{"id":278099,"date":"2023-02-20T08:43:10","date_gmt":"2023-02-20T07:43:10","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278099"},"modified":"2023-02-22T06:39:49","modified_gmt":"2023-02-22T05:39:49","slug":"windows-server-feb-2023-patchday-weitet-sich-das-secure-boot-problem-auf-bare-metal-aus","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/02\/20\/windows-server-feb-2023-patchday-weitet-sich-das-secure-boot-problem-auf-bare-metal-aus\/","title":{"rendered":"Windows Server 2022 Feb. 2023 Patchday: Secure Boot-Problem auch auf Bare-Metal-Systemen!"},"content":{"rendered":"

\"Windows\"[English<\/a>]Beim am 14. Februar 2023 f\u00fcr Windows Server 2022 ver\u00f6ffentlichten Sicherheitsupdate KB5022842 kann es beim zweiten Restart zu einem Problem kommen. Maschinen k\u00f6nnen anschlie\u00dfend nach einem Reboot nicht mehr starten und finden entweder ihre Systemlaufwerke nicht mehr, oder sie l\u00f6sen einen Secure Boot-Fehler aus. Ich hatte diesen Effekt bereits f\u00fcr virtuelle Maschinen unter VMware ESXi beschrieben. Jetzt liegt mir ein Bericht vor, der sich auf ein Windows Server 2022-System direkt (Bare Metal) bezieht. Eine Recherche ergab, dass weitere Nutzer betroffen sind. Abschalten des Secure Boot hilft \u2013 Microsoft und VMware haben inzwischen diesen Fehler partiell (f\u00fcr VMware ESXi) best\u00e4tigt.<\/p>\n

<\/p>\n

R\u00fcckblick: Secure Boot-Fehler bei ESXi<\/h2>\n

\"\"Ich hatte das Thema bereits im Blog-Beitrag Windows Server 2022: Februar 2023-Patchday und das ESXi VM-Secure Boot-Problem<\/a> aufgegriffen. Nach Ver\u00f6ffentlichung des Sicherheitsupdate KB5022842<\/a> vom 14. Februar 2023 f\u00fcr Windows Server 2022 meldeten sich eine Reihe Administratoren, die Boot-Probleme mit virtuellen Maschinen beklagten.<\/p>\n

User #1:\u00a0 Meine Vorlage Win 2022 VM f\u00e4hrt nach dem Update nicht mehr hoch, wenn man diese einmal ausgeschaltet hat.<\/p>\n

User #2: Windows Server 2022 mit aktiviertem Secure Boot \/ VBS in der VMware machen nach dem Feb. Update Probleme und lassen sich nicht mehr starten.<\/p><\/blockquote>\n

Der Windows Boot Manager meldete eine \"Security Violation\" oder Secure Boot-Fehler, wie in folgendem Screenshot dargestellt. Nur mit abgeschaltetem Secure Boot kann die virtuelle Maschine wieder booten.<\/p>\n

\"VMware<\/p>\n

Microsoft hat diesen Bug im Support-Beitrag Windows Server 2022 might not start up<\/a> im Windows Server 2022 Health Status-Bereich unter Known Issues best\u00e4tigt. Auch VMware hat den Support-Beitrag Virtual Machine with Windows Server 2022 KB5022842 (OS Build 20348.1547) configured with secure boot enabled not booting up (90947)<\/a> dazu ver\u00f6ffentlicht. Der Support-Beitrag wurde letztmalig am 19. Feb. 2022 aktualisiert.<\/p>\n

Als Ursache wird eine veraltete ESXi-Version (vSphere ESXi 6.7 U2\/U3 or vSphere ESXi 7.0.x)genannt und VMware stellt aktualisierte Fassungen der betreffenden ESXi-Builds als Updates bereit. Dem Support-Beitrag von VMware entnehme ich, dass es in den DBX-Dateien f\u00fcr Secure Boot zu einem Fehler kommt, was mich an das DBX-Update vom 2022 erinnert (siehe Best\u00e4tigt: Secure Boot DBX Update KB5012170 sorgt f\u00fcr Installations\u00e4rger (Error 0x800F0922)<\/a>).<\/p>\n

Secure Boot-Fehler auf Bare Metal<\/h2>\n

Eigentlich hatte ich mit obigem Artikel das Thema abgehakt. Am Wochenende hat sich aber Lutz S. in einer privaten Nachricht auf Facebook gemeldet und berichtete seine speziellen Erfahrungen mit einem Windows Server ohne Virtualisierung.<\/p>\n

Hallo G\u00fcnter,<\/p>\n

kleiner Info-Splitter zum Sonntag Mittag. Geht um deinen Blog-Beitrag \"Windows Server 2022: Februar 2023-Patchday und das ESXi VM-Secure Boot-Problem<\/a>\" vom 16.02.<\/p>\n

Ich betreibe einen Server 2022, Version 21H2, auf BareMetall, ein DELL Precision WorkStation 5810 – also nicht virtualisiert.<\/p>\n

Die Updates f\u00fcr Februar hatte ich abends am 16.02. eingespielt, der notwendige Reboot des Servers verlief problemlos. Vorhin hab ich auf dem Server SSMS (SQL Server Management Studio) auf die aktuelle Version gehoben, was einen Reboot des Servers erforderte.<\/p>\n

