Windows 11 Installation in der Praxis

[Takvorian]

Moin,

so, nach allen Konjunktiven zu diesem Thema jetzt mal die Praxis.
Win 11-Bootstick erstellt und auf meinem AMD-System mit Ryzen 7 2700x
gebootet:

Versuch 1
Booten im BIOS-Modus ohne TPM, um Win 11 im BIOS-Modus zu installieren:
"PC erfüllt nicht die Minimalanforderungen" - Keine Installation möglich.

Versuch 2
Booten im UEFI-Modus ohne TPM, um Win 11 im UEFI-Modus zu installieren:
"PC erfüllt nicht die Minimalanforderungen" - Keine Installation möglich.

Versuch 3
Also muss ein TPM her. Ein TPM ist hier nicht verbaut, also im BIOS unter
"Trusted Computing" die Option "Security Device Support" auf "Enable"
gestellt. Damit wird dann "AMD CPU fTPM" aktiviert, als Ersatz für das nicht
vorhandene TPM-Modul eine Art "Firmware-TPM" von AMD.

In Win 10 zeigt nun der Start von "tpm.msc" an, dass TPM vorhanden und
einsatzbereit ist.

Nun erneuter Versuch, Win 11 diesmal mit TPM im BIOS-Modus zu installieren:
"PC erfüllt nicht die Minimalanforderungen" - Keine Installation möglich.

Versuch 4
Stick nun erneut mit TPM im UEFI-Modus gebootet:
Jetzt endlich will er installieren.

Fazit:
Es geht also nur mit TPM und UEFI-Boot. Mit Windows 11 sind keine
BIOS-Installationen mehr möglich. Die schönen einfachen Zeiten sind damit
vorbei. Eine Windows-Installation auf C: alleine ist nicht mehr möglich, man
muss sich nun den UEFI-Quark mit dem halben Dutzend Partitionen antun, die
Windows mit UEFI zwingend braucht.

[Heinz Chrudina]

Am 28. Juni. 2021 um 15:52:29 schrieb Takvorian:

>
> Fazit:
> Es geht also nur mit TPM und UEFI-Boot. Mit Windows 11 sind keine
> BIOS-Installationen mehr möglich. Die schönen einfachen Zeiten sind damit
> vorbei. Eine Windows-Installation auf C: alleine ist nicht mehr möglich, man
> muss sich nun den UEFI-Quark mit dem halben Dutzend Partitionen antun, die
> Windows mit UEFI zwingend braucht.

Danke für die Tests.
Übel, aber war zu befürchten irgendwann.

Kann eigentlich Drive Snapshot das Ganze (UEFI) halbwegs überschaubar
sichern problemlos wiederherstellen? Ich habe da noch keinerlei Erfahrungen.

Heinz

[Franklin Schiftan]

Heinz Chrudina schrieb am 28.06.2021 um 17:16 Uhr:

> Kann eigentlich Drive Snapshot das Ganze (UEFI) halbwegs
> überschaubar sichern problemlos wiederherstellen? Ich habe da
> noch keinerlei Erfahrungen.

Ja.

> Heinz

--
..... und tschuess

Franklin

[Takvorian]

Heinz Chrudina schrieb:

DS ist es egal. Du musst bei UEFI-Windows halt die EFI-Systempartition, die
Windows-Partition und die Wiederherstellungspartititon sichern.

[Thomas Barghahn]

*Takvorian* meinte:

[...]

> Fazit:
> Es geht also nur mit TPM und UEFI-Boot. [...]

Dank(!) für's Ausprobieren.

Freundliche Grüße
Thomas Barghahn 😷
--
+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +
TStGNVI9RzRAODZBQSgnNVA9QiFZPEczVjoyIEw4NiVOPiIhQTxHMVI9R0VTKCY9
VTwnOUEoJzVQPUIhTg0KTTQwVCorRjVWPDIhSDsyIVU8JzhAPEczVj43LEA4NiVO
PDIgTDk+MUooJiVWPEdFVF1EREA4NzlSKCc1UA0KJj1CIUE4NykqDQpgDQo=

[Thomas Barghahn]

*Takvorian* meinte:

> Fazit:
> Es geht also nur mit TPM und UEFI-Boot. [...]

Eine PC-Integritätsprüfung (funktioniert Windows-11 auf meinem PC?)
findet man übrigens hier:

<https://www.microsoft.com/de-de/windows/windows-11>
(ziemlich weit unten)

Hier sieht es so aus:
<https://www.barghahn-online.de/Pictures/Integritaetstest.png>

Mein Laptop aus dem Jahre 2014 hat den Test allerdings *nicht*
bestanden. :-(

Freundliche Grüße
Thomas Barghahn 😷
--
+++ +++ +++ +++ +++ +++ +++ +++ +

Neun Bretter und ein Sterbekleid,
das ist die ganze Herrlichkeit.

[Jörg Tewes]

Thomas Barghahn schrieb:

> *Takvorian* meinte:
>
>> Fazit:
>> Es geht also nur mit TPM und UEFI-Boot. [...]
>
> Eine PC-Integritätsprüfung (funktioniert Windows-11 auf meinem PC?)
> findet man übrigens hier:
>
> <https://www.microsoft.com/de-de/windows/windows-11>
> (ziemlich weit unten)

Es gibt auch noch eine App/Programm von einem externen. Hier

<https://github.com/rcmaehl/WhyNotWin11>
Da steht auch drin warum nicht.

> Hier sieht es so aus:
> <https://www.barghahn-online.de/Pictures/Integritaetstest.png>
>
> Mein Laptop aus dem Jahre 2014 hat den Test allerdings *nicht*
> bestanden. :-(

Naja da fällt ja schon die CPU durch. Und beim RAM könnte es auch
knapp werden. Je nachdem ob schon aufgerüstet wurde.


Bye Jörg

--
Woran erkennen Sie, daß Sie ein Pechvogel sind?
Sie wollten noch mal schnell in den Fahrstuhl furzen und dann bleibt
er stecken!

[Takvorian]

Und auch Win 11 ist immer noch mit einem Win 7-Key aktivierbar.

[Hermann]

Am 28.06.2021 um 17:16 schrieb Heinz Chrudina:
> [...]

> Übel, aber war zu befürchten irgendwann.

So dramatisch ist das nicht.

https://www.youtube.com/watch?v=gO0ppxxfyO0

Gruß

Hermann
--
https://www.youtube.com/watch?v=44pzFiaJ7Bk
https://www.youtube.com/watch?v=piyY097qcrU
https://www.youtube.com/watch?v=vydYOwptW8A
https://www.youtube.com/watch?v=fvQ6fDbLGos

[schorsch]

Am 28.06.2021 um 15:52 schrieb Takvorian:
> Moin,
>
[Löbliche Tests]

> Fazit:
> Es geht also nur mit TPM und UEFI-Boot. Mit Windows 11 sind keine
> BIOS-Installationen mehr möglich. Die schönen einfachen Zeiten sind damit
> vorbei. Eine Windows-Installation auf C: alleine ist nicht mehr möglich, man
> muss sich nun den UEFI-Quark mit dem halben Dutzend Partitionen antun, die
> Windows mit UEFI zwingend braucht.
>

MS hat also nicht gelogen:
https://www.microsoft.com/de-de/windows/windows-11-specifications

Da steht das nämlich auch so ähnlich drin.

[Takvorian]

schorsch schrieb:

> MS hat also nicht gelogen:
> https://www.microsoft.com/de-de/windows/windows-11-specifications
> Da steht das nämlich auch so ähnlich drin.

Lügen tun sie oft genug, aber diesmal anscheinend nicht -
wobei derzeit Tricks umgehen, wie man die TPM-Prüfung und Secure Boot beim
Setup umgehen kann, indem man fremde DLLs ins Setup einbaut. Wer allerdings
will sowas riskieren und wie sieht's beim nächsten Upgrade aus?

[Takvorian]

Hermann schrieb:

> Am 28.06.2021 um 17:16 schrieb Heinz Chrudina:
>> [...]
>> Übel, aber war zu befürchten irgendwann.
>
> So dramatisch ist das nicht.
> https://www.youtube.com/watch?v=gO0ppxxfyO0

Dummerweise hat er einige Fehler in seiner Beschreibung drin. Das
Quellsystem muss nicht so aussehen wie beschrieben, es funktioniert z.B.
auch, wenn es nur aus C: besteht. Weiterhin hat er nicht erwähnt, dass das
Tool gerne die MSR-Partition nicht erstellt, ohne die Windows nicht voll
funktionsfähig ist. Das wäre also mit Diskpart zu prüfen, ein Blick in die
Datenträgerverwaltung genügt nicht. Man muss es auch nicht umständlich in
Win PE machen, sondern kann es direkt im laufenden System ausführen....

Das Drama ist auch nicht die Konvertierung, sondern die Tatsache, dass man
dann mit dem UEFI-Quark leben muss. Für Leute, die nichts davon brauchen,
ist das schlimm.

[Ruediger Lahl]

*Takvorian* schrieb:

Eben. Ich hoffe, sie lassen jetzt wenigstens die i7-7x Reihe drin, die
sie gerade probeweise hinzugenommen haben. Den Rechner habe ich gerade 4
Jahre und das ist ja nun auch nicht irgendeine CPU. Selbiges mit dem
ASUS-Mainboard. Alles zu einer Zeit eingekauft, als TPM tot tot tot war.
Naja, mal gespannt...
--
bis denne

[Takvorian]

Ruediger Lahl schrieb:

Bei Intel kann man ähnlich wie bei AMD ggf. im BIOS fTPM (nennt sich bei
Intel anders) aktivieren, wenn kein TPM-Chip vorhanden ist.

[Manfred Hamernik]

*Takvorian*:
> Hermann schrieb:

>> https://www.youtube.com/watch?v=gO0ppxxfyO0

> [...]

> Das Drama ist auch nicht die Konvertierung, sondern die Tatsache, dass man
> dann mit dem UEFI-Quark leben muss. Für Leute, die nichts davon brauchen,
> ist das schlimm.

Inwiefern ist das schlimm für dich? Beeinträchtigt dich der "UEFI-Quark"
bei der täglichen Arbeit am Pc? Spürst du irgendwelche Nachteile beim
booten oder behindert dich UEFI beim sichern deines Systems?

Gruß, Manfred
--
Es ist nicht so schlimm wie's noch wird.

[Ingo Steinbuechel]

Hallo Hans-Peter,

"Takvorian" <tak...@gmx.de> schrieb:

> Es geht also nur mit TPM und UEFI-Boot. Mit Windows 11 sind keine
> BIOS-Installationen mehr möglich.

was ja gemäß den Systemvoraussetzungen wenig überraschend ist.

Weitere offizielle Infos dazu vom Windows-Team:

https://blogs.windows.com/windows-insider/2021/06/28/update-on-windows-11-minimum-system-requirements/

Gruß Ingo

[Hermann]

Am 29.06.2021 um 13:59 schrieb Manfred Hamernik:
> *Takvorian*:
>> Hermann schrieb:
>
>>> https://www.youtube.com/watch?v=gO0ppxxfyO0
>
>> [...]
>> Das Drama ist auch nicht die Konvertierung, sondern die Tatsache, dass man
>> dann mit dem UEFI-Quark leben muss. Für Leute, die nichts davon brauchen,
>> ist das schlimm.
>
> Inwiefern ist das schlimm für dich? Beeinträchtigt dich der "UEFI-Quark"
> bei der täglichen Arbeit am Pc? Spürst du irgendwelche Nachteile beim
> booten oder behindert dich UEFI beim sichern deines Systems?

Eben.

https://www.heise.de/tipps-tricks/Festplatten-Partitionen-MBR-oder-GPT-4351715.html#GPT%20oder%20MBR?

Gruß

Hermann
--
https://www.youtube.com/watch?v=g87_TVKy8do
https://www.youtube.com/watch?v=ALadGEs-LCI

[Takvorian]

Manfred Hamernik schrieb:

> *Takvorian*:
>> Hermann schrieb:
>
>>> https://www.youtube.com/watch?v=gO0ppxxfyO0
>
>> [...]
>> Das Drama ist auch nicht die Konvertierung, sondern die Tatsache, dass man
>> dann mit dem UEFI-Quark leben muss. Für Leute, die nichts davon brauchen,
>> ist das schlimm.
>
> Inwiefern ist das schlimm für dich? Beeinträchtigt dich der "UEFI-Quark"
> bei der täglichen Arbeit am Pc?

Zur Arbeit gehört auch die Verwaltung des Systems, Sicherung und ggf.
Rücksicherung. Da ist es schon ein Unterschied, ob ich nur eine
Systempartition habe oder wie bei UEFI gleich vier.

> Spürst du irgendwelche Nachteile beim booten

Nein.

> oder behindert dich UEFI beim sichern deines Systems?

Ja, siehe oben, eins gegen vier. Hinzu kommt Secure Boot als Krampf, wenn
man mal andere Bootmedien starten will, hinzu kommt das UEFI-NVRAM als
zusätzliche Problemquelle bezüglich der Bootkonfiguration, was bei
BIOS-Installation alles wegfällt. Weiterhin kann man bei UEFI parallel
installierte OSe nicht mehr wie bei BIOS sauber trennen (das stört mich
eigentlich am meisten!) usw....

[Michael Pachta]

Am 29.06.2021 um 14:01 schrieb Ingo Steinbuechel:
> was ja gemäß den Systemvoraussetzungen wenig überraschend ist.
>
> Weitere offizielle Infos dazu vom Windows-Team:
>
> https://blogs.windows.com/windows-insider/2021/06/28/update-on-windows-11-minimum-system-requirements/

Da steht:

| It has the fundamentals of >1GHz, 2-core processors, 4GB memory, and
| 64GB of storage

Das trifft auf 100 % aller Desktop-Rechner zu, die ich betreue (> 100)
und die alle mit Windows 10 laufen. Aber so gut wie keiner davon dürfte
die sonstigen Voraussetzungen für Win 11 erfüllen. Viele der PCs haben
noch einen Core 2 Duo bzw. Quad oder eine AMD-CPU der A-Serie (mit
jeweils min. 8 GB RAM und einer SSD mit min. 240 GB). Und jetzt mal eben
~50.000 € in die Hand zu nehmen und den Maschinenpark zu erneuern, wäre
utopisch.

[Takvorian]

Hermann schrieb:

> Am 29.06.2021 um 13:59 schrieb Manfred Hamernik:
>> *Takvorian*:
>>> Hermann schrieb:
>>
>>>> https://www.youtube.com/watch?v=gO0ppxxfyO0
>>
>>> [...]
>>> Das Drama ist auch nicht die Konvertierung, sondern die Tatsache, dass man
>>> dann mit dem UEFI-Quark leben muss. Für Leute, die nichts davon brauchen,
>>> ist das schlimm.
>>
>> Inwiefern ist das schlimm für dich? Beeinträchtigt dich der "UEFI-Quark"
>> bei der täglichen Arbeit am Pc? Spürst du irgendwelche Nachteile beim
>> booten oder behindert dich UEFI beim sichern deines Systems?
>
> Eben.
>
> https://www.heise.de/tipps-tricks/Festplatten-Partitionen-MBR-oder-GPT-4351715.html#GPT%20oder%20MBR?

Eben nicht, denn bei BIOS-Installationen ist GPT natürlich ebenfalls
einsetzbar. GPT ist kein Grund für UEFI.

[Thomas Barghahn]

*Ingo Steinbuechel* meinte:

Siehe ergänzend hierzu auch:
<https://www.microsoft.com/de-de/windows/windows-11>
Unter "Machen Sie sich bereit" im letzten Link findet man nun nur noch:

"DEMNÄCHST VERFÜGBAR"

Man hat den Usern wohl mehr Angst als Vertrauen "geschenkt". ;-)

Freundliche Grüße
Thomas Barghahn 😷
--

Fernsehen ist fabelhaft. Man bekommt nicht nur Kopfschmerzen davon,
sondern erfährt auch gleich in der Werbung, welche Tabletten dagegen
helfen.
Bette Davis

[Detlef Meißner]

Am 29.06.2021 um 15:14 schrieb Thomas Barghahn:
> *Ingo Steinbuechel* meinte:
>> Hallo Hans-Peter,
>> "Takvorian" <tak...@gmx.de> schrieb:
>
>>> Es geht also nur mit TPM und UEFI-Boot. Mit Windows 11 sind keine
>>> BIOS-Installationen mehr möglich.
>
>> was ja gemäß den Systemvoraussetzungen wenig überraschend ist.
>> Weitere offizielle Infos dazu vom Windows-Team:
>> https://blogs.windows.com/windows-insider/2021/06/28/update-on-windows-11-minimum-system-requirements/
>
> Siehe ergänzend hierzu auch:
> <https://www.microsoft.com/de-de/windows/windows-11>
> Unter "Machen Sie sich bereit" im letzten Link findet man nun nur noch:
>
> "DEMNÄCHST VERFÜGBAR"
>

Besser wäre:

Demnächst in diesem Theater.

[Herrand Petrowitsch]

Michael Pachta schrieb:
> Ingo Steinbuechel:

| Es geht also nur mit TPM und UEFI-Boot. Mit Windows 11 sind keine
| BIOS-Installationen mehr möglich.

>> was ja gemäß den Systemvoraussetzungen wenig überraschend ist.
>>
>> Weitere offizielle Infos dazu vom Windows-Team:
>>
>> https://blogs.windows.com/windows-insider/2021/06/28/update-on-windows-11-minimum-system-requirements/
>
> Da steht:

[noch mehr]

> | It has the fundamentals of >1GHz, 2-core processors, 4GB memory, and
> | 64GB of storage
>
> Das trifft auf 100 % aller Desktop-Rechner zu, die ich betreue (> 100)
> und die alle mit Windows 10 laufen. Aber so gut wie keiner davon dürfte
> die sonstigen Voraussetzungen für Win 11 erfüllen. Viele der PCs haben
> noch einen Core 2 Duo bzw. Quad oder eine AMD-CPU der A-Serie (mit
> jeweils min. 8 GB RAM und einer SSD mit min. 240 GB). Und jetzt mal eben

Wieso denn "jetzt mal eben"?
Angesichts des zur Zeit kolportierten lifecycle fuer Windows 10 sollte
sich bis Oktober 2025 eine Reinvestition doch ausgehen.

<https://docs.microsoft.com/en-us/lifecycle/products/windows-10-home-and-pro>
<https://docs.microsoft.com/en-us/lifecycle/products/windows-10-enterprise-and-education>

> ~50.000 € in die Hand zu nehmen und den Maschinenpark zu erneuern, wäre
> utopisch.

S.o.

Gruss Herrand
--
Emails an die angegebene Adresse werden gelegentlich sogar gelesen.

[Ruediger Lahl]

*Takvorian* schrieb:

> Ruediger Lahl schrieb:

>> Eben. Ich hoffe, sie lassen jetzt wenigstens die i7-7x Reihe drin, die
>> sie gerade probeweise hinzugenommen haben. Den Rechner habe ich gerade 4
>> Jahre und das ist ja nun auch nicht irgendeine CPU. Selbiges mit dem
>> ASUS-Mainboard. Alles zu einer Zeit eingekauft, als TPM tot tot tot war.
>> Naja, mal gespannt...
>
> Bei Intel kann man ähnlich wie bei AMD ggf. im BIOS fTPM (nennt sich bei
> Intel anders) aktivieren, wenn kein TPM-Chip vorhanden ist.

Jap. Ich fürchte aber, das ist dann nur ein 1.2er und kein 2.0er. Es
wird aber spekuliert, ob Intel das schmerzfrei mit einem Firmware-Update
zurechtbiegen kann.
--
bis denne

[Takvorian]

Ruediger Lahl schrieb:

Hier ist es via fTPM Version 2.0.
Ist ja in wenigen Sekunden getestet, wenn im BIOS möglich.

[Hermann]

Am 29.06.2021 um 14:47 schrieb Takvorian:
> Manfred Hamernik schrieb:
>
>> *Takvorian*:
>>> Hermann schrieb:
>>
>>>> https://www.youtube.com/watch?v=gO0ppxxfyO0
>>
>>> [...]
>>> Das Drama ist auch nicht die Konvertierung, sondern die Tatsache, dass man
>>> dann mit dem UEFI-Quark leben muss. Für Leute, die nichts davon brauchen,
>>> ist das schlimm.
>>
>> Inwiefern ist das schlimm für dich? Beeinträchtigt dich der "UEFI-Quark"
>> bei der täglichen Arbeit am Pc?
>
> Zur Arbeit gehört auch die Verwaltung des Systems, Sicherung und ggf.
> Rücksicherung. Da ist es schon ein Unterschied, ob ich nur eine
> Systempartition habe oder wie bei UEFI gleich vier.

> [...]

Hier bei Windows 10 sind 3 vorhanden. Deine Frickeleien haben keine
Allgemeingültigkeit.

Gruß

Hermann

[Hermann]

Ohne UEFI

[Manfred Hamernik]

*Takvorian*:

> Manfred Hamernik schrieb:
>
>> *Takvorian*:
>>> Hermann schrieb:
>>
>>>> https://www.youtube.com/watch?v=gO0ppxxfyO0
>>
>>> [...]
>>> Das Drama ist auch nicht die Konvertierung, sondern die Tatsache, dass man
>>> dann mit dem UEFI-Quark leben muss. Für Leute, die nichts davon brauchen,
>>> ist das schlimm.
>>
>> Inwiefern ist das schlimm für dich? Beeinträchtigt dich der "UEFI-Quark"
>> bei der täglichen Arbeit am Pc?
>
> Zur Arbeit gehört auch die Verwaltung des Systems, Sicherung und ggf.
> Rücksicherung.

Richtig.

> Da ist es schon ein Unterschied, ob ich nur eine
> Systempartition habe oder wie bei UEFI gleich vier.

Also abgesehen davon dass ich auf dem Datenträger der C:\ beinhaltet
keine 4 Partitionen habe, (die Datenträgerverwaltung zeigt 2 an, mein
Backupprogramm 3) werden die automatisch gesichert. Da muss ich mich
überhaupt nicht drum kümmern. Ähnlich verhält es sich beim Restore. Wenn
ich die komplette Platte wiederherstellen will kostet mich das halt 2
Klicks mehr. Da ich diese Funktion eher selten brauche kann ich damit
sehr gut leben.

>> Spürst du irgendwelche Nachteile beim booten
>
> Nein.
>
>> oder behindert dich UEFI beim sichern deines Systems?
>
> Ja, siehe oben, eins gegen vier. Hinzu kommt Secure Boot als Krampf, wenn
> man mal andere Bootmedien starten will,

Also ich habe hier, wenn ich F8 während des Bootvorgangs drücke eine
Auswahl welches Bootmedium ich starten kann, sehe das Problem nicht...

> hinzu kommt das UEFI-NVRAM als
> zusätzliche Problemquelle bezüglich der Bootkonfiguration, was bei
> BIOS-Installation alles wegfällt.

> Weiterhin kann man bei UEFI parallel
> installierte OSe nicht mehr wie bei BIOS sauber trennen (das stört mich
> eigentlich am meisten!) usw....

Ok, hier bin ich raus, da ich auf jedem meiner Rechner nur ein OS
installiert habe.

[Ruediger Lahl]

http://www.lahls.de/temp/pic/tpmok.jpg

Irnkwann hatte ich mal das intel-ME-Geraffel gelöscht. Nu hab ichs
gebraucht. Also nachinstalliert, upgedatet und dann im UEFI nicht dort
gefunden, wo das Internet meinte das es dort sein sollte, sondern erst
mit stoischen durchsuchen jedes Menüs.

Mainboard ASUS Prime B250-Plus BIOS-Ver 1205

Erweitert->Erweitert\PCH-FW Configuration->Intel Plattform Trust
Technologie [Enabled]

Läuft. Danke für deinen Support!
--
bis denne

[Takvorian]

Hermann schrieb:

>>> Zur Arbeit gehört auch die Verwaltung des Systems, Sicherung und ggf.
>>> Rücksicherung. Da ist es schon ein Unterschied, ob ich nur eine
>>> Systempartition habe oder wie bei UEFI gleich vier.
>>> [...]
>>
>> Hier bei Windows 10 sind 3 vorhanden.

UEFI braucht vier: ESP, MSR, Windows, Recovery

> Ohne UEFI

Bei BIOS sind es drei, wenn das Setup in unpartitionierten Speicher
installiert. Installiert es hingegen in ein vorpartitioniertes System, ist
es ggf. eben nur eine Partition.

>> Deine Frickeleien haben keine Allgemeingültigkeit.

Das Partitionieren einer Platte ist keine Frickelei, sondern notwenige
Verwaltungsarbeit. Jeder macht das nach seinen Vorstellungen. Ich mache es
so, dass ein möglichst einfaches und minimal fehleranfälliges System
entsteht. Also z.B. ohne die Nonsens-Systempartition, die für viele Fehler
gut ist. Das, was allgemein meist an Partitionierung zu finden ist, ist
übler, fehleranfälliger Mist.

[Jörg Tewes]

Manfred Hamernik schrieb:
> *Takvorian*:

>>> oder behindert dich UEFI beim sichern deines Systems?
>>
>> Ja, siehe oben, eins gegen vier. Hinzu kommt Secure Boot als Krampf, wenn
>> man mal andere Bootmedien starten will,

> Also ich habe hier, wenn ich F8 während des Bootvorgangs drücke eine
> Auswahl welches Bootmedium ich starten kann, sehe das Problem nicht...

Dann versuch mal mit eingeschaltetem Secure Boot von einem nicht
signierten Datenträger zu booten. Dann wirst du das Problem sehen.
Entweder es gibt ne Fehlermeldung oder, wie bei meinem Lenovo Laptop,
du landest einfach wieder im Bootmenü.

Achja gängige Linux Distris sind imho signiert.


Bye Jörg

--
If Wonder Woman and Spider-Man go into business together,
they should call it Amazon Web Services.

[Takvorian]

Manfred Hamernik schrieb:

> *Takvorian*:

>> Da ist es schon ein Unterschied, ob ich nur eine
>> Systempartition habe oder wie bei UEFI gleich vier.
>
> Also abgesehen davon dass ich auf dem Datenträger der C:\ beinhaltet
> keine 4 Partitionen habe, (die Datenträgerverwaltung zeigt 2 an,

Wie gerade beschrieben, sind es bei UEFI 4 Partitionen und die
Datenträgerverwaltung zeigt dir die MSR nicht an.

> mein
> Backupprogramm 3) werden die automatisch gesichert. Da muss ich mich
> überhaupt nicht drum kümmern. Ähnlich verhält es sich beim Restore. Wenn
> ich die komplette Platte wiederherstellen will kostet mich das halt 2
> Klicks mehr. Da ich diese Funktion eher selten brauche kann ich damit
> sehr gut leben.

Man muss nun halt damit leben. Ich lebe schlecht damit, weil ich nichts vom
UEFI-Krempel brauche und mir dessen zusätzliches Problempotenzial gerne
ersparen würde.

>>> oder behindert dich UEFI beim sichern deines Systems?
>>
>> Ja, siehe oben, eins gegen vier. Hinzu kommt Secure Boot als Krampf, wenn
>> man mal andere Bootmedien starten will,
>
> Also ich habe hier, wenn ich F8 während des Bootvorgangs drücke eine
> Auswahl welches Bootmedium ich starten kann, sehe das Problem nicht...

Über Secure-Boot-Probleme kann man fast schon ein Buch füllen.

>> hinzu kommt das UEFI-NVRAM als
>> zusätzliche Problemquelle bezüglich der Bootkonfiguration, was bei
>> BIOS-Installation alles wegfällt.
>
>> Weiterhin kann man bei UEFI parallel
>> installierte OSe nicht mehr wie bei BIOS sauber trennen (das stört mich
>> eigentlich am meisten!) usw....
>
> Ok, hier bin ich raus, da ich auf jedem meiner Rechner nur ein OS
> installiert habe.

Mal sehen wie die Finalversion von Win 11 wird. Evtl. stelle ich den
UEFI-Mist bis 2025 zurück.

[Manfred Hamernik]

*Takvorian*:

> Manfred Hamernik schrieb:
>
>> *Takvorian*:
>>> Da ist es schon ein Unterschied, ob ich nur eine
>>> Systempartition habe oder wie bei UEFI gleich vier.
>>
>> Also abgesehen davon dass ich auf dem Datenträger der C:\ beinhaltet
>> keine 4 Partitionen habe, (die Datenträgerverwaltung zeigt 2 an,
>
> Wie gerade beschrieben, sind es bei UEFI 4 Partitionen und die
> Datenträgerverwaltung zeigt dir die MSR nicht an.

Hier existiert eine 100MB EFI Systempartition, eine namenlose 16MB MSR
Partition und schließlich noch die Betriebssystempartition. Keine
Wiederherstellungspartition. Es wundert mich ein wenig, dass einer wie
du, der sein System sauber und schlank hält einen imho nutzlosen Ballast
mit sich rumschleppt.

[Hermann]

Am 29.06.2021 um 22:12 schrieb Takvorian:
> [...]

>>> Deine Frickeleien haben keine Allgemeingültigkeit.
>
> Das Partitionieren einer Platte ist keine Frickelei, sondern notwenige
> Verwaltungsarbeit. Jeder macht das nach seinen Vorstellungen. Ich mache es
> so, dass ein möglichst einfaches und minimal fehleranfälliges System
> entsteht. Also z.B. ohne die Nonsens-Systempartition, die für viele Fehler
> gut ist. Das, was allgemein meist an Partitionierung zu finden ist, ist
> übler, fehleranfälliger Mist.

OK. Deine Befindlichkeiten. Interessiert den meisten Usern auf diesem
Planeten nicht, deren PC funktioniert nach dem Einschalten. ;)

Gruß

Hermann
--
https://www.youtube.com/watch?v=6uMOl8UEzrE
https://www.youtube.com/watch?v=yh6-sb0-lY4
https://www.youtube.com/watch?v=7m7CFCMLbFw
https://www.youtube.com/watch?v=GqIHVJX8HRU

[Robert Jasiek]

Takvorian wrote:
>Über Secure-Boot-Probleme kann man fast schon ein Buch füllen.

Ein paar Beispiele bitte.

[Marc Haber]

Takvorian <tak...@gmx.de> wrote:
>Zur Arbeit gehört auch die Verwaltung des Systems, Sicherung und ggf.
>Rücksicherung. Da ist es schon ein Unterschied, ob ich nur eine
>Systempartition habe oder wie bei UEFI gleich vier.

Laste nicht UEFI an, was Windows verbockt. Für ein UEFI-Linux braucht
man eine EFI System Partition und die eine für das System.

Das ist mir ehrlich gesagt lieber als die sonst übliche Sauerei, die
Dinge, die nicht mehr in den MBR passen, aber noch nicht
Betriebssystem sind, einfach im unpartitionierten Bereich zwischen MBR
und erster Partion abzulegen.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Marc Haber]

Ruediger Lahl <ruedig...@gmx.de> wrote:
>Alles zu einer Zeit eingekauft, als TPM tot tot tot war.

Zu welcher Zeit war TPM tot? Bitlocker hat TPM so weit ich weiß immer
benutzt, wenn es da war. Und die Secure Enclave auf iPhones war eine
der besseren Designideen.

[Ruediger Lahl]

*Marc Haber* schrieb:

> Ruediger Lahl <ruedig...@gmx.de> wrote:
>>Alles zu einer Zeit eingekauft, als TPM tot tot tot war.
>
> Zu welcher Zeit war TPM tot?

2006, als es aufkam, wurde es als ein Versuch betrachtet, mit dessen
Hilfe man ein unkontrollierbares Digital Rights Management durchsetzen
könnte.
https://www.heise.de/newsticker/meldung/Nicht-alle-lieben-TPM-177361.html Auch
mal in die Kommentare schauen.

> Bitlocker hat TPM so weit ich weiß immer benutzt, wenn es da war.

Und wenn es nicht da war, gings IIRC auch ohne.
--
bis denne

[Stefan Kanthak]

"Marc Haber" <mh+usene...@zugschl.us> schrieb:

> Takvorian <tak...@gmx.de> wrote:
>>Zur Arbeit gehört auch die Verwaltung des Systems, Sicherung und ggf.
>>Rücksicherung. Da ist es schon ein Unterschied, ob ich nur eine
>>Systempartition habe oder wie bei UEFI gleich vier.
>
> Laste nicht UEFI an, was Windows verbockt.

Die Einrichtung einer von der Boot-Partition getrennten Recovery-Partition
plus einer "Microsoft Reserved"-Partition lastet Dein Vorposter doch gar
nicht UEFI an!

> Für ein UEFI-Linux braucht man eine EFI System Partition und die eine
> für das System.
>
> Das ist mir ehrlich gesagt lieber als die sonst übliche Sauerei, die
> Dinge, die nicht mehr in den MBR passen, aber noch nicht Betriebssystem
> sind, einfach im unpartitionierten Bereich zwischen MBR und erster
> Partion abzulegen.

Gluecklicherweise machen weder {MS,PC}-DOS noch Windows eine solche
STRUNZEND dumme Sauerei, sondern Frickelkram wie LILO oder GRUB ...
der hierzugrupp OFF-Topic ist.

Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>

[Marc Haber]

Ruediger Lahl <ruedig...@gmx.de> wrote:
>*Marc Haber* schrieb:

>> Bitlocker hat TPM so weit ich weiß immer benutzt, wenn es da war.
>
>Und wenn es nicht da war, gings IIRC auch ohne.

Aber sehr viel unkomfortabler und nicht ansatzweise so sicher.

Ein TPM zu haben, ist gut. Es war nur ein paar wenige Jahre zu früh.

[Matthias Hanft]

Marc Haber schrieb:

> Ruediger Lahl <ruedig...@gmx.de> wrote:
>> *Marc Haber* schrieb:
>>> Bitlocker hat TPM so weit ich weiß immer benutzt, wenn es da war.
>>
>> Und wenn es nicht da war, gings IIRC auch ohne.
>
> Aber sehr viel unkomfortabler und nicht ansatzweise so sicher.

Naja - "geht scho'", wie wir Franken sagen :-)

Ich hab zwei PCs ohne TPM Bitlocker-verschlüsselt. Die Keys befinden
sich auf zwei zugehörigen USB-Sticks, die beim Hochfahren halt drin
stecken müssen - quasi wie ein "Zündschlüssel" beim Auto. Ist jetzt
kein allzu großes Komfortproblem: Reinstecken - Einschalten - Geht.

Und was die Sicherheit betrifft: Vom Key her (Key-Länge, Verschlüs-
selungsverfahren) ist das doch IMHO genauso sicher wie ein TPM, oder?
Ist ja immer "Bitlocker".

Und wer dort in die Wohnung einbricht und den PC ohne Key klaut, kann
IMHO mit der verschlüsselten Festplatte nix anfangen. Und falls ich
den USB-Stick auf meiner Reise irgendwo in Europa verlieren sollte,
weiß auch keiner, zu welchem PC irgendwo in Europa dieser Key gehört.
(Backups der Keys und Papier-Ausdrucke existieren natürlich in aus-
reichend gesicherten Umgebungen.)

Happich was übersehen?

Gruß Matthias.

[Marc Haber]

Matthias Hanft <m...@hanft.de> wrote:
>Ich hab zwei PCs ohne TPM Bitlocker-verschlüsselt. Die Keys befinden
>sich auf zwei zugehörigen USB-Sticks, die beim Hochfahren halt drin
>stecken müssen - quasi wie ein "Zündschlüssel" beim Auto. Ist jetzt
>kein allzu großes Komfortproblem: Reinstecken - Einschalten - Geht.

Und wenn jemand Deinen PC vorher im Griff hatte, hat er dann auch die
Schlüssel ausgelesen.

>Und was die Sicherheit betrifft: Vom Key her (Key-Länge, Verschlüs-
>selungsverfahren) ist das doch IMHO genauso sicher wie ein TPM, oder?

Das TPM rückt den Key niemals raus. Es nutzt ihn nur.

[Matthias Hanft]

Marc Haber schrieb:

>
> Und wenn jemand Deinen PC vorher im Griff hatte, hat er dann auch die
> Schlüssel ausgelesen.

Ok, also Voraussetzung für die Sicherheit ist also offenbar, dass kein
Virus/Trojaner/etc. drauf installiert ist, der meinen Key ausliest.

Dass ich virenfrei bin, davon gehe ich mal aus (sonst hätte ich auch
noch ganz andere Probleme).

Und vermutlich darf niemand den PC im eingeschalteten Zustand klauen?

Gruß Matthias.

[Robert Jasiek]

Matthias Hanft wrote:
>Und vermutlich darf niemand den PC im eingeschalteten Zustand klauen?

Dito Ruhezustand?

[Marc Haber]

Matthias Hanft <m...@hanft.de> wrote:
>Marc Haber schrieb:
>> Und wenn jemand Deinen PC vorher im Griff hatte, hat er dann auch die
>> Schlüssel ausgelesen.
>
>Ok, also Voraussetzung für die Sicherheit ist also offenbar, dass kein
>Virus/Trojaner/etc. drauf installiert ist, der meinen Key ausliest.

Ja. Oder dass keine Schnüffelhardware installiert ist.

>Dass ich virenfrei bin, davon gehe ich mal aus (sonst hätte ich auch
>noch ganz andere Probleme).

Wir sind nur noch wenige Monate von "Bundestrojaner für die
Steuerfahndung" entfernt.

>Und vermutlich darf niemand den PC im eingeschalteten Zustand klauen?

Das ist der GAU, dann steht sogar der Schlüssel für das symmetrische
Cryptoverfahren im RAM.

[Matthias Hanft]

Robert Jasiek schrieb:

> Matthias Hanft wrote:
>> Und vermutlich darf niemand den PC im eingeschalteten Zustand klauen?
>
> Dito Ruhezustand?

Dön gübts hür nücht - meine PCs sind entweder an oder aus.
Diese Schrödinger-Zustände habe ich noch nie gemocht :-)

Gruß Matthias.

[Claus Reibenstein]

Matthias Hanft schrieb am 30.06.2021 um 14:44:

> Robert Jasiek schrieb:

>
>> Dito Ruhezustand?
>
> Dön gübts hür nücht - meine PCs sind entweder an oder aus.

Unsere befinden sich oft im Ruhezustand.

> Diese Schrödinger-Zustände habe ich noch nie gemocht :-)

Wenn man bestimmte Dinge (TV-Aufnahmen, Radiomitschnitte,
Datensicherungen) nachts zeitgesteuert und unbeaufsichtigt durchführen
lassen möchte, geht es kaum ohne den Ruhezustand. Die Alternative wäre,
den Rechner nonstop durchlaufen zu lassen, was mit entsprechendem
Stromverbrauch verbunden wäre.

Gruß
Claus

[Takvorian]

Hermann schrieb:

> Am 29.06.2021 um 22:12 schrieb Takvorian:
>> [...]
>>>> Deine Frickeleien haben keine Allgemeingültigkeit.
>>
>> Das Partitionieren einer Platte ist keine Frickelei, sondern notwenige
>> Verwaltungsarbeit. Jeder macht das nach seinen Vorstellungen. Ich mache es
>> so, dass ein möglichst einfaches und minimal fehleranfälliges System
>> entsteht. Also z.B. ohne die Nonsens-Systempartition, die für viele Fehler
>> gut ist. Das, was allgemein meist an Partitionierung zu finden ist, ist
>> übler, fehleranfälliger Mist.
>
> OK. Deine Befindlichkeiten. Interessiert den meisten Usern auf diesem
> Planeten nicht, deren PC funktioniert nach dem Einschalten. ;)

Bis zu dem Zeitpunkt halt, an dem ein Upgrade mit "Systempartition konnte
nicht aktualisiert werden" scheitert. Die davon betroffenen Leute sind dann
sehr interessiert, besser gesagt, sauer.

[Takvorian]

Manfred Hamernik schrieb:

> *Takvorian*:
>> Manfred Hamernik schrieb:
>>
>>> *Takvorian*:
>>>> Da ist es schon ein Unterschied, ob ich nur eine
>>>> Systempartition habe oder wie bei UEFI gleich vier.
>>>
>>> Also abgesehen davon dass ich auf dem Datenträger der C:\ beinhaltet
>>> keine 4 Partitionen habe, (die Datenträgerverwaltung zeigt 2 an,
>>
>> Wie gerade beschrieben, sind es bei UEFI 4 Partitionen und die
>> Datenträgerverwaltung zeigt dir die MSR nicht an.
>
> Hier existiert eine 100MB EFI Systempartition, eine namenlose 16MB MSR
> Partition und schließlich noch die Betriebssystempartition. Keine
> Wiederherstellungspartition.

Dann hast du unsachgemäß rumgebastelt und das nächste große Upgrade wird dir
wieder eine Wiederherstellungspartition aufs Auge drücken.

> Es wundert mich ein wenig, dass einer wie
> du, der sein System sauber und schlank hält einen imho nutzlosen Ballast
> mit sich rumschleppt.

Die Windows-Wiederherstellungsumgebung ist erstens kein nutzloser Ballast,
sondern sehr wichtig, zweitens hat es keinen Sinn, sie entsorgen zu wollen,
weil Windows sie automatisch wieder erstellt. Es ist auch wesentlich
einfacher, automatisch nach Win RE booten zu können, statt dafür immer einen
Bootstick raussuchen und anschließen zu müssen. Dieses Gefummel wäre mir zu
blöd. Durch Löschen von winre.wim gewinnt man auch kaum Platz, die 500 MB
machen die Suppe nicht fett.

[Takvorian]

Robert Jasiek schrieb:

> Takvorian wrote:
>>Über Secure-Boot-Probleme kann man fast schon ein Buch füllen.
>
> Ein paar Beispiele bitte.

https://t1p.de/xyko
https://t1p.de/v2tn
usw....

[Takvorian]

Marc Haber schrieb:

> Takvorian <tak...@gmx.de> wrote:
>>Zur Arbeit gehört auch die Verwaltung des Systems, Sicherung und ggf.
>>Rücksicherung. Da ist es schon ein Unterschied, ob ich nur eine
>>Systempartition habe oder wie bei UEFI gleich vier.
>
> Laste nicht UEFI an, was Windows verbockt. Für ein UEFI-Linux braucht
> man eine EFI System Partition und die eine für das System.

