[English]Microsoft hat zum 9. Januar 2024 Sicherheitsupdates für Windows 10 und Windows 11 (und Windows Server 2016, 2019, 2022) veröffentlicht. In diesem Updates ist (laut KB5034441) auch ein Fix integriert, der BitLocker Security Feature Bypass-Schwachstelle CVE-2024-20666 in der WinRE-Partition beseitigen soll. Das ist ein Desaster mit Ansage, da die Installation bei vielen Nutzern mit dem Installationsfehler 0x80070643 scheitert (die WinRE-Partition ist zu klein) . Nachfolgend fasse ich die inzwischen bekannten Informationen zusammen.
Anzeige
Update KB5034441 für Windows
Update KB5034441 soll die BitLocker Security Feature Bypass-Schwachstelle CVE-2024-20666 in Windows 10 und Windows 11 sowie in den Server-Pendants (Windows Server 2016, 2019, 2022) schließen. Microsoft hat dazu den Sicherheitshinweis CVE-2024-20666 (BitLocker Security Feature Bypass-Schwachstelle) veröffentlicht.
Ein erfolgreicher Angreifer könnte die BitLocker-Geräteverschlüsselungsfunktion auf dem Systemspeicher umgehen und so auf verschlüsselte Informationen auf dem Datenträger zugreifen. Der Angreifer benötigt dazu aber physischen Zugriff auf das Zielgerät, um diese Sicherheitslücke auszunutzen und Zugriff auf verschlüsselte Daten zu erhalten. Microsoft stuft die Ausnutzbarkeit als wenig wahrscheinlich ein.
Im Beitrag schreibt Microsoft, dass der Prozess der Aktualisierung von WinRE bei den neuesten Windows-Versionen jetzt vollständig automatisiert sei. Weiterhin heißt es, dass für die folgenden Windows-Versionen keine zusätzlichen Schritte erforderlich seien, da WinRE als Teil des neuesten kumulativen Updates aktualisiert wird, die über Windows Update und WSUS verteilt werden:
- Windows 11 Version 23H2
- Windows 11 Version 22H2
Microsoft schreibt, dass Nutzer je nach der verwendeten Windows-Version möglicherweise zusätzliche Schritte unternehmen müssen, um die Windows-Wiederherstellungsumgebung (WinRE) zu aktualisieren, so dass diese dieser Sicherheitslücke geschützt sind. Für die folgenden Windows-Versionen schreibt Redmond aber, dass eine automatische Lösung existiere. Das bedeutet, die Fixes werden bei der Installation des Sicherheitsupdates für Januar 2024 automatisch mit ausgeführt:
Anzeige
- Windows Server 2022 (Server Core installation) (Link to KB article)
- Windows Server 2022 (Link to KB article)
- Windows Server 2022, 23H2 Edition (Server Core installation) (Link to KB article)
- Windows 10 Version 22H2 for x64-based Systems (Link to KB article)
- Windows 10 Version 22H2 for 32-bit Systems (Link to KB article)
- Windows 10 Version 21H2 for x64-based Systems (Link to KB article)
- Windows 10 Version 21H2 for 32-bit Systems (Link to KB article)
- Windows 11 version 21H2 for x64-based Systems (Link to KB article)
Ich habe in obiger Liste mal die Links von Microsoft belassen, die auf die betreffenden Supportbeiträge zu den betreffenden Sicherheits-Updates vom 9. Januar 2024 verweisen.
Update-Installationsfehler 0x80070643
Kurz nach Veröffentlichung meiner Beiträge zum Januar 2024-Patchday (siehe Linkliste am Artikelende) meldeten sich zahlreiche Nutzer in den Kommentaren und berichteten, dass die Updateinstallation mit einem Fehler 0x80070643 scheitert. Hier ein solcher Kommentar:
Viel Spass bei Windows 10/11. Zumindest auf Windows 10 braucht [das Update zur Installation einen] manuellen Eingriff. Bei mir kam besagter Downloadfehler. Nach erweitern der RE Partition gemäß im KB verlinkten Artikel und reboot hat es geklappt. Ohne Reboot nach vergrössern der Partition kam immer wieder besagter Downloadfehler. Nach 5 mal vergrössern gab ich auf, habe reboot durchgeführt und es lief. Danach hab ich die Partition wieder verkleinert.
Da werden Admins in grossen Firmen viel Spass mit haben. Keine Ahnung ob das überhaupt halbwegs passabel automatisierbar wäre.
Ich hatte im ursprünglichen Beitrag Patchday: Windows 10-Updates (9. Januar 2024) sogar einen Hinweis auf den Support-Beitrag KB5034441 gegeben, der sich mit dem WinRE-Update zum Schließen der Bitlocker-Bypassing-Schwachstelle befasst (die Passage ist dann aber bei Überarbeitungen herausgefallen. Im Support-Beitrag KB5034441 (bezieht sich auf Windows 10) gibt Microsoft an, dass das Update zu Problemen führen kann, wenn das Partitionsschema des Systems eine zu kleine WinRE-Partition vorsieht und schreibt:
Einige Computer verfügen möglicherweise nicht über eine Wiederherstellungspartition, die groß genug ist, um dieses Update abzuschließen. Aus diesem Grund kann das Update für WinRE mit der Fehlermeldung:
Windows Recovery Environment servicing failed.
(CBS_E_INSUFFICIENT_DISK_SPACE)fehlschlagen.
Bekanntes Problem: Aufgrund eines Problems in der Routine zur Behandlung von Fehlercodes wird bei unzureichendem Speicherplatz möglicherweise die folgende Fehlermeldung anstelle der erwarteten Fehlermeldung angezeigt: 0x80070643 – ERROR_INSTALL_FAILURE
Widersprüchliche Aussagen zur Update-Verfügbarkeit
Der Supportbeitrag KB5034441 enthält inzwischen Hinweise (bezogen auf Windows 10), dass das Update über Windows Update, nicht jedoch über den Microsoft Update Catalog und auch nicht per WSUS bereitgestellt werde. Erklärt, warum manche Administratoren das über WSUS nicht mehr angeboten bekommen. Die oben verlinkten Supportbeiträge zu den Windows-Updates geben aber noch an, dass diese Updates per WSUS und Microsoft Update Catalog erhältlich seien.
Vergrößern der WinRE-Partition erforderlich
Um den Installationsfehler zu beheben, wird eine genügend große WinRE-Partition benötigt. Partitionsmanager (z.B. Paragon Partition Manager, GParted) beherrschen in der Regel das verlustlose Anpassen der Partitionsgrößen. Microsoft hat den Support-Beitrag KB5028997 veröffentlicht, der sich mit dem Anpassen der Partitionsgrößen befasst (die Kollegen von deskmodder.de haben hier darauf hingewiesen). In diesen Kommentaren hier im Blog hat ein Leser seine Vorgehensweise skizziert:
Ich habe bei 6 PC , alle W10, das neue MS Update gemacht.
4 davon keine Probleme.
2 mit (Fehler 0x80070643)
Fehlerbehebung war:"Überprüfen der Windows RE-Version in einem Windows-Onlinebetriebssystem"
Windows-Eingabeaufforderung
CMD
reagentc /info
Steht es auf Disabled wird der Sicherheitsupdate check fehlschlagen.
Dann kommt der Fehler nicht gefunden oder (Fehler 0x80070643)
Abhilfe bei mir!
Windows-Eingabeaufforderung
CMD als admin starten und
Reagentc /enable /auditmode
Eingeben.
Erste Meldung nicht gefunden. (REAGENTC.EXE: Das Windows RE-Image wurde nicht gefunden).
Noch mal eingeben
Reagentc /enable /auditmode
(REAGENTC.EXE: Vorgang erfolgreich).
Dann zur Überprüfung
reagentc /info
Es steht auf Enabled
Update von MS neu starten.
Kein Fehler beim Update mehr.
Bei Nutzern, die die Partition zwar auf 2 GByte vergrößert haben, und im Anschluss trotzdem einen Installationsfehler erhalten, dürfte es am "Disabled"-Attribut für die WinRE-Partition liegen. Bolko und weitere Nutzer beschreiben in diesem Kommentarthread einige Szenarien. Jackie hat in diesem Kommentar ebenfalls einige Fälle beschrieben, die zusätzliche Probleme bringen können. Auf Facebook hat mir ein Nutzer noch seine Vorgehensweise in einer privaten Mitteilung gepostet:
Wenn von Interesse und zu Überprüfung; meine Lösung beim Updatefehler KB5034441:
Ist eine Wiederherstellungspartition vorhanden, reicht meistens eine Formatierung (in der Datenträgerverwaltung nachsehen).
Eingabeaufforderung als Administrator ausführen, reagentc /info und die Startkonfigurationsdaten-ID kopieren z.B.: 12345687-abcd-1234-abcd-123456789abc
Wenn WinRE-Status = Enabled:
reagentc /disable
DISKPART list disk
select disk
list diskzur Kontrolle, es sollte ein Sternchen vor dem ausgewählten Datenträger erscheinen
list partition
select partition
list partition
format quick fs=ntfs label="winRE" set id=12345687-abcd-1234-abcd-123456789abc
exitAuch wenn HELP angezeigt wird, sollte alles OK sein.
reagentc /enable
Wird winre.wim nicht gefunden
dir /a /s c:\winre.wim
(meistens c:\$WinREAgent\Backup)
reagentc /setreimage /path
Wenn keine Wiederherstellungspartition auf des Systemfestplatte vorhanden ist, die Partition auf der Windows installiert ist, in der Datenträgerverwaltung um 512 MB verkleinern.
