Windows 10: Wichtiger Secure Boot/Bitlocker Bug-Fix

[English]Heute noch ein kurzer Hinweis für Windows 10-Benutzer die Bitlocker mit Secure Boot verwenden. Und Microsoft hat ein wichtiges Servicing Stack Update (SSU) für alle unterstützten Windows 10-Versionen herausgegeben, welches ein Bitlocker-Problem in Verbindung mit Secure-Boot lösen soll.


Anzeige

Vorab: Anwender, die mit Windows 10 Home unterwegs sind, werden von den nachfolgenden Hinweisen nicht tangiert.

Secure Boot beeinflusst Bitlocker

UEFI und Secure Boot ist immer wieder für Ärger gut. Für Microsofts Surface-Geräte ist zum Beispiel das Problem bekannt, dass Bitlocker in den Recovery Mode geht und einen Wiederherstellungsschlüssel verlangt, wenn ein  Update für das UEFI oder die TPM-Firmware installiert wird.

Generell gibt es aber wohl im Secure Boot von UEFI-Systemen einen Bug, der dazu führt, dass ein aktiviertes Bitlocker beim Systemstart in den Recovery-Mode gezwungen wird. Genau dieses Problem packt Microsoft nun mit einem Servicing Stack Update (SSU) an.

Update KB4509096 für Windows 10 V1903

Zum 9. Juli 2019 hat Microsoft im Rahmen des regulären Patchday das Servicing Stack Update (SSU) KB4509096 für Windows 10 Version 1903 freigegeben. Wie üblich verspricht Microsoft Qualitätsverbesserungen am Servicing Stack, so das Windows Updates anschließend problemloser installiert werden können. Dieses Mal findet sich beim SSU KB4509096 aber eine wichtige Information. Microsoft weist in den Key-Changes auf einen wichtigen Fix hin:


Anzeige

Addresses an issue with a Secure Boot feature update that may cause BitLocker to go into recovery mode because of a race condition.

Das Update adressiert ein Problem im Zusammenhang mit einem Secure Boot-Feature-Update. Beim Start eines Systems mit aktiviertem Secure Boot tritt eine sogenannte Race Condition auf. Ich interpretiere es so, dass die dazu führen kann, dass das Bitlocker-Modul vor Abschluss der Secure Boot-Prüfungen bereit aktiv wird. In Folge wird Bitlocker in den Recovery Modus gezwungen, in dem ein Wiederherstellungsschlüssel abgefragt wird.

Das Update wird dabei automatisch über Windows Update verteilt, ist aber auch per Microsoft Update Catalog verfügbar. Ein Neustart ist nach Installation des SSU nicht erforderlich und es gibt auch keine Voraussetzungen zur Installation.

Updates für Windows 10 V1507 bis V1809

Geht man unter ADV990001 die Liste der Servicing Stack Updates durch und ruft die zugehörigen KB-Artikel auf, enthalten diese alle den Hinweis auf den Bitlocker-Fix. Hier die Liste der betreffenden Updates:

Die Updates werden über Windows Update und den Microsoft Update Catalog bereitgestellt.

Microsoft und die SSU-Empfehlung

Microsoft empfiehlt dringend, dass das neueste Service Stack Update (SSU) auf Windows 10 V1903 installieren wird, bevor das neueste kumulative Update (LCU) installiert wird. Durch die Installation von Service-Stack-Updates (SSU) stellen Benutzer, laut Microsoft, sicher, dass sie über einen robusten und zuverlässigen Service-Stack verfügen, so dass Ihre Geräte Microsoft-Sicherheitsfixes empfangen und installieren können.

Ein paar Infos, wo ein Servicing Stack Update rumfuhrwerkt (nämlich in der Windows PE-Phase beim Neustart während der Windows Update-Installation) findet sich in diesem Forenbeitrag.

Microsoft gibt diese Empfehlung eigentlich bei allen Updates und schreibt in seinen KB-Artikeln, dass bei der Installation über Windows Update die benötigten SSUs automatisch berücksichtigt werden. Nur bekommt Redmond das bei Windows 10 nicht auf die Reihe – ich erinnere an meinen Blog-Beitrag Windows 10: SSU-Problem in SCCM-UserVoice thematisiert.

Administratoren, die Updates über Softwaretools wie WSUS oder SCCM verwalten sollten sicherstellen, dass das Update KB4509096 auf jeden Fall installiert wird.

SSU KB4509096 nicht im Update-Verlauf
(SSU KB4509096 nicht im Update-Verlauf)

An dieser Stelle noch ein kleiner Hinweis (danke an Jan Schüssler von heise für den Hinweis). Das SSU KB4509096 erscheint nicht in der Liste der installierten Updates in Windows Update (sprich dem Updateverlauf, siehe obiges Bild). Geht man n der klassischen Systemsteuerung auf "Updates deinstallieren" ist das SSU aber aufgeführt.

SSU KB4509096 unter Updates desinstallieren
(SSU KB4509096 unter Updates desinstallieren, Zum Vergrößern klicken)

Im nächsten Teil (geht Samstag online) gehe ich noch auf eine Änderungen in der Verschlüsselung bei Bitlocker unter Windows 10 ein.

Artikelreihe:
Windows 10: Wichtiger Secure Boot/Bitlocker Bug-Fix
Windows 10: Bitlocker verschlüsselt automatisch

Ähnliche Artikel:
BitLocker-Verwaltung für Unternehmensumgebungen
Windows: Angriff auf Bitlocker per TPM
SSD-Schwachstelle hebelt (Bitlocker) Verschlüsselung aus
Microsoft Security Advisory Notification ADV180028 zu Bitlocker auf SSDs (6. Nov. 2018)Dell: Neues BIOS verursacht Bitlocker-Probleme
Windows 10 V1803: Fix für Bitlocker-Bug im November 2018?
Neues Surface Book 2 Firmware-Update bringt ggf. Bitlocker-Problem
Windows 10 V1803: Kein Backup für BitLocker-Wiederherstellungsinformationen in AD


Anzeige

Dieser Beitrag wurde unter Update, Windows 10 abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Windows 10: Wichtiger Secure Boot/Bitlocker Bug-Fix

  1. acvolker sagt:

    Gibt es auch für Windows 8.1 (KB4504418) und wird als wichtiges Update über Windows Update verteilt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.