# TPM & Secure Boot: Das Fundament der Hardware-Sicherheit

TL;DR / Management Summary Ein sicheres Betriebssystem braucht eine vertrauenswürdige Hardware-Basis. Das Trusted Platform Module (TPM) ist ein kryptographischer Chip, der Schlüssel sicher speichert, während Secure Boot sicherstellt, dass nur signierter Code (Bootloader, Kernel) ausgeführt wird. Für Senior Admins ist dies die Voraussetzung für BitLocker (Artikel 431), Windows Hello und die generelle Update-Fähigkeit auf Windows 11.

# 1. Einführung & Architektur

Die Vertrauenskette (Chain of Trust).

# Secure Boot

Sorgt dafür, dass keine Rootkits den Boot-Prozess manipulieren.

1. UEFI Firmware prüft die Signatur des Bootmanagers (bootmgfw.efi).
2. Bootmanager prüft den Windows Kernel.
3. Kernel prüft die Treiber (ELAM, Artikel 428).

# TPM (Trusted Platform Module)

Ein dedizierter Chip (oder Firmware-Emulation wie Intel PTT), der:

• Schlüssel generiert: Die privat niemals den Chip verlassen.
• Messungen durchführt: Der “Integritäts-Check” (PCR - Platform Configuration Registers). Wenn sich der Bootloader ändert, verweigert das TPM den Key.

# 2. Management in der Praxis

Hardware bändigen via Windows.

# Status prüfen (PowerShell)

# TPM Status abfragen
Get-Tpm

# Secure Boot Status abfragen
Confirm-SecureBootUEFI

# TPM Initialisierung

In Windows 10/11 übernimmt das System die Verwaltung (“Ready for use”). Manuelles “Ownership” ist meist nicht mehr nötig.

# Öffnet die grafische TPM-Konsole
tpm.msc

# 3. Deep Dive: Firmware-TPM (fTPM) vs. dTPM

Die feinen Unterschiede.

1. dTPM (discrete): Ein eigener Chip auf dem Mainboard. Sicherer gegen physische Side-Channel-Attacken.
2. fTPM / PTT: Teil der CPU-Firmware. Günstiger, für 99% der Business-Anwendungen völlig ausreichend.

# 4. Day-2 Operations: BIOS-Härtung

Schutz vor physischen Angriffen.

Ein TPM ist nutzlos, wenn ein Angreifer das BIOS auf “Legacy” umstellen oder den Chip löschen kann.

• Pflicht: BIOS-Passwort setzen.
• Feature: Viele Hersteller bieten PowerShell-Module (z.B. DellBIOSProvider), um diese Settings zentral via GPO/Intune zu verwalten.

# 5. Troubleshooting & “War Stories”

Wenn die Hardware ‘Nein’ sagt.

# Top 3 Fehlerbilder

1. Symptom: PC sagt “Kein TPM gefunden”, obwohl der Chip verbaut ist.

   • Ursache: TPM ist im BIOS auf “Hidden” oder “Disabled” gestellt.
   • Lösung: Aktivieren unter Security -> TPM Device.

2. Symptom: “Secure Boot Violation” beim Booten.

   • Ursache: Ein nicht signierter Treiber (oft Linux-Dual-Boot oder alte Grafikkarte) wurde erkannt.
   • Lösung: Microsoft Third-Party CA im BIOS erlauben oder Treiber entfernen.

3. Symptom: TPM-Löschung führt zu BitLocker-Sperre.

   • Lösung: Immer den BitLocker-Schutz pausieren, bevor Firmware-Updates oder TPM-Resets durchgeführt werden.

# “War Story”: Der schlafende Chip

Nach einem Update auf Windows 11 meldeten hunderte Workstations “Sicherheits-Attestierung fehlgeschlagen”. Die Entdeckung: Das TPM 2.0 war zwar vorhanden, aber noch im Modus 1.2 konfiguriert. Lösung: Wir mussten ein Remote-Script des Herstellers nutzen, um die Firmware des TPM-Chips im laufenden Betrieb zu flashen. Erst danach erkannte Windows 11 die volle Funktionalität für Windows Hello for Business. Lehre: TPM-Versionen sind nicht nur Software-Stände, sondern oft Hardware-Profile.

# 6. Monitoring & Reporting

Hardware-Compliance tracken.

# Inventarisierung (WMI)

Nutzen Sie Ihr RMM-Tool, um diese Werte zu sammeln:

• ROOT\CIMV2\Security\MicrosoftTpm:Win32_Tpm.IsActivated_InitialValue
• ROOT\CIMV2\Security\MicrosoftTpm:Win32_Tpm.SpecVersion

# 7. Fazit & Empfehlung

Hardware-Security ist heute kein “Extra” mehr, sondern die Basis.

• Empfehlung: Neue Hardware immer mit TPM 2.0 und aktivem Secure Boot bestellen.
• Wichtig: Dokumentieren Sie den Prozess zum Auslesen von BitLocker Recovery-Keys (Artikel 431), da diese bei Hardware-Fehlern Ihre einzige Rettung sind.

# Anhang: Cheatsheet

# Referenzen

• Microsoft Learn: Trusted Platform Module Technology Overview
• UEFI Forum: Secure Boot FAQ
• TPM Analyzer (Tool to inspect PCRs)