Jan 10, 2024, updated at Jan 14, 2024 (UTC)

31002

Patchday 09.01.2024: Warnung vor Problem 0x80070643

Hinweis und Warnung!

Der monatliche Microsoft-Patchday macht Probleme auf Windows 10 und Windows Server 2022!
(vermutlich auch bei anderen Versionen)

Ich muss jeden Monat etliche Systeme updaten und habe dies jetzt abgebrochen!
Auf etwa 70% aller Systeme gibt es bei diesem Patch ständig den Fehler 0x80070643:

Windows 10 bei Patch:
2024-01 Sicherheitsupdate für Windows 10 Version 22H2 für x64-basierte Systeme (KB5034441)

Windows Server 2022 bei Patch:
2024-01 Sicherheitsupdate für Microsoft server operating system version 21H2 für x64-basierte Systeme (KB5034439)

Auch in anderen Foren wird von dem Problem berichtet. Bei einigen soll geholfen haben, die "WinRe Partition" zu vergrößern. Was ohne großen Zeitaufwand und speziellen Tool nicht geht. Hier ein Link:
https://www.deskmodder.de/blog/2024/01/09/windows-10-kb5034441-winre-upd ...

Was wirklich gut und schnell hilft, ohne großen Zeitaufwand, weiß ich nicht.

Was also tun? Abwarten?
Wird Microsoft dies in den nächsten Tagen korrigieren?

Hier noch zwei Microsoft-Link zu dem Problem:
https://support.microsoft.com/de-de/topic/kb5034441-windows-recovery-env ...
https://support.microsoft.com/de-de/topic/kb5028997-anweisungen-zum-manu ...

P.S. Die spinnen doch, wenn man das jetzt bei allen Systemen per Hand machen soll!

Please also mark the comments that contributed to the solution of the article

Content-Key: 92352603385

Url: https://administrator.de/contentid/92352603385

Printed on: April 27, 2024 at 21:04 o'clock

47 Comments

Latest comment

Moin.

Einen WinRE- Patch braucht man nicht zwingend, da man WinRE nicht zwingend braucht. Ich hab bedenkenlos WinRE per Kommando abgeschaltet, wenn du das brauchst, sag Bescheid.

Moin,
hab verzweifelt nach den genannten KB's gesucht aber nicht gefunden..

...aber es ist einfach absurd, dass Microsoft so ein Update herausbringt, das bei einem dermaßen großen Teil der Systeme fehlschlägt.

Moin...

Zitat von @DerWoWusste:

Moin.

Einen WinRE- Patch braucht man nicht zwingend,vda man WinRE nicht zwingend braucht. Ich hab bedenkenlos WinRE per Kommando abgeschaltet, wenn du das brauchst, sag Bescheid.

Bescheid

Danke im Voraus
Frank

Da ich gerade auch suchen musste:
https://technischetipps.com/betriebssysteme/so-aktivieren-oder-deaktivie ...

Zitat von @user217:

Moin,
hab verzweifelt nach den genannten KB's gesucht aber nicht gefunden..

In unserem WSUS finde ich dazu auch nichts.

Hier unser Skript von Anfang des Jahres 23 (da war das Selbe in grün):

# Disable Windows Recovery Environment wegen Sicherheitslücke in Bitlocker

$BitlockerStatus =  (Get-BitLockerVolume -MountPoint "C:").ProtectionStatus  
$WinReStatus = reagentc /info | Select-String -Pattern "Status"  
$LogPath = "\\server\loggingshare\Win_RE"  


if ( $BitlockerStatus -like "ON" ) {      

    if ( $WinReStatus -match "Enabled" ) {   
        reagentc /disable
        [void] ( New-Item -path $LogPath -name "$env:COMPUTERNAME.txt" )  
        
    } else {        
        if ( -Not ( Test-Path -path "$LogPath\$env:COMPUTERNAME.txt"  -PathType leaf ) ) {           
            [void] ( New-Item -path $LogPath -name "$env:COMPUTERNAME.txt" )  
        }
    }
}



# Befehl in Batch:     for /f "delims=" %%a in ('powershell "(Get-BitLockerVolume -MountPoint "C:").ProtectionStatus" ') do if /i ON==%%a ( reagentc /disable )  

Moin,

habe das Problem an meinem Arbeitsplatzrechner (hoffentlich nicht auch noch auf anderen).

