Windows Microsoft Windows 11 sperrt bald alte Prozessoren aus die nativ nicht unterstützt werden

Windows Betriebssystem
Wenn schon das Boot-Image kompromittiert sein kann, bringt jede andere Maßnahme wenig.
Irgendwem muss man ja glauben. MS und Intel […]
Nein, muss man nicht.

Ich hab´s hier manchmal schon in Erinnerung gerufen (und nicht immer Zustimmung geerntet):
Leute, macht Coreboot auf Eure Geräte!
Dann seid Ihr diejenigen, die Kontrolle sowohl über Zertifikat und Schlüssel, als auch über ein (un-)kompromittiertes Boot-Image haben (via Heads z.B.). Dann ist es nicht MS oder Intel (oder Apple), die Euch eine (sichere) Inbetriebnahme erlauben (oder verbieten), und jenseits dessen seid ihr unabhängig von einer Netzwerkverbindung.

Ich weiß, das ist keine Lösung für alle. Aber mittlerweile ist´s auch kein Hexenwerk mehr. Wer Heads nicht selber kompilieren mag (oder kann), kann fertige Images auch über Nitrokey beziehen (dann natürlich nur für die Geräte, die die auch verkaufen). Mittlerweile ist selbst die Aktualisierung aus Heads heraus bedeutend einfacher zu bewerkstelligen als z.B. auf mancher Hardware, deren UEFI von "American Megatrends" stammt ...
 
Da es inzwischen Angriffsvektoren für Ring -2 (zumindest für AMD) gibt ist Coreboot dann auch vergebene Liebesmüh. Im Endeffekt muss ich spätestens dem Hardwarehersteller vertrauen und dann am Liefertag des Netzteils Coreboot installieren, ohne das die Kiste vorher großartig was fremdes gesehen hat. Zumal die Infektion sich nicht ohne externe Hardware feststellen lässt, der Kernel ja Ring 0 ist.
 
Ich bin von einem 2015er T450s auf ein 2022er T14s Gen3 AMD umgestiegen, und die CPU Leistung hat sich ich glaube verachtfacht in der Zeit... Gleiche Geräteklasse, ähnliche TDP. Das neue ist aber dünner und leiser auch noch. Würde ich schon als massiven Sprung bezeichnen.
Ich hab sehr GPU lastige Dinge, da merkst du den Unterschied bei CPUs wirklich nicht all zu sehr. Hatte das schon auf neuen Firmenlaptops laufen und zumindest die CPU spielt da kaum eine Rolle. GPU ist viel entscheidenter.

Mal abgesehen von meinem Use-case, gibt es viele, die kaum Dinge machen, die überhaupt die Hardware an ihre Leistungsgrenzen führt. Gaming ja, Compilieren ja, Video Rendern ja,....aber es gibt genug, die nur den Browser nutzen und ab und zu nen Text schreiben.
Beitrag automatisch zusammengeführt:

Ich weiß, das ist keine Lösung für alle. Aber mittlerweile ist´s auch kein Hexenwerk mehr. Wer Heads nicht selber kompilieren mag (oder kann), kann fertige Images auch über Nitrokey beziehen (dann natürlich nur für die Geräte, die die auch verkaufen). Mittlerweile ist selbst die Aktualisierung aus Heads heraus bedeutend einfacher zu bewerkstelligen als z.B. auf mancher Hardware, deren UEFI von "American Megatrends" stammt ...
Von welchen Endnutzern gehst du hier aus? Für die meisten "normalen" (=nicht Nerds) Nutzer, ist schon die Vorstellung ein fremdes OS zu installieren unvorstellbar "komplex". Vom BIOS brauchen wir da gar nicht erst anfangen.
 
Da es inzwischen Angriffsvektoren für Ring -2 (zumindest für AMD) gibt
Gibt es auch bei Intel, gab es meines Wissens (zeitlich) sogar noch vor AMD.

Ich nehme an, Du meinst mit "Ring -2" den "System Management Mode". Das ist genau der Layer, auf dem potentielle Angreifer nicht weiter kommen, wenn Du Coreboot sauber installierst.

Aber es gibt ja noch Ring -3 (Intel Management Engine [ME] resp. AMD Platform Security Processor). Das ist die Ebene, auf der über ein Minix ein kompletter Netzwerk-Stack adressierbar ist (und alle darunterliegenden Layer). Das ist mit hoher Wahrscheinlichkeit die Ebene, auf der ein APT implantiert wird.
Ein Implant muss aber lokal, vor Ort passieren. "Evil Maid". Deswegen Heads.

Die Intel ME lässt sich bis auf ein paar wenige, für den Bootvorgang unabdingbare Bits, herausoperieren, ohne funktionale Nachteile (insofern "startet schneller" nicht als Nachteil zu werten ist). Bei der 00er-Serie (also X200, T400 …) sogar komplett.
Und: Du kannst ja (mindestens bei den älteren Geräten) auch am EC herumschrauben.

Sollte es allerdings Gründe geben, die Dich vermuten lassen, dass Du weit oben auf der Liste einer potenten (staatlichen) Entität stehst, und diese Liste bezeichnet Personen, die die Entität nicht mag – dann machst du Dir besser über andere Dinge einen Kopf.
Beitrag automatisch zusammengeführt:

Von welchen Endnutzern gehst du hier aus?
Von Euch :)
 
Zuletzt bearbeitet:
Mal abgesehen von meinem Use-case, gibt es viele, die kaum Dinge machen, die überhaupt die Hardware an ihre Leistungsgrenzen führt. Gaming ja, Compilieren ja, Video Rendern ja,....aber es gibt genug, die nur den Browser nutzen und ab und zu nen Text schreiben.
Das stimmt natürlich. Es trifft u.a. auch auf alle Menschen in meinem privaten Umfeld zu, die ich mit PCs versorge - durchweg mit Geräten vom Gebrauchtmarkt. Und wenn die Mühlen dann mal so alt geworden sind, dass es z.B. mit Treibern oder Updates in neueren Betriebssystemen (ja, Windows 😉) knifflig wird, werden sie von mir durch jüngere gebrauchte ersetzt.

