HaMi17
Anmeldungsdatum: 5. September 2024
Beiträge: 7
|
Titel: SBAT-Problem, UEFI-Shim-Bootloader, Problem mit "sudo mokutil --set-sbat-policy delete" Hallo Ubuntu-Fans,
ich versuche, das durch das Windows-Sicherheitsupdate vom August 2024 verursachte Problem zu beheben.
Wie empfohlen, habe ich Secure Boot disabled, allerdings ist damit kein Zugriff möglich: ubuntu@ubuntu:~$ mokutil --sb-state SecureBoot disabled ubuntu@ubuntu:~$ mokutil --list-sbat-revocations SbatLevelRT is empty ubuntu@ubuntu:~$ sudo mokutil --set-sbat-policy delete ubuntu@ubuntu:~$ mokutil --list-sbat-revocations SbatLevelRT is empty ubuntu@ubuntu:~$
Mit Secure Boot enabled: Allerdings ist damit keine Änderung möglich. Nach sudo mokutil --set-sbat-policy delete passiert nichts.
Nun ist die Frage, wie ich aus diesem Dilemma herauskomme. Es wäre schön, wenn mir jemand helfen könnte. Danke und viele Grüße
HaMi17
|
Lidux
Anmeldungsdatum: 18. April 2007
Beiträge: 16531
|
Hallo HaMi17, Herzlich willkommen auf Ubuntuusers. Das letzte Update von shim wurde gemacht ? PS: Wozu brauchst du SecureBoot ?, d.h. einfach deaktiviert lassen. Gruss Lidux
|
HaMi17
(Themenstarter)
Anmeldungsdatum: 5. September 2024
Beiträge: 7
|
Hallo Lidux,
Danke für die schnelle Antwort.
Es gibt ja auch Systeme, die (zunächst) nur mit SecureBoot laufen.
Außerdem verwende ich Ventoy und starte damit weitere Systeme.
Es stört mich auch ein wenig, dass ich in die Falle von Microsoft getappt bin und wollte diese aufgezwungene Maßnahme wieder rückgängig machen.
Wenn diese Umgehungslösung beschrieben wird, müsste es ja eigentlich auch funktionieren; das würde ich schon gern zu Ende bringen.
Die Frage ist nun, habe ich etwas falsch gemacht oder was ist der Grund, dass es bei mir nicht geklappt hat? Im Internet habe ich gefunden, dass es bei einem User so geklappt hat.
Letztlich kann ich natürlich immer SecureBoot deaktivieren. Aber es soll wohl auch schon Computer geben, die diese Möglichkeit nicht anbieten. Mich nerven offene Probleme, insofern wäre es schön, wenn ich da weiterkommen würde. Danke und
viele Grüße
HaMi17
|
Lidux
Anmeldungsdatum: 18. April 2007
Beiträge: 16531
|
Hallo HaMi17, Sollte ich dies richtig verstanden habe, sollte dies nur mit Windows Bordmitteln möglich sein. Das Update der "shim" hast du aber bei Ubuntu eingespielt ..... PS: Das Secure Boot muss aber solange deaktiviert bleiben bis Microsoft eine Lösung vorrätig hat. Gruss Lidux
|
HaMi17
(Themenstarter)
Anmeldungsdatum: 5. September 2024
Beiträge: 7
|
Hallo Lidux,
an mehreren Stellen wird darauf verwiesen, wie das Problem umgangen werden kann, z.B. auf Golem. Dort: .... Die Empfehlung gleicht weitgehend jener, die auch auf Ask Ubuntu geschildert wurde, und zielt auf das Löschen der SBAT-Policy bei deaktiviertem Secure Boot ab. Detaillierte Anweisungen dazu sind auf Microsofts Webseite zu finden. ..... mit Link auf https://learn.microsoft.com/en-us/windows/release-health/status-windows-11-23H2#3377msgdesc Dort wird als "Workaround: .... Scenario 2" empfohlen: .... Boot into Linux.
Open the terminal and run the below command: sudo mokutil --set-sbat-policy delete .... Ich denke, mit Windows Bordmitteln gibt es keine Lösung (noch nicht ???).
Das von Dir angesprochene Update der "shim" bei Ubuntu verstehe ich nicht so ganz. Das Ubuntu (24.04.1) läuft ja bei mir mit SecureBoot.
Es geht um ältere (Rettungs-)Systeme und z.B. auch um Ventoy. Natürlich würde ein Update von Ventoy Abhilfe schaffen, aber bei Ventoy rührt sich z.Z. nichts.
Meine Frage ist nun, ob ich bei dem Scenario 2 etwas falsch mache. Wie gesagt, ich hatte im Internet schon mal eine Stelle gefunden, wo es bei einem User so geklappt hat (finde ich aber leider nicht mehr). Welches Linux dort verwendet wurde, stand nicht da.
Evtl. klappt es ja auch unter Ubuntu 24.04.1 noch nicht??? Vielleicht hat doch noch jemand eine Idee? Danke und viele Grüße HaMi17
|
Lidux
Anmeldungsdatum: 18. April 2007
Beiträge: 16531
|
Hallo HaMi17, Ermittlere bitte erstmal welche Version und Pakete von "shim" in deinem Ubuntu jetzt installiert sind. Hast du schon das Löschen in Windows ausgeführt bzw. ausprobiert mit deaktiviertem Secure Boot. Bitte auch überprüfen ob der Schnellstart / das Fastboot in Windows und EFI deaktiviert ist .... PS: Ich habe nur bei einem HP Rechner das Secure Boot im EFI deaktiviert und dann funktionierte es wieder. Gruss Lidux
|
Dimanche
Ikhayateam
Anmeldungsdatum: 20. Juli 2007
Beiträge: 2028
|
HaMi17, vielleicht helfen dir die Informationen aus dieser Post weiter.
|
HaMi17
(Themenstarter)
Anmeldungsdatum: 5. September 2024
Beiträge: 7
|
Hallo Dimanche,
hast Du gemeint, dass ich es mal mit Debian versuchen soll?
Habe ich inzwischen gemacht. Hat allerdings kein anderes Ergebnis gebracht. Viele Grüße
HaMi17
|
Lidux
Anmeldungsdatum: 18. April 2007
Beiträge: 16531
|
Hallo HaMi17, Welche Pakete und die entsprechenden Versionen der "shim" sind den nun installiert ? Kannst du z.B. mit "synaptic" ermitteln .... ist Secure Boot deaktiviert und Ubuntu / Windows startet ? Gruss Lidux
|
Dimanche
Ikhayateam
Anmeldungsdatum: 20. Juli 2007
Beiträge: 2028
|
HaMi17 schrieb: hast Du gemeint, dass ich es mal mit Debian versuchen soll?
Nein, das habe ich nicht gemeint. In der Post sind Artikel zu der „shim“ Problematik. In diesen wird er Grund dafür genannt und es gibt auch Lösungsvorschläge. Hast du schon versucht, Ubuntu 24.04 neu zu installieren?
|
HaMi17
(Themenstarter)
Anmeldungsdatum: 5. September 2024
Beiträge: 7
|
Bisher habe ich Ubuntu 24.4. nur von der Live-CD gestartet. Und das läuft ja, auch mit SecureBoot. Es ist ja auch nicht so, dass nichts passiert.
Trotz "SbatLevelRT is empty" (ohne SecureBoot) passiert nach "ubuntu@ubuntu:~$ sudo mokutil --set-sbat-policy delete" irgend etwas. Zumindest läuft danach Ubuntu nicht mehr mit SecureBoot. Aber auch, wenn ich "sudo mokutil --set-sbat-policy delete" 2x nacheinander ausführe (wie beschrieben) und danach Ubuntu noch einmal ohne SecureBoot starte (auch wie beschrieben), ändert das nichts am Problem, es kommt immer noch:
ubuntu@ubuntu:~$ mokutil --list-sbat-revocations
sbat,1,2024010900
shim,4
grub,3
grub.debian,4
ubuntu@ubuntu:~$
Insofern wusste ich dann nicht weiter. Denkst Du, dass sich da etwas ändert, wenn ich nicht die Live-CD nehme, sondern Ubuntu installiere?
(War übrigens alles unter Debian auch so, ist ja vermutlich der gleiche Kernel?) VG Hami17 Bearbeitet von Thomas_Do: Bitte verwende in Zukunft Codeblöcke, um die Übersicht im Forum zu verbessern!
|
Lidux
Anmeldungsdatum: 18. April 2007
Beiträge: 16531
|
Hallo HaMi17, Das hättest du aber gleich im ersten Thread schreiben sollen das du eine Live Version nutzt ..... Solche Experimente macht man damit nicht, d.h. ist ungefähr so wie wenn du in der Live Version versuchst die Kernel zu aktualisieren. PS: Wir wissen immer noch nicht welche shim Version auf der Live Version ist. Gruss Lidux
|
Dimanche
Ikhayateam
Anmeldungsdatum: 20. Juli 2007
Beiträge: 2028
|
Hier HaMi17 nochmal der Link zu Ubuntu Discourse, den Artikel hast du wie auch die anderen wohl nicht gelesen: https://discourse.ubuntu.com/t/sbat-self-check-failed-mitigating-the-impact-of-shim-15-7-revocation-on-the-ubuntu-boot-process-for-devices-running-windows/47378 Dasteht drin, was auch dich Lidux interessieren könnte, dass in der .iso von Ubuntu 24.04 „shim 15.7“ enthalten ist. Diese Version verursacht die Probleme. Bei einer Neuinstallation von Ubuntu 24.04 wird shim auf „shim 15.8“ angehoben und dadurch gibt es diese Probleme nicht. Edit: Wobei, bei der aktuellen .iso 24.04.1 shim vermutlich auch auf 15.8 angehoben wurde. Edit 2: Grade in den Daily Build von 24.01.1 nachgesehen, es ist dort shim-signed 1.58+15.8-0ubuntu1 vorhanden.
|
HaMi17
(Themenstarter)
Anmeldungsdatum: 5. September 2024
Beiträge: 7
|
Danke für die Infos. Das dauert dann mal etwas.
Übrigens hatte ich durchaus die Installation von Ubuntu 24.4 versucht. Zur Sicherheit allerdings unter VirtualBox auf einen USB-Stick. Mit der Version 22.4. hat es geklappt, mit 24.4. allerdings nicht. Das es mit 24.4. unter VirtualBox nicht klappt, habe ich an anderer Stelle im Internet als bestätigt gefunden. Ich würde dann wohl lieber erst mal warten, bis es wieder unter VirualBox geht. VG HaMi17
|
Dimanche
Ikhayateam
Anmeldungsdatum: 20. Juli 2007
Beiträge: 2028
|
Da dein jetziges Problem ja dann wohl so weit gelöst ist, setze den Thread bitte noch auf „Gelöst“.
|