Ich laste UEFI an, was Windows im UEFI-Modus mit sich bringt und für
zusätzlichen Aufwand und zusätzliches Problempotenzial sorgt.
Richtig zum Kotzen ist z.B., dass ich OSe auf einer Partition nicht mehr
sauber trennen kann...

> Das ist mir ehrlich gesagt lieber als die sonst übliche Sauerei, die
> Dinge, die nicht mehr in den MBR passen, aber noch nicht
> Betriebssystem sind, einfach im unpartitionierten Bereich zwischen MBR
> und erster Partion abzulegen.

In den MBR hat eigentlich nichts zusätzliches reinzupassen. Wer sowas macht,
hat Fehler damit vorprogrammiert.

[Takvorian]

Marc Haber schrieb:

> Matthias Hanft <m...@hanft.de> wrote:
>>Ich hab zwei PCs ohne TPM Bitlocker-verschlüsselt. Die Keys befinden
>>sich auf zwei zugehörigen USB-Sticks, die beim Hochfahren halt drin
>>stecken müssen - quasi wie ein "Zündschlüssel" beim Auto. Ist jetzt
>>kein allzu großes Komfortproblem: Reinstecken - Einschalten - Geht.
>
> Und wenn jemand Deinen PC vorher im Griff hatte, hat er dann auch die
> Schlüssel ausgelesen.

Professionelle Angreifer greifen dann an, wenn gerade entschlüsselt
gearbeitet wird, jede Verschlüsselung ist also voll für die Katz.
Und Gelegenheitsdiebe versuchen eher nie, verschlüsselte Daten zu
entschlüsseln, sie löschen alles und nutzen das Gerät dann für ihre Zwecke
oder verkaufen es.

[Heinz Chrudina]

Am 30. Juni. 2021 um 15:39:12 schrieb Takvorian:

> Die Windows-Wiederherstellungsumgebung ist erstens kein nutzloser Ballast,
> sondern sehr wichtig, zweitens hat es keinen Sinn, sie entsorgen zu wollen,
> weil Windows sie automatisch wieder erstellt.

Macht Windows aber nur dann, wenn man aus dem Iso das Update
installiert. Macht man das über Windows Update, wird sie nicht wieder
angelegt.

[Takvorian]

Heinz Chrudina schrieb:

Ich habe noch nie Online-Upgrades gemacht, muss ich mal testen.

[Marc Haber]

Microsoft scheint das anders zu sehen.

[Heinz Chrudina]

Hmm, hattest nicht gerade du mir erklärt, dass man die Updates nicht aus
dem Iso, sondern über Windows Update macht. Ich hatte doch vor kurzem
nach Update auf 21H1 geschrieben, das die WH-Partition dabei nicht mehr
erstellt wurde.

[Takvorian]

Heinz Chrudina schrieb:

> Am 30. Juni. 2021 um 16:15:33 schrieb Takvorian:
>> Heinz Chrudina schrieb:
>>
>>> Am 30. Juni. 2021 um 15:39:12 schrieb Takvorian:
>>>
>>>> Die Windows-Wiederherstellungsumgebung ist erstens kein nutzloser Ballast,
>>>> sondern sehr wichtig, zweitens hat es keinen Sinn, sie entsorgen zu wollen,
>>>> weil Windows sie automatisch wieder erstellt.
>>>
>>> Macht Windows aber nur dann, wenn man aus dem Iso das Update
>>> installiert. Macht man das über Windows Update, wird sie nicht wieder
>>> angelegt.
>>
>> Ich habe noch nie Online-Upgrades gemacht, muss ich mal testen.
>>
> Hmm, hattest nicht gerade du mir erklärt, dass man die Updates nicht aus
> dem Iso, sondern über Windows Update macht.

Das hast du was falsch verstanden. Ich hatte da deutlich auf den Unterschied
zwischen großen und kleinen Upgrades hingewiesen.
Das betraf die kleinen Upgrades wie 21H1, die nicht wirklich Upgrades sind,
sondern nur wenige KB große Aktivierungsupdates. Sowas per ISO nach der
Inplace-Upgrade-Methode zu machen, wäre Irrsinn. Würde erstens lange dauern
und zweitens viele Einstellungen auf Standard zurücksetzen.

> Ich hatte doch vor kurzem
> nach Update auf 21H1 geschrieben, das die WH-Partition dabei nicht mehr
> erstellt wurde.

Wie gesagt, das war KEIN Upgrade. Dabei wurde Windows nicht neu installiert,
wie es bei den großen Upgrades der Fall ist. Somit wurde auch keine
Wiederherstellungspartition erstellt und wie du sicher gesehen hast, gab es
auch keinen Ordner Windows.old.
21H2 soll wieder ein großes, richtiges Upgrade werden. Das kannst du mit der
ISO.Methode machen. Du musst also schon wissen, welches sogenannte
"Funktionsupdate" ein richtiges Upgrade ist und welches nur ein winziges
Aktivierungsupdate ist.

Egal, ob du die großen Upgrades online über Windows-Update oder via ISO
machst, es wird die Wiederherstellungspartition neu erstellt, falls sie
nicht da ist. Ich hatte vorhin mal ein 1909-System via Windows-Update auf
2004 gebracht, also ein richtiges großes Upgrade. Dabei wurde die
Wiederherstellungspartition neu erstellt. Das Setup hat einfach eine
Partition verkleinert und den freien Platz dafür genutzt. Passiert also
online über Windows-Update genauso wie offline via ISO. Letzteres geht nur
viel schneller.

[Takvorian]

Marc Haber schrieb:

> Takvorian <tak...@gmx.de> wrote:
>>Marc Haber schrieb:
>>
>>> Matthias Hanft <m...@hanft.de> wrote:
>>>>Ich hab zwei PCs ohne TPM Bitlocker-verschlüsselt. Die Keys befinden
>>>>sich auf zwei zugehörigen USB-Sticks, die beim Hochfahren halt drin
>>>>stecken müssen - quasi wie ein "Zündschlüssel" beim Auto. Ist jetzt
>>>>kein allzu großes Komfortproblem: Reinstecken - Einschalten - Geht.
>>>
>>> Und wenn jemand Deinen PC vorher im Griff hatte, hat er dann auch die
>>> Schlüssel ausgelesen.
>>
>>Professionelle Angreifer greifen dann an, wenn gerade entschlüsselt
>>gearbeitet wird, jede Verschlüsselung ist also voll für die Katz.
>>Und Gelegenheitsdiebe versuchen eher nie, verschlüsselte Daten zu
>>entschlüsseln, sie löschen alles und nutzen das Gerät dann für ihre Zwecke
>>oder verkaufen es.
>
> Microsoft scheint das anders zu sehen.

Ich hab von denen bisher nichts gelesen, was darauf hindeutet.
Mit Verschlüsselung ist man vor Kleinkriminellen hinreichend sicher, wenn
allerdings Profis hinter dir her sind, wird's brenzlich. Da hilft dir
Verschlüsselung kaum noch. Die Typen interessieren sich allerdings nicht für
kleine ONUs, sondern mehr für ganz dicke Happen wie große Firmen und
Konzerne, von denen man richtig Kohle erpressen kann.

[Heinz Chrudina]

Am 30. Juni. 2021 um 19:10:43 schrieb Takvorian:
> Heinz Chrudina schrieb:

.
>
>> Ich hatte doch vor kurzem
>> nach Update auf 21H1 geschrieben, das die WH-Partition dabei nicht mehr
>> erstellt wurde.
>
> Wie gesagt, das war KEIN Upgrade. Dabei wurde Windows nicht neu installiert,
> wie es bei den großen Upgrades der Fall ist. Somit wurde auch keine
> Wiederherstellungspartition erstellt und wie du sicher gesehen hast, gab es
> auch keinen Ordner Windows.old.
> 21H2 soll wieder ein großes, richtiges Upgrade werden. Das kannst du mit der
> ISO.Methode machen. Du musst also schon wissen, welches sogenannte
> "Funktionsupdate" ein richtiges Upgrade ist und welches nur ein winziges
> Aktivierungsupdate ist.
>
> Egal, ob du die großen Upgrades online über Windows-Update oder via ISO
> machst, es wird die Wiederherstellungspartition neu erstellt, falls sie
> nicht da ist. Ich hatte vorhin mal ein 1909-System via Windows-Update auf
> 2004 gebracht, also ein richtiges großes Upgrade. Dabei wurde die
> Wiederherstellungspartition neu erstellt. Das Setup hat einfach eine
> Partition verkleinert und den freien Platz dafür genutzt. Passiert also
> online über Windows-Update genauso wie offline via ISO. Letzteres geht nur
> viel schneller.
>

Ok, dann hatte ich das falsch interpretiert. Sind dann immer die Updates
der zweiten Jahreshälfte große? Oder kann das auch wechseln?

[Takvorian]

Heinz Chrudina schrieb:

> Sind dann immer die Updates
> der zweiten Jahreshälfte große? Oder kann das auch wechseln?

Kann wechseln. Wir hatten mittlerweile zwei kleine hintereinander.
21H2 ist wieder als richtiges großes Upgrade angekündigt.

[Manfred Hamernik]

*Takvorian*:
> Manfred Hamernik schrieb:
>> *Takvorian*:
>>> Manfred Hamernik schrieb:
>>>> *Takvorian*:

>>>>> Da ist es schon ein Unterschied, ob ich nur eine
>>>>> Systempartition habe oder wie bei UEFI gleich vier.
>>>>
>>>> Also abgesehen davon dass ich auf dem Datenträger der C:\ beinhaltet
>>>> keine 4 Partitionen habe, (die Datenträgerverwaltung zeigt 2 an,
>>>
>>> Wie gerade beschrieben, sind es bei UEFI 4 Partitionen und die
>>> Datenträgerverwaltung zeigt dir die MSR nicht an.
>>
>> Hier existiert eine 100MB EFI Systempartition, eine namenlose 16MB MSR
>> Partition und schließlich noch die Betriebssystempartition. Keine
>> Wiederherstellungspartition.
>
> Dann hast du unsachgemäß rumgebastelt und das nächste große Upgrade wird dir
> wieder eine Wiederherstellungspartition aufs Auge drücken.

Das werden wir sehen wenn es soweit ist. Und falls das der Fall ist, ist
sie dank Diskpart in wenigen Sekunden wieder Geschichte.

>> Es wundert mich ein wenig, dass einer wie
>> du, der sein System sauber und schlank hält einen imho nutzlosen Ballast
>> mit sich rumschleppt.
>
> Die Windows-Wiederherstellungsumgebung ist erstens kein nutzloser Ballast,
> sondern sehr wichtig, zweitens hat es keinen Sinn, sie entsorgen zu wollen,
> weil Windows sie automatisch wieder erstellt.

Siehe oben, und auch gleich wieder gelöscht. Du sagst, sie sei sehr
wichtig. Für was braucht man die denn?

> Es ist auch wesentlich
> einfacher, automatisch nach Win RE booten zu können, statt dafür immer einen
> Bootstick raussuchen und anschließen zu müssen.

Da hast du recht, das wäre mir auch zu blöd. Darum bleibt der Bootstick
ganz einfach immer angesteckt. Für was hat das Mainboard denn die vielen
USB Anschlüsse. :)

> Dieses Gefummel wäre mir zu
> blöd. Durch Löschen von winre.wim gewinnt man auch kaum Platz, die 500 MB
> machen die Suppe nicht fett.

Aber dafür hättest du dann eine fehleranfällige Partition weniger.

Gruß, Manfred
--
Es ist nicht so schlimm wie's noch wird.

[Matthias Hanft]

Claus Reibenstein schrieb:

>
> Wenn man bestimmte Dinge (TV-Aufnahmen, Radiomitschnitte,
> Datensicherungen) nachts zeitgesteuert und unbeaufsichtigt durchführen
> lassen möchte, geht es kaum ohne den Ruhezustand. Die Alternative wäre,
> den Rechner nonstop durchlaufen zu lassen, was mit entsprechendem
> Stromverbrauch verbunden wäre.

Ich kann meinen PC, obwohl er aus ist (jedenfalls nicht "Ruhezustand")
immerhin per WakeOnLAN starten. Bis auf das LAN-Interface sollte das
also keinen Strom verbrauchen. AFAIK geht das auch per BIOS-Timer (habe
da IIRC entsprechende Einstellungen vorbeihuschen sehen) oder möglicher-
weise sogar vom Router aus (entweder event- oder eben auch timer-
getriggert).

Aber evtl. schau' ich mir diesen "Ruhezustand" doch noch genauer an
(da gibt's doch noch mehr/andere, oder? "Energie sparen" oder so?),
denn seit der RAM-Erweiterung von 16 auf 32 GB läuft mein PC beim
WakeOnLAN nicht mehr 100%ig sicher hoch (brauch' ich gelegentlich,
wenn ich auf Reisen bin); evtl. könnte man ihn dann statt auszu-
schalten und WakeOnLAN zu machen einfach "ruhen" lassen...?! Muss
ich mal testen (an Reisen ist ja derzeit eh nicht zu denken, also
hab ich viiiiel Zeit dafür). Danke für den Input.

Gruß Matthias.

[Matthias Hanft]

Takvorian schrieb:

>
> Und Gelegenheitsdiebe versuchen eher nie, verschlüsselte Daten zu
> entschlüsseln, sie löschen alles und nutzen das Gerät dann für ihre Zwecke
> oder verkaufen es.

Nur das war ja auch Sinn und Zweck meines Tuns. Wenn in die Wohnung
während meiner Abwesenheit eingebrochen wird (also: PC ausgeschaltet,
USB-Key nicht da) und die ganze Einrichtung inkl. PCs geklaut wird,
ist mir das von der Hardware her wurscht (dann kommt halt eine neue
hin), aber die Diebe sollen wenigstens nicht meine Daten lesen können.

Ich denke, dafür ist Bitlocker (auch ohne TPM) geeignet.

Gruß Matthias.

[Jörg Tewes]

Matthias Hanft schrieb:

> Marc Haber schrieb:
>> Ruediger Lahl <ruedig...@gmx.de> wrote:
>>> *Marc Haber* schrieb:
>>>> Bitlocker hat TPM so weit ich weiß immer benutzt, wenn es da war.
>>>
>>> Und wenn es nicht da war, gings IIRC auch ohne.
>>
>> Aber sehr viel unkomfortabler und nicht ansatzweise so sicher.
>
> Naja - "geht scho'", wie wir Franken sagen :-)
>
> Ich hab zwei PCs ohne TPM Bitlocker-verschlüsselt. Die Keys befinden
> sich auf zwei zugehörigen USB-Sticks, die beim Hochfahren halt drin
> stecken müssen - quasi wie ein "Zündschlüssel" beim Auto. Ist jetzt
> kein allzu großes Komfortproblem: Reinstecken - Einschalten - Geht.

Und der USB-Stick muß drin bleiben? Das ist nur praktikabel bei
Desktopgeräten. Für Laptops, ist das praktisch eine Garantie für einen
Defekt des Mainboards.


Bye Jörg

--
No Linux inside

[Jörg Tewes]

Dann hast du das bei Win10 explizit so eingestellt? Standardmäßig geht
der PC bei Win10 nämlich nicht richtig aus.


Bye Jörg

--
"Daß die Regierung das Volk vertrete, ist eine Fiktion, eine Lüge."
(Leo Tolstoi, Tagebücher, 1898)

[Hans-Peter Diettrich]

On 6/30/21 8:55 PM, Matthias Hanft wrote:

> Nur das war ja auch Sinn und Zweck meines Tuns. Wenn in die Wohnung
> während meiner Abwesenheit eingebrochen wird (also: PC ausgeschaltet,
> USB-Key nicht da) und die ganze Einrichtung inkl. PCs geklaut wird,
> ist mir das von der Hardware her wurscht (dann kommt halt eine neue
> hin), aber die Diebe sollen wenigstens nicht meine Daten lesen können.
>
> Ich denke, dafür ist Bitlocker (auch ohne TPM) geeignet.

Wäre es denn *mit* TPM nicht möglich, eine Testdatei zu verschlüsseln,
um an den verwendeten privaten Key zu kommen? Dazu könnte es
möglicherweise genügen, den Hash der verschlüsselten Datei an eine
Datenbank zu schicken, die den Schlüssel zurückliefert.

DoDi

[Matthias Berke]

Am 30.06.2021 um 15:25 schrieb Takvorian:

> Hermann schrieb:

>
>> OK. Deine Befindlichkeiten. Interessiert den meisten Usern auf diesem
>> Planeten nicht, deren PC funktioniert nach dem Einschalten. ;)
>
> Bis zu dem Zeitpunkt halt, an dem ein Upgrade mit "Systempartition konnte
> nicht aktualisiert werden" scheitert. Die davon betroffenen Leute sind dann
> sehr interessiert, besser gesagt, sauer.

Hhhmmm, also ich lass seit UEFI alles von Windows machen und habe so
einen Fehler seitens Windows noch nie erlebt (oder ich hab jetzt nicht
verstanden was Du meinst).
Das "Secure Boot" (hattest Du weiter oben angesprochen) benötige ich
auch nicht - ist eher suboptimal für die Systemwiederherstellung - Ich
schalte es wie TPM schon immer auf Deaktiviert.
Damit hab ich weder bei Acronis (2019), noch MiniTools Probleme bei der
Systemwiederherstellung.
Das TPM soll ja angeblich mehr Sicherheit bieten - das aber hat man
schon bei "Secure Boot" getrötet was letztendlich aber meist nur
Probleme brachte.


Was ich mich frage:
Wozu will WIN 11 das TPM 2.0 genau nutzen? Außerdem stören mich die
Nachteile bei aktivem TPM wie Maschinengenaue Nachverfolgung und die
Ausweitung der DRM-Nachteile.
Das und wozu WIN 11 das TPM 2.0 genau nutzt/benötigt alles dokumentiert
Microsoft meinse Wissens jedoch bisher nicht.
Also was soll das Ganze dann wirklich?
Ich denke da werden sich die Datenschützer noch dran abarbeiten ehe
WIN 11 so in den Vertrieb kommt.


--
mfg
Matthias

[Matthias Hanft]

Jörg Tewes schrieb:
> Matthias Hanft schrieb:

>> Dön gübts hür nücht - meine PCs sind entweder an oder aus.
>> Diese Schrödinger-Zustände habe ich noch nie gemocht :-)
>
> Dann hast du das bei Win10 explizit so eingestellt? Standardmäßig geht
> der PC bei Win10 nämlich nicht richtig aus.

Ja, habe ich. Das ist eines der ersten Dinge, die ich bei
einem frisch installierten Windows stets umstelle. Wenn ich
"Aus!" sage, meine ich auch "Aus!".

Seit SSD-Zeiten ist ein "frisches" Booten ja auch nicht mehr
viel zeitfressender als irgendein "Aufwachen".

Gruß Matthias.

[Matthias Hanft]

Hans-Peter Diettrich schrieb:

>
> Wäre es denn *mit* TPM nicht möglich, eine Testdatei zu verschlüsseln,
> um an den verwendeten privaten Key zu kommen? Dazu könnte es
> möglicherweise genügen, den Hash der verschlüsselten Datei an eine
> Datenbank zu schicken, die den Schlüssel zurückliefert.

Dazu bin ich zu wenig Kryptographie- (und Windows-) Experte.
Aber nachdem ich die Bitlocker-Einstellung "gesamte Platte
verschlüsseln" ausgewählt habe (also wohl inkl. Dateisystem),
wäre es vermutlich ziemlich unmöglich, da überhaupt eine
verschlüsselte Datei draufzukriegen.

Bei Verschlüsselung einzelner Dateien wäre das aber wohl ein
Ansatz, ja.

Gruß Matthias.

[Matthias Hanft]

Jörg Tewes schrieb:
> Matthias Hanft schrieb:
>>

>> Ich hab zwei PCs ohne TPM Bitlocker-verschlüsselt. Die Keys befinden
>> sich auf zwei zugehörigen USB-Sticks, die beim Hochfahren halt drin
>> stecken müssen - quasi wie ein "Zündschlüssel" beim Auto. Ist jetzt
>> kein allzu großes Komfortproblem: Reinstecken - Einschalten - Geht.
>
> Und der USB-Stick muß drin bleiben? Das ist nur praktikabel bei
> Desktopgeräten. Für Laptops, ist das praktisch eine Garantie für einen
> Defekt des Mainboards.

Der USB-Stick muss meines Wissens nur beim Booten drinstecken. Aber ja,
ich verwende dieses System nur auf Desktops. Mein Reise-Laptop hat ein
TPM für Bitlocker.

Gruß Matthias.

[Marc Haber]

Takvorian <tak...@gmx.de> wrote:
>Marc Haber schrieb:
>
>> Takvorian <tak...@gmx.de> wrote:
>>>Marc Haber schrieb:
>>>
>>>> Matthias Hanft <m...@hanft.de> wrote:
>>>>>Ich hab zwei PCs ohne TPM Bitlocker-verschlüsselt. Die Keys befinden
>>>>>sich auf zwei zugehörigen USB-Sticks, die beim Hochfahren halt drin
>>>>>stecken müssen - quasi wie ein "Zündschlüssel" beim Auto. Ist jetzt
>>>>>kein allzu großes Komfortproblem: Reinstecken - Einschalten - Geht.
>>>>
>>>> Und wenn jemand Deinen PC vorher im Griff hatte, hat er dann auch die
>>>> Schlüssel ausgelesen.
>>>
>>>Professionelle Angreifer greifen dann an, wenn gerade entschlüsselt
>>>gearbeitet wird, jede Verschlüsselung ist also voll für die Katz.
>>>Und Gelegenheitsdiebe versuchen eher nie, verschlüsselte Daten zu
>>>entschlüsseln, sie löschen alles und nutzen das Gerät dann für ihre Zwecke
>>>oder verkaufen es.
>>
>> Microsoft scheint das anders zu sehen.
>
>Ich hab von denen bisher nichts gelesen, was darauf hindeutet.

"Windows 11 braucht TPM 2.0" ist eine _sehr_ klare Aussage.

[Stefan Kanthak]

"Marc Haber" <mh+usene...@zugschl.us> schrieb:

> "Windows 11 braucht TPM 2.0" ist eine _sehr_ klare Aussage.

Dummerweise ist das FALSCH: "hard floor" vs. "soft floor"!
Nach derzeitigen Informationen wird Windows 11 mit TPM >=1.2 laufen.

"FUD, FUD, FUD, what a lovely FUD" (c) Monty Python
Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>

[Stefan Kanthak]

"Matthias Hanft" <m...@hanft.de> schrieb:

> Hans-Peter Diettrich schrieb:
>
>> Wäre es denn *mit* TPM nicht möglich, eine Testdatei zu verschlüsseln,
>> um an den verwendeten privaten Key zu kommen? Dazu könnte es
>> möglicherweise genügen, den Hash der verschlüsselten Datei an eine
>> Datenbank zu schicken, die den Schlüssel zurückliefert.

Dummerweise enthaelt ein Hash KEINERLEI (deterministische) Information
ueber den ggf. verwendeten Schluessel.

> Dazu bin ich zu wenig Kryptographie- (und Windows-) Experte.
> Aber nachdem ich die Bitlocker-Einstellung "gesamte Platte
> verschlüsseln" ausgewählt habe (also wohl inkl. Dateisystem),
> wäre es vermutlich ziemlich unmöglich, da überhaupt eine
> verschlüsselte Datei draufzukriegen.
>
> Bei Verschlüsselung einzelner Dateien wäre das aber wohl ein
> Ansatz, ja.

NEIN: Dein strunzend dummer Vorposter glaenzt wie ueblich mit
ALLERGROEBSTEM DUMMFUG!

Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>

[Matthias Hanft]

Stefan Kanthak schrieb:

>
> Nach derzeitigen Informationen wird Windows 11 mit TPM >=1.2 laufen.

Spielen TPM 1.2 im Real Life denn (zahlenmäßig) überhaupt eine
nennenswerte Rolle? In meiner ganzen Umgebung der PCs der letzten
N Jahre gibts entweder TPM 2.0 oder TPM 0.0 :-)

Gruß Matthias.

[Robert Jasiek]

Stefan Kanthak wrote:
>"hard floor" vs. "soft floor"!
>Nach derzeitigen Informationen wird Windows 11 mit TPM >=1.2 laufen.

MS hatte die Unterscheidung "hard floor" vs. "soft floor" wieder
aufgehoben und fordert nun TPM 2.0. Was MS letztlich tut steht in den
Sternen.

[Ingo Steinbuechel]

Hallo Matthias,

"Matthias Berke" <mberke...@gmx.de> schrieb:

> Wozu will WIN 11 das TPM 2.0 genau nutzen? [...]

> Das und wozu WIN 11 das TPM 2.0 genau nutzt/benötigt alles dokumentiert
> Microsoft meinse Wissens jedoch bisher nicht.

vielleicht erhellt (auch) Dich die Stellungnahme des Windows Teams [1].

HTH
Gruß Ingo

[1] https://blogs.windows.com/windows-insider/2021/06/28/update-on-windows-11-minimum-system-requirements/

[Takvorian]

Matthias Berke schrieb:

> Am 30.06.2021 um 15:25 schrieb Takvorian:
>
>> Hermann schrieb:
>>
>>> OK. Deine Befindlichkeiten. Interessiert den meisten Usern auf diesem
>>> Planeten nicht, deren PC funktioniert nach dem Einschalten. ;)
>>
>> Bis zu dem Zeitpunkt halt, an dem ein Upgrade mit "Systempartition konnte
>> nicht aktualisiert werden" scheitert. Die davon betroffenen Leute sind dann
>> sehr interessiert, besser gesagt, sauer.
>
> Hhhmmm, also ich lass seit UEFI alles von Windows machen und habe so
> einen Fehler seitens Windows noch nie erlebt (oder ich hab jetzt nicht
> verstanden was Du meinst).

Früher hatte Windows C: als Systempartition eingerichtet. Seit die
Systempartition als winzige Sonderpartition daher kommt (wird nur für
Bitlocker gebraucht), gibt es Probleme damit, gerne bei Upgrades, wenn das
winzige Ding aus irgendwelchen Gründen nicht aktualisiert werden kann. Ein
recht häufig anzutreffendes Problem im Support. Teilweise packen OEMs auch
Zeug hinein, das dort nichts zu suchen hat. All diese Probleme kann man
vermeiden, wenn man C: zur Systempartiton macht, weil man Bitlocker für C:
nicht einsetzen will. Das geht freilich nur bei BIOS, UEFI hingegen braucht
die Sonderpartition zwingend. Der UEFI-Bootvorgang sucht nach der ESP-GUID.

> Das "Secure Boot" (hattest Du weiter oben angesprochen) benötige ich
> auch nicht - ist eher suboptimal für die Systemwiederherstellung - Ich
> schalte es wie TPM schon immer auf Deaktiviert.

Wenn es für Win 11 aktiviert sein muss, muss es halt aktiviert sein.

> Was ich mich frage:
> Wozu will WIN 11 das TPM 2.0 genau nutzen?

https://de.wikipedia.org/wiki/Trusted_Platform_Module
Bitlocker z.B.... Windows verschlüsselt im Home-Schrott den Leuten ja
ungefragt ihre Daten, wenn das System die Bedingungen erfüllt. Sowas macht
sonst nur Ransomware.

> Außerdem stören mich die
> Nachteile bei aktivem TPM wie Maschinengenaue Nachverfolgung und die
> Ausweitung der DRM-Nachteile.
> Das und wozu WIN 11 das TPM 2.0 genau nutzt/benötigt alles dokumentiert
> Microsoft meinse Wissens jedoch bisher nicht.
> Also was soll das Ganze dann wirklich?
> Ich denke da werden sich die Datenschützer noch dran abarbeiten ehe
> WIN 11 so in den Vertrieb kommt.

Zuerst mal muss Win 11 da sein, dann kann man sich eingehender damit
befassen. Die Testversionen ändern sich ja ständig. Das derzeit unbrauchbare
Startmenü könnte brauchbar werden...

[Takvorian]

Manfred Hamernik schrieb:

>>> Hier existiert eine 100MB EFI Systempartition, eine namenlose 16MB MSR
>>> Partition und schließlich noch die Betriebssystempartition. Keine
>>> Wiederherstellungspartition.
>>
>> Dann hast du unsachgemäß rumgebastelt und das nächste große Upgrade wird dir
>> wieder eine Wiederherstellungspartition aufs Auge drücken.
>
> Das werden wir sehen wenn es soweit ist. Und falls das der Fall ist,

Ja, beim nächsten großen Upgrade garantiert.

> ist sie dank Diskpart in wenigen Sekunden wieder Geschichte.

weiterhin muss die Partition, die dafür verkleinert wurde, wieder vergrößert
werden...

> Siehe oben, und auch gleich wieder gelöscht. Du sagst, sie sei sehr
> wichtig. Für was braucht man die denn?

Für alle Arbeiten, die online nicht möglich sind. Gegenfrage: warum löscht
man sie denn?

>> Es ist auch wesentlich
>> einfacher, automatisch nach Win RE booten zu können, statt dafür immer einen
>> Bootstick raussuchen und anschließen zu müssen.
>
> Da hast du recht, das wäre mir auch zu blöd. Darum bleibt der Bootstick
> ganz einfach immer angesteckt. Für was hat das Mainboard denn die vielen
> USB Anschlüsse. :)

Bei Dauerbetrieb werden die Dinger allerdings recht warm und könnten auch
manipuliert werden, da lässt man doch besser die lausigen 500 MB für das
RE-Image auf der Platte und verwendet den Stick nur in seltenen Notfällen.
Ich nenne das eine Umstandskrämer-Aktion.

>> Dieses Gefummel wäre mir zu
>> blöd. Durch Löschen von winre.wim gewinnt man auch kaum Platz, die 500 MB
>> machen die Suppe nicht fett.
>
> Aber dafür hättest du dann eine fehleranfällige Partition weniger.

Fehler verursacht sie ganz sicher, wenn sie nicht da ist: die
Windows-Upgrades vermurksen die Partitionen, indem sie sie verkleinern und
die Wh-Partition erneut erstellen.

[Takvorian]

Marc Haber schrieb:

> Takvorian <tak...@gmx.de> wrote:
>>Marc Haber schrieb:
>>
>>> Takvorian <tak...@gmx.de> wrote:
>>>>Marc Haber schrieb:
>>>>
>>>>> Matthias Hanft <m...@hanft.de> wrote:
>>>>>>Ich hab zwei PCs ohne TPM Bitlocker-verschlüsselt. Die Keys befinden
>>>>>>sich auf zwei zugehörigen USB-Sticks, die beim Hochfahren halt drin
>>>>>>stecken müssen - quasi wie ein "Zündschlüssel" beim Auto. Ist jetzt
>>>>>>kein allzu großes Komfortproblem: Reinstecken - Einschalten - Geht.
>>>>>
>>>>> Und wenn jemand Deinen PC vorher im Griff hatte, hat er dann auch die
>>>>> Schlüssel ausgelesen.
>>>>
>>>>Professionelle Angreifer greifen dann an, wenn gerade entschlüsselt
>>>>gearbeitet wird, jede Verschlüsselung ist also voll für die Katz.
>>>>Und Gelegenheitsdiebe versuchen eher nie, verschlüsselte Daten zu
>>>>entschlüsseln, sie löschen alles und nutzen das Gerät dann für ihre Zwecke
>>>>oder verkaufen es.
>>>
>>> Microsoft scheint das anders zu sehen.
>>
>>Ich hab von denen bisher nichts gelesen, was darauf hindeutet.
>
> "Windows 11 braucht TPM 2.0" ist eine _sehr_ klare Aussage.

