Update auf Windows 11: So aktiviert man TPM 2.0

Microsoft hat damit begonnen, Windows 11 als kostenloses Update zu verteilen. Allerdings wird dies nur auf PCs geschehen, die offiziell kompatible Hardware verbaut haben und soll voraussichtlich Mitte 2022 abgeschlossen sein. Zur Installation via Windows Update oder Media Creation Tool benötigt man ein aktiviertes TPM 2.0 und Secure Boot. Man braucht dafür aber kein TPM-Modul, sondern muss lediglich ein Firmware-TPM im UEFI-BIOS einschalten.

TPM aktivieren - so geht's

Neben den Hardware-Voraussetzungen müssen für Windows 11 im UEFI-BIOS der Secure Boot und TPM 2.0 aktiviert werden. Mit den beiden Sicherheitsfeatures soll der Boot-Vorgang vom neuen Betriebssystem gegen Schadcode möglichst gut geschützt werden. Folgende Schritte sind notwendig, um TPM aktivieren zu können.

• Beim PC-Start die Taste Entfernen (manchmal auch F2) drücken, bevor Windows erscheint.
• Nun gelangt man ins UEFI-BIOS seines PCs.
• Nun muss man in die Einstellungen wechseln, um TPM aktivieren zu können. Bei Asrock-Mainboards mit Intel-Prozessor sowie Biostar-Mainboards mit AMD-CPU muss man in die Option "Security" wechseln. Falls man ein Asus -, Biostar-Mainboard mit Intel-CPU oder ein Evga-Mainboard nutzt, findet sich die Option im Bereich "Advanced". Bei Gigabyte - und MSI-Mainboards muss man in die "Settings" wechseln.
• Nun taucht bei Intel-Chipsätzen der Eintrag "PTT" oder "Platform Trust Technology" auf, den man aktivieren - also auf "enabled" stellen - muss. Bei AMD-Chipsätzen heißt die Funktion "fTPM" oder "TPM" und muss ebenfalls auf "enabled" gestellt werden.
• Bei MSI-Mainboards muss man zunächst "Security Device Support" einschalten und kann dann erst "PTT" oder "fTPM" auswählen.
• Hat man nun "PTT" beziehungsweise "fTPM" / "TPM" ausgewählt, speichert man das Ganze ab und schließt das UEFI-BIOS.
• Nun fährt der PC hoch und hat ab sofort ein aktiviertes TPM 2.0.
• Wichtig: Im UEFI-BIOS muss zudem zwingend "Secure Boot" aktiviert sein, damit Windows "Virtualization-based Security" - kurz VBS-Maßnahmen wie z. B. TPM 2.0 - nutzen kann.

Für viele Mainboards gibt es auf den Herstellerwebseiten kostenlose BIOS-Updates, die die Aktivierung von TPM 2.0 übernehmen, wie beispielsweise Asus aufzeigt. Wer sich die manuelle Aktivierung sparen will, kann auch via passenden BIOS-Update seinen PC bereit für die Installation von Windows 11 machen. Im Geräte-Manager lässt sich im Bereich "SecurityDevices" oder "Sicherheitsgeräte" überprüfen, ob das "Trusted Platform Module 2.0" aktiviert ist. Wenn es nicht auftaucht, dann ist TPM 2.0 noch nicht aktiv.

Was ist das Trusted Platform Module?

Das Trusted Platform Module in Version 2.0 gibt es seit dem Jahr 2015. In bisherigen Windows-Versionen ist die Aktivierung rein optional, wenn man jedoch die Festplattenverschlüsselung Microsoft Bitlocker nutzt, dann ist man bereits ein TPM-2.0-Nutzer. Viele Firmen-PCs haben ebenfalls TPM aktiv, teilweise sogar mit einem physischen TPM-Chip auf dem Mainboard. Mit TPM 2.0 soll - im Zusammenspiel mit Secure Boot - der Boot-Vorgang von Windows besser vor Angriffen geschützt werden. TPMs erzeugen kryptografische Schlüssel, legen diese sicher ab und benutzen diese, um ein Betriebssystem sicher starten zu lassen.

TPM 2.0 kann verschiedene Krypto-Algorithmen verwenden. Nur Deutschland und China wollten 2012 verhindern, dass TPM 2.0 ein ISO-Standard wird. Es wird befürchtet, dass die Nutzer weniger Kontrolle haben und - theoretisch - Virensoftware beeinträchtigt werden könnte. Tatsächlich bewiesen sind diese Einschränkungen aber nicht, da es beispielsweise Linux-Distributionen mit TPM-Support gibt und so Windows-Nutzer auch parallel auf einem PC ein zweites Betriebssystem installieren können.

