Windows 8 1.138 Themen, 15.398 Beiträge

News: Von Windows 8 gefordert

Aktueller Aldi-PC hat bereits umstrittenes UEFI Secure Boot

Michael Nickles / 18 Antworten / Baumansicht Nickles

Windows 8 wird sich generell auch auf älteren PCs installieren lassen, die Systemanforderungen sind quasi die gleichen wie bei Windows 7. Damit ein neuer Komplett-PC das Windows-8-Logo kriegt, muss er allerdings von Microsoft festgelegte Voraussetzungen erfüllen.

Eine davon ist das Vorhandensein eines UEFI-BIOS mit Secure Boot Option - also ein damit ausgestattetes Mainboard. Jetzt wurde bekannt, dass der neue Komplettrechner Medion Akoya P2410 D, der seit gestern bei Aldi-Nord für 499 Euro verkauft wird, diese Voraussetzung bereits erfüllt.

Das wird unter anderem von Heise gemeldet. Im Standard-BIOS-Setup des Rechners wurden Optionen zum Aktivieren von UEFI Secure Boot gesichtet.

Das Setup des im Medion-PC verbauten MSI-Mainboards fordert zuvor aber die Vergabe eines Administrator- und Benutzerpassworts. Die Passwörter müssen dabei zwangsläufig ein bisschen "kompliziert" sein.

Laut Heise ist Secure Boot beim neuen Aldi-PC im Auslieferungszustand nicht aktiviert. Auf jeden Fall ist klar, dass der aktuelle Medion-PC zwar der erste mit UEFI Secure Boot ist, aber gewiss nicht der einzige blieben wird. Höchstwahrscheinlich werden alle kommenden Komplettsysteme mit Windows 8 das haben.

Michael Nickles meint: Erster PC mit UEFI Secure Boot, im Auslieferungszustand nicht aktiviert. Warum nicht aktiviert? Ganz einfach deshalb, weil das erst ab Windows 8 unterstützt wird. Die Kunden des aktuellen Aldi-PCs werden sich also erst im Oktober mit diesem "Secure Boot" beschäftigen müssen, wenn Windows 8 kommt und sie von ihrem Recht gebrauch machen, das Windows 8 Upgrade im Rahmen des Upgrade-Programms für 15 Dollar (Euro?) zu kaufen (siehe Windows 8 Upgrade kostet 15 Dollar).

Das Stichwort "UEFI Secure Boot" wird natürlich jetzt auch alle zum Grübeln bringen, die ein neues Mainboard brauchen. Muss man dieses UEFI Secure Boot haben? Was bringt es? Generell ist es ein Sicherheitsmechanismus. Er soll verhindern, dass vor Start des Betriebssystems unerwünschtes Zeugs geladen wird.

Das kann neben Schadsoftware auch unerwünschte Treiber, Firmware oder ein anderes Betriebssystem sein. Dazu zählen auch Bootloader, also Mechanismen mit denen man auswählen kann, welches Betriebssystem gestartet werden kann.

Gemäß UEFI-Standard spielt sich "Secure Boot" nicht nur direkt im "BIOS" des Mainboards ab. Es ist auch erforderlich, dass auf der Festplatte ein sogenannter GUID Partition Table eingerichtet wird - das ist sozusagen ein Nachfolger des altbekannten "Master-Boot-Record".

Unterm Strich gilt schließlich: bei aktiviertem UEFI Secure Boot kann nur das vor dem Betriebssystem gestartet werden, was dazu berechtigt ist, einen "Erlaubnisschlüssel" hat. Und exakt diese "Erlaubnisschlüssel" gibt es nur von Microsoft.

Alle Macher von Linux-Distributionen sind also gezwungen sich bei Microsoft die Erlaubnis zu holen (zu kaufen) damit sie parallel zu Windows 8 auf einem Rechner gebootet werden können.

So eine Abhängigkeit stinkt den Linux-Leuten natürlich. Damit ist dieses UEFI Secure Boot eine zwiespältige Sache. Macht man es zu einem "offenen" Standard (wo jeder Schlüssel basteln kann), dann ist der Sicherheitsaspekt natürlich für die Tonne.

bei Antwort benachrichtigen
Xdata Michael Nickles

„Aktueller Aldi-PC hat bereits umstrittenes UEFI Secure Boot“

Optionen

Die Frage ist wozu..
-- warum in aller Welt tun die das?

Was soll denn am Booten unsicher sein, zumindest was soll daran sicher sein sich auf
ein
Betriebssystem zu fixieren, falls es beim Booten Unsicherheiten gibt.......?

Windows, von Microsoft, ist nun mal das am meisten verbreitete Betriebssytem.
Daher ist es, heißt es:
..Nur oder hauptsächlich deshalb sei es potenziell eher das Opfer von Angriffen.. und damit
ebenfalls potenziell unsicherer als - nicht so verbreitete.

Das heist die vermeintliche Sicherheit könnte
-- quasi über Nacht..
gecrackt sein - und man hat den Virus
-- als bleibenden Schaden fixiert im System.

Die Boot Angst scheint nur vorgeschoben, oder übertrieben dargestellt?

Viel unsicherer sind doch "smarte" BIOS die eher smart für Angreifer sind.

PS:

Dies erinnert stark an TCPA, was schon als abgechmettert galt.

Eine Hardware die das Betriebssytem vorschreibt, sollte man nicht kaufen!

Ein solcher Rechner bootet ja nichtmal mit Solaris oder so, falls diese nicht bereit sind Lizenzen zu zahlen. Ich würde das nicht tun wenn ich Oracle wäre. Und der Gesetzgeber MUSS es verbieten wenn es nicht abschaltbar ist.

bei Antwort benachrichtigen
Michael Nickles Xdata

„Die Frage ist wozu.. -- warum in aller Welt tun die das? Was...“

Optionen

Soweit bislang bekannt ist es doch abschaltbar.

bei Antwort benachrichtigen
Xdata Michael Nickles

„Soweit bislang bekannt ist es doch abschaltbar.“

Optionen

Nachtrag

Das beruhigt ungemein.

Aber dann ist der Bootvorgang anscheinend wirklich recht kritisch, wenn eine Lizenz (Zahlung) nötig ist um die Sicherheit des Secure Boot zu erhalten.

bei Antwort benachrichtigen
King-Heinz Michael Nickles

„Aktueller Aldi-PC hat bereits umstrittenes UEFI Secure Boot“

Optionen

Ein Board, auf dem nur Windows läuft! Ja, das hätten die Redmonder gerne!!!

Ich denke mal. dass dem ganz schnell ein Riegel vorgeschoben wird. Ich verstehe nicht, dass die Hardwarehersteller sich auf so einen Mist einlassen. Wenn der Gesetzgeber gegen diese Praktiken von MS irgendwann vorgeht, dann haben die nur einen Haufen Müll produziert, den niemand mehr kaufen will.

Warten wir mal ab, was dabei noch so rauskommt. Ich glaube kaum, dass da schon das letzte Wort gesprochen ist.

Gruß
K.-H.

„Die letzte Stimme, die man hört, bevor die Welt explodiert, wird die Stimme eines Experten sein, der sagt: ‚Das ist technisch unmöglich!’“ (Sir Peter Ustinov)
bei Antwort benachrichtigen
RodHot King-Heinz

„Ein Board, auf dem nur Windows läuft! Ja, das hätten die...“

Optionen

 

Ein Board, auf dem nur Windows läuft! Ja, das hätten die Redmonder gerne!!!

 ganz so simpel ist das doch ncht ;)

http://www.heise.de/open/artikel/Linux-und-UEFI-Secure-Boot-1623602.html

bei Antwort benachrichtigen
savalas RodHot

„ganz so simpel ist das doch ncht ;)...“

Optionen

Hatte Microsoft nicht schon rechtliche Probleme mit dem vorinstallierten Mediaplayer und Internet Explorer,..und rechtlich verloren!?

"No you're not hardcore! Unless you live hardcore! And the legend of the rent was way hardcore!" (Dewey Finn 2003)
bei Antwort benachrichtigen
RodHot savalas

„Hatte Microsoft nicht schon rechtliche Probleme mit dem...“

Optionen

Hatten sie und ich find das nach wie vor voellig absurd- vor allem wuerde ich gerne mal wissen in welchen Quellen diese Strafen versanden?

