[English]Das Update KB5058379 für Windows 10 22H2 vom 13. Mai 2025 hat für einige Nutzer und Administratoren ziemliche Probleme gebracht. Auf betroffenen Maschinen war Windows gesperrt, weil das System beim Booten den Bitlocker Recovery-Key anforderte. Weiterhin wird von Blue Screens berichtet, die das Update hervorruft. Ergänzung: Windows 11 scheint auch betroffen.
Anzeige
Windows 10 22H2 Update KB5058379
Das kumulative Update KB5058379 enthält Sicherheitsfixes, die im Beitrag Microsoft Security Update Summary (13. Mai 2025) erwähnt sind. Laut Supportbeitrag wurde endlich (nach 9 Monaten) die Secure Boot Advanced Targeting (SBAT)-Erkenung für Dual Boot-Systeme mit Linux verbessert (siehe Patchday: Windows 10/11 Updates (13. Mai 2025)).
Lesermeldungen über Bitlocker-Probleme
Blog-Leser Daniel hat sich zum 15. Mai 2025 in diesem Kommentar gemeldet und schreibt, dass die Update-Installation in seiner Unternehmensumgebung bei einigen Windows 10 22H2-Clients fehlgeschlagen sei. Es gab dann ein Rollback und das System wollen einen Recovery Key, um zu starten.
Phil bestätigt das Problem in diesem Kommentar und schreibt, dass zum Starten teilweise ein Bitlocker Recovery Key einzugeben war. Oder der betroffene Client landet in einer WinRE-Boot-Schleife. Dann half nur ein System-Recovery auf einen Zeitpunkt vor der Update-Installation. Er merkt an, dass wohl mehrere Nutzer betroffen seien, das Ganze sei unabhängig vom Hersteller. Er hat einen Support-Case bei Microsoft eröffnet.
Gernot bestätigt hier, dass dieses Problem bei vielen Firmen mit Windows 10-Systemen auftritt. Bei ihm habe es die Hälfte aller Mitarbeiter getroffen. Diese kontaktierten dann die IT, um die erforderlichen Bitlocker Recovery Keys zu bekommen.
Anzeige
Vorgeschlagener Workaround
Gernot schrieb in seinem Kommentar, dass man als Workaround im Bios/UEFI die Option "Intel Trusted Execution Technology (Intel TXT)" deaktivieren muss. Im Anschluss lässt sich das Update erfolgreich installieren. Dieser Workaround wird auch im von Phil verlinkten reddit.com-Beitrag KB5058379 – Causing Devices to boot into Windows Recovery or requiring Bitlocker recovery keys on boot erwähnt.
Ich habe inzwischen gesehen, dass Windows Latest zu diesem Problem den Beitrag Windows 10 KB5058379 locks PCs, BitLocker Recovery triggered on boot, BSODs veröffentlicht hat. Betroffen seien PCs von Dell, HP und Lenovo mit Windows 10 22H2 sowie Windows 10 21H2 Enterprise / LTSC. Ergänzung: Windows 11 scheint auch betroffen, wie aus nachfolgenden Kommentaren hervorgeht.
Weitere Berichte über Probleme
Auch bei Windows Latest wird obiger Workaround mit Deaktivierung der BIOS-Option vorgeschlagen. Windows Latest verlinkt auf den Patchday Mega-Thread bei reddit.com, wo Nutzer das Problem bestätigen. Der Windows Latest-Beitrag enthält auch eine Anleitung, wie man bei angefordertem Bitlocker Recovery Key vorgehen kann.
Im Windows Latest-Beitrag wird aber auch berichtet, dass das kumulative Update KB5058379 Blue Screens auslöst. Die Deaktivierung von VT für Direct I/O in den BIOS-Virtualisierungs-Einstellungen ermöglicht dem System wieder zu booten. Das sei aber aber keine wirkliche "Lösung" für die Ursache des Problems, merkt der Betroffene gemäß folgendem Textauszug an.
Seeing an issue with Win10 22H2 19045.5854 – KB5058379. BSOD after updating.
Disabling VT for Direct I/O in BIOS virtualisation settings allows the computer to boot again, but not a real 'fix' for why this is happening.