@dww

Einen WinRE- Patch braucht man nicht zwingend, da man WinRE nicht zwingend braucht. Ich hab bedenkenlos WinRE per Kommando abgeschaltet, wenn du das brauchst, sag Bescheid.

Verstehe ich das richtig, dass es reichen sollte, WinRE zu deaktivieren? Ist auf meinem Rechner schon deaktiviert, trotzdem soll der Patch runtergeladen werden (was scheitert). Muss ich zusätzlich im WSUS KB5034441 ablehnen, damit das nicht mehr passiert?

Nur zum Verständnis, weil wir das Problem bei diversen Rechnern nicht haben...

Gruß

EDIT: Ich kann KB5034441 im WSUS nicht ablehnen, weil der dort gar nicht gefunden wird?!?

Seltsam... ich habe WinRE deaktiviert und mir wird der Patch nicht angeboten. Muss der etwa im WSUS noch bejaht werden? Das würde mich wundern. Ich schaue nach.

Hab nachgesehen. KB5034441 ist auf unserem WSUS nicht angekommen. Vielleicht zurückgezogen. Sicherheitsupdates lädt der runter, keine Frage.

Wie gesagt, ich finde den bei uns im WSUS auch nicht. Umso mehr die Frage, warum mein Rechner so scharf drauf ist. Ich habe allerdings eine Bitlocker-Partition auf dem Rechner.

Auch bei uns auf 3 WSUS Servern ist das Update KB5034441 nicht verfügbar, obwohl wir in WSUS das Product schon ausgewählt haben.
Laut MSFT:
This update will automatically sync with WSUS if you configure Products and Classifications as follows:
Product: Windows 10, version 1903 and later
Classification: Updates

https://support.microsoft.com/en-us/topic/kb5034441-windows-recovery-env ...

This update will automatically sync with WSUS if you configure Products and Classifications as follows:
Product: Windows 10, version 1903 and later
Classification: Updates

Die sind gut... stufen es als vulnerability ein, aber das Gegenmittel läuft dann unter "Update" und nicht Sicherheitsupdate

Hat denn noch jemand das Problem, dass das Update trotz deaktiviertem WinRE angeboten wird?

Moin,

betrifft aber nur die Pro bzw. Volumelicenses und nicht die Home-Versionen.

Gruss Penny.

Hi,
wie groß sind denn Problem-Partitionen?
In dem Artikel wird ja nur erklärt wie man sie um 250mb vergrößert...

Wir legen die extra mit 1gb an, weiles da schon mal Probleme gab.

Sg Dirm

Moin,

Ich interpretiere das jetzt aber als Download- und nicht als Installationsfehler.

BG BM

Moin,

ich bekomme das:

C:\WINDOWS\system32>reagentc /info
Konfigurationsinformationen zur Windows-Wiederherstellungsumgebung (WinRE) und
zur Systemwiederherstellung:

    WinRE-Status:                          Disabled
    WinRE-Ort:
    Startkonfigurationsdaten-ID:           61b666d1-ef53-11e9-8e72-fea15293a3d0
    Ort des Wiederherstellungsimages:
    Index des Wiederherstellungsimages:    0
    Ort des benutzerdefinierten Images:
    Index des benutzerdefinierten Images:  0

REAGENTC.EXE: Vorgang erfolgreich.

Ihr könnt das Update ablehnen am WSUS oder lokal. Lokal über das gute alte wushowhide.diagcab (das kann man auch deployen - wer Infos dazu braucht, melde sich bitte)

@dww

Ihr könnt das Update ablehnen am WSUS oder lokal

Wie mache ich das am WSUS? Bei der Updatesuche finde ich KB5034441 nicht, wird nicht angezeigt.

Zitat von @DerWoWusste: Ich hab bedenkenlos WinRE per Kommando abgeschaltet, wenn du das brauchst, sag Bescheid.

Danke, ich komme evtl. darauf zurück, will erst die weitere Entwicklung abwarten.

Zitat von @Der-Phil: es ist einfach absurd, dass Microsoft so ein Update herausbringt, das bei einem dermaßen großen Teil der Systeme fehlschlägt.

Davon werden vermutlich über 100 Million Kunden betroffen sein. Ich habe mir einige meiner Installationen angesehen. Bei keiner ist die WinRE Partion groß genug (es heißt in einen Foren, die sollte 3 GB sein, ist aber nur um die 700 MB auf allen Systemen - oder gar nicht vorhanden.)

