tomtom33
Goto Top

Windows 11 - Update von 22H2 auf 23H2 - trotz "inkompatibler" Hardware

Offensichtlich verfolgt Microsoft das Ziel Geräte ohne die geforderten Hardwarevoraussetzungen von dieser neuen Version fernzuhalten.
Wer also 22H2 installiert hat und nicht die Hardwarevoraussetzungen erfüllt, der soll offensichtlich leer ausgehen (zumindest Stand jetzt).
Der Hintergrund dürfte klar sein, es sollen die Nutzer zum Kauf neuer Hardware und damit neuer Lizenzen (am Liebsten wäre denen sicherlich Windows365) gezwungen werden, da ab Mitte/Ende 2024 ja der Support ausläuft.
Meine persönliche Meinung dazu: dieses Geschäftsgebaren wird sicherlich einige dazu bewegen, sich nach Alternativen umzusehen und Windows den Rücken zu kehren, was die Marktanteile wohl noch weiter in den Keller drücken würde.
Auch wenn sonst alle aktuellen Updates für 22H2 aufgespielt sind, bekomme ich das notwendige KB 5027397 (Enablement Package) weder angeboten, noch ist es im Katalog zur manuellen Installation verfügbar (ob sich das noch ändern wird, wage ich zu bezweifeln).

Um dennoch in die neuen Funktionen nutzen zu können, gibt es mehrere Wege.

Zum Einen bietet Deskmodder den benötigten Patch zum Download an (das wird wohl einer aus den Beta-Channels sein?):
www.deskmodder.de/blog/2023/09/26/kb5027397-funktionsupdate-als-download-fuer-windows-11-23h2-22631-enablement-package/

Zum Anderen besteht die Möglichkeit (mit einem kleinen Trick) ein Upgrade über das 23H2-Image zu bewerkstelligen, indem man mit
setup.exe /product server
die Prüfmechanismen umgeht, wie in diesem Video beschrieben:


Man beachte jedoch, dass auch hier Microsoft (wie schon in vorherigen Versionen) versucht, den Download eines Images von der Microsoft-Seite zu unterbinden, was man umgehen kann, wenn man bspw. über WSL diese Seite in Linux aufruft, oder mit einer VPN-Lösung die IP verbirgt. Wem das zu umständlich ist, der kann ein Image auch bei WinFuture erhalten (sind identisch), ohne Restriktionen: winfuture.de/news,139144.html
Außerdem dauert der Upgrade-Vorgang sehr lange und klappt meist erst beim 2. Anlauf (beim 1. verabschiedet sich der Vorgang nach gewisser Zeit einfach ohne Fehlermeldung, danach funktioniert es aber problemlos) und das Setup zeigt eine Server-Installation an, was aber nur ein Upgrade installiert (funktioniert mit allen Windows 11 Editionen).

Sicherlich ist dieser Weg zeitraubender und umständlicher wie der erste Weg, den Vorteil sehe ich persönlich jedoch darin, dass es sich um eine Original-Installation handelt, welches unter Umständen sogar vorher vorenthaltene Features aktiviert, und diese nicht von inoffiziellen Quellen (ohne jetzt Deskmodder irgendetwas unterstellen zu wollen), bzw. aus Beta-Channels handelt.

Nun habe ich mit meinem Testrechner (HP EliteBook 8470p, mit Win 11 Enterprise) den 2 Weg gewählt und das Resultat ist, dass alles zwar sehr lange gedauert hat und nach dem Upgrade gleich noch 3 CUs nachinstalliert werden mussten, ich aber jetzt über 23H2 auf diesem Rechner verfüge.

Edition Windows 11 Enterprise
Version 23H2
Installiert am ‎15.‎11.‎2023
Betriebssystembuild 22631.2715
Leistung Windows Feature Experience Pack 1000.22677.1000.0

Einzig das Problem welches ich bereits vorher mehrfach nach einzelnen CUs beobachtet hatte, dass sfc /verifyonly mir Integritätsverletzungen anzeigt (das hatte bei mir unter Windows 10 schon fast undefinierbare Probleme beschert und wurde nicht durch Malware ausgelöst, war hier auch wieder festzustellen (auch wenn MS auf DISM verweist, welches aber keine Fehler feststellt und es immer mal andere Komponenten betrifft), welches sich aber mit sfc /scannow beheben lässt.
In diesem Punkt habe ich stark den Eindruck, es könnte auch Strategie von MS sein, wenn es nicht direkt an dem Update-Prozess liegen sollte, aber das ist spekulativ.

Vielleicht hilft diese Anleitung ja jemandem, der vor dem gleichen Problem steht.

Grüße
Tom

Content-Key: 32573571033

Url: https://administrator.de/contentid/32573571033

Printed on: May 18, 2024 at 17:05 o'clock

Member: ForgottenRealm
ForgottenRealm Nov 16, 2023 at 09:25:31 (UTC)
Goto Top
Und beim nächsten Windows Update geht dann das dann vorne los.
Für private Bastler mag das praktisch sein, in einem Betrieb hat so ein Gefrickel meiner Meinung nach nichts zu suchen.
PCs auf denen Windows 11 nicht läuft sind, mit Stand des Ablaufdatums 14.10.2025, mindestens 8 Jahre alt (Intel Generation < 8xxx, von 2018).
Bis dahin sind diese längst abgeschrieben und werden in der Regel schon vorher ausgetauscht.
Schau dich mal im Apple Lager um, da bekommen die MacBooks und Macs auch nicht mehr als 8 Jahre Updates, an der Stelle schreit aber nicht jeder rum das er sich alle 8 Jahre ein neues Gerät kaufen muss.
Member: Tomtom33
Tomtom33 Nov 16, 2023 updated at 09:45:47 (UTC)
Goto Top
Zitat von @ForgottenRealm:

Und beim nächsten Windows Update geht dann das dann vorne los.

na das wird sich herausstellen, nur werden die nächsten CUs wohl kaum so aufgebaut sein.

Für private Bastler mag das praktisch sein, in einem Betrieb hat so ein Gefrickel meiner Meinung nach nichts zu suchen.
PCs auf denen Windows 11 nicht läuft sind, mit Stand des Ablaufdatums 14.10.2025, mindestens 8 Jahre alt (Intel Generation < 8xxx, von 2018).
Bis dahin sind diese längst abgeschrieben und werden in der Regel schon vorher ausgetauscht.

Du hast da durchaus Recht, aber es gibt halt auch Menschen und bspw. kleine Betriebe, die sich das bspw. nicht leisten können, sollen die dann auf Sicherheitsupdates verzichten?
Und um es vorweg zu nehmen, es läuft auf meinem Testrechner ohne Probleme, also warum bitte dieses Geschäftsgebaren seitens MS - völliger Quatsch. und im Gegenteil, wenn Rechner nicht auf dem Schrott landen, dann ist das sogar nachhaltig.

Aber bei größeren Firmen mag ich dir durchaus beipflichten, bei Behörden und der Bundeswehr sieht es da aber zum Teil düsterer aus, was Rechner anbelangt, also bitte nicht alles nur aus Sicht eines ITlers sehen, der es nur mit vernünftiger IT zu tun hat.

Schau dich mal im Apple Lager um, da bekommen die MacBooks und Macs auch nicht mehr als 8 Jahre Updates, an der Stelle schreit aber nicht jeder rum das er sich alle 8 Jahre ein neues Gerät kaufen muss.

Ja der Marktanteil ist ein deutlich anderer, das Kundensegment auch, also ist der Vergleich dann eher wie der Vergleich Äpfel und Birnen.
Member: dertowa
dertowa Nov 16, 2023 at 09:47:01 (UTC)
Goto Top
Das typische Hase & Igel - Spiel.
Übrigens muss das alles nichts heißen, ich hatte letzte Woche ein Kundensystem unter der Nase.
Notebook, auch schon ein paar Jahre alt, taugt aber noch problemlos.

Wunsch war eine Neuinstallation mit Windows 11.
Die Kompatibilitätsliste zur CPU: https://learn.microsoft.com/de-de/windows-hardware/design/minimum/suppor ...
sagte AMD Ryzen 5 2500U geht nicht, da die Notebookprozessoren in der Zen-Generation hinterher hinken.

Das nicht modifizierte Windows-Setup hatte allerdings keine Einwände und hat mich die 23H2 einfach installieren lassen. face-smile

Grüße
ToWa
Member: Tomtom33
Tomtom33 Nov 16, 2023 at 09:59:29 (UTC)
Goto Top
Zitat von @dertowa:

Das nicht modifizierte Windows-Setup hatte allerdings keine Einwände und hat mich die 23H2 einfach installieren lassen. face-smile

Grüße
ToWa

gut zu wissen, vielen Dank für den Hinweis, werde ich bei Gelegenheit mal testen.
Member: GrueneSosseMitSpeck
GrueneSosseMitSpeck Nov 16, 2023 at 20:07:08 (UTC)
Goto Top
wie war das noch vom Startmedium booten (Windows 11 direkt installieren), beim Inplace Update (Win10 auf Win11) setup starten

bei beiden noch im ersten SEtup-Bildschirm
Shift F10 und rein in die Konsole...

HKEY_LOCAL_MACHINE\SYSTEM\Setup, right-click on the Setup key and select New > Key.

When prompted to name the key, enter LabConfig and press enter.

Now right-click on the LabConfig key and select New > DWORD (32-bit) value and create a value named BypassTPMCheck, and set its data to 1. Now create the BypassRAMCheck and BypassSecureBootCheck values

Wer einmal das SEtup oder das Update so ausgetrickst hat, müßte die Registrykeys nur am Bestandssystem kontrollieren ...wenn da, sich selber Vollzugriff geben und sperren für den Benutzer "SYSTEM" damit im Updateprozeß diese Keys nämlich nicht zurückgesett werden,
Member: Tomtom33
Tomtom33 Nov 16, 2023 updated at 21:21:27 (UTC)
Goto Top
Zitat von @GrueneSosseMitSpeck:

wie war das noch vom Startmedium booten (Windows 11 direkt installieren), beim Inplace Update (Win10 auf Win11) setup starten

bei beiden noch im ersten SEtup-Bildschirm
Shift F10 und rein in die Konsole...

