Hatuja
Software-Overclocker(in)
Das Problem ist mittlerweile, dass man fürs testen ja oft keine Zeit mehr hat.
Viele Updates und Patches kommen quasi mit dem Hinweis: "Behebt kritische CVE >9.5 mit RCE, die aktiv ausgenutzt wird. Sofort patchen!"
Das ganze Update-Thema ist mittlerweile immer eine Risikoabwägung zwischen, "Wie groß ist der mögliche Schaden durch Hacker vs. wie hoch ist der Schaden durch mögliche Update-Probleme.
Das ganze wird dann noch dadurch verschärft, dass grade in großen Betrieben das IT-Personal in den letzten Jahren viel zurückgefahren wurde. Die Cloud war halt, fürs Fiskaljahr, billiger. Also ist die Admin-Stelle, die nebenbei auch die Patches getestet hat, weggefallen.
Wenn man sich die Hintergründe dazu anschaut, gehe ich davon aus, dass das Problem so zu stande kommt:"KB5094126 erneuert die seit 2011 genutzten Secure-Boot-Zertifikate und scheitert auf Systemen, deren EFI-Partition nur 100 MiB statt der heute üblichen 500 MiB bis 1 GiB misst."
Ist M$ zu blöd eine Abfrage mit in das Update einzubauen und den Anwender darauf hinzuweisen?
Das ist einfach haarsträubend was dieser Saftladen sich leistet.
Der Installer schaut, ob die Partition groß genug ist. Ist sie das nicht, bricht das Setup gleich mit deinem Fehler ab. Das sieht man dann in der Update-Historie und im Eventlog. Angefasst wird der Bootloader oder die EFI-Partition dann nicht.
Das Problem hier ist, dass HP und Dell die Recovery-Partition für eigenes Zeug misbrauchen.
Der Check, ob die Partition groß genug ist, ist also erst einmal erfolgreich.
Würden nur die Microsoft-Daten auf der Partition liegen, würde der Installer diese einfach überschreiben.
Er stößt dann aber auf explizit geschützte Recovery-Daten der Hersteller, die er so nicht überschreiben kann.
Teile des Bootloaders wurden dann aber bereits überschrieben. Beim zurückrollen wird der Bootloader dann neu geschrieben, der dann nicht mehr zum Secureboot passt. Secureboot setzt dann, wegen der "Manipulation" des Bootloaders, aus sicherheitsgründen das TPM zurück wo der BitLocker-Key liegt.
(Bei Business-Geräten sind die automatismen von Secureboot und TPM innerhalb des EFI oft deutlich strikter als auf "Consumer-Hardware"!)
Wenn du dein Windows selbst installiert hast, also kein vom Hersteller vorinstalliertes Windows nutzt, ist die Chance sehr gering. Möglicherweise wird dann aber das Update einfach nicht installiert! Unter Windows Update wirst du dann einen entsprechenden Fehlercode sehen.
Zuletzt bearbeitet:
