WICHTIG Alle Kunden sollten die Windows-Sicherheitsupdates vom 11. Juli 2023 anwenden. Dieser Artikel gilt für Kunden, die zusätzliche Maßnahmen ergreifen sollten, um Sicherheitsrisikominderungen für eine öffentlich offengelegte Umgehung des sicheren Starts zu implementieren, die vom BlackLotus UEFI-Bootkit genutzt wird und physischen oder administrativen Zugriff auf das Gerät erfordert.
VORSICHT Sobald die Risikominderung für dieses Problem auf einem Gerät aktiviert ist, was bedeutet, dass die Sperrungen angewendet wurden, kann sie nicht rückgängig gemacht werden, wenn Sie weiterhin den sicheren Start auf diesem Gerät verwenden. Selbst bei einer Neuformatierung des Datenträgers werden die Sperrungen nicht entfernt, wenn sie bereits angewendet wurden. Seien Sie sich sämtlicher möglichen Auswirkungen bewusst, und testen Sie gründlich, bevor Sie die in diesem Artikel beschriebenen Sperrungen auf Ihr Gerät anwenden.
Inhalt
Zusammenfassung
In diesem Artikel wird der Schutz vor der öffentlich bekanntgegebenen Umgehung eines Sicherheitsfeatures für den sicheren Start mithilfe des UEFI-Bootkits BlackLotus beschrieben, das unter CVE-2023-24932 nachverfolgt wird. Es wird erläutert, wie die Schutzmaßnahmen aktiviert werden und gibt Anleitung zum Aktualisieren startbarer Medien. Ein Bootkit ist ein bösartiges Programm, das so konzipiert ist, dass es so früh wie möglich in der Startsequenz eines Gerätes geladen wird, um den Start des Betriebssystems zu steuern.
Der sichere Start wird von Microsoft empfohlen, um einen sicheren und vertrauenswürdigen Pfad von der UEFI (Unified Extensible Firmware Interface) über die vertrauenswürdige Startsequenz der Windows-Kernels zu schaffen. Der sichere Start hilft dabei, Bootkit-Schadsoftware in der Startsequenz zu verhindern. Durch das Deaktivieren des sicheren Starts besteht die Gefahr, dass ein Gerät von einer Bootkit-Schadsoftware infiziert wird. Das Korrigieren der Umgehung des sicheren Starts, die in CVE-2023-24932 beschrieben wird, erfordert das Sperren von Start-Managern. Dies kann Probleme bei den Startkonfigurationen einiger Geräte verursachen.
Schutzmaßnahmen gegen die Umgehung des sicheren Starts sind in den Windows-Sicherheitsupdates enthalten, die am oder nach dem 9. Mai 2023 veröffentlicht wurden. Diese Schutzmaßnahmen sind jedoch nicht standardmäßig aktiviert. Die Windows-Sicherheitsupdates, die am oder nach dem 11. Juli 2023 veröffentlicht wurden, haben vereinfachte Konfigurationsoptionen hinzugefügt, um die Schutzmaßnahmen vor der Umgehung des sicheren Starts manuell zu aktivieren. Ein zweiter Satz von Schutzmechanismen wird in der ersten Jahreshälfte 2024 verfügbar sein. Die Durchsetzung dieser Schutzmaßnahmen erfolgt sechs Monate nach der Veröffentlichung des zweiten Satzes von Schutzmaßnahmen.
Bevor Sie diese Schutzmaßnahmen aktivieren, sollten Sie die Details in diesem Artikel sorgfältig durchgehen und entscheiden, ob Sie die Schutzmaßnahmen aktivieren oder auf ein zukünftiges Update von Microsoft warten müssen. Wenn Sie die Schutzmaßnahmen manuell aktivieren möchten, müssen Sie sicherstellen, dass Ihre Geräte und alle startbaren Medien aktualisiert wurden und für diese Änderung der Sicherheitshärtung bereit sind. Der zweite Satz von Schutzmaßnahmen, der in der ersten Jahreshälfte 2024 verfügbar wird, erfordert auch Updates für Offlinemedien. Kunden, die cloudbasierte Microsoft-Lösungen verwenden, sollten den Leitfaden unter Aktualisieren startbarer Medien/Azure Cloud befolgen.
Handeln Sie
|
Wichtig Die Schritte müssen in der folgenden Reihenfolge ausgeführt werden, und jeder Schritt muss abgeschlossen werden, bevor mit dem nächsten Schritt fortgefahren werden kann. Startbare Medien lassen sich nicht starten, wenn nicht alle Schritte in der richtigen Reihenfolge ausgeführt wurden. Wenn Sie diese Schritte zuvor mithilfe des Windows-Sicherheitsupdates ausgeführt haben, das am oder nach dem 9. Mai 2023 veröffentlicht wurde, brauchen Sie diesen Vorgang nicht zu wiederholen. |
Umfang der Auswirkungen
Alle Windows-Geräte mit aktiviertem Schutz für den sicheren Start sind von diesem Problem betroffen, sowohl lokale physische Geräte als auch einige virtuelle Computer (VMs) oder cloudbasierte Geräte. Schutzmaßnahmen sind für unterstützte Versionen von Windows verfügbar. Die vollständige Liste finden Sie unter CVE-2023-24932.
Linux-Systeme, die auf dem sicheren Start basieren, können ebenfalls von diesem Problem betroffen sein. Microsoft hat sich mit Vertretern der großen Linux-Distributionen abgestimmt, um den Fix für ihre Betriebssysteme verfügbar zu machen. Sie müssen sich an den Support für Ihre Linux-Distribution wenden, um Anleitungen zur Korrektur dieses Problems für Ihre Linux-Geräte zu erhalten.
Cloud Services
Gemäß dem Modell der gemeinsamen Verantwortung installiert Microsoft die Updates für den sicheren Start für alle SaaS (Software-as-a-Service)- und Platform-as-a-Service (PaaS)-Dienste mithilfe der Methoden für die sichere Bereitstellung. Für IaaS (Infrastructure-as-a-Service)-basierte Windows-Dienste, die in Azure mit aktiviertem sicherem Start (Vertrauenswürdige Start-VM oder Vertrauliche VM) ausgeführt werden, müssen Sie dieselben Schritte wie für lokale Windows-Geräte ausführen.
Grundlegendes zum Risiko
Damit der in diesem Artikel beschriebene BlackLotus UEFI-Bootkit-Exploit möglich wird, muss ein Angreifer Administratorrechte auf einem Gerät oder physischen Zugriff auf das Gerät erlangen. Dies kann durch physischen oder Remotezugriff auf das Gerät erfolgen, z. B. durch Verwendung eines Hypervisors für den Zugriff auf VMs/Cloud. Ein Angreifer nutzt dieses Sicherheitsrisiko häufig, um weiterhin ein Gerät zu kontrollieren, auf das er bereits zugreifen und das er möglicherweise manipulieren kann. Risikominderungen in diesem Artikel sind präventiv und nicht korrigierend. Wenn Ihr Gerät bereits kompromittiert ist, wenden Sie sich an Ihren Sicherheitsanbieter, um Hilfe zu erhalten.
Wenn Sie den sicheren Start verwenden und die Schritte in diesem Artikel falsch ausführen, können Sie Ihr Gerät möglicherweise nicht mehr von Medien starten oder wiederherstellen. Dies kann Sie daran hindern, Wiederherstellungsmedien wie Datenträger oder externe Laufwerke oder die Netzwerkstartwiederherstellung zu verwenden, wenn die Medien nicht ordnungsgemäß aktualisiert wurden.
Vermeiden von Problemen mit ihren startbaren Medien
Aufgrund der Sicherheitsänderungen, die für CVE-2023-24932 erforderlich sind und in diesem Artikel beschrieben werden, müssen Sperrungen auf unterstützte Windows-Geräte angewendet werden. Nach der Anwendung dieser Sperrungen können die Geräte absichtlich nicht mehr mit Hilfe von Wiederherstellungs- oder Installationsmedien gestartet werden, es sei denn, diese Medien wurden mit den am oder nach dem 9. Mai 2023 veröffentlichten Sicherheitsupdates aktualisiert. Dazu gehören sowohl startbare Medien wie Datenträger, externe Laufwerke, Netzwerkstartwiederherstellung als auch Wiederherstellungsimages.