Opened a ticket with Microsoft and will update when I hear back.Edit: Nothing from Microsoft, but an update to the BIOS setting. If disable "OS Kernel DMA Support" and leave Direct I/O enabled, that allows me to boot to OS. I'm also seeing a fun error in the system log, which corresponds with the timing of failed boots: "the virtualisation-based security enablement policy check at phase 6 failed with status: unknown NTSTATUS error code: 0xc0290122" May/may not be related.
Ein Nutzer bestätigt, dass er einen Fehler "Unknown NTSTATUS Error code: 0xc0290122" bei jedem gescheiterten Boot-Versuch erhalte.
Ähnliche Artikel:
Microsoft Security Update Summary (13. Mai 2025)
Patchday: Windows 10/11 Updates (13. Mai 2025)
Patchday: Windows Server-Updates (13. Mai 2025)
Patchday: Microsoft Office Updates (13. Mai 2025)
Windows 10/11: Preview Updates 22. und 25. April 2025
Anzeige
Gibt es bei Microsoft noch eine Qualitätskontrolle?
Ja, den Endkunden ;-)
Ja… die gnazen freiwilligen User wie du ich und alle die anderen ;-P Vielleicht sollten wir mal anfangen diese Dienstleistung MS in Rechnung zu stellen?
b2t: nicht betroffen von dem Fehler da ich Bitlocker sowieso deaktiviert habe… ist nicht "vertrauenswürdig" Security und OS aus einer Hand? Nein Danke!
@Luzifer
War genau mein Gedanke, die Security vom OS zu trennen!
Deaktiviert und stattdessen das System mit VeraCrypt verschlüsselt.
War eine einfache, gut erklärte, zeitaufwändige und benutzerfreundliche Erfahrung!
Brauchte in einem Jahr bisher nicht einmal den USB-Stick zur Bootloader Reparatur.
Allerdings gibt es da auch einen Unterschied…. Passworteingabe bei jedem Neustart und für die restlichen Datenträger nach Start.
Passwort vergessen – Daten ade.
So hab ich es zumindest konfiguriert.
—Grüße—
PS: Und das Passwort ist über 20 Zeichen lang 😉
Ein Passwort "qwertzuiopasdfghjklyxcvbnm" ist auch über 20 Zeichen lang ;-)
"GPBurthhatmireintollesPasswortmitgeteilt"
Länger ist übrigens besser als komplizierter ;)
…zumindest solange es nicht (einzeln) in einem Wörterbuch auftaucht!
Und was machst du, wenn du dich nicht nur um einen, sondern um 50.000 Rechner kümmern musst?
Wenn du die Systempartition verschlüsselst machen VC und BL mehr oder weniger dasselbe! Beide nisten sich unabhängig vom Betriebssystem auf einer (unverschlüsselten) Boot/EFI Partition ein und starten von dort ihre Sicherheitsroutinen.
Bitlocker hat allerdings den Vorteil der zentralen Verwaltung, einbinden von hardwarebasierter Sicherheit (TPM, CPU-Sicherheitszonen usw.) und der einfachen Verwendung von SecureBoot.
– Zentrale Verwaltung ist für Firmen wichtig.
– TPMs machen aus deinem "20 Zeichen Passwort" ein 2^128 bzw. je nach Konfiguration sogar ein 2^256 Zeichen 'Passwort' (war zumindest früher so) und können sogar mit automatischer Entschlüsselung ohne zusätzliche Eingabe bei Beibehaltung einer sehr hoher Sicherheitstufe laufen, wenn man zusätzliche Einstellungen (ggf. wieder zentral) vornimmt (z.B. kein direkter Speicherzugriff vor Windows-Anmeldung und Standby vollständig deaktivieren und durch Ruhezustand ersetzen)
– SecureBoot geht mit Veracrypt zwar auch, wohl aber nur mit zusätzlichem Aufwand. Ohne SB könnte man dein System deutlich einfacher manipulieren um z.B. das Passwort auszuleiten oder manifeste Schadsoftware einzurichten und mit SB wäre es möglich, dass das hier genannte Problem auch auftritt falls das mit dem o.g. SBAT-Update zusammenhängt. Falls es nicht zusammenhängt, könnte sowas unabhängig von der verwendet Verschlüsselung eh auftreten! (s. https://github.com/veracrypt/VeraCrypt/issues/1485)
PS Warum du für die weiteren Datenträger auch Passwörter eingeben willst ist mir auch etwas schleierhaft, weil man diese ja auch von der eh schon verschlüsselten OS Partition nach deren Entschlüsselung automatisch einbinden könnte!
