Windows 11 – Secureboot, UEFI, TPM und der falsche Ansatz bzgl. Umweltschutz und Klimawandel

Viele Blogs und Artikel haben sich bislang bereits mit dem Thema Windows 11 beschäftigt. Seitens Microsoft gibt es einige verwirrende Fakten, die nicht nur bei Windowsbenutzern für einige Fragezeichen sorgen.

Alte Hardware wird ausgeklammert

Einerseits kommt es zu TPM und Secureboot-Pflicht (verstehe ich und das ist ja auch noch zumindest nachvollziehbar), andererseits werden einige teils noch recht aktuelle CPUs (u.a. 3 Jahre junge CPUs) -wenn es nach Microsoft geht – einfach und salopp gesprochen „in die Tonne geklopft“. Glaubt man so manchem Artikel, dann gibt weder Microsoft, noch AMD oder INTEL konkrete Auskünfte darüber, weshalb „ältere“ Prozessoren von Windows 11 nicht mehr unterstützt werden.

Auf Gizmodo liest man, dass es beispielsweise zu einer Ausklammerung der ersten Generation der AMD Ryzen CPUs kommt, da sie die Minimal-Hardware-Anforderungen nicht erfüllen und Windows 11 dadurch vermehrt sogenannte „Kernel-Mode-Crashes“ zu verzeichnen hätte. Hingegen hätte man mit CPUs, die den Minimalanforderungen entsprechen zu 99.8% keine derartigen Abstürze.

Originalauszug:

AMD’s first-gen Ryzen chip didn’t make the chopping block. “After carefully analyzing the first generation of AMD Zen processors in partnership with AMD, together we concluded that there are no additions to the supported CPU list,” writes Microsoft. The company adds that devices that didn’t meet the minimum hardware requirements “had 52 percent more kernel mode crashes” in Windows 11, whereas those that met the minimum hardware requirements “had a 99.8 percent crash-free experience.”

Unterstützt werden laut Microsoft folgende Prozessoren (Quelle: Microsoft):

Unterstützte CPUs – Windows 11

 

Was ist außer einer kompatiblen CPU noch nötig, um Windows 11 betreiben zu können?

Nebst teils recht aktueller CPU, müssen noch folgende Hardwareanforderungen (Minimalanforderunge) erfüllt werden.

  • RAM: 4GB
  • Festplatte/SSD: Mindestens 64GB
  • Mainboard: Secure Boot muss vorhanden und aktiv geschaltet sein.
  • Mainbord: Ein TPM (trusted platform module) – Version 2.0 –  muss vorhanden und aktiv geschaltet sein.
  • Mainboard / OS Installation: Das System muss im UEFI Bootmode laufen / Die Windowsinstallation muss im UEFI Modus durchgeführt worden sein.

RAM

4GB sind an sich nichts Besonderes. Im Zweifelsfalle könnte man das System aufrüsten. Keine große Sache!

Festplatte / SSD

Auch die Festplatte bzw. SSD kann man jederzeit gegen ein größeres Modell tauschen. Abgesehen davon: Normalerweise hat man heutzutage keine 64GB Systemplatte im PC laufen. Somit stellt auch diese Anforderung kein Problem dar.

Secure Boot (u.a. betreffend Linux und ältere Betriebssysteme)

Secure Boot ist ein Sicherheitsfeature, welches über das Bios des Mainboard aktiviert werden muss. Wie / wo genau im Bios diese Option zu aktivieren ist, hängt vom verwendeten Mainboard ab. Es verhindert, dass während der Bootphase des PCs unsignierter Code ausgeführt wird. Daraus wird klar, dass Bootloader (wie z.B. Grub2 unter Linux) nur signierte Linuxkernel booten dürfen.

Hat man also ein Betriebssystem installiert, welches keinen signierten Kernel bootet, wird der Start des Betriebssystems bei nachträglichem Aktivieren der Option „Secure Boot – enabled“, nicht gelingen. Linuxdistributionen müssen vor Aktivierung des Secureboot angepasst werden. Folgende Pakete sind beispielsweise bei einem Debian GNU Linux (nach) zu installieren:

  • shim-signed
  • grub-efi-amd64-signed
  • grub-efi-ia32-signed
  • ein Originallinuxkernel der verwendeten Distribution

Wichtig: Das System muss im UEFI Modus booten & auch im UEFI Mode installiert sein!

Anmerkung: Seit Debian GNU Linux Version 10 wird Secure Boot unterstützt.

UEFI Modus (Boot)

Um den UEFI Bootmodus verwenden zu können, muss dieser im Bios des Mainboard aktiviert werden. Wie auch bei der oben beschriebenen Option „Secure Boot“, hängt es vom Mainboardhersteller ab, wo diese Option im Bios „versteckt“ ist.

Wichtig: Sofern euer Betriebssystem NICHT im UEFI Modus, sondern im sogenannten alten „legacy Mode“ installiert wurde, kann man nicht einfach auf den UEFI Modus umschalten. In der Regel wird ein installiertes Betriebsystem dann nicht mehr booten! Sofern euer System im UEFI Modus neu installiert werden soll, ist zuerst die Option im Bios zu aktivieren und – im Falle von Debian GNU Linux – ein bootbarer USB Stick im „UEFI Modus“ zu booten. Die Auswahl des zu bootenden Modus erhält man beim Bootmenü des USB-Sticks.

TPM 2.0

Wie sicherlich bereits vermutet, ist auch TPM 2.0 über das Bios zu aktivieren. TPM = Trusted Platform Module. Es dient u.a. zur eindeutigen Identifizierung eines PC. Genauere Details: Wikipedia

Mein Fazit zu den Anforderungen (abseits der CPU)

Da jedes halbwegs moderne Motherboard und Gott sei Dank auch diverse Linuxdistributionen Secureboot und UEFI unterstützen, wäre das für mich noch nicht der große Aufreger. Diese Funktionalität halte ich sogar für sinnvoll!

Bei TPM sieht es anders aus. TPM kann zur Sicherheit beitragen, jedoch auch missbraucht werden. Aufgrund der eindeutigen Identifizierbarkeit von Endgeräten und der vorhandenen Möglichkeit Anwendungen gezielt auszusperren (Sicherheit vs. Bevormundung des Anwenders) halte ich die TPM Pflicht für fragwürdig.

In Summe aber dennoch keine großen Aufreger, was meine Person betrifft.

Mein Fazit zu den Anforderungen bezüglich die CPU

Hier wird mir schon etwas „wärmer“, muss ich sagen… denn:

Klimaziele verfehlt Nummer 1

Klimaziele verfehlt Nummer 2

usw. usf.

Die Liste könnt noch elendslange weiter gehen. Wir verfehlen unsere Klimaziele. Jahr für Jahr, immer wieder… immer wieder gibt es Lippenbekenntnisse, wie toll man nicht zukünftig arbeiten will, um die Umwelt und die nächsten Generationen zu schützen. Ich kann es langsam schon nicht mehr hören!

…da kommt Microsoft daher

und meint ein neues Betriebssystem einführen zu müssen, das aufgrund der (für mich nicht nachvollziehbaren) Anforderungen CPUs jungen Semesters als unbrauchbar tituliert und dem geneigten updatewilligen Windowsuser, der seine Hardware länger nutzen will, auf diese Weise eine ins Gesicht klatscht, dass es gleich so scheppert.  Als wäre es nicht genug, dass man

  • mit „10“ immer wieder massive Probleme mit der Qualität der monatlichen Updates hat.
  • in letzter Zeit annähernd monatlich Workarounds zu tätigen hat, da es MS nicht schafft, einen Patch zu bringen, der Probleme wirklich löst. (Administratoren, die ohnehin oft an der Belastungsgrenze sind,  dürfen hinter MS „nachbessern“).
  • noch immer keine Möglichkeit hat, sämtliche installierten Standardprogramme via Paketmanager zentral auf aktuellstem Stand zu halten.
  • verlautbart, dass man „11“ auch noch auf alten CPUs installieren kann (Workaround), durch Einsatz des Workaround dann aber keine Updates mehr bekommt.

Die Kernaussage für mich ist: „Wenn ihr das Pech habt, „11“ wollt und eine nicht supportede CPU habt, dann kauft euch doch gefälligst neue Hardware, die von „11“ unterstützt wird. Was mit euren alten Komponenten wird, spielt doch keine Rolle! Hauptsache wir kurbeln den Hardwaremarkt an!

  • Corona, Engpass bzgl. Elektronik, Hardware?
  • Umweltschutz, Klimawandel, Müll?
  • Seltene Erden, Umgang mit noch funktionierender recht aktueller Hardware?

We don’t care!

Ich für meinen Fall werde nebst Debian GNU Linux, Windows 10 noch bis Supportende (2025) verwenden und dann endgültig auf Windows verzichten.

