Windows-Sicherheit: Standardhardwaresicherheit wird nicht unterstützt.

[Karl100]

Hallo allerseits,

Systemdaten:
WIN 10 PRO 64; 21H2
Board: MSI MPG X570

Die Windows-Sicherheit: => Gerätesicherheit sagt mir bedauerlicherweise:
Die Standardhardwaresicherheit wird nicht unterstützt.

(Allerdings wird das Gerät lt. Gerätesicherheit durch den Sicherheitschip (TPM...) geschützt)


Nun frage ich mich jedoch, wie bedeutsam ist unter diesen Umständen die (fehlende) Unterstützung zumindest der Standardsicherheit, ist sie dann evt. entbehrlich oder kann man das evt. aktivieren oder nachrüsten ?
Wann brauche ich die erweiterte Standardhardwaresicherheit ?



Anm..:
Das MSI-Board hat lt. Datenblatt: TMP (1)
Außerdem erstaunt mich, dass dieses relativ neue Board (2019 Erscheinung) diese Funktion nicht (aktiviert) hat.

Vielen Dank und Gruß
Karl

 

[Wolf.J]

Die Meldung habe ich auch noch nicht gesehen.
Hier eine "Checkliste" von MS, was man eventuell aktivieren kann.
Geräteschutz in Windows-Sicherheit.

 

[runit]

Leider hast Du nicht angegeben, welche CPU Du hast. Das Board unterstützt TPM 2.0. Wenn die CPU es integriert hat, musst Du es nur im Bios aktivieren. Andernfalls müsstest Du ein Modul nachrüsten. Das Board hat dafür einen Steckplatz. Das ist im Datenblatt gemeint mit TPM (1).

Wofür TPM gebraucht und genutzt wird, ist hier erklärt
Windows 11 und TPM 2.0: Was ist es und wofür braucht man es? - Shop onex.store

 

[Karl100]

Leider hast Du nicht angegeben, welche CPU Du hast. Das Board unterstützt TPM 2.0. Wenn die CPU es integriert hat, musst Du es nur im Bios aktivieren. Andernfalls müsstest Du ein Modul nachrüsten. Das Board hat dafür einen Steckplatz. Das ist im Datenblatt gemeint mit TPM (1).

Wofür TPM gebraucht und genutzt wird, ist hier erklärt
Windows 11 und TPM 2.0: Was ist es und wofür braucht man es? - Shop onex.store

Danke, runit, für die hilfreiche Antwort,

Zur Frage: CPU = AMD Ryzen 7 5800X 8-Core

 

[Wolf.J]

Die CPU kann TPM 2.0. Ein zusätzliches Modul brauchst Du nicht.

 

[IT-SK]

Hallo Karl100,
anbei die Anleitung wie Du TPM 2 auf Deinem Board aktivierst:

TPM 2.0 auf MSI Motherboards aktivieren

 

[Karl100]

Danke,

Im BIOS sieht der status quo folgendermaßen aus, wobei TPM meines Erachtens bereits enabled ist:

Allerdings sagt mir s. o. die Gerätesicherheit: Die Standardhardwaresicherheit wird nicht unterstützt.
Also, was fehlt denn noch ?

 

[IT-SK]

Hallo,
meines Wissens besteht die Standardsicherheit für Windows 10
aus folgenden (zwingenden) Punkten:

TPM 2.0
„Sicherer Start“ ist aktiviert
DEP (Datenausführungsverhinderung ) ist vorhanden
UEFI MAT ist vorhanden

Geräteschutz in Windows-Sicherheit

 

[runit]

Meines Erachtens fehlt zu TPM bei Dir nichts. Wenn Du Details zum Sicherheits-Chip klickst, müsste Dein Chip dort mit den Detail-Infos angezeigt werden. - wenn nicht, dann teile das bitte mit. Dann müssen wir gucken, was da nicht stimmt. Im Bios ist diese Einstellung ok.

Dieser Hinweis steht bei mir auch. Ich nehme an, das bezieht sich bei mir auf die Kernisolierung. Die ist deaktiviert, weil sie bei mir nicht unterstützt wird. Secure Boot habe ich ja immer aus, weil ich sonst meine eigenen Medien nicht booten kann. Und außer mir bootet da Niemand Medien. Die Medien, die ich boote, sind nie verseucht. Also brauche ich auch kein Secure Boot und kann dann eben auch auf die Kernisolierung verzichten, weil die ja für Secure Boot ist.

Die Standardhardwaresicherheit ist offenbar so definiert und erfüllt, wenn sowohl Kernisolierung als auch Sicherheitschip aktiv sind.

Sind denn nicht beide Haken grün bei Dir, so wie bei mir? Wenn die Kernisolierung nicht aktiv ist, ist das nicht so tragisch, es sei denn, bei Dir können fremde Personen ihre Medien booten oder Du bootest per se Medien, deren Inhalt nicht geheuer ist.

Möglicherweise bezieht sich auch bei Dir die Aussage der Meldung darauf.

Quelle: https://www.deskmodder.de/wiki/index.php?title=Kernisolierung_aktivieren_deaktivieren_Windows_10

 

[Karl100]

Meines Erachtens fehlt zu TPM bei Dir nichts. Wenn Du Details zum Sicherheits-Chip klickst, müsste Dein Chip dort mit den Detail-Infos angezeigt werden. - wenn nicht, dann teile das bitte mit. Dann müssen wir gucken, was da nicht stimmt. Im Bios ist diese Einstellung ok.

Dieser Hinweis steht bei mir auch. Ich nehme an, das bezieht sich bei mir auf die Kernisolierung. Die ist deaktiviert, weil sie bei mir nicht unterstützt wird. Secure Boot habe ich ja immer aus, weil ich sonst meine eigenen Medien nicht booten kann. Und außer mir bootet da Niemand Medien. Die Medien, die ich boote, sind nie verseucht. Also brauche ich auch kein Secure Boot und kann dann eben auch auf die Kernisolierung verzichten, weil die ja für Secure Boot ist.

Die Standardhardwaresicherheit ist offenbar so definiert und erfüllt, wenn sowohl Kernisolierung als auch Sicherheitschip aktiv sind.

Anhang anzeigen 45602



Sind denn nicht beide Haken grün bei Dir, so wie bei mir? Wenn die Kernisolierung nicht aktiv ist, ist das nicht so tragisch, es sei denn, bei Dir können fremde Personen ihre Medien booten oder Du bootest per se Medien, deren Inhalt nicht geheuer ist.

Möglicherweise bezieht sich auch bei Dir die Aussage der Meldung darauf.

Anhang anzeigen 45603
Quelle: https://www.deskmodder.de/wiki/index.php?title=Kernisolierung_aktivieren_deaktivieren_Windows_10

Gerätesicherheit:
Die Kernisolierung wird bei mir anscheinend auch nicht unterstützt

Sicherheitschip:

Wohl keine Kernisolierung weil Sicherer-Start anscheinend nicht möglich

Die erweiterten Setting helfen dabei wohl auch nicht weiter, oder ?

Gruß

 

[runit]

Secure Boot steht irgendwo unter Advanced/Sicherheit, was Du enable setzen kannst, oder auf disable. Das ist in Deinen Screens nicht zu sehen. Es kann sein, dass Dein Board das Feature Kernisolierung gar nicht unterstützt, weshalb das im Win-Fenster erst gar nicht gezeigt wird. Ich bin aber kein Experte für AMD-Boards, da ich nur Intel-Boards verwende und folglich keine praktischen Erfahrungen damit habe. Alles was ich dazu weiß, habe ich mir angelesen oder recherchiere es bei Bedarf zu einem Thread.

Meines Erachtens musst Du Dir aber weiter keinen Kopf machen. Die Kernisolierung ist optional und keine Vorraussetzung, im Gegensatz zu TPM 2.0 in Win 11. Der TPM-Chip arbeitet korrekt, wie in Deinem Screen zu sehen ist.

Die Chip-Version ist bei mir nahezu identisch mit der Deinen. Lediglich die Version der PC-Clientspezifikation ist bei mir abweichend. Das spielt aber für die Anforderung durch MS keine Rolle.

 

[Karl100]

Secure Boot steht irgendwo unter Advanced/Sicherheit, was Du enable setzen kannst, oder auf disable. Das ist in Deinen Screens nicht zu sehen. Es kann sein, dass Dein Board das Feature Kernisolierung gar nicht unterstützt, weshalb das im Win-Fenster erst gar nicht gezeigt wird. Ich bin aber kein Experte für AMD-Boards, da ich nur Intel-Boards verwende und folglich keine praktischen Erfahrungen damit habe. Alles was ich dazu weiß, habe ich mir angelesen oder recherchiere es bei Bedarf zu einem Thread.

Meines Erachtens musst Du Dir aber weiter keinen Kopf machen. Die Kernisolierung ist optional und keine Vorraussetzung, im Gegensatz zu TPM 2.0 in Win 11. Der TPM-Chip arbeitet korrekt, wie in Deinem Screen zu sehen ist.

Die Chip-Version ist bei mir nahezu identisch mit der Deinen. Lediglich die Version der PC-Clientspezifikation ist bei mir abweichend. Das spielt aber für die Anforderung durch MS keine Rolle.

Anhang anzeigen 45615

Danke, Secure-boot ist jetzt auch aktiviert:

Wg. der "Kernisolierung" habe ich nun eine Anfrage im "MSI Forum" gestellt... .




