[English]Kurze Frage an die Administratoren im Business-Umfeld, die Windows 10-Clients mit aktiviertem Bitlocker betreiben. Kommt es nach der Installation des Sicherheitsupdate KB4535680 bei den Clients vermehrt zu einem Bitlocker-Recovery? Artikel um Hinweise auf betroffene Geräte erweitert. Microsofts Empfehlung lautet, das Sicherheitsupdate vorerst nicht zu installieren, bis ein Fix vorliegt.
Anzeige
Wofür ist das Sicherheitsupdate KB4535680?
Ich hatte das Sicherheitsupdate KB4535680 (Security update for Secure Boot DBX: January 12, 2021) im Blog-Beitrag Windows Sicherheitsupdate KB4535680 für Secure Boot (DBX) erwähnt. Es ist ein Sicherheitsupdate für den Secure Boot (DBX), der von Windows auf UEFI-Maschinen genutzt werden kann. Das Sicherheitsupdate KB4535680 steht für die nachfolgenden Windows-Versionen zur Verfügung, wenn diese auf UEFI-Hardware installiert sind.
- Windows Server 2012 x64-bit
- Windows Server 2012 R2 x64-bit
- Windows 8.1 x64-bit
- Windows Server 2016 x64-bit
- Windows Server 2019 x64-bit
- Windows 10, version 1607 x64-bit
- Windows 10, version 1803 x64-bit
- Windows 10, version 1809 x64-bit
- Windows 10, version 1909 x64-bit
Windows 7 oder 32-Bit-Windows-Versionen werden nicht unterstützt. Der Hintergrund zum Update KB4535680: Windows-Geräte mit UEFI (Unified Extensible Firmware Interface)-basierter Firmware können mit aktiviertem Secure Boot betrieben werden. Die Secure Boot Forbidden Signature Database (DBX) verhindert das Laden von UEFI-Modulen.
Der Grund für diese Ergänzung: Es wurde eine Schwachstelle gefunden, die eine Umgehung von Sicherheitsfunktionen in Secure Boot ermöglicht. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Secure Boot umgehen und nicht vertrauenswürdige Software laden. Details zu dieser Schwachstelle lassen sich in CVE-2020-0689 | Microsoft Secure Boot Security Feature Bypass Vulnerability nachlesen.
Im Artikel Wird das Windows-Update KB4535680 auf BIOS-Systemen angeboten? hatte ich die Frage thematisiert, wieso dieses Update auch auf BIOS-Systemen angeboten wird, mich aber mit der Erklärung zufrieden gegeben, dass dort das Update zwar installiert, aber nicht geladen wird.
Löst KB4535680 bei euch ein Bitlocker-Recovery aus?
Dieter Haimann wirft auf Twitter die Frage auf, ob auch andere Nutzer vermehrt ein Bitlocker-Recovery nach Installation des Update KB4535680 feststellen? Er ist mit diversen Maschinen in das Problem gelaufen und fragt nach praktikablen Lösungen, falls Tausende an Geräten betroffen sind.
Anzeige
Im Tweet gehen andere Nutzer auf diese Frage ein. Wie schaut es bei euch aus, gibt es da Probleme? Danke an Karl für den Hinweis.
HP-Geräte betroffen, es gibt Hinweise von HP
Ergänzungen: Wie in einem anonymen Kommentar unten angemerkt wird, hat Microsoft in den "Known issues" ein spezielles Szenario aufgeführt, wo diese Anforderung der Recovery-Keys beim Booten erfolgt. Spannender finde ich im Thread mit obigem Tweet den Hinweis, dass jemand das Problem bei 400 älteren Geräten mit HP-BIOS/UEFI-Chips meldet. Weitere Rückmeldungen ergeben das Bild, dass das Problem verstärkt bei älteren HP-Geräten auftritt.
Von HP gibt es ein Support-Dokument HP Commercial Desktops, Notebooks, and Thin Clients PCs – Installing or Upgrading to Windows 10 Version 2004 or Installing KB4524244 or KB4535680 Results in Hang aus 2020, welches ein BIOS-Update ankündigt. Ob dies das oben genannte Problem mit dem Bitlocker Recovery löst, weiß ich nicht. Von Dieter Haimann gibt es die Rückmeldung, dass seine Geräte (G3 Elite books 850, EliteDesk 800, ProBook 650 G2) älter als im Dokument aufgeführt sind und es keine BIOS-Update gibt. Er fährt die Systeme mit Windows 10 Version 1809 und 1909.
Aktuell lautet die Empfehlung Microsofts (so entnehme ich dies den Tweets), das Update auf SCCM etc. für eine Verteilung zu blockieren, bis eine Lösung gefunden wird.
Anzeige
100 PCs mit Secure Boot und Bitlocker, welches an Secure boot gekoppelt ist (PCR 7,11) – Update überall installiert – kein einziger mit diesem Problem.
Bei unseren 100+ Lenovo ThinkPad X1 Yoga (3rd/5th Gen) wurde KB4535680 vor knapp drei Wochen installiert. Windows 10 Enterprise 1909, UEFI und Secure Boot aktiv. Bisher wurden keine Probleme gemeldet.
kommt sicher drauf an in welchem Modus Bitlocker läuft, da gibt es ja einige configs
Kann ich auch nicht bestätigen. Ebenfalls ca. 100 Geräte in dieser Kombination im Einsatz, bisher habe ich keine Rückmeldungen von Anwendern dazu erhalten. 1909 Enterprise ist im Einsatz.
steht doch auch unter known issues!
Hatten gestern tatsächlich einen. In der IT ist bei Tests vorher nichts aufgefallen. Haben alle die gleiche Config / Versions-Stand.
Zumindest haben unsere Lenovo Windows 1909 Clients kein Problem mit dem Update.
Hier bei einer größeren dreistelligen Anzahl an Dell-Clients auch kein Problem.
~800 HP ProDesk 600 G3 und keine Probleme bekannt
~600 Clients – Fujitsu und Lenovo und keine Probleme (Win 10 1909)
Hier bei einer zweistelligen Anzahl von Geräten (Surface, HP, Fujitsu) keine Probleme
~1000 Dell Geräte. Keine Probleme
65 Surface Geräte (Pro 5-7, Laptop 2-3 und Book 2-3), keine Probleme
> 4000 Dell und Lenovo Clients (64Bit Enterprise DE 1909) ohne Probleme