Mit einem "etwas" überlasteten Stream-Event hat Microsoft sein nächstes PC-Betriebssystem "Windows 11" angekündigt, welches zur "Holiday Saison" im November/Dezember 2021 erscheinen soll. Optischer Kernpunkt ist augenscheinlich die Abschaffung der mit Windows 8 eingeführten Kacheln, welche zuletzt in Windows 10 sowieso nur noch ein Schattendasein gefristet haben. Daneben besteht Windows 11 aus weiteren optischen Auffrischungen – welche man notfalls wohl auch in einem der halbjährlichen Major-Updates zu Windows 10 hätte unterbringen können. Der Hauptgrund für die Erstellung von Windows 11 dürfte damit nicht in diesen optischen Änderungen (und auch nicht im auf Hybrid-Architekturen angepassten Scheduler) liegen, sondern vielmehr im Abschneiden alter Zöpfe liegen – was sich schon an den Systemanforderungen zeigt:

Maßgeblich dürfte hierbei insbesondere der Support für 32-Bit-Prozessoren sein, welchen Windows 10 noch mitschleppte und welcher schwerlich nachträglich aus Windows 10 zu entfernen war – nicht beim faktischen Zwang zu allen Major-Updates, wenn man mittel- und langfristig den Zugang zu Sicherheitsupdates behalten wollte. Die Erschaffung von Windows 11 wurde dann aber auch dazu benutzt, um die Systemanforderungen durch die Bank weg hochzuziehen – war Windows 10 faktisch auf dem Stand der Systemanforderungen zu Windows 7, geht Windows 11 nunmehr einen deutlichen Schritt davon weg. Gleichzeitig hat Microsoft Windows 11 auch dazu genutzt, den Zwang zu einem UEFI (samt SecureBoot-Fähigkeit) sowie TPM 2.0 zu etablieren (ursprünglich reichte ein TPM 1.2, diese Anforderung wurde nachträglich durch Microsoft auf "TPM 2.0" verschärft).

Leider ist an dieser Stelle nicht ganz sicher, inwiefern selbige auch eingeschaltet werden müssen – Microsoft drückt sich hierzu etwas um (wirklich) exakte Angabe. Insbesondere zu SecureBoot existieren sogar bei Microsoft unterschiedliche Angaben: Die US-Seite spricht von "capable", die deutsche Seite von "aktiviert". Hinzu kommt noch der Zwang zu einem Microsoft-Account bei der Installation von Windows 11 Home (augenscheinlich nicht für die anderen Versionen), was dann automatisch auch einen Zwang zur Internetverbindung bei der Installation nach sich zieht. Inwiefern die zu Windows 10 bekannten Tricks, sich um diese Anforderung herum zu schummeln oder aber den Microsoft-Account nachträglich in einen Offline-Account umzuwandeln, bei der finalen Version von Windows 11 weiterhin funktionieren, ist (logischerweise) noch nicht bekannt.

Einen gewissen Anreiz, beim Microsoft-Account zu bleiben, könnte der neue Microsoft Store ergeben, welcher neben UWP-Apps auch Win32- und Android-Apps enthalten wird. Hierbei zeigt sich Microsoft – notgedrungen als letzter im Wettbewerb – mal flexibel und ermöglicht die Nutzung eigener Bezahlplattformen für Software-Entwickler, womit die von Entwicklern ungeliebten AppStore-Gebühren entfallen. Zugunsten der genannten Android-Apps will Microsoft zum einen den App-Katalog von Amazon integrierten, zum anderen mit Windows 11 eine eigene Android-Emulation bieten. Inwiefern der umgebaute Microsoft Store allerdings nicht auch unter Windows 10 zur Verfügung stehen wird, ist dato unklar. Gänzlich Windows-11-exklusiv wird dann das "DirectStorage" Feature – auf welchem nVidias "RTX IO" basiert. Hiermit kann die Grafikkarte sich direkt mit der SSD verbinden und von dort Daten – zusätzlich mit Kompression – übertragen. Am Anfang dürfte dies nette Beschleunigungs-Effekte ergeben, irgendwann könnte es aber auch obligatorisch werden – und somit den Spieler sanft zu Windows 11 zwingen.

Windows 10 wird hingegen wie bekannt noch bis Oktober 2025 mit allen Sicherheits-Updates unterstützt, womit sich ein ausreichendes 4-Jahres-Zeitfenster für diesen Umstieg ergibt. Wie beim Launch von Windows 10 wird Microsoft einen kostenlosen Umstieg auf Windows 11 ermöglichen. Derzeit soll jener von Windows 10 ausgehend bis Ende 2022 möglich sein – was dann allerdings die Praxis abzuwarten gilt. Denn die Vorab-ISO von Windows 11 konnte auch noch mit Windows-7-Keys aktiviert werden, genauso ist bis dato der kostenlose Umstieg von Windows 7/8/8.1 auf Windows 10 möglich (obwohl offiziell auch nur für ein Jahr gedacht). Windows-10-Insider können sich ab nächster Woche ein eigenes Bild zu Windows 11 machen – allerdings arbeitet Microsoft noch am neuen Betriebssystem, womit durchaus noch Detailänderungen an Erscheinungsbild, Technik und Bedingungen zu Windows 11 möglich sind.

Nachtrag vom 24. Juni 2021

Nachdem die offiziellen Systemanforderungen zu Windows 11 zwar einen gewissen Anforderungssprung mit sich brachten, deutet der offerierte kostenlose Umstieg von Windows 10 auf Windows 11 jedoch weiterhin die These an, dass Windows 11 wie sein Vorgänger auch mit echter Alt-Hardware (insbesondere CPU-seitig) laufen könnte. Dagegen sind nun bei Microsoft Prozessoren-Supportlisten für Windows 11 aufgetaucht, welche einen Windows-11-Support allein mit ziemlich modernen CPUs versprechen. Die Intel-Liste fängt bei der Core i-8000 Serie (Coffee Lake) an, die AMD-Liste sogar erst bei Ryzen 2000 (Pinnacle Ridge). Doch dass mit dieser Auflistung alle anderen Prozessoren von Windows 11 tatsächlich ausgeschlossen werden sollen, darf angesichts dieser knappen Hardware-Auswahl durchaus bezweifelt werden.

Gestützt wird diese These über frühere Support-Listen für Intel-Prozessoren zu Windows 7, Windows 10 v1511 sowie Windows 10 v21H1, welche allesamt Intels Broadwell-Generation (Core i-5000) als kleinste unterstützte Intel-Generation angeben. Bekannterweise ist dies Nonsens und unterstützen die genannten Betriebssysteme vollkommen problemlos sowie ab Werk weitaus ältere Prozessoren. Jene Prozessoren-Supportlisten haben somit allem Anschein nach einen anderen Zweck bei Microsoft, sind wahrscheinlich eher für Systembuilder bzw. PC-Hersteller gedacht. Die verlinkten Webseiten sehen jedoch leider auf den ersten Blick ziemlich eindeutig aus, die Hinweise auf eine andere Zielsetzung ergeben sich nur indirekt. An dieser Stelle sollte Microsoft unbedingt an einer klaren Darstellung arbeiten, damit jene Support-Auflistungen nicht mißverstanden werden können.

Nachtrag vom 25. Juni 2021

Microsoft verbreitet über Änderungen an den entsprechenden offiziellen Webseiten inzwischen sogar zusätzliche Unklarheit über die wirklichen Systemanforderungen zu Windows 11 – anstatt den Fall lieber eindeutig aufzuklären. So lassen Spezifikations-Webseite und Requirements-Webseite inzwischen nicht mehr jeden 64-Bit-Prozessor mit 2 CPU-Kernen und 1 GHz Takt zu, sondern wollen einen "kompatiblen Prozessor" sehen – und verweisen dazu auf Microsofts ominöse Prozessoren-Supportlisten (für AMD-Prozessoren & für Intel-Prozessoren), welche wie bekannt für Windows 11 erst bei Ryzen 2000 und Core i-8000 anfangen. Wie gestern schon ausgeführt, geben diese offiziellen Supportlisten jedoch kein wirkliches Hardware-Minimum an, dies ergibt sich schon aus dem Vergleich der jeweiligen Angaben zu Windows 7 (angeblich erst ab "Broadwell" unterstützt) mit der vorhandenen Realität.

Nichtsdestotrotz sollte sich Microsoft spätestens jetzt mal sauber erklären, was man da wirklich meint – denn aus rechtlicher Sicht ist die Sache ziemlich klar, da zählen solcherart Seiteneinwände überhaupt nicht. Rein praktisch scheint Windows 11 (mit der geleakten ISO) derzeit selbst auf einem Pentium 4 zu laufen – was aber natürlich keine Ewigkeitsgarantie hat, dies könnte schon mit der finalen Version anders sein oder im späteren Verlauf wieder abgeschafft werden. Gerade deswegen sind klare Systemspezifikationen notwendig, damit man verläßliche Angaben in die Hand bekommt, anhand welcher eine solide Planung möglich wird. An dieser Stelle existiert im übrigen aber auch ein zweiter Punkt, womit sich der CPU-Support von Windows 11 effektiv einschränken läßt: Denn die Anforderung zu einem TPM 2.0 (zuerst reichte auch ein TPM 1.2, diesen Punkt hat Microsoft inzwischen offiziell nach oben korrigiert) schließt zumindest ältere Hardware genauso effektiv aus. Solcherart TPMs wurden zwar ab 2015 ziemlich flächendeckend verbaut, unterhalb dieses Datums gibt es jedoch so einiges an CPU-Hardware (ohne TPM), welche auch jetzt noch betrieben wird.

Bei AMD sind dies die (heutzutage) eher unrelevanten Bulldozer-Prozessoren, bei Intel jedoch die sehr erfolgreichen Core-Generationen II (Sandy Bridge), III (Ivy Bridge) und IV (Haswell), samt der entsprechenden (und oft verbauten) Notebook-Varianten. Für jene ist ein Windows-11-Support wegen des Zwangs zu einem TPM 2.0 automatisch unrealistisch – von Einzelfällen abgesehen, wo man ein TPM 2.0 nachträglich auf das Mainboard zusteckt (währenddessen kaufen Scalper bereits TPM 2.0 Module auf und lassen deren Preis aufs Vierfache explodieren). Auch die Möglichkeit, mit einem Mix der ISOs von Windows 10/11 diese Abfrage bei der Windows-11-Installation zum umgehen, dürfte entweder nicht ewig funktionieren oder aber zumindest nicht für die Masse der Anwender tauglich sein. So oder so schränkt der Zwang zu TPM 2.0 die Nutzbarkeit von Windows 11 auf Altsystemen massiv ein, Windows 11 wird also keineswegs wie Windows 10 so gut wie auf jeder Hardware laufen. Aber vermutlich war gerade dieses Abschneiden alter Zöpfe der Grund für die Auflage von Windows 11 – und weniger denn die optischen Änderungen, welche Microsoft auch in eines der Major-Updates zu Windows 10 hätte integrieren können.

Über die Systemanforderungen zu Windows 11 werden nun viele Anwender erstmals auch ersthaft mit dem Punkt des "Trusted Platform Module" (TPM) konfrontiert, welches zwar schon des längeren existiert, jedoch nur selten einmal das Licht einer breiteren Öffentlichkeit erreichte. Das TPM gibt es entweder als extra Chip auf dem Mainboard (üblich bei Business-Systemen) oder integriert in modernen Prozessoren (üblich bei Consumer-Systemen) und stellt dort so eine Art kryptographischen Co-Prozessor dar. Zielgemäß soll das TPM unabhängig vom Hauptsystem bzw. Betriebssystem arbeiten, somit also auch einer Kompromitierung des Hauptsystems entgehen – und kann damit zur sicheren Erzeugung & Speicherung von Kryptographie-Schlüssel wie Passwörtern dienen. Technisch möglich sind allerdings auch weitergehende Kontrollmaßnahmen über das Hauptsystem, wie die Unterbindung (seitens Microsoft) unerwünschter Anwendungen oder auch die Durchsetzung bzw. Absicherung von DRM-Maßnahmen.

Die praktischen Anwendungsfälle der TPMs sind allerdings derzeit immer noch marginal, da große Bedenken gegenüber dieser nicht offengelegten, gleichzeitig aber die Systemkontrolle beanspruchenden Technologie existieren. Deswegen werden derzeit immer noch viele Rechner mit TPM 2.0 ausgeliefert, wo jener Chip dann jedoch per default deaktiviert ist. Was Microsoft mit dem Zwang zum aktiven TPM 2.0 an weiteren Anwendungsmöglichkeiten im Blick hat, ist unbekannt und kann somit erst die Zukunft zeigen. Durchaus möglich, dass hierbei auch einfach nur Gedankenlosigkeit im Spiel ist bzw. der einfachstmögliche Weg gewählt wurde – denn zum Erzeugen von gegenüber dem Betriebssystem unabhängigen Kryptographie-Schlüsseln sind die TPMs tatsächlich gut geeignet. Normalerweise sollte man es allerdings vermeiden, derart kritisch betrachtete Technologie zum Zwang zu erheben, sofern (wie hier) andere Alternativen verfügbar sind (und wenn Windows selber keine sicheren Kryptographie-Schlüssel mehr erzeugen kann, ist das Kind sowieso schon in den Brunnen gefallen).

Derzeit bekommt Microsoft bereits einigen Gegenwind wegen der Hardware-Anforderungen bei Windows 11 zu TPM 2.0 sowie zu UEFI mit SecureBoot – ob dies ausreichend ist, bleibt abzuwarten. Eine Erklärung seitens Microsoft, wozu dieser Zwang gedacht ist (bitte abseits von Plattheiten á "mehr Sicherheit") könnte die ganze Sache möglicherweise entschärfen – natürlich nur insofern Microsoft überhaupt einen plausiblen Grund aufbieten kann. Richtig interessant wird das ganze dann aber noch im Business- und Behörden-Bereich: Denn da die TPMs nun einmal Blackboxes unter der Kontrolle eines US-Unternehmens sind, läßt sich ein PC mit aktivem TPM nicht in sicherheitskritischen Bereichen einsetzen. Dies betrifft vornehmlich Regierungs-Behörden, gilt aber aus Gründen real existierender Wirtschaftsspionage genauso auch für im internationen Wettbewerb stehende Unternehmen. Dies wurde schon zu Zeiten der Einführung des TPM-Zwangs für neue Windows-PCs (anno 2015) mittels bundesbehördlicher Studien klar derart benannt.

Nachtrag vom 27. Juni 2021

Heise berichten über eine Microsoft-Erklärung zum TPM-Zwang bei Windows 11. Danach will Microsoft das TPM tatsächlich für gewisse Anwendungsfälle nutzen – genannt wurden Virtualization-based Security, Windows Hello, die bessere Absicherung von SecureBoot und Microsoft Azure Attestation. In allen Fällen trägt das TPM allerdings nur zu einer "erhöhten" Sicherheit bei, ist nirgendwo auf technischer Ebene elementar für diese Features. Für den Normalbürger hat dies vermutlich kaum eine Praxisrelevanz, denn jener sieht sich üblicherweise nicht gerade Angriffen gegenüber, wo Passwörter aus einem (verschlüsselten) Speicherbereich extrahiert werden können (und deswegen ein TPM vielleicht sinnvoll wäre). Anders formuliert: Auch ohne TPM wären alle diese Dienste möglich und für normale Sicherheitsbedürfnisse kaum unsicherer als zuvor.

Denn jene Angriffswege, welche das TPM unterbinden kann, basieren letztlich auf etwaigen Sicherheitslücken, welche man sowieso bei Bekanntwerden schließen müsste. Das TPM ist im Sinne vorbeugender bzw. mehrgleisiger Sicherheit durchaus eine bedenkenswerte Option, allerdings hat man über die Geheimniskrämerei zu dessen Innereien bzw. wegen der Kontrolle über das TPM inzwischen zu viele generelle Bedenken gegenüber dieser Technologie aufgebaut – und schafft es auch jetzt nicht, selbige wirklich gut zu entkräften. Zumindest für den regulären Betrieb von Windows 11 scheint ein TPM zudem nicht notwendig zu sein, da man die Installations-Hürde mit verschiedenen Tricks (Mix aus Windows 10/11 ISOs oder auch ein Registry-Eingriff während der Installation) umgehen kann und Windows 11 danach augenscheinlich ganz ohne TPM trotzdem einwandfrei läuft.

Nachtrag vom 29. Juni 2021

Microsoft hat mit einem Blog-Eintrag versucht, die Wogen um die Windows 11 Mindestanforderungen zu glätten bzw. selbiges genauer zu erklären. Insbesondere letzterer Punkt ist jedoch überhaupt nicht gelungen, denn Microsoft laviert ständig um den Punkt herum, was man gerne sehen würde und was dann wirklich seitens des Betriebssystems für dessen Grundfunktionalität vorausgesetzt wird. Dies ist anscheinend deutlich weniger, als was Microsoft immer wieder gern mit seinen offiziellen Aussagen notiert – bezogen speziell auf das TPM, dessen Anforderung bei der Windows-Installation umgangen werden kann, welches aber auch nachfolgend im normalen Windows-Betrieb (bis dato) nirgendwo als tatsächlich erforderlich in Erscheinung tritt. Noch klarer ist dies beim offiziellen Prozessoren-Support, wo die offiziellen Support-Listungen ab AMD Ryzen 2000 bzw. Intel Core i-8000 zweifelsfrei nicht das tatsächliche Mindestmaß angeben.

Insofern ist auch die Microsoft-Aussage, man wolle den offiziellen Support früherer Prozessoren-Generationen – namentlich genannte Ryzen 1000 und Core i-7000 – nunmehr prüfen, eigentlich eine Nebelkerze. Selbige Anforderung wurde bei den bisherigen Windows-Versionen nie durchgesetzt, scheint eher für OEMs gedacht zu sein. Dass es für Windows-Insider die offizielle Windows-11-Testversion nur auf den offiziellen unterstützten Prozessoren gibt, ist nur eine künstliche Einschränkung, welche sicherlich kaum auf die finale Windows-11-Version zutreffen dürfte. Zudem handelt es sich auch wieder um eine aushebelbare Einschränkung – was es um so wichtiger macht zu erfahren, was denn die Systemanforderungen für den tatsächlichen Windows-11-Betrieb sind – und nicht die Systemanforderung zur reinen Installation. Durchaus möglich, dass bei der finalen Windows-11-Version nicht einmal die nominelle Anforderung eines Zweikern-Prozessors wirklich durchgesetzt wird oder im gegenteiligen Fall zu spürbaren Einschränkungen führt.

Denn augenscheinlich will Microsoft mit dem Begriff "minimale Anforderungen" etwas anderes ausdrücken als die wirklich minimalste Hardware, mit der überhaupt ein Betriebssystem-Start möglich ist: Es handelt sich bei den offiziellen Anforderungen eher denn um Angaben, was Microsoft gern sehen möchte und ab welchem Hardware-Stand man überhaupt Support leisten will. Dabei ist insbesondere der Punkt des "Supports" für Microsoft gewichtig (als Kostenfaktor) und ermuntert somit zur Tendenz, ältere Hardware eher früher als später auszuschließen. Diese Differenz, was man als offizielle Anforderungen sieht und was tatsächlich die minimalen Anforderungen sind, sollte Microsoft allerdings unbedingt noch einmal genauer herausarbeiten. Sofern man für die in der Praxis doch lauffähige ältere Hardware keinen Support mehr übernehmen will, kann man dies ja eindeutig so kennzeichnen – dies wäre keine Schande, sondern einfach nur der Hinweis an die entsprechenden Nutzer, dass jene hierbei auf eigene Verantwortung handeln.

Allerdings steht zu vermuten, dass Microsoft durchaus recht glücklich mit dem derzeitig mißverständlichen Informationsstand ist: Denn damit setzt sich breit die These durch, Windows 11 hätte tatsächlich dieserart feste Hardware-Anforderungen. Mit diesem Taschenspielertrick erzielt Microsoft primär eine höhere Durchdringung von TPM-Systemen – obwohl bislang nirgendwo jemals erklärt wurde, welche Dinge denn ohne TPM tatsächlich nicht funktionieren würden. Aller Vermutung nach wird speziell das TPM-Modul (bisher) nirgendwo zwingend in Windows 11 gebraucht – es wird halt genutzt, wenn es da ist. Aber über die Mindestanforderung schafft Microsoft – insbesondere bei den OEMs – eine derartig breite Hardwarebasis mit aktiven TPMs, dann man selbiges irgendwann später dann auch zwingend voraussetzen kann, ob für einzelne Dienste oder gar Windows im allgemeinen. Denn ob sich jetzt einzelne Nutzer um diese Anforderungen herummogeln oder nicht – die PC-Hersteller werden sich alle daran halten müssen, wenn jene ein Windows-11-Logo auf ihre Geräte kleben wollen. Gut möglich, dass eine ehrliche Erklärung von Microsoft zum Thema TPM lauten würde: "Wir setzen es jetzt voraus, obwohl es derzeit nicht gebraucht wird – aber damit können wir es später standardmäßig nutzen."

Nachtrag vom 5. Juli 2021

Laut einem schon älteren Artikel bei Borec kann der Performance-Effekt von HVCI im Fall einer Emulation von MBEC durchaus bei 30-40% liegen – basierend auf normalen Nutzeraktionen wie Dateikopieren, Öffnen von Anwendungen, Zip-Entpacken & Rechenaufgaben. Dies würde einen plausiblen Grund ergeben, wieso Microsoft mit der augenscheinlichen per-default-Aktivierung von Hypervisor-protected Code Integrity (HVCI) unter Windows 11 die Hardware-Anforderungen von Windows 11 derart hochgesetzt hat. Komplett erklärbar ist deren konkrete Ausgestaltung damit allerdings immer noch nicht, denn MBEC (ohne Emulation) wird auf Intel-Seite ab Kaby Lake geboten, Windows 11 will aber mindestens Coffee Lake haben – und auf AMD-Seite ist es noch kurioser: MBEC ohne Emulation gibt es erst ab Zen 2, Windows 11 ist allerdings schon mit Zen+ zufrieden.

Es gibt im übrigen den Verdacht, dass der ganze Akt nur dazu dient, um Android-Apps eine eigene virtuelle Umgebung zu bieten (und jene somit nicht direkt an Windows heranzulassen). Ob jene These zutrifft, ist jedoch unsicher, denn eigentlich sind HVCI und MBEC zur besseren Abschottung des Windows-Kernels gedacht, sprich dienen zuerst der Windows-internen Sicherheit. Leider mauert Microsoft wie üblich mit genauen Informationen bzw. sieht es augenscheinlich unter seiner Würde, seine Schritte gegenüber dem Konsumenten nachvollziehbar zu erklären. Insofern kann man sich an die Aufklärung dieser Fragen nur langsam und vermutlich nicht frei von Fehlern herantasten. Währenddessen dürfte Microsoft die ganze Sache längst durchgesetzt haben: Insbesondere die offiziellen Mindestanforderungen dürften schließlich gegenüber den PC-Herstellern auch als Grundvoraussetzung dafür dienen, ein Windows-Logo auf den Rechner zu pappen bzw. mit "Designed for Windows" werben zu dürfen. So dürfte es innerhalb kürzester Zeit nur noch PCs geben, welche alle diese Mindestanforderungen erfüllen und gleich mit per default aktiviertem UEFI, SecureBoot und TPM antreten.

Damit kann Microsoft nach einer gewissen Schamfrist auch davon ausgehen, dass (nahezu) alle Windows-11-PCs in dieser Konfiguration betrieben werden. Ob man dies dann dazu ausnutzt, um diverse Anwendungen oder sogar Windows-Dienste direkt von aktivem UEFI, SecureBoot und TPM abhängig zu machen, bleibt abzuwarten – dies kann so sein, muß es aber auch nicht. Da Microsoft selbst den PC-Herstellern das Recht einräumt, nach Absprache mit Microsoft von diesen Anforderungen für einzelne Geräte-Serien abzuweichen, wäre es denkbar, dass alle entsprechenden Software-Projekte immer noch mit einem Fallback-Modus ausgestattet werden, wenn beispielsweise kein aktives TPM zur Verfügung steht. Ein offenbleibender Punkt hierzu sind immer noch Behörden-PCs in Deutschland, welche nach aktuellem Rechtsstand nicht mit aktivem TPM betrieben werden dürfen. Ein weiterer offener Punkt sind irgendwelche für den Anwender direkt greifbaren Vorteile dieser ganzen Maßnahmen. Über einen im TPM verankerten Virenscanner hat man beispielsweise von Anfang der Dinge an philosophiert, praktische Bestrebungen in diese Richtung hin gab es allerdings nie.