Treibersignaturanforderungen in Windows 11: Eine Sicherheitsfunktion, die die Benutzerfreiheit einschränkt und die Benutzererfahrung beeinträchtigt

Technik
By Merwan Redha

Es besteht kein Zweifel, dass Windows 11, das weltweit am häufigsten verwendete Desktop-Betriebssystem, einige Probleme hat. Trotz dieser Probleme ist es jedoch die ausgereifteste Version des Betriebssystems des Unternehmens, trotz der unerwünschten Ergänzungen, die viele Benutzer dazu veranlasst haben, entweder Bleiben Sie so lange wie möglich bei Windows 10 oder auch Wechseln Sie stattdessen zu LinuxEs gibt jedoch einen bestimmten Aspekt von Windows, der mich schon immer gestört hat, und zwar die langjährige Richtlinie von Microsoft, dass Treiber digital signiert werden müssen, bevor das Betriebssystem sie lädt.

Windows 11-Wiederherstellungsumgebung

Vereinfacht ausgedrückt ist ein Treiber ein Low-Level-Code (oft im Betriebssystemkernel ausgeführt), der die Interaktion von Hardware oder Software mit Windows ermöglicht. Ein signierter Treiber enthält eine kryptografische Signatur einer vertrauenswürdigen Autorität (z. B. ein Microsoft-Zertifikat oder früher eine von Microsoft anerkannte Zertifizierungsstelle), die Windows auf Authentizität und Integrität überprüft, bevor die Ausführung freigegeben wird. Diese Implementierung der Treibersignatur hat sich im Laufe der Jahrzehnte weiterentwickelt und ist zu einem obligatorischen Gatekeeper geworden. Sie hat einen doppelten Charakter.

Einerseits verbessert es unbestreitbar die Sicherheit, indem es Schadsoftware daran hindert, auf solch einer tiefen Ebene zu agieren (jedenfalls ohne ein entsprechendes Zertifikat, das gestohlen werden kann), andererseits schränkt es die Kontrolle des Benutzers ein und erfordert die Einhaltung der Microsoft-Regeln. Es ist zwar ein Hindernis für die Freiheit des Benutzers, bietet aber auch klare Vorteile. Es ist eines der besten Sicherheitsfeatures von Windows, aber seine bloße Existenz ist grundsätzlich verbraucherfeindlich.

Was sind Fahrersignaturen?

Treibersignaturen sind digitale Zertifikate, die von Microsoft oder einer anderen vertrauenswürdigen Stelle für Gerätetreiber vergeben werden. Diese Signaturen signalisieren Windows, dass der Treiber echt ist und nach der Veröffentlichung durch den Gerätehersteller nicht manipuliert oder verändert wurde. Betrachten Sie sie als digitales Gütesiegel, das die Integrität und Zuverlässigkeit des Treibers garantiert.

Mit anderen Worten: Auf diese Weise lässt sich die Identität des Treiberherausgebers überprüfen und sicherstellen, dass die Software nicht manipuliert wurde. Dies ist äußerst wichtig, da Treiber tief im Betriebssystem agieren. Schädliche oder instabile Treiber können schwerwiegende Probleme wie Systemabstürze oder sogar Sicherheitslücken verursachen.

Wenn Sie einen signierten Treiber installieren, überprüft Windows die Signatur, bevor die Installation des Treibers zugelassen wird. Ist die Signatur gültig, bedeutet dies, dass der Treiber von Microsoft oder einer anderen vertrauenswürdigen Partei getestet und zertifiziert wurde und sicher installiert werden kann. Ist die Signatur ungültig oder fehlt, warnt Windows Sie, dass der Treiber möglicherweise unsicher oder nicht mit Ihrem System kompatibel ist.

Warum sind Fahrersignaturen wichtig?

  1. Sicherheit: Verhindert die Installation schädlicher oder modifizierter Treiber, die Ihr System gefährden könnten.
  2. Stabilität: Stellt sicher, dass die Treiber mit Windows kompatibel sind und keine Systemprobleme verursachen.
  3. Zuverlässigkeit: Zeigt an, dass der Treiber von Microsoft oder einer anderen vertrauenswürdigen Partei getestet und zertifiziert wurde.

Treibersignaturen sind ein wichtiger Sicherheitsmechanismus, der Ihr System vor Malware schützt und dessen Stabilität und Zuverlässigkeit gewährleistet. Daher ist es immer ratsam, nur signierte Treiber zu installieren.

Eine lange Geschichte des Schutzes

Überprüfen Sie die Treiberergebnisse in LatencyMon

Die Treibersignatur ist ein wichtiger Bestandteil der Code Integrity Security-Funktion von Microsoft, das erstmals in der Ära der Windows Vista Es wurde obligatorisch mit Windows 10, Version 1607. Das Konzept ist einfach und unkompliziert: Jeder Code, der im Kernel ausgeführt wird, muss Windows (bekannt als „Ring 0“) Eine gültige digitale Signatur von einer vertrauenswürdigen Autorität. Laut der Dokumentation Microsoft Offiziell verbessert die Codeintegrität „die Sicherheit eines Betriebssystems, indem sie die Integrität eines Treibers oder einer Systemdatei jedes Mal überprüft, wenn sie in den Speicher geladen wird“, und in Versionen Windows 64-Bit-Kernel-Mode-Treiber müssen digital signiert sein. In der Praxis bedeutet dies, dass Windows Jedem Fahrer, der nicht über ein anerkanntes Zertifikat verfügt, wird die Beladung verweigert.

Wie bei anderen Betriebssystemen ist der Kernel (ntoskernel.exeoder Kern Windows NT) ist der Kern des Betriebssystems mit den höchsten Berechtigungen. Daher ist es entscheidend, die Ausführung nicht autorisierten Codes in diesem Bereich zu verhindern. Digitale Signaturen stellen sicher, dass ein Treiber von einem bestimmten Entwickler veröffentlicht und seitdem nicht manipuliert wurde. Einfach ausgedrückt: Unsignierte oder böswillig veränderte Treiber werden gemäß der Standardrichtlinie nicht installiert. Aus Sicherheitssicht ist dies eine gute Sache, die Verbraucher und Unternehmen gleichermaßen schützt.

In der Praxis bedeutet dies, dass legitime Hardware-Anbieter und Entwickler einen Prozess durchlaufen, bei dem sie ihre Treiber signieren, und in Windows Modern bedeutet dies oft, dass man ein erweitertes Verifizierungszertifikat erhält und den Fahrer zu Microsoft Um es zu genehmigen. Wenn Code ohne diese Genehmigung im Kernel ausgeführt werden soll, wird eine Fehlermeldung ähnlich der folgenden angezeigt: „Kann nicht Windows Überprüfen Sie die digitale Signatur der für dieses Gerät erforderlichen Treiber.“ Dadurch wird eine ganze Klasse von Angriffen verhindert, bei denen Malware ein Rootkit oder einen bösartigen Treiber installieren könnte, um die vollständige Kontrolle über das System zu übernehmen. Windows Bei 64 Bit ist das Laden eines Gerätetreibers im Wesentlichen die einzige unterstützte Möglichkeit, beliebigen Code im Kernel auszuführen, und dies funktioniert bei nicht signierten ausführbaren Dateien überhaupt nicht.

Was ist mit dem Administrator? Nun, selbst Konten mit dieser Berechtigungsstufe sind nicht ausgenommen. Unabhängig von Ihrer Identität können Sie keinen unsignierten Treiber laden auf Windows 64-Bit. Die einzige Möglichkeit, es zu deaktivieren, besteht darin, die Boot-Option „Treibersignatur-Durchsetzung deaktivieren“ zu verwenden, die beim nächsten Booten zurückgesetzt wird, oder bcdedit Um die Überprüfung vollständig zu deaktivieren. Das ist ein Sicherheitsnetz, das ich eingerichtet habe. Microsoft Auch der Computerbesitzer sollte es nicht umgehen.

Microsoft hat die Anforderungen im Laufe der Jahre verschärft.

Im Laufe der Jahre hat Microsoft die Anforderungen an das Windows-Betriebssystem schrittweise verschärft, um ein reibungsloseres und sichereres Benutzererlebnis zu gewährleisten. Diese geänderten Anforderungen spiegeln den kontinuierlichen technologischen Fortschritt, die Notwendigkeit zur Leistungssteigerung und den verbesserten Schutz vor wachsenden Sicherheitsbedrohungen wider. Mit jeder neuen Windows-Version erhöht Microsoft die Mindestanforderungen für einen effizienten Systembetrieb. Dabei liegt der Schwerpunkt insbesondere auf Prozessor, Arbeitsspeicher (RAM) und Speicherplatz sowie der Unterstützung neuester Technologien wie dem Trusted Platform Module (TPM).

Diese Verschärfung der Anforderungen hat direkte Auswirkungen auf die Nutzer, da einige feststellen, dass ihre älteren Geräte die neuesten Windows-Versionen möglicherweise nicht ausführen können. Dieser Schritt ermöglicht es Microsoft jedoch, neue und verbesserte Funktionen einzuführen, die Gesamtsystemleistung zu verbessern und ein höheres Maß an Sicherheit zu bieten. Beispielsweise erfordern einige erweiterte Funktionen in Windows 11 moderne Prozessoren, die bestimmte Anweisungen unterstützen, sowie das Vorhandensein eines TPM 2.0-Moduls für verbesserte Sicherheit und Datenschutz.

Darüber hinaus ermöglicht die Verschärfung der Anforderungen Microsoft, sich auf die Unterstützung moderner Geräte und die Verbesserung der Kompatibilität mit den neuesten Technologien zu konzentrieren, was zu einem insgesamt besseren Benutzererlebnis führt. Dies kann zwar für Benutzer älterer Geräte mit einigen Unannehmlichkeiten verbunden sein, stellt jedoch sicher, dass Benutzer, die ihre Geräte aktualisieren oder neue kaufen, die bestmögliche Leistung und Sicherheit des Windows-Betriebssystems erhalten.

Es begann mit einem einfachen Tool zum Überprüfen von Gerätetreibern.

Grafische Benutzeroberfläche für den Driver Verifier in Windows 2000

Microsoft begann Mitte der 2000er Jahre, digitale Signaturen für Gerätetreiber zu verlangen, als die Bedenken hinsichtlich Spyware, Rootkits und der Betriebssystemstabilität zunahmen. Ab Windows XNUMX war Driver Verifier ein Kommandozeilenprogramm, mit dem Gerätetreiber auf unzulässige Funktionen getestet und Fehler erkannt werden konnten. Mit der Einführung von Windows XP wurde es um eine grafische Benutzeroberfläche erweitert. Damals war die Treibersignatur zwar bereits vorhanden, aber nicht zwingend erforderlich. Über eine Gruppenrichtlinie konnte die Installation jedoch vollständig verhindert, der Benutzer gewarnt, aber zugelassen oder einfach im Hintergrund installiert werden.

Dies änderte sich mit den x64-Versionen von Windows. Beginnend mit Windows Vista (und bis hin zu Windows XP x64 Edition in eingeschränkter Form), Obwohl Sie ein Zertifikat selbst signieren können,), erforderten 64-Bit-Windows-Systeme die Signierung von Kernel-Modus-Definitionen als Teil einer umfassenderen Sicherheitsinitiative, zu der auch Kernel Patch Protection, informell PatchGuard genannt, gehörte. Die Einführung der obligatorischen Signierung in Vista x64 war damals umstritten, aber Microsofts erklärtes Ziel war es, Ganze Klassen von Malware und, einigen Berichten zufolge, auch Digital Rights Management (DRM)-Schutz.

Es ist kein Geheimnis, dass die Verpflichtung zur Signierung von Gerätetreibern vielen Brancheninteressen entspricht. Dies bedeutete auch, dass Microsoft Unternehmen damals im Wesentlichen dazu zwingen konnte, für die Verbreitung seiner Treiber eine Lizenz zu bezahlen. Andernfalls wären diese Treiber auf den meisten Geräten schlichtweg nicht installiert worden. Seitdem sind die Anforderungen strenger geworden, und wie bereits erwähnt, verlangt Windows 10 Version 1607, dass Treiber جميع Die Definitionen sind mit einem Microsoft-Zertifikat signiert.

Windows 11, das erfordert UEFI Sicherer Start Das TPM, das in neuen Systemen standardmäßig installiert ist, verdoppelt die Garantie für eine zuverlässige Boot- und Treiberauthentifizierung. Anders ausgedrückt: Moderne Windows-Systeme verfügen über eine zentrale Autorität (Microsoft), die bestimmt, welcher Low-Level-Code ausgeführt werden darf. Dadurch wird es für Angreifer deutlich schwieriger, in das System einzudringen, da Microsoft (und einige Zertifikatsanbieter) als Torwächter der Windows-Plattform fungieren.

Microsoft versucht, den Kernel um jeden Preis zu schützen.

Microsoft arbeitet kontinuierlich daran, die Sicherheit des Windows-Betriebssystems zu verbessern. Der Schutz des Kernels hat dabei höchste Priorität. Der Kernel ist das Herzstück des Betriebssystems, und jeder Angriff auf ihn bedeutet die vollständige Kontrolle über das Gerät. Aus diesem Grund investiert Microsoft massiv in Technologien und Software, die durch mehrere Schutzebenen unbefugten Zugriff auf den Kernel verhindern sollen.

Zu diesen Bemühungen gehört der Einsatz von Technologien wie Kernel Patch Protection, die unbefugte Änderungen am Kernel verhindert, und Virtualization-Based Security, die sensible Prozesse in einer sicheren virtuellen Umgebung isoliert. Microsoft entwickelt außerdem fortschrittliche Analysetools, um Versuche, den Kernel zu kompromittieren, in Echtzeit zu erkennen.

Die Kernel-Sicherheit ist eine ständige Herausforderung, insbesondere angesichts der Weiterentwicklung der Cyberangriffsmethoden. Daher ist Microsoft bestrebt, seine Sicherheitsmechanismen kontinuierlich zu aktualisieren und weiterzuentwickeln, um die Sicherheit und Zuverlässigkeit von Windows zu gewährleisten. Dieses Engagement spiegelt Microsofts Anerkennung der Bedeutung des Kernels für die Wahrung der Integrität der Daten und Geräte der Benutzer wider.

Auch wenn das bedeutet, dass normale Entwickler es auch nicht verwenden können.

Zeigt den Windows-Benutzerordner unter Windows 11 an

Um es klar zu sagen: Es gibt ein starkes Argument dafür, dass die Durchsetzung der Treibersignatur die Sicherheit des Windows-Betriebssystems deutlich verbessert hat. Durch das Blockieren nicht signierter Treiber werden alle Arten digitaler Angriffe wie Rootkits und Schadsoftware auf Kernel-Ebene vereitelt, die sich sonst vor Antivirensoftware verstecken könnten. In der Vergangenheit versuchte ein Großteil der fortschrittlichsten Schadsoftware, sich als Treiber zu tarnen, um auf den Speicher zuzugreifen oder das System tiefgreifend zu verändern. Heutzutage kann eine Schadsoftware, sofern sie nicht über ein gestohlenes oder durchgesickertes digitales Zertifikat verfügt, auf einem vollständig gepatchten 64-Bit-Windows-System einfach keinen Treiber laden – eine viel höhere Hürde als zu Zeiten von Windows XP. Wird beim Booten ein nicht signierter Treiber gefunden, startet das System einfach nicht.

Moderne Anti-Cheat-Systeme für Online-Spiele profitieren ebenfalls stark von den Treibersignaturanforderungen von Windows. In vielen Wettbewerbstiteln versuchen viele der fortschrittlichsten Cheat-Entwickler, ihre Cheats im Kernelmodus auszuführen, um die Erkennung durch Anti-Cheat-Tools im Benutzermodus zu vermeiden. Aus diesem Grund sind Easy-AntiCheat, Faceit und Riot-Vorhut Viele andere Anti-Cheat-Lösungen installieren als Teil ihrer Anti-Cheat-Suite eigene Kernel-Treiber. Diese Anti-Cheat-Programme laufen mit höheren Berechtigungen als Administratoren (erinnern Sie sich, dass selbst ein Administrator keinen unsignierten Treiber installieren kann?), um das System auf Cheaten zu überwachen, den Zugriff auf den Spielspeicher zu blockieren und sicherzustellen, dass der Spielcode nicht manipuliert wurde. Die Treibersignierung ist ein entscheidender Teil dieses Schutzgrabens, den Entwickler um ihre Spiele bauen. Da Windows jeden nicht ordnungsgemäß signierten Treiber ablehnt, können Cheat-Entwickler nicht einfach einen benutzerdefinierten Kernel-Treiber erstellen und ihn zufällig laden, um den Anti-Cheat zu umgehen, da das Betriebssystem dies nicht zulässt.

KI-Klassifizierung von Modellen auf dem Bildschirm in Valorant

Als Reaktion darauf haben Cheat-Anbieter und Malware-Entwickler nach Schwachstellen gesucht, die die Wirksamkeit von Brute-Force-Angriffen auf Treiber demonstrieren. Eine gängige Technik ist BYOVD (Bring Your Own Vulnerable Driver). Dabei suchen Angreifer einen signierten Treiber mit bekannten Schwachstellen. Der legitime Treiber wird geladen, von Windows akzeptiert und anschließend werden die Schwachstellen ausgenutzt, um Code im Kernel auszuführen. Ein Beispiel hierfür ist Missbrauch des Lenovo Mapper-Treibers, setzt einen nicht signierten Cheat-Treiber ein und deaktiviert die Vanguard-TPM-Prüfung von Riot.

Dies betrifft auch Direct Memory Access (DMA)-Angriffe und Cheating. DMA ermöglicht Hardwaregeräten den direkten Zugriff auf den Systemspeicher, umgeht die CPU und ermöglicht möglicherweise einem zweiten Computer, vom Spielspeicher zu lesen oder in diesen zu schreiben. Windows verfügt jedoch über einen Kernel-DMA-Schutz, der die IOMMU nutzt, um nicht autorisierte PCIe-Geräte am Speicherzugriff zu hindern. Nur Geräte mit DMA-Remapping-kompatible Treiber Dies ist möglich, und auch diese Treiberfunktion ist durch die Signaturdurchsetzung von Microsoft geschützt. Kombiniert mit Secure Boot, das verhindert, dass sich Malware oder Cheatloader beim Booten einschleust, bevor Windows startet, und der TPM-basierten Boot-Verifizierung erhalten Sie eine hochsichere Umgebung, wenn man bedenkt, dass es sich um einen benutzergesteuerten PC handelt.

Diese Technik ist nicht nur auf Spielebetrug beschränkt. Es gibt zahlreiche Beispiele für Ransomware, bei der Treiber missbraucht wurden, um Systemsicherheitsfunktionen zu deaktivieren und Schadcode in den Kernel zu laden. Dadurch verlagerte sich die Angriffsfläche vom Betriebssystem auf von Microsoft geprüften und signierten Low-Level-Code. Malware-Entwickler müssen einen bereits auf dem Gerät des Benutzers installierten Treiber ausnutzen. Das bedeutet, dass sie entweder eine Schwachstelle in einem sehr beliebten Treiber finden oder den Benutzer dazu verleiten müssen, Software mit dieser Schwachstelle zu installieren.

Die Durchsetzung der Treibersignatur ist nur ein Teil einer umfassenden Sicherheitsarchitektur und allein nicht ausreichend, um alles zu verhindern. In Kombination mit den anderen Techniken, die Microsoft ebenfalls einsetzt, legt sie die Messlatte jedoch deutlich höher. Ein gestohlenes Zertifikat funktioniert nur begrenzt, bevor es erkannt und widerrufen wird, und auch Hardware-Workarounds sind oft nur von kurzer Dauer.

Warum wird die Unterschrift des Fahrers als verbraucherfeindlich angesehen?

Die Durchsetzung der Treibersignatur ist eine Sicherheitsmaßnahme, die Betriebssysteme wie Windows anwenden, um sicherzustellen, dass die auf dem System installierten Treiber vertrauenswürdig sind und nicht manipuliert wurden.

Aber warum betrachten manche diesen Schritt als „verbraucherfeindlich“?

Die Antwort liegt in mehreren Punkten:

  • Einschränkung der Wahlfreiheit: Durch die Signaturerzwingung können Benutzer bestimmte Treiber möglicherweise nicht installieren, selbst wenn sie ihnen vertrauen, da sie nicht von Microsoft oder einer anderen anerkannten Partei digital signiert wurden. Dies schränkt die Freiheit des Benutzers ein, die von ihm verwendete Hardware und Software auszuwählen.
  • Schwierigkeiten bei der Unterstützung älterer Geräte: Hersteller stellen häufig die Aktualisierung von Treibern für ältere Geräte ein. Wenn ein Treiber für ein älteres Gerät nicht signiert ist, können Benutzer ihn möglicherweise nicht auf neueren Betriebssystemen verwenden, die die Treibersignierung erzwingen. Dies zwingt Benutzer zum Kauf neuer Hardware, auch wenn ihre älteren Geräte noch einwandfrei funktionieren.
  • Kosten für die Einholung einer Unterschrift: Das Erhalten einer digitalen Signatur kann teuer sein, insbesondere für unabhängige Entwickler oder kleine Unternehmen. Dies kann Innovationen hemmen und die Entwicklung neuer Treiber für spezielle oder seltene Geräte verhindern.
  • Kompatibilitätsprobleme: Manchmal können signierte Treiber Kompatibilitätsprobleme mit anderer Hardware oder Software verursachen. Es kann für Benutzer schwierig sein, diese Probleme zu identifizieren und zu beheben, insbesondere wenn sie keine IT-Experten sind.
  • Monopol großer Unternehmen: Es wird angenommen, dass die Anforderung einer Treibersignatur großen Unternehmen einen unfairen Vorteil gegenüber kleinen Unternehmen und unabhängigen Entwicklern verschafft. Große Unternehmen verfügen über die Ressourcen, um problemlos digitale Signaturen zu erhalten, während dies für unabhängige Entwickler möglicherweise schwierig ist.

Kurz gesagt: Obwohl die Durchsetzung der Treibersignatur die Sicherheit verbessern soll, kann sie negative Auswirkungen auf die Verbraucher haben, indem sie die Wahlfreiheit einschränkt, die Unterstützung älterer Geräte erschwert, die Kosten erhöht, Kompatibilitätsprobleme verursacht und das Monopol großer Unternehmen stärkt.

Daher müssen die Sicherheitsvorteile einer erzwungenen Fahrersignatur gegenüber den negativen Auswirkungen auf Verbraucher und Innovation abgewogen werden.

Es geht darum, was Sie auf Ihrem jeweiligen Gerät ausführen können und was nicht.

Tisch mit vielen PC- und Elektronikkomponenten

Wenn die Treibersignatur so sicherheitsfördernd ist, warum ist sie dann verbraucherfeindlich? Die Kritik rührt daher, dass dieser Sicherheitsmechanismus die Freiheit und Kontrolle des Nutzers über sein eigenes System stark einschränkt. Es besteht ein impliziter Kompromiss zwischen Sicherheit und Offenheit, und Microsoft setzt stark auf Erstere statt Letztere. Das Unternehmen hat sich für ein Modell entschieden, bei dem das Betriebssystem nur von Microsoft geprüftem Low-Level-Code vertraut. Dadurch wird die Macht im Wesentlichen auf eine Weise zentralisiert, die auch den Interessen der Industrie entspricht und Einnahmen aus Zertifizierungen generiert.

Zurück zur Deaktivierung der Treibersignaturprüfung: Die Entwicklung eines eigenen Treibers für den persönlichen Gebrauch, sei es für Ihre eigene Hardware oder ein eigenes Gerät, ist mühsam. Sie müssen entweder mit der Startoption „Treibersignaturprüfung deaktivieren“ booten, die Integritätsprüfungen vollständig deaktivieren oder den Signaturprüfungsmodus von Windows aktivieren, was beides nicht besonders praktisch ist. Sie müssen nicht besitzen Ihr Computer wird auf die gleiche Weise verwaltet, wie es „Eigentum“ normalerweise bedeutet: Auf Kernel-Ebene behält Microsoft die Kontrolle.

Darüber hinaus können nur große Unternehmen oder gut ausgestattete Entwickler die Anforderungen an die Treibersignatur problemlos erfüllen. Um einen ordnungsgemäß signierten Treiber für eine aktuelle Windows-Version zu erhalten, benötigt ein Entwickler ein EV-Codesignaturzertifikat. Dies erfordert eine strenge Identitäts- und Hardwarecodeprüfung und kostet mehrere hundert Dollar pro Jahr. Notepad++ ist ein beliebtes Beispiel. Dies betrifft das Thema Code Signing, bei dem Software auf Benutzerebene von der Weigerung betroffen ist, eine jährliche Gebühr an Microsoft für die Zertifizierung zu zahlen. Dasselbe Konzept gilt auch für Treiber.

Screenshot der Starteinstellungen mit verschiedenen Optionen zum Ändern des Windows-Ladevorgangs

Diese Anforderung kann jedoch auch normale Verbraucher davon abhalten, ältere Geräte zu verwenden, die nie ein signiertes Treiberupdate erhalten haben. Angenommen, Sie haben ein altes PC-Peripheriegerät, das Sie an einen Windows 11-PC anschließen möchten. Stammt der Treiber aus der Windows XP-Ära und hat nie eine digitale Signatur, wird er sofort blockiert. Sie können die Signaturerzwingung deaktivieren (mit allen damit verbundenen Problemen) oder das Gerät aufgeben. Während Sie früher den Treiber ändern konnten, sind DIY-Lösungen heutzutage aufgrund der damit verbundenen Kosten und Komplexität weitgehend unbekannt.

Selbst wenn Community-Mitglieder die Sache selbst in die Hand nehmen, kann es schnell nach hinten losgehen. Es gibt zwei bekannte Treiber, mit denen Entwickler Systemlüfter in ihren eigenen Anwendungen steuern können: InpOut32 und WinRing0. Ersterer kollidiert mit Riots Vanguard, daher haben sich viele für Letzteren entschieden, der das Rückgrat von Tools wie Fan Control bildet. Dies wurde jedoch erst 2020 entdeckt. WinRing0 hatte eine große Sicherheitslücke. Es wurde einige Jahre später von Windows Defender gemeldet und blockiert, wodurch Anwendungen, die darauf angewiesen waren, außer Gefecht gesetzt wurden.

Dieses Problem wird durch die Kosten für die Entwicklung und Wartung eines gültigen Treibers, der von Microsoft akzeptiert wird, noch verschärft. Hier ist ein Auszug aus einem Artikel in The Verge Was das Problem verdeutlicht:

Timothy Sun, Gründer von SignalRGB, erklärt, dass die Sicherheitsrisiken komplexer seien. „Da WinRing0 systemweit installiert ist, stellten wir fest, dass wir von der ersten Version abhängig waren, die auf dem System eines Benutzers installiert wurde. Dadurch war es extrem schwierig zu überprüfen, ob andere Anwendungen potenziell anfällige Versionen installiert hatten, was unsere Benutzer trotz unserer Bemühungen gefährdete“, sagt er.
Aus diesem Grund investierte sein Unternehmen stattdessen in eine eigene RGB-Schnittstelle und gab WinRing0 im Jahr 2023 zugunsten eines proprietären SMBus-Treibers auf. Entwickler, mit denen ich gesprochen habe, darunter auch Sun, sind sich jedoch einig, dass dies ein teures Unterfangen ist.
„Ich will es nicht beschönigen – der Entwicklungsprozess war schwierig und erforderte erhebliche technische Ressourcen“, sagt Sun. „Kleine Open-Source-Projekte verfügen weder über die finanziellen Mittel, um diesen Weg zu gehen, noch über das Fachwissen zur Entwicklung des Microsoft-Kernels“, sagt Adam Honsey von OpenRGB.

Der Entwickler von WingRing0, OpenLibSys, scheint derzeit inaktiv zu sein, und es ist unwahrscheinlich, dass derselbe Treiber, falls er aktualisiert wird, von Microsoft zur Signierung gemäß den strengeren Richtlinien des Unternehmens freigegeben würde. Microsoft wusste auch, wie viele Anwendungen darauf angewiesen waren (Razer Synapse, SteelSeries Engine und viele andere nutzten ihn ebenfalls), sodass ihm noch einige Jahre Lebensdauer bis zu seiner Einstellung im Jahr 2025 zugestanden werden.

Was ist mit Linux?

Obwohl Linux nicht so beliebt ist wie Windows und macOS, ist es dennoch eine leistungsstarke und zuverlässige Wahl, insbesondere für Entwickler und IT-Experten. Linux ist äußerst flexibel und anpassbar und daher ideal für Benutzer, die die vollständige Kontrolle über ihr Betriebssystem wünschen. Darüber hinaus gilt Linux als sicheres und stabiles Betriebssystem, das oft weniger anfällig für Malware und Viren ist als andere Betriebssysteme.

Wenn Sie Linux verwenden möchten, sollten Sie sich darüber im Klaren sein, dass es viele verschiedene Distributionen gibt, z. B. Ubuntu, Fedora und Debian. Jede Distribution verfügt über eigene Funktionen und Tools. Wählen Sie daher diejenige aus, die Ihren Anforderungen und Bedürfnissen am besten entspricht. Beispielsweise ist Ubuntu aufgrund seiner Benutzerfreundlichkeit und hohen Verfügbarkeit eine beliebte Wahl für Einsteiger, während Fedora sich für Benutzer eignet, die die neuesten Technologien kennenlernen möchten.

Insgesamt ist Linux ein hervorragendes Betriebssystem, das viele Vorteile gegenüber anderen Betriebssystemen bietet. Allerdings kann das Erlernen der Bedienung zunächst etwas schwierig sein, insbesondere wenn Sie an Windows oder macOS gewöhnt sind. Wenn Sie bereit sind, etwas Aufwand zu betreiben, werden Sie feststellen, dass Linux ein leistungsstarkes und zuverlässiges Betriebssystem ist, das Ihren Anforderungen gerecht wird.

Ein ganz anderer Geist

Linux-Kernel-Update

Im Gegensatz zu Windows ist Linux ein Open-Source-Betriebssystem: Es gibt keine zentrale Autorität, die vorschreibt, was im Kernel ausgeführt werden darf. Linux-Distributionen können die Modulsignierung erzwingen (insbesondere bei aktiviertem Secure Boot; einige Distributionen erfordern die Signierung von Kernelmodulen mit einem Schlüssel). Letztendlich kann der Benutzer den Kernel jedoch neu kompilieren oder diese Prüfungen deaktivieren. Dies ist einer der vielen Gründe, warum Anti-Cheat-Software unter Linux nicht auf die gleiche Weise wie unter Windows eingesetzt werden kann.

Unter Linux gilt ein Cheater mit Root-Zugriff als allmächtig. Er kann den Kernel neu kompilieren, um Anti-Cheat-Hooks zu entfernen, oder eigene Kernel-Module laden, ohne dass eine zentrale Signaturstelle ihn daran hindert. Da viele Cheater ihre Cheats einfach als Root im /root-Verzeichnis ausführen, um nicht entdeckt zu werden, ist es verständlich, warum Spieleentwickler ihre Anti-Cheat-Software nicht besonders gerne auf Linux portieren. Selbst wenn ein Spiel auf Root-Zugriff besteht (was schlimmer wäre als ein bloßes Anti-Cheat-Äquivalent unter Windows), kann man es in einer „Fakeroot“-Umgebung ausführen, sodass das Spiel Root-Zugriff vortäuscht, obwohl dies nicht der Fall ist.

All dies bedeutet, dass aufgrund der offenen Natur von Linux jede Abwehrmaßnahme durch einen ebenso privilegierten Angriff konterkariert werden kann. Diese Realität spiegelt sich im aktuellen Stand des Linux-Gamings wider. Während viele beliebte Titel unter Linux spielbar sind (oft sogar besser als unter Windows), laufen viele kompetitive Spiele deshalb überhaupt nicht unter Linux. Dieselben Konzepte gelten auch für Malware, wobei die Landschaft unter Linux in Bezug auf Malware ganz anders aussieht.

Valorant-Bildschirm „Betrüger erkannt, Spiel beendet“

Microsofts Durchsetzung der Treibersignatur ist für Unternehmen attraktiv. Durch die Sperrung des Kernels bietet Windows ein Maß an Sicherheit und Kontrolle (z. B. gegen Cheaten, Malware und mehr), das auf einem offeneren System ohne diese Einschränkungen schlichtweg nicht möglich wäre. Für viele Gamer und Unternehmen lohnt sich dieser Kompromiss oft, auch wenn er einen Teil der Nutzer frustriert. Linux-Nutzer genießen zwar beispiellose Kontrolle, doch genau diese Freiheit bedeutet, dass clientseitige Anti-Cheat-Mechanismen meist nutzlos sind. Um die Sicherheitsvorteile von Windows in diesem Bereich auf einem Linux-Rechner zu nutzen, müssten dieselben Einschränkungen wiederhergestellt werden, die den ursprünglichen Grund für den Wechsel zu Windows waren.

Warum Linux-Nutzer trotz fehlender zentraler Zertifizierungsstelle sicher bleiben, hat viele Gründe. Linux verfügt über ein erweitertes Benutzerberechtigungssystem, eine Open-Source-Community, die Sicherheitslücken schnell schließt (selbst wenn schwerwiegende Exploits wie xz-utils durchsickern), einen geringen Marktanteil, der Linux zu einem weniger attraktiven Ziel macht, und Softwarepakete, die größtenteils über geprüfte Repositories installiert werden. Daher ist Linux nicht so attraktiv wie die Ansprache von Windows-Nutzern.

Freiheit und Sicherheit: eine immer schwer zu erreichende Gleichung

Oft stellt sich die Frage: Lässt sich ein Gleichgewicht zwischen Freiheit und Sicherheit herstellen? Die Antwort ist nicht einfach. Die Realität zwingt uns zu der Erkenntnis, dass das Erreichen maximaler Freiheit manchmal im Widerspruch zur Gewährleistung maximaler Sicherheit stehen kann und umgekehrt.

Der Begriff der Freiheit umfasst viele Aspekte, darunter Meinungsfreiheit, Bewegungsfreiheit und Glaubensfreiheit. Ungehindert können diese Freiheiten jedoch von Einzelpersonen oder Gruppen missbraucht werden, um die Sicherheit und Stabilität der Gesellschaft zu gefährden. So kann beispielsweise die Meinungsfreiheit, obwohl ein Grundrecht, zu einem Mittel zur Verbreitung von Hass und Gewalt oder zur Verbreitung von Fehlinformationen werden, die das Vertrauen in Institutionen untergraben.

Andererseits können verstärkte Sicherheitsmaßnahmen wie umfassende Überwachung, Bewegungseinschränkungen und Informationsbeschränkungen die persönlichen Freiheiten und die Grundlagen einer demokratischen Gesellschaft untergraben. Eine übermäßige Betonung der Sicherheit kann ein Klima der Angst und Selbstzensur schaffen, in dem Menschen aus Angst vor Verfolgung zögern, ihre Meinung zu äußern oder ihre Rechte wahrzunehmen.

Wie lässt sich also ein optimales Gleichgewicht zwischen Freiheit und Sicherheit erreichen? Die Lösung liegt in der Einführung klarer Kontrollen und Standards, die den Umfang der Freiheiten definieren und sicherstellen, dass sie nicht zur Gefährdung der Sicherheit missbraucht werden. Diese Kontrollen müssen dem Ausmaß der Bedrohung angemessen sein und regelmäßig überprüft werden, um sicherzustellen, dass sie das erforderliche Maß nicht überschreiten.

Darüber hinaus muss die Umsetzung von Sicherheitsmaßnahmen transparent und nachvollziehbar sein. Jeder Einzelne muss seine Rechte kennen und das Recht haben, Maßnahmen anzufechten, die seiner Ansicht nach seine Freiheiten verletzen. Unabhängige Kontrollmechanismen müssen zudem sicherstellen, dass Macht nicht im Namen der Sicherheit missbraucht wird.

Kurz gesagt: Das Verhältnis zwischen Freiheit und Sicherheit ist komplex und dynamisch. Keines der beiden Ziele kann auf Kosten des anderen erreicht werden. Um ein Gleichgewicht zwischen beiden zu erreichen, bedarf es eines kontinuierlichen Dialogs und eines gesellschaftlichen Konsenses über die Werte und Prinzipien, die uns leiten. Wir müssen uns stets bewusst sein, dass Freiheit und Sicherheit keine widersprüchlichen Ziele sind, sondern wesentliche Bestandteile einer prosperierenden und stabilen Gesellschaft.

Die grundlegenden Unterschiede zwischen Linux und Windows

Zwei Windows 11-Laptops, einer zeigt eine Liste der exportierten Apps im Editor und der andere verwendet Winget, um diese Apps zu importieren

Es besteht kein Zweifel daran, dass Microsofts Treibersignaturrichtlinie aus Sicherheitssicht äußerst effektiv ist. Durch die Anforderung, alle Kerneltreiber zu signieren und zu verifizieren, hat Microsoft eines der robustesten Verbraucherbetriebssysteme gegen Low-Level-Malware und betrügerische Tools entwickelt. Als Plattform verfügt Windows über die einzigartige Fähigkeit, ein zuverlässiges Betriebssystem zu gewährleisten, dem Benutzer und Programme vertrauen können. Deshalb ist es eine der besten Sicherheitsfunktionen, da es funktioniert. wirklich gut Es machte einen großen Unterschied beim Schutz der Systeme.

Diese Sicherheit hat jedoch ihren Preis für die Verbraucher. Sie entzieht der zentralen Autorität die Kontrolle, und die Unfähigkeit, die Funktionsweise des Betriebssystems vollständig zu kontrollieren, ist für viele, die Wert auf offenes Computing legen, unattraktiv. In gewisser Weise behandelt Windows 11 den Benutzer in Bezug auf Kernelcode als nicht vertrauenswürdige Entität und geht davon aus, dass jeder (auch Sie) etwas Bösartiges tun könnte, wenn er nicht kontrolliert wird.

Aus Sicherheitssicht ist diese Funktion ein hervorragendes Beispiel für Risikominimierung. Sie blockiert einen der gefährlichsten Angriffswege, doch aus Sicht der Verbraucherrechte scheint es, als würden wir einfach Wir vergeben Aufträge zur Nutzung unserer eigenen Ausrüstung.Weil wir dem unterliegen, was Microsoft erlaubt und was nicht. Was wäre, wenn dieses Konzept erweitert würde, um den „Schutz“ des Betriebssystems einzuschließen? Was wäre, wenn Debloating-Tools und -Programme Änderungen vornehmen würden, die Microsoft nicht gutheißen würde, weil sie das System verändern?

Für den durchschnittlichen Benutzer ist die Durchsetzung von Treibersignaturen ein großer Schritt. Daran besteht kein Zweifel. Für Open-Source-Entwickler ist es jedoch nicht gut, von der Plattform ausgeschlossen zu werden, da die Entwicklung eigener Software und deren Weitergabe an andere Kosten verursacht. Und es ist nicht schön, das Gefühl zu haben, nichts zu besitzen. Ja wirklich Meine Geräte, solange ich primär über Windows mit ihnen interagiere.

Merwan Redha 2632 Beiträge 0 Kommentare
Du magst vielleicht auch: Mehr vom Autor

Kommentare sind geschlossen.