Unter der Bezeichnung „KB5025175“ hat Microsoft eine Anleitung inklusive PowerShell Script (KB5025175) bereitgestellt, um eine Bitlocker Sicherheitslücke der WinRE-Partition zu korrigieren, die unter CVE-2022-41099 von Microsoft beschrieben wurde. Diese Sicherheitslücke betrifft alle Windows 10 und Windows 11 Versionen.
Die WinRE-Partition ist die Windows-Wiederherstellungsumgebung, die über die erweiterten Startoptionen bei auftretenden Fehlern aufgerufen werden kann. Dazu gehört die automatische Reparatur oder auch die Systemwiederherstellung.
Das Script PatchWinREScript_2004plus.ps1 selber ist für Windows 10 ab 2004 und Windows 11 geeignet. Das Script PatchWinREScript_General.ps1 für Windows 10 1909 und davor. Wer das Update manuell vornimmt, benötigt das dynamische Update, welches ihr hier finden könnt.
Das jeweilige Script ist auf der Microsoft Seite und muss nur in eine Textdatei und dann umbenannt werden. Wir haben beide mal in eine ZIP-Datei fertig für euch hochgeladen. PatchWinREScript.zip
Erklärung der Vorgehensweise des Scripts:
Wenn das Gerät mit der auf dem Gerät installierten Windows-Version gestartet wird, führt das Skript die folgenden Schritte aus:
- Mounten des vorhandenen WinRE-Abbilds (WINRE.WIM).
- Aktualisierung des WinRE-Abbilds mit dem angegebenen Paket für das dynamische Update für sicheres Betriebssystem (Kompatibilitätsupdate), das im Windows Update-Katalog verfügbar ist. Es wird empfohlen, das neueste dynamische Update für sicheres Betriebssystem zu verwenden, das für die auf dem Gerät installierte Version von Windows verfügbar ist.
- Trennt das WinRE-Image.
- Wenn die BitLocker-TPM-Schutzvorrichtung vorhanden ist, konfiguriert WinRE für den BitLocker-Dienst neu.
- Wichtig Dieser Schritt ist in den meisten Skripten von Drittanbietern für die Anwendung von Updates auf das WinRE-Abbild nicht enthalten.
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 21H2, 22H2 (22621), 22H2 (22624) Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
Ich kann das dynamische Update nicht im Katalog finden.
Ich habe die Zip-Datei runter geladen. Muss einfach nur ps1 in txt umbenannt werden? Ich habe eine alte PowerShell, ich hoffe, das macht nichts.
Die ps1 Datei aus der zip-Datei von deskmodder braucht man nicht in txt umzuwandeln.
Die ps1 sind bereits gebrauchsfertig, müssen nur aus der zip entpackt werden.
Danke, das weiß ich inzwischen auch schon. Hat trotzdem nicht geklappt.
Vllt klappt es ja so
https://it-stack.de/29/09/2017/powershell-skripte-als-administrator-ausfuehren/
ich hatte das vor ein paar wochen bei mir schon so eingerichtet und funktioniert .
Ach am anfang des Scripts bei Package Path einfach ? und enter dann funzt es
> the vulnerability cannot be exploited if the user has enabled BitLocker TPM+PIN protection
Also der einzige Weg Bitlocker korrekt zu verwenden (mit PIN) ist gar nicht angreifbar?
Ein Sturm im Wasserglas.
Ziemlich großes Wasserglas, wohl eher Maßkrug.
Schlaukopf, Bitlocker ist ja auch auf jedem Rechner eingeschaltet, im Besonderen bei den Home Versionen immer und auf jedem Rechner.
Ich behaupte mal bei der Mehrheit aller Windows Installationen ist Bitlocker nicht aktiviert.
https://www.ghacks.net/2021/07/30/you-better-add-pin-protection-to-your-bitlocker-configuration/
Ich spare mir weitere Worte. Es fehlen die Basics.
Ich habe es nicht aktiviert: mir war mal das System abgeraucht und als ich die Daten von der Festplatte kopieren wollte, ließen sich alle nicht lesen. Und ständig dieser Benutzerrechte-Kram. Ich habe kein High-Security Whatever, ich wollte einfach meine Fotosammlung aus dem alten Systemverzeichnis des Desktop kopieren. Total becheuert. Externe Festplatte musste her, aber die Sammlung war „verloren“.
Dein Bitlocker recovery key wird per default im MS Account gespeichert.
gepostet mit der Deskmodder.de-App für Android
Wenn ich das richtig verstehe, braucht jemand, der Bitlocker nicht aktiviert hat, auch diesen Patch nicht, dient er doch dazu, zu verhindern, dass die Bitlocker-Verschlüsselung umgangen werden kann.
Muss man das manuell machen, oder kommt das Update auch automatisiert über WSUS?
„….und muss nur in eine Textdatei und dann umbenannt werden.“ Verstehe ich nicht so ganz.
Wenn du das Script direkt von der Microsoft Seite kopierst, dann öffnest du einen Editor wie z.B. Notepad++ und speicherst es unter dem Namen PatchWinREScript_2004plus.ps1. Oder du vertraust dem Autor und lädst die hier angebotene Zip Datei runter. Da ist die ps1 Datei enthalten.
Update ist erfolgreich durchgelaufen.
Ist das eigentlich auch notwendig, wenn man gar keine WinRE-Partition mehr hat?
Will sagen wenn man das ganze WinRE-Gedöns mit „reagentc /disable“ abgeschaltet hat.
Daran kann es liegen, dass es bei mir nicht geklappt hat. Ich habe keine WinRE-Partition bzw. die Wiederherstellung nicht aktiviert.
Ah ok, gut zu wissen.
Ich werde es erst am Abend ausprobieren können.
Da brauchst du nichts probieren. Wenn keine WinRE vorhanden ist, ist auch keine Lücke da.
Ich habe Aomei Backupper aber die Windows 11 Wiederherstellung ist deaktiviert. Brauche ich die Aktualisierung der WinRE Script PatchWinREScript_2004plus.ps1?
Du brauchst nur in der Datenträgerverwaltung nachschauen, ob du eine Wiederherstellungspartition hast.
Wenn ja, kannst das Script ausführen.
Ja ist vorhanden. Brauche ich das dynamische Update für Script PatchWinREScript_2004plus.ps1?
Die Antwort steht im Text.
Das Script … selber ist für Windows 10 ab 2004 und Windows 11 geeignet.
bitte eine Anleitung für einen älteren Herrn,erst das2023-02 Dynamic Update for Windows 11 Version 22H2 for x64-based Systems (KB5023527) installieren.Dann das PatchWinREScript_2004plus.ps1 für Win11 mit powershell ausführen.Richtig???????
PatchWinREScript_2004plus.ps1 installiert die cab Datei.
In Powershell ausführen: .\PatchWinREScript_2004plus.ps1 -packagePath windows11.0-kb5023527-x64_076cd9782ebb8aed56ad5d99c07201035d92e66a.cab
Anleitung für Win11 22H2 x64:
1. Lade dir das herunter:
https://catalog.s.download.windowsupdate.com/c/msdownload/update/software/crup/2023/02/windows11.0-kb5023527-x64_076cd9782ebb8aed56ad5d99c07201035d92e66a.cab
2. Nimm die PatchWinREScript_2004plus.ps1
3: Erstelle in C:\ einen neuen Ordner namens psscript.
4: Kopiere die Dateien von 1 und 2 in diesen Ordner.
5. Starte Windows Power Shell als Administrator.
6. Gib ein: .“C:\psscript\PatchWinREScript_2004plus.ps1″
7. Drücke die Eingabe Taste (Enter).
8. Das script fragt nach packagePath
9. Gib ein: C:\psscript\windows11.0-kb5023527-x64_076cd9782ebb8aed56ad5d99c07201035d92e66a.cab
10. Drücke die Eingabe Taste (Enter).
Wenn die WinRE.wim gefunden wird, läuft das script durch und gibt eine Erfolgsmeldung aus.
Wenn die WinRe.wim nicht gefunden wird, gibt es einen reagent Fehler.
Bei anderen Systemen Namen anpassen.
PS C:\WINDOWS\system32> C:\psscript\PatchWinREScript_2004plus.ps1
C:\psscript\PatchWinREScript_2004plus.ps1 : Die Datei „C:\psscript\PatchWinREScript_2004plus.ps1“ kann nicht geladen
werden, da die Ausführung von Skripts auf diesem System deaktiviert ist. Weitere Informationen finden Sie unter
„about_Execution_Policies“ (https:/go.microsoft.com/fwlink/?LinkID=135170).
In Zeile:1 Zeichen:1
+ C:\psscript\PatchWinREScript_2004plus.ps1
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : Sicherheitsfehler: (:) [], PSSecurityException
+ FullyQualifiedErrorId : UnauthorizedAccess
https://www.com-magazin.de/tipps-tricks/powershell/windows-10-verweigert-ausfuehrung-powershell-skript-2546684.html
Ausserdem hast du den Punkt vor dem „C:\psscript\PatchWinREScript_2004plus.ps1″ vergessen.
Korrekt ist:
.“C:\psscript\PatchWinREScript_2004plus.ps1“
1)Vorher nachsehen, welche Einstellung:
Get-ExecutionPolicy -List
2)Dann Scripte zulassen:
Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser
3)Jetzt Script ausführen
4)alte Einstellung wiederherstellen mit 2)
PS C:\WINDOWS\system32> .C:\psscript\PatchWinREScript_2004plus.ps1
.C:\psscript\PatchWinREScript_2004plus.ps1 : Die Benennung „.C:\psscript\PatchWinREScript_2004plus.ps1“ wurde nicht
als Name eines Cmdlet, einer Funktion, einer Skriptdatei oder eines ausführbaren Programms erkannt. Überprüfen Sie die
Schreibweise des Namens, oder ob der Pfad korrekt ist (sofern enthalten), und wiederholen Sie den Vorgang.
In Zeile:1 Zeichen:1
+ .C:\psscript\PatchWinREScript_2004plus.ps1
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ObjectNotFound: (.C:\psscript\Pa…pt_2004plus.ps1:String) [], CommandNotFoundException
+ FullyQualifiedErrorId : CommandNotFoundException
das ist mir zu viel,danke für die Hilfe.Will mein PC nicht zerschiessen.
Gebe einfach C:\psscript\PatchWinREScript_2004plus.ps1 ein. Ohne den Punkt. Der wäre nur nötig, wenn Du das in „“ einschließt.
Also doch noch. Der Fehler war bei mir das ich den Ordner psscript sowie von Wolfgang und DK2000 geschrieben haben bei Downloads war und das ging dann nicht. Er muss in C:\ sein. Habe ich übersehen! Dann in Power Schell als Administrator ausführen. C:\psscript\PatchWinREScript_2004plus.ps1 ohne Punkt und “ Dann bei packagePath
C:\psscript\windows11.0-kb5023527-x64_076cd9782ebb8aed56ad5d99c07201035d92e66a.cab
Danke euch😉
Bei mir das gleiche auch ohne Punkt?
Hallo, mal eine dumme Frage: Ist WinRE = „System-reserviert“ in der Datenträgerverwaltung?
Nein, das ist die Startpartition (Fat32) mit dem BCD.
Die WinRe.wim ist in der Recovery Partition (kann auch namenlos sein), NTFS, 500-600 Mb.
Oder einfach ReAgentC.exe /info eingeben. Dann sieht man, welche Partition das ist.
Und mit 600MB u.U. zu klein für solche Sachen. Ich habe mir die Partition auf 2GB vergrößert. Ist vielleicht etwas übertrieben, aber jetzt kümmert sich das Windows Update um die WinRE.wim. Die hier besagten SafeOS Updates für Windows 10 22H2 (KB5021043) und Windows 11 22H2 (KB5023527) wurden bei mir automatisch während der kumulativen Updates über das WU integriert.
Genau das hatten wir schon mal.
Als das Update für Win 11 kam KB5022303 (22621.1105). Hier war schon die Sicherheitslücke CVE-2022-41099 genannt.
Für das komplette Update ist die WinRE Partition zu klein.
Aber schön zu wissen: wenn die WinRE Partition groß genug ist, passiert alles über das WU.
PS: Mit 2 GB bist du auf der sicheren Seite.
Die WinRE.wim einfach mit Parted Magic oder so vergrößern ? oder muß da noch mehr gemacht werden ?
gibt es dazu informationen , daß sich dann Windows Update um die WinRE.wim kümmert ?
Mit PartedMagic habe ich auch vergrößert. Musste aber Windows c: verkleinern, da WinRE hinter c: ist.
Gibt aber eine Warnung, dass dann hinterher nicht mehr startbar ist, weil man den Anfang der Partition verändert. Ist aber bei der WinRE glaube ich nicht so wichtig, jedenfalls funktioniert es bei mir.
Und zu Windows Update kann ich sagen: Mit meinem Backup Programm hatte ich mal eine startbare DVD erstellt, benutzt die WinRE.wim. Die DVD hat nicht funktioniert, nur ein USB Stick. Da war ein Fehler in der WinRE.wim. Mit dem nächsten Update über Windows Update funktionierte die neue DVD dann. Die WinRE.wim wurde repariert. Also über WU funktioniert.
Mich irritiert Deine Bezeichnung SafeOS Updates in diesem Zusammenhang etwas.
Im Update Katalog gibt es mit der Bezeichnung „SafeOS“ nur 4 Dateien für „Win 11 UUP Preview“.
Bei allen anderen Dateien steht nur „Dynamic Update“ (ohne „SafeOS“ davor).
Muss mir das jetzt zu denken geben?
Ich hätte nun für meinen Fall (Windows 10 Home 22H2 64 Bit) zuerst KB5021043 von November 2022 heruntergeladen und würde dann mittels des Scriptes „PatchWinREScript_2004plus.ps1“ die obige „Anleitung“ von Wolfgang entsprechend abarbeiten.
