News Alarm für Secure Boot: Zertifikate laufen im Sommer aus, Microsoft liefert Windows-Tool

[Ampere]

Es ist vor allem mal ein Einfallstor für Überwachung und Gängelung. Und Schwachsinn ist es, anderen vorzuschreiben, was sie zu tun und zu lassen haben. Wer kein SB will, schaltet es ab und gut ist.

Ist eine im Bootsector unbeabsichtigt geladene Malware denn kein Einfallstor für Überwachung und Spionage? Der Bootsector ist nicht verschlüsselt, jeder kann ihn manipulieren. Eine Zeichnung durch Schlüssel verhindert zumindest, dass man ein System bootet, welches korrumpiert ist.

Und wie will man mit Secure Boot denn genau überwachen? Das wäre mir neu.

 

[Waylinkin]

Das geht ganz einfach:
Wenn es irgendwann mal so weit ist, dass man SB nicht mehr abschalten kann (Es gibt schon Mainboards mit UEFIS, wo es diese Möglichkeit nicht mehr gibt), kann MS einfach verhindern, dass andere Betriebssysteme installiert werden, denn MS verwaltet die Schlüsselvergabe.
Außerdem kann MS dadurch auch jeden Nutzer eindeutig identifizieren und sogar verfolgen, was er tut. Es ist nicht mal ausgeschlossen, dass MS dann sogar noch kontrollieren und bestimmen kann, WELCHE Software auf dem Rechner installiert werden darf.
Wenn das mal nicht Überwachung und Gängelung ist, weiß ich auch nicht.

Unbeabsichtigt geladene Malware ist dagegen Mumpitz. Wie konnten wir nur die letzten Jahrzehnte im Netz überleben ohne SB?

 

[KaterTom]

Sind die User von Windows 10 auch davon betroffen?

Ja. Windows 10 hat auch das Update im Abschnitt Windows-Sicherheit bekommen. Bei mir :

Ich habe das aber manuell erledigt, weil meine Windows-Update-Einstellungen das automatische Updaten der Zertifikate wohl verhindert hätten.

 

[dw71]

Wenn alle Zertifikate bereits aktualisiert wurden, steht folgendes unter Gerätesicherheit:

Anhang anzeigen 1522123

Bei mir in Windows 10 sind unter Gerätesicherheit alle 3 Punkte mit einem grünen Haken versehen. Also sollte alles passen!?!

 

[Incredible Alk]

Bei mir in Windows 10 sind unter Gerätesicherheit alle 3 Punkte mit einem grünen Haken versehen. Also sollte alles passen!?!

Der aktuelle Optimalzustand ist wenn bei Sicherer Start der Text wie bei KaterTom auftaucht.
Wenn da ein anderer Text steht ist da trotzdem (noch) alles grün, da die Zertifikate ja erst im Juni ablaufen, je nach Text siehste aber ob du nur auf der Warteliste stehst oder ob Windows ggf. schon weiß dass das so nix wird (ohne BIOS Update).

 

[OmasHighendPC]

heute 'sicherer Start' nicht in den Einstellungen gefunden, hab das auf das alte BIOS (ca. ein Jahr alt) zurückgeführt, aktuellestes BIOS geflasht, 'sicherer Start' immer noch nicht vorhanden , dann sehe ich, dass im BIOS bei 'Secure Boot' 'other OS' eingestellt ist (ist wohl Standard-Einstellung, war hier seit über einem Jahr so eingestellt und damit alles paletti gelaufen), auf 'Windows UEFI' umgestellt und siehe da: jetzt finde ich 'sicherer Start' in den Einstellungen, und 'alle erforderlichen Zertifikatupdates wurden angewendet' ..... man lernt nie aus

 

[dw71]

Der aktuelle Optimalzustand ist wenn bei Sicherer Start der Text wie bei KaterTom auftaucht.

Okay, das hab ich dann nicht - bei mir sieht es so aus:

Aber mir egal, wenn Microsoft mir schreibt, dass ich eine ältere Version des Zertifikats hab, aber mir ein automatisches Update nicht anbietet, verzichte ich gerne darauf.

 

[PeaceTank]

Ja. Windows 10 hat auch das Update im Abschnitt Windows-Sicherheit bekommen. Bei mir :
Anhang anzeigen 1522395
Ich habe das aber manuell erledigt, weil meine Windows-Update-Einstellungen das automatische Updaten der Zertifikate wohl verhindert hätten.

Wie hast du es manuell erledigt ?

bei mir wird das hier angezeigt :

 

[Incredible Alk]

Das ist der Text für "wir schauen noch obs bei dir automatisch erledigt werden kann". Einfach abwarten. Wenn im Juli dann da steht "ging nicht" kann man manuell aktiv werden.

 

[KaterTom]

@PeaceTank Ich habe ein How-To dazu geschrieben. Aber du kannst auch erstmal abwarten, ob Windows das nicht doch noch erledigt. Wie Incredible Alk geschrieben hat.

 

[PeaceTank]

Moin, kleine Info : Ein BIOS Update hat bei mir Abhilfe geschafft.

 

[Hellhammer]

Ist das nun eigentlich zwingend notwendig?

 

[Incredible Alk]

Ist das nun eigentlich zwingend notwendig?

Vorerst: Nein.

Secure Boot ist an sich schon nicht zwingend (außer für manche Spiele/Anticheat), es kann dir aber passieren dass manche neuere Treiber/Updates irgendwann den Dienst verweigern/fehlschlagen wenn du noch jahrelang mit abgelaufenen Zertifikaten unterwegs bist.

Wie gesagt - es wird nicht spontan der Bildschirm schwarz bleiben wenns hier nicht klappt mit dem Update aber langfristig wird man wahrscheinlich Problemchen bekommen. Spätestens wenn der neueste Grafiktreiber mal nicht mehr funktioniert kommen wieder die Threads hier und man fragt sich "woran hatted jelegen"

 

[Hellhammer]

Hmm, ja also geht oder nicht. Muss ich dann zig Pcs mit Bios updaten wenns Windowsupdate nicht macht?

Spätestens wenn der neueste Grafiktreiber mal nicht mehr funktioniert

Wenn man selbsttändig nix mehr installen kann is sowieso vorbei

 

[Incredible Alk]

Muss ich dann zig Pcs mit Bios updaten wenns Windowsupdate nicht macht?

Diejenigen PCs wo auch das encapsulated "Zwangsupdate" (die letzte Option die Microsoft hat das remote zu machen was wohl im Juni versucht wird) nicht funktioniert: Ja.

Wenn man selbsttändig nix mehr installen kann is sowieso vorbei

Das ist auch nur der Extremfall. Die allermeisten Treiber, Programme, Updates usw. sind ja nicht auf SecureBoot Zertifikate angewiesen, das allermeiste wird einfach funktionieren wie immer. Nur WENN mal was ein Zertifikat braucht und nur ein abgelaufenes findet wird die Installation eben abgebrochen.

Das erste was vermutlich nicht mehr funktionieren wird sind sicherheitsrelevante Windowsupdates die über SecureBoot laufen. Da wirds dann "Update fehlgeschlagen" Meldungen geben. Microsoft-typisch vermutlich ohne verständliche Angabe von Gründen.