Secure Boot, TPM und die Paranoia der deutschsprachigen Linux Community

    Zitat von Omas Linuxlaune

    Grenzt an Spam. Was haben Sternschnuppenhimmel-Meldungen hier verloren? Das weißt Du aber glaube ich selber.

    Achso, hmm, und ich sah einen möglichen Zusammenhang deiner Posts, der Uhrzeit der Posts und diesen Vorgängen am Himmel. Entschuldige bitte.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

    Zitat von nicoletta

    Ich habe nun mal Win10 mit einem MS-Konto istalliert und da wird nichts mit default Einstellungen verschlüsselt.

    Wie das nun mit Win11 ist steht noch aus.

    Warte mal das nächste Update ab, dann kann es eine böse Überraschung geben wenn Bitlocker plötzlich läuft. Microsoft ist alles zuzutrauen, besonders, das solche Einstellungen nach updates "zurückgesetzt" werden.

    Zitat von Omas Linuxlaune

    Warte mal das nächste Update up, dann kann es eine böse Überraschung geben wenn Bitlocker plötzlich läuft. Microsoft ist alles zuzutrauen, besonders, das solche Einstellungen nach updates "zurückgesetzt" werden.

    Undenkbar das dann plötzlich eine Partition verschlüsselt wird ohne nachzufragen ob man das möchte. Das wird nicht passieren und ist bisher auch nicht vorgekommen.

    #ichmussmalmächtigkacken

    Zitat von nicoletta

    Undenkbar das dann plötzlich eine Partition verschlüsselt wird ohne nachzufragen ob man das möchte. Das wird nicht passieren und ist bisher auch nicht vorgekommen.

    Doch genau das ist der Fall, genau wie plötzlich Cortana nach jedem update angeschaltet wird und dich wochenlang aufzeichnet ohne sich bemerkbar zumachen und auch die Datenübermittlung an Windows wird gerne mal "zurückgesetzt auf alles an". Willkommen in der Welt von Bill Gates.

    Zitat von Omas Linuxlaune

    Doch genau das ist der Fall, genau wie plötzlich Cortana nach jedem update angeschaltet wird und dich wochenlang aufzeichnet. Willkommen in der Welt von Bill Gates.

    Das halte ich eher für einen Verschwörungsmytos. Soetwas habe ich noch nicht erlebt und werde ich auch nicht erleben.

    #ichmussmalmächtigkacken

    Mir reichen die paar Systeme, die mit Microsoft-Zeug laufen, um alles was geht, von dieser Firma zu meiden.

    Für TPM und SecureBoot sehe ich keine Notwendigkeit, wenn man nicht vom Spieltrieb erfasst ist.

    Uns was heißt, es gibt kein BIOS? Ich wüsste nicht, dass bei mir irgend ein Rechner mittels UEFI bootet. Jedenfalls werde ich mir wegen Microsoft nicht so etwas aufzwingen lassen.

    Ich sehe keinen Vorteil darin, UEFI, TPM oder SecureBoot zu nutzen, wenn man keine Microsoft-OS verwendet.

    Isso.

    And still, we will be here, standing like statues.

    Schinder und Knarren, statt Kinder und Narren...

    Alles ist so unsagbar schnell geworden.
    (EROC, Let's Gläntz)

    Vertrauen muss verdient werden. Man verschenkt es nicht.

    Ich stelle keine dummen Fragen. Du musst Dich mit Deinen Antworten schon ein bisschen anstrengen.

    Zitat von Currock

    Ich sehe keinen Vorteil darin, UEFI, TPM oder SecureBoot zu nutzen, wenn man keine Microsoft-OS verwendet.

    Sehe ich genauso.

    Auch wenn es hier ein "Experten" gibt der sich so gut darin auskennt und ausnahmslos jede andere Meinung als falsch ansieht und nicht gewünscht ist.

    Zitat von Currock

    Uns was heißt, es gibt kein BIOS?

    Naja, das heisst heute UEFI und ist etwas anders aufgebaut. Das UEFI ist im Gegensatz zum BIOS ein eigenes kleines Betriebssystem, kann aber auch den PC über den klassischen BIOS weg booten.

    Zitat von Omas Linuxlaune

    Warte mal das nächste Update ab, dann kann es eine böse Überraschung geben wenn Bitlocker plötzlich läuft. Microsoft ist alles zuzutrauen, besonders, das solche Einstellungen nach updates "zurückgesetzt" werden.

    Microsoft stellt sehr gerne nach Updates die "gewünschten" Einstellungen wieder her, alleine die ganzen Datenschutzeinstellungen werden sehr gerne "resettet". Das war schon zu XP Zeiten so.

    Zitat von Omas Linuxlaune

    Microsoft update aktiviert Bitlocker:

    https://answers.microsoft.com/en-us/windows/…6b-6c71cab5d218

    Nun ja, ich habe dazu bereits an anderer Stelle etwas dazu geschrieben bezüglich Surface. Bei MS-Produkten ist bereits das Laufwerk werksseitig verschlüsselt wenn das Gerät mit Win ausgeliefert wird.

    Was der kleine Bericht nicht verrät ist ob ein clean install mit Windows selbst durchgeführt wurde, oder ob eine pre install verwendet wird. Bei einer pre install kann allerdings die Verschlüsselung des Datenträgers schon längst vorhanden gewesen sein. Es fiel nur bisher nicht auf weil man auch zu keiner Zeit ein extra Passwort, oder Schlüssel eingeben musste.

