Technologische Neuigkeiten, Bewertungen und Tipps!

KB4535680 für Windows 10 zur Behebung der UEFI Secure Boot-Schwachstelle

Wenn die BitLocker-Gruppenrichtlinie Konfigurieren Sie das Validierungsprofil der TPM-Plattform für native UEFI-Firmwarekonfigurationen aktiviert ist und PCR7 per Richtlinie ausgewählt ist, kann dies dazu führen, dass der BitLocker-Wiederherstellungsschlüssel auf einigen Geräten erforderlich ist, auf denen PCR7-Bindung nicht möglich ist.

Um den PCR7-Bindungsstatus anzuzeigen, führen Sie das Microsoft-Systeminformationstool (Msinfo32.exe) mit Administratorrechten aus.

Wichtig Das Ändern des standardmäßigen Plattformvalidierungsprofils wirkt sich auf die Sicherheit und Verwaltbarkeit Ihres Geräts aus. Die Empfindlichkeit von BitLocker gegenüber Plattformänderungen (böswillig oder autorisiert) wird erhöht oder verringert, je nachdem, ob die PCRs eingeschlossen oder ausgeschlossen werden. Insbesondere das Festlegen dieser Richtlinie ohne PCR7 überschreibt die Allow Secure Boot für die Integritätsprüfung Gruppenrichtlinie. Dadurch wird verhindert, dass BitLocker Secure Boot für die Plattform- oder Boot Configuration Data (BCD)-Integritätsvalidierung verwendet. Das Festlegen dieser Richtlinie kann zu einer BitLocker-Wiederherstellung führen, wenn die Firmware aktualisiert wird. Wenn Sie diese Richtlinie so einstellen, dass sie PCR0 enthält, müssen Sie BitLocker anhalten, bevor Sie Firmware-Updates anwenden.

Wir empfehlen, diese Richtlinie nicht zu konfigurieren, sondern Windows das PCR-Profil für die beste Kombination aus Sicherheit und Benutzerfreundlichkeit basierend auf der verfügbaren Hardware auf jedem Gerät auswählen zu lassen.

Um dieses Problem zu umgehen, führen Sie je nach Credential Guard-Konfiguration einen der folgenden Schritte aus, bevor Sie dieses Update bereitstellen:

· Führen Sie auf einem Gerät, auf dem Credential Gard nicht aktiviert ist, den folgenden Befehl an einer Administrator-Eingabeaufforderung aus, um BitLocker für einen Neustartzyklus auszusetzen:

Manage-bde –Protectors –Disable C: -RebootCount 1

Starten Sie dann das Gerät neu, um den BitLocker-Schutz fortzusetzen.

Notiz Aktivieren Sie den BitLocker-Schutz nicht, ohne das Gerät zusätzlich neu zu starten, da dies zu einer BitLocker-Wiederherstellung führen würde.

· Auf einem Gerät mit aktiviertem Credential Guard kann es während des Updates zu mehreren Neustarts kommen, die eine Unterbrechung von BitLocker erfordern. Führen Sie den folgenden Befehl an einer Administrator-Eingabeaufforderung aus, um BitLocker für drei Neustartzyklen auszusetzen.

Manage-bde –Protectors –Disable C: -RebootCount 3

Es wird erwartet, dass dieses Update das System zweimal neu startet. Starten Sie das Gerät erneut, um den BitLocker-Schutz wieder aufzunehmen.

Notiz Aktivieren Sie den BitLocker-Schutz nicht ohne zusätzlichen Neustart, da dies zu einer BitLocker-Wiederherstellung führen würde.

Your Header Sidebar area is currently empty. Hurry up and add some widgets.