Windows 11: Microsoft rechtfertigt die strengen Anforderungen

88
News Claus Ludewig Als bevorzugte Quelle auf Google hinzufügen
Windows 11: Microsoft rechtfertigt die strengen Anforderungen.
Quelle: Microsoft

Die strengen Hardwareanforderungen von Windows 11 sorgen für Diskussionen. Nun verteidigt Hersteller Microsoft die Systemvoraussetzungen.

Einige Prozessoren, beispielsweise CPUs der Baureihen Ryzen 1000, Ryzen 2000U/H, Intels 6. Core-Generation und einige CPUs der 7. Generation, bezeichnet Microsoft als nicht kompatibel mit Windows 11. Zudem müssen die UEFI-BIOS-Funktionen Firmware-TPM und Secure Boot aktiviert sein, um eine Installation via Windows Update vornehmen zu können. Nun rechtfertigt sich Microsoft in Gestalt von Dave Weston, Partner Director, Enterprise Security. Seinen Ausführungen zufolge will Microsoft mit Windows 11 ein möglichst sicheres Betriebssystem ermöglichen. Der Hersteller fasst die Sicherheitsmaßnahmen unter der Bezeichnung VBS oder auch Virtualization-based Security zusammen.

Microsoft erlaubt Installation von Windows mit und ohne TPM 2.0

Die Zielsetzung lautet, den Bootvorgang gegenüber Exploit-Angriffen und Malware abzusichern. Natürlich ersetzt dies keine Sicherheitssoftware, die dann aktiv ist, wenn Windows gestartet ist. TPM 2.0 und Secure Boot werden via UEFI-BIOS aktiviert, ein zusätzlicher TPM-Chip ist nicht notwendig. Die dritte Funktion namens HVCI alias Kernisolierung ist rein optional. Falls man die Kernisolierung in der vorinstallierten App Windows-Sicherheit aktiviert hat, wird der Bootvorgang nochmals stärker gegen Schadcode abgesichert. Allerdings darf kein installierter Treiber gegen die Kernisolierung arbeiten. HVCI kostet außerdem CPU-Leistung und ist nur mit folgenden Prozessoren kompatibel:

  • AMD Ryzen ab 2000 (bei Notebooks ab Ryzen 3000U/H),
  • Intel Core 7. Generation (empfohlen: ab 8. Generation),
  • Qualcomm Snapdragon 850, 7c, 7cx, 8cx (alle Generationen)

Laut Microsoft kann man auch Windows 11 auf bestehenden PCs ohne aktiviertes TPM installieren, neu auf dem Markt verfügbare Computer sollen dagegen nur noch mit standardmäßig aktiviertem TPM 2.0 und Secure Boot erhältlich sein. Hacker breiten sich immer mehr aus und es finden immer mehr Angriffe statt, sodass Microsoft mit den aktivierten VBS-Maßnahmen und den Systemanforderungen von Windows 11 ein Zeichen für mehr Sicherheit senden will.

Windows 11 ohne TPM 2.0 und CPU-Check installieren

Microsoft hat nun in einem offiziellen Supportdokument erklärt, wie jeder Nutzer von Windows 10 auf das neue Betriebssystem aktualisieren kann. Hierbei spielt es keine Rolle, ob die verbaute CPU offiziell unterstützt wird oder ob TPM 2.0 aktiv ist. Laut Microsoft sind folgende Schritte notwendig, um Windows 11 auf jedem aktuellen PC mit Windows 10 installieren zu können, der mindestens 4 Gigabyte RAM und 64 Gigabyte freien Speicherplatz besitzt:

