[English]Kleiner Nachtrag für Windows 11-Nutzer. Die Woche hatte ich über ein Problem berichtet, das bei Windows 11-Clients mit bestimmten Chips einen Zugriff auf Wi-Fi-Zugänge im Zusammenhang mit (WPA2 Enterprise Wireless) verhindert. Mit Meldung vom 19. Dezember 2023 hat Microsoft den Fehler bestätigt und rollt den betreffenden Fix aus Windows 11-Updates per KIR zurück. Hier einige Informationen zu diesem Fehler und zum Rollback.
Bug verhindert WLAN-Zugang
Es ist eine unangenehme Überraschung, die Benutzern von Windows 11 22H2-23H2 droht. Wird das kumulative Sicherheitsupdate KB5033375 von Dezember 2023 installiert, gibt es gegebenenfalls Probleme mit WLAN-Zugängen. Es gab Berichte, dass WPA2 Enterprise Wireless durch das Update kaputt ist und keine Wi-Fi-Verbindungen mehr aufgebaut werden können.
Diverse Universitäten warnten vor der Installation des Updates und empfehlen betroffenen Nutzern dessen Deinstallation. Ich hatte zum 18. Dezember 2023 die bekannten Details im Blog-Beitrag Windows 11 Update KB5033375 kann WLAN-Zugang (WPA2 Enterprise Wireless) verhindern berichtet. Seinerzeit war von Microsoft noch nichts bezüglich des Problems dokumentiert. Nun haben Leser mich gestern hier und hier darauf hingewiesen (danke dafür), dass Microsoft reagiert hat.
Microsoft korrigiert per KIR
Microsoft hat zum 19. Dezember 2023 reagiert und den Eintrag Microsoft received reports about issues connecting to Wi-Fi networks auf seiner Windows Release Health-Seite in den Known Issues eingestellt. Darin heißt es, dass Microsoft Berichte über ein Problem erhalten hat, bei dem einige Wi-Fi-Adapter nach der Installation von KB5032288 möglicherweise keine Verbindung zu einigen Netzwerken herstellen.
Bestätigung des Problems
Im Beitrag bestätigt Microsoft, dass dieses Problem durch die Updates KB5032288 (Preview vom 4. Dezember 2023) und KB5033375 (Sicherheitsupdate vom 12. Dezember 2023) verursacht wird. Das sind genau die Updates, die ich in meinem oben verlinkten Blog-Beitrag genannt hatte. Das Problem betrifft mit größerer Wahrscheinlichkeit Szenarien, bei denen versucht wird, eine Verbindung zu einem Unternehmens-, Bildungs- oder öffentlichen Wi-Fi-Netzwerk mit 802.1x-Authentifizierung herzustellen.
Dieses Problem tritt wahrscheinlich nicht in Heimnetzwerken auf, schreibt Microsoft, was sich mit meinen obigen Erkenntnissen deckt. Betroffen sind Clients mit Windows 11 Version 22H2 und 23H2.
Rollback per KIR
Microsoft hat sich für eine schnelle Lösung entschieden und rollt den betreffenden Fix, der den Fehler verursacht, über die Funktion Known Issue Rollback (KIR) zurück. Nutzer auf nicht verwalteten Systemen müssen nichts unternehmen, da die Korrektur automatisch ausgerollt wird. Es kann aber bis zu 24 Stunden dauern, bis die Lösung automatisch auf Consumer-Geräte und nicht verwaltete Unternehmensgeräte übertragen wird. Das sollte inzwischen der Fall sein. Ein Neustart des Windows-Clients kann dazu beitragen, dass die Lösung schneller auf das Gerät angewendet wird.
Bei Systemen in Unternehmen, die zentral von Administratoren verwaltet werden, muss diese Personengruppe bei betroffenen Geräten explizit tätig werden. Um die KIR-Lösung anzuwenden, muss eine spezielle Gruppenrichtlinie installiert werden.
Download for Windows 11, versions 23H2 and 22H2 – Windows 11 22H2 KB5032288 231029_032011 Known Issue Rollback
Die obige MSI-Installationsdatei muss heruntergeladen und dann die Installation durchgeführt werden. Dann ist die betreffende Gruppenrichtlinie unter:
Computerkonfiguration – Administrative Vorlagen – Name der obigen GPO (Windows 11 22H2 KB5032288 231029_032011 Known Issue Rollback)
zu konfigurieren, um wirksam zu werden. Im Anschluss ist ein Neustart des Geräts erforderlich, damit die Gruppenrichtlinie angewendet wird. Hinweise zur Anwendung der GPO finden sich unter How to use Group Policy to deploy a Known Issue Rollback.
Ähnliche Artikel:
Patchday: Windows 10-Updates (12. Dezember 2023)
Patchday: Windows 11/Server 2022-Updates (12. Dezember 2023)
Windows 11 Update KB5033375 kann WLAN-Zugang (WPA2 Enterprise Wireless) verhindern
Hallo Herr Born,
gibt es eigentlich Erkenntnisse dazu, ob schon Mal jemand eine Rechnung an Microsoft gestellt hat, wegen Kosten für Mehraufwand verursacht durch Microsofts Korrekturen für von Microsoft verursachte Bugs?
VG HV
Mir liegen keine Erkenntnisse vor – und wie schrieb mir die Bayerische Landesdatenschutzaufsicht bezüglich einer anderen Anfrage:
Betraf zwar eine Anfrage von mir im Hinblick auf Meldepflichten wegen des Azure Cloud-Hacks durch Storm-0558 und eines weiteren Vorfalls. Aber die Botschaft ist: „Wenn wir was wissen, wir sagen nix“. Und so halten es die Firmen und Microsoft auch bzgl. der obigen Frage.
Schlauberger-Modus: Für eine Rechnung müsste imho auch ein Auftrag von Microsoft vorliegen – was regelmäßig nicht der Fall sein dürfte. Bliebe also eine Schadensersatzklage – und ob die Firmen da auf diesen Schlitten hüpfen? Man weiß es nicht.
Man kann davon ausgehen, dass diverse Schadensersatzforderungen in den AGBs von MS ausgeschlossen sind.
Ob das auch vor Gericht halten würde ist vielleicht eine andere Sache und wohl nur mit hohem Kostenrisiko herauszufinden.
Dezember Update deinstalliert und versteckt.
Oktober Update mit über 100 Schwachstellen, nicht installiert und versteckt.
Ich glaube das mit dem Oktober Update hat sich erledigt „unter den Tisch kehr“?
Aber das erinnert mich immer daran, dass Millionen von uralter Geräte (Handys, etc.) z.b in Asien oder Südamerika mit dem Internet verbunden sind, keine Updates mehr bekommen, weder in einem Bot-Netz sind, und auch keine Gefahr darstellen, wie ist das nur möglich.
Ich für mich seit Oktober, setze meine Updates soweit wie möglich aus und bewege mich mit meinem Browser relativ sicher im Internet, habe IPV6 ausgestellt, WEBRTC Protection an, AdGuard an.
Bei der Netzwerkkarte, habe ich alles aus; außer IPV4 und den Brückentreiber.
Systemsteuerung -> Alle Systemsteuerungselemente -> Programme und Features -> Windows-Features
aktivieren oder deaktivieren
Typischerweise aktiv, aber nicht benötigt sind:
„Arbeitsordnerclient“
„Druck- und Dokumentendienste“
„Internet Explorer 11“
„Microsoft XPS Document Writer“ sowie „XPS-Viewer“
„Unterstützung für die Remotedifferenzialkomprimierungs-API“
–
Nicht benötigte Dienste/Services deaktivieren
Systemsteuerung -> Alle Systemsteuerungselemente -> Verwaltung -> Dienste
Typischerweise aktiv, aber nicht benötigt sind bspw.:
BranchCache (PeerDistSvc)
Dienst für Einzelhandelsdemos (RetailDemo)
Geolocation-Dienst (lfsvc)
Gemeinsame Nutzung der Internetverbindung (SharedAccess)
Infrarotüberwachungsdienst (irmon)
Jugendschutz (WpcMonSvc)
Manager für heruntergeladene Karten (MapsBroker)
Microsoft iSCSI-Initiator-Dienst (MSiSCSI)
Microsoft Windows SMS-Routerdienst (SmsRouter)
Sensor[…]
SNMP-Trap (SNMPTRAP)
Telefondienst (PhoneSvc)
Windows-Dienst für mobile Hotspots (icssvc)
Windows-Insider-Dienst (wisvc)
Xbox […]
Zahlungs- und NFC/SE-Manager (SEMgrSvc)
–
Nicht benötigte Netzwerkfunktionen deaktivieren
Systemsteuerung -> Alle Systemsteuerungselemente -> Netzwerk- und Freigabecenter ->
Adaptereinstellungen ändern -> [Adapter] -> Einstellungen dieser Verbindung ändern
Typischerweise aktiv, aber nicht benötigte Elemente sind:
„Client für Microsoft-Netzwerke“
„Datei- und Druckerfreigabe für Microsoft-Netzwerke“
„QoS-Paketplaner“
„Microsoft-LLDP-Treiber“
„Antwort für Verbindungsschicht-Topologieerkennung“
„E/A-Treiber für Verbindungsschicht-Topologieerkennung“
–
Obsolete Windows-Namensauflösung-Protokolle (WINS und LLMNR)
deaktivieren
1. „NetBIOS über TCP/IP“ (WINS-Namensdienst) in der IPv4-Einstellung in allen genutzten
Netzwerkadaptern deaktivieren:
… -> Internetprotokoll, Version 4 (TCP/IPv4) -> Eigenschaften -> Erweitert -> WINS
2. Multicastnamensauflösung (LLMN) global deaktivieren:
Computerkonfiguration | Administrative Vorlagen | Netzwerk | DNS-Client
Gruppenrichtlinieneinstellung Empfohlene Option
„Multicastnamensauflösung deaktivieren“ Aktiviert
Frohe Weihnachten, ja Windows ist oft suboptimal eingestellt, doch dann ist es ein tolles Betriebssystem mit einem Offline-Konto.
@Martin: .ru-Mail-Domain ist ganz schlecht – wegen der vielen Spammer ist die generell so im Filter, dass alle Kommentare gelöscht werden. Hab deinen Kommentar zufällig noch im Papierkorb des Blogs gefunden.
Zitat:
„Im Anschluss ist ein Neustart des Geräts erforderlich, damit die Gruppenrichtlinie angewendet wird.“
—
Ausloggen und neu einloggen reicht auch aus, um Änderungen an den Gruppenrichtlinien oder an der Registry zu aktivieren und es geht schneller als Neustart.
Microsoft sollte nicht an Sachen rumfummeln, die vorher seit Jahren funktioniert haben. Sowas wie „WLAN“ sollte längst den Status „old stable“ erreicht haben, also gut abgehangen und ausgetestet, so dass man den ausgefeilten und polierten Code problemlos einsetzen kann.
If it is not broken, don’t fix it.
Statt dessen kümmert sich Microsoft seit Jahren um die falschen Sachen, die dem Endnutzer entweder nichts nutzen oder sogar Schaden.
Hinzu kommt noch die EULA, der man nicht guten Gewissens zustimmen kann.
Da sollte man sich einfach mal konsequent von abwenden.
„[…]Nutzer auf nicht verwalteten Systemen müssen nichts unternehmen, da die Korrektur automatisch ausgerollt wird. Es kann aber bis zu 24 Stunden dauern, bis die Lösung automatisch auf Consumer-Geräte und nicht verwaltete Unternehmensgeräte übertragen wird.[…]“
Blöd nur, wenn man keinen WLAN-Zugang hat …
Oder bedeutet „ausrollen“, dass ein Microsoft-Mitarbeiter mit dem Auto zu Hause „angerollt“ kommt, um per USB-Stick zu fixen? Frage für einen Freund …
;-)
hast immer noch den LAN Zugang ;)
„Isch ‚abe gar kein Kabel!“
Wenn ich mich recht erinnere lag dem damals gekauften Speedport Smart 3 ein LAN Kabel bei. Geschätzt 1 Meter lang.
Das sollte für den Notfall ausreichen um einen Laptop wieder online zu bekommen.
Viele unserer neuen Laptops haben gar keinen LAN Anschluss mehr.
Gut, ich kann mir irgenwie helfen (Dockingstation, USB LAN Adaper, entsprechendes Update deinstallieren…), doch was macht ein einfacher Heim-Anwender?
Bei uns hat dieser Patch leider das Firmen WLAN wie beschrieben gestört.
Da es sich um Enterprise Geräte handelt funktioniert KIR natürlich nicht. Von MS wird immer der KIR Fix per GPO beworben. Da wir Azure-AD only sind gibt es bei uns keine GPO mehr. Die Anleitung für Intune war extremst kompliziert und hat in meinem Test auch nicht funktioniert.
Was funktioniert hat war dann den folgenden Regkey zu verteilen.
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides /v 2701253260 /t REG_DWORD /d 0 /f
Komisch das MS das so kompliziert „löst“. Der Fehler ist auch nicht an allen Geräten aufgetreten, obwohl diese baugleich sind.