News Probleme mit älteren Systemen: Microsoft stoppt teils Rollout von Secure-Boot-Zertifikaten

mischaef

Kassettenkind
Teammitglied
Registriert
Aug. 2012
Beiträge
7.767
  • Gefällt mir
Reaktionen: flo.murr, floTTes, herrStreusalz und 8 andere
Microsoft sollte das mit Windows vielleicht auch einfach lassen - das ist ja nur noch lächerlich.
 
  • Gefällt mir
Reaktionen: Milkywayne, wagga, Mar1u5 und 24 andere
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: grünerbert, wagga, McTheRipper und 10 andere
So Secure ist der Boot ja nicht, wenn das Betriebssystem danach nicht mehr hochfährt.

Das Problem sind vorallem Geräte die Windows 11 in älterer Version (22H2,23H2) haben.
Seit 24H2 gelten neue Mindestvoraussetzungen.

Windows 11 24H2 setzt zwingend Prozessoren mit SSE4.2-Unterstützung (POPCNT) voraus. Ältere CPUs, denen dieser Befehlssatz fehlt, verweigern den Start. Offiziell werden zudem weiterhin mindestens 4 GB RAM, 64 GB Speicherplatz, TPM 2.0 sowie Secure Boot benötigt. Quelle
 
  • Gefällt mir
Reaktionen: oLpH
Wieviel Gewinn hatten wir bisher mit SB und wie viele Probleme schon damit gehabt?
 
  • Gefällt mir
Reaktionen: bikerider und h2f
@Nebula123 Frag die Millionen MOBA Spieler deren Anti-Cheat drauf basiert.
 
  • Gefällt mir
Reaktionen: wagga
Tja, ein zentralisiertes SB-Zertifikat war halt schon immer eine absolute Schnapsidee, die einzig der Kontrolle und der Möglichkeit einer Backdoor dient, nicht dem Endanwender...
Selbst, wenn wir mal ausser Acht lassen, dass Microslop so ziemlich eine der letzten Firmen ist, welche die Kontrolle über ein solches Zertifikat haben sollte
 
  • Gefällt mir
Reaktionen: bikerider, wagga, nyster und 3 andere
Simanova schrieb:
So Secure ist der Boot ja nicht, wenn das Betriebssystem danach nicht mehr hochfährt.
Wieso? Ist doch Secure. Es heisst ja auch nicht "Safe Boot", oder gar "reliable boot" :P
Ein System was nicht hochfaehrt kann jedenfalls nicht gehakt werden, und es kann auch keinen Schaden anrichten.
Wie es so schoen heisst: "Nur ein ausgeschalteter Computer ist ein sicherer Computer."
 
  • Gefällt mir
Reaktionen: grünerbert, bikerider, Kenshin_01 und 10 andere
Bei mir sind TPM und Secure Boot grundsätzlich deaktiviert und alles läuft ohne Probleme, egal ob Windows oder Linux 😜
 
  • Gefällt mir
Reaktionen: bikerider, wagga, nyster und 6 andere
So simpel wie manche glauben ist das Ganze auch wieder nicht.
Haben bei uns in der Abteilung 9 idente HP Notebooks aus 2025 mit Lunar Lake, alle auf 25H2 mit dem neuesten BIOS.
Bei 3 davon kam bei jedem Start die Bitlocker Key Abfrage, beim Rest nicht 🤷‍♂️
 
  • Gefällt mir
Reaktionen: wagga, floTTes, herrStreusalz und eine weitere Person
Manchmal fragt man sich schon, was die Leute bei Microsoft eigentlich beruflich machen. :-)
 
  • Gefällt mir
Reaktionen: wagga, emerald, nyster und 4 andere
Der Artikel wurde aber schnell umformuliert. Gibt es dazu auch einen Hinweis, dass der Artikel nachträglich angepasst wurde? Edit: Die ersten üblichen Verdächtigen und ihre Müllposts sind ja auch schon da :daumen:
 
  • Gefällt mir
Reaktionen: Grestorn
Wie Microsoft der Meinung ist, sie sollten darüber entscheiden, was auf einem Rechner booten darf.
 
  • Gefällt mir
Reaktionen: herrStreusalz
@mytosh Aber irgendwie haben alle Hersteller von Hardware mitgemacht 🤷‍♂️

Bisher habe ich keine Ahnung, auf welchem Stand ich bin, weil ich das ganze Zeug schon vor Jahren deaktiviert habe. Lieber gehe ich das Risiko ein, von einem schädlichen Bootloader infiziert zu sein, als meine erzwungenen encryption Keys an MS zu schicken oder zu verlieren.
 
  • Gefällt mir
Reaktionen: bikerider und herrStreusalz
Jo, habe hier auch noch einige HP ProBook G5, das sind Coffee Lake CPUs, also offiziell von Windows 11 unterstützt.
Windows Security sagt nur Update wegen bekanntem Problem pausiert, geht weiter wenn wir das Problem behoben haben.... wers glaubt.

Paar Tage vor Ablauf der alten Zertifikate habe ich das Update mal forciert über den von Microsoft beschriebenen Weg per Registry (AvailableUpdates auf 0x5944 setzen, Secure-Boot-Update Task starten). Ergebnis: TPM Event 1802 (Secure Boot update was intentionally blocked) mit SkipReason: KI_7.

Was ist KI_7?
KI_7, KI_8, KI_9: HP Firmware
This HP device has a known compatibility problem during Secure Boot updates. Updates are skipped on affected models to prevent issues that can occur if the required firmware update is missing. Customers can check with HP to see whether updated firmware is available that resolves this issue and allows the Secure Boot update to proceed. For more information, please reference: HP PCs - Prepare for new Windows Secure Boot certificates | HP® Support.
Und auf der Seite von HP (die mittlerweile offenbar schon entfernt wurde) erfuhr man dann das die Geräte alle im Dez. 2025 ein UEFI Update mit dem Fix bekommen haben. Naja, nur nicht das G5, weil das ist leider EOL und wird "nicht mehr supported". Und dabei hat es im Feb. 2025 noch ein regulären UEFI Update bekommen!!

Die ProBooks sind wahrlich kein Highlight aber mit NVMe SSD, 1080p IPS, USB-C Charging + DP AltMode und Coffee Lake 4C/8T sind die definitiv noch nicht reif zum Verschrotten... Eine Frechheit von HP, jahre lang ab Werk defekte Geräte auszuliefern weil sie mit ihrem gottloss vermurksten UEFI einfach Zertifikatsupdates kaputt gemacht haben und dann ein willkürliches EOL erfinden um ein paar Monate nach dem letzten Update nicht nochmal ein neues UEFI kompilieren zu müssen.

Noch schlimmer aber ohne Frage Microsoft, die dieses System so beknackt designed haben dass da Zertifikate ablaufen und man dann den Bootloader nicht mehr aktualisieren kann 🤦‍♂️ Ich habe noch nie eine Situation gesehen wo es Sinn gemacht hätte, das Zertifikate für Software-Signaturen ablaufen können.
 
  • Gefällt mir
Reaktionen: wagga
Hätte mich auch gewundert, wenn das mal ohne Probleme über die Bühne gegangen wäre. Nicht, dass meine Systeme jetzt großartig ungut auffallen, aber was MS da in letzter Zeit aufführt, ist schon peinlich.
 
  • Gefällt mir
Reaktionen: wagga
@jimmy13
Die Geschichte zeigt ja, wenn alle mitmachen, ist es auf jeden Fall gut und richtig.
 
@mytosh Hängt immer von der Betrachtungsweise ab.
Meine Grundvermutung bei einer solchen Konstellation ist immer, dass MS indirekt die HW-Hersteller dazu "zwingt", bei so etwas mitzumachen. Irgendwie in der Form, "wäre schade, wenn euer Mainboard in Zukunft nicht mehr nutzbar wäre"... (Angaben ohne Gewähr)
Wenn man wenigstens selbst irgendwie die Installation der Zertifikate regeln könnte, wäre das zumindest etwas akzeptabel. Aber bei der ganzen Geschichte sind wir vollständig von MS und deren funktionierendem Updatesystem abhängig.
 
  • Gefällt mir
Reaktionen: wagga und nyster
Artikel schrieb:
einige Geräte während des Vorgangs jedoch in einem BitLocker-Bildschirm hängen bleiben.
Haaa, was für eine Ironie, zwei Sicherheitsdinge die immer wieder Probleme machen, verhindern den "Sicheren" Start 😏

BitLocker ist sowieso der größte Schmutz, bei jedem Rechner deaktiviere ich es beim installieren, oder im Nachhinein, der Schrott macht mehr Probleme als es potenziell helfen könnte.
 
Zurück
Oben