[Original 10.08.22]: Mal noch kurz nachgereicht. Gestern war nicht nur der Windows Patchday. Es wurde auch ein Sicherheitsupdate (KB5012170) für Secure Boot DBX für alle Windows (außer Windows 11 22621) und Server Versionen. Diese Datenbank ist für die Signaturen (DBX) für sicheres Starten zuständig.
“Im Jahr 2012 führte Microsoft die Secure Boot-Funktion in das damals neue, UEFI-basierte PC-System ein. UEFI Secure Boot ist eine Anti-Rootkit-Funktion, die den Bootvorgang vor der Ausführung von nicht vertrauenswürdigem Code schützt. Im Rahmen der Aktivierung dieser Funktion signiert Microsoft den Boot-Code sowohl für Windows als auch für Drittanbieter, einschließlich Linux-Distributionen. Dieser Boot-Code ermöglicht es Linux-Systemen, die Vorteile von Secure Boot zu nutzen.”
Mit diesem Update wurden Sicherheitslücken geschlossen, die unter CVE-2022-34301, CVE-2022-34302 und CVE-2022-34303 aufgeführt wurden. Damit wurde eine Schwachstelle zur Umgehung von Sicherheitsfunktionen geschlossen.
Solltet ihr das Update manuell installieren wollen, dann findet ihr die verschiedenen Downloads der jeweiligen Versionen hier auf dieser Seite.
[Update 13.08.22]: Wie Microsoft berichtet, kann es in einigen Fällen dazu kommen, dass das Update nicht installiert werden kann. Es erscheint die Fehlermeldung 0x800f0922. Als Workaround sollte man nach einem neuen Bios-Update beim Hersteller suchen, installieren und danach das Update erneut probieren.
Microsoft selber untersucht das Problem. Dieser Fehler hat keine Auswirkung auf den Patchday August.
[2.Update]: Auch ein Bitlocker-Problem kann auftreten. Mehr dazu in diesem Beitrag
[3. Update 8.12.22]: Microsoft hat die KB5012170 jetzt auch für Windows 11 22H2 bereitgestellt. Das Update selber ist mit dem Datum 9.11. im Update Katalog. Es gab natürlich auch jetzt wieder Probleme, wie bei uns im Forum beschrieben. Bei mir wurde es gestern still und heimlich installiert.
[4. Update 14.04.2023]: Als Hinweis: Das Problem mit dem Fehler 0x800f0922 wurde mit dem März 2023 Sicherheitsupdate korrigiert. Microsoft hatte am 11.04. die Seite dementsprechend angepasst. Aktuell sind wir ja schon beim April Update. Sollte also für alle schon erledigt sein.
Microsoft weist darauf hin, dass es dieser Fehlermeldung nur um dieses Sicherheitsupdate für Secure Boot DBX (KB5012170) handelt und hat keine Auswirkungen auf die neuesten kumulativen Updates. Der bestehende BitLocker-Fehler ist aber weiterhin offen.
Trotz WIndows 11 in der 64bit Version (ok I know es gibt nur diese Version, wollte ich trotz allem anmerken dass ich nicht die ARM genommen habe). Meldet WIndows diese sei nicht für mein Betriebssystem geeignet…
22621, oder welche Windows 11?
Windows 11 22622.450. Immer Up to date
Das Update “kennt” diese Version noch nicht. Daher die Meldung. Werde ich oben mal mit hinzufügen.
die 22622.450 “kennt” er noch nicht? aber die 22623.1028?
gepostet mit der Deskmodder.de-App für Android
“Installationsfehler – 0x800f0922” unter Windows 11 x64 Pro (22000.856). Oje, bin wohl auch nicht der einzige der davon betroffen ist.
Bei einer VM hat der work around geholfen: Secure Boot temporär deaktivieren (nur UEFI), KB5012170 installieren, reboot i.V.m. Secure Boot wieder aktivieren.
War schon etwas nervös, weil der Updatefehler jetzt schon länger da war. Dieser Tip hat geholfen. Vielen Dank.
Rufus und Co würden sich darüber freuen wenn NTFS nun signiert ist, damit die partitionen größer 2 GB mit UEFI gebootet werden dürfen
gepostet mit der Deskmodder.de-App für Android
Geht doch jetzt auch schon, sofern im UEFI ein NTFS Treiber vorhanden und aktiviert ist. Oder meinst Du etwas anderes?
hi,
> damit die partitionen größer 2 GB mit UEFI gebootet werden dürfen
bezieht sich das auf USB-Stick mit 2 GB ?
Hi DK2000,
Ja das meine ich, woher soll im UEFI der Treiber kommen. Er hat es auf github erklärt, er nehme einen NTFS Treiber, aber Microsoft verweigert die Signierung des Treibers. Ist das wirklich gelöst? Seit es ventoy gibt nutze ich rufus kaum noch.
gepostet mit der Deskmodder.de-App für Android
Ja betrifft nur Sticks die größer sind.
gepostet mit der Deskmodder.de-App für Android
Ist sauber durch gelaufen Windows 11 21H2 (22000.856).
Bei mir hat sich das auch sauber installiert. Ist aber schon interessant, das ein so kleines Update mit nur zwei Paketen Probleme macht. Momentan gibt es wohl drei Workarounds, die helfen könnten:
– UEFI Update seitens der Hersteller (empfiehlt Microsoft)
– Secure Boot vor der Installation deaktivieren und im Anschluss wieder aktivieren
– Bei WIndows 11 Secure Boot Keys und TPM auf Werkseinstellungen zurücksetzen.
Letzteres ist aber mit Vorsicht anzuwenden, wenn man BitLocker verwendet und keinen Wiederherstellungsschlüssel zur Hand hat. Und nicht alle UEFIs haben überhaupt diese Optionen. Mal abwarten, wie Microsoft das Problem lösen wird.
Das habe ich vor 3 Tagen gemacht, ist sauber durchgelaufen. Ist das hier was anderes nochmal?
Nein. Nur ein Hinweis.
KB5012170: Sicherheitsupdate für DBX für sicheren Start: 9. August 2022
Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 8.1 Windows 10 Windows 11 Azure Stack HCI Data Box
Dieses Sicherheitsupdate gilt nur für die folgenden Windows-Versionen:
Windows Server 2012
Windows 8.1 und Windows Server 2012 R2
Windows 10, Version 1507
Windows 10, Version 1607 und Windows Server 2016
Windows 10, Version 1809 und Windows Server 2019
Windows 10, Version 20H2
Windows 10, Version 21H1
Windows 10, Version 21H2
Windows Server 2022
Windows 11, Version 21H2 (Originalversion)
Azure Stack HCI, Version 1809
Azure Stack Data Box, Version 1809 (ASDB)
Ah deswegen kam bei 22H2 unter Windows 10 nichts?
Ich danke dir 👍
Hier wurde es installiert: Windows 10 22H2 (19045). Allerdings schon am 19.08.2022. Wobei ich glaube, da gab es noch nicht die 22H2. Wann kam die denn? Ein zweites Mal, so wie bei meinem Windows 11 22H2, bislang nicht. Und das auch nur bei dem Windows 10, welches im UEFI mode installiert wurde. Im Windows 10 mit BIOS Mode kam es nicht.
Windows 10 22H2 kam wohl erst am 20.09.2022. Dann wurde das Update am 19.08.2022 noch unter Windows 10 21H2 installiert.
Habe die 19045.2311 und nichts blockiert. Dann gehe ich von aus, dass es installiert ist. Hier werkelt UEFI
Schau einfach im Updateverlauf nach.