Am Wsus wurde das Update nicht angeboten.
Auf einem anderen Rechner auch nur per Online Update. Hier lief es auch ohne Probleme und ohne Abschalten der RE durch.

CVE-2024-20666... ich hab grad arge Déjà-vus (CVE-2022-41099, CVE-2022-21894/CVE-2023-24932).

Und wieder hinterlässt die FAQ (des MSRC) viele offene Fragen (welche schon das letzte Mal kaum jemand interessiert hat) und wieder täuscht der niedrige CVE da physischer Kontakt gegeben sein muss, was ja in den meisten Szenarien wo Bitlocker vor fremden Datenzugriff schützen soll naturgemäß der Fall ist.

Das Ganze automatisch zu patchen ist ja durchaus der richtige Weg, denn wenn sie schon jedem Bitlocker aufs Auge drücken (Stichwort Modern Devices) dürfen sie nicht wie das letzte Mal erwarten, dass Enduser wie Marianne und Herbert die Update History Seiten verfolgen, KBs lesen usw. um dann mittels dism oder Powershell Scipt manuell zu patchen.

Aber ist es denn zuviel verlangt ein paar Prüfungen mit einzubauen?
Nach der letzten Bitlocker Geschichte und dann BlackLotus habe ich auf allen Geräten WinRE verbannt.
Und trotzdem läuft das Update auf und schlägt dann bei der Installation fehl.

Moin,

ein paar Lösungsansätze findet man noch hier:
https://www.deskmodder.de/blog/2024/01/09/windows-10-kb5034441-winre-upd ...

Da mir das aber alles zu blöd ist und ich die Gefahr für uns (!) recht gering einschätze, habe ich mich an den Vorschlag von @dww gehalten und wushowhide.diagcab eingesetzt:
https://techcommunity.microsoft.com/t5/windows-servicing/why-have-all-mi ...

Update auf dem betreffenden Rechner versteckt und Ruhe ist.

Gruß

Wenn's am wsus nicht zu sehen ist, hast du Dualscan aktiv. Abschalten per gpo.

Negativ, Parker. Dualscan ist bei uns nicht aktiv.

Tatsächlich? Dann trage einen Fake wsus ein und starte den uodatedienst neu und scanne. Wenn's dann noch gefunden wird muss es ja aus dem Internet kommen.

Microsoft hat im entsprechenden KB Artikel die Fehlerbehandlung gepostet. Ich denke nicht, dass es dann noch einen Hotfix geben wird. Ich hab es grade ausprobiert und war in 5 Minuten den Fehler los.

KB Artikel: https://support.microsoft.com/en-us/topic/kb5034441-windows-recovery-env ...
Fehlerbehandlung: https://support.microsoft.com/en-us/topic/kb5028997-instructions-to-manu ...

Bitte lasst den Artikel auf Englisch, sonst stimmen die Befehle in der Anleitung unten nicht. (dumme automatisierte Übersetzung)

Wie verhält sich der Lösungsansatz auf Windows Servern bzw. wenn Win-RE von vorne herein deaktiviert ist?
Dann gibt es ja den Pfad nicht (und auch die Partition nicht?!)

Moin,

@tobi983

Wie verhält sich der Lösungsansatz auf Windows Servern bzw. wenn Win-RE von vorne herein deaktiviert ist?
Dann gibt es ja den Pfad nicht (und auch die Partition nicht?!)

Steht doch alles schon oben... Fehlerbehandlung nach MS-Anleitung oder Update ausblenden mit wushowhide.diagcab.

Gruß

Sollte sich jemand für das netzwerkweite Ausblenden des Patches interessieren, hier der Weg über wushowhide.diagcab
Ich habe mir das nur notiert und die Funktion damals geprüft. Hier meine Notiz:
wushowhide.diagcab entpacken und dann mit get-troubleshootingpack (Powershell) auf einem betroffenen System ein Answerfile erstellen (siehe https://learn.microsoft.com/en-us/powershell/module/troubleshootingpack/ ... )
Auf allen anderen Systemen kann man es dann unattended mit invoke... laufen lassen: https://learn.microsoft.com/en-us/powershell/module/troubleshootingpack/ ...

Zitat von @Der-Phil:
...aber es ist einfach absurd, dass Microsoft so ein Update herausbringt, das bei einem dermaßen großen Teil der Systeme fehlschlägt.

Ja das ist wirklich unfassbar. Selbst auf relativ neu installierten Systemen mit 538MB großen RE Partition, schlägt das Update fehl. Ich lege da jedenfalls nicht händisch die Hand an. Sollen die Microsoft-Telemetrie-Server halt unter der Anzahl der Meldungen bezüglich fehlgeschlagener Updates implodieren.

Moin...

Zitat von @anteNope:

Zitat von @Der-Phil:
...aber es ist einfach absurd, dass Microsoft so ein Update herausbringt, das bei einem dermaßen großen Teil der Systeme fehlschlägt.

wenn das jemand da Lesen würde

Frank

Zitat von @DerWoWusste:

Hier unser Skript von Anfang des Jahres 23 (da war das Selbe in grün):

# Disable Windows Recovery Environment wegen Sicherheitslücke in Bitlocker

$BitlockerStatus =  (Get-BitLockerVolume -MountPoint "C:").ProtectionStatus  
$WinReStatus = reagentc /info | Select-String -Pattern "Status"  
$LogPath = "\\server\loggingshare\Win_RE"  


if ( $BitlockerStatus -like "ON" ) {      

    if ( $WinReStatus -match "Enabled" ) {   
        reagentc /disable
        [void] ( New-Item -path $LogPath -name "$env:COMPUTERNAME.txt" )  
        
    } else {        
        if ( -Not ( Test-Path -path "$LogPath\$env:COMPUTERNAME.txt"  -PathType leaf ) ) {           
            [void] ( New-Item -path $LogPath -name "$env:COMPUTERNAME.txt" )  
        }
    }
}



# Befehl in Batch:     for /f "delims=" %%a in ('powershell "(Get-BitLockerVolume -MountPoint "C:").ProtectionStatus" ') do if /i ON==%%a ( reagentc /disable )  

Danke für das Script zum deaktivieren von WinRe.

Das werden wir jetzt wohl endlich auf allen Clients laufen lassen.

Bei uns haben einige Clients gar keine WinRE partition, trotzdem zeigt Reagentc /info das WinRE aktiv ist. Wie kann das ohne die Partition sein?

Die Anleitung von Microsoft ist ja super, aber ich kann ja nicht auf 200 clients diese Schritte ausführen und das alles in ein Script packen, was viele unterschiedliche Ausgangssituationen berücksichtigen muss, macht man auch nicht einfach mal so schnell nebenbei. Eine manuelle Vergrößerung per gparted usw ist ebenso nicht realistisch.

Von daher bleibt ja nur das deaktivieren.

Die Anleitung von Microsoft ist ja super, aber ich kann ja nicht auf 200 clients diese Schritte ausführen und das alles in ein Script packen, was viele unterschiedliche Ausgangssituationen berücksichtigen muss, macht man auch nicht einfach mal so schnell nebenbei. Eine manuelle Vergrößerung per gparted usw ist ebenso nicht realistisch.

Ich sehe hier MS in der Pflicht. Sollen die halt das Update richtig bauen! Wenn die Partition schon vom Setup zu klein angelegt worden ist (damals mal 100-200 MB oder was?) muss halt die RE-Partition gelöscht, Systemlaufwerk verkleinert, RE-Partition neu angelegt, und neu befüllt werden.

Sehe hier wirklich keine Notwendigkeit, dass dies nicht automatisch passieren kann. Dem Endanwender zu sagen fummel in deiner RE-Partition rum, kann wirklich nicht deren Lösung sein.

MS hat nun auch ein Script veröffentlicht zum Update der WinRE Partition:
https://support.microsoft.com/en-us/topic/kb5034957-updating-the-winre-p ...

Der Kollege von bleepingcomputers hat es auch schon getestet:
https://www.bleepingcomputer.com/news/microsoft/windows-10-kb5034441-sec ...

Bei mir taucht allerdings das "Problem"-Update (noch) gar nicht auf dem WSUS auf...

Moin,

Mahlzeit, wir haben das Problem jetzt auf diversen Rechnern

@clemens-der-vierte
Hast Du mal getestet, ob das Script funktioniert? Laut Bleeping-Test ja nicht?

Bei mir taucht allerdings das "Problem"-Update (noch) gar nicht auf dem WSUS auf...

Sagte ich bereits, das ist da nicht zu sehen. Und nein, da ist kein Dualscan aktiv.