Appell an euch da draußen

Bevor ihr eure Hardware wegschmeißt, weil „11“ nicht mehr bei euch läuft:

Schaut euch eine der vielen Linuxdistributionen an. Sofern man nicht auf Spezialsoftware angewiesen ist, die ausschließlich auf Windows läuft, ist „Linux“ mittlerweile wirklich eine sehr gute, sichere Alternative. Ggf. könnte man hier sogar auf Windows innerhalb einer VM die unter Linux läuft zurückgreifen. Dann hätte man Windows im Fenster. 😉

Dank Steam (Proton) lässt es sich unter „Linux“ mittlerweile auch sehr komfortabel spielen.

Es ist defintiv einen Versuch wert!

März 2020 Patchday: [VERSCHOBEN!] LDAPS wird forciert – Ohne Vorbereitung massive Auswirkungen auf das Domänennetzwerk?

Wie Heise berichtet, war angedacht im Zuge des Märzpatchday gravierende Änderungen an der Konfiguration bzgl. die Kommunikation im Active Directory vorzunehmen. Dies wurde nun aber auf „später im Jahr“ verschoben.

Folgendes gilt aber noch immer: Wer bislang noch die unverschlüsselte Kommunikation Port (Port 389) nutzt, erlebt nach dem Einspielen des jetzt verschobenen Patches ggf. eine böse Überraschung.

Weiterlesen

Windows 10 und WSUS – Server 2012: Produkte und Klassifizierungen

Heute gibts ausnahmsweise mal wieder ein Windowsthema.

Wir befinden uns auf dem WSUS – Server 2012 und wollen die Produktkategorien für Windows 10 wählen, für die der Server die Updates von MS holen soll.

Gar kein Problem! Mal „schnell“ durchgeklickt und schon kann man sich wieder den wichtigen Dingen des Adminlebens widmen.

Wenn man sich dann allerdings folgendes anschaut…

und vielleicht noch dazu nicht permanent mit der Thematik der verschiedenen Zweige Releases und Releasevarianten beschäftigt ist, hat man womöglich ein Problem damit, die relevanten Windows 10 Einträge auszuwählen.

Es gibt einige Beiträge zu diesem Thema:

Es scheint jedenfalls so zu sein, dass sehr viele Admins nicht zu hundert Prozent sicher sind, welche Häkchen hier die richtigen sind.

Die Informationen aus den Artikeln, ergeben für mich folgendes Bild:

  • Windows 10 and later drivers: Treiber für alle Windows 10 Versionen, die jedoch nur im normalen laufenden Betrieb installiert werden. Nicht aber, im Zuge eines Inplace Upgrades.
  • Windows 10 and later Upgrade & Servicing drivers: Treiber die auch im Zuge eines Dynamic Updates zum  Einsatz kommen. (Von einem Win 10 Build zum nächsten). Wird im Zuge eines Inplace Upgrades benötigt. Beinhaltet auch Treiber, die für spätere Win 10 Versionen gedacht sind!
  • Windows 10 Anniversary Update and later Servicing Drivers: Treiber die nur für die Version 1607 gelten. Es werden keine Treiber für spätere Upgrades vorgehalten. Die Treiberwartung für die aktuelle Windowsversion (1607) ist aber inkludiert.
  • Windows 10 Anniversary Update and Later Upgrade & Servicing Drivers: Treiber die auch im Zuge eines Dynamic Updates zum  Einsatz kommen. (Von Build 1607 zum nächsten). Wird im Zuge eines Inplace Upgrades benötigt. Es werden auch Treiber für spätere Upgrades vorgehalten.
  • Windows 10 Anniversary Update Server and Later Servicing Drivers: Betrifft Server 2016
  • Windows 10 Dynamic Update: Beinhaltet Updates, die im Zuge eines Inplace-Upgrades (von einer Win 10 Version zur nächsten) benötigt werden könnten.
  • Windows 10 Feature On Demand: Korrespondiert mit den Programmen / Features, die unter Windows 10 nachinstalliert werden können, wobei die Installationsfiles in dem Fall vom WSUS-Server geholt werden. (wenn angehakt)
  • Windows 10 GDR-DU LP: Sprachpaket, welches bei einem dynamischen Update (Inplace Upgrade) Verwendung findet und nur für das General Distribution Release gilt.
  • Windows 10 GDR-DU: Updates die nur verwendet werden, wenn ein dynamisches Update eines GDR Version durchgeführt wird.
  • Windows 10 Language Interface Packs: Für mich unklar, ob notwendig?
  • Windows 10 Language Packs: Für mich unklar, ob notwendig?
  • Windows 10 LTSB: Gilt nur, wenn Long Term Servicing Branch eingesetzt wird. Also ab Windows 10 Enterprise!