In der EU wohlgemerkt...

bei Antwort benachrichtigen
Acader King-Heinz

„Ein Board, auf dem nur Windows läuft! Ja, das hätten die...“

Optionen
King-Heinz schrieb:
Ich verstehe nicht, dass die Hardwarehersteller sich auf so einen Mist einlassen.

Das ist die eine Seite. Noch schlimmer ist aber wenn dieser "Dreck" dann auch noch gekauft wird.

Hier kann man nur an die Vernunft appelieren, denn das geht langsam zu weit.

MfG Acader

bei Antwort benachrichtigen
groggyman Acader

„King-Heinz schrieb: Ich verstehe nicht, dass die...“

Optionen

Moin
Warum schimpfst du so auf UEFI, es wird doch schon an passenden Lösungen gearbeitet. Es ist doch alles noch zu neu um abschliessende und fest gefahrene Meinungen zu äußern, oder ?

Das MS für sich immer nur das Beste will, war doch abzusehen und wenn W8 erst einmal drauf ist, gibt es kein zurück :-)  Aber es ist noch nicht aller Tage Abend, man kann den Spieß ja noch umdrehen und Linux zuerst auf die Platte bannen !

Ubuntuusers 


Golem

-groggyman-
 

bei Antwort benachrichtigen
Acader groggyman

„Moin Warum schimpfst du so auf UEFI, es wird doch schon an...“

Optionen
groggyman schrieb:
Warum schimpfst du so auf UEFI

Weil das kein Mensch braucht !

Der Link von den "uu" kenne ich nur zu genau.

Ich schreibe es hier nochmal:

"Weiterhin sollen die Hersteller die Aufnahme weiterer Schlüssel erlauben, um Anwendern die Möglichkeit zu geben, selbst angepasste Systeme zu starten."


Wollen wir alle hoffen das wenigstens dieser Wunsch auch in Erfüllung geht.

MfG Acader

bei Antwort benachrichtigen
robinx99 Acader

„groggyman schrieb: Warum schimpfst du so auf UEFI Weil das...“

Optionen

Zumindest der Aldi PC scheint ja eine Art Schlüsselmanagement im BIOS (Redet man bei UEFI Systemen eigentlich noch vom BIOS?) zu haben. Da es ein AMI BIOS ist wird es wohl auch bei mehr Rechnern so sein und nicht nur beim Aldi PC.
Interessant ist natürlich auch noch die Frage ob man den Microsoft Key vielleicht sogar entfernen kann, was auch dagegen Absichern würde falls der Microsoft Schlüssel mal Kompromittiert wird. Dann könnte man ein System schon Relativ gut gegen angriffe Schützen. Selbst wenn man Hardware zugriff hat bräuchte man erst mal eine Möglichkeit seinen Schlüssel zu ändern bzw. das BIOS Passwort zu löschen, was sicherlich machbar ist, aber Zeit benötigt. Stichwort: evil maid atack
Und auch wenn Viren auf Linux Systemen bisher eher eine Randerscheinung sind, so währe eine Absicherung durch UEFI sicherlich nicht völlig verkehrt und solange man eigene Schlüssel hinzufügen kann, so kann man seine Eigenen Bootloader / Kernel signieren bzw. man fügt die Schlüssel seiner jeweiligen Distribution zu dem System hinzu.

bei Antwort benachrichtigen
Acader robinx99

„Zumindest der Aldi PC scheint ja eine Art...“

Optionen
robinx99 schrieb:
so währe eine Absicherung durch UEFI sicherlich nicht völlig verkehrt und solange man eigene Schlüssel hinzufügen kann, so kann man seine Eigenen Bootloader / Kernel signieren bzw. man fügt die Schlüssel seiner jeweiligen Distribution zu dem System hinzu.

Es wäre vielmehr die Frage zu klären weshalb da überhaupt Änderungen vorgenommen werden sollten. Bisher ging es auch so und warum soll da eine unbedingte Veranlassung erforderlich sein.

MfG Acader

bei Antwort benachrichtigen
robinx99 Acader

„robinx99 schrieb: so währe eine Absicherung durch UEFI...“

Optionen
Es wäre vielmehr die Frage zu klären weshalb da überhaupt Änderungen vorgenommen werden sollten. Bisher ging es auch so und warum soll da eine unbedingte Veranlassung erforderlich sein.

