TPM 2.0 und Secure Boot: So macht ihr euren PC fit für Windows 11
Als Windows 11 angekündigt wurde, gab es eine ziemlich große Überraschung bzw. einen großen Aufreger: Denn im Gegensatz zu den meisten früheren Windows-Versionen hat Microsoft beschlossen, zwei signifikante Voraussetzungen bzw. Hürden einzubauen: TPM 2.0 und Secure Boot.
Für die meisten Anwender ist das inzwischen aber kaum eine Überlegung wert, da die meisten Anwender Hardware haben dürften, die Windows 11 vollumfänglich unterstützt.
Wer die Features manuell oder nachträglich aktivieren muss: In beiden Fällen sind vermutlich Eingriffe ins UEFI/BIOS notwendig. Das klingt "gefährlich", ist es aber nicht. Man kann selbst im BIOS (steht für Basic Input/Output System) nicht viel falsch machen. Wer einmal daneben klickt oder etwas unabsichtlich verstellt, der kann jederzeit die Esc-Taste drücken oder in den Menüs auf die ganz rechte Seite gehen und dort beenden ohne zu speichern.
Eine zweite Anmerkung vorweg: Auch wenn wir hier immer wieder von BIOS sprechen, so handelt es sich heutzutage vermutlich um UEFI (Unified Extensible Firmware Interface) bzw. eine Mischung aus BIOS und UEFI. Hinzu kommt, dass sich der Begriff BIOS auch durchaus eingebürgert hat und viele zwar UEFI meinen, aber BIOS sagen.
Bevor man derartige Eingriffe durchführt, sollte man allerdings das Windows 11 System-Check-Tool herunterladen und ausführen. Diese Anwendung verrät, ob ein PC für Windows 11 fit ist und wenn nicht, was zu tun ist, um die Mindestvoraussetzungen zu erfüllen. Das Programm verrät auch, ob TPM 2.0 bzw. der sichere Start, also Secure Boot, aktiv sind. Wirklich notwendig ist das heute allerdings nicht mehr, da Windows Update dem Nutzer heute mittlerweile sehr präzise in den Einstellungen verrät, warum ein Update auf Windows 11 oder die neueste Version (24H2 oder 25H2) nicht möglich ist.
Update: Verschärfte Anforderungen mit Version 24H2 (POPCNT)
Mit Version 24H2 hat Microsoft die Hürden für ältere Hardware noch einmal deutlich nach oben geschraubt. Während man in den ersten Jahren von Windows 11 die TPM- oder Secure-Boot-Prüfung oft noch mit kleinen Registry-Tricks umgehen konnte, gibt es nun eine physische Grenze in der CPU-Architektur.
Das bedeutet konkret:
Kein Boot-Vorgang ohne Unterstützung: Rechner mit sehr alten CPUs (etwa Intel Core 2 Quad oder frühe AMD Athlon-Modelle), auf denen Windows 11 bisher mit Tricks ("Bypass") lief, lassen sich mit der Version 24H2 nicht einmal mehr starten. Das System bleibt beim Boot-Logo hängen oder stürzt ab.
Tricks funktionieren nicht mehr: Da es sich um eine fehlende Hardware-Funktion im Prozessor handelt, helfen hier keine Software-Hacks mehr. Wenn die CPU den Befehl nicht "beherrscht", ist bei Version 23H2 Endstation.
Download CPU-Z - Kostenlose Hardware-Analyse für Windows
Bevor man das tut, sollte man aber überprüfen, ob auch CPU und sonstige Komponenten Windows 11 unterstützen, denn wenn man kein TPM an Bord hat, ist auch die Chance groß, dass der Rest der Hardware älteren Datums ist. Es gibt im Wesentlichen zwei Wege, TPM 2.0 zu aktivieren: über Windows 10 direkt und per Boot-Sequenz.
Dieser Punkt ist das Ziel
Der oben erwähnte Weg ist letztlich nur einer von zwei möglichen, um ins UEFI bzw. BIOS zu kommen. Wer das nicht über Windows 10 durchführen kann oder will, sollte den PC neu starten bzw. regulär einschalten. Im Zuge des Boot-Vorgangs kommt als Erstes eine Anzeige bzw. ein Bootscreen bzw. sogenannter Bootsplash. Darüber gelangt man dann ins BIOS, und zwar nach dem Drücken einer bestimmten Taste (welche genau, klärt ein kurzer Blick ins Handbuch. Meist ist es die Taste F2 oder Entf.).
So könnte ein klassisches UEFI (BIOS) aussehen - Beispiel: ASUS
Um Secure Boot in den UEFI-Einstellungen einzuschalten, muss man wie oben beschrieben vorgehen, weshalb wir an dieser Stelle nicht erneut Schritt für Schritt alles aufzählen. Bevor man das macht, sollte man allerdings überprüfen, ob Secure Boot nicht vielleicht schon aktiv ist.
BIOS-Modus muss auf UEFI eingestellt sein, damit der Sichere Startzustand funktioniert
Wie bereits erwähnt, gilt es nun wieder (wie zuvor erläutert und beschrieben), ins UEFI/BIOS zu kommen. Dort sollte Secure Boot aktiviert werden, allerdings ist das genaue Wo von Board-Hersteller zu Board-Hersteller anders. In der Regel ist dieser Punkt aber unter "Sicherheit" zu finden. Ist er das nicht, sollte man das Handbuch oder die Hersteller-Webseite zurate ziehen.
Das wird normalerweise während einer Neuinstallation durchgeführt. Doch keine Angst: Diese ist nicht erforderlich. Man kann die Umstellung im laufenden Betrieb und ohne Datenverlust durchführen, und zwar mithilfe eines simplen Microsoft-Tools namens MBR2GPT.exe - dieses sollte sich bereits im korrekten Ordner befinden (C:\WINDOWS\system32)
Zum großen Windows 11 Special Alle Infos, News und Termine im Überblick
Wer die Features manuell oder nachträglich aktivieren muss: In beiden Fällen sind vermutlich Eingriffe ins UEFI/BIOS notwendig. Das klingt "gefährlich", ist es aber nicht. Man kann selbst im BIOS (steht für Basic Input/Output System) nicht viel falsch machen. Wer einmal daneben klickt oder etwas unabsichtlich verstellt, der kann jederzeit die Esc-Taste drücken oder in den Menüs auf die ganz rechte Seite gehen und dort beenden ohne zu speichern.
Eine zweite Anmerkung vorweg: Auch wenn wir hier immer wieder von BIOS sprechen, so handelt es sich heutzutage vermutlich um UEFI (Unified Extensible Firmware Interface) bzw. eine Mischung aus BIOS und UEFI. Hinzu kommt, dass sich der Begriff BIOS auch durchaus eingebürgert hat und viele zwar UEFI meinen, aber BIOS sagen.
Bevor man derartige Eingriffe durchführt, sollte man allerdings das Windows 11 System-Check-Tool herunterladen und ausführen. Diese Anwendung verrät, ob ein PC für Windows 11 fit ist und wenn nicht, was zu tun ist, um die Mindestvoraussetzungen zu erfüllen. Das Programm verrät auch, ob TPM 2.0 bzw. der sichere Start, also Secure Boot, aktiv sind. Wirklich notwendig ist das heute allerdings nicht mehr, da Windows Update dem Nutzer heute mittlerweile sehr präzise in den Einstellungen verrät, warum ein Update auf Windows 11 oder die neueste Version (24H2 oder 25H2) nicht möglich ist.
Update: Verschärfte Anforderungen mit Version 24H2 (POPCNT)
Mit Version 24H2 hat Microsoft die Hürden für ältere Hardware noch einmal deutlich nach oben geschraubt. Während man in den ersten Jahren von Windows 11 die TPM- oder Secure-Boot-Prüfung oft noch mit kleinen Registry-Tricks umgehen konnte, gibt es nun eine physische Grenze in der CPU-Architektur.
Der POPCNT-Befehlssatz
Ab Version 24H2 setzt Windows 11 zwingend voraus, dass der Prozessor den Befehlssatz POPCNT (Population Count) unterstützt. Dieser ist Teil der SSE4.2-Instruktionen (bei Intel) bzw. SSE4a (bei AMD).Das bedeutet konkret:
Kein Boot-Vorgang ohne Unterstützung: Rechner mit sehr alten CPUs (etwa Intel Core 2 Quad oder frühe AMD Athlon-Modelle), auf denen Windows 11 bisher mit Tricks ("Bypass") lief, lassen sich mit der Version 24H2 nicht einmal mehr starten. Das System bleibt beim Boot-Logo hängen oder stürzt ab.
Tricks funktionieren nicht mehr: Da es sich um eine fehlende Hardware-Funktion im Prozessor handelt, helfen hier keine Software-Hacks mehr. Wenn die CPU den Befehl nicht "beherrscht", ist bei Version 23H2 Endstation.
Wie erkenne ich, ob mein PC betroffen ist?
Die meisten PCs, die jünger als 15 Jahre sind, unterstützen POPCNT bereits. Wer jedoch ein sehr altes System "mit Gewalt" auf Windows 11 gehievt hat, sollte das vor dem Update auf 24H2 prüfen. Am einfachsten klappt der Check mit dem Gratis-Tool CPU-Z. Im Reiter 'CPU' findest du das Feld 'Instructions'. Such dort nach SSE4.2 (bei Intel) oder SSE4a (bei AMD). Tauchen diese Kürzel dort nicht auf, wird die Version 24H2 auf dem entsprechenden Rechner nie laufen.Download CPU-Z - Kostenlose Hardware-Analyse für Windows
TPM 2.0 aktivieren
Die erste Einstellung, der wir uns widmen, ist das Trusted Platform Module, kurz TPM. Dabei handelt es sich um einen speziellen Chip, der dazu dient, Verschlüsselungs-Keys zu generieren, zu speichern und zu schützen. Ein solcher Chip ist in der Regel auf modernen Mainboards bereits integriert, kann aber im Notfall auch nachgerüstet werden. Heute sind dedizierte TPM-Module allerdings oft teurer als ein gebrauchtes, kompatibles Mainboard oder werden kaum noch produziert.Bevor man das tut, sollte man aber überprüfen, ob auch CPU und sonstige Komponenten Windows 11 unterstützen, denn wenn man kein TPM an Bord hat, ist auch die Chance groß, dass der Rest der Hardware älteren Datums ist. Es gibt im Wesentlichen zwei Wege, TPM 2.0 zu aktivieren: über Windows 10 direkt und per Boot-Sequenz.
Dieser Punkt ist das Ziel
Zunächst widmen wir uns dem Weg, der direkt über Windows 10 führt:
- Einstellungen öffnen
- Auf "Update und Sicherheit" klicken
- Auf "Wiederherstellung" gehen
- Bei "Erweiterter Start" den Knopf "Jetzt neu starten" drücken
- "Problembehandlung" anklicken
- In "Erweiterte Optionen" gehen
- Auf UEFI Firmware-Einstellungen gehen (Hinweis: Geräten mit Legacy-BIOS fehlt diese Option)
- "Neustart" drücken
- Nun landet man in den UEFI-Einstellungen. Hier ist jetzt Suchen angesagt, man muss den passenden Eintrag zum Trusted Platform Module (TPM) finden. Dieser ist oftmals bei Punkten wie fortgeschritten oder Sicherheit platziert. Zudem versteckt sich das Ganze auch gerne hinter der Abkürzung fTPM. Einen allgemeingültigen Weg gibt es hier übrigens nicht, denn diese Einstellung unterscheidet sich von Hersteller zu Hersteller bzw. Mainboard zu Mainboard - man sollte also die Hersteller-Webseite oder auch das Handbuch bemühen
- Hat man die TPM-Einstellung gefunden, muss diese natürlich aktiviert werden (also auf "Enabled" stellen)
- Nun sollte man die UEFI-Einstellungen verlassen
- Die Einstellungen sind zu bestätigen und der PC muss neu gestartet werden
Der oben erwähnte Weg ist letztlich nur einer von zwei möglichen, um ins UEFI bzw. BIOS zu kommen. Wer das nicht über Windows 10 durchführen kann oder will, sollte den PC neu starten bzw. regulär einschalten. Im Zuge des Boot-Vorgangs kommt als Erstes eine Anzeige bzw. ein Bootscreen bzw. sogenannter Bootsplash. Darüber gelangt man dann ins BIOS, und zwar nach dem Drücken einer bestimmten Taste (welche genau, klärt ein kurzer Blick ins Handbuch. Meist ist es die Taste F2 oder Entf.).
Ins UEFI per Neustart gelangen:
- Computer einschalten
- Auf dem Bootscreen sollte zu lesen sein, welche Taste man drücken muss, um zur Firmware zu kommen
- Diese Taste sollte man am besten mehrfach hintereinander drücken, um den richtigen Zeitpunkt nicht zu verpassen. In der Regel ist das die Taste Entf, auch Esc oder Funktionstasten (vielfach F2) sind hier gerne in Verwendung
- Man landet in den UEFI-Einstellungen und sollte wie oben ab Punkt 7 beschrieben vorgehen.
So könnte ein klassisches UEFI (BIOS) aussehen - Beispiel: ASUS
Secure Boot aktivieren
Secure Boot ist die zweite wichtige Funktion, die Microsoft für Windows 11 voraussetzt. Der "sichere Start" dient dazu, dass das System nur vorher signierte Bootloader zulässt. Das erhöht die Sicherheit, weil sich Schadsoftware nicht beim Systemstart einschleichen kann.Um Secure Boot in den UEFI-Einstellungen einzuschalten, muss man wie oben beschrieben vorgehen, weshalb wir an dieser Stelle nicht erneut Schritt für Schritt alles aufzählen. Bevor man das macht, sollte man allerdings überprüfen, ob Secure Boot nicht vielleicht schon aktiv ist.
So überprüft man, ob Secure Boot aktiv ist oder nicht:
- Start öffnen
- Nach "System Information" suchen, dafür genügt normalerweise das Eintippen des Wortes "Systemi*", das passende Symbole sollte auch als erstes Ergebnis kommen
- In der System-Übersicht sollte man den Punkt Secure Boot State suchen, dort erfährt man, ob Secure Boot aktiv ist oder nicht
- Überdies sollte man den "BIOS Mode" checken: Steht dort UEFI, dann kann Secure Boot ohne großen Aufwand aktiviert werden, bekommt man "Legacy (BIOS)" oder "Vorgängerversion" zu lesen, sind zusätzliche Schritte erforderlich.
BIOS-Modus muss auf UEFI eingestellt sein, damit der Sichere Startzustand funktioniert
Wie bereits erwähnt, gilt es nun wieder (wie zuvor erläutert und beschrieben), ins UEFI/BIOS zu kommen. Dort sollte Secure Boot aktiviert werden, allerdings ist das genaue Wo von Board-Hersteller zu Board-Hersteller anders. In der Regel ist dieser Punkt aber unter "Sicherheit" zu finden. Ist er das nicht, sollte man das Handbuch oder die Hersteller-Webseite zurate ziehen.
Secure Boot ist zwar an, aber BIOS-Mode ist auf Legacy - was jetzt?
Hat man Secure Boot erfolgreich aktiviert und führt das System-Check-Tool für Windows 11 aus, kann es sein, dass man immer noch nicht fit für das aktuelle Betriebssystem ist. Das liegt wie erwähnt am Legacy-Modus des BIOS. Grund ist, dass man das Laufwerk von Master Boot Record (MBR) auf das von UEFI verwendete GUID Partition Table (GPT) umstellen muss.Microsoft-Anleitung zum Einsatz des MBR2GPT-Tools in Windows 10
Das wird normalerweise während einer Neuinstallation durchgeführt. Doch keine Angst: Diese ist nicht erforderlich. Man kann die Umstellung im laufenden Betrieb und ohne Datenverlust durchführen, und zwar mithilfe eines simplen Microsoft-Tools namens MBR2GPT.exe - dieses sollte sich bereits im korrekten Ordner befinden (C:\WINDOWS\system32)
- Eingabeaufforderung über Start suchen
- Rechtsklicken und als Administrator ausführen
- Folgenden Befehl eingeben oder kopieren: mbr2gpt /convert /allowfullOS
- Enter drücken und Kommando ausführen
- Das ist es auch schon, danach kann man in die Firmware gehen, um den UEFI-Modus einzustellen
Zum großen Windows 11 Special Alle Infos, News und Termine im Überblick
Themen:
Weitere Fragen:
- Windows 11: Diese zehn Einstellungen sollte man als erstes ändern
- So aktiviert man bei Windows 11 die automatische Anmeldung
- Windows 11 & 10: So einfach aktiviert ihr den nützlichen "God Mode"
- Die sechs besten und nützlichsten Registry-Hacks für Windows 11
- Drucktaste in Windows 11: So umgeht ihr den Snipping Tool-Zwang
- Zurück zur Übersicht
Fragen oder Probleme? Hilfe gibt es in unserem Windows 11 Forum.
Beliebte Windows 11 FAQ Einträge
Neue Windows 11 Nachrichten
Neues aus dem Windows 11-Forum
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
