Ingos Blog

Im Heise Newsticker fand sich heute mal wieder ein Beitrag, der die Leute eher verwirrt und dessen Überschrift schon mit einer Lüge anfängt.

Vorbereiten auf Einschlag: Microsoft warnt vor Secure-Boot-Zertifikat-Update | heise online

Worum geht es?

Microsoft hat mit dem Erscheinen von Windows 8 eine Funktion namens „SecureBoot“ eingeführt. SecureBoot sorgt dafür, dass ein PC mit dieser Funktion nur einen Bootloader startet, welcher digital signiert ist. Und zwar entweder von Microsoft oder vom Benutzer selbst. Auch alle weiteren Komponenten, die danach gestartet werden, müssen entsprechend signiert werden.

Microsoft selbst signiert sowohl eigene Bootloader als auch z.B. Bootloader von Linux Distributionen mit Zertifikaten, die von einer speziellen Zertifizierungsstelle ausgestellt werden. Deren Zertifikate waren von 2011 an ca. 15 Jahre gültig und laufen daher im Jahr 2026 ab.

Wenn sie ablaufen und dann Updates installiert würden, die mit den neuen Zertifikaten signiert sind, wird das System vermutlich nicht booten oder die Installation der Updates verweigern. Die Zertifikate müssen also bis dahin ausgetauscht werden. Zudem müssen die entsprechenden Bootloader dann mit den neuen Zertifikaten neu signiert werden.

Was ist zu tun?

Für den Windows Normalnutzer? Nichts!
Microsoft wird die neuen Zertifikate einfach über Windows Update auf alle PCs ausliefern.

Damit ist das Thema eigentlich schon für die große Masse der PC-Nutzer erledigt. Genau das hätte auch in den Artikel bei Heise gehört. Und zwar ganz oben!

Was ist mit Linux Systemen?

Wie oben schon geschrieben, signiert Microsoft auch Bootloader für Linux Systeme. Auch hier müssen natürlich entsprechende Updates eingespielt werden. Dies passiert bereits. Beispielweise wurde hier unter Fedora Linux ein Update „Microsoft KEK CA“ eingespielt.

Die Linux-Distributionen, die SecureBoot unterstützen, müssen also entsprechende Updates rechtzeitig ausliefern und dann später ihre Bootloader neu signieren lassen.
Die Updates stehen per LVFS bereit und werden z.B. über fwupdmgr ausgeliefert, GNOME Software oder KDE Discover.

Wo könnte es Probleme geben?

Microsoft erfordert für Windows Systeme, dass zumindest die minimale Übermittlung von Diagnosedaten aktiv ist, um die passenden Updates zu bekommen. Das ist der Standard, den man in Windows Home und Pro nicht einfach abschalten kann. Es gibt aber Tricks und Möglichkeiten, diese Daten „abzuwürgen“. Wer das getan hat, bekommt die entsprechenden Updates möglicherweise nicht.

Bei einigen PCs des Herstellers Fujitsu hat der Hersteller einen Fehler im BIOS, so dass das Aktualisieren von SecureBoot Datenbanken hier für massive Probleme gesorgt hat. Auch die Aktualisierung der Zertifikate könnte solche Probleme verursachen. Da viele der betroffenen Fujitsu Systeme aus dem Support sind, weigert der Hersteller sich für diese Maschinen, das Problem zu beheben.

Außerdem müssen sich Firmen, die Windows Updates nicht über Windows Update beziehen, damit beschäftigen, die entsprechenden Zertifikate manuell zu verteilen.
Aus dem Grund richtet sich der von Heise zitierte Artikel bei Microsoft auch an die entsprechenden Verantwortlichen in Firmen und nicht an den normalen Heimnutzer.

Das klingt so, als bräuchte ich ein BIOS-Update. Brauche ich eines?

Nein!

Die Hersteller werden die neuen Zertifikate auch im Rahmen von BIOS-Updates verteilen. Sie kommen aber, wie oben ja schon geschrieben, auch über Windows Update.

Die Variante übers BIOS-Update hat einen Vorteil: die neuen Zertifikate können nicht einfach wieder gelöscht werden. Hingegen könnte man die Zertifikate, die über Windows Update kommen, im BIOS-Setup einfach wieder löschen. In der Praxis dürfte das keinen Unterschied ergeben.

Natürlich empfiehlt Microsoft, idealerweise ein aktuelles BIOS einzuspielen. Das ist generell sinnvoll. Es ist aber kein Muss in diesem Zusammenhang.

Leider wird das aus dem Artikel bei Heise nicht deutlich genug, denn in den Kommentaren zum Heise Artikel überschlagen sich die Reaktionen derer, die erwarten, mangels BIOS-Update ihr System nicht mehr weiter nutzen zu können.

Wovor warnt Microsoft denn nun?

Es gibt keine Warnung durch Microsoft! Das ist schlicht etwas, was sich der Redakteur bei Heise ausgedacht hat.

Microsoft informiert über das Vorgehen und ruft Firmenkunden auf, sich mit dem Thema zu beschäftigen. Der originale Artikel ist auch bei Heise verlinkt und nirgendwo ist dort auch nur ein Wort der Warnung zu sehen.

Act now: Secure Boot certificates expire in June 2026 – Windows IT Pro Blog

Da hat man ein Schnäppchen gemacht und günstig einen PC oder ein Notebook gekauft, möglicherweise gebraucht oder einfach nur etwas ältere Lagerware. Man hat extra auf offizielle Kompatibilität zu Windows 11 geachtet und beim ersten Anschalten kommt dann das böse Erwachen: die Vorinstallation des PC-Herstellers ist uralt, die vom Händler aufs gebrauchte Gerät installierte Windows Version ist noch gar kein Windows 11. Und ist das, was da installiert ist, nicht schon lange aus dem Support von Microsoft raus?

Wer nagelneue Geräte kauft, bekommt darauf normalerweise auch ein Windows 11 in recht aktueller Version. Bei Gebrauchtgeräten kann das schon anders sein. Aber ist das für die ganz normalen Nutzer schlimm?

Im Netz finden sich Behauptungen, dass man zwingend manuell upgraden müsse, wenn eine Windows Version nicht mehr im Rahmen ihres Supportzeitraumes wäre. Sie würde dann ja keine Updates mehr bekommen und somit auch nicht die notwendigen Updates, um auf eine neue Version upgraden zu können.

Aber stimmt das? Oder reicht ein einfaches Abwarten, bis sich Windows Update um das Problem gekümmert hat?

Kommt man von einem alten Windows zu einer ganz aktuellen Version, ohne manuell eingreifen zu müssen? Das hab ich einfach mal für euch ausprobiert.

Das zum Test verwendete Notebook ist ein Lenovo ThinkPad L480, also ein Gerät mit Intel CPU der achten Generation. Es unterstützt SecureBoot und bringt ein TPM 2.0 mit – somit eine offiziell unterstützte Hardware für Windows 11.

Um die Sache etwas spannender zu machen, wurde als Ausgangssystem die älteste Windows 10 Version überhaupt installiert – die allererste Windows 10 Build 10240 von 2015. Microsoft hat sich später dazu entschieden, den Windows Versionen Namen auf Basis des Erscheinungsmonats bzw. noch später des Halbjahres zu geben und nennt diese Version nun nachträglich „1507“.

Lange ist es her, aber das war vor ziemlich genau zehn Jahren der Beginn von Windows 10. Die Version ist natürlich schon jahrelang als Home, Pro oder Enterprise schon nicht mehr unterstützt. Was passiert also, wenn ich mit so einem alten System nach Updates schaue?

Nun, ich bekomme Updates. Dass das System an sich nicht mehr unterstützt ist, bedeutet schließlich nur, dass es ab dem Ende des Supportzeitraumes keine neuen Updates mehr gibt.

Die bereits veröffentlichten Updates stehen selbstverständlich weiter zur Verfügung und mein zehn Jahre altes Windows 10 installiert fröhlich einen Satz an kumulativen Windows Updates, Treiberupdates und startet dazu ein paar Mal neu.

Und direkt danach macht Windows Update gleich weiter. Ist die Version 1507 auf dem aktuellen Stand, wird ein Funktionsupdate angeboten, d.h. ein Upgrade auf eine neuere Windows Version. In diesem Fall ist das die Version 20H2, also die Version aus dem zweiten Halbjahr des Jahres 2020.

Die Version 20H2 von Windows 10 ist die letzte „große“ Windows 10 Version. Es folgten danach zwar noch weitere Versionen und aktuell wäre die Version 22H2. Diese basieren aber auf dem Kern von 20H2 und sind ihrerseits nur kleine Patch-Pakete, die Funktionen freischalten. Insofern alles richtig gemacht, das ist sinnvollerweise die neueste Windows 10 Version, die sinnvoll möglich ist.

Und eine gute halbe Stunde später ist es auch schon geschafft, wir haben die Build 19042 erreicht. Automatisch wurde der Edge Browser auf Chromium-Basis installiert, das Hintergrundbild sieht auch etwas moderner aus, wunderbar.

Grundsätzlich wären alle diese Dinge ganz von alleine passiert, denn Windows Update installiert wichtige Updates ja von selbst, ohne dass man eingreifen muss. Um nicht so lange warten zu müssen, habe ich für den Test Windows Update aufgerufen und nach Updates suchen lassen – muss man aber nicht.

Auch die Windows 10 Version 20H2 installiert dann natürlich fröhlich weiter Updates. Und auch diese Version ist nicht mehr im Support, d.h. es gibt kein Update von diesem Monat, aber wir kommen der Neuzeit ein wenig näher.

Windows 11 kündigt sich auch schon an. Noch ohne weitere Details, aber wir mögen uns schon einmal vorbereiten.

Und nun beginnt eine kleine Wartezeit. Die Komponenten für das Upgrade auf Windows 11 werden im Hintergrund heruntergeladen, aber die Prüfung auf Kompatibilität von Hardware, Treibern und Software findet nicht sofort statt!

Das ist wichtig, u.a. auch dann, wenn man z.B. erst nachträglich das TPM 2.0 aktiviert oder SecureBoot, denn diese Änderung wird nicht sofort wirksam. Die Überprüfungsprozesse laufen per Aufgabenplanung – und nur alle paar Tage mal.

Werden also keine weiteren Updates an dieser Stelle gefunden, ist das völlig normal. Man braucht einfach nur etwas abzuwarten.

Hat man brav abgewartet, wird einem Windows 11 ganz von alleine angeboten – und zwar jetzt passenderweise auch gleich die momentan aktuelle Version 24H2.

Es geht also ohne weitere Zwischenschritte direkt von einem Windows 10 20H2 mit einem Patch-Stand von Mai 2022 auf die aktuelle Windows 11 Version.

Eine gewisse Zeit haben Download und Vorbereitungen des Updates gebraucht und dann kann endlich der Neustart erfolgen.

Und nach ein paar weiteren Neustarts ist das System aktuell. Und zwar wirklich aktuell, denn es wurde nicht nur die Windows 11 Version 24H2 installiert, sondern die aktuellen Updates des Monats sind ebenfalls schon da.

Es klappt also grundsätzlich völlig ohne irgendwelche manuelle Eingriffe, ein altes, nicht mehr unterstütztes Windows 10 oder 11 auf eine aktuelle Version zu bringen!
Man kann dabei bei einer beliebigen Windows 10 oder 11 Version anfangen und wird in wenigen Schritten ganz automatisch auf dem aktuellen Stand landen.

Wie oben schon geschrieben ist es wichtig zu wissen, dass manche Dinge nicht sofort passieren, sondern manchmal ein paar Tage brauchen. Als Normalnutzer muss man somit nichts manuell laden, keine Inplace-Upgrades machen, nicht mit Tools oder ISO-Images hantieren sondern einfach nur abwarten.

Ist das aber sinnvoll?

Für jeden, der sich etwas näher mit dem System beschäftigt, stellt sich die Frage, was denn die Nachteile sind.

Zuerst einmal, wie schon erwähnt, die Zeit. Man hat halt über mehrere Tage eben kein aktuelles System. Dem Normalnutzer mag es egal sein, aber wer ein paar mehr Ansprüche hat, möchte sofort ein aktuelles System.

Die Partitionierung ist ein weiterer Nachteil in diesem Fall. Die alte Windows 10 Version 1507 hat am Anfang der Disk eine 450 MB große Wiederherstellungspartition angelegt. Für die Windows 10 Version 20H2 war diese zu klein, also hat sie am Ende der Disk eine neue Wiederherstellungspartition angelegt. Die 450 MB vorne sind nun unnötig. Kein Beinbruch, aber halt nicht ideal.

Auch sind bei der Variante mit den Upgrades möglicherweise nicht alle Sicherheitsfunktionen aktiv.

Bei einer Neuinstallation auf dem selben Gerät waren die Bitlocker-Verschlüsselung und der „Schutz durch lokale Sicherheitsautorität“ automatisch aktiviert. Hingegen war beides nach den Upgrades aus.

Fazit ist also: ja, es geht.
Ja, man kann problemlos ohne manuelle Aktionen ein vom Händler mit uraltem Windows 10 oder 11 geliefertes Gerät upgraden. Und wenn man einfacher Nutzer ist, ist das auch völlig okay.

Wer sich ein wenig mit dem Thema beschäftigt, sollte aber in solchen Fällen gar nicht erst ein Upgrade, sondern eine saubere Neuinstallation durchführen. Ein Windows 11 USB-Installationsstick ist schnell erstellt. Davon wird gebootet und die verbaute Disk vollständig gelöscht. Die reine Windows 11 Installation ist dann in meist 15 Minuten durch und man hat eine saubere Basis, ohne irgendwelche Altlasten mitzunehmen.

So als Laie in Sachen selbst betriebenem WordPress fallen einem nicht von Anfang an jegliche kleinen und großen Optionen und Fallen auf, die man setzen oder umschiffen sollte.

Durch einen netten Hinweis von Thomas Kessler und sein „Responsive Twenty Ten“ Plugin ist das Blog jetzt auch mobil besser lesbar und es wurden u.a. die Direkt-Links auch auf das früher verwendete, besser lesbare Format umgestellt.

Noch einmal vielen Dank!

Das Plugin findet sich hier: https://www.kessler-design.com/responsive-twenty-ten/

Auf Windows 10 und 11 Systemen taucht nach der Installation der kumulativen Updates vom April 2025 der Ordner C:\inetpub neu auf.

Dieser Ordner wird normalerweise angelegt, wenn die Internetinformationsdienste (IIS) nachinstalliert werden. Diese wurden allerdings auch durch das Update nicht automatisch nachinstalliert.

Dass der Ordner plötzlich auftaucht, ist allerdings tatsächlich Absicht. Microsoft hat den Artikel zu der Sicherheitslücke CVE-2025-21204 nachträglich ergänzt und schreibt nun dazu:

„Nach der Installation der in der Übersicht der Sicherheitsupdates für Ihr Betriebssystem aufgeführten Updates wird auf Ihrem Gerät ein neuer Ordner %systemdrive%\inetpub erstellt. Dieser Ordner sollte nicht gelöscht werden, unabhängig davon, ob die Internetinformationsdienste (IIS) auf dem Zielgerät aktiv sind. Dieses Verhalten ist Teil der Änderungen, die den Schutz erhöhen und keine Maßnahmen von IT-Administratoren und Endbenutzern erfordern.“

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21204

Vermutlich ist es auf dem privaten PC kein wirkliches Problem, wenn der Ordner doch gelöscht wurde. Angriffsszenarien in diesem Umfeld beziehen sich meist eher auf den Nutzer, der normalerweise eh administrative Rechte hat oder erlangen kann. In Firmenumgebungen sollte der Ordner aber wohl erst einmal nicht entfernt werden.

Stand: 2025-04-11, Korrektur nach Änderung des CVE Artikels von MS, nachdem der Ordner doch nicht gelöscht werden sollte.

Ich wollte das Blog schon lange mal von der werbefinanzierten WordPress Seite umziehen auf den eigenen Webspace. Nun ist es vollbracht!

Sieht alles so aus wie immer, aber jetzt halt ohne Werbung. Übrigens auch ohne irgendwelche Elemente zum Teilen von Artikeln via Social Media.
Wer Artikel via Social Media teilen möchte, kann gerne Links kopieren und in den Medien seiner Wahl einfügen.
Einbindungen von Share-Buttons wird es schon aus Gründen des Datenschutzes nicht mehr geben.

Die Inhalte unter der alten Adresse werden nach und nach verschwinden. Je nach Zeit und Lust werden Artikel, auf die häufig verlinkt wird, mit entsprechenden Hinweisen auf ihren neuen Ort versehen.

Ja, das kleine VarioPro Convertible lebt immer noch, man glaubt es kaum. Beim letzten Mal hatte ich ja beschrieben, wie man Ubuntu installieren kann.

Mittlerweile habe ich festgestellt, dass es noch einen viel einfacheren Weg gibt: Fedora!

Mit Fedora Linux kommt passenderweise gleich der 32-bit EFI Bootloader mit. Man braucht also nichts vorzubereiten, sondern nimmt einfach einen USB-Stick mit dem aktuellen Fedora Image – in meinem Fall den KDE Spin – und installiert los.

Spannenderweise funktioniert damit auch der Sound sauber, der bei Ubuntu so seine Probleme hatte. Und das interne WLAN-Modul ist zwar weiterhin nicht toll, funktioniert aber grundsätzlich.

Die Performance ist natürlich mies, egal ob man nun GNOME oder KDE verwendet. Mit einem etwas leichtgewichtigeren Desktop könnte man evtl. noch ein wenig mehr Geschwindigkeit rausholen.

Aber es läuft. Man glaubt es kaum! 😉

Zum Ende des Jahres kommen ja überall die Jahresrückblicke. Das hier soll keiner werden, aber das letzte Posting hier ist schon ein gutes Jahr her und somit ist einfach mal wieder ein Lebenszeichen notwendig.

Das Jahr war voll gepackt. Viel Arbeit, ein familiärer Trauerfall, diverse kleine und große Veränderungen. Da fehlte dann irgendwo die Zeit und Lust für Blog-Einträge. Zudem gibt es ja auch diverse andere gute Blogs und Seiten, so dass ich auch nicht all das noch einmal schreiben muss, was anderswo schon steht.

Und viel hat sich in der IT-Welt auch nicht verändert. Es wird weiterhin jedes kleine Windows-Problem zur Katastrophe erklärt, egal wie viele Leute es betrifft. Und es wird weiterhin jedes neue Apple Gadget gehypt, egal wie viele Leute es am Ende kaufen. Und, nicht zu vergessen, nächstes Jahr ist auf jeden Fall das Jahr von Linux auf dem Desktop!

Ich werde von Freunden und Kollegen immer mal wieder drauf angesprochen, dass sie über einen Blog- oder Foren-Beitrag von mir gestolpert sind. Und manchmal ging mir das selbst so. Ja, auf der Suche nach der Lösung eines Problems bin ich immer mal wieder auf eigenen Beiträgen mit den entsprechenden Lösungsansätzen gelandet. Das Blog dient also auch für mich dazu, Dinge festzuhalten, um selbst noch mal wieder drauf zugreifen zu können.

Insofern wird es hier in Zukunft hoffentlich wieder regelmäßiger Beiträge geben. Genug Material ist sicherlich da. Die heimische Server-Welt wurde umgebaut, alte PCs auf neue Betriebssysteme umgestellt. Da wird sicherlich noch der eine oder andere Artikel bei anfallen.

Und keine Angst, einen richtigen Jahresrückblick verkneife ich mir auch dieses Jahr!

Microsoft beglückt die Nutzer seiner Systeme ja immer mal mit mehr oder weniger passenden Neuerungen in Form von zusätzlichen Apps. In den letzten Wochen tauchte auf diversen Systemen die App „Microsoft DevHome“ auf.

https://learn.microsoft.com/de-de/windows/dev-home/

DevHome ist somit eine Anwendung für Software-Entwickler. Warum Microsoft die App an normale Nutzer verteilt, wird wohl deren Geheimnis bleiben. Warum sie als Systemkomponente gilt und somit nicht einfach per Rechtsklick deinstalliert werden kann, ist aber schlicht unverständlich.

Als Lösung dient eine Kommandozeile als Administrator gestartet und folgender Befehl:

winget uninstall Microsoft.DevHome

Danach ist das Paket verschwunden und kommt hoffentlich auch nicht wieder.

Vor einigen Jahren hatte ich hier ja mal im Blog über das kleine ODYS Convertible berichtet. Das Gerät lebt immer noch und fristet mangels der minimalen Hardwareausstattung allerdings ein eher klägliches Dasein. Also warum nicht etwas basteln und mal ein Linux drauf ausprobieren? Könnte ja vielleicht besser funktionieren, als das doch etwas sehr zähe Windows 10.

Problem ist halt auch hier das 32-bit EFI. Die CPU selbst ist eine 64-bit fähige CPU, aber zum Booten braucht es einen 32-bit Bootloader. Für Windows bedeutet das, dass nur ein 32-bit Windows 10 verwendet werden kann. Bei Linux geht allerdings auch ein 64-bit System. Man muss es nur zum Booten bringen.

Wir brauchen nur wenige Dinge:

• Unser Notebook
• Eine Linux Distribution als ISO-Image, im Beispiel ein Ubuntu 22.04 LTS
• Einen 32-bit EFI Bootloader
• Einen USB-Stick zur Installation
• Einen USB-WLAN- oder -LAN-Adapter
• Ein wenig Geduld… 😉

Bei meinen Tests wurde der verbaute WLAN-Adapter nicht erkannt oder, wenn er denn mal auftauchte, konnte er keine Verbindung herstellen. Ich habe daher einen USB-WLAN-Adapter im Micro-Format verwendet. Der verwendete Zyxel USB-WLAN-Adapter verwendet einen Realtek Chipsatz und wird vom Linux Kernel direkt unterstützt.

Auf den USB-Stick wird die ganz normale Linux-ISO geschrieben. Das kann unter Linux selbst per dd passieren oder unter Windows per Rufus.

Unseren 32-bit EFI Bootloader können wir z.B. hier herunterladen:
https://github.com/lamadotcare/bootia32-efi

Die Datei bootia32.efi wird nun auf dem USB-Stick in den Ordner \EFI\boot kopiert. Dort liegen schon die bestehenden Bootloader und unser Loader fürs 32-bit EFI kommt einfach dazu. Schon ist der Stick bootfähig und wird ans VarioPro gesteckt.

Ich habe die Erfahrung gemacht, dass dazu am besten die linke USB-Buchse verwendet wird. Diese kennt nur USB 2.0. An der rechten USB 3.0 Buchse wurde mein Stick nicht zum Booten erkannt.

Beim VarioPro kommt man ins Bootmenü, indem man nach dem Anschalten wild die Esc-Taste drückt, bis ein Menü auftaucht. Hier muss nun zuerst SecureBoot deaktiviert werden. Der 32-bit EFI Bootloader ist nicht signiert und damit würde er bei aktivem SecureBoot nicht gestartet werden.

Nachdem SecureBoot aus ist, kann man im Boot-Menü des VarioPro den USB-Stick als Bootmedium auswählen. Und man glaubt es kaum, das System bootet. War noch gar nicht so schwer.

Im grub Bootmenü kann nun die Installation des Linux Betriebssystems ausgewählt werden. Die Installation lässt sich ganz normal durchführen. Ich würde zuerst mal die Minimal-Installation wählen. Fehlende Pakete lassen sich hinterher ja problemlos nachinstallieren.
Beim Installationsziel sollte man die gesamte interne Disk angeben und nicht versuchen, Linux neben Windows zu installieren. Das passt nicht wirklich.

Die Installation selbst läuft dann eine gewisse Zeit und nebenbei darf man sein Benutzerkonto einrichten und dem Gerät einen Namen geben.
Ist die Installation abgeschlossen, darf man auswählen, das Gerät neu zu starten. Die Meldung, den USB-Stick zu entfernen, sollte man einfach ignorieren. Wir müssen jetzt noch einmal vom Stick booten!

Also beim Neustart wieder wild auf die Escape-Taste hämmern und erneut im Boot-Menü den Stick auswählen. Nun landen wir wieder im grub Menü und drücken hier einmal die Taste „c“, um auf der Kommandozeile von grub zu landen.

Was ist das Problem? Nun, wir haben zwar vom Stick im 32-bit EFI-Modus booten können, aber unser installiertes System weiß davon nichts. Leider ist Ubuntu nicht raffiniert genug, um das festzustellen. Wir müssen also noch ein paar Pakete nachinstallieren. Aber dazu müssen wir zuerst mal unser installiertes System booten.

An der grub Kommandozeile gibt man dazu folgende Kommandos ein:

linux (hd1,gpt2)/boot/vmlinuz-5.19.0-38-generic root=/dev/mmcblk2p2
initrd (hd1,gpt2)/boot/initrd-5.19.0-38-generic
boot

grub beherrscht hier die automatische Vervollständigung der Kommandozeile. Wenn man also nicht genau weiß, welche Kernel-Version installiert ist, gibt man linux (hd1,gpt2)/boot/vm ein und drückt einmal die Tab-Taste, um die Auswahl dazu zu bekommen. Dann ergänzt man die entsprechende Zeile.

Selbiges gilt für die initrd-Zeile. Auch hier kann man die verwendete initrd einfach mit Tab komplettieren.
Das Boot-Kommando startet dann das installierte System, wenn man alles richtig getippt hat.

Ist das System gestartet, sollte man den USB-Stick abziehen. Nun können wir die notwenigen Komponenten nachinstallieren. Dazu wird ein Terminal geöffnet und dann werden folgende Befehle eingegeben:

sudo apt install grub-efi-ia32-bin
sudo grub-install
sudo update-grub

Damit werden die 32-bit EFI Komponenten für grub nachinstalliert, und im System installiert.
Nun kann man das System noch einmal neu starten und es sollte ganz normal das installierte Linux booten.

Ich habe ein wenig mit Ubuntu 22.04 auf dem VarioPro herumgespielt und es ist zumindest nutzbar. Natürlich wird aus der Hardware kein Rennpferd, aber alle grundsätzlichen Funktionen scheinen soweit zu funktionieren, mit Ausnahme des erwähnten WLAN-Adapters.
Es sind hier etwa 16 GB freier Speicherplatz verfügbar, insofern ist Ubuntu also etwas schmaler auf der Disk, was bei den viel zu kleinen 32 GB eMMC Speicher sicherlich nicht verkehrt ist.

Die Anleitung lässt sich mit leichten Anpassungen bei der Angabe der Partitionsnamen auch für andere CherryTrail Tablets/Convertibles mit 32-bit EFI nutzen.

Viel Erfolg beim Ausprobieren!

Nachtrag vom 15.04.:

Nun fallen mir doch noch ein paar Dinge auf, die ich nachträglich ergänzen möchte.

Einerseits funktioniert die Webcam nicht. Beim Booten wird gemeldet, dass die binäre Firmware dafür fehlen würde. Lädt man diese herunter und kopiert sie in den gewünschten Ordner, funktioniert nach dem Neustart die Kamera weiterhin nicht. Stattdessen crasht im Hintergrund einiges. Also Firmware-Datei schnell wieder gelöscht und auf die Webcam verzichtet.

Und der oben erwähnte USB-WLAN-Adapter funktioniert doch nicht „out of the box“. Warum ich zwischendurch mal Funknetze gesehen habe, kann ich grad nicht nachvollziehen. Vielleicht war da doch irgendwie der integrierte WLAN-Chip aktiv? Keine Idee.

Für meinen oben erwähnten USB-WLAN-Adapter mit Realtek RTL8812BU Chipsatz finden sich die Treiber hier: https://github.com/morrownr/88x2bu-20210702
Die Installation ist dort auch für Laien gut nachvollziehbar beschrieben.

Und gleich noch eine Ergänzung, der Sound macht nämlich auch so ein paar seltsame Mucken. Nach ein bis zwei Minuten hört man statt Musik nur noch ein infernalisches Piepen. Workaround ist der Eintrag folgender Zeile am Ende der Datei /etc/modprobe.d/alsa-base.conf

options snd-intel-dspcfg dsp_driver=2

Auch damit taucht hier noch keine Möglichkeit zur Regelung der Lautstärke auf. Aber ich will ja auch in der Zukunft noch etwas zum Basteln haben…