Verwirrung…?!

Vielleicht geht es ja nur mir so, aber ich finde das alles sehr kompliziert.

Der WSUS ist meiner Meinung nach ein hochwichtiges Instrument, um Windows Clients im Unternehmensnetzwerk aktuell halten zu können. Deshalb sehe ich es als essentiell an, dass es hier klar zu erkennende Strukturen gibt.

Ach wäre da doch nur eine wenig mehr „apt-get Infrastruktur“ dahinter…

Fazit (und das ist nur MEINE Meinung)

Mit der LTSB-Branch hat man als Firma einfach mehr Freude, muss aber natürlich auch tiefer in die Tasche greifen – Stichwort: Windows 10 Enterprise + Volumenlizenzvertrag.

Die Pro-Version und niedriger scheint zur Spielwiese degradiert zu werden.

Ich lehne mich mal weit aus dem Fenster und sage, dass die PRO Version bald nicht mehr mit „Firmeneinsatz“ in Verbindung gebracht werden wird.

Zeit für „Linux@Desktop!“ 😛

 

 

 

Kostenloses Windows 10 Upgrade im Unternehmen

Gerade in Klein- und Mittelbetrieben hat man oft noch SB/OEM Lizenzen von Windows im Einsatz und kann nicht auf Volumenlizenzen mit Software Assurance zurückgreifen.

Macht es in diesem Zusammenhang Sinn, auf das bis Ende Juli 2016 kostenlose Windows 10 zu aktualisieren?

Der erste Impuls ist vermutlich „kostenlos“ – ja klar, warum nicht. Man spart dem Unternehmen Geld. (Natürlich nur, wenn die installierte Software auch unter Windows 10 läuft).

Hardwaretausch

Was man allerdings unbedingt im Hinterkopf behalten sollte ist, dass offenbar noch immer nicht geklärt ist was passiert, wenn man Windows 10 (per kostenlosem Upgrade) installiert hat und die Hardware tauscht.

Es ist nicht klar, ob Windows 10 in einem solchen Szenario auf der neuen Hardware überhaupt aktiviert werden kann!

Laut Gabe Aul (Tweet) wird man versuchen kulant vorzugehen.

Es gibt jedoch KEINE definitive Ausage darüber. Selbst ein Anruf bei der MS-Hotline hat mich nicht weiter gebracht:

…diese Information haben wir noch nicht. Die Leute, die das entscheiden, sind nicht per Telefon erreichbar… es wird gehofft, dass MS hier einen gangbaren Weg findet…

Nachgefragt bei einem großen österreichischen IT-Anbieter, der auch auf Lizenzierung spezialisiert ist:

…wird die Hardware getauscht, erlischt die Lizenz. Windows 10 muss gekauft werden.

Nach dem kostenlosen Upgrade auf Windows 10 wird ein generischer Productkey erstellt.

Dieser Key kann NICHT zur Neuinstallation verwendet werden.

Die Aktivierung von Windows 10 erfolgt mittels Hashwert, basierend auf der aktuell eingesetzten Hardware.

Tauscht man die Hardware (den ganzen PC, oder z.B.: das Mainboard), ist diese Aktivierung nicht mehr gültig. Windows 10 kann somit nicht mehr aktiviert werden.

Im Internet kursieren teilweise Berichte darüber, dass eine erneute Aktivierung per Hotline ab und zu möglich ist. (Je nachdem, ob man einen kulanten Hotline-Mitarbeiter erwischt).

Für mich ist das aber eher wie russisches Roulette…

Aus dem durchwegs nachvollziehbaren Gedankengang (s)einem Unternehmen durch das kostenlose Upgrade Geld zu sparen, könnte also nichts werden.

Was bringt es kostenlos zu aktualisieren, nur um dann bei späterem Austausch der Hardware festzustellen, dass man Windows 10 nicht installieren kann und eine neue Lizenz erwerben muss? Viel Arbeit, wenig Sinn…

Fazit

Wer in den Genuß des kostenlosen Upgrades kommen will, muss bis spätestens 29. Juli 2016 auf Windows 10 upgraden. Tauscht man allerdings die Hardware aus und muss Windows 10 neu installieren, ist nicht sichergestellt, dass eine erneute Aktivierung möglich ist.

Im worst-case muss man sich eine Windows 10 Lizenz kaufen.

Verschärfend kommt hinzu, dass MS unter Windows 7 und 8.1 die neuen Prozessorgenerationen (z.B. Skylake) ab Juli 2017 nicht mehr supported.