  • In der Suche "Registrierungs-Editor" oder "regedit" eingeben und als "Administrator ausführen" anklicken.
  • Nun zum Pfad "Computer\HKEY_LOCAL_MACHINE\SYSTEM\Setup\MoSetup" navigieren. Falls notwendig muss noch der Ordner "MoSetup" angelegt werden.
  • Mit einem Rechtsklick auf den Ordner "MoSetup" erstellt man nun einen neuen "Schlüssel" mit der Bezeichnung "AllowUpgradesWithUnsupportedTPMOrCPU". Der Typ muss "REG_DWORD" lauten.
  • Als Wert wird "1" festgelegt.
  • Nun kann man den Registrierungs-Editor schließen und nach einem Neustart des PCs Windows 11 via ISO-Datei installieren.
  • Wichtig: Jede Änderung im Registrierungs-Editor kann zu Problemen mit Windows führen. Microsoft und PCGH übernehmen keinerlei Schäden, falls es durch die Anleitung zu Problemen mit dem PC kommt. In der Regel sollte sich mit den vorgenommenen Anpassungen Windows 11 installieren lassen.
  • Zur Aktivierung von Windows 11 genügt ein Produktschlüssel / Product Key von Windows 10, der bei der Installation eingegeben werden kann.
Warnung bei Installation von Windows 11 auf PCs mit nicht-kompatibler CPU. Quelle: Screenshot / windowslatest.com Registrierungs-Editor für Installation von Windows 11 ohne TPM 2.0 und mit nicht-kompatibler CPU. Quelle: PCGH

Auf einem PC mit nicht-unterstützer Hardware weist Microsoft bei der Installation darauf hin, dass diese PCs keinen Garantieanspruch mehr nach dem manuellen OS-Update haben und es sein kann, dass diese PCs keine Updates mehr erhalten. Microsoft schreibt, dass es "keine Garantie für Updates" auf nicht-unterstützen PCs gibt. Wie stringent die Update-Sperre tatsächlich durchgeführt wird, kann nur die Zeit zeigen. Jeder, der seinen PC auf Windows 11 aktualisiert hat, kann auch wieder auf Windows 10 zurücksetzen.

Was kann ohne aktiviertes TPM 2.0 passieren?

In einer Vorführung zeigt Dave Weston, was auf einem PC mit Windows 10 passieren kann, wenn kein TPM 2.0 via UEFI-BIOS aktiviert ist. In der Demo nutzt der Angreifer ein Passwort-Tool, um das PC-Kennwort eines PCs herauszufinden, der sich an einem kompromittierten Netzwerk angemeldet hat. Ein Angreifer kann sich mit dem Remote Desktop Protocol über den Anmeldevorgang Zugang zum PC verschaffen, sich anmelden und prinzipiell alles Mögliche dort anstellen, da er nun der Administrator des PCs ist. RDP setzt dabei auf Master Boot Record und nicht auf UEFI und den moderneren Partitionstyp GPT.

Nun kann man beispielsweise mit einem Programm dafür sorgen, dass sich der Computer automatisch herunterfährt und beim nächsten Start nicht mehr Windows startet, sondern der Nutzer einen Bildschirm des Hackers zu sehen bekommt und etwa Geld zur Freischaltung des PCs übersenden soll. Selbst, wenn man den Fehler als Nutzer findet und vermeintlich beheben könnte, kann die primäre Partition trotzdem einen irreparablen Schaden davongetragen haben.

Attacke mittels Dockingstation und Thunderbolt

Wenn man biometrische Authentifizierungsoptionen wie beispielsweise einen Fingerabdruck zur Anmeldung am PC nutzt, dann kann dies ebenfalls ein Einfallstor für Angreifer sein, wenn VBS-Maßnahmen nicht aktiv sind. Hierzu ist ein Direct-Memory-Access-Gerät notwendig, welches sich beispielsweise via Thunderbolt mit dem PC verbinden lässt. Theoretisch könnte dies etwa eine entsprechend präparierte Dockingstation für Notebooks sein. Nun liest der Angreifer den Speicher des Opfer-PCs aus. Mittels eines Exploits wird nun die auf dem PC gespeicherte Anmeldeinformation abgeändert, sodass sich der Angreifer am PC anmelden kann.

Virtualisierungsbasierte Sicherheit schützt Anmeldevorgang

In Windows 11 hat man sich dazu entschlossen, die seit dem Jahr 2013 in Windows optional verfügbaren VBS-Maßnahmen standardmäßig zu aktivieren. So wird durch verschiedene UEFI-BIOS-Features und durch unterstützte Prozessoren ein abgesicherter Container erstellt. Es gibt einmal das laufende Betriebssystem und einmal den virtuellen Container, indem bestimmte Informationen gespeichert sind. So sind etwa Anmeldeinformationen und kryptografische Schlüssel in einer geschützten Umgebung im Speicher abgelegt.

Wovor sollen TPM 2.0 und Secure Boot schützen?

Mit TPM 2.0 und Secure Boot kann man den PC beispielsweise besser gegen Angriffe via RDP schützen, da laufend neue kryptografische Schlüssel erzeugt und so nur signierte Anmeldeinformationen geladen werden. Beide VBS-Maßnahmen stoppen Rootkits und Bootkits, die sich im Bootvorgang einnisten und so die Anmeldeinformationen der Nutzer stehlen wollen. Klassische Sicherheitssoftware kann weder Rootkits noch Bootkits aufspüren, da sich beide schon im Bootvorgang von Windows verstecken. So läuft der geschützte Bootvorgang ab.

  • Secure Boot überprüft die digitale Signatur vom Bootloader und vergleicht dies mit kryptografischen Schlüsseln vom Mainboard.
  • Nun überprüft die UEFI-Funktion Trusted Boot, ob der Kernel und andere Boot-Komponenten ordnungsgemäß signiert sind und meldet diese Informationen dem Firmware TPM.
  • Das Trusted Platform Module vergleicht nun die erhaltenen Informationen mit bekannten, als sicher geltenden Boot-Protokollen auf einem lokalen Server.
  • Wenn nun TPM 2.0 meldet, dass alles in Ordnung ist, darf Windows booten.
  • Wichtig: Secure Boot, Trusted Boot und TPM 2.0 benötigen ein Mainboard mit UEFI-BIOS und die genannten VBS-Maßnahmen müssen im UEFI-BIOS aktiviert sein.

Falls es also einen Angriff während bzw. kurz vor dem Bootvorgang gegeben hat, wird der Schaden reduziert. VBS erkennt beispielsweise die Ransomware-Attacke und neutralisiert diese automatisch. Übrigens gibt es auch Linux-Distributionen, die auf einem Windows-PC mit aktiviertem TPM 2.0 und Secure Boot als zweites Betriebssystem geladen werden können.

Was soll das optionale Feature HVCI alias Kernisolierung bewirken?

Wenn man nun neben TPM 2.0 und Secure Boot auch noch HVCI alias Kernisolierung aktiviert hat, werden auch Treiber und Code in einer virtuellen Umgebung abgelegt, die die CPU und den Speicher nutzt. Nun checkt die Kernisolierung, ob etwa ein Treiber die richtige Signatur besitzt und lässt nur die - vom Hersteller - als sicher signierten Treiber zum Betriebssystem durch, sodass diese im Speicher von Windows geladen werden können. VBS-Funktionen benötigen eine unterstützte CPU mit aktivierter Virtualisierungsfunktion.

Bildergalerie

Die Speicherintegrität auf CPUs kostet einiges an Leistung, sodass Microsoft beschlossen hat, nur CPUs für Windows 11 als kompatibel auszuweisen, die über genügend Leistung und den vollständigen VBS-Support verfügen. Wenn man von Windows 10 auf Windows 11 aufrüstet, ist HVCI/Kernisolierung standardmäßig deaktiviert, TPM 2.0 und Secure Boot dagegen sind aktiv, wenn man diese im UEFI-BIOS zuvor eingeschaltet hat beziehungsweise, wenn man die Festplattenverschlüsselung Microsoft Bitlocker nutzt. Wir haben in einem separaten Artikel aufgezeigt, wie man HVCI alias Kernisolierung (de)aktiviert.

Ebenfalls lesenswert: Update auf Windows 11: So aktiviert man TPM 2.0

Sammlung zur Verteidigung der hohen Systemanforderungen von Windows 11:

  • Microsoft hat demonstriert, warum man hohe Systemanforderungen für Windows 11 definiert hat.
  • So müssen die VBS-Maßnahmen TPM 2.0 und Secure Boot aktiviert sein, wenn man via Windows Update auf Windows 11 umsteigen will. Mit beiden Maßnahmen wird der Anmeldevorgang am PC abgesichert.
  • Optional kann man auch noch die VBS-Maßnahme HVCI alias Kernisolierung in der Microsoft-App Windows-Sicherheit aktivieren, wenn man über einen offiziell unterstützen Prozessor verfügt und kein installierter Treiber dies verhindert. Die Kernisolierung blockiert unsignierte Treiber, kostet aber CPU-Leistung.

Quellen: Microsoft (1), Microsoft (2)

88

    • Kommentare (88)

      Zur Diskussion im Forum
      • Von PCGH_Torsten Kokü-Junkie (m/w)
        Zitat von PCGH_Claus
        TPM und Secure und Trusted Boot kümmern sich ausschließlich um den Boot-Vorgang. Das Remote Desktop Protocol wurde exemplarisch für einen Angriff verwendet, um aufzuzeigen, wie Angreifer vorgehen, um via kompromittiertem Netzwerk einen Rootkit/Bootkit einzuschleusen. Dadurch, dass der Angriff bereits beim Anmeldevorgang abgewehrt wird, kommt der Angreifer gar nicht erst in den PC hinein und hat folglich auch keinen Vollzugriff.
        Wenn der Angriff bereits beim RDP-Zugriff abgewehrt wird, gelangt erst gar kein Rootkit auf den Rechner. Dann braucht das System auch kein TPM und SB mehr, um vor diesem Angreifer sicher zu sein, also ist dieses Szenario ungeeignet, um die Win-11-Installationsbeschränkungen zu rechtfertigen.
        Zitieren
      • Von PCGH_Torsten Kokü-Junkie (m/w)
        Zitat von PCGH_Claus
        TPM und Secure und Trusted Boot kümmern sich ausschließlich um den Boot-Vorgang. Das Remote Desktop Protocol wurde exemplarisch für einen Angriff verwendet, um aufzuzeigen, wie Angreifer vorgehen, um via kompromittiertem Netzwerk einen Rootkit/Bootkit einzuschleusen. Dadurch, dass der Angriff bereits beim Anmeldevorgang abgewehrt wird, kommt der Angreifer gar nicht erst in den PC hinein und hat folglich auch keinen Vollzugriff.
        Wenn der Angriff bereits beim RDP-Zugriff abgewehrt wird, gelangt erst gar kein Rootkit auf den Rechner. Dann braucht das System auch kein TPM und SB mehr, um vor diesem Angreifer sicher zu sein, also ist dieses Szenario ungeeignet, um die Win-11-Installationsbeschränkungen zu rechtfertigen.
        Zitieren
      • Von muellmentsch Schraubenverwechsler(in)
        Zitat von nikon87
        Der übliche "nur das böse MS sammelt Daten um die Weltherrschaft an sich zu reißen, sonst macht das nämlich keiner...niemals nie"-Kommentar darf natürlich unter so einem Artikel auch nicht fehlen. Hast du gut gemacht, Applaus.
        Fällt dir auf, dass niemand gesagt hat, nur MS klaut Daten?

        Diesen Blödsinn bringen immer nur die üblichen Lemminge, die Datenschutz diskreditieren wollen.

        Nur können so Typen wie du dabei nicht kapieren, dass sie von sich selbst auf andere schließen.

        Ist schon klar, dass jemand, der selbst die offensichtlichsten Dinge für Datenschutz nicht kapiert, auch selbst das absolute Facebookopfer ist.

        Das heißt aber nicht, dass der Rest der Welt genauso kurzsichtig ist.

        Zitat von Nebulus07
        DRM wird den PC nicht abschaffen! Nenne doch mal irgend etwas, was durch DRM schlechter wird?
        Satire bitte auch als solche kennzeichnen, nachher nimmt das noch jemand ernst.

        Zitat von nikon87
        Was kann denn MS dafür wenn die Spielentwickler sich nicht für andere OS interessieren und ihre Games kompatibel machen?
        Du möchtest wissen, was die Firma, die sich mit verwerflichen bis illegalen Mitteln eine monopolistische Marktmacht aufgebaut hat, dafür kann?

        Dein Ernst?

        Ist dir klar, dass sich MS Geschäftspraktiken eigene Wikipediaartikel verdient haben?

        Kein Wunder, dass bei uns korrupte und verurteilte Politiker und co weiterhin ihre Jobs haben.

        An der Stelle noch mal großen Respekt an [Ins Forum, um diesen Inhalt zu sehen], einer der letzten MVP von PCGH.

