[English]Ich ziehe es mal separat heraus, da das Thema uns noch beschäftigen wird. Mit den Oktober 2020-Updates hat Microsoft in Windows 8.1 und Windows 10 sowie den Server-Pedants eine Änderung eingeführt. Die Treiber von Drittanbietern werden blockiert, wenn diese kein korrektes Format mit Signatur in den Katalogdateien aufweisen. Hier einige Informationen zum Thema.
Microsoft schraubt nach immer wieder an den Anforderungen für Treiber. Bereit 2016 wurde beim Anniversary Update (Windows 10 1607) die Verwendung signierter Treiber bei Neuinstallationen Pflicht (siehe Windows 10, Version 1607: Treiber-Signierung geändert).
Dritthersteller-Treiber können blockiert werden
Microsoft hat das Ganze quasi nebenbei eingeführt und in den Supportbeiträgen für die Sicherheitsupdates vom 13. Oktober 2020 versteckt. In den Supportbeiträgen wird ein ‚bekannter Fehler‘ aufgeführt (siehe auch Patchday: Windows 10-Updates (13. Oktober 2020)).
Bei der Installation eines Treibers eines Drittanbieters erhalten Nutzer möglicherweise die Fehlermeldung „Windows kann den Herausgeber dieser Treibersoftware nicht verifizieren“.
Der Treiber wird dann für die Installation blockiert. Versucht der Nutzer die Signatur-Eigenschaften der Treiberdateien mit Windows Explorer (Rechtsklick, Eigenschaften) anzuzeigen, wird möglicherweise auch der Fehler „Im Betreff war keine Signatur vorhanden“ angezeigt.
Aktualisierte Anforderungen an Treiber-Katalogdateien
Microsoft gibt den Grund für diese Treiberblockade und den Signaturfehler in den Supportbeiträgen der betroffenen Updates folgendermaßen an:
Dieses Problem tritt auf, wenn bei der Validierung durch Windows eine nicht korrekt formatierte Katalogdatei erkannt wird.
Ab Installation der Sicherheitsupdates vom 13. Oktober 2020 verlangt Windows die Gültigkeit von DER-kodierten PKCS#7-Inhalten in Katalogdateien. Katalogdateien müssen gemäß Abschnitt 11.6 der Beschreibung der DER-Kodierung für SET OF-Mitglieder in X.690 signiert werden. Microsoft hat dazu diesen Eintrag in der Windows 10 Statusseite veröffentlicht. Das Ganze betrifft folgende Windows-Versionen:
- Client: Windows 10, Version 2004; Windows 10, Version 1909; Windows 10, Version 1903; Windows 10, Version 1809; Windows 10 Enterprise LTSC 2019; Windows 10, Version 1803; Windows 10, Version 1709; Windows 10 Enterprise LTSC 2016; Windows 10, Version 1607; Windows 10 Enterprise 2015 LTSB; Windows 8.1
- Server: Windows Server, Version 2004; Windows Server, Version 1909; Windows Server, Version 1903; Windows Server, Version 1809; Windows Server 2019; Windows Server, Version 1803; Windows Server, Version 1709; Windows Server 2016; Windows Server 2012 R2
Im Fall einer Treiberblockade sollen Nutzer sich an den Treiberanbieter oder Gerätehersteller (OEM) wenden und ihn um einen aktualisierten Treiber bitten, um das Problem zu beheben, so der Ratschlag Microsofts. Dass es dort häufig keine Unterstützung für ältere Treiber gibt, bleibt dieser Vorschlag ein Wolkenkuckucksheim. Mit Windows hat man also ein gewaltiges Hardware-Vernichtungsmittel, mit dem funktionsfähige Geräte wegen nicht mehr installierbarer Treiber zum Schrott wandern.
Das wird einige Hersteller tangieren. Prominentes Opfer ist HP, deren Sure Click-Lösung auf der Bromium Security Platform nach Installation der Oktober 2020 Sicherheitsupdates nicht mehr funktioniert (siehe HP Business-Notebooks: Ärger mit Sure Click/Bromium und Windows 10 Oktober 2020 Updates).
Funktionieren die Treiber noch im Testmode wenn dieses Update installiert ist?
Vielleicht in der Überschrift das Windows 9.1 downgraden. ;-)
Verdammte Hacke, hatte es die Nacht noch korrigiert. Entweder das Speichern vergessen oder nur den englischsprachigen Blog-Post korrigiert und die deutsche Leserschaft vergessen. Aber so kriegt man wenigstens mit, ob die Leute auch richtig lesen, und Kommentare gibt’s auch ;-).
Herr Born (oder wars herborn – da war doch mal was… ;-) ) ist außen vor. Wer nachts Blogartikel verfasst, hat Fehler auto-im Gepäck, normal.
Aber der Rest der Blog-Glotzer – 2 habens offensichtl. bemerkt – darf duchaus auch mal genauer hinschauen, generell.
:-D
korrektur:
durchaus
Passt vielleicht dazu:
Habe einen externen USB 2 – Trekstore Drive – altes Teil – hat bisher mit Win Standard USB Treiber funktioniert. Es gibt dazu auch keinen Herstellertreiber.
Habe das Gerät nur bei Bedarf angeschlossen.
Seit W10/2004 wird das Gerät mit dem Hinweis Signaturfehler nicht mehr eingebunden.
„Windows 9.1/10 blockt…“
8.1
hier braucht wohl jeder ne große Brille?!?
;-)
Mir fällt dazu einfach spontan der Begriff Sabotage ein. Ich habe ein funktionierendes System und Microsoft macht es kaputt. Gibt es dazu eigentlich keine rechtliche Handhabe, um gegen MS vorzugehen? Schließlich entsteht mir dadurch ein nicht unerheblicher Schaden. Die Konsequenz wäre, niemals mehr einen Update in ein funktionierendes Windows einzuspielen.
@mw
Schon einmal die Nutzungsbestimmungen von MICROSOFT durchgelesen?
Nein, es gibt keine rechtliche Handhabe gegen das Vorgehen seitens MICROSOFT vorzugehen!
Die einzige Konsequenz wäre, Produkte von MICROSOFT einfach nicht nutzen/einzusetzen…und das wäre MICROSOFT auch so was von „egal“.
Wer oder was zwingt Dich MS einzusetzen? :-) Linux Mint ist auch super. :-)
Und es ist nicht neu, das MS Dich zum Kauf neue Hardware zwingt.
Wenn man ein lauffähiges Windows 7 hatte und das, als es noch ging, updaten wollte, kam irgendwann der Hinweis, das man eine veraltete CPU habe und kein update mehr möglich sei…(oder war das umgekehrt? CPU zu neu?)
Sicher ist so ein Monpol auch für User und Admins bequem:
Q: Was nehmen wir?
A: Microsoft, Millionen Fliegen irren sich nicht.
„Linux Mint ist auch super“
Jein, es bedarf schon einige Zeit der Einarbeitung und der Hilfestellung durch (recht gute) Blogs bis man in Linux alles so hin bekommt wie man es möchte und braucht.
Ein Umstieg von Windows zu Linux braucht Zeit und ein wenig Mühe – und Lernbereitschaft! Bei mir (uns) sieht das jetzt so aus, Tripple-Boot:
– Linux Mint als Standard-System für alle Online-Aufgaben,
– Windows 7 (0Patch ) für Office- und Multi-Media,
– Windows 10 um nicht ganz den Anschluss zu verlieren.
Für Linux gibt es halt nur ein Minimum an brauchbaren Anwendungen. Wer mehr will als Surfen und Texte tippen, vergießt ein paar Verzweiflungstränen mit Wine und lässt dann frustriert die Finger von Linux.
Das ist das Ärgerliche an OpenSource: Wo nichts zu verdienen ist, steckt keiner große Mühe rein.
Deine Aussage kann man so nicht ganz stehen lassen. Es gibt außer Browser und Schreibprogrammen durchaus recht gute Anwendungen unter Linux. Um nur mal ein paar zu nennen:
kdenlive (Videoschnitt), vokoscreen (Bildschirmvideo-aufnahme), MediathekView, VLC, Scribus (Desktop Publishing), Double Commander (Dateimanager, dem Total Commander nachempfunden), Audacity, Krita (Zeichnen), Filezilla (FTP) – alles Open Source und im Repository von Debian.
Und wenn wirklich etwas vermisst wird, einfach die VirtualBox mit Gasterweiterungen drauf, Windows als Gast installieren und dort die bisherigen Programme parallel weiternutzen.
Das sind, mit Verlaub, Pillepalle-Programme, die für höhere (gar nicht mal professionelle) Ansprüche untauglich sind. Ich darf das hier so hart behaupten, weil ich sie – durchaus aufgeschlossen für Alternativen – bereits angetestet habe:
Zu kdenlive (allein schon solche unaussprechlichen, nichtssagenden Namen, dermaßen typisch) hatte ich mir z.B. notiert: „…erstaunt erst mit scheinbar vielen Funktionen, ist schlecht zu bedienen und enttäuscht bald, weil ganz elementare Dinge nicht möglich sind… Oberfläche mit grobschlächtiger Schrift. Tooltips unlesbar, da in hellgrauer Schrift auf dunkelgelbem Hintergrund“.
Der Standard-Dateimanager der jeweiligen Distribution würde mir reichen, da brauche ich keine Commander. Mediaplayer gibt’s genügend, mehr kann der VLC auch nicht. Aber bei richtigen Spezialprogrammen stelle ich regelmäßig (nachdem ich mangels Hilfedatei/Handbuch in der „Community“ gesucht habe) frappiert fest: Es ist nicht so, dass ich diese oder jene Funktion bloß nicht gefunden hätte – sie existiert tatsächlich nicht!
Dazu kommt die schlechte Bedienbarkeit durch grauenhafte Oberfläche – Programmierer haben offenbar keinen Nerv für anschaulich-ergonomische grafische Aufmachung. Im kommerziellen Sektor gäbe es dafür eine eigene Abteilung.
Es wäre ja auch schlimm, wenn bezahlte, hauptberufliche Spezialistenteams nicht mehr zustande brächten als ambitionierte Hobbybastler.
„Mit Windows hat man also ein gewaltiges Hardware-Vernichtungsmittel, mit dem funktionsfähige Geräte wegen nicht mehr installierbarer Treiber zum Schrott wandern.“
War das nicht Absicht? Schon bei der Umstellung von W7/8 zu W10 „fielen“ doch schon viele externe Geräte der fehlenden Treiberunterstützung zum Opfer (Scanner, Drucker, usw). Schon damals folgte eine für die Hersteller günstiger Neukaufwelle. Und jetzt kommt die „zweite Welle“. Wieder werden ältere, technisch intakte Geräte zu „Schrott“ – die Hersteller werden sich freuen.
Umsatz – Umsatz – Umsatz …
Gibt es Hinweise, ob auch Windows 7 betroffen ist? Zwar sind die Updates dafür nicht mehr allgemein verfügbar, aber es gibt sie noch.
Wieder einmal hat man das Gefühl, dass der konkrete Schaden durch MS-Sicherheitsupdates den potentiellen Schaden durch vermeintliche Sicherheitslücken überwiegt.
scheinbar nicht
steht nicht unter „known issues“ wir bei 8.1 / 10
https://support.microsoft.com/en-us/help/4580345
Das muss leider nichts heißen, so betont stiefmütterlich, wie MS sein allzu geschätztes Betriebssystem behandelt.
Da wird ggf. nicht mehr groß auf Probleme hingewiesen, sondern nur noch zähneknirschend und kommentarlos rausgerückt , was sich die widerspenstige Anwenderschaft ertrotzt (und erkauft) hat.
…ich sollte vielleicht mal testweise die ‚Virtual Box‘ installieren. Letzten Januar hat Windows dabei mindestens drei Warnungen wegen unsignierter Treiber gebracht.
Interessant wäre zu wissen, dass wenn der Treiber installiert ist, ob es dann weiterhin funktioniert, oder ob das nur die Installation betrifft..?
„Mit Windows hat man also ein gewaltiges Hardware-Vernichtungsmittel, mit dem funktionsfähige Geräte wegen nicht mehr installierbarer Treiber zum Schrott wandern.“
Mein Drucker und mein Scanner sind 18 Jahre alt und funktionieren prima unter Linux mit HPLIP und XSane. Vor meinem Umstieg auf Linux liefen sie bereits in der VirtualBox unter Windows XP mit den Original-Treibern, weil es keine Treiber für Windows 7 mehr gab.
Einfach Mut fassen und umsteigen, es muss nichts zum Schrott.
„Mein Drucker und mein Scanner sind 18 Jahre alt und funktionieren prima unter Linux mit HPLIP und XSane. Vor meinem Umstieg auf Linux liefen sie bereits in der VirtualBox unter Windows XP mit den Original-Treibern, weil es keine Treiber für Windows 7 mehr gab.“
Das ist lobenswert und ich (wir) machen das als Privat-Nutzer ebenso, siehe mein voriges Posting. Aber .!. das ist im „professionellen Bereich“ so nicht möglich – leider. Und selbst im meinem Umfeld konnte ich kaum jemand zum Umstieg auf Linux bewegen, die Menschen sind ein (faules!) Gewohnheitstier.
Kann man eventuell Hiermit umgehen.:
https://www.deskmodder.de/wiki/index.php/Treibersignatur_deaktivieren_Unsignierte_Treiber_installieren_Windows_10 .
Leihen sollten das nicht machen, wenn sie nicht wissen was sie da tun.
Laien auch nicht. ;-)
Upsi. Nicht bemerkt den Schreibfehler.^^
Ist es dann noch möglich Treiber die für Windows 7 und Windows Vista bereitgestellt wurden unter Windows 8.1 zu nutzen?
Zumindest alle Geräte die vor dem Oktober Patchday Installiert wurden funktionieren bei mir noch nach dem Update.
Ich nutze momentan ein AMD Ryzen auf einem X370 Board unter Windows 8.1 Pro x64 mit Windows 7 x64 Chipsatztreibern. Auch die Radeon VII läuft mit Radeon Software 20.8.2 für Windows 7 x64 unter Windows 8.1 Pro X64 ohne zwischen fälle.
Der Zuverlässigkeitsverlauf steht schon seit mehreren Monaten bei 10.
Ganz ehrlich??? Erst meckert man, dass Windows nicht sicher genug sei, der Hersteller was tun müsse… und nu, wo sich eine Microsoft entscheidet, mehr und mehr zu tun und das auch nach gewissen Standards Sicherheit aufgegriffen wird, ist es auch nicht recht?
Aber dann auch meckern, wenn euch die Scheisse um die Ohren fliegt.
Hat irgendwer mal gesehen, wie Systeme übernommen werden? Und das nur, weil man an Sicherheit und Geld gespart hat? Apropos:
Da sind nu zwei Artikel, die sich beschäftigen mit einem Hardening der Signatur – btw, schlechte Treiber stehen immer für super laufende Systeme (Ironie!!!), die Werbung macht dann auch was aus.
Geht es noch?
Dein Kommentar ist wenig sinnvoll. Die Intention ist klar und könnte man unterschreiben, wenn es rein darum geht, unsichere Treiber zu verhindern. Aber die Maßnahme ändert wenig an der Sicherheit. Es geht darum, dass gravierende Änderungen im Sinne von as a service nebenbei und mehr oder weniger stillschweigend durch die kalte Küche eingeführt werden.
Erstes prominentes Opfer war HP mit seiner Sure Click-Lösung (kann man drüber diskutieren, ob sinnvoll, gehört aber nicht hier hin), weitere SW-Hersteller werden imho als Opfer folgen.
Nur mal langsam zum Mitschreiben: Der Treiber kann super laufen, digital vom Hersteller signiert sein, wenn er der neuen Signaturanforderung in der Katalogdatei nicht entspricht, wird er gesperrt. Spätestens, wenn den Leuten die Server auf Bare-Metal nicht mehr booten, ist Schluss mit lustig.
Ist quasi so, als wenn Du getankt hast. Fährst nach Hause, stellst dein Auto in der Garage ab, und am Morgen bekommst Du es nicht mehr an. Nach Telefonieren mit der Werkstatt stellt sich heraus, deinen Reifen, die absolut top sind, fehlt da der richtige Aufkleber, von dem der Fahrzeughersteller meint, er müsse drauf sein … einfach mal drüber nachdenken.
Man kann einiges ändern, aber mit sauberer Ankündigung, Dokumentation und Begründung, mit Vorlaufzeit. Sehen wir bei Adobe Flash, beim IE usw.