Man ist unter Zugzwang, sofern nicht auf alternative Betriebssysteme umsteigen kann.

 

Windows 10 Preview, News und Installation

Microsoft wird demnächst Windows 10 freigeben. Genau genommen am 29. Juli 2015. Obwohl ich schon länger beim „Windows Insider Programm“ angemeldet bin, habe ich erst jetzt der Neugierde nachgegeben. Einerseits könnte ich „10“ auch in die VM bannen, andererseits -dachte ich- führt mein relativ junges Asusnotebook ein ruhiges Leben. Zu ruhig!

Nach dem Erstellen eines Festplattenimages (vielleicht will ich ja wieder zurück auf das installierte Windows 8.1) und dem Brennen des Windows 10 ISO auf eine DVD, geht es auch schon los.

Zuerst mal von 0 weg

Windows 10 kann als Upgrade für bestehende 7er und 8er Versionen verwenden werden, es kann aber auch eine Neuinstallation durchgeführt werden. Erwähnte Neuinstallation interessiert mich nun beim ersten Anlauf. Welche Treiber „holt“ sich Windows 10 automatisch? Wie sieht es mit der Treiberunterstützung meines ASUS X555L aus?

Die Installation verläuft gewohnt unspektakulär. Möglichst wenig Benutzerinteraktion, gepaart mit sehr geringem Zeitaufwand. Nach wenigen Minuten begrüßt mich der Desktop mit dem „neuen“ Startmenü. Das Menü selbst ist eine Kombination des Windows 7 + Windows 8 Stils (klassisch + Kacheln). Gefällt mir ganz gut.

Schade nur, dass MS diesen Schritt nicht schon bei Windows 8 vollzogen hat. Bereits damals wäre für mich der einzig logische Schritt gewesen, dem Anwender die Wahl zwischen „Classic“ und „New UI“ zu geben bzw. -je nach Endgerät- eine Tabletversion / eine Desktop-PC-Version zur Verfügung zu stellen. Aber gut, dem war nicht so…

Out of the box Treibersupport

Wie es scheint, habe ich nach der Installation jedenfalls eine WLAN Verbindung, die zur Verfügung steht und auch Soundausgabe. Ein Verbindungsversuch mit dem WLAN Router verläuft erfolgreich. Der Blick in den Gerätemanager ist dann doch etwas ernüchternd. Bis auf das WLAN + Sound wurde nichts Essentielles erkannt. Gut, bislang stand ja auch keine Internetverbindung zur Verfügung.

Langer Rede kurzer Sinn: Ich lasse per Gerätemanager über das Internet nach Treibersoftware suchen. Fündig wird das System nur bei der Nvidiagrafikkarte. Damit bin ich nun zwar „im Bilde“, dennoch schlage ich den konventionellen Weg ein und hole mir von der Asusseite die -für das Notebook aktuellsten- Windows 8.1 Treiber…

Beginnen wir doch mit dem Chipsetdriverpaket… Zack… Bluescreen…

…hm… naja 1x probier ichs noch … Bluescreen…

Ein Blick auf die Uhr 00:35 lässt mich die Segel streichen.

Ich bin mir relativ sicher, dass ich – hätte ich mehr Zeit in die Neuinstallation gesteckt – ein läuffähiges (komplett installiertes System) erhalten hätte. Dennoch möchte ich mich im Folgenden dem Upgrade widmen.

Versuchen wirs mit dem Upgrade von Windows 8.1

Dank meines Imagingtools kann ich die Originalinstallation (Windows 8.1) innerhalb von relativ kurzer Zeit wiederherstellen. Direkt aus Windows 8.1 heraus, starte ich anschließend das Setup.exe von der Windows 10 DVD. (Upgrade unter Beibehaltung aller Daten).

Wie auch bei der Neuinstallation, macht das System fast alles im Alleingang. Der Upgradevorgang dauert (logisch) um etliches länger wie die Neuinstallation.

10

 Ich kann an dieser Stelle eigentlich gar nichts Spektakuläres berichten. Die Festplatte rattert, die Prozentanzeige nähert sich irgendwann dann doch der 100% Marke… Am Schluss habe ich ein Asus X555L komplett fertig installiert, wobei alle Treiber von der 8.1 Installation übernommen wurden.

Interessant finde ich ausserdem, dass es wohl eine Art „rolling release“ (Windows Insider) und eine „stable“ Version geben wird…

Kommt mir ja von Debianseite her sehr bekannt vor (testing/stable). 🙂