    Genauso gut kann es sein, wie meine Kunden mit Surface gemacht haben, das die Verschlüsselung nicht erst durch ein Update durchgeführt wurde, sondern längst unbemerkt vorhanden war und nach einem Update nur nach dem Schlüssel gefragt wird.

    Der Hinweis auf die Schlüsselhinterlegung im MS-Profil ist ebenso irre führend, denn dort ist in der Regel durch pre install Verschlüsselung kein Schlüssel hinterlegt. Das mag daran liegen das die Verschlüsselung bereits werksseitig erfolgt ohne MS-Konto und ein nachträglich eingerichtetes Konto durch den Kunden/Nutzer nicht automatisch übernommen wird. Das sehe ich doch sehr kritisch. Auch wenn kein MS-Konto angelegt wird, sondern ein lokales Konto ergibt sich diese Problematik

    Letztendlich ist es dann der Fall das kein Zugriff mehr auf die Daten möglich ist.

    Es passiert nicht erst durch ein Update. Das halte ich auch für schwierig technisch umzusetzen ohne Zutun des Nutzers selbst.

    #ichmussmalmächtigkacken

    Zitat von Omas Linuxlaune

    genau wie plötzlich Cortana nach jedem update angeschaltet wird und dich wochenlang aufzeichnet ohne sich bemerkbar zumachen

    Sorry, aber das halte ich für völlig Übertrieben. Es ist völlig ok, wenn Du Windows und Microsoft meidest, aber dann bitte nicht solche Mythen weitergeben.

    * Thinkpad X220 Sparky Linux 7 / Linux Mint 21.3 / Ubuntu 24.04 mit Ubuntu Pro * MacBookAir 2011 Kanotix Slowfire * Pixel 3a Ubuntu Touch * * Macbook Pro 2012 Ubuntu 23.10 * Surface Pro 6 Ubuntu 22.04 * Thinkpad X61s mit diversen SSDs mit versch. Distros zum Testen *

    nicoletta ich habe das Experiment nun mit Windows 11 Home in einer virtuellen Maschine gemacht.

    Die virtuelle Maschine, erfüllt alle Voraussetzungen die Microsoft vorgibt, damit die automatische Geräteverschlüsselung aktiviert wird.

    Folgendes hab ich der VM an Ressourcen gegeben:

    • 4 CPUs
    • 6 GB RAM
    • UEFI mit aktiviertem Secure Boot
    • und einem virtualisiertem TPM2 Chip

    Damit sind alle Voraussetzungen für Windows 11 und für die automatische Geräteverschlüsselung erfüllt.

    Installiert habe ich mit der offiziellen aktuellen Windows 11 ISO die man bei Microsoft herunterladen kann, das ganze war ein Clean Install.

    Ich habe mich nach der Installation beim Einrichten von Windows 11 mit meinem Microsoft Account angemeldet und Windows Hello mit einem Pin eingerichtet.

    Als das Setup endlich durch war, ging ich in die Systemeinstellungen um den Status der Geräteverschlüsselung zu prüfen -> die war aktiv siehe hier:

    --
    Ciao!

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Offizieller Proton-Botschafter aus der Schweiz 🇨🇭 😅

    Meine Haupt-Distribution ist Ubuntu.

    Mein Blog: https://rueegger.me

    Wer meinen sinnlosen Gedanken folgen möchte, kann dies gerne auf Mastodon tun: https://swiss.social/@srueegger

    Zitat von nicoletta

    Ich habe nun mal Win10 mit einem MS-Konto istalliert und da wird nichts mit default Einstellungen verschlüsselt.

    Wie das nun mit Win11 ist steht noch aus.

    Kann ich bestätigen. Letztens bei jemandem Win10pro installiert, inzwischen sind auch Updates gelaufen...kein Bitlocker.

    HP Elitebook 820 G3 | i5-6200U | Integr. Intel Graphikkarte | 8 GB RAM | 240 GB SSD | 1 TB NVME | MX 23 xfce

    Wie ist es denn wenn du ohne MS-Konto Win11 installierst?

    #ichmussmalmächtigkacken

    Müsste ich testen. Aber das Support Dokument das ich ein paar Beiträge vorher verlinkt habe sagt ja klar: "Automatische Verschlüsselung sobald Microsoft Account hinterlegt wurde" und das ist ja inzwischen der "Standard Weg bei der Win Installation"

    --
    Ciao!

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Offizieller Proton-Botschafter aus der Schweiz 🇨🇭 😅

    Meine Haupt-Distribution ist Ubuntu.

    Mein Blog: https://rueegger.me

    Wer meinen sinnlosen Gedanken folgen möchte, kann dies gerne auf Mastodon tun: https://swiss.social/@srueegger

    Zitat von kim88

    Müsste ich testen. Aber das Support Dokument das ich ein paar Beiträge vorher verlinkt habe sagt ja klar: "Automatische Verschlüsselung sobald Microsoft Account hinterlegt wurde" und das ist ja inzwischen der "Standard Weg bei der Win Installation"

    Für uns ist für unsere Kunden die Installation mit einem lokalen Konto, da wir immer erst ein Administrations-Konto anlegen. Aus dem Grunde würde mich interessieren wie es dann mit der Win11 Inst. ausschaut und einem lokalen Konto.

    Nun habe ich schon oft Win11 installiert, jedoch nicht geprüft ob eine automatische Verschlüsselung dabei vorgenommen wird.

    #ichmussmalmächtigkacken

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden