Microsofts Update Rollup ändert Secure Boot

Microsoft nutzt ab Windows 8 ja Secure Boot auf UEFI-Systemen, um den Start unerwünschter Software zu verhindern. Nun verteilt Microsoft mit den letzten Windows-Updates neue Schlüsseldatenbanken, die in Secure Boot eingreifen.


Anzeige

UEFI statt BIOS und Secure Boot ist ja für Windows RT und Windows RT 8.1-Geräte zwingend vorgeschrieben und auch Windows 8/8.1-Rechner werden heute mit UEFI und Secure Boot ausgeliefert. Einen groben Überblick, was Secure Boot und UEFI sind, bietet heise.de in diesem Artikel. Secure Boot und UEFI ist aber immer wieder für Ärger gut, wenn man Betriebssysteme abseits von Windows 8 / 8.1 (z.B. ältere Windows-Versionen) installieren will. 32-Bit-Windows-Installationen sind wegen des GPT-Zwangs bei UEFI-Systemen grundsätzlich nicht möglich. Hier ein paar Artikel aus meinem Blog, die sich mit Secure Boot und Problemen befassen.

Windows 8.1: Wasserzeichen mit SecureBoot-Hinweis & 9600
UEFI 2.3.1: Secure Boot für Windows 8?
Windows 8: Sperrt Secure Boot Linux aus?
BSI warnt doch nicht vor Windows 8
Windows 8 UEFI-/OEM-Partitionierung – Teil III
Medion Akoya P6640 Notebook: BIOS/UEFI-Tipps

In meinem Artikel Patchday-Nachlese: Microsoft und der Rest der Welt hatte ich auch angesprochen, dass Microsoft das Update Rollup KB2962409 für Windows 8.1/RT 8.1 und Server 2012 R2 sowie das Update Rollup KB2962407 für Windows 8/RT und Windows Server 2012 zum Juni-Patchday ausrollt. Aber bereits am 13. Mai ging dieser Update Rollup-Artikel KB 2920189 online. Dieser adressiert eine Sicherheitsaktualisierung der UEFI-Signaturen für Windows 8, Windows Server 2012 sowie Windows 8.1 und Windows Server 2012 R2 (die Windows RT-Systeme gehören nicht dazu). Das Update Rollup KB 2962824 für nicht konforme UEFI-Module gibt es hier.

Die Microsoft-Sicherheitsempfehlung 2962824 vom 13. Mail 2014, aktualisiert am 10. Juni 2014, thematisiert das Update-Rollup für widerrufene, nicht-kompatible UEFI-Module und gibt an, dass Microsoft die digitale Signatur für vier private UEFI-Module (Unified Extensible Firmware Interface) von Drittanbietern, die beim UEFI Secure Boot geladen werden können. widerrufen hat. Missbrauch hat es wohl keinen gegeben, aber die betreffenden UEFI-Module nicht kompatibel seien und wohl die Zertifizierung nicht erlangten.

Ist alles recht komplex und nicht sonderlich transparent erklärt. Quintessenz ist, dass Microsoft IT-Professionals die Installation des Update Rollups für UEFI-System aus Sicherheitsgründen empfiehlt. Die Redaktion von heise.de hat sich durch die KB-Artikel zu obigem Update Rollups gewühlt und berichtet in diesem Artikel darüber. Problem für manche Systeme ist, dass Windows-Server-2012-Installationen nach Installation des Update Rollup nicht mehr startet (wenn Bitlocker nicht installiert ist). Ob der sichere Start aktiviert ist, lässt sich mit dem Tool msinfo32.exe abfragen.


Anzeige

Dieser Beitrag wurde unter Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Microsofts Update Rollup ändert Secure Boot

  1. Thomas Bauer sagt:

    Liegt es am Wetter oder am Zahnarzt Besuch, aber ich verstehe heute nur Bahnhof.
    MS schreibt auf der Seite https://support.microsoft.com/kb/2962824:
    "Zur Vermeidung dieses Problems wird empfohlen, dass Sie dieses Update erst anwenden, nachdem Sie die nicht konformen UEFI-Module aus Ihrem System entfernt haben, um sicherzustellen, dass das System erfolgreich gestartet werden kann. Zudem sollten Sie eine Aktualisierung auf konforme UEFI-Module, sofern verfügbar, in Erwägung ziehen. "
    Wie entfernt man ein nicht konformes UEFI Modul? und wie erkennt man ob man betroffen ist, außer das der PC nicht mehr startet?

    • Günter Born sagt:

      @Thomas: Du kannst berechtigte Fragen stellen – ich kann dir das nicht beantworten. Bei meinem UEFI-System von Medion gibt es Optionen, um Signaturdateien hinzufügen und zu entfernen. Aber, so wie ich es sehe, installiert man die .exe-Dateien von der Microsoft-Seite – die ihrerseits die UEFI-Module aktualisieren. Allerdings habe ich mich nicht mit den Details befasst – und werde die UEFI-Module auch nicht auf meinen Systemen installieren.

  2. Thomas Bauer sagt:

    Ich stoße mich nur an den Wort UEFI Modul. Meinen die damit mein UEFI BIOS oder Programm-Module die während des Secure Starts geladen werden? Mein Acer V3-571G wurde ja mit UEFI/GPT und Windows 8 ausgeliefert. Ich denke mal das es kompatibel ist. Naja ich schaue mal ob ich weitere Infos dazu finde.

  3. Daniel sagt:

    Hallo und Danke für diesen Beitrag!

    Ich stellte die Tage die Windows 7 Installation eines aktuellen HP Probook 450 fertig. Weil es ein Notebook ist, installierte ich noch TrueCrypt 7.1a und verschlüsselte die gesamte Platte. Nun ist es so, dass ich Windows zwar booten kann, doch nach Eingabe des Benutzernamens beim Windows-Logon geht es nicht weiter. Ohne TC funktioniert alles bestens.

    Könnte das im Blogbeitrag erwähnte Update damit in Zusammenhang stehen?

    Viele Grüße
    Daniel

  4. Daniel sagt:

    Ah, entschuldige. Das war einfach nur dumm von mir. Lesekompetenz und so… ;-)

    Grüße
    Daniel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.