HKEY_LOCAL_MACHINE\SYSTEM\Setup, right-click on the Setup key and select New > Key.

When prompted to name the key, enter LabConfig and press enter.

Now right-click on the LabConfig key and select New > DWORD (32-bit) value and create a value named BypassTPMCheck, and set its data to 1. Now create the BypassRAMCheck and BypassSecureBootCheck values

Wer einmal das SEtup oder das Update so ausgetrickst hat, müßte die Registrykeys nur am Bestandssystem kontrollieren ...wenn da, sich selber Vollzugriff geben und sperren für den Benutzer "SYSTEM" damit im Updateprozeß diese Keys nämlich nicht zurückgesett werden,

Du meinst sicherlich diesen Patch dafür (Upgrade bei bestehendem Win 10/11):
HKEY_LOCAL_MACHINE\SYSTEM\Setup\MoSetup
dort „AllowUpgradesWithUnsupportedTPMOrCPU“ (DWORD) erstellen und den Wert „1“ zuweisen.

Der funktionierte bisher und wurde bei mir auch nicht durch Updates (seit der Erstausgabe) überschrieben.

Die von dir genannten Reg-Einträge wären diese hier:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\PCHC]
"UpgradeEligibility"=dword:00000001  

[HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig]
"BypassTPMCheck"=dword:00000001  
"BypassSecureBootCheck"=dword:00000001  
"BypassRAMCheck"=dword:00000001  
"BypassStorageCheck"=dword:00000001  
"BypassCPUCheck"=dword:00000001  
"BypassDiskCheck"=dword:00000001  

Bei einer Neuinstallation könntest Du auch Rufus, oder Ventory in den jeweils aktuellen Versionen nutzen.
Member: MysticFoxDE
MysticFoxDE Nov 21, 2023 at 09:03:41 (UTC)
Goto Top
Moin @Tomtom33,

Du meinst sicherlich diesen Patch dafür (Upgrade bei bestehendem Win 10/11):
HKEY_LOCAL_MACHINE\SYSTEM\Setup\MoSetup
dort „AllowUpgradesWithUnsupportedTPMOrCPU“ (DWORD) erstellen und den Wert „1“ zuweisen.

Der funktionierte bisher und wurde bei mir auch nicht durch Updates (seit der Erstausgabe) überschrieben.

Die von dir genannten Reg-Einträge wären diese hier:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\PCHC]
"UpgradeEligibility"=dword:00000001  

[HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig]
"BypassTPMCheck"=dword:00000001  
"BypassSecureBootCheck"=dword:00000001  
"BypassRAMCheck"=dword:00000001  
"BypassStorageCheck"=dword:00000001  
"BypassCPUCheck"=dword:00000001  
"BypassDiskCheck"=dword:00000001  

kann das bestätigen, die oberen Key's bringen bei einem Upgrade von 22H2 auf 23H2, leider nichts mehr. ๐Ÿ˜”๐Ÿ˜ญ

Gruss Alex
Member: Tomtom33
Tomtom33 Nov 23, 2023 updated at 11:35:44 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Moin @Tomtom33,

kann das bestätigen, die oberen Key's bringen bei einem Upgrade von 22H2 auf 23H2, leider nichts mehr. ๐Ÿ˜”๐Ÿ˜ญ

Gruss Alex

Danke für dein Feedback Alex.

Na zumindest funktioniert ja wenigstens noch der erstgenannte Weg über eine "Server-Installation" bisher noch sicher und problemlos ๐Ÿ˜‰

Alle die ggf. mit solchen Rechner konfrontiert werden könnten, sollten sich überlegen, sich das Installations-Medium noch zu sichern, denn ich vermute ganz stark, dass MS dieses "Schlupfloch" durch Änderungen an der setup.exe noch schließen wird - was man hat, das hat man.

Bei 24H2, bzw. Win12 dürfte dann vermutlich auch das nicht mehr funktionieren, aber das ist ja erst in schätzungsweise 1 Jahr der Fall, nur es zeigt sehr deutlich die Bestrebungen von Microsoft, denn dabei geht es offensichtlich nur um monetäre Aspekte, nicht um wirklich notwendige Hardware-Voraussetzungen ๐Ÿคฌ

Nachhaltigkeit sieht anders aus ...

Gruss Tom
Member: Tomtom33
Tomtom33 Nov 23, 2023 updated at 11:31:42 (UTC)
Goto Top
Noch ein kleiner Nachtrag, bzw. eine Anmerkung:

versucht nach der erfolgreichen Installation (nach dem Neustart versteht sich) unbedingt mittels Admin-Konsole (funktioniert nur mit erhöhten Rechten!) folgenden Check:
sfc /verifyonly

Falls dort "Integritätsverletzungen" angezeigt werden, solltet ihr diese dann wie folgt beheben:
dism /online /cleanup-image /scanhealth
dism /online /cleanup-image /restorehealth
sfc /scannow
chkdsk /scan

chkdisk könnte man theoretisch bei SSDs weglassen, der Rest sollte aber in dieser Reihenfolge erfolgen, wobei sfc Dateinen repariert, die von dism nicht repariert werden.
Da MS zur Reparatur dism, anstatt sfc empfiehlt, ist dieser Weg sicherlich zielführender, auch wenn die eigentliche Reparatur (in meinem Fall) oft erst mit sfc erfolgt.

Was genau repariert wurde, bzw. werden sollte (beim Check), ist ggf. im Log-File ersichtlich, welches unter %windir%/Logs/CBS/CBS.log einsehbar ist.

Gruss Tom
Member: MysticFoxDE
MysticFoxDE Nov 23, 2023 at 23:16:35 (UTC)
Goto Top
Moin Tom,

Bei 24H2, bzw. Win12 dürfte dann vermutlich auch das nicht mehr funktionieren, aber das ist ja erst in schätzungsweise 1 Jahr der Fall.

Wie du im folgende Screenshot erkennen kannst, funktioniert das Upgrade auf einen neuere Windows Version mit der von MS nicht gemochten Hardware, auch schon bei 21H2 nicht wirklich.

hardwareanforderungen w11-2

Den auf diesem Rechner kann ich auch schon kein Upgrade einspielen.

nur es zeigt sehr deutlich die Bestrebungen von Microsoft, denn dabei geht es offensichtlich nur um monetäre Aspekte, nicht um wirklich notwendige Hardware-Voraussetzungen ๐Ÿคฌ

Achte bei dem oberen Screenshot bitte auch insbesondere auf die in diesem Rechner verbaute CPU und auf die Aussage von Windows, betreffend unter anderem auch deren Hardwaresicherheit. ๐Ÿ™ƒ

So viel zum Thema reale und begründete Hardwareanforderungen von einem aktuellen Windows. ๐Ÿ˜”

Gruss Alex
Member: Tomtom33
Tomtom33 Nov 26, 2023 at 02:17:01 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Moin Tom,

Bei 24H2, bzw. Win12 dürfte dann vermutlich auch das nicht mehr funktionieren, aber das ist ja erst in schätzungsweise 1 Jahr der Fall.

Wie du im folgende Screenshot erkennen kannst, funktioniert das Upgrade auf einen neuere Windows Version mit der von MS nicht gemochten Hardware, auch schon bei 21H2 nicht wirklich.

hardwareanforderungen w11-2

Den auf diesem Rechner kann ich auch schon kein Upgrade einspielen.


MS schreibt dazu: "Vor dem Aktualisieren auf Windows 11 Version 23H2 mithilfe eines Aktivierungspakets müssen Sie Windows 11 Version 22H2 ausführen."
^^Bezogen auf KB5027397, vlt. liegt das Problem im Upgrade-Prozess die 22H2 voraussetzt?
TPM2 und SecureBoot scheint ja kein Problem zu sein, nur der Prozessor wird offiziell nicht unterstützt.
Die Methode mit dem Server-Install hatte bei mir (und auch bei anderen) erst beim 2. Anlauf funktioniert, hast Du es ein 2. Mal versucht (beim ersten Mal funktionierten erst nur die Einstellungen vor der eigentlichen Installation und das setup hatte sich dann Verzögerung aufgehängt)?

Ansonsten soll der Patch mit der AppraiserRes.dll (auf 0 Byte, nicht löschen) wohl auch funktionieren.

So viel zum Thema reale und begründete Hardwareanforderungen von einem aktuellen Windows. ๐Ÿ˜”

Gruss Alex

Ja, das ist ein gutes Beispiel dafür, dass das ganze nicht wirklich stimmig sein kann und ob man nun zwingend TPM 2.0 und SecureBoot, sowie Kernel-Isolation zwingend benötigt, ist ja letztendlich von der Nutzung abhängig, sowie dem gewünschtem Sicherheitslevel.
Sicherlich ist das in einem größeren Firmennetzwerk anders zu bewerten, wie im privaten Bereich, oder im Bereich anderweitiger Nutzung, nur über solche Methoden viele Nutzer auszusperren zu wollen, wird m.E.n. Windows noch mehr Marktanteile kosten und ich glaube kaum, dass sich das Abo-Modell in diesem Nutzer-Segment durchsetzen wird.
Ich möchte nicht wissen, wie viele Win7-Rechner weltweit mittlerweile Bot-Netzen angehören, demnächst kommen dann wohl noch einige hinzu, die Win10, oder Win11 21H2 installiert haben und dann einfach keine Sicherheitspatches mehr bekommen - ob das sinnvoll ist?

hier mal ein interessanter Beitrag dazu, wo das FBI das Qakbot-Netz lahmgelegt hatte, welches 700.000 Zombi-Rechner umfasste: Qakbot: FBI infiltriert eines der größten Botnetze – und reinigt damit die gehackten Rechner

Gruss Tom
Member: MysticFoxDE
MysticFoxDE Nov 26, 2023 updated at 08:39:49 (UTC)
Goto Top
Moin @Tomtom33,

MS schreibt dazu: "Vor dem Aktualisieren auf Windows 11 Version 23H2 mithilfe eines Aktivierungspakets müssen Sie Windows 11 Version 22H2 ausführen."
^^Bezogen auf KB5027397, vlt. liegt das Problem im Upgrade-Prozess die 22H2 voraussetzt?
TPM2 und SecureBoot scheint ja kein Problem zu sein, nur der Prozessor wird offiziell nicht unterstützt.
Die Methode mit dem Server-Install hatte bei mir (und auch bei anderen) erst beim 2. Anlauf funktioniert, hast Du es ein 2. Mal versucht (beim ersten Mal funktionierten erst nur die Einstellungen vor der eigentlichen Installation und das setup hatte sich dann Verzögerung aufgehängt)?