Nicht jeder Nutzer wird die oben skizzierten Vorgehensweisen so handhaben können. Vielleicht hilft es trotzdem weiter.
Updateinstallation verhindern
Ergänzung: Weil es in den Kommentaren gefragt wurde, da sich das Update immer wieder installieren will, wenn es nicht zurückgezogen wird. In nicht verwalteten Umgebungen muss das Update für die betreffenden Windows 10 / 11-Version mittels des Microsoft Tools Show or Hide Updates geblockt werden.
Ähnliche Artikel:
Office Update KB5002500 vom 2. Januar 2023 fixt OneNote 2016 Sync-Problem
Microsoft Security Update Summary (9. Januar 2024)
Patchday: Windows 10-Updates (9. Januar 2024)
Patchday: Windows 11/Server 2022-Updates (9. Januar 2024)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (9. Januar 2024)
Anzeige
Ob 512 MB wirklich ausreichend sind?
Da auch mein System gestern nach dem Start die Updates Heruntergeladen hat, wusste ich Dank dieses Blog's bereits vor deren Installation bescheid was passieren könnte. DANKE dafür :-)
Siehe da, nach dem Neustart erschien die oben benannte Fehlermeldung.
Die Größe der WinRe-Partition betrugt bei mir bereits ca 500 MB, welche ich auf 1GB verdoppelt habe. Danach lief die Installation des fraglichen Update durch.
Bei mir war die WinRe-Partition ca. 520 MB groß, war aber zu klein.
Hab die auf 1 GB vergrößert und danach lief das Update durch.
Das Update wird tatsächlich nicht per WSUS angeboten.
Anscheinend hält Microsoft es für Firmen für unwichtig.
Oder die wollen den Admins den Mega-Aufwand, bei u.U. hunderten bis tausenden PCs die WinRE-Partition zu vergrößern, ersparen.
Bei WuFB wird es allerdings angeboten
Für Win10 21H2 ( LTSC 2021) wird das 5034122 im WSUS angeboten, wenn die RE auf enabled steht ( 2GB Größe default) macht es keine Probleme. Läuft in unserem Netz auf den Rechnern sauber durch.
Eingangsdatum des 5034122 auf dem WSUS war 10.01.24 – falls es einem weiterhilft.
Meine Systeme (15 Stück UEFI und MBR) hatten bereits alle eine RE Partition mit mehr als 540MB, ich habe die Partition jeweils auf 643 MB vergrößert dann ist das Update durchgelaufen. Warum diese komische Zahl? Das war der Speicher den ich auf dem Testsystem ohne verändern der Systempartition zuweisen konnte.
Nach dem Vergrößeren der Partition hat es aber auch einen Neustart gebraucht. Ein System hat sich ziemlich zickig angestellt und hat einen zweiten Neustart gebraucht ich habe das Gefühl da die Reihenfolge bei der Update Installation auch eine Rolle spielt.
Hat auf jedenfall eine Menge Zeit gefressen!
KB5028997: Anweisungen zum manuellen Ändern der Partitionsgröße zum Installieren des WinRE-Updates
Nur interessehalber gefragt: Wo liegt der Erkenntnisgewinn des Links? KB5028997 ist in obigem Beitrag verlinkt …
Da es weltweit millionen PCs betreffen dürfte, vorrangig auch unbedarfte Nutzer, frage ich mich, ob Microsoft da ein fehlerbereinigtes Update bringt. Einsteiger schauen nie ins Windows Update und falls doch, wissen die gar nicht was der Fehler bedeutet geschweige denn was man tun kann und lassen alles wie es ist, und sie werden somit das update schlichtweg nicht installieren. Das sollte ja eigentlich nicht im Interesse von Microsoft sein.
Meiner Meinung nach führt mit unter aus diesem Grund gar kein Weg daran vorbei. Von Lieschen Müller kann man nicht erwarten dieses Prozedere durchzuführen
Wie schon häufiger gesagt, kann man sich mit so manuellen Eingriffen, auch ganz schnell sein System zerschießen. Ich würde da weniger Anwendungserfahrenen Usern zwingend raten, abzuwarten bis Microsoft aktiv wird. Es ist deren Aufgabe. Ich selber rühre da keinen Finger bei der Eingabeaufforderung oder Sonstigen. Da habe ich einfach zu wenig Ahnung.
Das problematische Update scheint ja immer noch nicht zurückgezogen worden zu sein. Zumindest wollte es bei mir wieder einen Versuch wagen, sich zu installieren. Natürlich abermals misslungen.
Backup machen! Da kannst Dein System zerschieße so oft wie Du willst!
Wenn man aber nichts wagt, kann man auch nichts lernen!
Ich finde es so schlimm, dass scheinbar nur noch DAUs vor dem Rechner hocken, die wissen, wo das Ding angeht und wie man es "aus" macht.
Habe ich kein Interesse dran. Es ist wie schon häufiger gesagt, nicht meine Aufgabe, ein Update über eigenes Zutun über Umwege zum Laufen zu bringen.
Backup habe ich und ich bin auch nicht ausschließlich nur in der Lage, die Kiste gerade so einzuschalten. Kenne allerdings meine Grenzen.
Nur, warum soll ich die Arbeit von Microsoft machen?! Es ist deren Aufgabe für die Funktionalität der Updates zu sorgen. Und falls es Probleme gibt, ziehe ich das Update zurück und analysiere, wo der Fehler liegt. Wir reden hier ja nicht nur von ein paar Usern.
Wer Spaß dran hat, soll es gerne manuell machen. Ich warte ab und im Fall der Fälle wird das Update irgendwann eben per Tool ausgeblendet bzw. geblockt.
Tja, da kannst Du aber lange warten, fürchte ich!
Denn wie mir scheint, hat Microsoft auch die Windows 11 Nutzer im Regen stehen lassen!
Auch da gab/gibt es wohl das gleiche Problem, nur gab es bis jetzt eben kein überarbeiteten Patch.
Microsoft stuft das ja auch als unwichtig ein.
Lediglich bei neuen Installationsmedien ist das Problem gelöst.
Und wenn außer Dir Deinen Rechner eh keiner nutzt, oder nur Personen, denen Du absolut vertraust, kannst Du die Sache eh vergessen und blendest das besagte Update, einfach wie im Artikel neu hinzugefügt, aus.
"Microsoft stuft das ja auch als unwichtig ein."
Es ist ja physikalischer Zugriff notwendig.
D.h. bei der Einreise in die USA. Man muß ja nur einen kleinen Haken installieren.
Auch werden "law" full inspections erschwert, klaro das das von unseren "Ami" nicht gewollt wird.
Ich glaube nicht dass MS das Problem mit der zu kleinen Recovery Partition nicht aufgefallen ist.
Und natürlich hätten sie das scripten können, wenn es schon ne gewaltige Hausnummer wäre, Partionen zu verschieben.
Btw:
Natürlich kann man das Image auch ohne eingebautes RE bauen. Wäre ein Angriffspinkt weniger.
Vielleicht daher diese Ruhe bei MS?
Trust me. Ich hatte schon so einige Fälle bei denen ich den Wunsch hatte, dass es einen PC-Führerschein gibt. Da brauchst nicht mit Backup anfangen. Da muss man erstmal erklären, dass Outlook kein Internet Browser ist. Aber das sind teilweise nicht mal Privatpersonen. Oder anders gesagt, manche Leute sollten einfach beim Handwerk bleiben oder bei der Bewerbung entsprechende "Kenntnisse" nicht aufführen. Ich kann als ITler auch nicht in die Bewerbung schreiben ich hätte Ahnung von Active Directory nur weil ich da mal ein Benutzer angelegt habe. In diesem Fall ist aber ganz klar Microsoft am Zug, sowas muss auch ohne manuellen Eingriff tun. Aber evtl. ist das auch nur ein guter Plan die Wirtschaft anzukurbeln (ähnlich wie bei Windows 11), weil dann alle zu einem IT-Dienstleister rennen müssen.
Das Vergrößern der WinRE Partition ist auch nichts was man mal eben so macht, vor allem nicht wie von MS beschrieben mit Diskpart, und schon garnicht wenn diese Anleitung auch noch fehlerhaft ist… Selbst wenn man ein Tool wie Minitools Partition Wizard, gparted etc. nutzt, bleibt da aufgrund von schlechten Erfahrungen in der Vergangenheit während der Durchführung der Änderung immer so ein flaues Gefühl in der Magengegend, von dem man erst erlöst wird, wenn die Kiste nach dem Eingriff endlich wieder fehlerfrei startet.
Und was ist mit einem Systembackup?
Selbst wenn die Geschichte in die Hose geht, egal,
Backup zurück und weiter geht's.
Dann kann man überlegen was falsch gelaufen ist und es noch einmal versuchen,
oder man lässt es.
was aber halt jeweils nicht unwesentlich Zeit frisst. Selbst mit ordentlichem Backup mit Bare-Metal-Recovery ist der Rechner dann gleich mal 30 Minuten nicht nutzbar. Gerne auch mal länger. Insbesondere, wenn man mehr als einen parallel zurücksetzen muss.
Meine Erwartungen, dass ein "fehlerbereinigtes Update kommt", liegen bei Null. Microsoft hätte da nur folgende Möglichkeiten:
a) Sie bauen den Patch für CVE-2024-20666 schlicht wieder aus den Januar 2024-Updates aus – wäre schlau gewesen, das erst gar nicht einzubauen.
b) Sie integrieren eine funktionierende Fehlerprüfung, die schaut, ob die WinRE-Partitionsgröße passt. Falls nein, wird nur der Bitlocker-Patch nicht installiert und das wird auch korrekt gemeldet.
c) Sie bauen eine Lösung, die entweder mit 499 MByte WinRE-Partitionsgrößen zurecht kommt, oder diese Partition so verlagert/vergrößert, dass dies zur Installation passt.
Alle drei Optionen scheinen die Fähigkeiten der Microsoft-Entwickler, das in ihrem Eco-System zu implementieren, zu übersteigen. Nur bei den neuen ISO-Installationsabbildern für Windows 11 scheint der Bitlocker-Fix bereits integriert.
Irgendwas werden sie machen müssen. Als absolutes Minimum m.E. erstmal, das Update wieder komplett zurückziehen.
Sie können die Leute nicht im Regen stehen lassen und sagen: "Macht mal selber per Anleitung".
Ich habe zwar noch irgendwo das "show or hide Tool" auf einen Stick, wo ich versuchen könnte, dass Update einfach auszublenden(Nach dem Motto: Aus den Augen, aus den Sinn), aber das will ich immer nur als letzte "normale" Möglichkeit nutzen. Wer weiß, ob es überhaupt noch richtig funktioniert.
Bisher musste ich noch nicht großartig Gebrauch davon machen, ausgenommen Treiberupdates(die sich immer wieder neu installieren wollten). Ist aber alles schon eine Zeit lang her.
Höre ich daraus, dass Microsoft die Windows 11 Nutzer hat im Regen stehen lassen?
Die sind doch seit Monaten an diesem Thema dran und mehrfach auf den Bauch gefallen. Und nun will man mit der Brechstange das automatisch installieren? Was könnte man angesichts dieses Sachverhalts erwarten:
[ ] Nix
[ ] Microsoft löst es pronto für alle Nutzer
[ ] Ich glaube an den Weihnachtsmann?
Ist auch eine Mehrfachauswahl erlaubt? :)
Ich verstehe aber nicht wo das Problem für Microsoft liegen sollte. Der Vorgang ist doch denkbar einfach:
1. WinRE.wim auf C kopieren
2. WinRE.wim patchen
3. WinRE auf die RE Partition verschieben
Ich sehe keinen Grund die WinRE.wim direkt auf der RE Partition zu patchen. Die gepatche WinRE.wim hätte auch auf eine RE Partiton mit 550MB gepasst. Sowas ähnliches war wohl auch angedacht zumindest sieht es so aus wenn man sich die Dateien unter C:\$WinREAgent\ ansieht.
Ich glaube an den Weihnachtsmann …
Für Win 11 / Server 2022 heißt das Update KB5034439. Auch für dieses Update gibt MS die gleiche Fehlerbeschreibung raus.
Windows Recovery Environment servicing failed.
(CBS_E_INSUFFICIENT_DISK_SPACE)
https://support.microsoft.com/en-au/topic/kb5034439-windows-recovery-environment-update-for-azure-stack-hci-version-22h2-and-windows-server-2022-january-9-2024-6f9d26e6-784c-4503-a3c6-0beedda443ca
Ich habe hier inzwischen ein paar Systeme im Netz analysiert, welche an KB5034441 scheitern. Die meisten davon haben eine Wiederherstellungspartition von 499 MB, nur wenige davon kleiner, manche der Systeme haben laut Datenträgerverwaltung sogar zwei Wiederherstellungspartitionen, wovon die vordere fast voll ist, und die Zweite am Ende der Platte ist so gut wie leer. Die Systeme, die KB5034441 erfolgreich installieren konnten, haben alle keine Wiederherstellungspartition. Bitlocker ist überall aktiv.
Für jede Windows-Version gibt es imho einen separaten KB-Artikel, der im CVE-Support-Beitrag genannt wurde.
Und was macht man wenn man keine Recovery Partition hat und auch keine haben möchte?
Nach Updateinstallation wieder löschen?
Wenn das Update sowieso nur die Recoverypartition betrifft könnte man evtl. einfach dem System vorgaukeln es wäre drauf?
Das Problem gab oder gibt es bei Windows 11 auch,
hat Microsoft das da nachgebessert, oder ließen sie (auch) da die Nutzer im Regen stehen?
Ist es wirklich deren Ernst, dass nun der Nutzer erst die Voraussetzungen schaffen muss,
damit ein Update funktioniert?
Und da sage nochmal einer, dass Linux ein frickel System ist!
Hier Win11 23H2 ist die Recovery-Partition 750mb groß.
Hab ich mal nachgeschaut, wurde gleich so installiert oder wurde durch Update so eingestellt.
Es gab auch keine Fehler beim letzten Update.
Übrigens:
https://www.der-windows-papst.de/2024/01/10/windows-restore-winre-wim/
Dort, ganz unten:
"Windows WinRE Fehler 0x80070643 – Was ist in diesem Fall zu tun?"
C:\WINDOWS\system32>reagentc /info
Konfigurationsinformationen zur Windows-Wiederherstellungsumgebung (WinRE) und
zur Systemwiederherstellung:
WinRE-Status: Disabled
C:\WINDOWS\system32>reagentc /enable
REAGENTC.EXE: Windows RE kann auf einem Volume mit aktivierter BitLocker-Laufwerkverschlüsselung nicht aktiviert werden.
C:\WINDOWS\system32>reagentc /enable /auditmode
REAGENTC.EXE: Windows RE kann auf einem Volume mit aktivierter BitLocker-Laufwerkverschlüsselung nicht aktiviert werden.
Pfffff…
Das kaputte Update mit den empfohlenen Korrekturmaßnahmen wirken auf mich wie eine Beschäftigungstherapie zur Heilung von Schwachsinn und Windows-Sucht.
könnte bitte jemand mal bei Windows 11 23H2 prüfen welche Version sein winre Image hat?
geht mit
Dism /Get-ImageInfo /ImageFile:\\?\GLOBALROOT\device\harddisk0\partition4\Recovery\WindowsRE\winre.wim /index:1
harddisk0 und partition4 beim aufruf ggf. anpassen. Bei mir sind die Updates auf Windows 11 23H2 zwar durchgelaufen. das winre image wurde gemäß dem aufruf aber zuletzt 2023 modifiziert. Insofern bin ich mir nicht sicher ob da alles so läuft wie MS meint.
Version ist 1702 bei mir. finde im Netz so keine Info welche Version für Windows 11 23H2 korrekt wäre.
Edition Windows 11 Pro
Version 23H2
Betriebssystembuild 22631.3007
Tool zur Imageverwaltung für die Bereitstellung
Version: 10.0.22621.2792
Details für Image: "\\?\GLOBALROOT\device\harddisk0\partition1\Recovery\WindowsRE\winre.wim"
Index: "1"
Name: "Microsoft Windows Recovery Environment (amd64)"
Beschreibung: "Microsoft Windows Recover Environment (amd64)"
Größe: 3.960.996.882 Bytes
WIM startbar: Nein
Architektur: x64
Hal:
Version: 10.0.22621
Service Pack-Build: 2209
Service Pack-Nummer: 0
Edition: WindowsPE
Installation: WindowsPE
Produkttyp: WinNT
Produktsuite:
Systemstamm: WINDOWS
Verzeichnisse: 4181
Dateien: 19894
Erstellt: 07.05.2022 – 10:47:22
Geändert: 24.08.2023 – 12:50:33
Sprachen:
de-DE (Standard)
danke. ich nehme an kein bitlocker aktiv.
Bei 6 Windows 10 Rechnern gab es bei vieren den Fehler, allesamt Rechner, wo noch von einer MBR-Partition gebootet wird. Ich werden da keine Partitions-Experimente machen und abwarten, zumal keiner der Rechner Bitlocker nutzt.
Was für ein übles Frickelwerk. Wie kann man das einem Normalanweder überhaupt zumuten?
Gratuliere, der Beitrag hat mir geholfen, das Problem zu begreifen und zu lösen! (ironie off)
Tja, das Problem ist Windows. MS hat es vorne und hinten nicht mehr im Griff. Ich habe dir gerne geholfen, brauchst dich nicht zu bedanken.
Über Alternativen, die nicht solch ein übles Frickelwerk sind, willst du ja nicht nachdenken.
Daher nochmal die Frage, wie kann man einem Normalanwender ein solches System zumuten?
Die Frage des Tages: Was macht ihr Überflieger hier eigentlich? Am Leid der Anderen ergötzen? Gibt euch das mehr Selbstwertgefühl?
Du hast meine Frage nicht beantwortet, lenkst mal wieder ab und wirst persönlich.
Dann spar dir deinen Kram doch besser ganz. Oder lässt das dein Selbstwertgefühl nicht zu, um mal bei deinen Worten zu bleiben?
Habe ein ASUS ZenBook 14 mit WD_BLACK SN750 SE (1TB).
Mein Win 10 22H2 hat auch hier bei KB5034441 den Fehler 0x80070643.
Habe WindowsRE mit MiniTool Partition Wizard von 850MB auf 2GB vergrößert.
Erfolglos, Fehler 0x80070643 bleibt. :(
Was passiert eigentlich wenn man gar keine WinRE Partition hat? Die kann man ja IMHO gefahrlos weg löschen.
Danke und Gruß
"one of my systems has no wire partition.
the recovery components are installed in the system partition.
a did get a dl error at first but after retrying the update was installed"
– quelle ist eine große us patch community
(wir haben übrigens gar keine winre partition, weder über wsus noch über unser pm tool wurde die kb angeboten. ~2000 vclients)
Wenn die Wiederherstellungspartition zu klein ist für ein aktuelles WinRE, kann man sie auch einfach wie oben beschrieben deaktivieren. Im Notfall muss man eine ggf. nötige Reparatur dann halt z. B. von einem aktuellen Windows-USB-Stick booten.
Oder sie eben vergrößern/neu anlegen. Dass das dann dauert, ggf. sogar Bitlocker temporär deaktiviert, also alles entschlüsselt werden muss, lässt sich wohl nicht ändern, wenn die WinRE Binaries irgendwann zu groß werden für eine Dimensionierung von vor vielen Jahren.
Ob das Deaktivieren gegen die mit dem Update geschlossene Sicherheitslücke hilft oder ob man die Partition dazu ganz leeren/löschen sollte, weiß ich nicht. Booten mir irgendwelchen Hacker-USB-Sticks kann man schließlich immer. Ich hoffe, man kommt dann trotzdem nicht an die Bitlocker-verschlüsselten Daten, deren Schlüssel ja im TPM liegt.
Habe bisher 8 Win 10 Rechner 22/02 geupdated, wobei bei allen bis auf einen der Fehler auftauchte.
Die im KB-Artikel aufgeführten Abhilfemaßnahmen habe ich an einem Notebook mit MBR-Partitionen getestet (WinRE auf Partition 3 mit ca. 580 MB).
Ergebnis:
Die automatisierten deutschen Übersetzungen sind nur nervig (in Browser de-de auf en-gb ändern -> englische Ausführung).
Weil ich noch etwas Reserve auf der SSD gelassen hatte, war mit der Anleitung die Partition zu groß und ich habe diese erneut mit 2 GB angelegt (size=2000).
Trotz exakter Befolgung der MS-Anleitung war WinRE nun auf Partition 2 = Systempartition – wer jetzt den Überblick verliert und ggf. löscht in einem Durchlauf verliert den Inhalt seiner Systempartition….
Zunächst keine Ahnung, wie dem System die vergrößerte Partition 3 schmackhaft gemacht werden kann… (irgendwo stand was von Änderung der Sequenz zur ID-Zuweisung…)?
Mit der Anleitung von Deskmodder konnte letztlich die Partition 3 zugeordnet werden und nach Entfernen des Laufwerksbuchstabens, ist nun alles hoffentlich korrekt konfiguriert.
Es gibt unter
https://learn.microsoft.com/de-de/windows-hardware/manufacture/desktop/deploy-windows-re?view=windows-10
auch eine Anleitung zur Anlage von WinRE, welche hier m.E. hilfreich ist.
Das Update KB5034441 lief dann durch.
Ein zweiter Rechner updatete extrem langsam und die anderen 6 mit automatischen Updates, die ich heute für inspizierte hatten zum Teil das Update bereits ignoriert. An einem stand zunächst noch der Fehler im Warten auf Neustart screen, der dann aber wie von Geisterhand verschwand und nach Neustart war alles "grün", wobei es im Update-Verlauf einen Hinweis auf besagten Fehler gibt. Ein Rechner, der erst neu gestartet wurde, fand KB5034441 heute gar nicht erst und an einem anderen (alle übrigens exakt baugleich und – soweit steuerbar – SW-gleich) wird nach wie vor versucht es zu installieren…
Irgendwas wurde hier von MS wohl initiiert. Warte nun ab, und werde vorerst an keinem weiteren Rechner manuell die Partitionen verändern.
Alles sehr "transparent" – ich liebe diese undurchsichtigen Windows-Update-Prozesse einfach….
Niemals darf ein Update mit solchen Implikationen automatisch ausgerollt werden. Ach so, bei uns sind alle Installation Standard, damit eben Windows möglichst sauber läuft – und die Größe der Partitionen hat MS selbst vorgegeben und sollte damit wissen, dass die Mehrheit hier ein Problem. Die Abhilfe ist im Grund gefährlich – im Großen und Ganzen wird man von MS entmündigt (bloß keine nachvollziehbaren Erklärungen und Aussagen….es können, unter Umständen, wir untersuchen…)
Zum Abschluss was positives: Seit ca. 2 Jahren liefen die Updates bei uns zugegebenermaßen stabil und zuverlässig. Hoffen wir mal, dass dies hier der Jahresausrutscher ist.
> irgendwo stand was von Änderung
> der Sequenz zur ID-Zuweisung
in der anleitung von microsoft fehlt fuer MBR-systeme anscheinend ein befehl. vor dem verlassen von diskpart, "SET ID=27 override" ausfuehren (sonst wird statt einer wiederherstellungspartition lediglich eine weitere primaere partition erstellt):
https://www.deskmodder.de/blog/2024/01/09/windows-10-kb5034441-winre-update-als-sicherheitsupdate-kann-fehler-0x80070643-ausloesen/#comment-266336
Genau dies scheint die Ursache zu sein…
Damit wäre der Ablauf etwas kompakter, als mit der Deskmodder-Anleitung….
Das löst aber nicht das Problem dass weiterhin ständig versucht wird das Update zu installieren?
Schau mal meinen Nachtrag am Artikelende.
Da hab ich die Fragen als Normalanwender:
Wird dieses Update jetzt immer wieder versuchen sich zu installieren wenn Windows es nicht zurück nimmt?
Kann ich das irgendwie auf einem Normalanwender Niveau blocken?
In nicht verwalteten Umgebungen muss das Update KB5033375 mittels des Microsoft Tools Show or Hide Updates (wushowhide.diagcab) geblockt werden. Siehe meinen Nachtrag am Artikelende.
Danke
Dake Günter für den Updateblocker. Ich musste aber erst enaml verstehen, was man da anklicken muss.
Das Ding KB 5034441 ist jetzt weg.
Komischerweise zeigt er mir dann noch bei "Hide Updates" KB5031908 an (SQL_Server 2019 RTM Update 24) an. Das erscheint aber bei Windows Update gar nicht, auch nicht bei optionale Updates.
Du musst schauen, welches kumulative Update für dein Windows angeboten wurde – KB5034441 ist ja nur ein Supportbeitrag – der Fix wird mit einem der zugehörigen Jan. 2024 Updates ausgerollt.
Danke!
Das KB 5034441 ist jetzt erst einmal "weg" und wenn MS das denkt zu reparieren, schaue ich dann. Mal sehen was passiert wenn ich es wieder dann einblende. Vielleicht mache ich noch die Partionierungsänderung. Jedenfalls weiß ich jetzt wie das MS-Tool funktioniert.
Das für den SQL Server 2019 brache ich wohl nicht. Ich habe über Datev die Datev-Version SQL Server 2019. Diese ist keine richtige Vollversion. Ich bastele da nicht rum, bin froh das alles so funktioniert.
Bei einem PC hab ich dass mit der Eingabe Aufforderung gelöst und die Partition vergrößert und auf dem anderen Pc ganz leicht mit Paragon Partition Manager™ 17 CE.
Ging super einfach damit. Bei einem auf 1Gb und den andern Pc auf 2Gb vergrößert, auf beiden konnte ich dann dass Update installieren.
Ich glaube, dass MS aktuell etwas ausspielt, was das Update blockt. Sie meinen Kommentar dazu.
Hier sehe ich noch nichts, was du meinst.
Die Antwort beim Update ist weiterhin:
2024-01 Sicherheitsupdate für Windows 10 Version 22H2 für x64-basierte Systeme (KB5034441) – Fehler 0x80070643
Bis auf ein Rechner (automatische Updates) zeigen an, das System sei auf dem neusten Stand, obwohl KB5034441 nicht erfolgreich installiert wurde (steht im Updateverlauf). Andere fanden das Update heute gar nicht. Nur einer der Rechner zeigte noch den Fehlschlag prominent an und versucht es weiterhin zu installiert – hier warte ich mal ab.
Moin,
kann es sein, das seit ca. 12:00 Uhr MEZ das Update nicht mehr zum Download angeboten wird? hab jetzt zwei Rechner hier, bei denen das nicht mehr in der Liste der zu insztallierenden Updates auftaucht
Genau scheint der Fall zu sein, toll wäre eine entsprechende Meldung von MS…
Und wenn man das Verzeichnis namens Software löscht?
Da sammelt Windows ja alle Updates.
Bei meinen win10 VMs ist es noch da und wird versucht zu installieren
Ich habe hier 32 PC mit 22h2 x86 die nach dem Auto-Update von KB5034441 nicht mehr laufen, alle tot mit einem Bluescreen beim Start. Danke Microsoft!
Hoffentlich hat MS jetzt nicht beim Versuch den Fehler zu beseitigen, eine fehlerhafte Partitionsanpassung ausgespielt…..
Blue Screens sind jedenfalls eine ganz neues Symptom….