Typischerweise sind die PCs 5 Jahre oder etwas älter, wenn ich sie kaufe und werden dann so ca. 4-6 Jahre genutzt. Das war auch schon vor den Zeiten von Windows 11 so und hat sich dadurch jetzt nicht großartig geändert.
 
Wenn ich so paranoid bin, dass ich auch den Nitrokey-Leuten nicht traue, dann kompiliere ich (wie oben erwähnt) selbst.
Ok, das setzt voraus, dass man den gesamten Quellcode auch selbst prüfen kann.
Das können dann wohl - Hand aufs Herz - wirklich nur eine Hand voll Menschen in annehmbarer Zeit.
Oder man verlässt sich auf andere ... damit sind wir dann bei zB der Lücke in SSH sind; hat bis dahin niemand wirklich entdeckt.
Geschweige denn in Frage gestellt, obwohl viel genutzt und OpenSource.

Verstehe mich nicht falsch, ich bin kein Fan von proprietären Methoden, die eine gewinnorientierte Firma verwaltet - mir fällt aber auch keine bessere Lösung ein.
Wie @Korfox schrieb, muss ich ja mindestens mal dem CPU-Hersteller vertrauen...
 
Zumindest in den Code der PSP von AMD wurde schon reingeschaut, hatte dazu mal einen Vortrag auf YT gesehen, und ich paraphrasiere: "Man hat keinen gefährlichen Code darin gefunden".

Es war dieser hier:
 
Leute, macht Coreboot auf Eure Geräte!

Und dann installiere ich doch wieder Windows. Wenn ich eh Microsoft in der Hinsicht vertraue, stören mich auch die SecureBoot Keys im UEFI nicht.

Nebenbei wäre die Frage, ob ich CoreBoot überhaupt so konfiguriert bekomme, dass ich dann ein Windows 11 ohne irgendwelche Tricks installieren und starten kann.

Ich weiß, das ist keine Lösung für alle.

Man muss ein unterstütztes Gerät haben, man muss eigentlich dann ein Linux nutzen wollen und man muss "verrückt" genug sein, um das gegen alle Widerstände auch durchzuhalten.

Eigentlich ist das also weiterhin eine Lösung für eine sehr, sehr kleine Gruppe von Leuten.
 
Allerdings nur hinsichtlich Multicore. Viele Anwendungen unterstützen das aber leider nicht, und die Single-Core-Leistung liegt oft nur 30-50% höher, wofür ich mir nicht unbedingt ein neues Gerät anschaffen würde.
x2.5 in meinem Fall (T450s -> T14s G3A). i7 5600U als schnellste CPU im T450s war auch nur ~10% schneller, aber zu der hat notebookcheck kaum moderne Benchmarks.

1726217887584.png
 
Mh, bei mir im Praxis-Check war das T14s bei einer Single-Core-Anwendung (Filemaker-Datenbank) eben nur 30-50% schneller als das T460s.
 
Sollte MS nicht auch durch diverse Zertifizierungen am Verkauf neuer Hardware verdienen? 🤔
 
Zertifikate haben eine definierte Lebensdauer, z.B. 15 Jahre.
Eine Wartung ist angebracht.

Evolving the Secure Boot Ecosystem, October 2023

Vgl Seite 16, es gibt OEMS, die den privaten Schlüssel PK Platform Key vergessen haben.
MS und Lenovo werden den privaten PK Schlüssel noch kennen.

Es wird spannend, welche Thinkpads ein UEFI Update mit '2023 Microsoft UEFI CA' bekommen.
Evtl wählbar 2011/Windows 8 und/oder CA 2023. Dann kann ein Anwender die Einstellung im UEFI je nach persönlicher Befindlichkeit wählen.
 
Naja, auf nahezu jedem (nicht Apple) Laptop/Desktop läuft Windows beim Kauf. Du zahlst daher bei jedem Laptop/Desktop Kauf für eine Windows Lizens mit (wie viel ist das aktuell? 130 Euro?).

Desweiteren stecken die Laptop Hersteller in 'quasi' Knebelverträgen mit Microsoft. Die müssen/können Microsoft immer nur Windows Lizensen in festen Stückzahlen abnehmen, die Microsoft festlegt. Die Lizensen sind dann nur für bestimmte Länder zum Verkauf erlaubt, und dürfen nach einem bestimmten, vorher festgelegten Datum, vom Laptophersteller nicht mehr mit ihren Geräten ausgeliefert werden, müssen aber von diesem bezahlt werden. Kurz um, Microsoft hat hier die Daumenschrauben fest im Griff. Würde mich wundern, wenn da nicht Hintergedanken dabei sind.
 
Du zahlst daher bei jedem Laptop/Desktop Kauf für eine Windows Lizens mit (wie viel ist das aktuell? 130 Euro?).
Die Windows Lizenz hat den OEM für Windows 10 im Jahr 2018 zwischen 25$ und 101$ (Home) respektive zwischen 30$ und 244$ (Pro) gekostet, wobei die Maßgebliche Lizenz für Durchschnittsrechner mit dem Zielmarkt EMEA bei 86$ bzw. 116$ gelegen haben dürfte. Ich habe keine Quelle, dass Microsoft das Modell seitdem noch einmal umgestellt hätte.
 
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben