zurück zum Artikel

Microsoft: Powershell-Skript hilft bei WinRE-Bitlocker-Update Update

Dirk Knop

(Bild: heise online)

Am Januar-Patchday schlägt die Update-Installation unter Windows 10 oft mit Fehler 0x80070643 fehl. Ein Microsoft-Skript soll helfen.

Beim Januar-Patchday von Microsoft [1] kommt es unter Windows 10 oft zur Fehlermeldung, dass die Windows-Recovery-Partition zu klein sei, um das Update zu installieren. Das ist, falls überhaupt, nur durch ergänzenden Text zur angezeigten Fehlernummer 0x80070643 zu erkennen, die ganz allgemein einen generischen Windows-Update-Fehler anzeigt. Microsoft liefert jetzt ein Powershell-Skript, das beim Anwenden des betroffenen Updates helfen soll.

Unser bisheriger Tipp lautete, nach einer Microsoft-Anleitung [2] oder mit einem einfacher bedienbarem Partitionierungswerkzeug die Größe der Windows-Recovery-Partition zu vergrößern. Jetzt hat Microsoft reagiert und stellt ein Beispiel-Skript bereit [3], das dabei helfen soll, das Bitlocker-Update in die Windows-Recovery-Umgebung zu installieren. Der Fehler CVE-2024-20666 [4] ermöglicht die Umgehung der Bitlocker-Verschlüsselung und den Zugriff auf verschlüsselte Daten (CVSS 6.6, Risiko "mittel").

Microsoft: Powershell-Skript hilft bei Windows-Recovery-Aktualisierung

Die Entwickler stellen tatsächlich sogar gleich zwei Versionen des Skripts bereit. Eines ist für Windows 10 Build 1909 und ältere Betriebssystemversionen, die andere und von Microsoft empfohlene Version für Windows 10 2004 und neuer – einschließlich Windows 11. Die Skripte müssen Interessierte in eine Datei kopieren. Anschließend sind sie mit Administratorrechten zu starten.

Das Skript übernimmt als erforderlichen Parameter den Pfad zum Betriebssystem- und Prozessorarchitektur-spezifischen Update-Paket packagePath. Der Aufruf lautet laut Microsofts Anleitung also beispielsweise

.\PatchWinREScript_2004plus.ps1 -packagePath "\\server\share\windows10.0-kb5021043-x64_efa19d2d431c5e782a59daaf2d.cab"

Das Update-Paket muss zuvor aus dem Windows-Update-Katalog [5] heruntergeladen werden und für das Skript unter dem angegebenen Pfad zugreifbar sein. Microsoft empfiehlt, das jeweils jüngste verfügbare Safe-OS-Dynamic-Update zu nutzen.

Zur Funktion des Skripts erläutern die Microsoft-Programmierer, dass es das bestehende WinRE-Abbild einbindet, das angegebene Safe-OS-Dynamic-Update anwendet, das WinRE-Abbild wieder auswirft und schließlich den WinRE-für-Bitlocker-Dienst rekonfiguriert, sofern der Bitlocker TPM-Protector vorhanden ist. Die meisten Drittanbieter-Skripte, die zwischenzeitlich aufgetaucht sind, würden den letzten Schritt nicht vornehmen.

Update

Inzwischen hat Microsoft das Problem auch in den Windows Release Health-Notizen bestätigt [6]. Die Empfehlung dort lautet, die manuelle Anleitung zur Vergrößerung der Windows-Recovery-Partition anzuwenden, Betroffen sind demnach Windows 11 21H2, Windows 10 22H2, Windows 10 21H2 sowie Windows Server 2022. Die Entwickler kündigen an, eine Lösung mit einem kommenden Update zu automatisieren.

(dmk [7])

URL dieses Artikels:
https://www.heise.de/-9595312

Links in diesem Artikel:
[1] https://www.heise.de/news/Patchday-Microsoft-Kerberos-Authentifizierung-unter-Windows-verwundbar-9592648.html
[2] https://www.heise.de/tipps-tricks/Fehler-0x80070643-so-beheben-Sie-ihn-4474240.html
[3] https://support.microsoft.com/en-us/topic/kb5034957-updating-the-winre-partition-on-deployed-devices-to-address-security-vulnerabilities-in-cve-2024-20666-0190331b-1ca3-42d8-8a55-7fc406910c10
[4] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20666
[5] https://www.catalog.update.microsoft.com/Search.aspx?q=Safe%20OS
[6] https://learn.microsoft.com/en-us/windows/release-health/status-windows-10-22h2#3231msgdesc
[7] mailto:dmk@heise.de

Copyright © 2024 Heise Medien