IT-Dokumentation - Der Blog

UEFI Secure Boot & TPM im Netzwerk aufspüren

Mo, 25. Oktober 2021

Windows 11 ist im Oktober 2021 an den Start gegangen und wie bei jedem Start einer neuen Version des beliebten Betriebssystems, gibt es wieder viele unterschiedliche Meinungen in allen möglichen Bereichen.

Eine der bekanntesten Gründe für das Aufheulen der Community waren die technischen Voraussetzungen, die nach ersten Erkenntnissen tatsächlich obligatorisch wurden. Natürlich ist die Rede von TPM 2.0 (Trusted Platform Modules) und dem UEFI Secure Boot.

Mittlerweile hat sich zwar herausgestellt, dass sich Windows 11 über das Microsoft Media Creation Tool ohne weiteres auch auf nicht von Microsoft „zertifizierten“ Geräten installieren lässt. Für den IT-Administrator jedoch bleibt es bei einer Umgehung der vorgeschlagenen Anforderungen allerdings bei einem gewissen „Gschmäckle“. Zwar weist auch Microsoft offiziell darauf hin, dass eine Windows 11 Installation möglich ist, druckst sich aber wegen eventuell nicht durchführbarer, zukünftiger Updates herum und empfiehlt natürlich, sich an die vorgegebenen Anforderungen zu halten.

Von Nerds zu IT-Administratoren

Für Bastler und IT-Nerds mag das sicherlich eine hervorragende Herausforderung sein, neben den künstlerischen IT-Fähigkeiten auch den rebellischen Akt der Nichtunterwerfung zu zelebrieren. Für den IT-Administrator, der schnell mal ein paar hundert PCs und Notebooks verwalten und installieren muss, ist das keine so gute Wahl.

Gerade für Unternehmen stellt sich zumindest mittelfristig nicht mehr die Frage, ob sie Windows 11 einsetzen wollen, sondern ab wann. Denn Windows 10 gehört mit dem Erscheinen von Windows 11 zum alten Eisen und wurde mit einem Ablaufdatum versehen. Das Jahr 2025 mag zwar aus der heutigen Sicht noch ein wenig entfernt sein. Beachtet man aber die Laufzeiten der Hardware, sieht die Sache anders aus. Im besten Fall werden PCs und Notebooks nach 5 Jahren ausgetauscht. In der Realität stehen auch Geräte, die 6 bis 10 Jahre auf dem Buckel haben, im Büro und verrichten nach wie vor ihre Arbeit.

Darum wird natürlich bei Neuanschaffungen darauf geachtet, dass Windows 11 auf den neuen Geräten schon lizenziert ist. Bei den meisten Geräten, die von den Markenherstellern wie HP, Dell, Lenovo, Fujitsu und anderen ausgeliefert werden, wird man in Kürze keine andere Wahl mehr haben, als sich für das neueste Betriebssystem zu entscheiden.

Mischkultur ist gut für Wälder – aber nicht für die IT

Jemand, der mit der Verwaltung, Betreuung und Installation von IT-Geräten in einem Unternehmen seine Brötchen verdient, kennt die Bedeutung einer einheitlichen und überall gleich aussehenden IT-Landschaft. Von diesen Leuten möchte kaum jemand einen Mischbetrieb von Windows 7, Windows 8 (8.1), Windows 10 und jetzt zusätzlich Windows 11. In Einzelfällen lässt es sich nicht vermeiden, auf ein altes Betriebssystem zu setzen, der Löwenanteil sollte jedoch immer auf der gleichen Basis arbeiten.

Daher stellt sich unwillkürlich die Frage, welche der bereits vorhandenen Geräte bereits für Windows 11 geeignet sind und welche im Zuge einer dafür notwendigen Erneuerung ausgetauscht werden müssen.

Die gute und die schlechte Nachricht

Zuerst die gute Nachricht: TPM 2.0 und UEFI Secure Boot ist bei vielen, auch älteren Geräten schon lange mit an Bord. Und die Markenhersteller haben diese seit der Auslieferung von Windows 8-Geräten meist auch in den UEFI-Einstellungen auf aktiv gesetzt.

Die schlechte Nachricht: Wurde auf den damaligen Geräten Windows 7 installiert, musste man den UEFI Secure Boot deaktivieren, da sich das Betriebssystem sonst nicht installieren ließ.

Die Krux an der Sache: Mit normalen Bordmitteln lassen sich aus der Ferne keine UEFI-Einstellungen einfach ändern. Es gibt zwar den bekannten Weg, über „Problembehandlung“ und „erweiterte Optionen“ die UEFI-Firmwareeinstellungen aufzurufen, allerdings muss im Anschluss der Computer neu gestartet werden. Erst dann kommt man in das computereigene UEFI-Menü (ähnlich wie ehemals das BIOS), welches die erforderlichen Optionen für TPM und UEFI Secure Boot preisgibt.

Wie kann ich erkennen, ob TPM und UEFI Secure Boot aktiviert sind?

Unter Windows 10 können Sie auf jeder Maschine unter Windows Sicherheit den Status der Sicherheits-Chips aufrufen. Allerdings lässt sich diese Vorgehensweise immer nur an dem jeweiligen Arbeitsgerät ausführen. Das mag bei kleinen Netzwerken gut funktionieren, bei großen Netzwerken mit hunderten Geräten, mit vielleicht auch noch zusätzlichen Standorten, ist das kaum eine Option.

Docusnap bieten speziell für die Abfrage, ob TPM 2.0 und UEFI Secure Boot auf den einzelnen Geräten verfügbar ist, eine schnelle und unkomplizierte Lösung an. Denn wie bei der professionellen Dokumentationssoftware üblich, werden diese Daten bereits bei jedem Scan automatisch in der zentralen Datenbank abgelegt. Über den Bericht „Windows 11 Hardwareprüfung“ kann der aktuelle Status der Geräte abgefragt werden.


Docusnap Windows 11 Hardwareprüfung
Von Docusnap automatisch generierte Windows 11 Hardwareprüfung

Mit Docusnap kann jederzeit und mit wenig Aufwand im Vorfeld geklärt werden, welche Maschinen im Netzwerk für Windows 11 geeignet sind. Und ebenso leicht lässt sich feststellen, bei welchen Geräten man selbst Hand anlegen und eventuell die Einstellungen im UEFI kontrollieren und aktivieren muss.

Wie aus dem Screenshot ersichtlich, können auch zusätzliche Informationen aus dem Hardwareprüfungsbericht gezogen werden. So erkennt man auch schnell, ob das UEFI überhaupt aktiviert wurde oder aus Kompatibilitätsgründen das Legacy-BIOS aktiviert wurde. Bei letzterem ist es übrigens ausgeschlossen, TPM 2.0 oder UEFI Secure Boot zu aktivieren. Hierfür ist ebenfalls zwingend der Einsatz des UEFI erforderlich.
 
So geht’s in Docusnap: