[English]Kurze Frage in die Runde der Windows-Nutzer (Windows 8.1 bis Windows 10 und die Server Pendants), die noch mit BIOS-Systemen unterwegs sind. Wird euch das Windows Sicherheitsupdate KB4535680 für Secure Boot (DBX) über Windows Update angeboten?
Anzeige
Hintergrund zum Update KB4535680
Das Sicherheitsupdate KB4535680 (Security update for Secure Boot DBX: January 12, 2021) von Januar 2021 soll Schwachstellen auf UEFI-Systemen, auf denen Secure Boot unter Windows verwendet wird, schließen. Konkret nimmt das Update Korrekturen an der Secure Boot Forbidden Signature Database (DBX) vor. Die Secure Boot Forbidden Signature Database (DBX) verhindert das Laden von UEFI-Modulen. Das Sicherheitsupdate fügt laut Microsoft neue Module zur DBX hin.
Microsoft schreibt in seinem Support-Beitrag, dass das Sicherheitsupdate KB4535680 für die nachfolgenden Windows-Versionen zur Verfügung steht, wenn diese auf UEFI-Hardware installiert sind.
- Windows Server 2012 x64-bit
- Windows Server 2012 R2 x64-bit
- Windows 8.1 x64-bit
- Windows Server 2016 x64-bit
- Windows Server 2019 x64-bit
- Windows 10, version 1607 x64-bit
- Windows 10, version 1803 x64-bit
- Windows 10, version 1809 x64-bit
- Windows 10, version 1909 x64-bit
Ich hatte im Blog-Beitrag Windows Sicherheitsupdate KB4535680 für Secure Boot (DBX) über das Update berichtet und dort auch beschrieben, was sonst an Randbedingungen zu beachten ist.
Update wird auf BIOS-Systemen angeboten
Bis hierhin ist noch alles in Ordnung, das Update wird auf den betroffenen Systemen per Windows Update angeboten, und gut ist. Es kann aber auch per WSUS verteilt und im Microsoft Update Catalog heruntergeladen werden. Gerade hat sich Blog-Leser EP bei mir im englischsprachigen Blog gemeldet und berichtet:
Anzeige
WU seems to offer the KB4535680 update to non-UEFI based PCs (aka. PCs with legacy BIOS) and not just to only PCs using UEFI
I had to hide KB4535680 using either Wumgr or windows update minitool after doing a WU scan on an old non-uefi PC running Win10 LTSC 2019 v1809
In mageren Worten: Microsoft bietet das Update, welches explizit auf UEFI-Systeme zugeschnitten ist, per Windows Update auch auf BIOS-Systemen zur Installation an. Das macht nun überhaupt keinen Sinn – im günstigsten Fall wird dieses Update während der Installation verworfen, sobald erkannt wird, dass kein UEFI vorhanden ist. Im dümmsten Fall scheitert das Update bei der Installation.
Da Microsoft bei Windows 10 aber keine Möglichkeit mehr bietet, das in Windows Update angebotene Update-Paket auszublenden, musste EP zu einem Fremdtool Windows Update Minitool bzw. dem Microsoft Hilfstool Wumgr zurückgreifen, um das Update auszublenden. Frage: Hat noch jemand diese Beobachtung gemacht? Falls ja, habt ihr das installieren lassen und ist etwas passiert?
Ähnliche Artikel:
Microsoft Security Update Summary (12. Januar 2021)
Patchday: Windows 10-Updates (12. Januar 2021)
Windows Sicherheitsupdate KB4535680 für Secure Boot (DBX)
Microsoft Patchday-Nachlese (Januar 2021)
Anzeige
KB4535680 habe ich auf etlichen VMs W10 1909 und 2004 und Server 2016 (alle BIOS) installiert: nix passiert, alles gut.
Sorgen macht mir: "Some original equipment manufacturer (OEM) firmware might not allow for the installation of this update." (https://support.microsoft.com/en-us/help/4535680/security-update-for-secure-boot-dbx)
Was passiert dann? Installations-Loop? Mit Sicherheit werde ich nicht Microsofts Lösung wählen: "To resolve this issue, contact your firmware OEM." Das meiste läuft hier über WSUS, ich werde das KB4535680 nicht installieren, zumal hier nicht eine einzige Maschine Secure Boot nutzt.
Wolle
"1909 und 2004"
das Update gibt es doch gar nicht für 20xx (vermutlich ist es in der 2004/20H2 schon mit drin)
Und wenn mit drin ist müsste ein Upgrade von 1909 auf 2004/20H2 ja auch Probleme bereiten.
Ach Mist, du hast mich erwischt. Ich hätte vor dem Schreiben meines Beitrags besser noch mal nachsehen sollen. Also: die 2004er haben das nicht angeboten bekommen und insofern ist es da dann natürlich auch nicht installiert worden.
Warum blocken, sofern außer dass das Update feststellt, dass es nicht passt, nichts passiert? Evtl. schadet das sogar, falls man später mal vor hat, eine Installation von BIOS auf UEFI umzustellen. Das geht, ist aber nicht ganz einfach, hab ich schon mal durchexcerziert und dabei Blut und Wasser geschwitzt, denn die Kiste bootete einfach nicht mehr, und einen Rückweg gibts nicht. (Lösung: Von einer aktuellen Win 10 DVD booten und die Reparaturoptionen laufen lassen…)
was meinst du mit von BIOS auf UEFI umstellen? Meinst mbr2gpt /convert? Habe ich vor ein paar Tagen gemacht damit ich secure boot und bitlocker nutzen kann. Super easy und schnell im Erweiterten Windows Start durchgeführt (Arbeitszeit 5 Minuten / Windows 1909 Pro)
Im Prinzip ja, aber bei mir hat mbr2gpt /convert irgendwas vergessen, die Kiste hat nicht mehr gebootet.
Kein Platz mehr für die UEFI Partition gehabt? ;-)
Viele SSDs (NVME) setzen heute sogar schon GPT voraus, damit sie überhaupt unter WIN funktionieren (TRIM).
kam in der vmware über wsus auf jedem server daher und ist durchgelaufen. wir haben in der vmware nur normales bios kein secureboot etc.
Nein, (bisher)hier noch nicht angeboten unter BIOS!
Da ich Updates um eine Woche zurück gestellt habe, hätte es gestern spätestens heute angeboten werden müssen – was aber nicht passiert ist.
Ehrlich geschrieben behagt es mir nicht so recht, mich mit dem nächsten PC-Upgrade(Umbau) mit UEFI anfreunden zu müssen – besonders unter LINUX scheint es ja nach wie vor Probleme mit "Multi-Boot"(GRUB2) zu geben?!?
Was mir erneut angeboten wurde ist KB4023057, was erste nach manuellem Versuch zu installieren(erneuern) schien(0x80246017).
Sicherheitsupdate KB4535680
Erfolgreich installiert am 13.01.2021 auf einem BIOS PC.
Warum auch immer?!
Bis jetzt nichts aufgefallen.
wie bei mir
Wurde mir auch angeboten.
Habe es ausgeblendet. Das Compatibility Support Module (CSM) ist im UEFI aktiviert. Somit verhält sich das UEFI wie ein Bios.
Bei meinem UEFI-basierenden PC, wo Windows 10 20H2 im BIOS-Mode installiert ist, wurde KB4535680 nicht angeboten.
Screenshot: https://abload.de/image.php?img=win10_2021-01szjp9.jpg
warum auch (siehe Blog Artikel)
Windows Server 2019 auf UEFI fähiger Hardware im Bios (MBR) Modus bietet mir das Update an. Ich warte aber noch ein paar Tage bis ichs installiere :)
Letztendlich ist es bei nicht-UEFI-Systemen egal, ob dieses Update installiert ist oder nicht.
Das Update aktualisiert die Dateien "C:\Windows\System32\SecureBootUpdates\dbupdate.bin" und "C:\Windows\System32\SecureBootUpdates\dbxupdate.bin", welche in jeder Windows Installation (egal, ob BIOS oder UEFI) vorhanden sind. Installationsprobleme gibt es also aufgrund des nicht vorhandenen UEFI nicht.
Es hat effektiv aber trotzdem keine Wirkung, da die Updates für db (dbupdate.bin) und dbx (dbxupdate.bin) nur auf UEFI-Systemen angewandt werden.
Viele Grüße
Natürlich wird das Update auch eingespielt, man kann ja jederzeit bei vielen Systemen einfach umstellen.