Gilt für
Windows 10 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise, version 1809 Windows Server 2019 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Ursprüngliches Veröffentlichungsdatum: 13. August 2024

KB-ID: 5042562

Der Support für Windows 10 endet im Oktober 2025.

Nach dem 14. Oktober 2025 stellt Microsoft keine kostenlosen Softwareupdates mehr über Windows Update, technische Unterstützung oder Sicherheitsupdates für Windows 10 bereit. Ihr PC funktioniert weiterhin, aber es wird empfohlen, zu Windows 11 zu wechseln.

Weitere Informationen

Wichtiger Hinweis zur SkuSiPolicy.p7b-Richtlinie

Anweisungen zum Anwenden der aktualisierten Richtlinie finden Sie im Abschnitt Bereitstellen einer von Microsoft signierten Sperrrichtlinie (SkuSiPolicy.p7b). 

Inhalt

Zusammenfassung

Microsoft wurde auf ein Sicherheitsrisiko in Windows aufmerksam gemacht, das es einem Angreifer mit Administratorrechten ermöglicht, aktualisierte Windows-Systemdateien mit älteren Versionen zu ersetzen, was einem Angreifer die Tür öffnet, Sicherheitsrisiken für Virtualisierungsbasierte Sicherheit (Virtualization-based Security, VBS) wieder einzuführen.  Ein Rollback dieser Binärdateien könnte es einem Angreifer ermöglichen, VBS-Sicherheitsfeatures zu umgehen und durch VBS geschützte Daten zu exfiltrieren. Dieses Problem wird in CVE-2024-21302 | Sicherheitsrisiko durch Rechteerweiterungen im sicheren Windows-Kernelmodus.

Um dieses Problem zu beheben, widerrufen wir anfällige VBS-Systemdateien, die nicht aktualisiert werden. Aufgrund der großen Anzahl von VBS-bezogenen Dateien, die blockiert werden müssen, verwenden wir einen alternativen Ansatz zum Blockieren von Dateiversionen, die nicht aktualisiert werden.

Umfang der Auswirkungen

Alle Windows-Geräte, die VBS unterstützen, sind von diesem Problem betroffen. Dies schließt lokale physische Geräte und virtuelle Computer (Virtual machines, VMs) ein. VBS wird unter Windows 10 und höheren Windows-Versionen sowie Windows Server 2016 und höheren Windows Server-Versionen unterstützt.

Der VBS-Zustand kann über das Microsoft-Systeminformationstool (Msinfo32.exe) überprüft werden. Dieses Tool sammelt Informationen zu Ihrem Gerät. Scrollen Sie nach dem Starten von Msinfo32.exe nach unten zur Zeile Virtualisierungsbasierte Sicherheit. Wenn der Wert dieser Zeile Wird ausgeführt lautet, ist VBS aktiviert und wird ausgeführt.

Dialogfeld „Systeminformationen“ mit hervorgehobener Zeile „Virtualisierungsbasierte Sicherheit“.

Der VBS-Zustand kann auch mit Windows PowerShell mithilfe der Win32_DeviceGuard WMI-Klasse überprüft werden. Um den VBS-Zustand von PowerShell abzufragen, öffnen Sie eine Windows PowerShell-Sitzung mit erhöhten Rechten, und führen Sie dann den folgenden Befehl aus:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Nach dem Ausführen des obigen PowerShell-Befehls sollte der VBS-Status wie folgt aussehen.

Feldname

Status

VirtualizationBasedSecurityStatus

  • Wenn das Feld gleich 0 ist, ist VBS nicht aktiviert.

  • Wenn das Feld gleich 1 ist, ist VBS aktiviert, wird aber nicht ausgeführt.

  • Wenn das Feld gleich 2 ist, ist VBS aktiviert und wird ausgeführt.

Verfügbare Minderungen

Für alle unterstützten Versionen von Windows 10 Version 1507 und höher sowie Windows Server 2016 und höher Windows Server Versionen können Administratoren eine von Microsoft signierte Sperrrichtlinie (SkuSiPolicy.p7b) bereitstellen. Dadurch wird verhindert, dass anfällige Versionen von VBS-Systemdateien, die nicht aktualisiert werden, vom Betriebssystem geladen werden.  

Wenn die SkuSiPolicy.p7b auf ein Windows-Gerät angewendet wird, wird die Richtlinie auch für das Gerät gesperrt, indem der UEFI-Firmware eine Variable hinzugefügt wird. Während des Startvorgangs wird die Richtlinie geladen, und Windows blockiert das Laden von Binärdateien, die gegen die Richtlinie verstoßen. Wenn die UEFI-Sperre angewendet wird und die Richtlinie entfernt oder durch eine ältere Version ersetzt wird, wird der Windows-Start-Manager nicht gestartet, und das Gerät wird nicht gestartet. Dieser Startfehler zeigt keinen Fehler an, und das System fährt mit der nächsten verfügbaren Startoption fort, was zu einer Startschleife führen kann.

Eine zusätzliche von Microsoft signierte CI-Richtlinie, die standardmäßig aktiviert ist und keine zusätzlichen Bereitstellungsschritte erfordert, wurde hinzugefügt, die nicht an UEFI gebunden ist. Diese signierte CI-Richtlinie wird während des Startvorgangs geladen, und die Erzwingung dieser Richtlinie verhindert das Rollback von VBS-Systemdateien während dieser Startsitzung. Im Gegensatz zu SkuSiPolicy.p7b kann ein Gerät weiterhin gestartet werden, wenn das Update nicht installiert ist. Diese Richtlinie ist in allen unterstützten Versionen von Windows 10, Version 1507 und höher, enthalten. Die SkuSkiPolicy.p7b kann weiterhin von Administratoren angewendet werden, um zusätzlichen Schutz für rollbacks über Startsitzungen hinweg bereitzustellen.   

Die Windows-Protokolle für den gemessenen Start, die zum Nachweis der Startintegrität des PCs verwendet werden, enthalten Informationen zur Richtlinienversion, die während des Startvorgangs geladen wird. Diese Protokolle werden vom TPM während des Starts sicher verwaltet, und die Microsoft-Nachweisdienste analysieren diese Protokolle, um zu überprüfen, ob die richtigen Richtlinienversionen geladen werden. Die Nachweisdienste erzwingen Regeln, die sicherstellen, dass eine bestimmte Richtlinienversion oder höher geladen wird. Andernfalls wird das System nicht als fehlerfrei bestätigt.

Damit die Richtlinienminderung funktioniert, muss die Richtlinie mithilfe des Windows-Wartungsupdates aktualisiert werden, da die Komponenten von Windows und die Richtlinie aus derselben Version stammen müssen. Wenn die Richtlinienminderung auf das Gerät kopiert wird, wird das Gerät möglicherweise nicht gestartet, wenn die falsche Version der Entschärfung angewendet wird, oder die Entschärfung funktioniert möglicherweise nicht wie erwartet. Darüber hinaus sollten die unter KB5025885 beschriebenen Entschärfungen auf Ihr Gerät angewendet werden.

Auf Windows 11, Version 24H2, Windows Server 2022 und Windows Server 23H2 fügt Dynamic Root of Trust for Measurement (DRTM) eine zusätzliche Entschärfung für das Rollback-Sicherheitsrisiko hinzu. Diese Entschärfung ist standardmäßig aktiviert. Auf diesen Systemen sind die VBS-geschützten Verschlüsselungsschlüssel an die STANDARDMÄßIG aktivierte VBS-CI-Richtlinie der Startsitzung gebunden und werden nur aufgehoben, wenn die entsprechende CI-Richtlinienversion erzwungen wird. Um vom Benutzer initiierte Rollbacks zu ermöglichen, wurde eine Karenzzeit hinzugefügt, um ein sicheres Rollback von einer Version des Windows Update-Pakets zu ermöglichen, ohne die Möglichkeit zum Aufheben der Versiegelung des VSM-master-Schlüssels zu verlieren. Das vom Benutzer initiierte Rollback ist jedoch nur möglich, wenn SkuSiPolicy.p7b nicht angewendet wird. Die VBS-CI-Richtlinie erzwingt, dass für alle Startbinärdateien kein Rollback auf widerrufene Versionen durchgeführt wurde. Dies bedeutet, dass das System nicht gestartet wird, wenn ein Angreifer mit Administratorrechten anfällige Startbinärdateien zurückrollt. Wenn für die CI-Richtlinie und die Binärdateien ein Rollback auf eine frühere Version ausgeführt wird, werden die durch VSM geschützten Daten nicht entsiegelt.

Grundlegendes zu Risiken von Minderungen

Sie müssen sich der potenziellen Risiken bewusst sein, bevor Sie die von Microsoft signierte Sperrrichtlinie anwenden. Überprüfen Sie diese Risiken, und nehmen Sie alle erforderlichen Updates auf Wiederherstellungsmedien vor , bevor Sie die Minderung anwenden.

Hinweis Diese Risiken gelten nur für die SkuSiPolicy.p7b-Richtlinie und nicht für standardmäßig aktivierte Schutzmaßnahmen.