Ansonsten soll der Patch mit der AppraiserRes.dll (auf 0 Byte, nicht löschen) wohl auch funktionieren.

mach dir da keine Sorgen. Wenn ich wirklich gewollt hätte, dass dieser Rechner auf 23H2 läuft, dann wäre das auch schon so. Ich habe diesen lediglich als Beispiel genommen um zu belegen, dass auch schon das 22H2 Upgrade, sich auf den laut Microsoft inkompatiblen Rechnern, leider nicht ohne weiteres installieren lässt. ๐Ÿ˜”

Ja, das ist ein gutes Beispiel dafür, dass das ganze nicht wirklich stimmig sein kann und ob man nun zwingend TPM 2.0 und SecureBoot, sowie Kernel-Isolation zwingend benötigt, ist ja letztendlich von der Nutzung abhängig, sowie dem gewünschtem Sicherheitslevel.

Hier geht es eher um VBS und HVCI, siehe folgenden Artikel.

https://www.pcgameshardware.de/Windows-11-Software-277633/News/VBS-HVCI- ...

vbs und hvci

Sicherlich ist das in einem größeren Firmennetzwerk anders zu bewerten, wie im privaten Bereich, oder im Bereich anderweitiger Nutzung,

Ähm, wie sage ich das jetzt "am Verdaulichsten". ๐Ÿค”

Die Unternehmen die ich kennen, setzen für den Schutz ihrer IT, meist auf andere Produkte, auf denen bewusst nicht "Microsoft" drauf steht. ๐Ÿ™ƒ

nur über solche Methoden viele Nutzer auszusperren zu wollen, wird m.E.n. Windows noch mehr Marktanteile kosten und ich glaube kaum, dass sich das Abo-Modell in diesem Nutzer-Segment durchsetzen wird.

Die sperren mit solchem Murks sogar zahlende Kunden aus, weil die so sehr von dem Nutzen derer Sicherheitsfeatures überzeugt sind, ohne überhaupt zu merken, dass ein sehr grosser Teil der Anwender, an diesen überhaupt nicht interessiert ist, weil diese wiederum z.B. zu sehr an deren Anwendungsperformance herumknabbern.

Ich möchte nicht wissen, wie viele Win7-Rechner weltweit mittlerweile Bot-Netzen angehören, demnächst kommen dann wohl noch einige hinzu, die Win10, oder Win11 21H2 installiert haben und dann einfach keine Sicherheitspatches mehr bekommen - ob das sinnvoll ist?

Der Witz ist, dass viele dieser Sicherheits-Features von denen Microsoft selbst so sehr überzeugt ist, genau 0 Nutzen bringen, im Gegenteil, durch das nutzlose ausbremsen von Anwendungen, sind viele davon, meiner Ansicht nach sogar schadhaft.

@microsoft
Ja, ich weis, ist mal wieder absolut unmöglich was das Füchsle da für ein Schnuh von sich lässt.
Aber, bevor ihr euch zu sehr über das Obere aufregt, solltet ihr mal über das Folgende genauer nachdenken.
Die meisten der Sicherheitsfeatures kommen ja auch auf euren Serverbetriebssystemen zum Einsatz und auf diesen laufen ja auch z.B. so Dinge wie Exchange, die aufgrund von so Dingen wie BUG's, sprich, unter anderem schlampiger Programmierung, ja des Öfteren leider Opfer von Angriffen werden. ๐Ÿ˜”๐Ÿ˜ญ
Und welche dieser sagenhaften Sicherheitsfeatures wie z.B. VBS und HVCI haben nun genau welchen dieser Angriffe effektiv verhindert?

Gruss Alex
Member: Tomtom33
Tomtom33 Nov 26, 2023 at 13:12:48 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Moin @Tomtom33,

mach dir da keine Sorgen. Wenn ich wirklich gewollt hätte, dass dieser Rechner auf 23H2 läuft, dann wäre das auch schon so. Ich habe diesen lediglich als Beispiel genommen um zu belegen, dass auch schon das 22H2 Upgrade, sich auf den laut Microsoft inkompatiblen Rechnern, leider nicht ohne weiteres installieren lässt. ๐Ÿ˜”


Von dir hätte ich da auch keine andere Antwort erwartet, es war halt auch nur als Hinweis für Leser mit weniger Erfahrung gedacht, die beim ersten Versuch schon aufgeben.

Ja, das ist ein gutes Beispiel dafür, dass das ganze nicht wirklich stimmig sein kann und ob man nun zwingend TPM 2.0 und SecureBoot, sowie Kernel-Isolation zwingend benötigt, ist ja letztendlich von der Nutzung abhängig, sowie dem gewünschtem Sicherheitslevel.

Hier geht es eher um VBS und HVCI, siehe folgenden Artikel.

https://www.pcgameshardware.de/Windows-11-Software-277633/News/VBS-HVCI- ...

vbs und hvci


Danke für den Hinweis, mir war das durchaus bekannt, aber wie Du auch betont hast, leidet die Performance extrem dabei, was schon seit Urzeiten ein Problem von Windows ist und sich auch sehr gut in der Ausführungsgeschwindigkeit von identischen Programmen für unterschiedliche Betriebssystem widerspiegelt.
Ein Beispiel: ein kleines Python-Programm von mir ermittelt die Geschwindigkeit von einzelnen Suchalgorithmen (jeweils sortiert und unsortiert je Durchlauf) anhand von einstellbaren Listen (also eine Art Array) mit einzigartigen Zahlen, wertet diese aus und kann die Messergebnisse als CSV-Datei speichern.
Wenn ich dieses Programm und die Messwerte von der Geschwindigkeit her zwischen Windows und einer beliebigen Linux-Distro (unter WSL wohl bemerkt) vergleiche, so ist die Ausführung bei gleichen Parametern um etwa den Faktor 3 schneller wie auf Windows.
Nun muss man dazu natürlich erwähnen, dass Python für jedes Betriebssystem einen eigenen Compiler benötigt, welcher natürlich auch auf Windows ineffektiver programmiert sein könnte,
dem gegenüber steht aber, dass WSL benutzt wird, welches ja auch schon eine Virtualisierung darstellt und während der Ausführung Windows ja auch läuft.
Auch sei dabei angemerkt, dass die beiden genannten Bremsen nicht zum Einsatz gekommen sind, die die Ergebnisse sicherlich auch noch beeinflusst hätten.
Fazit: identischer Prozessor, in WSL-Virtualisierung ist Linux um den Faktor 3 schneller, bei identischen Messungen (10.000 Messungen, bei je 5 Einzelmessungen und 200.000 Werten).

Falls das jemand gerne selbst ausprobieren möchte, würde ich hier ggf. zur Verfügung stellen, dann kann sich jeder selbst ein Bild davon machen und auch die Messergebnisse mit Excel selbst auswerten.


Sicherlich ist das in einem größeren Firmennetzwerk anders zu bewerten, wie im privaten Bereich, oder im Bereich anderweitiger Nutzung,

Ähm, wie sage ich das jetzt "am Verdaulichsten". ๐Ÿค”

Die Unternehmen die ich kennen, setzen für den Schutz ihrer IT, meist auf andere Produkte, auf denen bewusst nicht "Microsoft" drauf steht. ๐Ÿ™ƒ


Auch ich kenne solche Unternehmen, aber auch genauso viele, die es mit der Sicherheit nicht so genau nehmen. Sicherheit ist nicht gleich Sicherheit und nicht jedes von Microsoft gepriesene Sicherheitskonzept ist auch zielführend, denn machen wir uns nichts vor, Sicherheit fängt beim Anwender an und viele der erfolgreichen Cyberangriffe basieren auf Sozial-Engineering-Methoden, ein paar auf 0-Day-Exploits und andere auf Fehler die durch IT-Personal verursacht werden (wie bspw. das Datenleck des deutschen Automobil-Vermieters), das lässt sich damit definitiv nicht verhindern, im Maximalfall nur erschweren, aber unter dem Strich lassen sich Cyberangriffe nie zu 100% verhindern, denn die verwendeten Techniken werden immer ausgeklügelter und komplexer.
Was ich damit sagen möchte ist, es gibt nicht nur KRITIS-Unternehmen und Unternehmen mit besonders schutzbedürftigen Daten, sondern auch ganz viele andere Unternehmen und Privatanwender deren Schutzbedarf deutlich niedriger einzuschätzen ist und die sich eben nicht ständig neue Hardware leisten können, denn da spielt immer der Kosten-/Nutzenfaktor eine nicht unerhebliche Rolle bei der Entscheidungsfindung und eine Entscheidung seitens Microsoft dieses mehr an Sicherheit allen Nutzern aufzuerlegen, für die der Mehrwert eher zweifelhaft erscheinen dürfte, halte ich für kontraproduktiv und wenig zielführend.

nur über solche Methoden viele Nutzer auszusperren zu wollen, wird m.E.n. Windows noch mehr Marktanteile kosten und ich glaube kaum, dass sich das Abo-Modell in diesem Nutzer-Segment durchsetzen wird.

Die sperren mit solchem Murks sogar zahlende Kunden aus, weil die so sehr von dem Nutzen derer Sicherheitsfeatures überzeugt sind, ohne überhaupt zu merken, dass ein sehr grosser Teil der Anwender, an diesen überhaupt nicht interessiert ist, weil diese wiederum z.B. zu sehr an deren Anwendungsperformance herumknabbern.


Ja, da sehe ich auch ein großes Problem was denen langfristig noch schaden wird.

Ich möchte nicht wissen, wie viele Win7-Rechner weltweit mittlerweile Bot-Netzen angehören, demnächst kommen dann wohl noch einige hinzu, die Win10, oder Win11 21H2 installiert haben und dann einfach keine Sicherheitspatches mehr bekommen - ob das sinnvoll ist?

