Neue Techniken in Windows 8

Der Systemschutz Secure Boot

von - 31.08.2012
Ein spezieller Chip prüft beim Start die Integrität von Windows, Hardware und Treibern.
In Windows 8 ist die neue Sicherheitstechnik Secure Boot implementiert. Sie soll gewährleisten, dass sich keine Viren in den Startvorgang von Windows einklinken. Voraussetzung für Secure Boot ist ein PC, der mit UEFI ausgestattet ist und einen TPM-Chip (Trusted Platform Module) eingebaut hat. Der TPM-Chip enthält die Hash-Werte, also die Prüfsummen der UEFI-Firmware, des Windows-Bootloaders, des Kernels und der ELAM-Treiber (Early Launch Anti Malware). Die ELAM-Treiber wiederum sind Teil künftiger Virenscanner. Sie werden bereits ganz am Anfang des Boot-Prozesses geladen. Avast 7 zum Beispiel enthält bereits ELAM-Treiber für Windows 8.
Der sichere Start läuft in mehreren Phasen ab. Als Erstes überprüft UEFI den eigenen Hash-Wert mit dem, der im TPM-Chip hinterlegt ist. Wenn beide übereinstimmen bedeutet das, dass die UEFI-Firmware nicht verändert wurde und okay ist.
Dann wird die Firmware der Hardware kontrolliert — etwa der Grafik- und der Netzwerkkarte — und UEFI überprüft, ob der Windows-Bootloader oder der Kernel eventuell manipuliert wurden. Ist alles in Ordnung, lädt der Kernel die ELAM-Treiber. Die Echtheit der Virenschutzsoftware wird ebenfalls anhand eines Hash-Werts geprüft. Die Schutzsoftware überwacht anschließend den weiteren Systemstart.

Startverbot für Live-CDs

Secure Boot verhindert womöglich die Installation von Linux auf PCs mit Windows 8 — und auch den Start von Live-CDs.
Obwohl Secure Boot ein vielversprechender Ansatz zu sein scheint, Schadsoftware abzuwehren, handelt man sich damit auch Probleme ein. So behauptet die Linux-Gemeinde, dass sich auf einem PC mit Secure Boot nur noch Windows installieren ließe. Denn der Linux-Kernel hat natürlich einen anderen Hash-Wert als der Windows-Kernel. Ein PC würde auch von keiner Live-CD mehr starten, weil der Hash-Wert des Bootloaders nicht im TPM-Chip hinterlegt ist. Das bedeutet, Sie könnten künftig weder die System Rescue CD noch Gparted starten.
Derzeit ist noch unklar, ob die Mainboard-Hersteller in UEFI eine Option einbauen, die Secure Boot ausschaltet.
Verwandte Themen