Win10 22H2 MBR wird trotzdem installiert! schon im März..
https://abload.de/img/unbenanntj4erq.jpg
Windows 10 Pro 22H2 (19045.1889):
Problemlose Installation auf Lenovo IdeaPad S145-15IWL (81MV)
Auch bei mir trat der Fehler: kb5012170+0x800f0922 auf und zeigt mir, dass Microsoft ‘respekt’ vor ‘meinem’ Bootsector hat…
Dualboot und die entsprechende/n GRUB2-Partition/~Einträge verwalte ich über Linux. Meine Frage ist nur – an Microsoft – wie kann ich dieses (einzelne erfolglose?) KB5012170-Update zurückstellen bzw. abwählen (Win10 19041 – 191206 – 1406 – 64bit)?? Ach, früher war Alles einfacher. Da konnte ich bei jedem ‘Update’ Häkchen setzen oder auch nicht. Nunja… 
PS: Ich hole mir das KB5012170 (262 kB) mal aus: https://www.catalog.update.microsoft.com/ – packe es aus und schau mal nach, was es eigentlich so tut…
Das Update installiert nur maximal drei Dateien. Betrifft UEFI Secure Boot und TPM.
Mich würde mal interessieren, was in der CBS.log zu dem Fehler steht.
Auf meinem alten i7-3770 mit Windows 10 Pro kommt bei der Installation des KB5012170
auch der Fehler 0x800f0922.
BIOS ist aktuell:
A29 vom 18 Juli 2018
okay, dann nicht.
uraltes Z87 Brett (Bios von 2014)
UEFI an (Secure Boot an / CSM aus)
TPM nicht vorhanden
GPT Partition
lässt sich ohne Probleme installieren
Moin ich hatte gestern im Bekanntenkreis einen Fall, wo sich das Update nicht installieren ließ.
Windows 10
Fehlercode 0x800f0922.
Workaround: Secure Boot im UEFI abschalten (shift + restart > Problembehandlung > … > UEFI)
Update installieren
Secure Boot im UEFI anschalten (shift + restart > Problembehandlung > … > UEFI)
Ob es nun tatsächlich den gewünschten Effekt hat kann ich nicht beurteilen.
Es ist nicht das erste Secure Boot Update aber bislang gab es bei meinen Bekannten diese Probleme in den letzten Jahren nicht.
UEFI (BIOS) Update gibt es von Asrock keines mehr, fraglich dann auch ob man das Update dann deinstallieren und erneut nach dem UEFI Update installieren müsste,, bestenfalls bei aktivem Secure Boot. Vielleicht weiß abbodi mehr?
gepostet mit der Deskmodder.de-App für Android
Bei meinem Uralt Board mit einem i5 4440, Uefi Bios von 2015 (gibt kein neueres) ohne TPM aber aktiviertem Secure Boot ging dass Update über Windows 11 ohne Probleme durch.
gepostet mit der Deskmodder.de-App für Android
Bei mir wurde das Update KB5012170 am 06.12.2022 unter Windows 11 (22621.900) installiert.
Jupp, bei mir auch, allerdings am 07.12.2022.
Asus Prime X570 Pro – BiosVer 4403 (gerade erst gesehen dass es ein 4408 gibt)
Windows 11 Pro 22H2 (22623.1028)
Problemlos durchgeführt
Bei mir auf 22623.1028 wurde es über WU erfolgreich installiert. Keinerlei Probleme…
Gerade mal geschaut, kam bei mir am 06.12. mit rein…. überhaupt nicht gemerkt, läuft alles…
Hallo Leute!
Update-Cache geleert, es bei ein- und ausgeschaltetem Secure Boot versucht – alles erfolglos.
Maschine hat bereits viele Jahre auf dem Buckel, und nach neuem BIOS brauche ich gar nicht erst zu suchen. Doch selbst wenn das anders wäre, hätte ich keine Lust, mir als in der Hinsicht unerfahrenem Benutzer eventuell mehr kaputt als gut zu machen.
Auch ich kann besagtes Update also nicht installieren. Ich habe es jetzt über ein Microsoft-Tool manuell deaktiviert. Das kann aber eigentlich nicht Sinn der Sache sein, denn das Ding erfüllt ja einen Zweck. Bleibt denn wirklich keine andere Möglichkeit außer warten, dass Microsoft seine Technik in den Griff bekommt? Zwar ist dieses Update jetzt erst für Windows 11 22H2 erschienen, doch existiert es ja schon länger – seit August. Und trotzdem hagelt es im Internet Beschwerden von Nutzern. Wer sagt mir denn, dass Microsoft die Arbeit an diesem Problem nicht schon lange eingestellt hat und in Kauf nimmt, dass es bei einigen Nutzer nicht funktioniert?
Doch statt einer rhetorischen stelle ich lieber noch mal eine konkrete Frage: Ist der Betrieb OHNE dieses Update KB5012170 wirklich so risikoreich?
Und gleich noch eine hinterher: Stellt ihr eventuell dankenswerter Weise ein ISO bereit, dass dieses Update bereits enthält und als Inplace draufgepackt werden kann?
Bis jetzt hat Deskmodder bei meinen gelegentlichen Problemen eine 100-prozentige Lösungsquote erreicht. Ich möchte keinen Druck aufbauen, hoffe aber, dass die Quote hält!
Vielen Dank euch fleißigen Bienchen!!!
Nach meinen Recherchen schmeißt KB5012170 (DBX-Datenbank/~file) nur unzuverlässige Bootloader raus. Ich verwende nun schon sehr lange GRUB2. Und KB5012170 wird bei mir aus anderen Gründen nicht installiert (zugegeben, eigenwillige GPT-Partitionierung OHNE UEFI). Wenn Du eine große Suchmaschine mit Bootloader fütterst, dann kommen jede Menge Einträge. Auch sehr unseriöse derart: “Lade Dir sofort diesen Bootloader” herunter und Du kannst damit auch eine Kuh melken… (MS Windows 8.1 Industry Pro — übrigens: “support ending July 11, 2023”!!!
Gibt es ganz legal Trial auf: windows 8.1 embedded download… Sorry, ich schwieffe ab…
Im Ernst: Boot-Vorgang bei Microsoft ist und bleibt eine Achilles-Ferse; erst recht, wenn Erst angemeldete/r User/in Admin ist und bleibt und damit auch Vollzugriff auf die Boot-Partition hat. Wenn Du aber A) nur mit Benutzerrechten tagtäglich arbeitest UND B) zum Beispiel NICHT gerade jetzt EasyBCD-crack.rar aus sonstwo herunterlädst, dann kannste auf KB5012170 verzichten
Meine Frage: Ist denn MS Windows 1x durch UEFI und (ausufernden) EFI-Files UND KB5012170 denn jetzt etwas sicherer geworden???
KB5012170 (‘DBX update’) wird immer noch – _erfolglos_ installiert und ständig als Update angeboten, obwohl meine PC-Konfiguration ziemlich eindeutig ist (Frage: warum prüft MS Windows nicht vorab?): Ich habe nämlich keinen “UEFI-Kram”; aber GPT Partitionierung – auf Linux Dualboot und Win10(-Partition) ist _in Linux_ virtualisiert (siehe z.B: https://wiki.ubuntuusers.de/Dualboot-Windows_virtualisieren/). Nach einigen Recherchen habe ich folgenden einfachen Befehl gefunden. In MS Windows powershell als Admin aufrufen und:
Hide-WUUpdate -Title ‘KB5012170’ -HideStatus:$true
eintippen. Hinweis: ExecutionPolicy beachten; Hide-WUUpdate liegt als PS1 file im system32\WindowsPowerShell. Frage: In welcher Reihenfolge/Priorität wird nach Modulen/PSx-files gesucht, da eine neuere Version von “PSWindowsUpdate” in %ProgramFiles%\WindowsPowerShell liegt. Kann/Sollte man die Ordner zusammenführen, um “can’t get Get-WindowsUpdate”-Fehlermeldungen zu umgehen? Ich lege Die jetzt einfach mal zusammen. Davor mache ich unter Linux schnell noch ein Snapshot der Win10-Install…
Geht das auch unter WSL?
Bei Dir ist halt UEFI aktiv, da ansonsten das Booten von GPT nicht wirklich funktionieren würde. Solange aber kein UEFI Update für Dich erscheint, welches das Problem mit dem Update behebt, bleibt es bei dem Fehler.
Und ja, PSWindowsUpdate gehört bei mir schon zur Standardausrüstung. Wie hast Du das installiert?
Install-Module -Name PSWindowsUpdatemit -Scope AllUsers oder CurrentUser? Ich installiere die Module immer mit AllUsers mit der Powershell 5.1. Dann verwendet die Powershell 7 auch die Module. Ansonsten muss man die für beide Versionen separat installieren.Wenn das Modul richtig installiert wurde, dann einfach
Update-Module -Scope AllUsers -Verbose. Dann werden die installierten Module automatisch aktualisiere. Geht aber nur bei installierten Modulen. Die Module, welche vom PowerShell Setup installiert wurden oder zu Windows gehören, werden nicht aktualisiere (z.b. PSReadline). Die muss man vorher sinniger Weise selber manuell installieren.Die Suchreihenfolge ergibt sich aus der Umgebungsvariable:
$Env:PSModulePath -Split ';'.Sorry, dass ich erst jetzt antworte. VBoxmouse.sys (704 – Guest Addition) verbeulte mir mein Windows 10 mit einem BSOD derart, dass ich das letzte Image vom 22.11.22 reaktivieren musste. Nunja, anderes Thema!
Vielleicht wichtig: UEFI und GPT bedingen nicht wirklich einander. Ich habe ein sehr altes Board (2012*). Mit Sicherheit kein UEFI. Aber meine Festplatten habe ich durchweg GPT partitioniert. Beispiel: auf GPT12 befindet sich GRUB2 mit entsprechenden Files. Auf GPT13 sind die ‘Bootfiles’ von Microsoft und auf GPT14 ist MS Windows 10 installiert und läuft. In der GRUB2-cfg (GPT12) steht ‘nur’ “chainload +1” zum Start der MS Windows Oberfläche. Kleines Geheimnis: GPT12, GPT13, GPT14 sind mit entsprechendem Tool unter Linux zu einem Hybrid-MBR zusammengefasst. Bitte jetzt nicht fragen, warum soviele GPT-Partitionen… ChromeOS ist/war daran “schuld” !-) Zeigt aber, dass GPT ohne UEFI geht. Ich habe ChromeOS trotzdem wieder runter geschmissen und ‘normales’ Linux wieder rauf. In ChromeOS gelang es mir nicht, mein installiertes Windows 10 zu starten. Unter Linux ganz normaler Start des installierten Windows 10 von GPT14. Kompliziert? Nunja, ich “bastle” gerne…
Außerdem habe ich unter MS Windows noch zwei Programme, die ich nicht unter Linux zum Laufen bekomme…
Umgebungsvariable %PSModulePath% geprüft und Danke für den Tip! Ich habe da die Reihenfolge geändert und dann kam VBoxmouse.sys — leicht ärgerlich :-). Das 146 GB MS Windows 10 Image wieder zurück zu spielen, kostete knapp 2 Stunden. Die darauf folgenden MS Updates fast einen Tag – inkl. erfolglosem KB5012170. Mhm, ich brauche’n neuen/schnelleren Rechner…
—
* Aber schon mit TPM 1.2, ‘Virtualisierungs-Kram’ und max möglichen RAM. Kein UEFI aber trotzdem GPT… Gerne zeige ich, wie mit grub2-install auf eine beliebige (GPT-) Partition ein Dualboot generiert wird. Auch mit MS Windows 11 und ChromeOS…