ZUSATZ

wg. ACER Laptop
Systemdaten:
WIN 10 Home 64, 21h2
Intel i5

Erstaunlich: ca. 4,5 Jahre alter Laptop erfüllt alle 3 Windows-Sicherheit-Features:

1. Kernisolierung
2. Sicherheitschip
3. Sicherer Start

mit "grünem Haken" und damit die Standardhardwaresicherheit.

Aber der Clou bei den Details der Kernisolisierung ist: Die Speicherintegrität steht auf "Aus"

Frage:
Wie bedeutsam ist die "Speicher-Integrität" ?



Danke und Gruß

Karl

 

[Wolf.J]

Lies den Link in dem Beitrag #9 von @runit.
Genau da ist das beschrieben.

 

[Karl100]

Danke, Secure-boot ist jetzt auch aktiviert:


Anhang anzeigen 45620

Wg. der "Kernisolierung" habe ich nun eine Anfrage im "MSI Forum" gestellt... .




ZUSATZ

wg. ACER Laptop
Systemdaten:
WIN 10 Home 64, 21h2
Intel i5

Erstaunlich: ca. 4,5 Jahre alter Laptop erfüllt alle 3 Windows-Sicherheit-Features:

1. Kernisolierung
2. Sicherheitschip
3. Sicherer Start

mit "grünem Haken" und damit die Standardhardwaresicherheit.

Aber der Clou bei den Details der Kernisolisierung ist: Die Speicherintegrität steht auf "Aus"

Frage:
Wie bedeutsam ist die "Speicher-Integrität" ?



Danke und Gruß

Karl

Das MSI-Forum/Moderator (s. o. Anfrage) hat mich wg. der "Kernisolierung" schlicht per Link an "deskmodder.de" verwiesen, wie die WIN-Kernisolierung zu aktivieren ist. Woraus ich schließe, dass das Board alle erforderlichen Voraussetzungen erfüllt.

Es ist nun aber so, dass ich dafür die "WIN Defender Security " nicht aufrufen kann, da ein zusätzlich installiertes AV-Programm (GDATA) aktiv ist. Somit verhindert wohl letztlich dieses AV-Prog., dass die WIN-Kernisolierung aktiviert werden kann. Wenn dann GDATA diese Sicherheitsfunktion "Kernisolierung" auch übernimmt, wäre es ja noch in Ordnung. Ob das aber wirklich der Fall ist, muss ich dann ggf. noch mit GDATA klären, wenn hier keine Erkenntnisse möglich sind.

Gruß
Karl

 

[Wolf.J]

Such mal mit Google nach "g data kernisolierung"
Bei den Treffern bei G DATA steht dann immer

Es fehlt: kernisolierung ‎| Muss Folgendes enthalten: kernisolierung

Zu dem Link vom MSI-Forum/Moderator zu deskmodder vermute ich mal, den hast Du hier auch schon bekommen?

 

[Karl100]

Such mal mit Google nach "g data kernisolierung"
Bei den Treffern bei G DATA steht dann immer

Zu dem Link vom MSI-Forum/Moderator zu deskmodder vermute ich mal, den hast Du hier auch schon bekommen?

Ja, der Link zu "deskmodder" wg .der Kernisolierung kam hier schon von runit.

Deskmodder gibt den interesssanten Hinweis:
=>Als Hinweis: Durch die Kernisolierung kann es dazu kommen, dass einige Programme nicht mehr korrekt ausgeführt werden. Hier muss man dann abwägen, ob man das Programm, oder doch die Kernisolierung nutzen möchte. <=

Welche Erfahrungswerte habt ihr denn damit und welche "üblichen/gängigen" Programme werden denn evt. mit aktivierter Kernisolierung nicht korrekt ausgeführt ?

Zu GDATA:
Wäre ja ein "Ding", wenn GDATA die Aktivierung der WIN-Kernisolierung verhindert und dann keinen adäquaten Ersatz anbietet - bin gespannt was mir GDATA - hoffentlich laienverständlich - mitteilt... .

 

[Wolf.J]

Bei mir läuft die Kernisolierung unter Windows 11.
Ich kenne keine Programme, die wegen Kernisolierung nicht laufen.

 

[Karl100]

Bei mir läuft die Kernisolierung unter Windows 11.
Ich kenne keine Programme, die wegen Kernisolierung nicht laufen.

Und wie war das bei dir mit WIN 10 ?

 

[runit]

Ich denke, das hängt von den jeweils involvierten Treibern ab. Sind die alle optimal, sollten die Programme problemfrei laufen.

 

[Wolf.J]

Der Rechner lief vorher unter 10 mit den gleichen Programmen und Einstellungen.
Da gibt es keinen Unterschied.
Ein weiterer Laptop läuft noch unter 10, mit genau den Einstellungen, da sind sogar uralte Games aus der Zeit von Vista lauffähig.

Beitrag automatisch zusammengeführt: 05.02.2022

Hinsichtlich Treiber hat @runit natürlich Recht, aber da gibt es Regeln und wenn man die befolgt...