WICHTIG Sie müssen Ihre startbaren Medien mithilfe der Anweisungen in "Schritt 2: AKTUALISIEREN" aktualisieren, bevor Sie die Sperrungen in "Schritt 3: AKTIVIEREN" im Abschnitt "Bereitstellungsrichtlinien" aktivieren.
Bereitstellungsrichtlinien
Gehen Sie folgendermaßen vor, um Updates zu verteilen und Sperrungen anzuwenden.
|
1. |
INSTALLIEREN
WICHTIG Starten Sie das Gerät neu, um die Installation des Updates abzuschließen, bevor Sie mit Schritt 2 und Schritt 3 fortfahren. HINWEIS: SafeOS Dynamic Updates sind jetzt verfügbar, um WinRE-Partitionen zu aktualisieren. |
|
2. |
AKTUALISIEREN von startbaren Medien
|
|
3. |
AKTIVIEREN der Aufhebungen
VORSICHT Nachdem die Sperrungen angewendet wurden, funktionieren startbare Medien, die nicht aktualisiert wurden, nicht mehr wie erwartet. Fahren Sie mit "Schritt 3: AKTIVIEREN" erst fort, wenn Sie Ihre startbaren Medien in "Schritt 2: AKTUALISIEREN" aktualisiert haben. |
|
a. Aktivieren der Liste der verbotenen UEFI-Module (DBX)
und der Codeintegritäts-Startrichtlinie
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x30 /f |
|
|
b. Neustarten des Geräts Nachdem Sie die beiden Sperrungen in Schritt a angewendet haben, müssen Sie das Gerät neu starten, um den Sperrschutz zu aktivieren. |
|
|
c. Warten Sie mindestens 5 Minuten, und starten Sie das Gerät dann erneut. WICHTIG Ein zusätzlicher Neustart ist erforderlich, um den Sperrschutz vollständig zu initialisieren. |
|
|
d. Überprüfen, ob die Installation und die Sperrliste erfolgreich angewendet wurden Informationen zur Überprüfung der erfolgreichen Anwendung finden Sie im Abschnitt Windows-Ereignisprotokollfehler im Zusammenhang mit CVE-2023-24932. |
Aktualisieren startbarer Medien
Das Aktualisieren startbarer Medien ist wichtig, um sicherzustellen, dass der neue Start-Manager und andere unterstützende Dateien installiert sind, um das Starten des Geräts zu ermöglichen, nachdem die Risikominderungen angewendet wurden. Idealerweise sollten die startbaren Medien aktualisiert werden, bevor die Sperrungen auf Ihrem Gerät angewendet werden.
Wichtig Aktivieren Sie NICHT die aktualisierte SKUSIPolicy.p7b-Datei (die die Sperrungen enthält) auf Ihren startbaren Medien (ISO, USB, DVD usw.). Die Datei „SKUSIPolicy.p7b“ aus Updates, die am oder nach dem 9. Mai 2023 veröffentlicht wurden, sollte nur auf Ihren Windows-Geräten aktiviert werden.
Beispiele für startbare Medien und Wiederherstellungsmedien, die von diesem Problem betroffen sind
-
Startbare Medien, die mithilfe von Wiederherstellungslaufwerk erstellen erstellt wurden.
HINWEIS: Die Funktion „Wiederherstellungslaufwerk erstellen“ wird in den am oder nach dem 9. Mai 2023 veröffentlichten Updates nicht unterstützt und kann nicht zur Wiederherstellung von Geräten mit aktivierter Sperrung verwendet werden. Wir arbeiten an einer Lösung und werden in einer zukünftigen Veröffentlichung ein Update bereitstellen.
-
Sicherungen von Windows, die vor der Installation von Updates erstellt wurden, die am oder nach dem 9. Mai 2023 veröffentlicht wurden. Diese können nicht direkt zur Wiederherstellung Ihrer Windows-Installation verwendet werden, nachdem die Sperrungen auf Ihrem Gerät aktiviert wurden.
-
Benutzerdefinierte CD/DVD oder Wiederherstellungspartition, die von Ihnen, Ihrem Originalgerätehersteller (OEM) oder Unternehmen erstellt wurde
-
ISO (durch Download oder mithilfe des ADK)
-
Netzwerkstart
-
Windows-Bereitstellungsdienste
-
Preboot Execution Environment-Bootdienste (PXE-Bootdienste)
-
Microsoft Deployment Toolkit
-
HTTPS-Start
-
-
OEM-Installations- und Wiederherstellungsmedien
-
Offizielle Windows-Medien von Microsoft, einschließlich:
-
Einzelhandelsmedien
-
Medienerstellungstool (ISO- oder USB-Laufwerk)
-
USB-Laufwerk
-
-
Windows PE
-
Windows auf physischer Hardware oder virtuellen Computern installiert
HINWEIS: Herunterladbare Windows-Medien (ISO-Dateien) von Microsoft, die mit den neuesten kumulativen Updates aktualisiert wurden, stehen zur Verfügung über vertraute Kanäle wie Microsoft Softwaredownload, Visual Studio-Abonnements und das Volume Licensing Service Center. Wenn diese Medien mit Ihrem Gerät und Ihrer Konfiguration funktionieren, müssen Sie die unten angegebenen manuellen Schritte nicht ausführen, um aktualisierte startbare Medien zu erstellen.
Wenn Sie startbare Medien mit einem persönlichen Windows-Gerät verwenden, müssen Sie möglicherweise eine oder mehrere der folgenden Aktionen ausführen, bevor Sie Sperrungen anwenden:
-
Wenn das vorhandene startbare Medium nicht gestartet werden kann, finden Sie Informationen zu allen unterstützten Versionen von Windows 10 und Windows 11 im Abschnitt „Erstellen des Installationsmediums“ unter Windows neu installieren.
-
Wenn Sie persönliche Sicherungssoftware verwenden, um die Inhalte Ihres Geräts zu speichern, stellen Sie sicher, dass Sie nach der Installation der Windows-Updates, die am oder nach dem 11. Juli 2023 veröffentlicht wurden, eine vollständige Sicherung ausführen.
-
Wenn Sie ein startbares Datenträgerimage (ISO)-, ein CD-ROM- oder ein DVD-Medium verwenden, aktualisieren Sie das jeweilige Medium anhand der hier beschriebenen Anweisungen.
Enterprise
-
Umfassende Anleitungen sowie Skripts für das Aktualisieren von Windows-Installationsmedien mit dynamischem Update finden Sie hier.
-
Wenn Sie für den Support für Netzwerkstart- oder Wiederherstellungsszenarien in Ihrer Umgebung zuständig sind, müssen Sie alle Medien und Images mit Updates aktualisieren, die am oder nach dem 11. Juli 2023 veröffentlicht wurden. Dies kann die folgenden Start- oder Wiederherstellungsoptionen umfassen:
-
Microsoft Deployment Toolkit
-
Microsoft Endpoint Configuration Manager
-
Windows-Bereitstellungsdienste
-
PXE-Start
-
HTTPS-Start und andere Netzwerkstartszenarien
-
-
Eine Möglichkeit hierfür ist die Verwendung der DISM-Offlinepaketinstallation auf den Images, die von diesen Szenarien bereitgestellt werden. Dies schließt das Aktualisieren der Startdateien ein, die von diesen Diensten angeboten werden.
-
Wenn Sie Sicherungssoftware verwenden, um die Inhalte Ihrer Windows-Installation in einem Wiederherstellungsimage zu speichern, stellen Sie sicher, dass Sie nach der Installation der Windows-Updates, die am oder nach dem 9. Mai 2023 veröffentlicht wurden (einschließlich der Updates, die am oder nach dem 11. Juli 2023 veröffentlicht wurden), eine vollständige Sicherung ausführen. Stellen Sie sicher, dass Sie die EFI-Datenträgerpartition zusätzlich zur Windows-Betriebssystempartition sichern. Identifizieren Sie eindeutig Sicherungen, die vor den Updates vom 9. Mai 2023 vorgenommen wurden, im Vergleich zu Sicherungen, die nach den Updates vom 9. Mai 2023 vorgenommen wurden.
-
Medien mit Windows Preinstallation Environment (Windows PE) und Windows-Wiederherstellungsumgebung (WinRE) basierend auf Windows Server 2012, Windows 8.1 oder Windows Server 2012 R2 benötigen nur die Start-Manager-Dateien bootmgfw.efi und bootx64.efi oder bootia32.efi (je nach Gerätearchitektur). Verwenden Sie diese Methode zum Aktualisieren von Medien für keine andere Version von Windows.
Windows-PC-OEMs
-
Umfassende Anleitungen sowie Skripts für das Aktualisieren von Windows-Installationsmedien mit dynamischem Update finden Sie hier.
Cloud Services
-
Microsoft installiert diese Schutzmaßnahmen bei Bedarf in von Microsoft verwalteten Clouddiensten.
-
Unternehmen, die kundenseitig verwaltete Cloudlösungen verwenden, sollten diese Updates nach gründlichen Tests basierend auf dem Risikoprofil installieren.
-
Virtuelle Hyper-V-Computer der 1. Generation und Geräte, die nicht für den sicheren Start geeignet sind, sind von dem Sicherheitsproblem in CVE-2023-24932 nicht betroffen, und die Sperrungen gelten für diese Geräte nicht. Sie sollten weiterhin Updates installieren, die am oder nach dem 11. Juli 2023 unter allen unterstützten Windows-Versionen veröffentlicht wurden.
-
Azure SaaS und PaaS Gemäß dem Modell der gemeinsamen Verantwortung installiert Microsoft derzeit die Updates, die CVE-2023-24932 betreffen, die in den Updates vom 11. Juli 2023 für SaaS- und PaaS-Diensten von Azure veröffentlicht wurden. Microsoft stellt diese Updates mithilfe von Methoden für die sichere Bereitstellung bereit.
-
Azure laaS Bei IaaS-basierten Diensten können Kunden, die dieses Sicherheitsrisiko beheben müssen, die am oder nach dem 11. Juli 2023 veröffentlichten Windows-Updates installieren, und die Sperreinstellung konfigurieren. Beachten Sie, dass dieser Fix und die zugehörige Konfiguration Schutz für Kunden bieten, die sicheren Start aktiviert haben. Wenn Kunden sich vor Angriffen im Bootkit-Stil schützen müssen, können sie den sicheren Start aktivieren. Weitere Informationen finden Sie unter Bereitstellen eines virtuellen Computers mit aktiviertem vertrauenswürdigem Start.
Zeitplan für die Updates
Updates werden wie folgt veröffentlicht:
-
Erstbereitstellung Diese Phase begann mit Updates, die am 9. Mai 2023 veröffentlicht wurden, und bot grundlegende Risikominderungen mit manuellen Schritten, um diese Risikominderungen zu ermöglichen.
-
Zweite Bereitstellungsphase Diese Phase begann mit Updates, die am 11. Juli 2023 veröffentlicht wurden und vereinfachte Schritte zum Aktivieren der Risikominderungen für das Problem hinzugefügt haben.
-
Dritte Bereitstellung In dieser Phase werden zusätzliche Risikominderungen für den Start-Manager hinzugefügt. Diese Phase beginnt frühestens am 9. April 2024.
-
Erzwingung Die letzte Erzwingungsphase, durch die die Risikominderungen dauerhaft werden. Diese Phase beginnt frühestens am 8. Oktober 2024.
Hinweis Der Releasezeitplan kann bei Bedarf überarbeitet werden.
Um CVE-2023-24932 zu korrigieren, enthalten die Windows-Updates für den 9. Mai 2023 in diesem Release Folgendes:
-
Updates für Windows, die am oder nach dem 9. Mai 2023 veröffentlicht wurden, beheben die in CVE-2023-24932 beschriebenen Sicherheitsrisiken.
-
Änderungen an Windows-Startkomponenten.
-
Zwei Sperrdateien, die manuell angewendet werden können (eine Codeintegritätsrichtlinie und eine aktualisierte Verbotsliste (DBX) für den sicheren Start).
Mit den Updates für Windows, die am oder nach dem 11. Mai 2023 veröffentlicht wurden, wird Folgendes hinzugefügt:
-
Ermöglichen Sie eine einfachere, automatisierte Bereitstellung der Sperrdateien (Codeintegritäts-Startrichtlinie und eine Verbotsliste (DBX) für den sicheren Start).
-
Neue Ereignisprotokollereignisse sind verfügbar, die melden, ob die Sperrbereitstellung erfolgreich war oder nicht.
-
Dynamisches SafeOS-Updatepaket für Windows RE (WinRE).
Wenn Updates für die dritte Bereitstellungsphase veröffentlicht werden, fügen sie Folgendes hinzu:
-
Neue Risikominderungen, um zusätzliche anfällige Start-Manager zu blockieren. Diese neuen Risikominderungen erfordern, dass Medien aktualisiert werden.
Wenn Updates für die Erzwingungsphase veröffentlicht werden, fügen sie Folgendes hinzu:
-
Die Sperrungen (Codeintegritäts-Startrichtlinie und Verbotsliste für den sicheren Start) werden programmgesteuert erzwungen, nachdem Updates für Windows auf allen betroffenen Systemen installiert wurden, ohne dass die Option deaktiviert werden kann.
Windows-Ereignisprotokollfehler im Zusammenhang mit CVE-2023-24932
Nachdem die Sperrungen in Abschnitt 3 angewendet wurden, sollten die folgenden beiden Ereignisse in den Ereignisprotokollen beobachtet werden:
Ereignis-ID 1035
Die Ereignis-ID 1035 wird protokolliert, wenn das DBX-Update erfolgreich auf die Firmware angewendet wurde.
|
Ereignisprotokoll |
System |
|
Ereignisquelle |
TPM-WMI |
|
Ereigniskennung |
1035 |
|
Pegel: |
Information |
|
Fehlermeldungstext |
Das Update für den sicheren Start (DBX) wurde erfolgreich angewendet |
Ereignis-ID 276
Die Ereignis-ID 276 wird protokolliert, wenn der Start-Manager die SKUSIPolicy.p7b erfolgreich lädt.
|
Ereignisprotokoll |
Microsoft-Windows-Kernel-Boot/Operational |
|
Ereignisquelle |
Kernel-Boot |
|
Ereigniskennung |
276 |
|
Pegel: |
Information |
|
Fehlermeldungstext |
Die Version der Windows-Start-Manager-Sperrrichtlinie 0x2000000000002 wird angewendet. |
Häufig gestellte Fragen (FAQ)
-
Ihre startbaren Medien müssen aktualisiert werden, nachdem Sperrungen angewendet wurden. Weitere Informationen finden Sie im Abschnitt Aktualisieren bootfähiger Medien .
-
Befolgen Sie die Anleitung im Abschnitt Beheben von Startproblemen.
-
Wenn die SKUSIPolicy.p7b-Datei aus der EFI-Partition entfernt oder die EFI-Partition gelöscht oder neu formatiert wird, sucht WinRE nach der SKUSIPolicy.p7-Datei und findet sie nicht. Dies führt dazu, dass sich WinRE nicht starten lässt. Befolgen Sie die Anleitung im Abschnitt Beheben von Startproblemen.
-
Aktualisieren Sie alle Windows-Betriebssysteme mit Updates, die am oder nach dem 9. Mai 2023 veröffentlicht wurden, bevor Sie die Sperrungen anwenden. Nach dem Anwenden von Sperrungen können Sie Windows-Versionen, die nicht auf Updates aktualisiert wurde, die am oder nach dem 9. Mai 2023 veröffentlicht wurden, möglicherweise nicht mehr starten. Befolgen Sie die Anleitung im Abschnitt Beheben von Startproblemen weiter unten.
-
Sie müssen die startbaren Medien aktualisieren.
-
Nach dem Aktualisieren aller installierten Versionen von Windows und dem Aktualisieren Ihrer bootfähigen Medien können die Sperrungen, wie im Schritt Sperrungen ANWENDEN beschrieben, angewendet werden.
-
Weitere Informationen finden Sie im Abschnitt Beheben von Startproblemen.
Beheben von Startproblemen
Die folgenden Fehler werden möglicherweise angezeigt, wenn die Sperrungen angewendet wurden und der Start-Manager nicht aus den am oder nach dem 9. Mai 2023 veröffentlichten Windows-Updates stammt.
|
Fehlerbild |
Fehlertext |
|
Bei Windows 11 und den meisten Versionen von Windows 10 wird dieser Fehler möglicherweise angezeigt, wenn der Start-Manager nicht auf dem neuesten Stand ist.
|
Windows-Start-Manager Bei einer vor Kurzem durchgeführten Änderung an Hardware oder Software wurde möglicherweise eine Datei installiert, die falsch signiert oder beschädigt ist. Möglicherweise handelt es sich auch um schädliche Software einer unbekannten Quelle. Wenn Sie über einen Windows-Installationsdatenträger verfügen, legen Sie den Datenträger ein, und starten Sie den Computer neu. Klicken Sie auf „Computer reparieren“, und wählen Sie dann ein Wiederherstellungstool aus. Drücken Sie andernfalls zum Starten von Windows die EINGABETASTE, um das Startmenü anzuzeigen, drücken Sie FS für „Erweiterte Startoptionen“, und wählen Sie „Letzte bekannte funktionierende Konfiguration“ aus. Wenn Sie verstehen, warum die digitale Signatur nicht überprüft werden kann und Sie Windows ohne diese Datei starten möchten, deaktivieren Sie vorübergehend die Erzwingung der Treibersignatur.
|
|
Bei Windows 10 Enterprise LTSB wird dieser Fehler möglicherweise angezeigt, wenn der Start-Manager nicht auf dem neuesten Stand ist.
|
Windows-Start-Manager Fehler beim Starten von Windows. Dies kann auf eine Hardware- oder Softwareänderung zurückzuführen sein“. Um das Problem zu beheben, gehen Sie wie folgt vor:
Wenn Sie nicht über diesen Datenträger verfügen, wenden Sie sich an den Systemadministrator oder Computerhersteller, um Unterstützung zu erhalten. Status: OxcOe90002 |
|
|
Microsoft Hyper-V UEFI Zusammenfassung des Starts des virtuellen Computers
Es wurde kein Betriebssystem geladen. Ihr virtueller Computer ist möglicherweise falsch konfiguriert. Beenden Sie und konfigurieren Sie Ihre VM neu oder klicken Sie auf Neustart, um die aktuelle Start-Sequenz noch einmal zu versuchen. |
Führen Sie die folgenden Schritte aus, um diese Fehler zu korrigieren:
-
Sie müssen den sicheren Start vorübergehend deaktivieren. Führen Sie die Schritte unter Deaktivieren des sicheren Starts aus. Wenn Sie ein Surface-Gerät verwenden, müssen Sie die Schritte im Menü Surface UEFI öffnen ausführen.
-
Starten Sie das Gerät in Windows. Wenn Ihr System so konfiguriert ist, dass mehrere Versionen von Windows gestartet werden, starten Sie die neueste Version von Windows.
-
Installieren Sie Updates, die am 9. Mai 2023 oder später veröffentlicht wurden, sofern sie noch nicht installiert wurden.
-
Öffnen Sie ein Eingabeaufforderungsfenster, das als Administrator ausgeführt wird, geben Sie jeden Befehl separat ein, und drücken Sie dann die EINGABETASTE:
mountvol q: /S
xcopy %systemroot%\Boot\EFI\bootmgfw.efi q:\EFI\Microsoft\Boot
xcopy %systemroot%\Boot\EFI\bootmgfw.efi q:\EFI\Boot\boot<arch>.efi
xcopy %systemroot%\system32\SecureBootUpdates\SKUSiPolicy.p7b q:\EFI\Microsoft\Boot
mountvol q: /D
Dabei steht <arch> für x64, ia32 oder aa64 , abhängig von der Architektur Ihres Geräts. Sie können dies feststellen, indem Sie den folgenden Befehl eingeben und dann die Eingabetaste drücken:
dir q:\EFI\Microsoft\Boot*.efi -
Starten Sie das Gerät neu, und befolgen Sie die Anweisungen unter Aktivieren des sicheren Starts.
|
Fehlerbild |
Fehlertext |
|
Möglicherweise erhalten Sie beim Starten von Windows 10 oder Windows 11 den folgenden Fehler, wenn die Datei „SKUSIPolicy.p7b“ nach dem Anwenden der Sperrungen gelöscht wurde.
|
wiederherstellung Ihr PC/Gerät muss repariert werden. Unerwarteter Fehler Fehlercode: 0xc0e90002 Sie müssen Wiederherstellungstools verwenden. Wenn Sie keine Installationsmedien haben (z. B. einen Datenträger oder ein USB-Gerät), wenden Sie sich an Ihren PC-Administrator oder PC-/Gerätehersteller. |
|
|
Microsoft Hyper-V UEFI
No operating system was loaded. Your virtual machine may be configured incorrectly.
|
Führen Sie die folgenden Schritte aus, um diese Fehler zu korrigieren:
-
Sie müssen den sicheren Start vorübergehend deaktivieren. Führen Sie dazu die Schritte unter Deaktivieren des sicheren Starts aus. Wenn Sie ein Surface-Gerät verwenden, müssen Sie die Schritte im Menü Surface UEFI öffnen ausführen.
-
Starten Sie das Gerät in Windows. Wenn Ihr System so konfiguriert ist, dass mehrere Versionen von Windows gestartet werden, starten Sie die neueste Version von Windows.
-
Installieren Sie die am oder nach dem 9. Mai 2023 veröffentlichten Updates, sofern diese noch nicht installiert wurden.
-
Öffnen Sie ein Eingabeaufforderungsfenster als Administrator, geben Sie jeden der folgenden Befehle einzeln ein und drücken Sie die Eingabetaste:
mountvol q: /S
xcopy %systemroot%\Boot\EFI\bootmgfw.efi q:\EFI\Microsoft\Boot
xcopy %systemroot%\Boot\EFI\bootmgfw.efi q:\EFI\Boot\boot<arch>.efi
xcopy %systemroot%\system32\SecureBootUpdates\SKUSiPolicy.p7b q:\EFI\Microsoft\Boot
mountvol q: /D
Dabei steht <arch> für x64, ia32 oder aa64, abhängig von der Architektur Ihres Geräts. Sie können dies feststellen, indem Sie den folgenden Befehl eingeben und dann die Eingabetaste drücken:
dir q:\EFI\Microsoft\Boot*.efi -
Starten Sie das Gerät neu, und befolgen Sie die Anweisungen unter Aktivieren des sicheren Starts.
|
Fehlerbild |
Fehlertext |
|
Windows-Bereitstellungsdienste/PxE-Netzwerkstartfehler
|
Windows-Bereitstellungsdienste (Server-IP: nnn.nnn.nnn.nnn) In den Windows-Bereitstellungsdiensten wurde ein Fehler festgestellt: Fehlercode: 0xc0000272 |
Führen Sie den folgenden Schritt aus, um diesen Fehler zu beheben:
-
Wenden Sie die Updates vom 9. Mai 2023 oder später mithilfe der DISM-Offlinepaketinstallation auf das Image „boot.wim“ oder „WinPE“ auf dem Bereitstellungsserver an.
References
-
Anleitung zur Untersuchung von Angriffen mit CVE-2022-21894: Die BlackLotus-Kampagne
-
Aktivieren des sicheren Starts auf registrierten Windows-Geräten
-
Informationen zu Ereignissen, die beim Anwenden von DBX-Updates generiert werden, finden Sie im folgenden Artikel:
KB5016061: Beheben von anfälligen und gesperrten Start-Managern
|
Änderungsdatum |
Beschreibung der Änderung |
|
16. Dezember 2023 |
|
|
15. Mai 2023 |
|
|
11. Mai 2023 |
|
|
10. Mai 2023 |
|
|
9. Mai 2023 |
|
|
27. Juni 2023 |
|
|
11. Juli 2023 |
|
|
25. August 2023 |
|
