Freigeben über


Sicherer Start und vertrauenswürdiger Start

In diesem Artikel werden die in Windows 11 integrierten Sicherheitsmaßnahmen sicherer Start und vertrauenswürdiger Start beschrieben.

Sicherer Start und vertrauenswürdiger Start verhindern, dass Schadsoftware und beschädigte Komponenten geladen werden, wenn ein Windows 11-Gerät gestartet wird. Sicherer Start beginnt mit dem ersten Schutzmaßnahmen beim Start, und anschließend wird der Prozess vom vertrauenswürdige Start übernommen. Der sichere Start und der vertrauenswürdige Start tragen zusammen dazu bei, dass Ihr Windows 11-System sicher und sicher startet.

Sicherer Start

Der erste Schritt beim Schutz des Betriebssystems besteht darin, sicherzustellen, dass es sicher gestartet wird, nachdem die anfänglichen Hardware- und Firmwarestartsequenzen ihre frühen Startsequenzen sicher abgeschlossen haben. Sicherer Start stellt einen sicheren und vertrauenswürdigen Pfad von der Unified Extensible Firmware Interface (UEFI) über die vertrauenswürdige Startsequenz des Windows-Kernels her. Schadsoftwareangriffe auf die Windows-Startsequenz werden durch die Signaturerzwingungs-Handshakes während der gesamten Startsequenz zwischen UEFI, Bootloader, Kernel und Anwendungsumgebungen blockiert.

Wenn der PC den Startvorgang startet, wird zunächst überprüft, ob die Firmware digital signiert ist, wodurch das Risiko von Firmware-Rootkits verringert wird. Der sichere Start überprüft dann den gesamten Code, der vor dem Betriebssystem ausgeführt wird, und überprüft die digitale Signatur des Startladeprogramms des Betriebssystems, um sicherzustellen, dass er von der Richtlinie für den sicheren Start als vertrauenswürdig eingestuft und nicht manipuliert wurde.

Vertrauenswürdiger Start

Der vertrauenswürdige Start übernimmt den Prozess, der mit dem sicheren Start gestartet wurde. Der Windows-Bootloader überprüft die digitale Signatur des Windows-Kernels vor dem Laden. Der Windows-Kernel überprüft wiederum jede andere Komponente des Windows-Startprozesses, einschließlich Starttreibern, Startdateien und des ELAM-Treibers (Early-Launch Anti-Malware) Ihres Antischadsoftware-Produkts. Wenn eine dieser Dateien manipuliert wurde, erkennt der Bootloader das Problem und weigert sich, die beschädigte Komponente zu laden. Manipulations- oder Schadsoftwareangriffe auf die Windows-Startsequenz werden durch die Handshakes zur Signaturerzwingung zwischen UEFI, Bootloader, Kernel und Anwendungsumgebungen blockiert.

Häufig kann Windows die beschädigte Komponente automatisch reparieren, wodurch die Integrität von Windows wiederhergestellt und das Windows 11-Gerät normal gestartet werden kann.

Windows-Edition und Lizenzierungsanforderungen

In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die den sicheren Start und den vertrauenswürdigen Start unterstützen:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Ja Ja Ja Ja

Lizenzberechtigungen für den sicheren Start und vertrauenswürdigen Start werden von den folgenden Lizenzen gewährt:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Ja Ja Ja Ja Ja

Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.

Weitere Informationen

Sichern des Startvorgangs von Windows