ubuntuusers.de

SBAT-Problem, UEFI-Shim-Bootloader, Problem mit "sudo mokutil --set-sbat-policy delete"

Status: Gelöst | Ubuntu-Version: Ubuntu 24.04 (Noble Numbat)
Antworten |

HaMi17

Anmeldungsdatum:
5. September 2024

Beiträge: 7

Titel: SBAT-Problem, UEFI-Shim-Bootloader, Problem mit "sudo mokutil --set-sbat-policy delete"

Hallo Ubuntu-Fans, ich versuche, das durch das Windows-Sicherheitsupdate vom August 2024 verursachte Problem zu beheben.

  • Hardware: Notebook ACER Aspire E 15

  • System: Ubuntu Version 24.04.1 vom 30.08.2024

Wie empfohlen, habe ich Secure Boot disabled, allerdings ist damit kein Zugriff möglich:

  • ubuntu@ubuntu:~$ mokutil --sb-state

  • SecureBoot disabled

  • ubuntu@ubuntu:~$ mokutil --list-sbat-revocations

  • SbatLevelRT is empty

  • ubuntu@ubuntu:~$ sudo mokutil --set-sbat-policy delete

  • ubuntu@ubuntu:~$ mokutil --list-sbat-revocations

  • SbatLevelRT is empty

  • ubuntu@ubuntu:~$

Mit Secure Boot enabled:

  • ubuntu@ubuntu:~$ mokutil --list-sbat-revocations

  • sbat,1,2024010900

  • shim,4

  • grub,3

  • grub.debian,4

  • ubuntu@ubuntu:~$

Allerdings ist damit keine Änderung möglich. Nach sudo mokutil --set-sbat-policy delete passiert nichts. Nun ist die Frage, wie ich aus diesem Dilemma herauskomme. Es wäre schön, wenn mir jemand helfen könnte.

Danke und viele Grüße HaMi17

Lidux

Anmeldungsdatum:
18. April 2007

Beiträge: 16531

Hallo HaMi17,

Herzlich willkommen auf Ubuntuusers.

Das letzte Update von shim wurde gemacht ?

PS: Wozu brauchst du SecureBoot ?, d.h. einfach deaktiviert lassen.

Gruss Lidux

HaMi17

(Themenstarter)

Anmeldungsdatum:
5. September 2024

Beiträge: 7

Hallo Lidux, Danke für die schnelle Antwort. Es gibt ja auch Systeme, die (zunächst) nur mit SecureBoot laufen. Außerdem verwende ich Ventoy und starte damit weitere Systeme. Es stört mich auch ein wenig, dass ich in die Falle von Microsoft getappt bin und wollte diese aufgezwungene Maßnahme wieder rückgängig machen. Wenn diese Umgehungslösung beschrieben wird, müsste es ja eigentlich auch funktionieren; das würde ich schon gern zu Ende bringen. Die Frage ist nun, habe ich etwas falsch gemacht oder was ist der Grund, dass es bei mir nicht geklappt hat? Im Internet habe ich gefunden, dass es bei einem User so geklappt hat. Letztlich kann ich natürlich immer SecureBoot deaktivieren. Aber es soll wohl auch schon Computer geben, die diese Möglichkeit nicht anbieten.

Mich nerven offene Probleme, insofern wäre es schön, wenn ich da weiterkommen würde.

Danke und viele Grüße HaMi17

Lidux

Anmeldungsdatum:
18. April 2007

Beiträge: 16531

Hallo HaMi17,

Sollte ich dies richtig verstanden habe, sollte dies nur mit Windows Bordmitteln möglich sein. Das Update der "shim" hast du aber bei Ubuntu eingespielt .....

PS: Das Secure Boot muss aber solange deaktiviert bleiben bis Microsoft eine Lösung vorrätig hat.

Gruss Lidux

HaMi17

(Themenstarter)

Anmeldungsdatum:
5. September 2024

Beiträge: 7

Hallo Lidux, an mehreren Stellen wird darauf verwiesen, wie das Problem umgangen werden kann, z.B. auf Golem.

Dort: .... Die Empfehlung gleicht weitgehend jener, die auch auf Ask Ubuntu geschildert wurde, und zielt auf das Löschen der SBAT-Policy bei deaktiviertem Secure Boot ab. Detaillierte Anweisungen dazu sind auf Microsofts Webseite zu finden. .....

mit Link auf

https://learn.microsoft.com/en-us/windows/release-health/status-windows-11-23H2#3377msgdesc

Dort wird als "Workaround: .... Scenario 2" empfohlen:

.... Boot into Linux. Open the terminal and run the below command: sudo mokutil --set-sbat-policy delete ....

Ich denke, mit Windows Bordmitteln gibt es keine Lösung (noch nicht ???).


Das von Dir angesprochene Update der "shim" bei Ubuntu verstehe ich nicht so ganz. Das Ubuntu (24.04.1) läuft ja bei mir mit SecureBoot. Es geht um ältere (Rettungs-)Systeme und z.B. auch um Ventoy. Natürlich würde ein Update von Ventoy Abhilfe schaffen, aber bei Ventoy rührt sich z.Z. nichts. Meine Frage ist nun, ob ich bei dem Scenario 2 etwas falsch mache. Wie gesagt, ich hatte im Internet schon mal eine Stelle gefunden, wo es bei einem User so geklappt hat (finde ich aber leider nicht mehr). Welches Linux dort verwendet wurde, stand nicht da. Evtl. klappt es ja auch unter Ubuntu 24.04.1 noch nicht???

Vielleicht hat doch noch jemand eine Idee?

Danke und viele Grüße HaMi17

Bearbeitet von Thomas_Do:

Forensyntax der Links korrigiert.

Lidux

Anmeldungsdatum:
18. April 2007

Beiträge: 16531

Hallo HaMi17,

Ermittlere bitte erstmal welche Version und Pakete von "shim" in deinem Ubuntu jetzt installiert sind. Hast du schon das Löschen in Windows ausgeführt bzw. ausprobiert mit deaktiviertem Secure Boot. Bitte auch überprüfen ob der Schnellstart / das Fastboot in Windows und EFI deaktiviert ist ....

PS: Ich habe nur bei einem HP Rechner das Secure Boot im EFI deaktiviert und dann funktionierte es wieder.

Gruss Lidux

Dimanche Team-Icon

Ikhayateam

Anmeldungsdatum:
20. Juli 2007

Beiträge: 2028

HaMi17, vielleicht helfen dir die Informationen aus dieser Post weiter.

HaMi17

(Themenstarter)

Anmeldungsdatum:
5. September 2024

Beiträge: 7

Hallo Dimanche, hast Du gemeint, dass ich es mal mit Debian versuchen soll? Habe ich inzwischen gemacht. Hat allerdings kein anderes Ergebnis gebracht.

Viele Grüße HaMi17

Lidux

Anmeldungsdatum:
18. April 2007

Beiträge: 16531

Hallo HaMi17,

Welche Pakete und die entsprechenden Versionen der "shim" sind den nun installiert ? Kannst du z.B. mit "synaptic" ermitteln .... ist Secure Boot deaktiviert und Ubuntu / Windows startet ?

Gruss Lidux

Dimanche Team-Icon

Ikhayateam

Anmeldungsdatum:
20. Juli 2007

Beiträge: 2028

HaMi17 schrieb:

hast Du gemeint, dass ich es mal mit Debian versuchen soll?

Nein, das habe ich nicht gemeint.

In der Post sind Artikel zu der „shim“ Problematik. In diesen wird er Grund dafür genannt und es gibt auch Lösungsvorschläge.

Hast du schon versucht, Ubuntu 24.04 neu zu installieren?

HaMi17

(Themenstarter)

Anmeldungsdatum:
5. September 2024

Beiträge: 7

Bisher habe ich Ubuntu 24.4. nur von der Live-CD gestartet. Und das läuft ja, auch mit SecureBoot.

Es ist ja auch nicht so, dass nichts passiert. Trotz "SbatLevelRT is empty" (ohne SecureBoot) passiert nach "ubuntu@ubuntu:~$ sudo mokutil --set-sbat-policy delete" irgend etwas. Zumindest läuft danach Ubuntu nicht mehr mit SecureBoot. Aber auch, wenn ich "sudo mokutil --set-sbat-policy delete" 2x nacheinander ausführe (wie beschrieben) und danach Ubuntu noch einmal ohne SecureBoot starte (auch wie beschrieben), ändert das nichts am Problem, es kommt immer noch:

 ubuntu@ubuntu:~$ mokutil --list-sbat-revocations
    sbat,1,2024010900
    shim,4
    grub,3
    grub.debian,4
    ubuntu@ubuntu:~$

Insofern wusste ich dann nicht weiter. Denkst Du, dass sich da etwas ändert, wenn ich nicht die Live-CD nehme, sondern Ubuntu installiere? (War übrigens alles unter Debian auch so, ist ja vermutlich der gleiche Kernel?)

VG Hami17

Bearbeitet von Thomas_Do:

Bitte verwende in Zukunft Codeblöcke, um die Übersicht im Forum zu verbessern!

Lidux

Anmeldungsdatum:
18. April 2007

Beiträge: 16531

Hallo HaMi17,

Das hättest du aber gleich im ersten Thread schreiben sollen das du eine Live Version nutzt .....

Solche Experimente macht man damit nicht, d.h. ist ungefähr so wie wenn du in der Live Version versuchst die Kernel zu aktualisieren.

PS: Wir wissen immer noch nicht welche shim Version auf der Live Version ist.

Gruss Lidux

Dimanche Team-Icon

Ikhayateam

Anmeldungsdatum:
20. Juli 2007

Beiträge: 2028

Hier HaMi17 nochmal der Link zu Ubuntu Discourse, den Artikel hast du wie auch die anderen wohl nicht gelesen:

https://discourse.ubuntu.com/t/sbat-self-check-failed-mitigating-the-impact-of-shim-15-7-revocation-on-the-ubuntu-boot-process-for-devices-running-windows/47378

Dasteht drin, was auch dich Lidux interessieren könnte, dass in der .iso von Ubuntu 24.04 „shim 15.7“ enthalten ist. Diese Version verursacht die Probleme.

Bei einer Neuinstallation von Ubuntu 24.04 wird shim auf „shim 15.8“ angehoben und dadurch gibt es diese Probleme nicht.

Edit: Wobei, bei der aktuellen .iso 24.04.1 shim vermutlich auch auf 15.8 angehoben wurde.

Edit 2: Grade in den Daily Build von 24.01.1 nachgesehen, es ist dort shim-signed 1.58+15.8-0ubuntu1 vorhanden.

HaMi17

(Themenstarter)

Anmeldungsdatum:
5. September 2024

Beiträge: 7

Danke für die Infos. Das dauert dann mal etwas. Übrigens hatte ich durchaus die Installation von Ubuntu 24.4 versucht. Zur Sicherheit allerdings unter VirtualBox auf einen USB-Stick. Mit der Version 22.4. hat es geklappt, mit 24.4. allerdings nicht. Das es mit 24.4. unter VirtualBox nicht klappt, habe ich an anderer Stelle im Internet als bestätigt gefunden. Ich würde dann wohl lieber erst mal warten, bis es wieder unter VirualBox geht.

VG HaMi17

Dimanche Team-Icon

Ikhayateam

Anmeldungsdatum:
20. Juli 2007

Beiträge: 2028

Da dein jetziges Problem ja dann wohl so weit gelöst ist, setze den Thread bitte noch auf „Gelöst“.

Antworten |