@TAFKAegal … Diese Antwort hat mich mal so etwas von positiv getriggert!
Sicherlich verwalte ich nur einen Rechner und deshalb ist diese Herangehensweise für mich auch praktikabel.
Zum Einbinden aller Laufwerke, habe ich mich für den Mittelweg entschieden.
1. Nur Betriebssystem fährt flott hoch. Reicht für Internet, Office und solchen Kram.
2. Über alle Datenträger einhängen kommen dann alle anderen 5,5 Laufwerke mit Ihren Partitionen und Eigennamen zum Vorschein – Ein Kompromiss also…
Jetzt aber zum positiven Trigger!!! Ich war mal wieder viel zu defensiv im Umgang mit meinem ersten voll verschlüsselten System 😎
Hatte das schon richtig eingerichtet… Habe eben im Bios CSM komplett ausgeschaltet und auch das Gesummse mit Peripherie Boot auf UEFI only gestellt. TPM war schon die ganze Zeit an.
Hatte das beim ersten Mal also doch schon richtig getroffen. Sprich diese hybride CSM Einstellung hätte ich mir beim ersten Neustart sparen können.
Einziger Nachteil auf einem 32 Zoll Monitor…. die Schrift bei der Passworteingabe ist echt winzig geworden…
Ohne ihre Antwort wäre das so weiter gelaufen. Danke für ihren positiven Trigger 😋
—Grüße—
PS: Mit dem Passwort habe ich mir schon Mühe gegeben 💭
PPS: Was den Link angeht, bin ich mit Windows 10 LTSC
glaub ich raus?! (https://github.com/veracrypt/VeraCrypt/issues/1485)
Windows 10 LTSC basiert auf einem älteren Build und dürfte lt. den Kommentaren auf github nicht betroffen sein.
Gegen die winzige Schrift kann man mit den passenden Treibern Abhilfe schaffen (in die winre.wim einpflanzen).
Cool!
Eigentlich versuche ich andere nicht zu triggern, zumindest nicht absichtlich – naja, manchmal schon ;)
Gut, das mit dem Einhängen ist soweit natürlich in Ordnung, aber wie gesagt: Könnte auch automatisch laufen, wenn du deiner verschlüsselten Systemplatte, wo das Passwort liegen könnte vertraust und wäre wohl auch mit Bastelei und mit einer Schlüsseldatei und dem TPM möglich.
Ich bin nicht ganz sicher, aber das CSM ausschalten schützt nur davor, dass während des Bootvorganges "unsichere" Software booten kann und müsste weiterhin noch durch ein BIOS/UEFI Passwört geschützt werden, was aber wiederum bei physischen Zugriff leicht zurückgesetzt und entsprechend geändert werden könnte; ist also nur ein geringer zusätzlicher Schutz z.B. gegen neugierige und fachfremde Mitbewohner =)
Solange du nur 'Secure Boot' geschützte Betriebssyteme startest und bei der automatischen Bootreihenfolgen an erster Stelle stehen hast, sollte das eigentlich egal sein. Abgesehen davon müsstest du bei BIOS/UEFI Updates die Einstellung nochmals prüfen, weil das ggf. (je nach Hersteller und Modell des Mainboards) wieder aktiviert wird; das ist bei einem meiner MBs z.B. so.
TPM bringt dir bei VeraCrypt nichts außer, du hast das explizit damit eingerichtet was aber afaik seit Implementierung nur über die Befehlzeile und nicht über die GUI geht und falls du nicht 'Windows Hello' verwendest brauchts du das im Prinzip überhaupt nicht.
Der Link war eigentlich nur als Beispiel gedacht, dass ein Wechsel der Software nicht automatisch vor (ähnlichen) Problemen schützt. Deshalb gilt immer: Backup haben ist besser als Backup brauchen! ;)
Ach und wenn du sowieso ein relativ langes Passwort hast, könntest du das auch durch einen Passwortsatz, den du dir besser merken kannst oder durch mehrere Wörter hintereinander oder getrennt durch Leerzeichen oder Bindestriche (oder gemischt) oder sowas ersetzen für den Fall, dass dir das deutsche Tastaturlayout flöten geht und auf das Englische zurückgewechelt wird, was die Passworteingabe dann sehr nervig macht. Wenn du nur Buchstaben von a-x(!) bzw. A-X(!) und keine Sonderzeichen, außer eventuell (selektiv) Leerzeichen verwendest, hättest du dann kein Problem damit.
Hey,
das mit dem positiven Trigger meinte ich sogar völlig unironisch! Hatte mich über mich selbst geärgert, dass ich die UEFI Geschichte nicht gleich so wie gewollt durchgezogen habe 😑
Bei der Geschichte mit dem TPM war mein laienhafter Gedanke, dass bei einer Sicherheitslücke im TPM ich mir das ganze Verschlüsseln auch hätte sparen können.
Mit dem Bios Update ist das tatsächlich so eine Sache!
Klar kann ich wieder mein Profil laden, doch hab ich schon wegen "Menu Punktänderungen" auf ein nicht hochstartendes System geschaut.
Deshalb setze ich seit Jahren hier auf mein nerviges Oldschool Backup!
😓 Zettel und Papier 🤨
Jede Einstellung wird einmal vernünftig nieder geschrieben. Auch jedes Speicher-Timing was wegen höherer Geschwindigkeit geändert wurde und automatische Timings werden fest im Bios eingetragen und gesichert. So läuft der Speicher bei mir nach jedem Bios Update bockstabil.
(Und klar – in einem beruflichen Umfeld gäbe es da nur Standartwerte!)
In die Falle mit dem VeraCrypt Passwort bin ich übrigens voll reingetreten 😋
Da beim Startvorgang und vor der Windows Anmeldung das Passwort grundsätzlich im englischen Tastaturlayout abgefragt wird. Man kann das durch eine Passwortänderung mit Richtung tippe das Passwort wie auf der Deutschen Tastatur beim Startvorgang ein abfangen! Dann würde das auch mit dem Einhängen von Systemfavoriten Volumes passen, da nach dem Start das gleiche Passwort im deutschen Layout auf die Systemfavoriten angewendet wird.
Letztendlich hab ich mich für die "normalen" Favoriten Volume Einstellung, unter VeraCrypt, für meine neun anderen Partitionen, entschieden.
Fun Fact … schickt man die Kiste in den Ruhezustand, muss ich zwar beim Startvorgang das Passwort eingeben aber sämtliche Platten sind gleich automatisch mit am Start 🤗
Und zum Schluss mal ernsthaft…. für mich privat war das zwar ein plus an Datensicherheit und Ansporn im Hobby das umzusetzen – doch war ich knapp über 20 Jahre auch ohne Verschlüsselung happy.
Ich finde es letzten Endes ganz gut, dass was sich in einem digitalen Leben angesammelt und bei mir auf der Platte liegt so gesehen "in meinem Besitz" bleibt.
Meine, im Hobby war es mir ja auch wichtig wie ich meine Kabel beim Rechnerbau verlege in welches Gehäuse ich die nächsten 15 Jahre meinen Kram einbauen werde oder was sich im UEFI für Stellschrauben finden lassen, damit das ganze System flotter läuft ohne zum stromhungernden Vampir zu werden.
Und mit meinen Daten…. klar Einstellung für mehr Datenschutz hier und da… Doch in Zeiten, wo gefühlt dich jeder am Liebsten ein Stück weit "durchtelemetrieren" möchte ist das halt der eine anarchistisch gehobene Finger (welcher das ist bleibt natürlich der Fantasie des Lesenden überlassen), der trotzig signalisiert nope, ihr könnt mich mal.
Deshalb hab ich mich im Grunde auf das Abenteuer VeraCrypt eingelassen 😉
—Grüße—
[Edit] Wichtig!
Falls das noch jemand lesen sollte: Ich hatte das TPM-Problem verdrängt – siehe (älter) 'Screwdriver-' und (neuer) 'Bitpixie-' Schwachstellen. Bitlocker Auto-Boot ohne zusätzlichen Nutzereingriff geht zwar, kann aber umgangen werden (und Stand heute wohl auch in Zukunft noch). Wer 'interessante' Daten hat muss das entsprechend beachten!