  • UEFI-Sperre und Deinstallation von Updates. Nach dem Anwenden der UEFI-Sperre mit der von Microsoft signierten Sperrrichtlinie auf einem Gerät kann das Gerät nicht (durch Deinstallieren von Windows-Updates, mithilfe eines Wiederherstellungspunkts oder auf andere Weisen) wiederhergestellt werden, wenn Sie den sicheren Start weiterhin anwenden. Selbst durch die Neuformatierung des Datenträgers wird die UEFI-Sperre der Minderung nicht entfernt, wenn sie bereits angewendet wurde. Dies bedeutet, dass das Gerät nicht gestartet wird, keine Fehlermeldung angezeigt wird, und die UEFI mit der nächsten verfügbaren Startoption fortfährt, wenn Sie versuchen, das Windows-Betriebssystem auf einen früheren Zustand zurückzuversetzen, in dem die Minderung nicht angewendet wurde. Dies kann zu einer Startschleife führen. Sie müssen den sicheren Start deaktivieren, um die UEFI-Sperre zu entfernen. Beachten Sie alle möglichen Auswirkungen und führen Sie gründliche Tests durch, bevor Sie die in diesem Artikel beschriebenen Sperrungen auf Ihr Gerät anwenden.

  • Externe Startmedien. Nachdem die UEFI-Sperrminderungen auf ein Gerät angewendet wurden, müssen externe Startmedien mit dem neuesten Windows-Update aktualisiert werden, das auf dem Gerät installiert ist. Wenn externe Startmedien nicht auf dieselbe Windows Update-Version aktualisiert werden, wird das Gerät möglicherweise nicht von diesem Medium gestartet. Lesen Sie die Anweisungen im Abschnitt Aktualisieren externer Startmedien, bevor Sie die Minderungen anwenden.

  • Windows-Windows-Wiederherstellungsumgebung. Die Windows-Wiederherstellungsumgebung (WinRE) auf dem Gerät muss mit dem neuesten dynamischen Windows Safe Os Update aktualisiert werden, das am 8. Juli 2025 auf dem Gerät veröffentlicht wurde, bevor SkuSipolicy.p7b auf das Gerät angewendet wird. Wenn Sie diesen Schritt überspringen, kann WinRE möglicherweise das Feature „PC zurücksetzen“ ausführen.  Weitere Informationen finden Sie unter Hinzufügen eines Updatepakets zu Windows RE.

  • Pre-boot Execution Environment (PXE)-Start. Wenn die Entschärfung auf einem Gerät bereitgestellt wird und Sie versuchen, PXE-Start zu verwenden, wird das Gerät erst gestartet, wenn das neueste Windows-Update auch auf das PXE-Serverstartimage angewendet wird. Es wird nicht empfohlen, Risikominderungen für Netzwerkstartquellen bereitzustellen, es sei denn, der PXE-Startserver wurde auf das neueste Windows-Update aktualisiert, das am oder nach Januar 2025 veröffentlicht wurde, einschließlich des PXE-Start-Managers.  

Richtlinien für die Bereitstellung von Risikominderungen

Um die in diesem Artikel beschriebenen Probleme zu beheben, können Sie eine von Microsoft signierte Sperrrichtlinie (SkuSiPolicy.p7b) bereitstellen. Diese Entschärfung wird nur für Windows 10, Version 1507 und höher von Windows und Windows Server 2016 unterstützt.

Hinweis Wenn Sie BitLocker verwenden, stellen Sie sicher, dass eine Kopie Ihres BitLocker-Wiederherstellungsschlüssels gesichert wurde. Sie können den folgenden Befehl in einer Eingabeaufforderung mit Administratorrechten ausführen und sich das 48-stellige numerische Kennwort notieren:

manage-bde -protectors -get %systemdrive%​​​​​​​

Bereitstellen einer von Microsoft signierten Sperrrichtlinie (SkuSiPolicy.p7b)

Die von Microsoft signierte Sperrrichtlinie ist teil des neuesten Windows-Updates. Diese Richtlinie sollte nur auf Geräte angewendet werden, indem sie das neueste verfügbare Windows-Update installieren und dann die folgenden Schritte ausführen:

Hinweis Wenn Updates fehlen, startet das Gerät möglicherweise nicht mit der angewendeten Minderung, oder die Minderung funktioniert nicht wie erwartet. Stellen Sie sicher, dass Sie Ihre startbaren Windows-Medien mit dem neuesten verfügbaren Windows-Update aktualisieren, bevor Sie die Richtlinie bereitstellen. Ausführliche Informationen zum Aktualisieren von startbaren Medien finden Sie im Abschnitt Aktualisieren externer Startmedien .