Der Witz ist, dass viele dieser Sicherheits-Features von denen Microsoft selbst so sehr überzeugt ist, genau 0 Nutzen bringen, im Gegenteil, durch das nutzlose ausbremsen von Anwendungen, sind viele davon, meiner Ansicht nach sogar schadhaft.


... nenne es doch beim Namen, viele davon dürften in kürzester Zeit ausgehebelt sein und damit zu neuen Problemen führen, wobei ich hierbei noch nicht einmal die teils schlampige Programmierung erwähnen möchte.

@microsoft
Ja, ich weis, ist mal wieder absolut unmöglich was das Füchsle da für ein Schnuh von sich lässt.
Aber, bevor ihr euch zu sehr über das Obere aufregt, solltet ihr mal über das Folgende genauer nachdenken.
Die meisten der Sicherheitsfeatures kommen ja auch auf euren Serverbetriebssystemen zum Einsatz und auf diesen laufen ja auch z.B. so Dinge wie Exchange, die aufgrund von so Dingen wie BUG's, sprich, unter anderem schlampiger Programmierung, ja des Öfteren leider Opfer von Angriffen werden. ๐Ÿ˜”๐Ÿ˜ญ
Und welche dieser sagenhaften Sicherheitsfeatures wie z.B. VBS und HVCI haben nun genau welchen dieser Angriffe effektiv verhindert?

Gruss Alex

Gute Frage zum Schluss ๐Ÿ˜Ž๐Ÿ‘๐Ÿผ
Mir fällt da offen gestanden im Moment keine bisher verwendete Angriffstechnik ein, lasse mich aber gerne eines Besseren belehren, solange diese nicht nur rein theoretisches Wissen beinhaltet.

Gruss Tom
Member: MysticFoxDE
MysticFoxDE Nov 26, 2023 at 13:53:24 (UTC)
Goto Top
Zitat von @Tomtom33,

... nenne es doch beim Namen, viele davon dürften in kürzester Zeit ausgehebelt sein und damit zu neuen Problemen führen, wobei ich hierbei noch nicht einmal die teils schlampige Programmierung erwähnen möchte.

Damit bringst du die Sache ziemlich gut auf den Punkt. ๐Ÿ‘๐Ÿ‘๐Ÿ‘

Die meisten Sicherheitsfeatures, die MS in den aktuellen Windows verbaut, halten meiner Ansicht nach höchstens einen unerfahrenen Script kiddie eine Zeitlang hin. ein erfahrener Hacker schmunzelt höchstens über diese, weil er sie mit den richtigen Rechten und wenigen Zeilen code, komplett zahnlos machen kann. ๐Ÿ˜”

Was jedoch auf jeden Fall durch diese ganzen Sicherheitsfeatures garantiert ist, ist die immer beschissener werdende Anwendungsperformance. ๐Ÿคข๐Ÿคฎ

Übrigens, die ab 22H2 im Windows eingebaute Phishing-Protection, kann je nach Anwendungsfall auch ordentlich verzögern und frisst zudem auch eine Menge zusätzlicher CPU Leistung. ๐Ÿ˜ญ

Gruss Alex
Member: Tomtom33
Tomtom33 Nov 26, 2023 updated at 23:27:07 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Die meisten Sicherheitsfeatures, die MS in den aktuellen Windows verbaut, halten meiner Ansicht nach höchstens einen unerfahrenen Script kiddie eine Zeitlang hin. ein erfahrener Hacker schmunzelt höchstens über diese, weil er sie mit den richtigen Rechten und wenigen Zeilen code, komplett zahnlos machen kann. ๐Ÿ˜”


Script kiddies kann man damit eine Zeitlang damit fern halten, aber eben nur solange, bis die Baukästen angepasst wurden, was meist nicht lange dauert.
Für staatliche Akteure dürfte das absolut keine Hürde sein, ebenso nicht für Profis, das sehe ich genauso.

Falls Du dich noch an Project Blue pill (Hackerkonferenz BlackHat 2008) erinnerst, danach mussten auch viele Chips wegen dem Rootkit-Risiko umgebaut werden, weil sie einen Fehler enthielten, der bis dahin nicht entdeckt wurde und softwareseitig auch nicht die Installation verhindern konnte.
Zu diesem Zeitpunkt hatte kaum einer von Rootkits gehört, geschweige denn deren Funktionsweise, während dort schon Proof of Concept-Lösungen präsentiert wurden. ๐Ÿ˜‰

Was jedoch auf jeden Fall durch diese ganzen Sicherheitsfeatures garantiert ist, ist die immer beschissener werdende Anwendungsperformance. ๐Ÿคข๐Ÿคฎ


Ja es wird definitiv immer schlimmer, wie man ja unschwer anhand meines Beispiels ersehen kann.
Deshalb ja meine Einstellung zu diesem Thema, dass man doch bitte die Sicherheitsmaßnahmen dem Anwender selbst überlassen sollte, anstatt ihn überall bevormunden zu wollen. Die Sicherheitsfeatures kann man ja anbieten, aber nicht verpflichtend, zumindest nicht dort, wo es nicht absolut notwendig ist.


Übrigens, die ab 22H2 im Windows eingebaute Phishing-Protection, kann je nach Anwendungsfall auch ordentlich verzögern und frisst zudem auch eine Menge zusätzlicher CPU Leistung. ๐Ÿ˜ญ

Gruss Alex

Ist bei mir eh abgeschaltet, da vertraue ich lieber externen Anbietern, die jahrelange Erfahrung bei der Malwareerkennung haben und bin der Meinung, die "Phishing-Protection" des Defenders taugt nichts.
Die meisten Phishing-Mails sind ohne große Probleme schon am Header erkennbar, wobei es etwas schwieriger wird Fälschungen zu erkennen, aber spätestens bei der Analyse von Links (auch verschleierten), dem Vorhandensein von Anhängen und nicht zu vergessen auch eingebetteten Bildern, sollte diese Mail immer erst analysiert werden und das leistet diese Protection nun mal nicht.
in meinen Augen ist das nichts mehr wie Augenwischerei und im Gegenteil, es suggeriert fälschlicherweise einen Schutz gegen diese Form von Angriffen, der aber nicht umfassend genug ist, um auch neue Methoden, URLs etc. umfassend erkennen zu können.

Ganz perfide wird es bei Malware, die mittels KI und basierend auf echten Kommunikationen des Infizierten mit plausiblen Dateinamen sich selbst polymorph an alle Kontakte individuell verschickt - die sind nun wirklich sehr schwer zu identifizieren und dürfte von den meisten Sicherheitslösungen und Anwendern nicht erkannt werden, zumindest nicht, solange der Inhalt des Anhangs nicht entsprechend analysiert wird (bspw. stimmt der Dateiinhalt mit dem Suffix überein und auch ob es Übereinstimmungen des Codes mit bestimmten Merkmalen einer solchen Datei gibt usw., denn die Wahrscheinlichkeit dass ein Virenscanner bei einem polymorphen Virus anspricht, ist meist sehr gering, da er sich ständig selbst neu verschlüsselt und ihn i.d.R. nur ein gekapseltes ausführen und eine Verhaltensanalyse enttarnen könnte, eine Heuristik reicht dafür meist nicht aus).

Gruss Tom
Member: Joshua2go
Joshua2go Jan 15, 2024 at 09:00:05 (UTC)
Goto Top
Verstehe jetzt nicht ganz, warum man einen nur Win 10 PC, mit gefrickel, auf Win 11 updaten sollte? MS bietet doch, für weitere 2 Jahre, bezahlte Sicherheitsupdates an. Sogar für Privatuser.
Member: Tomtom33
Tomtom33 Jan 15, 2024 updated at 10:33:29 (UTC)
Goto Top
Zitat von @Joshua2go:

Verstehe jetzt nicht ganz, warum man einen nur Win 10 PC, mit gefrickel, auf Win 11 updaten sollte? MS bietet doch, für weitere 2 Jahre, bezahlte Sicherheitsupdates an. Sogar für Privatuser.

Nun ja wer das Geld hat die Gebühr für die Verlängerung zu bezahlen, der hat wohl auch kein Problem damit sich neue Hardware anzuschaffen ;)
Nicht alle, auch kleinere Betriebe, sind dazu aber nicht in der Lage und von "gefrickel" kann wohl bei einem Upgrade kaum die Rede sein.

Die Frage dürfte da wohl eher sein, warum sollte man sich neue Hardware anschaffen MÜSSEN, bloß weil Microsoft es so vorgesehen hat (durch Auslaufen des Supports), obwohl das (Stand jetzt mit 23H2 Build: 22631.3007 ) nicht zwingend erforderlich ist.
Versuchen Sie doch einfach mal einen kleinen Handwerker davon zu überzeugen, der kaum von seinen Erträgen leben kann, dass er seine Hardware komplett austauschen muss ... also nicht immer von Konzernen und größeren Betrieben ausgehen und dass jeder über die finanziellen Mittel verfügt.

Fakt ist doch, dass das Verhalten von Microsoft, was den Ausschluss älterer Rechner betrifft, die durchaus für das Betriebssystem geeignet sind (es sind ja nicht alle), unnötig Elektroschrott produziert und die Konzerngewinne steigern soll, aber nachweisbar unnötig ist - das ist kontraproduktiv, auch bezüglich der daraus resultierenden Umweltbelastung.

Solange man einen 6 Jahre alten Laptop (mein Test-Rechner bspw.) mit dem aktuellen Windows 11 ausstatten kann, warum sollte man dann die kostenpflichtige Update-Verlängerungen (schauen Sie sich mal die Preise dafür an) bezahlen.
MS hat mit 23H2 versucht das Upgraden zu unterbinden und das hat rein wirtschaftliche Interessen, denn man möchte die Leute zu neuen Lizenzen und Lizenzmodellen (Win365) zwingen.

Man kann, aber man muss es nicht, von daher ist der Ansatz schon falsch, zumal der Beitrag sich darauf bezog von Win11 22H2 auf 23H2 ein Upgrade durchzuführen, da andere Methoden zum großen Teil nachweisbar nicht mehr funktionierten (eben nur bis 22H2).