        Da merkt man immer wieder, wie angenehm es ist, mit jemandem zu sprechen, der seine Materie WIRKLICH versteht.
        Zitieren
      • Von BxBender Volt-Modder(in)
        Zitat von latinoramon
        Klar müssen die das irgendwie rechtfertigen.
        Das neue Win also 11, ist ja auch nicht schlecht, sagt ja keiner was, aber wie das gepusht und versucht wird mit der Brechstange an den Mann zu bringen bzw muss, (kohle, mehr kohle, noch mehr kohle) alter Schwede.
        Es sind ja auch viele, die eben nicht so "diese" Ahnung haben und glauben eben das ganze gedöns.
        Aber okay. Am ende muss es jeder selbst wissen, was er sich dann kauft oder eben nicht. wechselt auf 11 oder eben nicht.
        Häh?

        Es wird nichts gepusht, keien Brechtange, gar nichts von dem, was du behauptest, stimmt.

        Es gibt ein neues Betriebssystem, was wie selbstverständlich alle paar Jahre auf den Markt kommt.

        Es gibt keinen Unterschied zu einem anderen Produkt, was wie üblich ganz normal angekündigt und beworben wird.

        Zudem ist Windows als Upgrade kostenlos.

        DAS ist der einzige Unterschied zu allen anderen Produkten auf dem Markt. Und der einzige positive Aspekt wird hier ununterbrochen duch den Kakau gezogen und schlecht geredet.
        Vermutlich sollte Microsoft wieder auf ein festes Bezahlmodell umsteigen, mit mindestens 130 Euro, alle 3 Jahre, Abkündigung alle 5 Jahre.
        Dann dürfte das ganze Gemecker endlich aufhören.
        Denn als das noch so war, gab es keine einzige Negativschlagzeile.
        Da haben wir noch alle 3 Monate eine illegale Komplett-DVD aus dem Netz gezogen und mit allen Updates einfach frisch draufgezogen.
        Zitieren
      • Von Echo321 Software-Overclocker(in)
        Win10 bleibt drauf bis ich wechseln muss oder es eine einsteigerfreundliche Alternative gibt. Je nachdem was zu erst kommt.

        Die Begründungen von MS sind mir alle an den Haaren herbei gezogen. Mehr Sicherheit , ein bestmögliches Nutzungserlebnis, mehr Stabilität, alles einfacher für jeden .... Marketing blabla. Wenn MS an die Nutzer denken würde hätten sie den ganzen TPM Kram als Option eingebaut und als Win11 Super Security Edition vermarktet.
        Zitieren
      • Von BxBender Volt-Modder(in)
        Du möchtest Windows 11 und alle künftigen Updates umsonst haben.
        Du möchtest, das alle Programme auf deinem Rechner jetzt und für immer funktionieren und schnell genug sind, udn dass der Rechner niemals kaputtgehen kann und darf.
        Du möchtest Weltfrieden.
        Du möchtest ewig leben.

        Schnitt.
        Alles geht nicht.
        Irgendwo muss man bei seinen Wunschvorstellungen auch mal einen Cut machen.
        Die Welt dreht sich nicht nur um dich alleine.

        Gehe in dich, relaxe, richte deine Lebenseinstellung neu aus.

        So, jetzt darfst du dich gerne über all die Firmen beschweren, die versuchen Geld für ihre Arbeit zu bekommen.

        Sollte die Wut jetzt endlich abgebaut sein, so schließe zur Buße bitte noch ein Print- und Werbefrei Abo bei der PCGH ab.
        Damit wir hier auch weiterhin herumwüten können (Zitat: "Was erlaube Strunz?!").
        Zitieren
      Direkt zum Diskussionsende
Hoch
  • Print / Abo
    Apps
    PCGH Magazin 07/2026 PC Games 07/2026 play5 07/2026 N-Zone 07/2026 Linux Magazin 07/2026 LinuxUser 07/2026 Raspberry Pi Geek 07/2026
    PC Games Hardware PC Games Linux Magazin Raspberry Pi Geek Computec Kiosk
Die Redaktion Datenschutz Artikel-Archiv Datenschutz-Optionen Mediadaten Impressum Utiq verwalten Abo kündigen Vertrag widerrufen AGB Inhalt melden Newsletter