{"id":300010,"date":"2024-08-19T16:02:15","date_gmt":"2024-08-19T14:02:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=300010"},"modified":"2024-08-23T23:47:48","modified_gmt":"2024-08-23T21:47:48","slug":"windows-august-2024-update-legt-linux-boot-lahm","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/08\/19\/windows-august-2024-update-legt-linux-boot-lahm\/","title":{"rendered":"Windows August 2024-Update legt Linux-Boot lahm"},"content":{"rendered":"

[English<\/a>]Nutzer, die Windows und Linux \u00fcber Secure Boot auf Rechnern verwenden, d\u00fcrften seit dem 13. August 2024 ein Problem haben. Microsoft hat mit dem August 2024 Patchday etwas am Boot-Prozess ge\u00e4ndert und Boot-Eintr\u00e4ge von DBX auf Secure Boot Advanced Targeting (SBAT) umgestellt. Als Folge starten Linux-Installationen auf den betreffenden Systemen nicht mehr im Secure Boot-Modus. Die bedeutet imho, den Secure Boot-Modus abschalten und auf aktualisierte Linux-Distributionen warten.<\/p>\n

<\/p>\n

SBAT durch August 2024-Updates<\/h2>\n

\"\"Ich habe es nur am Rande wahrgenommen, Microsoft hat bei den Updates f\u00fcr Windows im August 2024 Secure Boot Advanced Targeting (SBAT) f\u00fcr alle unterst\u00fctzten Windows Versionen eingef\u00fchrt. In den betreffenden Supportbeitr\u00e4gen hei\u00dft es dazu:<\/p>\n

[Secure Boot Advanced Targeting (SBAT) and Linux Extensible Firmware Interface (EFI)] <\/b>This update applies SBAT to systems that run Windows. This stops vulnerable Linux EFI (Shim bootloaders) from running. This SBAT update will not apply to systems that dual-boot Windows and Linux. After the SBAT update is applied, older Linux ISO images might not boot. If this occurs, work with your Linux vendor to get an updated ISO image.<\/p><\/blockquote>\n

Diese Updates f\u00fchren Secure Boot Advanced Targeting (SBAT) auf Windows-Systemen ein. Ziel ist es, zu verhindern, dass anf\u00e4llige Linux EFI (Shim-Bootloader) ausgef\u00fchrt werden. Microsoft schreibt dabei: \"Dieses SBAT-Update gilt nicht f\u00fcr Systeme, die Windows und Linux im Dual-Boot-Modus ausf\u00fchren\" und warnt gleichzeitig: \"Nach der Anwendung des SBAT-Updates lassen sich \u00e4ltere Linux-ISO-Images m\u00f6glicherweise nicht mehr booten. Wenden Sie sich in diesem Fall an Ihren Linux-Anbieter, um ein aktualisiertes ISO-Image zu erhalten.\"<\/p>\n

Lesermeldungen \u00fcber Boot-Probleme<\/h2>\n

In diesem Kommentar<\/a> fragte FFred nach Informationen nach den Folgen der Einf\u00fchrung von Secure Boot Advanced Targeting (SBAT), und Bolko verwies<\/a> auf einen Beitrag bei heise<\/a>, wo Probleme mit dem Booten von Linux-Systemen thematisiert wurden. Leser Paul meldete sich in diesem Kommentar<\/a> und berichtete von Boot-Problemen.<\/p>\n

Sowas habe ich heute NACH dem Augustupdate KB5041580 (W10) mit meinem Ventoy USB-Stick (UEFI, Version 1.0.98) festgestellt, der VOR diesem Update n0ch bei eingeschaltetem Secure-Boot funktionierte.
\nBeim Bootversuch vom USB-Stick kam eine Fehlermeldung, die ich so zum ersten mal sah:
\n\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2013
\nVerifying shim SBAT data failed: Security Policy Violation
\nSomething has gone seriously wrong: SBAT self-check failed: Security Policy Violation
\n\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2013
\nDie Meldung erschien f\u00fcr gut 5 Sekunden auf schwarzem Hintergrund und dann schaltete sich der Rechner aus.
\nNach dem Ausschalten von Secure-Boot ging es dann.
\nDa hat ihm das Windowsupdate wohl seinen Sicherheitsschl\u00fcssel aus dem BIOS weggeputzt, vermute ich.<\/p><\/blockquote>\n

Blog-Leser Peter hat sich zum 18. August 2024 mit diesem Kommentar<\/a> gemeldet und schreibt, dass SBAT nach dem August 2024-Update – im Gegensatz zu obiger Microsoft-Aussage – auch im Dual Boot-Betrieb ausgef\u00fchrt werde. Auch er erhielt die Meldung \"Verifying shim SBAT data failed: Security Policy Violation\" und der Rechner schaltet sich aus. Einzige L\u00f6sung ist, Secure Boot f\u00fcr die Maschine abzuschalten.<\/p>\n

Noch eine Meldung mit Workaround<\/h2>\n

Ich hatte bereits einen Blog-Beitrag zum Thema auf dem Schirm, als noch die Mail von Blog-Leser Tibor eintraf, der nach Installation des Windows 11-Updates beim Start des Systems mit der Fehlermeldung:<\/p>\n

Verifying shim SBAT data failed: Security Policy Validation<\/p><\/blockquote>\n

begl\u00fcckt wurde. Der betreffende Rechner hat sich nach Sekunden abgeschaltet. Er betreibt auf seinem Rechner Linux Mint 20.3 und Windows 11 im Dual Boot. Als er dann zum Thema recherchierte, kam er dem oben skizzierten Grund auf die Spur und schrieb:<\/p>\n

Recherchen zu diesem Begriff machten mich v\u00f6llig fassungslos: Microsoft hat in meinem UEFI BIOS mit aktiviertem Secure Boot
\nund TPM herumgepfuscht, sodass ich nun nur noch Windows 11 mit aktiviertem Secure Boot starten konnte.
\nOhne Secure Boot ging beides!<\/p><\/blockquote>\n

Nach langem Suchen hat er zwei L\u00f6sungen in Foren gefunden und diese dann f\u00fcr sich kombiniert. Das hat ihm letztendlich (in seinem Fall) geholfen:<\/p>\n

1. Disable Secure Boot
\n2. Boot linux mint 22 from Boot stick
\n3. open a terminal
\n4. Delete the SBAT policy with:
\nsudo mokutil –set-sbat-policy delete
\nsudo mokutil –list-sbat-revocations (sollte nur 1 eintrag sein)
\n5. Reboot and re-enable secure boot in your BIOS.
\n6. Reboot your PC and log back into Ubuntu to update the SBAT policy with
\nsudo mokutil –set-sbat-policy latest<\/p>\n

Der Leser schrieb dazu noch, dass es Ank\u00fcndigungen von Microsoft dazu bereits gab. Aber niemand hatte wohl auf dem Radar, dass sich das so heftig auswirkt. Der Leser merkte noch an, dass bei einigen \u00e4lteren PC\u00b4s mit 3. Generation Intel-CPU noch nicht mal die obige Fehlermeldung angezeigt wird. Stattdessen verabschiedet sich das Ger\u00e4t in eine Bootschleife. Er sieht die Linux Community teilweise in der Schuld, da dort immer wieder zum Abschalten von Secure Boot geraten werde.<\/p>\n

Alptr\u00e4ume wahr geworden<\/h2>\n

Wenn ich es richtig in Erinnerung habe, warnten Entwickler aus der Linux-Community bereits vor mehr als 14 Jahren, dass Microsofts Secure Boot der Kill-Switch sei, um Linux auf Windows-Rechnern still zu legen. Aus der Windows-Ecke hie\u00df es immer, dass die Linux-Entwickler ja nur einen g\u00fcltigen Secure Boot-Lader bereitstellen m\u00fcssten. In Folge wurden solche Lader f\u00fcr Linux entwickelt, so dass Systeme mit Secure Boot sowohl Windows als auch Linux booten konnten.<\/p>\n

Nun ist also ein solches Szenario wahr geworden – heise hat es hier<\/a> beschrieben. Bisher wurden die ben\u00f6tigten Signaturen zum Booten in der DBX-Datenbank des BIOS\/UEFI abgelegt. Heise schreibt, dass diese Datenbank bei einigen BIOS-Systemen zu klein f\u00fcr viele Signatur-Eintr\u00e4ge sei. Mit den August 2024-Updates wurde nun von Microsoft das von der Open-Source-Community entwickelte Secure Boot Advanced Targeting (SBAT) nachger\u00fcstet – eine Erkl\u00e4rung zum UEFI shim-Boot-Loader findet sich hier<\/a>.<\/p>\n

Mit den August 2024-Updates hat Microsoft begonnen, die in der UEFI DBX-Datenbank hinterlegten Keys f\u00fcr die Boot-Lader zu sperren. Nun seien es die Linux-Boot-Loader Shim und Grub, die einen Systemstart verweigern, weil die Integrit\u00e4t des Secure Boot nicht mehr gew\u00e4hrleistet ist, erkl\u00e4rt heise. Auf Hacker News gibt es hier<\/a> noch einen Erkl\u00e4rungsversuch.<\/p>\n

Momentan ist unklar, welche Linux-Distributionen betroffen sind. Aktuell hei\u00dft es zur L\u00f6sung aber wohl \"Secure Boot abschalten und auf eine aktualisierte Linux-Distribution warten\", um das Problem zu l\u00f6sen.<\/p>\n

Alles Probleme, die der Nutzer nicht braucht. Und ob die Systeme durch Secure Boot und obige Schlenker wirklich sicherer werden, darf bezweifelt werden.<\/p>\n

Erg\u00e4nzung:<\/strong> Microsoft hat das Problem eingestanden – n\u00e4heres habe ich im Beitrag\u00a0Microsoft \u00e4u\u00dfert sich zu per Windows August 2024-Update lahm gelegtem Linux-Boot<\/a> zusammengetragen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMicrosoft Security Update Summary (9. Juli 2024)<\/a>
\nPatchday: Windows 10\/Server-Updates (13. August 2024)<\/a>
\nPatchday: Windows 11\/Server 2022-Updates (13. August 2024)<\/a>
\nWindows Server 2012 \/ R2 und Windows 7 (13. August 2024)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Nutzer, die Windows und Linux \u00fcber Secure Boot auf Rechnern verwenden, d\u00fcrften seit dem 13. August 2024 ein Problem haben. Microsoft hat mit dem August 2024 Patchday etwas am Boot-Prozess ge\u00e4ndert und Boot-Eintr\u00e4ge von DBX auf Secure Boot Advanced Targeting … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[95,11,185,301],"tags":[4305,8492,24,4315,3288],"class_list":["post-300010","post","type-post","status-publish","format-standard","hentry","category-linux","category-problemlosung","category-update","category-windows","tag-linux","tag-patchday-8-2024","tag-problem","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/300010","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=300010"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/300010\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=300010"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=300010"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=300010"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}