Windows 10 1809/Server 2019: Probleme mit SystemGuard Launch-Security Baseline

Publiziert am 26. Januar 2019 von Günter Born

[English]Kurze Information für Administratoren von Windows 10 Version 1809 Clients oder von Windows Server 2019-Instanzen. Es gibt ein Problem mit der Security Baseline, wo eine neu eingeführte Option SystemGuard Launch beim Booten zu einem leeren Bildschirm führen kann.

Anzeige

Um das Ganze ein wenig zu sortieren, das Ganze betrifft keinen Nutzer mit Windows 10 Home (und keine Windows 10 Pro-Nutzer, die dieses Betriebssystem ohne Security Baseline betreiben). Sondern das Szenario tritt auf, wenn das Microsoft Security Compliance Toolkit 1.0 unter Windows 10 Version 1809 oder auf Windows Server 2019 installiert wurde und die Richtlinie SystemGuard Launch konfiguriert ist.

Was ist die Security Baseline?

Es handelt sich um Sicherheitsgrundsätze, die Microsoft zum Härten von Systemen gegen Sicherheitsbedrohungen bereitstellt. Das Security Baseline-Paket besteht aus Dokumentation und Gruppenrichtlinien sowie PowerShell-Scripten, mit denen sich eine Basisabsicherung über bestimmte Einstellungen vornehmen lässt.

Microsoft hat z.B. dieses Dokument zum Thema Sicherheitsgrundsätze veröffentlicht. Ende November 2018 hatte Microsoft dann das Paket Windows-10-1809-Security-Baseline-FINAL für Windows 10 V1809 und Windows Server 2019 freigegeben. Dieses herunterladbare Paket enthält importierbare GPOs, ein PowerShell-Skript zum Anwenden der GPOs auf lokale Richtlinien, benutzerdefinierte ADMX-Dateien für Gruppenrichtlinieneinstellungen, Dokumentation in Tabellenform und als eine Reihe von Policy Analyzer-Dateien. Ich hatte im Blog-Beitrag Security Baseline für Windows 10 Version 1809/Server 2019 berichtet.

Probleme mit den SystemGuard Launch-Einstellungen

Crysta T. Lacey (@PhantomofMobile) hat mich auf Twitter und in einer E-Mail auf ein Problem im Zusammenhang mit den SystemGuard Launch-Richtlinien der Security Baseline-Einstellungen aufmerksam gemacht (danke dafür).

Microsoft-Mitarbeiter Aaron Margosis hat am 25. Januar 2019 einen Blog-Beitrag Issue with SystemGuard Launch setting in Windows 10 v1809 and Windows Server 2019 auf Technet veröffentlicht, der ein neu aufgetretenes Problem beschreibt.

Die Problembeschreibung

Kunden, die die Microsoft Security Baseline für Windows 10 v1809 und Windows Server 2019 auf Systemen mit aktiviertem UEFI Secure Boot implementiert haben, können Probleme beim Booten von Geräten haben.

Verantwortlich ist die Device Guard GPO zum Aktivieren von virtualisierungsbasierter Sicherheit in den Windows-Sicherheitskonfigurationsbaselines. Diese Richtlinie beinhaltet das Aktivieren der Einstellung System Guard Secure Launch ("ConfigureSystemGuardLaunch"). Diese soll auf unterstützter Hardware die virtualisierungsbasierte Sicherheitsumgebung vor ausnutzbaren Schwachstellen in der Gerätefirmware schützen.

Anzeige

Diese Richtlinie wurde in Windows 10 Version 1809 neu eingeführt und ist daher nur in den empfohlenen Baselines für Windows 10 v1809 und Windows Server 2019 enthalten. Nun hat Microsoft entdeckte, dass die betreffende Richtlinie ein Boot-Problem verursachen kann. Das Problem tritt auf Systemen auf, bei denen der System Guard Secure Launch auf aktiviert gesetzt war, unabhängig davon, ob die zugrunde liegende Hardwareunterstützung für die Funktion vorhanden ist.

Startet das Gerät nach einem Update neu, wird nur ein leerer Bildschirm gezeigt. Als Ursache wurde ein Problem mit der Validierung von Katalogdateien identifiziert. Ob dieses Szenario auftaucht, hängt laut Microsoft stark von der Menge und Reihenfolge der signierten Komponenten im Boot-Pfad ab. Es ist also ein ziemlich exotischer Fehler, von dem nicht vorhersehbar ist, ob und wann ein System dieses Problem hat.

Lösung in Arbeit, Workaround möglich

Microsoft arbeitet derzeit aktiv daran, eine Lösung für dieses Problem über ein Windows Update zu veröffentlichen. Betroffene Kunden können unter Windows 10 V1809 und Windows Server 2019 die Gruppenrichtlinieneinstellung ConfigureSystemGuardLaunch auf  nicht konfiguriert ("Not Configured") zurücksetzen oder auf "Disabled" stellen, um dieses Problem zu beheben. Dies sollte ein temporärer Workaround sein, bis dieses Problem in einem Windows Update behoben ist.

Microsoft schreibt, das bisher noch keine Geräte ausgeliefert wurden, die Hardwareunterstützung für Secure Launch beinhalten. Das gilt für alle Microsoft Surface-Geräte und alle anderen OEM-Geräte. Die ersten Geräte mit dieser Unterstützung werden voraussichtlich erst im zweiten Quartal des Kalenderjahres 2019 auf dem Markt erhältlich sein.

Das Entfernen dieser Richtlinien-Einstellung hat laut Microsoft keine negativen Auswirkungen auf Systeme, die nicht über die Hardwareunterstützung für den sicheren Start von System Guard Secure verfügen.

Ähnliche Artikel:
Security Baseline für Windows 10 Version 1809/Server 2019

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Windows 10, Windows Server abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Windows 10 1809/Server 2019: Probleme mit SystemGuard Launch-Security Baseline

  1. Martin Feuerstein sagt:
    26. Januar 2019 um 10:31 Uhr

    Wenn ich das richtig interpretiere, kann ein nicht mehr bootender Computer auch durch das Deaktivieren von Secure Boot wiederbelebt werden?

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.