Und, da bin ich jetzt ebenfalls in die \"Secure Boot-Falle\" getreten (siehe Screenshot). Auch hier half erst mal tempor\u00e4r, Secure Boot im Bios zu deaktivieren.<\/p>\n

Vielleicht kannst du die Leserschaft mal befragen, ob auch weitere auf \"reinem Blech\" das Problem haben?<\/p>\n

Dann h\u00e4tte ja MS ein weitaus gr\u00f6\u00dferes Thema, als nur mit den VMs.<\/p>\n

Viele Gr\u00fc\u00dfe<\/p>\n

Lutz<\/p><\/blockquote>\n

Danke an Lutz f\u00fcr die betreffende Information – und mit diesem Blog-Beitrag gebe ich die Frage an die Leserschaft weiter: Gibt es noch weitere Betroffene, die nach Installation des Feb. 2023 Sicherheitsupdates KB5022842 nach dem zweiten oder mehr Restarts in Secure Boot-Probleme gelaufen sind?<\/p>\n

Weitere Meldungen<\/h2>\n

Ich habe zumindest auf reddit.com einen Thread mit dem Titel Careful! Server 2022 Secure Boot problems NOT restricted to just VMware<\/a> gefunden. Ein Administrator schreibt dort:<\/p>\n

Just a heads-up: Contrary to chatter on the Internet and Microsoft's own patch notes, I have now confirmed the Secure Boot problem caused by KB5022842<\/a> (the February 2023 update for Windows Server 2022) also affects installations other than on VMware.<\/p>\n

I have two machines that are running Server 2022 on bare metal, and that are now refusing to boot due to Secure Boot failure. Other machines appear to be unaffected. The two in question boot after Secure Boot is disabled. Both happen to be older desktop-class computers used for software testing purposes, but I wouldn't put money on this problem only affecting non-server class hardware. (HP EliteDesk 800 G2 Mini, Lenovo M93p Tiny; confirmed that both have the latest firmware available.)<\/p>\n

As others have noted, the problem only shows itself on the second<\/em> reboot after KB5022842 is installed.<\/p>\n

Be careful! I'd be willing to bet that this problem affects a lot more machines than is currently being reported. Might be worth pre-emptive testing to ensure a panic doesn't ensue if Server 2022 machines need to be restarted in the course of business before this problem is fixed.<\/p><\/blockquote>\n

Lutz ist also kein Einzelfall und das Problem kann jeden Windows Server 2022 treffen, was auch von verschiedenen Postern auf reddit.com so best\u00e4tigt wird. Die Randbedingungen sind noch unklar – ich tippe auf ein Problem mit DBX-Eintr\u00e4gen, wo eine Signatur nicht mehr stimmt (vergleiche auch die Artikel zu DBX-Problemen in nachfolgender Link-Liste). Es handelt sich beim Thread-Starter um \u00e4ltere Server-Hardware f\u00fcr Tests (HP EliteDesk 800 G2 Mini, Lenovo M93p Tiny), aber mit aktuellem Firmware-Stand, oder ein HPE DL580 Gen9 ohne Support bei einem weiteren Betroffenen. Einer der Betroffenen schreibt, dass einer von drei Dells, aber alle HPE-Server betroffen waren.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMicrosoft Security Update Summary (14. Februar 2023)<\/a>
\nPatchday: Windows 10-Updates (14. Februar 2023)<\/a>
\nPatchday: Windows 11\/Server 2022-Updates (14. Februar 2023)<\/a>
\nWindows 7\/Server 2008 R2; Server 2012 R2: Updates (14. Februar 2023)<\/a>
\nPatchday: Microsoft Office Updates (14. Februar 2023)<\/a>
\nExchange Server Sicherheitsupdates (14. Februar 2023)<\/a>
\nWindows Server 2022: Februar 2023-Patchday und das ESXi VM-Secure Boot-Problem<\/a>
\nWindows Update KB5012170 (Secure Boot DBX) mit neuer Revision im WSUS (Okt. 2022)<\/a>
\nWindows 11 22H2: Secure Boot DBX Update KB5012170 (Dez. 2022)<\/a>
\nBest\u00e4tigt: Secure Boot DBX Update KB5012170 sorgt f\u00fcr Installations\u00e4rger (Error 0x800F0922)<\/a>
\nWindows Server 2022: VMware ESXi 7.0 U3k-Patch f\u00fcr Secure Boot-Problem (Update KB5022842, Feb. 2023)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Beim am 14. Februar 2023 f\u00fcr Windows Server 2022 ver\u00f6ffentlichten Sicherheitsupdate KB5022842 kann es beim zweiten Restart zu einem Problem kommen. Maschinen k\u00f6nnen anschlie\u00dfend nach einem Reboot nicht mehr starten und finden entweder ihre Systemlaufwerke nicht mehr, oder sie l\u00f6sen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[185,2557],"tags":[8369,24,4315,3288],"class_list":["post-278099","post","type-post","status-publish","format-standard","hentry","category-update","category-windows-server","tag-patchday-2-2023","tag-problem","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278099","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=278099"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278099\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=278099"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=278099"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=278099"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}