  1. Stellen Sie sicher, dass das neueste Windows-Update, das am oder nach Januar 2025 veröffentlicht wurde, installiert ist.

    • Installieren Sie für Windows 11 Version 22H2 und 23H2 das Update vom 22. Juli 2025 (KB5062663) oder ein späteres Update, bevor Sie diese Schritte ausführen.

    • Installieren Sie für Windows 10 Version 21H2 das im August 2025 oder ein späteres Update veröffentlichte Windows-Update, bevor Sie diese Schritte ausführen.

  2. Führen Sie in einer Windows PowerShell-Eingabeaufforderung mit erhöhten Rechten die folgenden Befehle aus:

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's:' $EFIDestinationFolder = "$MountPoint\EFI\Microsoft\Boot" mountvol $MountPoint /S if (-Not (Testpfad $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force } Copy-Item -Path $PolicyBinary -Destination $EFIDestinationFolder -Force mountvol $MountPoint /D

  3. Starten Sie das Gerät neu.

  4. Vergewissern Sie sich anhand der Informationen im Abschnitt Windows-Ereignisprotokolle, dass die Richtlinie in die Ereignisanzeige geladen wurde.

Notizen

  • Sie sollten die SkuSiPolicy.p7b-Sperrdatei (Richtlinie) nicht entfernen, nachdem sie bereitgestellt wurde. Ihr Gerät kann möglicherweise nicht mehr gestartet werden, wenn die Datei entfernt wird.

  • Wenn Ihr Gerät nicht gestartet wird, finden Sie weitere Informationen im Abschnitt Wiederherstellungsverfahren.

Aktualisieren externer Startmedien

Um externe Startmedien mit einem Gerät zu verwenden, auf das eine von Microsoft signierte Sperrrichtlinie angewendet wurde, müssen die externen Startmedien mit dem neuesten Windows-Update aktualisiert werden, einschließlich des Start-Managers. Wenn die Medien nicht das neueste Windows-Update enthalten, werden die Medien nicht gestartet.

Wichtig Es wird empfohlen, dass Sie Ein Wiederherstellungslaufwerk erstellen, bevor Sie fortfahren. Dieses Medium kann verwendet werden, um ein Gerät erneut zu installieren, falls ein größeres Problem vorliegt.

Führen Sie die folgenden Schritte aus, um das externe Startmedium zu aktualisieren:

  1. Wechseln Sie zu einem Gerät, auf dem die neuesten Windows-Updates installiert wurden.

  2. Binden Sie das externe Startmedium als Laufwerkbuchstaben ein. Stellen Sie beispielsweise ein USB-Laufwerk als D: bereit.

  3. Klicken Sie auf Start, geben SieWiederherstellungslaufwerk erstellen in das Suchfeld ein, und klicken Sie dann auf Erstellen einer Wiederherstellungslaufwerk-Systemsteuerung. Befolgen Sie die Anweisungen zum Erstellen eines Wiederherstellungslaufwerks mithilfe des bereitgestellten USB-Laufwerks.

  4. Entfernen Sie das bereitgestellte USB-Laufwerk sicher.

Wenn Sie installierbare Medien in Ihrer Umgebung mithilfe des Leitfadens zum Aktualisieren von Windows-Installationsmedien mit dynamischem Update verwalten, führen Sie die folgenden Schritte aus:

  1. Wechseln Sie zu einem Gerät, auf dem die neuesten Windows-Updates installiert wurden.

  2. Führen Sie die Schritte unter Aktualisieren von Windows-Installationsmedien mit dynamischem Update aus, um Medien zu erstellen, auf denen die neuesten Windows-Updates installiert sind.

Windows-Ereignisprotokolle

Windows protokolliert Ereignisse, wenn Codeintegritätsrichtlinien, einschließlich SkuSiPolicy.p7b, geladen werden und wenn das Laden einer Datei aufgrund der Richtlinienerzwingung blockiert wird. Sie können diese Ereignisse verwenden, um zu überprüfen, ob die Minderung angewendet wurde.

Codeintegritätsprotokolle sind in der Windows-Ereignisanzeige unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > CodeIntegrity > Operational > Anwendungs- und Dienstprotokolle > Dienstprotokolle > Microsoft > Windows > AppLocker > MSI und Skript verfügbar.

Weitere Informationen zu Codeintegritätsereignissen finden Sie im Betriebsleitfaden für die Windows Defender-Anwendungssteuerung.

Richtlinienaktivierungsereignisse

Richtlinienaktivierungsereignisse sind in der Windows-Ereignisanzeige unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > CodeIntegrity > Operational verfügbar.

  • PolicyNameBuffer – Microsoft Windows SKU SI-Richtlinie

  • PolicyGUID – {976d12c8-cb9f-4730-be52-54600843238e}

  • PolicyHash – 107E8FDD187C34CF8B8EA46A4EEE99F0DB60F491650DC989DB71B4825DC73169D

Microsoft Windows SKU SI-Richtlinie

Wenn Sie die Überwachungsrichtlinie oder die Minderung auf Ihr Gerät angewendet haben und das CodeIntegrity-Ereignis 3099 für die angewendete Richtlinie nicht vorhanden ist, wird die Richtlinie nicht erzwungen. Lesen Sie die Bereitstellungsanweisungen, um zu überprüfen, ob die Richtlinie ordnungsgemäß installiert wurde.

Hinweis Das Codeintegritätsereignis 3099 wird in Versionen von Windows 10 Enterprise 2016, Windows Server 2016 und Windows 10 Enterprise 2015 LTSB nicht unterstützt. Um zu überprüfen, ob die Richtlinie angewendet wurde (Überwachungs- oder Sperrrichtlinie), müssen Sie die EFI-Systempartition mit dem Befehl mountvol.exe einbinden und überprüfen, ob die Richtlinie auf die EFI-Partition angewendet wurde. Stellen Sie sicher, dass Sie die Bereitstellung der EFI-Systempartition nach der Überprüfung aufheben.

SkuSiPolicy.p7b – Sperrrichtlinie

Die SkuSiPolicy.p7b-Richtlinie wurde angewendet.

Überwachen und Blockieren von Ereignissen

Codeintegritätsüberwachungs- und -blockierungsereignisse sind in der Windows-Ereignisanzeige unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > CodeIntegrity > Operational > Anwendungs- und Dienstprotokolle > Microsoft > Windows > AppLocker > MSI und Skript verfügbar.

Der vorige Protokollierungsspeicherort enthält Ereignisse zur Steuerung von ausführbaren Programmen, DLLs und Treibern. Der letztere Protokollierungsspeicherort enthält Ereignisse zur Steuerung von MSI-Installationsprogrammen, Skripts und COM-Objekten.

CodeIntegrity-Ereignis 3077 im Protokoll „CodeIntegrity – Operational“ gibt an, dass das Laden einer ausführbaren Datei, DLL oder eines Treibers blockiert wurde. Dieses Ereignis enthält Informationen zur blockierten Datei und zur erzwungenen Richtlinie. Für Dateien, die durch die Minderung blockiert werden, entsprechen die Richtlinieninformationen im CodeIntegrity-Ereignis 3077 den Richtlinieninformationen von SkuSiPolicy.p7b aus dem CodeIntegrity-Ereignis 3099. CodeIntegrity-Ereignis 3077 ist nicht vorhanden, wenn auf Ihrem Gerät keine ausführbaren Dateien, DLL oder Treiber vorhanden sind, die gegen die Codeintegritätsrichtlinie verstoßen.

Informationen zu anderen Codeintegritätsüberwachungs- und -blockereignissen finden Sie unter Grundlegendes zu Anwendungssteuerungsereignissen.

Verfahren zum Entfernen und Wiederherstellen von Richtlinien

Wenn nach dem Anwenden der Minderung ein Fehler auftritt, können Sie die folgenden Schritte ausführen, um die Minderung zu entfernen:

  1. Halten Sie BitLocker an, wenn es aktiviert ist. Führen Sie den folgenden Befehl in einem Eingabeaufforderungsfenster mit erhöhten Rechten aus:

    Manager-bde -protectors -disable c: -rebootcount 3

  2. Deaktivieren Sie den sicheren Start über das UEFI-BIOS-Menü. Das Verfahren zum Deaktivieren des sicheren Starts unterscheidet sich zwischen Geräteherstellern und -modellen. Hilfe zum Ermitteln, wo Sie den sicheren Start deaktivieren können, finden Sie in der Dokumentation Ihres Geräteherstellers. Weitere Informationen finden Sie unter Deaktivieren des sicheren Starts.

  3. Entfernen Sie die Richtlinie SkuSiPolicy.p7b.

    1. Starten Sie Windows normal, und melden Sie sich dann an. Die Richtlinie „SkuSiPolicy.p7b“ muss vom folgenden Standort entfernt werden:

      • <EFI-Systempartition>\Microsoft\Boot\SkuSiPolicy.p7b

    2. Führen Sie die folgenden Befehle aus einer Sitzung mit erhöhten Windows PowerShell aus, um die Richtlinie an diesen Speicherorten zu sauber:

      $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's:' $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b" $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot" mountvol $MountPoint /S if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force } if (Test-Path   $EFIPolicyPath ) {Remove-Item -Path $EFIPolicyPath -Force } ​​​​​​​mountvol $MountPoint /D

  4. Aktivieren Sie den sicheren Start über das BIOS. Informationen darüber, wo Sie den sicheren Start aktivieren können, finden Sie in der Dokumentation Ihres Geräteherstellers. Wenn Sie den sicheren Start in Schritt 1 deaktiviert haben und Ihr Laufwerk durch BitLocker geschützt ist, halten Sie den BitLocker-Schutz an und aktivieren Sie dann den sicheren Start im Menü UEFI-BIOS.

  5. Aktivieren Sie BitLocker. Führen Sie den folgenden Befehl in einem Eingabeaufforderungsfenster mit erhöhten Rechten aus:

    Manager-bde -protectors -enable c:

  6. Starten Sie das Gerät neu.

Datum ändern

Beschreibung

Montag, 17. Dezember 2025

  • Die Befehle in Schritt 2 im Abschnitt "Bereitstellen einer von Microsoft signierten Sperrrichtlinie (SkuSiPolicy.p7b)" wurden aktualisiert, da die Befehle nicht ordnungsgemäß funktionierten.Von:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x20 /f

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

    An: $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's:' $EFIDestinationFolder = "$MountPoint\EFI\Microsoft\Boot" mountvol $MountPoint /S if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force } Copy-Item -Path $PolicyBinary -Destination $EFIDestinationFolder -Force mountvol $MountPoint /D

22. Juli 2025

  • Die Anweisungen im Abschnitt "Bereitstellen einer von Microsoft signierten Sperrrichtlinie (SkuSiPolicy.p7b)" wurden aktualisiert.

10. Juli 2025

  • Der Abschnitt "Bereitstellen einer Richtlinie für den Überwachungsmodus" wurde entfernt, da das Feature nach der Installation von Windows-Updates am oder nach dem 8. Juli 2025 eingestellt wurde.

  • Der Abschnitt "CodeIntegrity Event 3099" wurde entfernt, da er nicht mehr gilt.

  • Im Abschnitt "Grundlegendes zur Risikominderung" wurde das Thema "Windows-Wiederherstellungsumgebung" aktualisiert. Von:

    Windows-Windows-Wiederherstellungsumgebung. Die Windows-Wiederherstellungsumgebung (WinRE) auf dem Gerät muss mit den neuesten Windows-Updates aktualisiert werden, die auf dem Gerät installiert sind, bevor SkuSipolicy.p7b auf das Gerät angewendet wird. Wenn Sie diesen Schritt überspringen, kann WinRE möglicherweise das Feature „PC zurücksetzen“ ausführen.  Weitere Informationen finden Sie unter Hinzufügen eines Updatepakets zu Windows RE.

    Bis:

    Windows-Windows-Wiederherstellungsumgebung. Die Windows-Wiederherstellungsumgebung (Windows Recovery Environment, WinRE) auf dem Gerät muss mit der neuesten Windows Safe Os Dynamic aktualisiert werden, die im oder nach Juli 2025 auf dem Gerät veröffentlicht wurde, bevor SkuSipolicy.p7b auf das Gerät angewendet wird. Wenn Sie diesen Schritt überspringen, kann WinRE möglicherweise das Feature „PC zurücksetzen“ ausführen.  Weitere Informationen finden Sie unter Hinzufügen eines Updatepakets zu Windows RE.

    Wenn safe OS DU-Updates nicht verfügbar sind, stellen Sie das neueste Cumumulative-Update bereit.

  • Im Abschnitt "Verfügbare Entschärfungen" wurde der folgende Absatz ersetzt:

    Eine zusätzliche von Microsoft signierte CI-Richtlinie, die standardmäßig aktiviert ist und keine zusätzlichen Bereitstellungsschritte erfordert, wurde hinzugefügt, die nicht an UEFI gebunden ist. Diese signierte CI-Richtlinie wird während des Startvorgangs geladen, und die Erzwingung dieser Richtlinie verhindert das Rollback von VBS-Systemdateien während dieser Startsitzung. Im Gegensatz zu SkuSiPolicy.p7b kann ein Gerät weiterhin gestartet werden, wenn die standardmäßig aktivierte Richtlinie manipuliert oder entfernt wurde. Diese Entschärfung ist auf Geräten mit Windows 10 22H2 und höher verfügbar. Die SkuSkiPolicy.p7b kann weiterhin von Administratoren angewendet werden, um zusätzlichen Schutz für rollbacks über Startsitzungen hinweg bereitzustellen.  

    Mit folgendem Absatz:

    Eine zusätzliche von Microsoft signierte CI-Richtlinie, die standardmäßig aktiviert ist und keine zusätzlichen Bereitstellungsschritte erfordert, wurde hinzugefügt, die nicht an UEFI gebunden ist. Diese signierte CI-Richtlinie wird während des Startvorgangs geladen, und die Erzwingung dieser Richtlinie verhindert das Rollback von VBS-Systemdateien während dieser Startsitzung. Im Gegensatz zu SkuSiPolicy.p7b kann ein Gerät weiterhin gestartet werden, wenn das Update nicht installiert ist. Diese Richtlinie ist in allen unterstützten Versionen von Windows 10, Version 1507 und höher, enthalten. Die SkuSkiPolicy.p7b kann weiterhin von Administratoren angewendet werden, um zusätzlichen Schutz für rollbacks über Startsitzungen hinweg bereitzustellen.

  • Im Abschnitt "Verfügbare Risikominderungen" wurden dem ersten Satz des letzten Absatzes die folgenden Windows-Versionen hinzugefügt: Windows 11, Version 24H2, Windows Server 2022 und Windows Server 23H2

  • Das Image des Eintrags "SiPolicy.p7b – Überwachungsrichtlinie" im Abschnitt "Richtlinienaktivierungsereignisse" wurde entfernt.

8. April 2025

  • Der erste Satz des Abschnitts "Wichtiger Hinweis zur SkuSiPolicy.p7b-Richtlinie" wurde entfernt, da das neueste Update derzeit nicht für alle Windows-Versionen verfügbar ist.

  • Der Abschnitt "Verfügbare Risikominderungen" wurde mit ausführlicheren Informationen aktualisiert.

  • Standardminderungen für die Startsitzung wurden hinzugefügt, um ein Rollback von Binärdateien für Windows 10, Version 22H2 und höher und VBS-Datenschutz für Secure Launch- oder DRTM-basierte Geräte auf Windows 11 Version 24H2 zu verhindern.

Dienstag, 24. Februar 2025

  • Der Hinweis im Abschnitt "Richtlinienaktivierungsereignisse" wurde aktualisiert und ein zweiter Screenshot der Verzeichnisauflistung mit der Datei "SiPolicy.p7b – Überwachungsrichtlinie" hinzugefügt.

11. Februar 2025

  • Das Skript wurde in Schritt 1 im Abschnitt "Bereitstellen einer von Microsoft signierten Sperrrichtlinie (SkuSiPolicy.p7b)" aktualisiert.

  • Am Ende des Abschnitts "Richtlinienaktivierungsereignisse" wurde eine Notiz hinzugefügt und ein Screenshot der Verzeichnisauflistung mit der Datei "SkuSiPolicy.p7b – Widerrufsrichtlinie" hinzugefügt.

  • Das Skript in Schritt 3b im Abschnitt "Prozedur zum Entfernen und Wiederherstellen von Richtlinien" wurde aktualisiert.

14. Januar 2025

  • Der Wichtige Hinweis zur Richtlinie "SkuSiPolicy.p7b" wurde am Anfang dieses Artikels hinzugefügt.*

  • Der folgende Hinweis (der am 12. November 2024 hinzugefügt wurde) wurde aus dem Abschnitt "Verfügbare Risikominderungen" entfernt, da er nicht mehr benötigt wird:"Hinweis Unterstützung für die Richtlinien SKUSIPolicy.p7b und VbsSI_Audit.p7b für Windows 10, Version 1507, Windows 10 Enterprise 2016 und Windows Server 2016 wurden als Teil der neuesten Windows-Updates hinzugefügt, die am und nach dem 8. Oktober 2024 veröffentlicht wurden. Neuere Versionen von Windows und Windows Server diese Richtlinien in den Updates vom 13. August 2024 eingeführt."

  • Dem Hinweis im Abschnitt "Bereitstellen einer von Microsoft signierten Sperrrichtlinie (SkuSiPolicy.p7b)" wurden weitere Informationen hinzugefügt. Der ursprüngliche Text lautete "Hinweis Wenn Updates fehlen, startet das Gerät möglicherweise nicht mit der angewendeten Entschärfung, oder die Entschärfung funktioniert möglicherweise nicht wie erwartet." *

  • Der zweite Absatz des Abschnitts "Aktualisieren externer Startmedien" wurde entfernt. Der ursprüngliche Text wurde entfernt: "Startmedien, die mit der von Microsoft signierten Sperrrichtlinie aktualisiert werden, dürfen nur zum Starten von Geräten verwendet werden, auf denen die Entschärfung bereits angewendet wurde.  Wenn sie mit Geräten ohne die Minderung verwendet werden, wird die UEFI-Sperre während des Startmediums angewendet. Bei nachfolgenden Starts vom Datenträger tritt ein Fehler auf, es sei denn, das Gerät wird mit der Entschärfung aktualisiert oder die UEFI-Sperre entfernt." *

  • Der Schritt "Kopieren Sie die Datei SkuSiPolicy.p7b in <MediaRoot->\EFI\Microsoft\Boot (z. B. D:\EFI\Microsoft\Boot)" in den Schritten zum Aktualisieren der externen Startmedien im Abschnitt "Aktualisieren externer Startmedien" entfernt, da dieser Schritt nicht mehr erforderlich ist.*

  • Die Schritte 3 bis 5 im Verfahren "Aktualisieren von Windows-Installationsmedien mit dynamischem Update " im Abschnitt "Aktualisieren externer Startmedien" wurden entfernt, da die Schritte nicht mehr erforderlich sind.*

    • 3. Platzieren Sie den Inhalt des Mediums auf einem USB-Stick, und binden Sie den Usb-Stick als Laufwerkbuchstaben ein. Stellen Sie beispielsweise das USB-Laufwerk als D: bereit.

    • 4. Kopieren Sie SkuSiPolicy.p7b in <MediaRoot>\EFI\Microsoft\Boot (z. B. D:\EFI\Microsoft\Boot).

    • 5. Entfernen Sie den montierten Stick sicher.

  • Der erste Absatz des Themas "Externe Startmedien" im Abschnitt "Grundlegendes zu Risikominderungsrisiken" wurde aktualisiert. Der ursprüngliche Text lautete "Nachdem die UEFI-Sperrminderungen auf ein Gerät angewendet wurden, müssen externe Startmedien mit den neuesten Windows-Updates aktualisiert werden, die auf dem Gerät installiert sind, und mit der von Microsoft signierten Sperrrichtlinie (SkuSiPolicy.p7b). Wenn externe Startmedien nicht aktualisiert werden, wird das Gerät möglicherweise nicht von diesem Medium gestartet. Lesen Sie die Anweisungen im Abschnitt Aktualisieren externer Startmedien, bevor Sie die Minderungen anwenden.*

  • Der zweite Absatz des Themas "Externe Startmedien" im Abschnitt "Grundlegendes zu Risikominderungsrisiken" wurde entfernt. Der ursprüngliche Text lautete "Startmedien, die mit der von Microsoft signierten Sperrrichtlinie aktualisiert werden, dürfen nur zum Starten von Geräten verwendet werden, auf denen die Entschärfung bereits angewendet wurde.  Wenn sie mit Geräten ohne die Minderung verwendet werden, wird die UEFI-Sperre während des Startmediums angewendet. Bei nachfolgenden Starts vom Datenträger tritt ein Fehler auf, es sei denn, das Gerät wird mit der Entschärfung aktualisiert oder die UEFI-Sperre entfernt." *

  • Das Thema "Pre-boot Execution Environment (PXE) boot" im Abschnitt "Grundlegendes zu Risikominderungsrisiken" wurde aktualisiert. Der ursprüngliche Text lautete "Wenn die Entschärfung auf einem Gerät bereitgestellt wird und Sie versuchen, PXE-Start zu verwenden, wird das Gerät nicht gestartet, es sei denn, die Risikominderungen werden auch auf die Netzwerkstartquellen angewendet (Root, in dem bootmgfw.efi vorhanden ist). Wenn ein Gerät von einer Netzwerkstartquelle aus gestartet wird, für die die Minderung angewendet wurde, gilt die UEFI-Sperre für das Gerät und wirkt sich auf nachfolgende Starts aus. Es wird nicht empfohlen, Minderungen für Netzwerkstartquellen bereitzustellen, es sei denn, auf allen Geräten in Ihrer Umgebung sind die Minderungen bereitgestellt. "*

12. November 2024

  • Im Abschnitt "Verfügbare Entschärfungen" wurde unterstützung für die Richtlinien SkuSiPolicy.p7b und VbsSI_Audit.p7b für Windows 10, Version 1507, Windows 10 Enterprise 2016 und Windows Server 2016 als Teil der Windows-Updates hinzugefügt, die am und nach dem 8. Oktober 2024 veröffentlicht wurden.

  • Die Windows-Releasedaten wurden vom 13. August 2024 auf den 12. November 2024 aktualisiert.
Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter