Linux-Bootloader-Probleme

Durch die Installation des Windows-Sicherheitsupdates aus dem August kann es zu unerwarteten Problemen beim Starten von Linux kommen, sofern diese im Dual-Boot-Betrieb mit Windows laufen.

Nach der Installation dieser Updates berichten zahlreiche Anwender, dass ihr Linux-System nicht mehr startet. Die Fehlermeldung lautet: „Verifying shim SBAT data failed: Security Policy Violation. Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation“.

Ursache: Ungewollte Anwendung von SBAT auf Dual-Boot-Systeme

Microsoft hat nun die Ursache für dieses Problem offiziell bestätigt. Der Fehler liegt in der neuen Einstellung und Anwendung von SBAT (Secure Boot Advanced Targeting) auf Geräten, die eine Dual-Boot-Konfiguration nutzen. SBAT ist dafür gedacht ältere und geschwächte Bootmanager zu blockieren, jedoch ist das SBAT-Update nicht für ein Dual-Boot-Setup gedacht. Bei vielen Geräten kam es zu einem Erkennungsfehler und SBAT wurde trotzdem angewandt, was zu den genannten Startproblemen führte.

Die vollständige Erklärung von Microsoft kann hier eingesehen werden.

Betroffene Windows-Versionen

• Windows 11: 23H2, 22H2, 21H2
• Windows 10: 22H2, 21H2, Windows 10 Enterprise 2015 LTSB
• Windows Server: 2022, 2019, 2016, 2012 R2, 2012

Workarounds

Momentan existieren nur zwei Methoden, die dem Startproblem Abhilfe schaffen können:

• Abhilfe schaffen durch Prävention: Es kann ein Registry-Schlüssel zum Opt-out verwendet werden, der die Anwendung von SBAT verhindert, solange das August-2024-Update durch einen Neustart nicht finalisiert wurde.
  Der von Microsoft herausgegebene Registry-Schlüssel:
  reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1 /t REG_DWORD
  
• Deaktivierung von Secure Boot: Sobald das Update mit einem Neustart finalisiert wurde, bleibt als Umgehungsmaßnahme nur noch die Deaktivierung von Secure Boot. Dies sollte jedoch mit Vorsicht geschehen, da es die Sicherheitsstandards des Systems herabsetzt.