© best_vector/Shutterstock.com
Windows Developer
Secure Boot - das Fundament des sicheren Windows-10-PCs

Sicher von Anfang an

Mit Secure Boot wird erst die Voraussetzung für ein sicheres System geschaffen, denn ohne Secure Boot können schon beim Start Lücken entstehen. Auf diesem Fundament bauen alle anderen Sicherheitsmaßnahmen auf.

Thomas Huth


Informationssicherheit funktioniert nur, wenn alle Bereiche nach dem Prinzip „das schwächste Glied bricht die Kette“ abgedeckt sind. Das führt als Erstes zur Überlegung, Geräte wie PCs, Tablets, Notebooks und auch Server noch vor dem Betriebssystemstart selbst zu schützen. Für eine wesentliche Verbesserung sorgt hier Secure Boot mit UEFI als Ersatz für den veralteten Standard BIOS. Folgende Zutaten werden für Secure Boot benötigt:

UEFI Boot: UEFI bietet unter anderem den Vorteil kürzerer Start- und Wiederaufnahmezeiten sowie die Fähigkeit zur Nutzung von Sicherheitsfeatures wie „sicheren Start“ und werkseitig verschlüsselte Laufwerke. Damit wird verhindert, dass vor dem Laden des Betriebssystems nicht vertrauenswürdiger Code ausgeführt wird. UEFI bietet zudem eine einfachere Unterstützung großer Laufwerke, z. B. Festplatten mit mehr als vier Partitionen, Partitionen größer als 2 TB oder Festplatten mit 4 TB und mehr.

GPT-Partition: Die GPT-Partition wurde mit Windows 2003/XP eingeführt. Hier wird nicht mehr (nur) Master Boot Record (MBR) verwendet, sondern auch GUID Partition Table (GPT). Allerdings konnte nur die Itanium-Version mit Windows Server 2003 von GPT booten, richtig los ging es dann mit Vista/Windows Server 2008. Eine GPT-Partition hat die folgenden Eigenschaften: Sie erlaubt Partitionen größer als 2 TB und bietet eine erhöhte Zuverlässigkeit durch Replikation und Schutz durch Cyclic Redundancy Check (CRC) der Partition Table. Weiterhin bietet sie Unterstützung für zusätzliche Partitionen durch GUID-Partitionen. Diese werden durch OEMs, ISV und andere Betriebssysteme (OS) definiert (Abb. 1). Der schützende MBR-Bereich zu Beginn des GPT-Partitionsbereichs ist für eine Rückwärtskompatibilität eingerichtet.

Abb. 1: GPT-Disk

Nach dieser Einführung sieht man es klar: UEFI und GPT hängen irgendwie zusammen. So verwundert es kaum, dass man auf einem Rechner, den man im UEFI-BIOS-Modus bootet, die Fehlermeldung „Windows kann auf dem Datenträger nicht installiert werden. Der ausgewählte Datenträger entspricht nicht dem GPT-Partitionsstil.“ erhält, wenn es sich um eine ganz „normale“ Festplatte mit MBR-Partition handelt.

Umgekehrt ist ein im Legacy-BIOS-Modus gestarteter Rechner nicht davon zu überzeugen, eine GPT-Partition für eine Windows-10-Installation zu akzeptieren. Was schreibt Microsoft dazu? „Verwenden Sie auf Ihren Ziel-PCs vorformatierte Festplatten, wenn Sie Windows per Windows Setup oder Windows-Installations-DVD installieren. Nutzen Sie das GP...

Windows Developer
Secure Boot - das Fundament des sicheren Windows-10-PCs

Sicher von Anfang an

Mit Secure Boot wird erst die Voraussetzung für ein sicheres System geschaffen, denn ohne Secure Boot können schon beim Start Lücken entstehen. Auf diesem Fundament bauen alle anderen Sicherheitsmaßnahmen auf.

Thomas Huth


Informationssicherheit funktioniert nur, wenn alle Bereiche nach dem Prinzip „das schwächste Glied bricht die Kette“ abgedeckt sind. Das führt als Erstes zur Überlegung, Geräte wie PCs, Tablets, Notebooks und auch Server noch vor dem Betriebssystemstart selbst zu schützen. Für eine wesentliche Verbesserung sorgt hier Secure Boot mit UEFI als Ersatz für den veralteten Standard BIOS. Folgende Zutaten werden für Secure Boot benötigt:

UEFI Boot: UEFI bietet unter anderem den Vorteil kürzerer Start- und Wiederaufnahmezeiten sowie die Fähigkeit zur Nutzung von Sicherheitsfeatures wie „sicheren Start“ und werkseitig verschlüsselte Laufwerke. Damit wird verhindert, dass vor dem Laden des Betriebssystems nicht vertrauenswürdiger Code ausgeführt wird. UEFI bietet zudem eine einfachere Unterstützung großer Laufwerke, z. B. Festplatten mit mehr als vier Partitionen, Partitionen größer als 2 TB oder Festplatten mit 4 TB und mehr.

GPT-Partition: Die GPT-Partition wurde mit Windows 2003/XP eingeführt. Hier wird nicht mehr (nur) Master Boot Record (MBR) verwendet, sondern auch GUID Partition Table (GPT). Allerdings konnte nur die Itanium-Version mit Windows Server 2003 von GPT booten, richtig los ging es dann mit Vista/Windows Server 2008. Eine GPT-Partition hat die folgenden Eigenschaften: Sie erlaubt Partitionen größer als 2 TB und bietet eine erhöhte Zuverlässigkeit durch Replikation und Schutz durch Cyclic Redundancy Check (CRC) der Partition Table. Weiterhin bietet sie Unterstützung für zusätzliche Partitionen durch GUID-Partitionen. Diese werden durch OEMs, ISV und andere Betriebssysteme (OS) definiert (Abb. 1). Der schützende MBR-Bereich zu Beginn des GPT-Partitionsbereichs ist für eine Rückwärtskompatibilität eingerichtet.

Abb. 1: GPT-Disk

Nach dieser Einführung sieht man es klar: UEFI und GPT hängen irgendwie zusammen. So verwundert es kaum, dass man auf einem Rechner, den man im UEFI-BIOS-Modus bootet, die Fehlermeldung „Windows kann auf dem Datenträger nicht installiert werden. Der ausgewählte Datenträger entspricht nicht dem GPT-Partitionsstil.“ erhält, wenn es sich um eine ganz „normale“ Festplatte mit MBR-Partition handelt.

Umgekehrt ist ein im Legacy-BIOS-Modus gestarteter Rechner nicht davon zu überzeugen, eine GPT-Partition für eine Windows-10-Installation zu akzeptieren. Was schreibt Microsoft dazu? „Verwenden Sie auf Ihren Ziel-PCs vorformatierte Festplatten, wenn Sie Windows per Windows Setup oder Windows-Installations-DVD installieren. Nutzen Sie das GP...

Neugierig geworden?


    
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang