Das kürzlich veröffentlichte April-Update für Windows 11 sorgt für erhebliche Probleme bei Nutzern, die die Funktionen „System Guard Secure Launch“ oder „Dynamic Root of Trust for Measurement“ aktiviert haben. Betroffene berichten von massiven Schwierigkeiten beim Einloggen, insbesondere bei der Nutzung von Windows Hello. Viele Nutzer sind unvermittelt von ihren Geräten ausgesperrt, da sowohl die Gesichtserkennung als auch die PIN-Eingabe nicht mehr funktionieren. Fehlermeldungen wie „Die Gesichtserkennung konnte nicht eingerichtet werden“ sowie „Etwas ist schiefgelaufen, Ihre PIN ist nicht verfügbar“ häufen sich, was zu einer Blockade des Zugangs zum System führt. In solchen Fällen bleibt oftmals nur noch die Möglichkeit, die PIN zurückzusetzen, um wieder Zugang zu erlangen.
Microsoft hat die Vorfälle zwar anerkannt, bezeichnet die Probleme jedoch als Einzelfälle. Die Schwierigkeiten tauchen besonders nach einem Reset-Vorgang mit der Option „Meine Dateien behalten“ auf, was bei den Nutzern für Frustration sorgt. Solche Vorfälle werfen Licht auf die Fragilität von sicherheitskritischen Systemen, insbesondere wenn diese mit fortschrittlichen Funktionen wie dem System Guard arbeiten.
Hintergrund zu System Guard Secure Launch
Die Technologien von Microsoft, einschließlich des „System Guard Secure Launch“, bieten umfangreiche Sicherheitsmaßnahmen, besonders für Secured-core PCs. Diese PCs sind speziell darauf ausgelegt, Malware-Angriffe zu verhindern und Firmware-Schwachstellen via einem sauberen, vertrauenswürdigen Startzustand zu minimieren. Da Virtualization-based Security standardmäßig aktiviert ist, profitieren Nutzer von einem hohen Schutzlevel, der durch Hypervisor Protected Code Integrity (HVCI) ergänzt wird. Dieser Mechanismus schützt den Systemspeicher und stellt sicher, dass alle ausführbaren Dateien von bekannten und genehmigten Quellen stammen.
Eine Grundvoraussetzung für den Effektivbetrieb von „System Guard Secure Launch“ ist die Nutzung der Dynamic Root of Trust for Measurement (DRTM), die im Einklang mit dem UEFI Secure Boot-Prozess arbeitet. Dies zwingt das System in einen hardwarekontrollierten vertrauenswürdigen Zustand und minimiert dadurch die Angriffsmöglichkeiten auf die Firmware. Administratorrechte sind nötig, um diese Sicherheitsfunktion bei Bedarf zu aktivieren oder zu deaktivieren. Microsoft bietet dazu Anleitungen, die über die Windows-Sicherheit oder den Registrierungseditor durchgeführt werden können.
Aktivierung und Deaktivierung von System Guard
Die Aktivierung oder Deaktivierung des Microsoft Defender System Guard Secure Launch kann sowohl über die Windows-Sicherheit als auch über den Registrierungseditor erfolgen. Die Schritte umfassen unter anderem:
- Windows Sicherheit öffnen.
- Auf „Gerätesicherheit“ klicken.
- Die Details zur Kernisolierung aufrufen und den Firmware-Schutz aktivieren oder deaktivieren.
- Falls der Firmware-Schutz gesperrt ist, müssen entsprechende DWORD-Werte im Registrierungseditor angepasst werden.
- Den Computer anschließend neu starten.
Um sicherzustellen, dass diese Funktionen korrekt konfiguriert sind, können Nutzer auch die Systeminformationen auf ihrem Gerät abrufen und die Virtualization-based Security Services überprüfen. Derartige Informationen sind essentiel, um die Sicherheitseinstellungen optimal zu verwalten und mögliche Schwierigkeiten, wie aktuell beim April-Update, zu vermeiden.
Für weitere Informationen über die Sicherheitsarchitektur und den Schutz durch „System Guard Secure Launch“ können Nutzer die offiziellen Ressourcen von Microsoft zu Rate ziehen. Diese bieten tiefere Einblicke in die Funktionsweise und die Konfiguration der Sicherheitsfeatures.
Details zur Meldung