Wann wurden die Updates den installiert bzw. heruntergeladen?
Bluescreen lese ich auch zum ersten Mal bei diesem Problem. Was läuft da genau auf den PC? "22h2 x86" lässt ja noch Interpretationsspielraum.
2024-03-01 Sicherheitsupdate für Windows 10 Version 22H2 für x86-basierte Systeme (KB5034441)
Update ist vom Mittwoch, 3. Januar 2024 11:39:31 wurde am 11.01.2024 installiert per Auto-Update
http://download.windowsupdate.com/c/msdownload/update/software/secu/2024/01/winreupdateinstaller_2401b_x86_ff3912981796f90d324548d347d91e61f62bde01.exe
Ich nutze einen Windows365 Cloud PC von Microsoft mit Windows 10.
Auch da läuft das Update mit Fehler (0x80070643) nicht durch…
Hallo,
ich habe folgende Frage zur Vergrösserung bzw Verschiebung der Wiederherstellungspartition.
Ich weiß nicht wie es damals passiert ist,aber jedenfalls ist bei meinem Win10 die Wiederherstellungspartition am Anfang der SSD.Dann kommt die 100MB EFI Part. und dann erst die Windows Partition.
Wie stelle ich es an ( Vorzugsweise ohne Neuinstallation des OS ) die Wiederherstellungspart. hinter die Win10 Part zu bekommen ,sofern das überhaupt noch möglich ist.
Hallo Erich,
bei mir liegt die WinRE Partition am Ende und ist 1000MB groß trotzdem schlägt das Update fehl.
Den Mist soll MS mal gern behalten.
LG Tino
mit den beschriebenen Minitools.
Ggf. kopieren die die andern Partitionen weg.
Das kann dauern.
Ein bare metal restore sollte man geübt haben.
(Kein Mensch braucht Backup! Alle wollen nur Restore!)
Danke,
ich lese mich da mal ein.
Man will ja nix überstürzen.
Mal ganz dumm gefragt.Kann man nicht die Wiederherstellungspartition löschen,die EFI Partition einfach mit dem vorhandenem leerem platz vergrössern und DANN die Wiederherstellungspartition neu anlegen ? Theoretisch sollte die dann doch automatisch HINTER der Systempartition angelegt werden sofern dort freier Speicherplatz verfügbar ist,oder ?
Hallo,
mir gings eigentlich auch eher um die Problematik,das ich so meine Wiederherstellungspart. überhaupt nicht vergrössern kann .
hatte auch diese Fehlermeldung ich hab dann aber das Powershell script verwendet siehe https://support.microsoft.com/en-us/topic/kb5034957-updating-the-winre-partition-on-deployed-devices-to-address-security-vulnerabilities-in-cve-2024-20666-0190331b-1ca3-42d8-8a55-7fc406910c10
da gab es dann keine Probleme, und das Windows Update lief dann auch problemlos durch
noch eine kurze Anmerkung zum Powershell script bei der Frage packagePath: einfach einen Punkt eingeben, sofern das Dynamic Update im gleichen Ordner ist. Man kann auch vorher prüfen auf welcher Version das Windows RE ist
siehe https://learn.microsoft.com/de-de/windows-hardware/manufacture/desktop/add-update-to-winre?view=windows-11 bei "Überprüfen der Windows RE-Version in einem Windows-Onlinebetriebssystem" das Service Pack-Build sollte sich dan erhöhen nachdem man das script ausgeführt hat
Ich habe dieses Script schonmal für ein WinRE-Update verwendet. Aber definitiv nicht für dieses. Jetzt verweigert es die Ausführung mit "this script was previously run successfully". Irgendwo (Registry?) muss es sich nach dem letzten Lauf verewigt haben. Eine Idee wo?
Oder man patcht diese Prüfung aus dem Script raus?
Registry
HKLM\\SOFTWARE\\Microsoft\\PushButtonReset
WinREPathScriptSucceed
Wert 1 zu 0 ändern oder Schlüssel löschen
Zusätzlich schein das Script noch die Version einer bootmenu…dll zu prüfen, die >= 2247 sein muss, was bei mit schon vor Anwenden des Scriptes so war.
Ich vermute, dass die diese Kontrolle bei der Aktualisierung nicht geändert haben?
Welche Versionsstände hat ein fertig gepatchtes WinRE?
Also ich versteh fast nur Bahnhof. Ich will doch einfach nur mein System absichern.
Powershell Script ausgeführt. Kommt die Frage nach packagePath. Die Microsoft Seite sagt dazu "Specifies the path and name of the OS-version-specific and processor architecture-specific Safe OS Dynamic update package to be used to update the WinRE image." Was zur Hölle?
Dann schreibst du hier das man darauf auch nur einen Punkt eingeben kann sofern das "Dynamic Update im gleichen Ordner ist". Was wie wo? Welches Dynamic Update und was ist das überhaupt.
Siehe Anfang, ich versteh fast nur Bahnhof. Ich will doch einfach nur mein System absichern.
Mit PackagePath ist der Pfad zu dem Update (KB5034441 oder ähnlich) auf deiner Festplatte gemeint.
Danke für deine Antwort bzw die Klarstellung. Leider folgt das nächste Problem auf dem Fuße. Einen manuellen Download für KB5034441 finde ich im gesamten Windows-Update-Katalog nicht.
Was für ein schreckliches Gefrickel…
den Windows Update Catalog öffnen https://www.catalog.update.microsoft.com/Search.aspx?q=Safe%20OS wenn du Windows 10 22H2 64bit hast dann dieses update hetunterladen "2024-01 Dynamic Update for Windows 10 Version 22H2 for x64-based Systems (KB5034232)" und in den gleichen Ordner ablegen wie das Powershell script
Sorry für die Verspätung aber auch dir natürlich vielen Dank für deine Antwort Rafael.
Ich weiss zwar nicht wie man als "Normalo" vom eigentlichen Problemupdate KB5034441 auf das benötigte Dynamic Update KB5034232 kommt, jedenfalls sehe ich nirgends einen einfach zu findenden Zusammenhang, aber zum Glück gibt's ja Leute die sich auskennen. :)
Zwei Fragen:
1) Technisch verstehe ich nicht, warum ein Angreifer nicht einfach wieder eine ungepatchte Version von WinRE.wim in das System einschleusen kann, wenn er doch ohnehin physischen Zugriff hat. Soweit ich das sehe, ist die Partition doch nicht verschlüsselt. Oder sind im WinRE.wim irgendwelche gerätespezifischen Infos gespeichert und sie ist nicht generisch, oder ist sie kryptografisch gesichert?
2) Ist das gepatchte WinRE.wim zu groß für Partition, oder ist Partition nur _während_ des Patchvorganges zu klein? Es gab letztes Jahr doch schonmal einen völlig manuell zu installierenden (Sicherheits-)Patch für WinRE, der keine Platzprobleme hatte.
@G.Born: gibt es dazu Infos?
Ich habe keine Infos – weiß aber, dass es auch bei der manuellen Installation Probleme gab.
Man kann das .Wim auspacken und wie eine Virtuelle Platte mounten und dann Dateien ändern oder neue anlegen.
Es gibt dafür Anleitungen und man kann auch batch Dateien standard mäßig starten lassen.
Danach wieder einpacken.
Da wird nix kryptografisch gesichert. Darum ist es ein 2. Angriffs Vektor.
Wenn die Platte verschlüsselt ist geht das natürlich nicht AFAIK, wenn man nicht booten kann.
genau das macht das Powershell script von MS siehe meinen Kommentar weiter oben, das mountet es patcht es und macht dann wieder ein unmount. Warum MS nicht in dem KB Artikel auch auf https://support.microsoft.com/en-us/topic/kb5034957-updating-the-winre-partition-on-deployed-devices-to-address-security-vulnerabilities-in-cve-2024-20666-0190331b-1ca3-42d8-8a55-7fc406910c10 verweist ist mir schleicherhaft, hab mittlerweile bei 4 PCs die Fehlermeldung gehabt und bei allen 4 PCs hat es dann mit dem Powershell script funktioniert, und nacher keine Fehlermeldung mehr beim Windows Update gehabt
Ich habe aber Systeme mit Bitlocker gesehen deren RE PArtition nicht verschlüsselt war bzw. ich habe nur welche mit unverschlüsselter RE Partition gesehen. Wie das normal aussehen sollte weiß ich aber nicht. Mir kam schon früher der Gedanke das der Fix vielleicht Käse ist.
Windows 11 23H2 wird scheinbar nicht gepatched beim update. update läuft ohne Fehler durch, aber die winre version ist weiterhin sehr alt. also hab ich versucht das mit dem powershell script zu machen. nachdem ich kein dynamic update gefunden habe, dass sich da installieren hätte lassen, hab ich dann das vollwertige msu genommen.
das powershell script kracht dann natürlich mit fehler ab, weil die partition zu klein ist. nach dementsprechenden erweitern. hat es dann irgendwann geklappt.
achja wer den aktuellen kb von windows 11 deinstalliert, wird feststellen, dass der winre teil unangetastet bleibt. also was immer da microsoft veranstaltet ist ein riesen mist.
leider sind die Win11 Images zum Downloaden alle stand Dezember 2023. Ich warte jetzt mal auf ein Image mit Stand Januar 2024 oder neuer und installier dann mal Windows 1 komplett neu. Microsoft sollte den ganzen Mist mal überdenken.