Zusätzlicher Schutz vor Rootkits für die es momentan kaum Schutz gibt. Klar man hat Virenscanner, aber spätestens wenn jemand mit Hardware zugriff da war der das System von einem Fremden Medium gebootet hat hat sich das erledigt. So gibt es halt eine zusätzliche Barriere. Entweder muss der Rootkit Programierer zugriff auf einen Vorhanden Schlüssel haben oder er muss einen zusätzlichen Schlüssel im System ablegen. Und auch bei Hardware zugriff wird es schwerer dort ein Rootkit zu installieren, da man erst mal seinen eigenen schlüssel ablegen muss und dafür erst mal am BIOS Passwort vorbei muss, was schon mal zusätzliche zeit erfordert und man muss es auch noch unauffällig machen. (Der Besitzer könnte feststellen dass sein BIOS Passwort nicht mehr funktioniert, bzw. dass ein zusätzlicher Schlüssel abgelegt wurde und ob man jedes BIOS Passwort bei einem Notebook überhaupt simpel Resetten kann ist eine Andere Frage, selbst wenn es da einen CMOS Clear jumper geben soll, so bereitet dass öffnen zusätzliche Probleme)

Und da Rootkits / Bootkits immer mehr Verbreitung finden ist ein zusätzlicher Schutz nicht verkehrt. Auch wenn es sicherlich nur ein Teil eines Sicherheitskonzeptes sein kann und natürlich durch weitere Maßnahmen unterstützt werden sollte.

Ein UEFI System, dass zusätzliches Insallieren von Schlüsseln über das BIOS Menu erlaubt finde ich eigentlich gut. Es ist ein zusätzlicher Sicherheitsaspekt und schadet eigentlich nicht wirklich. Man muss halt vor der Installation einen extra Schlüssel im BIOS Ablegen, aber dass wird auch nicht so schwer sein. Immerhin kann mein Normaler PC ja auch schon ein Update Programm starten dass ein neues BIOS über einen USB Stick einlesen kann, da wird es wohl nicht schwer sein, dass man dann auch Schlüssel über das BIOS von USB Sticks einspielen kann.

Klar es fehlen noch Guides wie man seinen eigenen Schlüssel erzeugt und dann im System ablegt, aber die werden noch kommen und bis dahin wird man es auch ausschalten können. Etwas spannender wird es vielleicht in Firmen Netzwerken, mit Netzwerk Installationen (PXE BOOT), und der Frage wie man da den Schlüssel im System ablegt, aber vermutlich dürfte es auch nicht so schwer sein vor der Erst Inbetriebnahme den Schlüssel von einem USB Stick einzuspielen immerhin muss man ja vermutlich sowieso an das System da Netzwerkboot selten in der Standard Bootreihenfolge stehen dürfte.

bei Antwort benachrichtigen
Acader robinx99

„Zusätzlicher Schutz vor Rootkits für die es momentan kaum...“

Optionen
robinx99 schrieb:
Ein UEFI System, dass zusätzliches Insallieren von Schlüsseln über das BIOS Menu erlaubt finde ich eigentlich gut.

Hallo robinx99,

zum Glück gibt es da aber viele unterschiedliche Ansichten. Auch entstehen mit UEFI sehr viele Nachteile was man u.A. auch hier nachlesen kann. Was im Laufe der Entwicklung noch alles kommt ist noch gar nicht absehbar um diesen Mechanismus auszutricksen. Vielleicht wäre der Weg mit einer fest eingebauten Smartcard zur Nutzung der jeweiligen Hardware der bessere Weg. Nur wenn die jeweilge Smartcard im Schacht steckt kann auch nur dessen Besitzer auf die Hardware als auch auf die Software zugreifen und zwar unabhängig vom Betriebssystem. Netzwerkseitig müßte die Freischaltung dann natürlich auch nur durch den Besitzer erfolgen.

Ich finde diese Methode viel effektiver was die Sicherheit anbelangt und nachgedacht haben die Entwickler darüber wohl auch schon.