Ist man mit dieser Anleitung safe?
Ich verstehe leider nicht so ganz, weshalb die Partition unter Umständen zu klein ist, als dass sich Windows Update automatisch darum kümmert.
Was hat die Größe damit zu tun?
Und wie kann Microsoft „erwarten“, dass Otto Normalverbraucher das alles weiß, oder eben nicht (um dann alleine im System rumzufrickeln)?
„SafeOS“ ist ein „Dynamic Update“. Microsoft verwirrt immer gerne mit den Bezeichnungen. Ist aber das Selbe.
Die Anleitung passt soweit. Im Grunde genommen muss man ja nur Skript ausführen (wenn alles in einem Verzeichnis ist):
.\PatchWinREScript_2004plus.ps1 -PackagePath
Die Größe der WinRE Partition steht in Relation zur Große der WinRE.wim. Wenn die WinRE.wim zu groß wird, ist einfach zu wenig Platz frei und die WinRE.wim kann nicht mehr gespeichert werden.
Ok, vielen Dank!
Aber wird die WinRE.wim durch die Anwendung des Scripts denn so „groß“, dass sie hinterher nicht mehr passt? Ich hätte gedacht, durch das Skript wird nur relativ wenig geändert.
Und muss ich jetzt mit irgendwelchen Fehlermeldungen rechnen? Ich frage, da hier (https://www.deskmodder.de/blog/2023/03/17/windows-11-10-aktualisierung-der-winre-partition-zur-korrektur-der-sicherheitsluecke-cve-2022-41099-kb5025175/#comment-235482) gesagt wurde, dass Skripte erst zugelassen werden müssen.
Ich weiß gar nicht, ob dies bei mir der Fall ist.
Und alles nur mal so „ausprobieren“ möchte ich nicht. Hinterher kommen dann (Fehler-)Meldungen, mit denen ich nix anfangen kann. Und wenn man dann abbricht, weiß ich nie, ob nicht doch schon irgendwas verändert wurde.
Was machen denn jetzt in Microsofts Vorstellungen Leute, die nichts von einer WinRE-Partition, geschweige denn einer nötigen Vergrößerung wissen und sich einfach so auf Windows Update verlassen, das aussagt, dass das Sytem up-to-date sei?
Ich dachte, dass Script lädt das Safe OS Dynamic Update automatisch herunter.
Muss man ja selber herunterladen.
da das eine Wissenschaft für sich ist, für einen Laien so einfach nicht ausführbar. Werde also die Finger davon lassen so lange mein Windows 10 korrekt und ohne Bitlocker und Fehler läuft.
Habe jetzt 1 Stunde daran rumgepopelt und es funktioniert nicht. HP 470 G8 mit den neuesten Windows 10.
alles gut und schön, aber wenn Scripte ausführen deaktiviert ist, wird es für den unbedarften User fast unmöglich. Schon lange nicht mehr so einen Mist erlebt, der da veranstaltet wird. Danke MS.
wenn mal jemand aus dem Forum Zeit und Lust hat, könnte er ja mal die vollständigen Zeilen hier eintragen, die man in der PowerShell eingeben sollte, um Skripte zu aktivieren.
Aus dem obigen Link werde ich einfach nicht schlau, da ist alles ein wenig durcheinander, und ein Teil muss auch wöhl geändert werden, da einige Zeilen ersetzt werden müssen.
Wäre eventuell für den ein oder anderen User auch interessant.
Bei mir sind auf zwei Geräten die Skripte deaktiviwert.
Vielen Dank im voraus für die Mühe ( aber keine Hektik )
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUserDas schaltet das für den aktuellen Benutzer frei. Ist auch meine Standard-Einstellung (5.1 und 7). Das reicht in der Regel. Die Einstellung muss ggf. mit der 5.1 und 7 getrennt ausgeführt werden.
Danke DK2000 – kurz und bündig und es hat funktioniert und vor allen Dingen für jeden verständlich.
Sollten eigentlich User, die gar kein BitLocker nutzen, die ganze Prozedur dennoch durchführen?
Zudem habe ich gestern erfahren, dass ich als Windows 10 Home Nutzer ja eh gar kein BitLocker zur Verfügung habe.
Insofern ist das Ganze für mich doch sowieso obsolet, oder?
Wenn das Script durchgelaufen ist, kann dann der dafür erstellte Ordner unter C gelöscht werden?
Wenns durchgelaufen ist, ja.
Muss das Script bei einer Neuinstallation z.b. 19045.5247 erneut ausgeführt werden ?
oder ist da schon die gepatchte version enthalten ?