Windows Server 2022 ist ja auch so ein Wahnsinn. In der Default Partitionskonfiguration vom Installer ist die Windows RE Partition hinter der OS Partition, womit in virtuellen Umgebungen das vergrössern ad absurudm geführt wurde.
Bei einem meiner Rechner gab es auch das Problem.
Dort habe ich die Recovery Partition sogar auf 2GB aufgebläht und der Fehler kam trotzdem beim Patch. ABER: Ein spezielles Problem bei mir war wohl das ich zwar eine recovery partition hatte und diverse 3rd Party Tools auch diese als solche angezeigt haben, aber diskpart hat sie als "Unbekannt" erkannt. Ich musste also mit diskpart Kommandos eine bestimmte ID setzen welche die Partition als recovery paritition kennzeichnet und dann auch nochmal das wimre.wim drauf kopieren (siehe deskmodder anleitung). In meinem Fall war es also nicht zu kleine Part, sondern eben irgendwie "versaubäutelte" Partitions-Parameter whatever.
Nach dem ersten Scheitern des Updates ist es zu spät, dieses Update vov weiteren Versuchen auszuschließen. Bei mir wurde der bisherige Inhalt der Wiederherstellungspartition gelöscht. Von wegen Update…
Und wenn man das Verzeichnis namens Software löscht?
Da sammelt Windows ja alle Updates.
Hier wird das Update KB5034441 nach einem Update-scan, verbunden mit "Windows Update for Business", immer noch angeboten und schlägt wie überall fehl.
Sieht also nicht danach aus, dass Microsoft es entfernt hätte.
Unter WSUS wird das Update wie erwartet von Beginn an nicht angeboten.
Wurde das Update über Windows Update nun zurück gezogen?
Bei meinen Servern ist es noch in der queue, ich warte mal ob was von MS. Also etwas was man als Lösung brauchen kann. Wenn nicht werde ich es dann Ausblenden…
Heute habe ich ein Win2022 Std. mit dem heute heruntergeladenen ISO vom Dez. 2023 installiert. Die WinRE Partition ist 632 MB gross und der Patch kann _nicht_ installiert werden, ohne vorher diese zu vergrössern. Hmmm
sehr interessant und danke für den versuch.
In einer VM W10pro aktuell, auch das Dilemma. Was mich aber interessiert, wie kann die Wiederherstellungsumgebung BitLocker umgehen, wenn das PW nicht verfügbar ist?? Uwe
Hallo zusammen,
ich habe W10Pro 22H2 und das Update KB5034441 scheiterte ebenfalls mit dem Installationsfehler 0x80070643!
Meine Wiederherstellungspartition beträgt nur 499 MB.
ABER nach Eingabe von "reagentc /disable" und danach wieder "reagentc /enable" dachte ich mir, ich versuche es mit dem Update einfach noch einmal.
UND siehe da, ich konnte es nicht glauben – das Update ist durchgelaufen!!!
Glückspilz, erzähle es keinen weiter!
Das funktioniert hier nur bei 1 von 5 Computern.
@col,
klar Du hast recht :-)
aber bevor man sich die größere Tortur antut ist dies ja ein Versuch wert… hat ja geklappt ;-)
Habe alle anderen Methoden probiert. Letztendlich hat genau das funktioniert.
reagentc /disable; reagentc /enable
Hallo,
habe es ausprobiert und es hat bei mir ebenfalls funktioniert (Win10 Home 22H2)
Hm, ich habe auch Win10Home, also kein BitLocker, und trotzdem dieses Theater, das eine Schwachstelle schließen soll, die ich gar nicht habe? Oder habe ich da etwas falsch verstanden?
Genau das frage ich mich auch schon die ganze Zeit. Auch ich habe Windows 10 Home und daher kein Bitlocker, wieso soll ich dann dieses Update überhaupt installieren?? Ich habe es ausgeblendet und fertig.
Dies hier in den Microsoft Communitys gefunden
Ob das nun heißt: wir korrigieren das, wir ziehen das Update zurück oder wir verweisen immer nur auf die Anleitung für die selbstständige Korrektur kann ich natürlich nicht sagen
Quelle: MS Answers-Post Windows Update vom 09.01.2024 KB5034441 fehlerhafter Download
Jedenfalls werde ich meine Updateringe in WUfB, insofern über das WE noch nichts passiert ist am Montag, pausieren und abwarten.
Hier das Bild
Hallo,
der Trick von #Martin hat bei mir auch gefunzt – danke
Korrektur:
Auf meinem Notebook war die Prozedur Reagentc /disable/enable erfolglos.
Heise hat grad einen Artikel drin, dass MS Abhilfe schafft:
https://www.heise.de/news/Microsoft-liefert-Abhilfe-zur-Installation-von-Updates-in-WinRE-Partition-9595312.html?wt_mc=rss.red.security.security.atom.beitrag.beitrag
Mit Ihrem Powershell Script, super Abhilfe für User die keine Plan haben.
Hoffe die bessern da noch nach…
hmmm ich zieh mir mal übers WE 2 VMs hoch mit Recoverypartition von 500MB am Anfang der Platte und am Ende, lass das Script mal drauf los.
Bin Gespannt was passiert
Windows Update hat heute bei der automatischen Suche nur den Defender aktualisiert. Das andere Update wurde nicht angestoßen und der Rechner ist jetzt so gesehen auf dem "aktuellen Stand". Das Update selber ist allerdings noch da. Beim "Show or Hide Updates" Tool kann man es zum Verbergen auswählen.
Würde ich jetzt manuell eine Suche anstoßen, würde es wohl wieder mit installiert werden. Besser gesagt, versucht.
Bin damit erstmal zufrieden. Den Trick von Martin werde ich wohl trotzdem die Tage mal ausprobieren.
Wer das laufen lassen kann, ist wohl sicher auch im Stande die Partitionen selbst mit diskpart anzupassen. Wenn MS wenigstens dazu eine fehlerfreie Anleitung abgeben würde, wäre das m.E. effizienter als ein solches Skript und die für dessen Lauffähigkeit notwendigen Schritte umzusetzen (das muss ja nicht nur einfach gestartet werden….).
Hier ein paar Hinweise:
unbedingt vor den Aktivitäten "reagentc /disable" ausführen und die erfolgreiche Ausführung kontrollieren "reagentc /info", nur dann wird die winre.wim ins System zurückgeschrieben – andernfalls wird diese im weiteren Verlauf mit der Partition gelöscht.
Bei MBR muss nach der Formatierung der Wiederherstellungspartition auf dieser zwingend nochmals "set id=27 override" ausgeführt werden)
Falls nicht zugeordneter Speicher vorhanden ist (bei SSD zum Teil der Fall) könnte auch die Vergrößerung mittels direkt möglich sein und ein Schrumpfen/Löschen/Neuerstellen wäre nicht notwendig (kann in Computerverwaltung/Datenträgerverwaltung geprüft und umgesetzt werden).
Falls eine neue Partition für die Wiederherstellung zugewiesen werden soll, könnte ggf. die Notwendigkeit bestehen die winre.wim manuell zu kopieren und den Pfad zur Partition neu zuzuordnen, wie in unter "Bereitstellen von Windows RE" auf learn.microsoft.com oder der deskdmodder-Anleitung aber auch beschrieben. Die Windows-Seite gibt auch noch Auskunft über die Entfernung des Laufwerksbuchstabens, der zwischenzeitlich erforderlich ist.
Windows Update meldete zunächst Downloadfehler für das Update KB5034441.
Habe das Script mit dem aktuellen Safe-OS-Dynamic-Update ausprobiert. PowerShell meldet, dass die Ausführung erfolgreich ist. Dennoch lässt sich das Update KB5034441 nicht installieren und schlägt nun mit Fehlercode 0x80070643 fehl.
Habe anschließend versucht, händisch die Partition mit dieser Anleitung
https://support.microsoft.com/en-us/topic/kb5028997-instructions-to-manually-resize-your-partition-to-install-the-winre-update-400faa27-9343-461c-ada9-24c8229763bf zu bearbeiten aber auch hier schlägt das Resizen fehl und der Fehler bleibt.
Habe danach noch einmal "reagentc /disable" und dann "reagentc /enable" ausgeführt und konnte dann endlich installieren. Problem gelöst.
Habe bei meinen 2 Pcs wieder dass Update deinstalliert nachdem ich diese durch vergrößern der Partition installieren konnte. Ja und nun wird mir dass Update gar nicht mehr angeboten. Schon merkwürdig, eventuell wurde es zurück gezogen. 2024-01-10 19:36:16, Error 0x800f0828 in wmain (base\diagnosis\srt\winreagent\tools\winreupdateinstaller\main.cpp:85): [WinREUpdInst] Failed to stage WinRE servicing operation due to insufficient disk space in WinRE partition[gle=0x0000012a] dass war die letzte Meldung als es nicht zum installieren ging, steht in der setuperr Datei.
Wirklich erfolgreich deinstalliert?! – Im KB5034441 Artikel von Microsoft steht nämlich dies:
Sehr seltsam …
Du hast Recht, also bei System Steuerung bei installierte Updates habe ich es deinstallier und da steht es nicht mehr drin. Aber über Updates bei Updateverlauf steht es als installiert drin. Komisch, naja dann ist es so. Danke für den Hinweis.
Lacht nicht, Leute.
MS hat das Update mit der hauseigenen "KI" erzeugt …
Mir wird das Update nicht mehr angeboten.
Zu früh gefreut, es ist wieder da….
Ich habe gerade 3 Laptop mit Win11Pro neu aufgesetzt und es wird nur noch das kumulative Update KB5034123 angeboten – das Sicherheitsupdate KB5034441 wird nicht mehr angeboten (das hatte ich gestern auf anderen PC's noch gesehen).
Aus Neugier habe ich das auch mal einen Win10Pro nachgeschaut – identisch…nur noch KB5034122 zu sehen. Ich werde mir nachher mal die Win2019er- und Win2022er-Server anschauen…vielleicht besteht ja Hoffnung, dass der Murks gestoppt wurde!
Hartmut
https://support.microsoft.com/en-us/topic/kb5034957-updating-the-winre-partition-on-deployed-devices-to-address-security-vulnerabilities-in-cve-2024-20666-0190331b-1ca3-42d8-8a55-7fc406910c10
LogMessage("Delete mount direcotry")
Qualität bei M$ – mir ist klar, dass es nur eine Lognachricht ist… aber bei all den $$$ sollte man doch mehr erwarten.
Hab die RE-Partition mit Minitool auf 1GB vergrößert und neu gestartet. Status geprüft: Enabled und dann noch mal das Update probiert. Ergebnis: Wie vorher – geht nicht… Und Bitlocker hab ich auch nicht. Was also nun, MS? Das ist doch…
Versuch mal nachfolgende Anleitung:
https://forum.au-ja.de/viewtopic.php?p=124604#p124604
https://www.heise.de/news/Microsoft-liefert-Abhilfe-zur-Installation-von-Updates-in-WinRE-Partition-9595312.html
Das Skript macht zwar was es soll und quittiert das auch mit einer Erfolgsmeldung. Das Update wird aber auch nach einem Neustart weiterhin heruntergeladen und installiert. Die Installation schlägt mit dem gleichen Fehler weiterhin fehl.
Klar, kann ich das Update mit wushowhide einfach ausblenden. Aber von einer sauberen Problemlösung kann man hier wohl nicht sprechen.
Ich habe das Skript bis jetzt nur auf Windows 10 Clients angewendet. Die Server 2022 bleiben jetzt erstmal ungepatched…die Hoffnung stirbt zum Schluss, dass Microsoft hier noch mit einer vernünftigen Lösung um die Ecke kommt.
War Arbeit, aber geht dann doch (Win10, version 22H2, kein Bitlocker):
– WinPE deaktivieren ("reagentc /disable")
– Wiederherstellungs-Partion deutlich (!) vergrößern (auf ca. 850 Mb)
– WinPE aktivieren ("reagentc /enable")
!!!!! mehrfach neu starten, mindestens 3 Mal !!!!!!!
– dann Update neu anstoßen
.
Welch Wunder! Es geht!
Das ist aber nichts für den Laien!
Das kaputte Update mit den empfohlenen Korrekturmaßnahmen wirkt auf mich wie eine Beschäftigungstherapie zur Heilung von Schwachsinn und Windows-Sucht.
Ja, danke!
Musste gerade beim Lesen dieses Kommentars laut 😂
Hatte das annähernd Gleiche so beim Durchlesen dieses Durcheinanders nämlich auch gedacht …
Schon echt irre, wenn man sich mal überlegt, was für eine Unruhe, Ärger und auch Kosten so ein Konzern mit nur einem Update verursachen kann. Hier wäre jetzt eigentlich (und auch schon Jahre zuvor) die Politik gefragt, die mal endlich bei MS vorsprechen und "Klartext" reden sollte. Aber die muss sich ja gerade darum kümmern, wie und wo sie sich ihre erfundenen und nun "verlorenen" Milliarden bei der Bevölkerung zurück ergaunert … Da bleibt für solch unwichtige Dinge halt eher weniger Zeit …
Ich habe Windows 10 Pro 22H2 und jetzt gerade (17:35 Uhr) nach Updates gesucht. Mir wird das Update KB5034441 nicht mehr angeboten. Kann das noch jemand bestätigen? Das Update scheint gestoppt worden zu sein. Heute früh wurde es mir nämlich noch angeboten.
Wie auch schon oben bemerkt geht das auch einfacher als die Microsoft Anleitung – vermutlich nicht in jedem Szenario aber als Ersten Versuch würde ich folgendes versuchen. Am besten vorher ein Backup durchfühen.
Computerverwaltung > Datenträgerverwaltung > die Wiederherstellungspartition welche vergrößert werden muss sollte in der Regel nach der Daten/Windows Partition sein – daher über die Datenträgerverwaltung die Partition vor der Wiederherstellungspartition verkleinern. Danach kann die Wiederherstellungspartition vergrößert werden. Danach hat das Update bei mir bei den betroffenen Geräten funktioniert.
Tools wie Partition Wizard haben dagegen bei mir in diesem Fall NICHT funktioniert!
also KB5034441 wird bei mir nicht angeboten. War im Urlaub und eben den PC mal angemacht und gesucht. Update wird nicht angeboten!
Nur KB5034275 und KB5034122
windows 10, nicht windows 11.
jemand der in den urlaub geht, kann es sich leisten, einen neuen PC zu kaufen extra für windows 11.
also ich war im Urlaub und hatte schon Bauchweh, dass dieser MS Mist mir alles zerschießt, wenn ich zurück in der Firma bin.
Aber zumindest wird bei meinem Home-PC (Windows 10 22 H2) mir dieses KB KB5034441 nicht (mehr) angeboten! Lediglich KB5034275 für Net Framework und KB5034122 werden heruntergeladen und derzeit installiert!
Kann man den ewig wiederkehrenden Updateversuch für das fehlerhafte Update eigentlich nicht abbrechen?
Schau mal oben unter "Ergänzung".
Prima, danke, hat damit bestens geklappt!
Daumen hoch!
Ich werde mal die "Updatepause" eingelegen. Die anderen Updates wurden ja bereits erfolgreich installiert und das "Gefrickel" werd ich mir somit sparen, sonst heißt es beim nächsten HotFix von M$: "Wir haben doch gesagt, wir kümmern uns drum" ;D
An einem Laptop scheiterte KB5034441 am 10.1. mit 0x80070643 und wurde ulkigerweise am 12.1. beim zweiten Versuch installiert. Bei einem zweiten Laptop stand am 12.10. zunächst nur KB5034275 und KB5034122. Beim Update wurde dann aber auch versucht KB5034441 herunterzuladen und zu installieren … Nach dem Scheitern des Downloads wurde erst mal der Rest installiert und nach einem Neustart – oh Wunder – wurde auch an diesem Laptop KB5034441 korrekt installiert. Ich verstehe MS nicht so recht …
Auch jetzt, 13.01. 09:00 Uhr hat Windows wieder automatisch nach Updates gescuht. Das Update wird mir nicht mehr angeboten. Gibt es eine Meldung von Microsoft oder aus einer anderen Quelle, dass das besagte Update zurückgezogen wurde?
Automatisch scheint Windows Update da aktuell nicht aktiv zu werden. War bei mir heute ebenfalls wieder so. Nur Defender Aktualisierung. Bei manueller Suche sollte es hingegen wieder mit installiert werden. Von daher aktuell nur automatisch suchen lassen, dann sollte erstmal Ruhe sein.
Wenn ich das "Show or Hide Tool" laufen lasse, wird es weiterhin als vorhanden und folglich als ausblendbar angezeigt.
Weiter abwarten. Microsoft wird sicherlich in Kürze eine Lösung bereit stellen, die für alle User sinnvoll ist. Diese ganzen manuellen Anleitungen oder PowerShell Skripte sind keine Dauerlösung. Schon gar nicht für den Großteil der betroffenen User.
Zum 1.4. gibt es dann wieder einen Artikel "Microsoft empfiehlt den Umstieg auf Linux, da die Windows Patcherei zu viel Aufwand erzeugt" ;-).
M$ hat jetzt den Fehler hier erwähnt
https://learn.microsoft.com/en-us/windows/release-health/status-windows-10-22h2#3231msgdesc
Aber dort werden die PS Skripte nicht referenziert
https://support.microsoft.com/en-us/topic/kb5034957-updating-the-winre-partition-on-deployed-devices-to-address-security-vulnerabilities-in-cve-2024-20666-0190331b-1ca3-42d8-8a55-7fc406910c10
Das sind nur Beispiel-Skripte für verwaltete Geräte in einer Organisation um Updates einzuspielen. Dort haben die Partitionen auch eine ausreichende Größe.
Leider finde ich keinen Artikel, der beschreibt, worin genau denn nun die Lücke bzw. deren Ausnutzbarkeit besteht.
Aus den spärlichen Informationen, die ich bislang finden konnte, würde ich folgendes schließen:
Die Lücke besteht ausschließlich darin, dass mit WinRE gebootet werden kann, und eigene Befehle ausgeführt werden können. Der Zugriff auf die Bitlocker-verschlüsselten Daten funktioniert aber nur, wenn als Bitlocker-KeyProtector, ausschließlich das TPM ohne PIN verwendet wird. Weil dann der Unlock automatisch beim Hochfahren möglich ist. Da kann man aber dann auch einen beliebigen Boot-Stick verwenden – das ist völlig unabhängig von WinRE – und by-design.
