(Original 22.08.2024): Mit den Sicherheitsupdates von August und auch in den Insidern hatte Microsoft die schon vorab lange angekündigte Änderung angewendet, die eine Secure Boot Advanced Targeting (SBAT)-Einstellung anwendet, um alte, anfällige Bootmanager zu blockieren. Dafür wurde ein Registry-Eintrag entfernt.
Wie Microsoft schreibt, wird dieses SBAT-Update (Secure Boot Advanced Targeting) nicht auf Geräten angewendet, die ein Dual-Boot mit Linux verwenden. Doch es kam dazu, dass es bei einigen trotzdem installiert wurde. Dadurch kommt es zur Fehlermeldung: „Die Überprüfung der Shim-SBAT-Daten ist fehlgeschlagen: Die Sicherheitsrichtlinie wurde verletzt. Etwas ist schiefgelaufen: SBAT-Selbstprüfung fehlgeschlagen: Die Sicherheitsrichtlinie wurde verletzt.“
Workaorund:
Microsoft selber bietet dafür einen Workaround an. Über die Eingabeaufforderung kann dieser Registry-Schlüssel hinzugefügt werden. Dadurch wird das Update nicht installiert. Dieser kann dann später wieder selbst entfernt werden, wenn das Problem mit den Linux-Versionen behoben wurde. Denn nicht alle sind davon betroffen.
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1 /t REG_DWORD
Betroffen davon sind Windows 11, Windows 10, Windows Server 2022 bis runter zur Server 2012. Microsoft untersucht das Problem mit den betreffenden Linux-Partnern.
Falls das Update bereits installiert wurde, bietet Microsoft eine Möglichkeit an, nachdem man Secure Boot im UEFI deaktiviert hat, unter Linux dann eine Änderung vornehmen kann.
Update 26.09.2024: Laut Aktualisierung von Microsoft tritt dieses Problem mit dem September Update und folgend nicht mehr auf. Diese Updates enthalten diese Einstellungen nicht mehr, die das Problem ausgelöst haben. Der Workaround ist also nicht mehr notwendig.
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 23H2 22631, oder 24H2 26100. Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 auch ohne TPM und Secure Boot installieren.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
Mal ein Sicherheitsupdate ohne Probleme das würde ich mir wünschen
Soll es geben – auch wenn sie in letzter Zeit nicht oft vorkommen. 🤣😅
Dual Boot war schon immer Blödsinn. Einfach 2 Laufwerke mit eigenen Boot-Partitionen haben. ´Die meisten Mainboards haben einen F-Tasten Boot-Override, sodass man das Primäre Laufwerk für den Bootvorgang einfach manuell aus einer Liste auswählen kann. Altmodische coole Leute haben sogar noch Wechselrahmen und Schächte.
Und die hätten dann auch das Problem. Ist ja auch nur Dualboot, nur anders.
Anders gesagt, das zweite Laufwerk mit Linux greift ja auch auf UEFI/TPM zurück, wo die Änderungen vorgenommen wurden.
Genau so sieht es aus. Der Workaround mit den Registry Eintrag funktioniert auch nur, bevor man das Update installiert. Danach ist er wirkungslos. Hier hilft dann nur noch Secure Boot deaktivieren, bis ein Update der verwendeten Linux Distribution erscheint und das Problem berücksichtigt. Eigentlich muss nur Grub2 aktualisiere werden.
Es geht nicht nur um Dual Boot, sondern auch um das Booten von einem USB Stick. Die allermeiste Backup-Restore Software (und sonstige Rescue-SW) basiert auf Linux. Aktuell geht bei mir Clonezilla nicht mehr…
Korrekt, mit Ventoy kommt die ominöse Fehlermeldung (SBAT SHIM usw) auch, wenn Secure Boot eingeschaltet ist. Warum hat M$ das nicht in ein separates Miniupdate gepackt?
Jetzt ist der Schaden angerichtet.
Danke für den Workaround! Dann sollte ja nichts schiefgehen, wenn ich irgendwann in den nächsten Tagen mal das Update versuche…
Ich kann berichten, dass mit diesem Workaround mein Dual Boot Windows 10 – Mint 21 weiterhin funktioniert. Ob es auch ohne den Workaround gegangen wäre, habe ich nicht ausprobiert.
Eben gerade ist es passiert. Hätte ich nicht gedacht.
Ich habe eine SSD nur mit Windows 11. Kein Dual Boot.
August Update mit SBAT Update vor einigen Tagen installiert.
Jetzt wollte ich ein Linux Live System von USB Stick starten (PartedMagic). Startet nicht. Fehlermeldung Secure Boot SBAT failed.
Wenn ich das gewusst hätte, hätte ich den Reg Key gesetzt.
Hi alle zusammen!
Wie verhält es sich mit dieser Problematik, wenn das (bzw. die) btr. Windows-System(e) schon auf dem neuesten Stand installiert ist (bzw. sind), Linux (bei mir als Zorin OS) aber erst dann nachträglich installiert werden soll…?
Ist dann diese o. g. eventuelle Problematik ebenfalls zu erwarten, oder betrifft es nur Systeme, wo Linux schon vor dem btr. Windows-Update installiert war…?
Vielen Dank im voraus.
Gruß,
der Heiko
Die Problematik betrifft nur Linux-Systeme, die damit nicht umgehen können. Egal ob installiert oder kurz davor. Ob dein Zorin dazugehört, kann ich dir nicht sagen.
Habe den MS Link angeklickt.
Microsoft schreibt jetzt auf seiner Seite „Windows 11, version 23H2 known issues and notifications“ folgendes:
IMPORTANT: This known issue only occurs with the installation of the August 2024 security and preview updates. The September 2024 security update (KB5043076) and later updates do not contain the settings that caused this issue. If you install the September 2024 update, you don’t need to apply the workaround below.
Ich habe es so verstanden: Ab September Update tritt das Problem nicht mehr auf.
Frage: Ich habe den OptOut Key gesetzt. Kann ich den jetzt wieder entfernen?
Komisch, wird aber weiterhin als „Mitigated“ gekennzeichnet und nicht als „Resolved“.
Kannst es ausprobieren. Aber ohne Garantie.
Ich habe das so verstanden:
Das Problem mit SBAT wurde noch nicht behoben. Das SBat Update wird nur nicht mehr angewendet seit September Update und später.
Das SBAT Update wurde nur im August Update angewendet und nun nicht mehr bis zur Lösung des Problems.
Danke für deine Hilfe.
Ja, so verstehe ich es auch. Hab den Artikel mal dahingehend aktualisiert.
Genau so verstehe ich das auch.
Microsoft kommt jetzt mit der Salbe wo die Kuh schon verreckt ist.
Wer das August-Update nichtsahnend eingespielt hat, bekam automatisch die Anpassungen im UEFI mit reingedrückt.
Und die sind erstmal drin bis auf weiteres. Ventoy war(ist) auch davon betroffen.
Ich konnte mein Linux-PartedMagic vom USB Stick als Live System nicht mehr starten.
War also nicht nur Dual Boot.
Habe mit Linux Mint und Befehl mokutil Sbat Update aus UEFI gelöscht.
Jetzt startet mein PartedMagic wieder.
Ventoy ist ja gut aber ich habe jetzt alles Boot winpe im /Boot Verzeichnis und aktiviert mit easyBCD top schnell es laden, und natürlich die wichtigsten iso auf stick wo immer erneuert werden das sie immer Booten.