Gruß

Gerade mal selbst das Skript getestet, wie im Test von Bleepingcomputer, das Skript ist nutzlos, bewirkt bei uns gar nichts. Update wird immer wieder angeboten, Installation scheitert mit demselben Fehler.

Microsoft hat reagiert:

Microsoft: Powershell-Skript hilft bei WinRE-Bitlocker-Update
https://www.heise.de/news/Microsoft-liefert-Abhilfe-zur-Installation-von ...

Mir platzt gleich der Arsch. Die spinnen doch bei Microsoft.

Zitat von @Coreknabe:

Moin,

Mahlzeit, wir haben das Problem jetzt auf diversen Rechnern

@clemens-der-vierte
Hast Du mal getestet, ob das Script funktioniert? Laut Bleeping-Test ja nicht?

Bei mir taucht allerdings das "Problem"-Update (noch) gar nicht auf dem WSUS auf...

Sagte ich bereits, das ist da nicht zu sehen. Und nein, da ist kein Dualscan aktiv.

Gruß

Nein, ich habe es selbst noch nicht getestet.

Betrifft auch mein Asus Notebook mit Windows 10 Professional 64 Bit deutsch.

Hallo,
der Link - das MS bei einem der nächsten Patchdays den Fehler wieder geradebügeln will - wurde ja schon eingestellt.
https://www.heise.de/news/Microsoft-liefert-Abhilfe-zur-Installation-von ...

Den Fehler mit KB5034441 kann ich mangels 2022 Server nur mit W10 bestätigen.
Auf einigen Systemen habe ich ein portables Partition-Tools verwendet
(Beispiel

https://macrorit.com/download.html?mde
und damit die Wiederherstellungspartition von 512MB auf ca.800MB aufgeblasen.
Anschließend wird das Update sauber installiert.

Das Vergrößern hat evtl. den Mehrwert das künftige Updates nicht wieder an einer zu kleinen Partition scheitern.
Arbeitsaufwand pro Client ca. 5-8min inkl. Neustart (bei einigen Clients geht das in Ordnung. Wenn jemand eine größere Anzahl hat dann muss er wohl oder übel auf MS warten beim nächsten oder übernächsten Patchday)

Gruß Andreas

Moin,

habe grade ein Notebook vor mir, wo Samsung Magician v8.0.1 auf einer originalen Samsung SSD KEIN Over-Provisioning und KEIN Performance Optimization mehr unterstützt.
Eventuell Folgen den vermurktem Update KB5034441?

Systeminfo:
Windows 10 Build 22H2 Home Edition
2x SSD: Samsung 850 EVO 500GB. Jeweils 46,58 GB sind noch frei.

Bin schon auf Samsung Magician v8.0.0 zurück gegangen - Gleicher Fehler.
Laut Hilfebschreibung soll es bei der 850 EVO aber unterstützt werden.

Hat jemand weitere Ideen, Hilfen? Oder ähnliches Phänomen?

Gruss Penny.

Die Entwickler kündigen an, eine Lösung mit einem kommenden Update zu automatisieren.

Warum nicht gleich so? Bei den damaligen Funktionsuprades wurde eine fehlende RE-Partition auch angelegt oder ggf. vergrößert.

Ebenso beim Win11 Upgrade. Hier wird die Partition auch angepasst, wenn notwendig.

@anteNope

Die Entwickler kündigen an, eine Lösung mit einem kommenden Update zu automatisieren.
Warum nicht gleich so? Bei den damaligen Funktionsuprades wurde eine fehlende RE-Partition auch angelegt oder ggf. vergrößert.

Woher kommt die Info, dass das automatisiert werden soll? Hier im Thread direkt sehe ich nichts dazu.

Gruß

Zitat von @Coreknabe:
Woher kommt die Info, dass das automatisiert werden soll? Hier im Thread direkt sehe ich nichts dazu.

Von dort:

Zitat von @andipc:
Hallo, der Link - das MS bei einem der nächsten Patchdays den Fehler wieder geradebügeln will - wurde ja schon eingestellt.
https://www.heise.de/news/Microsoft-liefert-Abhilfe-zur-Installation-von ...

Bei dem Link der aller letzte Satz.

@anteNope
OK, wäre an mir vorbeigegangen. Danke Dir!

Gruß

German General Microsoft Windows 10 Windows Server Windows Update

Hotly discussed

End of availability for classic Teams clientDani