Bevor ich mit dem Artikel beginne, möchte ich klastellen, dass ich kein Hasser von Microsoft und Windows bin. Ich bevorzuge Linuxbetriebssysteme gegenüber von Windows aus verschiedenen Gründen. Jedoch ziehe ich nicht gegen etwas ins Feld, das ich nicht selber nutze. Auch verurteile ich Windows Nutzer nicht als "Vollidioten" oder "shepple" welche keine Ahnung haben. Jeder Mensch hat seine Gründe wieso er sein Betriebssystem nutzt. Dieser Artikel soll gewisse Punkte aufzeigen welche Microsoft aus meiner Sicht nicht hätte tun sollen. Für gewisse der Themen werde ich ausführlichere eigene Artikel schreiben, sobald ich dazu komme.
Die momentane Stellung von Windows
Microsoft kann nur dafür bewundert werden, dass sie Windows als das Betriebssystem mit der grössten Verbreitung platzieren konnten. Die geschicke von Markteing und Verkaufsabteillung sind nicht klein zu reden.
Dies hat dazu geführt, das Microsoft mit seinem Betriebssystem den weiteren Verlauf der Entwicklung von Computerhardware vorgeben kann. Apple entwickelt die Hardware für seine Computer selbständig und ist daher nicht allzu stark davon betroffen. Ausserdem konnten sie mit den Apple-Sillicon Chips der M Reihe aufzeigen das Microsoft nicht der Innovationsführer ist.
Die hohe Verbreitung von Windows hat zur Folge, dass die grossen Hersteller von Computerhardware, entweder Komponenten oder Komplettsysteme, den Weg von Microsoft vorgegeben bekommen. Halten sie sich nicht daran, so führt dies dazu, das sie vom grössten Teil des Marktes ausgeschlossen werden.
Es gibt speziallisiert Hersteller, wie zum Beispiel Tuxedo Computers und System 76, welche sich auff den Linux Markt konzentrieren und sommit von Microsoft weniger kontrolliert werden. Dies führt jedoch auch dazu, dass der mögliche Markt für diese Hersteller kleiner ist.
Das Problem
Die Regeln und Vorschriften von Microsoft betreffend daher nicht nur Windows Nutzer sonder auch Nerds, welche sich einen Computer selber zusammenbauen und auf diesem Linux betreiben wollen. Jedoch spielen gewisse Handlungen von Microsoft uns Linuxnerds auch in die Hände.
Ich werde mich in diesem Artikel vorerst auf zwei Punkte konzentrieren. Sollte ich Zeit haben, werde ich weitere Punkte hinzufügen oder einen weitere Artikel schreiben.
die beiden Punkte, welche ich hier anführen möchte sind zum einen Secure Boot und die Hardwareanforderungen von Windows 11
Secure Boot
Die meisten Windowsnutzer wissen nicht einmal was Secure Boot ist. Hat man jedoch schon einmal eine Linux Distribution von Hand installiert ist einem Secure Boot sicher ein Begriff.
Das Grundkonzept von Secureboot ist gut. Das Problem liegt nach meiner Sicht in der Umsetzung.
Das Konzept
Eine spezielle Art von Schadsoftware installiert sich selber auf eine weise, welche die Schadsoftware vor dem Betriebssystem lädt. Auf diese Weise hat die Schadsoftware die komplette Kontrolle über den Computer und kann sich vor dem Betriebssystem verbergen.
Ist Secure Boot aktivert, so stellt das UEFI sicher, dass das Betriebssystem, welches gestartet wird, auch die Kontrolle über die Hardware bekommt. Dabei signiert der Hersteller des Betriebssystem diese. Das UEFI überprüft die Signatur und verhindert einen Computerstart für den Fall, dass es die Signatur nicht kennt.
So weiss das Betriebssystem mit Gewissheit, dass es die direkte Kontrolle über die Hardware hat. Dies ist jedoch kein Garant, dass sich keine Schadsoftware auf dem Computer befindet. Jedoch kann sich die Schadsoftware nicht so einfach vor dem Betriebsystem verstecken.
Die Probleme
Wenn das Konzept gut ist, wo ist das Problem? Und wieso hat dies mit Microsoft zu tun? Sie stellen die UEFI ja nicht her. Diese werden durch den Hersteller der Motherboards installiert.
Wie im oberen Abschnitt erklärt wird die Signatur des Betriebssytems getestet. Dazu muss das UEFI die Signaturen kennen, welchen vertraut werden kann. Bei den meisten Computern, vor allem bei einzeln gekauften Motherboards, können die vertrauenswürdigen Signaturen von Hand angepasst werden. Dies ist jedoch ein mühsamer und aufwändiger Schrit, welchen die meisten Computernutzer nicht durchführen wollen.
Da Windows das am weitesten verbreitete Betriebssystem ist und auf über 90% der hergestellten Motherboards landet, werden zumeist nur die Signaturen von Microsoft abgespeichert. Dies führt dazu, dass eine Linuxdistribution nicht gestartet wird, da sie die Signaturen von Microsoft nicht dabei hat.
Jedoch gibt es einen Weg, für Linux Distributionen, die Signatur von Microsoft zu bekommen. Jedoch ist dieser teuer und langwierig. Oft nicht ideal um schnell auf Sicherheitslücken reagieren zu können. Auch kann die Signatur nicht übertragen werden.
Dies führt dazu, dass gewisse Distributionen, wie zum Beispiel Ubuntu, shim einsetzten. Diese Software wird vor dem eigentlichen Betriebssystem geladen und ist von Microsoft mit einer Signatur versehen. Die shim Software lädt nach einem erfolgreichen Start die Signaturen von Ubuntu in den Speicher vom UEFI. Dies ermöglicht es in Zukunft direkt das Ubuntu zu starten, ohne dass der Secure Boot Schutz aktiv wird.
Fazit
Das Konzept funktioniert auf dem Papier. Jedoch hat Microsoft aufgrund der Verbreitung von Windows ein Quasimonopol auf die Schlüssel und kann somit Geld verdienen mit dem Verkauf von Signaturen an andere Herstellern und gleichzeitig entscheiden welche Software vom UEFI aus gestartet werden darf.
Ja, die Hersteller können selber entscheiden welche Signaturen standardmässig vom UEFI akzeptiert werden. Jedoch haben die einzelnen Linux Distributionen zu wenig Marktmacht um sich bei den Herstellern zu empfehlen. Eine Zentralle stelle, welche die Signaturen für alle Distributionen erstellt, ist auch keine ideale Lösung. Diese hätte wieder die Macht zu entscheiden, welche Distributionen Signaturen erhalten und welche nicht.
Einen automtischen Ablauf wäre nicht zu empfehlen. Dieser könnte von Übeltätern benutzt werden, um auch ihre Schadsoftware mit einer Signatur versehen zu können.
Hardwareanforderungen an Windows 11
Mit dem Erscheinen von Windows 11 kam eine beachtliche Anforderungsliste an die Computer, welche Windows 11 laufen lassen wollten. Dabei handelt es sich nicht um Empfehlungen, sondern um klare Grenzen. Ein Upgrade von Windows 10 auf Windows 11 ist nur möglich, wenn die Anforderungen erfüllt sind.
Ich weis das es Wege gibt, das Upgrade zu erzwingen, jedoch wird der Ottonormalverbraucher diese Wege nicht einschlagen.
Installiert man Windows 11 neu über einen USB-Stick, so bekommt man keine Meldung, dass die Anforderungen nicht erfüllt wird. Somit kann man Windows 11 auch auf unsupporteter Hardware installieren. Jeodch hat Microsoft klargestellt, dass sie sich vorbehalten solchen Computern keine Sicherheitsupdates zu liefern.
Nachfolgend gehe ich auf einzelne Anforderungen ein und wieso ich sie führ unnötig halte.
UEFI
Diese Anforderung ist kein grösseres Problem aus meiner Sicht. So kann man Windows 11 nur noch auf Geräte installieren, welche über ein UEFI verfügen. Da UEFI schon seit längerem als Standard vorhanden ist, ist dies eher unkritisch. So haben die meisten Computer, welche heute noch genutzt werden, schon ein UEFI installiert. Auch bringt der UEFI Startvorgang mehrere Verbesserungen im Vergleich zum alten Legacy Modus.
Dies betrifft unter anderem Secure Boot. Falls aus dem bisherigen Verlauf des Artikels nicht klar ersichtlich, bin ich kein Gegner des Secure Boot Mechanismus. Ich bin kein Fan davon, das Microsoft die Signaturen kontrolliert. Sollte Secure Boot von Hardware und Betriebssystem unterstütz werden, so sollte es auch aktiviert werden
TPM
Ich bin absolut kein Fan vom TPM Mechanismus. Das TPM kann vereinfacht als Speicher für Passwörter und Signaturen angesehen werden. Diese können von verschiedene Programmen dort abgelegt werden und wieder aufgerufen werden.
Auch ermöglicht das TPM eine eindeutige Identifikation der Hardware.
Dies sind im Grund keine problematische Fähigkeiten. Jedoch werden diese Mehrheitlich falch eingesetzt. Auch ergibt sich mir nicht den Sinn, wieso diese Fähigkeiten von einem externen Modul erfüllt werden müssen und nich von einer normalen CPU übernommen werden können. Ich spreche hier nicht von einem fTPM, welches ein TPM in die CPU integriert ist, sondern vom komplett weglassen eines externen Moduls dafür. Kann der Hardware eines Computers nicht getraut werden, so sollte nicht ein vertrauenswürdiges Modul angekleistert werden, sonder das Vertrauen in die HArdware erhöht werden.
Meine Problem und Meinungen zu TPMs werde ich in einem weiteren Artikel erläutern.
Die Anforderung von Windows 11 nach einem TPM 2.0 ist aus meiner sicht übertrieben. Ja, die Version 2.0 hat mehr Möglichkeiten und bessere kryptografische Verfahren. Jedoch ist die Rechenleistung vom TPM zu klein, als das sich dass Auslagern von Verschlüsselungen von Festplatten oder NEtzwerkverkehrs lohnen würde.
Gewisse TPM 1.2 können durch ein Softwareupgrade zu einem vollwertigen TPM 2.0 gemacht werden. Jedoch wird auch dies ein Ottonormalverbraucher nicht selber durchführen.
Microsoft Konto
Eine der dümmsten Anforderungen an eine Windows 11 Installation ist das Microsoft Konto. Diese ist nur bei einer Windows 11 Home Edition von Nöten, aber die meisten Menschen nutzen nur eine Home Edition und somit davon betroffen.
Ein verknüpftes Microsoftkonto bringt viele Vorteile, aber auch Komnplexitäten, welche der Durchschnittsnutzer nicht braucht. Möchte ein Benutzer diese Vorteile nicht, so sollte er immer noch ein lokales Konto benutzten können, ohne vorher ein Microsoft Konte erstellt haben zu müssen.
Dieser Punkt nervt mich besonders, da ich bei der Arbeit immer wieder Geräte mit Windows installieren muss. Damit wir sicherstellen können, dass die Geräte alle Trieber haben oder nachinstallieren müssen wir für jeden Gerätetyp eine Windowsinstallation komplet durchspielen und alles auf die Funktionsfähigkeit überprüfen. Anschliessend wird das Gerät gelöscht und entweder eingelagert oder neu installiert.
Unter Windows 10 kann man noch mit einem lokalen Konto installieren. Damit liesen sich die neusten Updates herunterladen und alles auf korrektheit überprüfen. Beim Windows 11 ist dies nicht mehr so einfach möglich. Wir haben kein Microsoft-Konto bei meine Arbeitgeber, welches ich für die Tests nutzen könnte. Ein Konto zu erstellen, nur um dieses einmal pro Monat für eine Installation zu nutzen, welche für 2 Stunden lebt finde ich unnötig. Mein privates Microsoft Konto werde ich nicht dafür nutzen. (Ich habe es noch aus meiner Zeit in dder Ausbildung mit Windows Zwang. Benutzt wird es schon seit Jahren nicht mehr)
Wir haben nun in der Firma die Entscheidung getroffen, dass wir nur noch Windows 10 installieren. Dies vereinfacht unsere Tests und Kontrollen. Jedoch wird jeder Windows Laptop auf Hardware installiert, welche den gehobenen Ansprüchen von Windows 11 genügen.
CPUs
Dieser Punkt ist für mich der lächerlichste. Es gibt eine Liste mit allen unterstützten Prozessoeren. Zwar sind die Anforderung ansonsten mit 1Ghz und 2 Kernen angegeben. Diese werden jedoch auch von viel älteren CPUs erfüllt, als den CPUs in der Liste.
Interessant ist auch, dass es für jede Edition von Windows eine eigene Liste gibt.
Es ist mir bewusst, dass die Benennungsvorschriften von AMD und Intel keine einfache Formel zulassen umd vom Namen auf die Eignung schliessen zu können. Jedoch gibt es ausser aus Leistungssicht keinen Grund ältere Prozessoren auszuschliessen.
Jedoch kann die Leistung nicht der einzige Grund sein. Da ein i9 Prozessor der 7. Generation einen i3 Prozessor der 8. Generation in so ziemlich jeder Leistungsmessung schlägt. Jedoch ist der i9 nicht auf der Liste, der i3 jedoch schon.
Eingrenzungen auf Änderungen im Befehlssatz der Prozessoren würden das Vorgehen mit der Liste am ehesten erklären. Das ist aus meiner Sicht jedoch eine faule Ausrede. Neue Befehle, welche dem X86 Befehlssatz hinzugefügt werden ermöglichen es zumeist spezielle Berechnungen schneller auszuführen als bisher. Für mich erschliesst sich nicht, auf welche Weise dies die Funktion eines Betriebssystems beeinflussen soll.
Microsoft schriebt, das die Prozessoren nach Designprinzipien für Sicherheit und Zuverläsigkeit ausgewählt wurden. Jedoch habe ich noch keine Erläuterung der Prinzipien und ihren Kriterien gefunden.
Diese Eingrenzungen erschliessen sich mir nicht und haben wahrscheinlich keine einfache Erklärung.
Philosophische Suche nach dem Grund
Wieso hat Microsoft die Anforderungen so gewählt wie sie wurden. Das lässt sich von aussen nicht abschliessend beurteilen. Als Argument wurde die erhöhte Sicherheit von Windows 11 angeführt. Jedoch erklärt dies nicht die Anforderungen an die CPU Generation.
Eine Theorie welche immer wieder hochkommt und schlüssig ist, aber nicht bewiesen werden kann ist folgende. So wurden die Anforderungen so hoch angesetzt, damit viele Menschen einen neuen Computer brauchen und somit wieder mehr Computer verkauft werden können. Zum einen freut dies die Hersteller, zum anderen wird auch Microsoft dies in einer Stiegerung des Umsatztes sehen. Den heuzutage sind die Lizenzen für das Windows im UEFI abgelegt. Wird die Hardware ersetzt wird, so wird auch automatischeine neue Lizenz gekauft. Es ist noch selten so, dass die man moderne Computer ohne vorinstallierte Lizenz bekommt. Ausserdem machen sich die wenigsten Menschend die Mühe die Lizenz zu sichern und auf dem neuen Computer wieder zu aktivieren.
Auch eine Theorie ist, das Microsoft das Debakel von Windows Vista nicht wiederhollen möchte. Da Vista massiv mehr Leistung benötigte als die Vorgänger. Die meisten Benutzer dies jedoch nicht mitbekommen haben und somit Vista auf zu schwacher Hardware laufen liesen. So wurden schnell Rufe laut, das Vista langsam sei.
Ist ein Update von Windows 10 auf Windows 11 nur möglich, wenn die Anforderungen erfüllt sind, so ist die Möglichkeit eines erneuten Aufschries kleiner. Jedoch wäre dann die Neuinstallation auf zu schwacher Hardware auch eingegrenzt und nicht wie momentan ohne Probleme möglich.
Auswirkungen
Das Handeln von Microsoft führt dazu, dass die Windows Nutzer immer weniger Freiheiten haben. Aber auch Linux Nutzer bekommen das Handeln zu spüren. Unterdessen können die verbreitesten Linux Distributionen mit Secure Boot umgehen. Bei Problemen ist Secure Boot im UEFI zumeist einfach zu deaktivieren. Jedoch ist dies ein Problem, welches nicht bestehen sollte
Die hohen Anforderungen an die Hardware von Windows 11 können die Linuxnutzer freuen. Dies wird dafür sorgen, dass bis zum Windows 10 EOL immer mehr alte Hardware auf dem Secondhand Markt auftauchen wird, welche die Anforderungen nicht erfüllen. Diese grosse Welle wird auch zu einem fallen der Preise führen.
Mein Arbeitgeber hat auch viel Freude daran, da viele Firmen alle ihre alten Geräte ausmisten um sich auf Windows 11 vorbereiten zu können. Wir können diese Geräte gut gebrauchen, da wir eine grosse Zahl von Geräte mit einer Linux Distribution versehen weitergeben.