Man könnte jetzt ja wieder unken, dass der von Microsoft bevorzugte Workaround Win11 heisst.
Die 6000 verbliebenen Tester werden gerade entlassen. Sind ja nur 3%.
Man könnte boshaft auch fragen:
welche der jetzt aufgetretenen Probleme wurden durch oder trotz Verwendung von KI verursacht?
banana-ware….reift beim Kunden
Bei Windows 11 KB5058405 scheinen die gleichen Probleme aufzutreten.
Haben schon diverse USer, die nach Bitlocker-Keys fragen…
Danke für die Info, als ich die Nacht kurz in den Kommentaren geschaut habe, konnte ich nur Windows 10-Treffer finden.
Bei uns sind vereinzelte Windows 11 Lenovo Laptops betroffen, Updates deinstalliern via Wiederherstellungsoptionen bringt erfolgreich Abhilfe.
Guten Morgen,
ich kann es für Windows 11 24h2 in Verbindung mit Surface Laptop (ca. 1 Jahr alt) bestätigen.
Eine Bootschleife nach Eingabe vom Wiederherstellungskeys.
Kann man mittels Powershell abfragen, ob das BIOS Flag "Intel Trusted Execution Technology " gesetzt ist? Oder wird ein Registry Key entsprechend angelegt, den man abfragen kann?
Vielleicht klappt es mit dem hier:
https://www[.]dell[.]com/support/product-details/de-de/product/command-powershell-provider/drivers
Ich habe allerdings keine Ahnung, wie gut der funktioniert und ob der überhaupt auf nicht-DELL-Systemen funktioniert.
Vielen Dank für den Link. Ich schaue mir das mal an.
Tritt bisher nur alle paar Monate/Jahre auf einem Uralt-Intel-NUC bei meiner Mutter nach Patch Day Updates auf. 1x auf "Laufwerk überspringen" (auch C:) und dann Windows neu starten auswählen und gut ist bisher. Selbstverständlich sind alle Wiederherstellungsschlüssel mehrfach gut gesichert, wurden aber nicht benötigt.
Für den Fall das es wem hilft:
Wir haben dieses Problem auch in der Firma. Wir setzen auf Lenovo T14 Gen 2- Gen 5 Und Surface Geräte.
Einige liefen durch mit dem Patch, aber sind jetzt doch bei einigen die Betroffen sind. Die meisten liefen direkt nach der Eingabe des BitLocker Schlüssels.
Jetzt hatten wir einen T14 Gen 4 der im Loop gefangen war. Intel TXT war im BIOS nicht verfügbar/auffindbar, aber wie im Artikel beschrieben Intel Virtualization Technology. Und das zu deaktivieren half. Zu finden unter Security -> Virtualization.
Dazu musste aber bei den Lenovos zuerst Kernel DMA Protection ausgeschaltet werden. Intel VT-d Feauture kann aktiviert bleiben.
Danach installierte sich das Update beim Start von Windows ggf noch eine Bitlocker Abfrage.
Was man danach leider nicht machen darf, die Einstellungen im BIOS wieder einschalten. Denn dann kommt der BitLocker Loop wieder.
Kann die Zwangsinstallation dieses "Updates" nicht umgangen werden?
Es fragt jemand der kein IT-ler ist, Antworten Bitte verständlich für Normalos.
Mir wird das "Update" nun auch angeboten, und irgendwann wird es Zwangsinstalliert…
Brauch den PC Zwingend für die Arbeit.
Verschlüsselt habe ich nichts,
aber Windows macht das ja nichts aus mich trotzdem nach einem Passwort zu fragen…
In Firmenumgebungen (noch) mit einem sog. WSUS Server möglich. Zu Hause hm… ich hab schon lange kein Windows (11) mehr (@home) verwendet, aber ad hoc: Dienste aufrufen und dort die Windows Update Services deaktivieren?
weiß aber nicht, ob die dann nach einem Reboot wieder automatisch aktiv sind. Müsste man testen.
Hab W10 22H2 und hab das auch als Zielsystem angegebn, war mal ein Tipp hier.
Ferner natürlich Bitlock und TPM deaktiviert, traue den SChalubergern aus RTedmond aber trotzdem zu mein System mit "Update" "versehentlich" unbrauchbar zu machen…