MfG Acader

bei Antwort benachrichtigen
robinx99 Acader

„robinx99 schrieb: Ein UEFI System, dass zusätzliches...“

Optionen

Was in dem Link steht stimmt einfach teilweise nicht.
Beispiele
1. Zitat: "Vorbei sind die Zeiten der grau-blauen Textwüsten im Setup-Tool. UEFI besitzt eine grafische Oberfläche, die an Windows und Linux erinnert." So und jetzt mal einen Blick auf die UEFI Oberfläche des ALDI PCs sieht immer noch so aus wie das Gute alte BIOS. Und selbst beim Klassischen BIOS gab es schon Grafische Modelle z.B.: AMI WinBIOS von 1994

2. Nur 64 Bit Systeme. Da bin ich mir auch ehrlich gesagt nicht so sicher. Wobei natürlich die Frage bleibt wo ist das Problem bei 64 Bit Systemen. Wir haben mitlerweile bei vielen Systemen die 4GB Grenze gesprengt und mit GPT Partitionen haben wir auch nicht mehr das Probleme mit der Partitionsgrenze (2,19TB Pro Partition aufgrund des Alten MBR). Davon abgesehen verschwindet auch die Begrenzung auf 4 Primäre Partitionen mit GPT (die hat mich schon oft genug genervt, wenn man neue Laptops kauft und da schon 4 Partitionen eingerichtet sind)

3. Die Gefahr aufgrund der Netzwerkunterstützung halte ich auch für weit her geholt. Vermutlich sind da keine Ports offen. Und ehrlich gesagt hat mein älteres System auch so ein "asus express gate" Funktion die mir auch Browser, Bildbetrachter etc. zur Verfügung stellt und da sehe ich momentan nicht warum da die Gefahr mit UEFI jetzt höher sein soll.

Also ehrlich gesagt sehe ich momentan keine Nachteile. Außer dass ältere OS Versionen nicht mehr Booten, aber dass Problem hat man auch mit dem BIOS wenn es keine Treiber mehr für Alte Versionen gibt, ich würde bei meinem Aktuellem System wohl auch scheitern Windows 98 zu installieren, da viele Treiber nicht Vorhanden sind und ich vermutlich nicht mal einen Treiber für den SATA Controller finden würde.

Klar es ist wichtig das man eigene Keys hinzufügen kann, aber dass scheint ja machbar zu sein (sieht man ja in dem Link oben). Und bis es genügend Anleitungen gibt kann man es auch Abschalten und danach hat man halt das zusätzliche Sicherheits Feature.

bei Antwort benachrichtigen
robinx99 Michael Nickles

„Aktueller Aldi-PC hat bereits umstrittenes UEFI Secure Boot“

Optionen

Naja so wie es bei Heise zu sehen ist http://www.heise.de/open/meldung/Aldi-PC-Erster-PC-mit-UEFI-Secure-Boot-im-Handel-1635550.html halte ich es eigentlich für sehr gut umgesetzt.
Man kann es abschalten wenn man es nicht nutzen will.
Man kann eigenen Schlüssel Hinzufügen somit kann man es auch für Linux Nutzen (entweder den Distributions Key Hinzufügen, oder falls man es lieber alles selber machen will kann man auch seinen eigenen Schlüssel hinzufügen)
Da die Screenshots ein AMI Bios zeigen ist es schon sehr Wahrscheinlich, dass es bei anderen PCs auch ähnlich läuft, vorallem ist AMI ja schon eine größe beim BIOS.

Vorallem dass man Offenbar eigene schlüssel hinzufügen kann macht die sache doch schon recht interessant

bei Antwort benachrichtigen
Anonym60 Michael Nickles

„Aktueller Aldi-PC hat bereits umstrittenes UEFI Secure Boot“

Optionen

Wer kauft den noch einen PC bei Aldi? Die schmeißen die Dinger  monatlich raus sodass die wie Blei in den Vitrinen liegen um später dann im Internet bei avalounge verkauft zu werden. Es steht zwar B-Ware dort aber es gibt auch Händler die neue Ware als B-Ware verkaufen um die Garantie einzuschränken.

bei Antwort benachrichtigen
Conqueror Michael Nickles

„Aktueller Aldi-PC hat bereits umstrittenes UEFI Secure Boot“

Optionen

Und wieder ein Rohrkrepierer mehr, ich will mit Bootloader macghen was ich will und mir nicht etwas von MS vorschreiben lassen.
Auf was dies hinausläuft weiß ich schon, MS ebenso............

bei Antwort benachrichtigen