[English]Beim am 14. Februar 2023 für Windows Server 2022 veröffentlichten Sicherheitsupdate KB5022842 kann es beim zweiten Restart zu einem Problem kommen. Maschinen können anschließend nach einem Reboot nicht mehr starten und finden entweder ihre Systemlaufwerke nicht mehr, oder sie lösen einen Secure Boot-Fehler aus. Ich hatte diesen Effekt bereits für virtuelle Maschinen unter VMware ESXi beschrieben. Jetzt liegt mir ein Bericht vor, der sich auf ein Windows Server 2022-System direkt (Bare Metal) bezieht. Eine Recherche ergab, dass weitere Nutzer betroffen sind. Abschalten des Secure Boot hilft – Microsoft und VMware haben inzwischen diesen Fehler partiell (für VMware ESXi) bestätigt.
Rückblick: Secure Boot-Fehler bei ESXi
Ich hatte das Thema bereits im Blog-Beitrag Windows Server 2022: Februar 2023-Patchday und das ESXi VM-Secure Boot-Problem aufgegriffen. Nach Veröffentlichung des Sicherheitsupdate KB5022842 vom 14. Februar 2023 für Windows Server 2022 meldeten sich eine Reihe Administratoren, die Boot-Probleme mit virtuellen Maschinen beklagten.
User #1: Meine Vorlage Win 2022 VM fährt nach dem Update nicht mehr hoch, wenn man diese einmal ausgeschaltet hat.
User #2: Windows Server 2022 mit aktiviertem Secure Boot / VBS in der VMware machen nach dem Feb. Update Probleme und lassen sich nicht mehr starten.
Der Windows Boot Manager meldete eine „Security Violation“ oder Secure Boot-Fehler, wie in folgendem Screenshot dargestellt. Nur mit abgeschaltetem Secure Boot kann die virtuelle Maschine wieder booten.
Microsoft hat diesen Bug im Support-Beitrag Windows Server 2022 might not start up im Windows Server 2022 Health Status-Bereich unter Known Issues bestätigt. Auch VMware hat den Support-Beitrag Virtual Machine with Windows Server 2022 KB5022842 (OS Build 20348.1547) configured with secure boot enabled not booting up (90947) dazu veröffentlicht. Der Support-Beitrag wurde letztmalig am 19. Feb. 2022 aktualisiert.
Als Ursache wird eine veraltete ESXi-Version (vSphere ESXi 6.7 U2/U3 or vSphere ESXi 7.0.x)genannt und VMware stellt aktualisierte Fassungen der betreffenden ESXi-Builds als Updates bereit. Dem Support-Beitrag von VMware entnehme ich, dass es in den DBX-Dateien für Secure Boot zu einem Fehler kommt, was mich an das DBX-Update vom 2022 erinnert (siehe Bestätigt: Secure Boot DBX Update KB5012170 sorgt für Installationsärger (Error 0x800F0922)).
Secure Boot-Fehler auf Bare Metal
Eigentlich hatte ich mit obigem Artikel das Thema abgehakt. Am Wochenende hat sich aber Lutz S. in einer privaten Nachricht auf Facebook gemeldet und berichtete seine speziellen Erfahrungen mit einem Windows Server ohne Virtualisierung.
Hallo Günter,
kleiner Info-Splitter zum Sonntag Mittag. Geht um deinen Blog-Beitrag „Windows Server 2022: Februar 2023-Patchday und das ESXi VM-Secure Boot-Problem“ vom 16.02.
Ich betreibe einen Server 2022, Version 21H2, auf BareMetall, ein DELL Precision WorkStation 5810 – also nicht virtualisiert.
Die Updates für Februar hatte ich abends am 16.02. eingespielt, der notwendige Reboot des Servers verlief problemlos. Vorhin hab ich auf dem Server SSMS (SQL Server Management Studio) auf die aktuelle Version gehoben, was einen Reboot des Servers erforderte.
Und, da bin ich jetzt ebenfalls in die „Secure Boot-Falle“ getreten (siehe Screenshot). Auch hier half erst mal temporär, Secure Boot im Bios zu deaktivieren.
Vielleicht kannst du die Leserschaft mal befragen, ob auch weitere auf „reinem Blech“ das Problem haben?
Dann hätte ja MS ein weitaus größeres Thema, als nur mit den VMs.
Viele Grüße
Lutz
Danke an Lutz für die betreffende Information – und mit diesem Blog-Beitrag gebe ich die Frage an die Leserschaft weiter: Gibt es noch weitere Betroffene, die nach Installation des Feb. 2023 Sicherheitsupdates KB5022842 nach dem zweiten oder mehr Restarts in Secure Boot-Probleme gelaufen sind?
Weitere Meldungen
Ich habe zumindest auf reddit.com einen Thread mit dem Titel Careful! Server 2022 Secure Boot problems NOT restricted to just VMware gefunden. Ein Administrator schreibt dort:
Just a heads-up: Contrary to chatter on the Internet and Microsoft’s own patch notes, I have now confirmed the Secure Boot problem caused by KB5022842 (the February 2023 update for Windows Server 2022) also affects installations other than on VMware.
I have two machines that are running Server 2022 on bare metal, and that are now refusing to boot due to Secure Boot failure. Other machines appear to be unaffected. The two in question boot after Secure Boot is disabled. Both happen to be older desktop-class computers used for software testing purposes, but I wouldn’t put money on this problem only affecting non-server class hardware. (HP EliteDesk 800 G2 Mini, Lenovo M93p Tiny; confirmed that both have the latest firmware available.)
As others have noted, the problem only shows itself on the second reboot after KB5022842 is installed.
Be careful! I’d be willing to bet that this problem affects a lot more machines than is currently being reported. Might be worth pre-emptive testing to ensure a panic doesn’t ensue if Server 2022 machines need to be restarted in the course of business before this problem is fixed.
Lutz ist also kein Einzelfall und das Problem kann jeden Windows Server 2022 treffen, was auch von verschiedenen Postern auf reddit.com so bestätigt wird. Die Randbedingungen sind noch unklar – ich tippe auf ein Problem mit DBX-Einträgen, wo eine Signatur nicht mehr stimmt (vergleiche auch die Artikel zu DBX-Problemen in nachfolgender Link-Liste). Es handelt sich beim Thread-Starter um ältere Server-Hardware für Tests (HP EliteDesk 800 G2 Mini, Lenovo M93p Tiny), aber mit aktuellem Firmware-Stand, oder ein HPE DL580 Gen9 ohne Support bei einem weiteren Betroffenen. Einer der Betroffenen schreibt, dass einer von drei Dells, aber alle HPE-Server betroffen waren.
Ähnliche Artikel:
Microsoft Security Update Summary (14. Februar 2023)
Patchday: Windows 10-Updates (14. Februar 2023)
Patchday: Windows 11/Server 2022-Updates (14. Februar 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (14. Februar 2023)
Patchday: Microsoft Office Updates (14. Februar 2023)
Exchange Server Sicherheitsupdates (14. Februar 2023)
Windows Server 2022: Februar 2023-Patchday und das ESXi VM-Secure Boot-Problem
Windows Update KB5012170 (Secure Boot DBX) mit neuer Revision im WSUS (Okt. 2022)
Windows 11 22H2: Secure Boot DBX Update KB5012170 (Dez. 2022)
Bestätigt: Secure Boot DBX Update KB5012170 sorgt für Installationsärger (Error 0x800F0922)
Windows Server 2022: VMware ESXi 7.0 U3k-Patch für Secure Boot-Problem (Update KB5022842, Feb. 2023)
Auf meinem SuperMicro mit Windows Server 2022 habe ich das Problem nicht. Nachdem ich den Reddit-Beitrag gesehen hatte, habe ich ein zweites mal neu gestartet und der Server kam ganz normal hoch.
Hab letzte Woche schon geschrieben, dass ich irgendwo gesehen habe, dass jemand das selbe Problem auch mit Server 2022 aif Citrix Hypervisor (ex XenServer) auch hat. Ich finde den Beitrag aktuell aber nicht (vielleicht in Reddit Sysadmin) Auch dort half. Secure-Boot in der VM-Hülle auszuschalten.
Ich kann das weder in unseren LAN und DMZ VMWare Umgebungen bestätigen, noch auf Bare Metal Servern (Windows Server 2012 R2 bis Windows Server 2022).
Jetzt haben sich doch Admins bei mir gemeldet und können das bestätigen, zuerst wurde es aber verneint. Also Fazit: Auch hier in unserem Unternehmen voll und ganz bestätigt! :(
Aufpassen bei IIS, neue Backdoor, es muss allerdings das IIS feature Health&Diag/Tracing eingeschaltet sein, damit die Backdoor funktioniert: https://arstechnica.com/information-technology/2023/02/new-backdoor-targeting-windows-servers-is-ultra-stealthy/ Es ist noch nicht klar, auf welchem Weg sie auf den Server gelangt, vielleicht nur durch lokalen Zugriff was dann noch ein ganz anderes Problem wäre, und es gibt derzeit auch keinen Schutz davor, es sei denn der Antivirus, in dem Fall Symantec, erkennt es.
bei einigen Kunden sind noch ein paar HPE Proliant DL380 Gen9 im Einsatz. Davon hat es bislang einen erwischt. Nachdem SecureBoot im BIOS deaktiviert wurde, konnte auch der zum Glück wieder gestartet werden.
Auf allen anderen ist die Installation des problematischen Updates momentan ausgesetzt.
Welches Betriebssystem wird auf den ProLiant DL380 Gen9 Servern eingesetzt? Win Server 2022 oder Win Server 2019?
Es ist Server 2022 installiert. (Ja, ich weiß dass der offiziell nicht unterstützt wird…)
Unsere Welt wird nicht durch ein nuklearen kriege untergehen, auch nicht durch eine Pandemie, sondern durch irgend ein Sicherheitsupdate, welches ein so großen teil unserer Infrastruktur lahmlegt das unsere Zivilisation implodiert.
Ja und?
Müssen wir eben unser Essen wieder selbst mit Speer, Pfeil und Bogen und Keule jagen.
Würde der Umwelt und dem ganzen Planeten sehr sehr gut tun.
Hier kein Problem auf zwei Bare Metal Windows Server 2022. Die starteten auch beim zweiten Reboot ganz normal.
Hatte das Problem auf einem älteren Dell PE530 unter Windows Server 2022. Nach dem 1. Boot war alles ok, nach dem 2. startete die Maschine nicht mehr. Nach Deaktivieren von SecureBoot startete sie wieder einwandfrei.
Kommentar auf Facebook: Muss mich dem Anschließen, es ist auch Windows Server 2022 Core davon betroffen. HP Enterprise DL 350 Gen10.
War auf dem EliteDesk 800 G2 mit den Server 2022 Boot Problemen das UEFI Secure Boot Database Update vom Juli 2022 installiert?
https://support.hp.com/us-en/document/ish_6589162-6589743-16/hpsbhf03799
Hat schon jemand probiert die „UEFI Secure Boot forbidden signature list (dbx)“ von vmware 7 und 8 zu vergleichen, bzw. die Liste auf vmware 7 zu aktualisieren?
https://kb.vmware.com/s/article/89561
Könnte natürlich sein, dass sich das nur auf die Hosts auswirkt, und nicht auf die VMs, das geht aus dem Text leider nicht hervor.
War auf den HPE Servern das HPE Online UEFI Secure Boot DBX Updater Utility von April 2021 installiert?
https://support.hpe.com/hpesc/public/docDisplay?docId=a00112475en_us&docLocale=en_US
https://support.hpe.com/connect/s/softwaredetails?language=de&softwareId=MTX_892a8446116e486baf3619c0f6&tab=Compatibility
Ich schaue mal, ob ich heute Zeit habe und das weiter reichen kann – bin aber gleich für Stunden offline.
Ergänzung in Form der Antwort des Betroffenen: Nö die Kiste wurde erst vor 3 Wochen mit Windows Server 2022 Core aufgesetzt. Jetzt das Microsoft Update und nun Booten nur wenn man händisch eingreift, ansonsten findet er Bootpartition nicht mehr.
In meinem Fall war das aktuelle Proliant Service Pack installiert, wodurch wohl auch das Utility aktuell sein sollte…
Guten Morgen!
Druckfrisch Virtual Machine with Windows Server 2022 KB5022842 (OS Build 20348.1547) configured with secure boot enabled not booting up (90947)
Resolution:
This issue is resolved in VMware ESXi 7.0 U3k, released on February 21st 2023. VMware ESXi 7.0 Update 3k Release Notes
Notes:
– Virtual machines running on any version of vSphere ESXi 8.0.x are not mpacted by this issue
– vSphere ESXi 6.7 is End of general Support. For more information, see The End of General Support for vSphere 6.5 and vSphere 6.7 is October 15, 2022.
– If you already face the issue, after patching the host to ESXi 7.0 Update 3k, just power on the affected Windows Server 2022 VMs. After you patch a host to ESXi 7.0 Update 3k, you can migrate a running Windows Server 2022 VM from a host of version earlier than ESXi 7.0 Update 3k, install KB5022842, and the VM boots properly without any additional steps required.
Danke für den Link – steckte schon im letzten Link am Ende des Beitrags Windows Server 2022: VMware ESXi 7.0 U3k-Patch für Secure Boot-Problem (Update KB5022842, Feb. 2023) – ist sei 3:21 Uhr online – „The mouse police never sleeps“ … aber gestern abend war ich etwas zu ausgeknockt, um den Artikel noch zu schreiben ;-).
Hi zsm,
habe das update leider auch installiert , auf einem dl60 gen9 ebenfalls server 2022
habe aber noch nicht neu gestartet … sollte ich das neustarten lassen bis ein fix raus kommt ? was meint ihr ?
Das Problem kann ich auf einer älteren Hardware mit Server 2022 bestätigen, inkl. Bitlocker Wiederherstellungsmodus. Deaktivierung von Secure Boot hilft. Danach habe ich Secure Boot wieder aktiviert und gleichzeitig die Secure Boot Schlüssel gelöscht. Danach startete das System mehrfach mit aktiviertem Secure Boot normal. Kann das jemand so bestätigen?
ich bin der mit HPe DL60Gen9
habe nun 2 mal neu gestartet und genau beim 2 mal fand er keine Partition mehr .. habe dann im Bios einfach alle SecureBoot keys gelöscht und schon lief wieder alle wie früher
LG
Philipp
Hallo Philipp,
das habe ich gerade auf einem DL380 Gen9 unter Server 2022 versucht, aber leider erfolglos. Darf ich fragen, wie Du vorgegangen bist?
Gruß Andreas
Guten Tag,
ich habe das Problem auf einem ESXi 7.03 auf dem u.a. ein Windows Server 2019 läuft bekommen, als ich den ESXi wg. eines NVidia Upgrades auf dem Host herunterfahren musste.
VBS und Secure Boot für diesen WinServer deaktiviert, dann startet WinServer 2019 wieder.
Gruß
Siegmar