(0) exportieren Drucken
Alle erweitern

Sicherer Start – Übersicht

Letzte Aktualisierung: Februar 2014

Betrifft: Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2

Bei "Sicherer Start" handelt es sich um einen von Unternehmen der PC-Branche entwickelten Sicherheitsstandard, der sicherstellen soll, dass Ihr PC nur mithilfe von Software gestartet wird, die vom PC-Hersteller als vertrauenswürdig erachtet wird.

Beim Starten des PCs überprüft die Firmware die Signatur der einzelnen Startsoftwarekomponenten, einschließlich Firmwaretreiber (Options-ROM-Einheiten) und Betriebssystem. Sind die Signaturen in Ordnung, wird der PC gestartet, und die Firmware übergibt die Steuerung an das Betriebssystem.

"Sicherer Start" wird von den folgenden Windows-Versionen unterstützt: Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows 8, Windows Server 2012 und Windows RT.

noteHinweis
Wird nach dem Upgrade auf Windows 8.1, Windows Server 2012 R2 oder Windows RT 8.1 ein Wasserzeichen angezeigt, das auf eine nicht korrekte Konfiguration von "Sicherer Start" hinweist?

Wir haben einen Patch veröffentlicht, mit dem das Wasserzeichen entfernt wird.

Benutzer von Windows 8.1 und Windows Server 2012 R2 können sofort einen Patch zum Entfernen des Wasserzeichens installieren: Microsoft Knowledge Base-Artikel ID 2902864.

Weitere Informationen finden Sie unter ""Sicherer Start" ist nicht richtig konfiguriert": Problembehandlung.

  • Benötige ich "Sicherer Start", um ein Upgrade auf die neueste Version von Windows durchführen zu können?

    Nein. Für Windows Vista oder Windows 7 liegen keine zusätzlichen Hardwareanforderungen vor.

    Bei "Sicherer Start" handelt es sich um ein optionales Feature, das vom PC-Hersteller aktiviert werden kann, um die Sicherheit eines PCs zu erhöhen. Außerdem ist es auf allen neuen Windows 8.1-, Windows RT 8.1-, Windows® 8- und Windows RT-PCs mit Logozertifizierung vorhanden.

  • Was passiert, wenn meine neue Hardware nicht als vertrauenswürdig angesehen wird?

    In diesem Fall kann es sein, dass Ihr PC nicht startet. Es können zwei Arten von Problemen auftreten:

    • Von der Firmware werden das Betriebssystem, die Options-ROM-Einheit, Treiber oder eine App ggf. nicht als vertrauenswürdig angesehen, weil seitens der für "Sicherer Start" verwendeten Datenbank ebenfalls keine Vertrauenswürdigkeit besteht.

    • Für einige Arten von Hardware sind signierte Kernelmodustreiber erforderlich. Hinweis: Viele ältere 32-Bit-Treiber (x86) sind nicht signiert, weil das Signieren von Kernelmodustreibern eine neue Anforderung für "Sicherer Start" darstellt. Weitere Informationen finden Sie unter Signaturanforderungen für Kernelmodustreiber in Verbindung mit "Sicherer Start".

    Weitere Informationen finden Sie unter Windows 8 mit aktiviertem Feature "Sicherer Start" startet nach dem Installieren neuer Hardware ggf. nicht mehr.

  • Wie kann ich Hardware hinzufügen oder Software bzw. Betriebssysteme ausführen, die von meinem Hersteller als nicht vertrauenswürdig angesehen werden?

    • Sie können nach Softwareupdates von Microsoft oder vom PC-Hersteller suchen.

    • Wenden Sie sich mit der Bitte an den Hersteller, dass neue Hardware oder Software der Datenbank für "Sicherer Start" hinzugefügt wird.

    • Bei den meisten PCs können Sie "Sicherer Start" über das BIOS des PCs deaktivieren. Weitere Informationen finden Sie unter Deaktivieren von "Sicherer Start".

      Bei Windows RT 8.1- und Windows RT-PCs mit Logozertifizierung muss "Sicherer Start" so konfiguriert werden, dass die Option nicht deaktiviert werden kann.

  • Wie bearbeite ich die Datenbank für "Sicherer Start" meines PCs?

    Diese Bearbeitung kann nur vom PC-Hersteller vorgenommen werden.

Für "Sicherer Start" ist ein PC erforderlich, der die Spezifikationen von UEFI 2.3.1 Errata C oder höher erfüllt.

"Sicherer Start" wird von PCs gemäß UEFI Class 2 und Class 3 unterstützt. Auf PCs mit UEFI Class 2 und Aktivierung von "Sicherer Start" muss das Kompatibilitätsunterstützungsmodul (Compatibility Support Module, CSM) deaktiviert werden, damit der PC nur autorisierte UEFI-basierte Betriebssysteme starten kann.