Mir ging es darum, dass Verschlüsselung nichts bringt, wenn Profis am Werk
sind, egal ob mit oder ohne TPM.

[Takvorian]

Matthias Hanft schrieb:

Uff jeden Fall. ;-)

[Marc Haber]

Was Du hier beschreibst ist eine Chosen Plaintext Attack. Das lernt
man in der zweiten Vorlesungsstunde über Kryptografie. Es ist beliebig
wahrscheinlich, dass sich schon jemand tiefere Gedanken über dieses
Angriffsszenario gemacht haben dürfte.

Kurzes Suchen ergab, dass bei Möglichkeit, eine Chosen Plaintext
Attack auf AES durchzuführen, der zu durchsuchendende Schlüsselraum um
zwei Bit reduziert.

Grüße
Marc

[Marc Haber]

"Stefan Kanthak" <postmaster@[127.0.0.1]> wrote:
>"Marc Haber" <mh+usene...@zugschl.us> schrieb:
>> "Windows 11 braucht TPM 2.0" ist eine _sehr_ klare Aussage.
>
>Dummerweise ist das FALSCH: "hard floor" vs. "soft floor"!
>Nach derzeitigen Informationen wird Windows 11 mit TPM >=1.2 laufen.

Um so besser.

Grüße
Marc

[Hans-Peter Diettrich]

On 7/1/21 9:37 AM, Matthias Hanft wrote:
> Hans-Peter Diettrich schrieb:
>>
>> Wäre es denn *mit* TPM nicht möglich, eine Testdatei zu verschlüsseln,
>> um an den verwendeten privaten Key zu kommen? Dazu könnte es
>> möglicherweise genügen, den Hash der verschlüsselten Datei an eine
>> Datenbank zu schicken, die den Schlüssel zurückliefert.
>
> Dazu bin ich zu wenig Kryptographie- (und Windows-) Experte.
> Aber nachdem ich die Bitlocker-Einstellung "gesamte Platte
> verschlüsseln" ausgewählt habe (also wohl inkl. Dateisystem),
> wäre es vermutlich ziemlich unmöglich, da überhaupt eine
> verschlüsselte Datei draufzukriegen.

Der Chip ist von jedem System zugreifbar, das auf der Maschine gebootet
werden kann. Darin sehe ich ein gewisses Gefahrenpotential. Aber
villeicht hat die NSA o.ä. (Bundestrojaner...) das genau so gewollt.

DoDi

[Jörg Tewes]

Matthias Hanft schrieb:

Bei etlichen Thinkpads kann man im BIOS einstellen ob TPM 1.2 oder 2.0
genutzt werden soll. Ich habe einen Kunden der braucht(e) explizit
TPM 1.2.


Bye Jörg

--
"Optimismus ist, bei Gewitter auf dem höchsten Berg in einer
Kupferrüstung zu stehen und »Scheiß Götter!« zu rufen."

[Detlef Meißner]

Am 28.06.2021 um 15:52 schrieb Takvorian:

> so, nach allen Konjunktiven zu diesem Thema jetzt mal die Praxis.

Hier auch:
https://www.heise.de/news/Windows-11-laeuft-auf-dem-Raspberry-Pi-4-6127592.html?wt_mc=rss.red.ho.ho.rdf.beitrag.beitrag

auf einem RasPi.
Alles nicht so tragisch. ;-)

Detlef

[Arno Welzel]

Detlef Meißner:

Das war zu erwarten, nachdem Apple schon länger auf ARM-Prozessoren
setzt, auch bei den Laptops.

Intel wird sich warm anziehen müssen, wenn sie sich nicht nur auf Gamer
und High-End-Workstations bedienen wollen. Denn für alles andere reicht
ein etwas besserere ARM-Prozessor vollkommen aus.


--
Arno Welzel
https://arnowelzel.de

[Manfred Hamernik]

*Takvorian*:

> Manfred Hamernik schrieb:
>
>>>> Hier existiert eine 100MB EFI Systempartition, eine namenlose 16MB MSR
>>>> Partition und schließlich noch die Betriebssystempartition. Keine
>>>> Wiederherstellungspartition.
>>>
>>> Dann hast du unsachgemäß rumgebastelt und das nächste große Upgrade wird dir
>>> wieder eine Wiederherstellungspartition aufs Auge drücken.
>>
>> Das werden wir sehen wenn es soweit ist. Und falls das der Fall ist,
>
> Ja, beim nächsten großen Upgrade garantiert.
>
>> ist sie dank Diskpart in wenigen Sekunden wieder Geschichte.
>
> weiterhin muss die Partition, die dafür verkleinert wurde, wieder vergrößert
> werden...

man kann den Platz aber auch unpartitioniert stehen lassen. Für den Fall
dass Windows beim nächsten großen Upgrade die Partition wieder erstellt.

>> Siehe oben, und auch gleich wieder gelöscht. Du sagst, sie sei sehr
>> wichtig. Für was braucht man die denn?
>
> Für alle Arbeiten, die online nicht möglich sind.

Aha, was sind das für Arbeiten?

> Gegenfrage: warum löscht man sie denn?

Weil sie nicht gebraucht wird und darum auch nicht mitgesichert werden muss.

>>> Durch Löschen von winre.wim gewinnt man auch kaum Platz, die 500 MB
>>> machen die Suppe nicht fett.
>>
>> Aber dafür hättest du dann eine fehleranfällige Partition weniger.
>
> Fehler verursacht sie ganz sicher, wenn sie nicht da ist: die
> Windows-Upgrades vermurksen die Partitionen, indem sie sie verkleinern und
> die Wh-Partition erneut erstellen.

Nicht, wenn der Platz (siehe oben) unpartitioniert auf der Platte
vorhanden ist.

Gruß, Manfred
--
Es ist nicht so schlimm wie's noch wird.

[Takvorian]

Manfred Hamernik schrieb:

> *Takvorian*:
>> Manfred Hamernik schrieb:
>>
>>>>> Hier existiert eine 100MB EFI Systempartition, eine namenlose 16MB MSR
>>>>> Partition und schließlich noch die Betriebssystempartition. Keine
>>>>> Wiederherstellungspartition.
>>>>
>>>> Dann hast du unsachgemäß rumgebastelt und das nächste große Upgrade wird dir
>>>> wieder eine Wiederherstellungspartition aufs Auge drücken.
>>>
>>> Das werden wir sehen wenn es soweit ist. Und falls das der Fall ist,
>>
>> Ja, beim nächsten großen Upgrade garantiert.
>>
>>> ist sie dank Diskpart in wenigen Sekunden wieder Geschichte.
>>
>> weiterhin muss die Partition, die dafür verkleinert wurde, wieder vergrößert
>> werden...
>
> man kann den Platz aber auch unpartitioniert stehen lassen. Für den Fall

"Für den Fall" ist falsch, das passiert garantiert.

> dass Windows beim nächsten großen Upgrade die Partition wieder erstellt.

Kann man, allerdings ist durchaus nicht sicher, dass er dann verwendet wird.
Evtl. schneidet das Setup wieder von einer Partition etwas ab. Alles schon
vorgekommen. Besser, man lässt solche Pfuscherei einfach bleiben. Wenn man
den Platz schon frei lässt, kann man ebenso gut die Wh-Partition darauf
lassen.

>>> Siehe oben, und auch gleich wieder gelöscht. Du sagst, sie sei sehr
>>> wichtig. Für was braucht man die denn?
>>
>> Für alle Arbeiten, die online nicht möglich sind.
>
> Aha, was sind das für Arbeiten?

Reparaturen am OS, löschen und bearbeiten von Daten, die online nicht zu
bearbeiten sind.... Da kann man ein ganzes Buch vollschreiben.

>> Gegenfrage: warum löscht man sie denn?
>
> Weil sie nicht gebraucht wird und darum auch nicht mitgesichert werden muss.

Sie wird ja gebraucht. Zeigt sich darin, dass der User ohne sie ständig
einen Bootstick eingesteckt hat. Das würde er ja nicht machen, wenn es nicht
nötig wäre. :o)

>>>> Durch Löschen von winre.wim gewinnt man auch kaum Platz, die 500 MB
>>>> machen die Suppe nicht fett.
>>>
>>> Aber dafür hättest du dann eine fehleranfällige Partition weniger.
>>
>> Fehler verursacht sie ganz sicher, wenn sie nicht da ist: die
>> Windows-Upgrades vermurksen die Partitionen, indem sie sie verkleinern und
>> die Wh-Partition erneut erstellen.
>
> Nicht, wenn der Platz (siehe oben) unpartitioniert auf der Platte
> vorhanden ist.

Das ist Wunschdenken (siehe oben). Und wenn man den Platz schon frei lässt,
kann man ebenso gut die Wh-Partition darauf belassen und somit Win PE mit
einem Klick aus Windows heraus starten, ohne umständlich mit externem Zeug
rumfummeln zu müssen.

[Takvorian]

Nachtrag:

Dass man für Win 11 die diversen Prüfungen beim Setup abschalten kann, ist
ja bekannt. Ich ging bisher aber davon aus, dass man für Win 11 zwar kein
Secure Boot aktiviert haben muss, aber zumindest die Installation im
UEFI-Modus erfolgen muss, also UEFI-Firmware gegeben sein muss.
Selbst das ist nicht der Fall. Gerade Win 11 auf dem ältesten Desktop, den
ich habe (Intel Core i5 4670 ohne TPM), problemlos im BIOS-Modus installiert
- auf einer einzigen Partition, also keine separate System- und keine
separate Wiederherstellungspartition.
Es genügt, nach Booten des Setups die bekannte Reg-Datei für Win PE
einzuspielen:
----------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig]
"BypassTPMCheck"=dword:00000001
"BypassSecureBootCheck"=dword:00000001
"BypassRAMCheck"=dword:00000001
"BypassStorageCheck"=dword:00000001
"BypassCPUCheck"=dword:00000001
--------------------------------------------------------------
Danach läuft die Installation problemlos durch. Unter "Anmeldeoptionen" hat
man im Setup (Pro) die Möglichkeit, ein lokales Konto einzurichten.
Mittlerweile läuft hier ein anderes (Win 11-kompatibles) Gerät voll
installiert mit allen Programmen im produktiven Test-Modus, dummerweise als
UEFI-Installation. Sollte der Trick aber auch in der Endversion noch
funktionieren, wird es sofort nach BIOS konvertiert, das walte Hugo.