Das Firmware-TPM läuft in einer vertrauenswürdigen Ausführungsumgebung (TEE) im Prozessor ab, statt auf einen physischen Chip zu setzen. Wenn nun ein Code im TEE geladen wird, findet die Ausführung isoliert von anderen Vorgängen statt. Ein TPM-Chip dagegen ist eine Art Smartcard. Die Mainboard-Hersteller Asus, Asrock, Biostar, Gigabyte und MSI haben mittlerweile Kompatibilitätslisten veröffentlicht, wobei jedoch nur angegeben wird, ob die Hauptplatinen TPM-Version 2.0 unterstützen. Zum Windows 11 Support äußert man sich nicht.

Wie kann ich Windows 11 ohne TPM nutzen?

Nach aktuellem Stand lässt sich diese TPM-Pflicht aber mit einem Registry-Eintrag umgehen, um das neue Windows trotzdem installieren zu können. Eine Möglichkeit, die TPM-Voraussetzung auszuhebeln, besteht darin, die Registry-Datei abzuändern. Das funktioniert folgendermaßen:

• Wenn Ihr System nicht über einen TPM 2.0-Chip verfügt, erscheint bei der Installation von Windows 11 die Meldung, dass das Betriebssystem auf dem aktuellen Rechner nicht läuft.
• Drücken Sie in diesem Bildschirm Shift + F10, um die Kommandozeile zu öffnen.
• Starten Sie regedit.exe und erstellen Sie den neuen Schlüssel "LabConfig" im Verzeichnis HKEY_LOCAL_MACHINE\SYSTEM\Setup.
• Geben Sie in die Schlüsseldatei die beiden Einträge "BypassTPMCheck=dword:00000001" und "BypassSecureBootCheck=dword:00000001" ein.
• Speichern Sie die Änderungen. Die Fehlermeldung sollte jetzt nicht mehr auftauchen.
• Nun kann man eine ISO-Datei mit Windows 11 auf dem PC starten und dann Windows 11 installieren.

Es kann sein, dass die Installation von Windows 11 ohne aktiviertes TPM nur über eine ISO-Datei und nicht via Windows Update möglich ist. Schließlich erfüllt der PC so ja nicht mehr die offiziellen Systemanforderungen. Zur Aktivierung genügt ein gültiger Produktschlüssel / Product Key von Windows 10, Windows 8 oder Windows 7, der nach der Eingabe auf Windows 11 umgeschrieben wird. In Verbindung mit Windows 11 Home ist ein Microsoft-Konto Pflicht, wobei man noch zusätzlich ein lokales Nutzerkonto ohne Microsoft-Konto nach der Ersteinrichtung anlegen und nutzen kann. Bei Windows 11 Pro hingegen braucht man zur Ersteinrichtung kein Microsoft-Konto.

Nutzer sollten dabei beachten, dass man hierbei auf eigene Gefahr handelt. Für Schäden am PC übernimmt PCGH keine Garantie. Etliche Nutzer konnten jedoch schon mit dieser Vorgehensweise Windows 11 ohne aktiviertes TPM installieren. Bei ausgewählten Komplett-PCs erlaubt es Microsoft sogar weiterhin, diese Computer ohne aktiviertes TPM mit Windows 11 zu verkaufen.

Ebenfalls lesenswert: Tutorial zu Windows 11: Startmenü, Taskleiste, Sound, Datenschutz und mehr

Sammlung zur TPM-Aktivierung für Windows 11:

• Neben den Hardware-Voraussetzungen müssen für Windows 11 im UEFI-BIOS der Secure Boot und TPM 2.0 aktiviert werden.
• Um TPM 2.0 aktivieren zu können, muss man beim PC-Start ins UEFI-BIOS wechseln und hierzu die Entfernen-Taste oder F2 drücken, bevor Windows startet.
• Bei AMD-Chipsätzen heißt die Funktion "fTPM" oder "TPM", während bei Intel-Chipsätzen das Feature als "PTT" oder "Platform Trust Technology" bezeichnet wird.
• Alternativ bieten Mainboard-Hersteller für viele Mainboards kostenlose BIOS-Updates an, die automatisch TPM 2.0 aktivieren und so den Boot-Vorgang des Betriebssystems absichern sollen.
• Über einen geänderten Registry-Eintrag kann man Windows 11 aber auch ohne aktiviertes TPM installieren.

Quellen: Microsoft, Linux-Magazin, Wikipedia, Asrock, Asus, Biostar, EVGA, Gigabyte, MSI

Artikel teilen

Update auf Windows 11: So aktiviert man TPM 2.0 Microsoft setzt bei der Installation von Windows 11 ein aktiviertes TPM 2.0 voraus. Wir zeigen, wie man TPM 2.0 im UEFI-BIOS aktiviert und wie man Windows 11 auch ohne TPM installieren kann.

Per E-Mail versenden

18