Das Sperren des Bootens von externen Laufwerken hilft da auch nichts, weil das EFI-Passwort sich vermutlich in den meisten Fällen resetten lässt, indem man die "BIOS-Batterie" kurz abklemmt. Und dann kann man wieder von Extern booten…
Und sollte es ein EFI geben, bei dem das wirklich nicht klappt, dann gibt es diverse andere Möglichkeiten den Key aus dem TPM abzugreifen (gab es ja kürzlich einen Artikel von paar Forschern, wie das geht).
Kurz: TPM mit PIN ist und war noch nie dafür gedacht, physischen Zugriff zu verhindern. Dafür brauchts TPM mit PIN oder ein sicheres langes Passwort, oder ein Unlock-File auf USB-Stick…
TPM mit PIN macht hingegen Sinn, um im Falle eines Defekts oder Teildefekts der Festplatte, die Festplatte datenschutzkonform entsorgen zu können. Denn ohne den TPM kann jemand mit der Festplatte nichts anfangen. Man muss sich also nicht um die Datenlöschung kümmern.
Aber auch vor einem neuen Deployment eines Bestandsgeräts ist das Hilfreich, falls das EFI keinen Secure-Erase-Command kann (das gibts leider immer noch).
Oder anders ausgedrückt: Die "Lücke" ist nicht praxisrelevant, weil sie nur mit TPM ohne PIN auftritt, und es dafür genügend andere Wege gibt auf die Daten zuzugreifen (by-design).
Falls meine Grundannahmen bzgl. der Sicherheitslücke falsch sein sollten, bitte ich um Richtigstellung mit Quellenangabe.
Meine Annahmen beruhen auf der Grundlage, dass auf folgender Seite von MS beschrieben ist, dass die Lücken bei TPM mit PIN nicht zutrifft:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20666
Ich sehe gerade ich habe ein paar relevante Tippfehler gemacht.
Es muss natürlich heißen:
"Kurz: TPM OHNE PIN ist und war noch nie dafür gedacht, physischen Zugriff zu verhindern."
und
"TPM OHNE PIN macht hingegen Sinn, um im Falle eines Defekts oder Teildefekts der Festplatte, die Festplatte datenschutzkonform entsorgen zu können."
Update KB5034123 für Windows 11 wurde laut Updateverlauf auf 3 privaten Windows 11 PCs erfolgreich installiert.
Die beiden Laptops wurden mit dem gleichen Windows ISO Installiert. Windows 11 22H2 Der USB Stick wurde am 18.12.2022 mit dem Microsoft Media Creation Tool erstellt.
Laptop 1:
Offiziell Windows 11 kompatibel und richtig konfiguriert. Läuft noch mit Windows 11 22H2 Pro.
Im Ereignisprotokoll steht die Fehlermeldung: "Wartung der Windows RE ist fehlgeschlagen". Diese wird 1x im Monat protokolliert.
Den ersten Protokollierten Fehler gab es im September 2023. (ab dem Zeitpunkt als WinRE Updates in das Kumulatives Update integriert wurde)
Die WinRE Partitionsgröße ist 641MB. groß.
Der andere ist eine alter Toschiba Laptop der kein TPM besitzt. Habe den Laptop letzten Monat mit Windows 11 22H2 neu Installiert. Nachdem alle Updates installiert waren, wurde Windows 11 23H2 noch per Enablement Package Update KB5027397 von Deskmodder aktiviert.
Die WinRE Partitionsgröße ist 641MB. groß.
Im Ereignisprotokoll steht die Fehlermeldung: "Wartung der Windows RE ist fehlgeschlagen".
Der dritte ist eine Windows 11 Installation die ich während der Betaphase von Windows 11 mit einem Deskmodder ISO "22000.51.Cobalt-X64-DE-XXL-SUPER-MULTI.ISO" gemacht habe.
Bei dem Gerät ist alles was modern ist deaktiviert. (Uefi Boot, Secureboot, kein TPM vorhanden)
Es ist eine Multiboot Konfiguration mit Windows 8.1 x64 und Windows 11 23H2.
Die WinRE Partitionsgröße von Windows 11 ist 649MB. groß. (Das entspricht 1:1 der Größe der WinRE Partition von Windows 8.1 x64.)
Fehlermeldungen bei der Wartung der Windows RE gibt es keine.
Bitlocker ist auf keinem der PCs eingeschaltet.
Machen die 8MB mehr Partitionsgröße da den unterschied?
Oder ist das ISO Image von Windows 11 22H2 schon ab Auslieferung fehlerhaft?
Ich habe weiter oben von 2 Laptops mit Windows 22H2 geschrieben, bei denen das Update von KB5034441 im zweiten Anlauf auf magische Weise erfolgte. Bei beiden war wie bei Micha Bitlocker nicht eingeschaltet.
Microsoft arbeitet offenbar an einer Lösung:
"Next steps: We are working on a resolution and will provide an update in an upcoming release."
https://learn.microsoft.com/en-us/windows/release-health/status-windows-10-22h2#january-2024
Danke für den Link mit diesem Hinweis.
Ich habe den Fehler an 2 von 6 PC. Keiner davon hat eine Recovery-Partition. Auf einem neu installierten PC (mit Recovery Partition, MS Standard) tritt der Fehler auch nicht auf.
Ich habe auf Windows 11 Home gar keine Fehlermeldung erhalten. Habe immer wieder "Download & Install" geklickt, es hat sich aber nix getan.
Bin dann auf diese Seite hier gestoßen und habe nun das Update installieren können. Ich habe aber die Recovery Partition NICHT geändert, da sie bereit 2GB groß war.
Was ich getan habe war: via "reagentc /disable" und "reagentc /enable" es kurz zu deaktivieren und dann zu aktivieren.
Dann habe ich den Rechner neu gestartet und danach habe ich auf "Update & Install" geklickt und das Update lief dann erfolgreich durch.
Danke für die Beispiele hier im Block und auch die Verweise auf Andere! Hatte am 2.Januar 3 Notebook's mit Win 10 und den letzten Komplett Updates, u.a. Thunderbird, Ms – Office, FS Viewer usw. und natürlich die seit November aufgelaufenen Windows Updates mit Acronis 2019 auf QNAP TBS264 gesichert. Als dann am 10.01.24 diese Updates mit den hier beschriebenen Fehlern auf allen 3 Win 10 Rechnern kam, googelte ich erstmal nach Lösungen und lies gestern über Nacht die Bakups vom QNAP retoure spielen. Heute gleiches Spielchen. Nun erstmal die Windooofs Updates auf pausieren gestellt.
Bleibt Ihr hier noch am Thema drann, gibt's neue Erkenntnisse und vielleicht schon Lösungen oder müssen wir mal wieder aif die Redmonts warten ? H-J
Ich habe es auf allen Kundensystemen mit Windows 10, auf denen ich gerade mal aus anderen Gründen per Remote drauf war, ganz einfach mit
powershell.exe -ExecutionPolicy Bypass -File .\PatchWinREScript_2004plus.ps1
mit für aktuelle Windows-10-Versionen Verweis auf
windows10.0-kb5034232-x64_ff4651e9e031bad04f7fa645dc3dee1fe1435f38.cab
im selben Ordner liegend und danach Update-Suche installieren lassen. Easy.
In einer Test-VM mit leerem Windows 10 habe ich den Stand vorher noch per Snapshot behalten und schaue mal, was damit beim nächsten Patch Day passiert.
Wer als absoluter Dumm-User überhaupt nicht regelmäßig nach Windows Update schaut bzw. sich generell regelmäßig um Patch Management kümmert, bekommt von dem ganzen Zauber ohnehin nichts mit und arbeitet auch im Büro einfach ungestört weiter.
Lies übers Wochende ereut über Nacht die Bakups vom QNAP auf 3 Notebooks und einen Desktop Rechner retoure spielen. Heute die Update Pause aufgehoben und ? Gleiches Spielchen.
Danke an Oliver hier drüber. Habe es ausprobiert. Unsere Inst. Cab liegt auf dem QNAP.
Klaptte leider nicht ! Gibts noch andere Vorschläge ? H-J
In der Tat, auf den Systemen, auf denen ich in den letzten 1-2 Wochen drauf war, klappt es leider nicht mehr.
Habe fast alles was im Netz der 1000 Möglichkeiten als Lösung angeboten wurde über Stunden / Tage, allerdings nur an einem Notebook ausprobiert. Nüchts half, die Shit Meldung kam immer wieder! Zum Glück konnte ich immer wieder bei Fehlschlägen innerhalb von 5 – 7 Minuten das zuletzt erstellte und lauffähige Backup vom 2. Januar 2024 zurück spulen. Da hier auf meiner zuletzt gestellten Frage keine Antwort mehr kam, habe ich mir die letzte veröffentlichte ISO von Win 10 heruntergeladen und letztes Wochenende damit den Reparaturmodus unter Win Inst. mit beibehaltenen Apps und Programmen durchlaufen lassen. Endresultat : es wurde eine neue 670 Mb große Patition hinter der Windows Partition erstellt und alle Updates liefen sauber durch. Das einzige was ich noch nicht gelöst habe, trotz Löschung des 16 Gb großen Win old Ordners, ist die Win C Partition auf halbwegs normale Größe, vormals 25 Gb, jetzt immer noch 38 Gb hinzubekommen. H- J