Für "Sicherer Start" ist kein TPM (Trusted Platform Module) erforderlich.

Zum Aktivieren des Debuggens im Kernelmodus aktivieren Sie TESTSIGNING, und zum Deaktivieren von NX müssen Sie "Sicherer Start" deaktivieren. Ausführliche Informationen für OEMs finden Sie unter Sicherer Start unter Windows 8: Anleitung zur Schlüsselerstellung und -verwaltung.

Wenn "Sicherer Start" auf einem PC aktiviert ist, wird vom PC jede Software (einschließlich UEFI-Treibern, die auch als Options-ROM-Einheiten bezeichnet werden, und des Betriebssystems) daraufhin überprüft, ob die in der Firmware genutzten Signaturen bekannten Signaturen in den gängigen Datenbanken entsprechen. Wenn eine Software gültig ist, werden die Software und das Betriebssystem von der Firmware ausgeführt.

Vor der Bereitstellung des PCs werden die Datenbanken für "Sicherer Start" vom OEM auf dem PC gespeichert. Dies umfasst die Signaturdatenbank (db), Datenbank für zurückgezogene Signaturen (dbx) und Key Enrollment Key-Datenbank (KEK). Diese Datenbanken werden während der Herstellung im nicht volatilen Arbeitsspeicher (NV-RAM) gespeichert.

In der Signaturdatenbank (db) und der Datenbank für zurückgezogene Signaturen (dbx) befinden sich die Signaturgeber oder Imagehashes von UEFI-Anwendungen, Ladeprogramme für das Betriebssystem (z. B. das Betriebssystemladeprogramm oder der Start-Manager von Microsoft) und UEFI-Treiber, die auf dem speziellen PC geladen werden dürfen, sowie die zurückgezogenen Images von Elementen, die nicht mehr vertrauenswürdig sind und nicht mehr geladen werden dürfen.

Die Key Enrollment Key-Datenbank (KEK) ist eine separate Datenbank mit Signaturschlüsseln, mit der die Signaturdatenbank und die Datenbank mit den zurückgezogenen Signaturen aktualisiert werden können. Microsoft verlangt, dass die KEK-Datenbank einen bestimmten Schlüssel enthalten muss, damit Microsoft in Zukunft neue Betriebssysteme in die Signaturdatenbank aufnehmen kann und ungültige Images aus der Datenbank für zurückgezogene Signaturen entfernen kann.

Nach dem Hinzufügen dieser Datenbanken und der abschließenden Überprüfung und dem Test der Firmware sperrt der OEM die Firmware für die Bearbeitung. Dies trifft aber nicht auf Updates zu, die mit dem richtigen Schlüssel signiert sind, oder für Updates durch einen physisch präsenten Benutzer, der die Firmwaremenüs verwendet und dann einen Plattformschlüssel (PK) generiert. Mit dem PK können dann KEK-Updates signiert und Sicherer Start abgeschaltet werden.

OEMs sollten sich an ihren Firmwarehersteller wenden, um Tools und Unterstützung bei der Erstellung dieser Datenbanken zu erhalten. Weitere Informationen finden Sie unter Sicherer Start unter Windows 8: Anleitung zur Schlüsselerstellung und -verwaltung.

  1. Nach dem Einschalten des PCs werden die Signaturdatenbanken mit dem Plattformschlüssel verglichen.

  2. Wenn die Firmware nicht vertrauenswürdig ist, muss die UEFI-Firmware eine OEM-spezifische Wiederherstellung einleiten, um die vertrauenswürdige Software wiederherzustellen.

  3. Wenn ein Problem mit dem Windows-Start-Manager auftritt, versucht die Firmware, eine Sicherheitskopie des Windows-Start-Managers zu starten. Wenn hierbei ebenfalls Fehler auftreten, muss die Firmware die OEM-spezifische Wartung einleiten.

  4. Nachdem der Start des Windows-Start-Managers erfolgt ist und ein Problem mit den Treibern oder dem NTOS-Kern auftritt, wird die Windows-Wiederherstellungsumgebung (Windows RE) geladen, damit die Treiber oder das Kernelimage wiederhergestellt werden können.

  5. Die Antischadsoftware wird geladen.

  6. Es werden andere Kerneltreiber geladen und die Benutzermodusprozesse initialisiert.

Weitere Informationen finden Sie im Whitepaper Sicherer Start und Kontrollierter Start: Schützen vorrangiger Startkomponenten vor Schadsoftware.

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft