Secured-Core PC

Ein Secured-Core PC ist ein Windows-Gerät, das eine von Microsoft definierte Kombination aus Hardware-, Firmware- und Betriebssystem-Sicherheitsfunktionen ab Werk aktiviert mitbringt. Das Zertifizierungsprogramm stellt sicher, dass Schutzmechanismen wie Virtualization-Based Security (VBS), HVCI (Hypervisor-Protected Code Integrity), Secure Boot, System Guard und Kernel-DMA-Schutz nicht erst nachträglich konfiguriert werden müssen, sondern bereits beim ersten Einschalten aktiv sind. Damit wird eine Sicherheitsbasis geschaffen, die Administratoren nicht versehentlich unterschreiten können.

Anforderungen im Überblick

Damit ein Gerät als Secured-Core PC zertifiziert wird, muss es mehrere Voraussetzungen gleichzeitig erfüllen. Ein TPM 2.0 ist Pflicht — entweder als diskreter Chip oder als Firmware-TPM. VBS und HVCI müssen aktiviert sein, sodass Kernel-Mode-Treiber vor dem Laden auf gültige Signaturen geprüft werden. System Guard nutzt Dynamic Root of Trust for Measurement (DRTM) auf kompatiblen Prozessoren (Intel TXT oder AMD Secure Launch), um den Bootvorgang kryptografisch abzusichern. Kernel-DMA-Schutz über eine IOMMU (Intel VT-d oder AMD-Vi) verhindert, dass externe Geräte über Thunderbolt oder PCIe direkt auf den Arbeitsspeicher zugreifen. Zusätzlich müssen Firmware-Schutzmaßnahmen gegen SMM-Angriffe (System Management Mode) implementiert sein.

Microsoft Pluton: Sicherheit auf dem CPU-Die

Microsoft Pluton ist ein Sicherheitsprozessor, der direkt in das CPU-Die von AMD, Intel und Qualcomm integriert ist. Anders als ein diskretes TPM, das über einen externen Bus mit der CPU kommuniziert, sitzt Pluton innerhalb des Prozessors selbst. Dadurch entfällt der physische Kommunikationskanal zwischen TPM und CPU — ein Angriffsvektor, der bei diskreten TPMs theoretisch abhörbar ist (sogenannte TPM-Sniffing-Angriffe über den SPI- oder LPC-Bus).

Pluton kann als TPM 2.0 fungieren und wird von Windows als solches erkannt. Ein wesentlicher Vorteil gegenüber herkömmlichen TPM-Implementierungen ist das Update-Modell: Pluton-Firmware wird direkt über Windows Update aktualisiert, nicht über BIOS-Updates des jeweiligen Geräteherstellers. Das reduziert die Abhängigkeit von OEM-Update-Zyklen und schließt Sicherheitslücken schneller. Aktuelle Pluton-Implementierungen setzen auf einen Rust-basierten Firmware-Kern (auf Basis des Open-Source-Betriebssystems Tock OS), der speichersicherheitsbedingte Schwachstellenklassen konstruktionsbedingt ausschließt.

Pluton ist verfügbar auf Prozessoren der Serien AMD Ryzen 6000 bis 9000 und Ryzen AI, Intel Core Ultra sowie Qualcomm Snapdragon 8cx Gen 3 und Snapdragon X. Geräte mit Pluton umfassen unter anderem Lenovo ThinkPad, Dell Latitude, HP EliteBook und Microsoft Surface. Wichtig: Pluton ist nicht auf allen Geräten als Standard-TPM aktiviert — auf manchen Systemen muss der OEM Pluton im BIOS freischalten, und der bisherige fTPM bleibt als Fallback verfügbar. Microsoft arbeitet zudem daran, Pluton künftig als Key Storage Provider (KSP) nutzbar zu machen, auch wenn ein anderes TPM als primäres Modul konfiguriert ist.

Secured-Core Server

Das Konzept wurde mit Windows Server 2022 auf Server-Hardware ausgeweitet. Secured-Core Server nutzt dieselben Grundprinzipien — DRTM, VBS, HVCI und DMA-Schutz — und schützt damit Infrastruktur, die in der Regel keine physische Überwachung erfährt (Rechenzentren, Edge-Standorte). Windows Server 2025 erweitert die Secured-Core-Funktionen und aktiviert VBS und HVCI bei Neuinstallationen auf kompatibler Hardware automatisch. Die Konfiguration erfolgt über Windows Admin Center oder PowerShell und lässt sich über msinfo32 verifizieren.

Secured-Core als Beschaffungskriterium

Secured-Core ist kein Feature, das sich nachträglich per Gruppenrichtlinie nachrüsten lässt — es ist eine Eigenschaft der Hardware-Firmware-Kombination. Deshalb entfaltet das Programm seinen größten Nutzen als Beschaffungskriterium: Wer bei der nächsten Hardware-Erneuerung ausschließlich Secured-Core-zertifizierte Geräte einkauft, erhält eine konsistente Sicherheitsbasis über die gesamte Flotte. Microsoft führt eine öffentliche Liste zertifizierter Geräte, die nach Hersteller und Formfaktor filterbar ist. Für Unternehmen, die regulatorischen Anforderungen unterliegen — etwa im Kontext von ISO 27001 oder branchenspezifischen Vorgaben — bietet die Zertifizierung zudem einen dokumentierbaren Nachweis, dass die eingesetzte Hardware definierte Sicherheitsstandards erfüllt.

Prüfung und Verwaltung

Ob ein vorhandenes Gerät Secured-Core-Anforderungen erfüllt, lässt sich über msinfo32 prüfen: Dort zeigt Windows den Status von VBS, HVCI, Secure Boot und System Guard an. In Microsoft Intune können Administratoren die Geräteeigenschaften zentral inventarisieren und Compliance-Richtlinien definieren, die nur Geräte mit aktivierten Secured-Core-Funktionen als konform bewerten. Für Bestandsgeräte, die die Anforderungen nicht erfüllen, bleibt die manuelle Härtung über Gruppenrichtlinien der empfohlene Weg — allerdings ohne die Garantie, dass Firmware-seitige Schutzmaßnahmen wie DRTM und SMM-Mitigationen vorhanden sind.

Relevanz für KMUs

Für mittelständische Unternehmen ist Secured-Core PC vor allem ein Werkzeug zur Komplexitätsreduktion. Statt nach der Beschaffung jeden Rechner einzeln zu härten — VBS aktivieren, HVCI einschalten, Secure Boot prüfen, DMA-Schutz konfigurieren — sind diese Maßnahmen ab Werk aktiv. Das senkt den Aufwand in der IT-Abteilung und reduziert das Risiko, dass Geräte mit unvollständiger Härtung in Produktion gehen. In Kombination mit BitLocker und Credential Guard entsteht eine Defense-in-Depth-Architektur, die vom Prozessor bis zur Anwendungsebene reicht. Der Aufpreis gegenüber nicht zertifizierten Business-Geräten ist gering, da die zugrundeliegende Hardware in den Enterprise-Linien der großen Hersteller ohnehin verbaut wird — die Zertifizierung garantiert lediglich, dass alles korrekt konfiguriert und aktiviert ist.