, wo man ein entsprechendes Modul zwecks Nachrüsten draufstecken kann.

 

[Autokiller677]

Ist dein recht, nur wenn Microsoft auf 13 Jahre alte Hardware Rücksicht nehmen soll

TPM2.0 gibt's erst seit 2014. Da wird eher (heute) 5-6 Jahre alte Hardware zum Alteisen.

 

[Domi83]

Das macht nicht viel Sinn. Denn was bringt eine Verschlüsselung die jedem der den PC hochfährt Zugang gewährt.

Also die letzten zwei mit Bitlocker und via TPM verschlüsselten System haben auch nur das Windows Benutzerkennwort verlangt. Ich kam aber mit keinem anderen Tool (Acronis oder Macrium) an die Daten heran um mal ein Backup zu machen. Dass das nicht viel (oder gar keinen) Sinn macht, kann ich so auch nicht bestätigen.

Wie gesagt, persönlich präferiere ich die Eingabe eines Kennwortes für Bitlocker im Bootvorgang, so wie es TrueCrypt oder VeraCrypt gemacht hatten, aber irgend einen Sinn muss ja das mit Bitlocker + TPM verschlüsselte System ja auch haben. Oder ist hier gerade irgendwo ein Missverständnis?!

Gerade wenn ich daran denke, dass Microdoof vorschreiben will, dass TPM aktiviert ist.

 

[Kassenwart]

TPM2.0 gibt's erst seit 2014. Da wird eher (heute) 5-6 Jahre alte Hardware zum Alteisen.

Wie lange soll denn alte Hardware untertützt werden ? Ich finde 10 Jahre als ausreichend. Sprich was jetzt 6 Jahre alt ist läuft mit Windows 10 noch weitere 4 Jahre. Und bei Firmenkunden mit extended Support wahrscheinlich noch länger.