Ingos Blog

Hurra, die Glasfaser ist endlich da! Naja, fast.. auf jeden Fall war es hier Zeit, die gute alte Fritz!Box 7490 mal gegen ein aktuelles Modell auszutauschen. Somit steht jetzt eine 5690 Pro im Keller.

Auch der bereits vorher vorhandene Repeater 3000 sollte natürlich wieder angebunden werden. Dieser ist hier im Modus „LAN-Brücke“ konfiguriert, hängt also per Netzwerkkabel direkt an der Fritz!Box und arbeitet als zusätzlicher Accesspoint. Genau so hat das über die letzten Jahre sehr problemlos funktioniert.

Nun habe ich also per Assistent von der 7490 auf die 5690 Pro migriert und dabei wurde auch die Konfiguration des Repeater 3000 übertragen. So weit, so gut. Der Repeater 3000 übernimmt die Konfiguration der Box, insofern ist dort auch nichts weiter zu konfigurieren.

Die zu verbindenden Geräte funktionieren auch, aber ein Blick auf die Fritz!WLAN App oder die Einstellungen der jeweiligen Betriebssysteme zeigt aber, dass sie nur die WPA2 Verschlüsselung nutzen. Nanu!?

Aber Moment, in der Box ist doch eindeutig eingestellt, dass auch WPA3 angeboten wird. Und die Geräte wie Handy und Notebook sind neu genug, um auch WPA3 zu beherrschen. Eigentlich taten sie das auch mal. Eigenartig!

Nach ein paar Tests stellt sich heraus: das Verhalten taucht nur auf, wenn sich die Geräte mit dem Repeater 3000 verbinden. Verbinden sie sich mit der Fritz!Box selbst, nutzen sie WPA3.

Ich habe zuerst den Repeater auf Werkseinstellungen gesetzt. Kann ja sein, dass irgendwas nicht sauber übernommen wurde. Aber nein, sobald dieser wieder konfiguriert ist und seine Konfiguration von der Box übernommen hat, gibt es wieder nur WPA2.

Nun gut, es gibt ja noch andere Wege. Was passiert denn, wenn ich die Übernahme der Einstellungen von der Fritz!Box auf den Repeater deaktiviere?

Ab dem Moment kann ich am Repeater manuell die WLAN-Sicherheit auswählen, auf „WPA2 + WPA3“ stellen und – oh Wunder – die Geräte verbinden sich auch am Repeater mit WPA3!

Nun ist das allerdings keine Lösung, denn im Mesh möchte man ja schon, dass die zentralen Einstellungen übernommen werden. Da war dann der Punkt erreicht, eine Supportanfrage an den Support von Fritz! zu stellen.

Und die Antwort folgte schnell: das von mir beobachtete Verhalten ist ein bekanntes Problem und soll in einer zukünftigen Fritz!OS Version behoben werden. Bis dahin gibt es einen einfachen Workaround:

Man entfernt im Menü Sicherheit im Bereich WLAN den Haken bei der Option „Sicherheitseinstellungen für den WLAN-Zugang auf eine erhöhte Kompatibilität für ältere WLAN-Geräte optimieren“.

Sobald die Option deaktiviert ist, übernimmt der Repeater sauber die Konfiguration mitsamt der Sicherheitsoption „WPA2 + WPA3“.

Irgendwelche Nebenwirkungen sind mir dazu bisher noch nicht aufgefallen. Und bald kommt dann hoffentlich auch wirklich der Glasfaseranschluss.

Im Heise Newsticker fand sich heute mal wieder ein Beitrag, der die Leute eher verwirrt und dessen Überschrift schon mit einer Lüge anfängt.

Vorbereiten auf Einschlag: Microsoft warnt vor Secure-Boot-Zertifikat-Update | heise online

Worum geht es?

Microsoft hat mit dem Erscheinen von Windows 8 eine Funktion namens „SecureBoot“ eingeführt. SecureBoot sorgt dafür, dass ein PC mit dieser Funktion nur einen Bootloader startet, welcher digital signiert ist. Und zwar entweder von Microsoft oder vom Benutzer selbst. Auch alle weiteren Komponenten, die danach gestartet werden, müssen entsprechend signiert werden.

Microsoft selbst signiert sowohl eigene Bootloader als auch z.B. Bootloader von Linux Distributionen mit Zertifikaten, die von einer speziellen Zertifizierungsstelle ausgestellt werden. Deren Zertifikate waren von 2011 an ca. 15 Jahre gültig und laufen daher im Jahr 2026 ab.

Wenn sie ablaufen und dann Updates installiert würden, die mit den neuen Zertifikaten signiert sind, wird das System vermutlich nicht booten oder die Installation der Updates verweigern. Die Zertifikate müssen also bis dahin ausgetauscht werden. Zudem müssen die entsprechenden Bootloader dann mit den neuen Zertifikaten neu signiert werden.

Was ist zu tun?

Für den Windows Normalnutzer? Nichts!
Microsoft wird die neuen Zertifikate einfach über Windows Update auf alle PCs ausliefern.

Damit ist das Thema eigentlich schon für die große Masse der PC-Nutzer erledigt. Genau das hätte auch in den Artikel bei Heise gehört. Und zwar ganz oben!

Was ist mit Linux Systemen?

Wie oben schon geschrieben, signiert Microsoft auch Bootloader für Linux Systeme. Auch hier müssen natürlich entsprechende Updates eingespielt werden. Dies passiert bereits. Beispielweise wurde hier unter Fedora Linux ein Update „Microsoft KEK CA“ eingespielt.

Die Linux-Distributionen, die SecureBoot unterstützen, müssen also entsprechende Updates rechtzeitig ausliefern und dann später ihre Bootloader neu signieren lassen.
Die Updates stehen per LVFS bereit und werden z.B. über fwupdmgr ausgeliefert, GNOME Software oder KDE Discover.

Wo könnte es Probleme geben?

Microsoft erfordert für Windows Systeme, dass zumindest die minimale Übermittlung von Diagnosedaten aktiv ist, um die passenden Updates zu bekommen. Das ist der Standard, den man in Windows Home und Pro nicht einfach abschalten kann. Es gibt aber Tricks und Möglichkeiten, diese Daten „abzuwürgen“. Wer das getan hat, bekommt die entsprechenden Updates möglicherweise nicht.

Bei einigen PCs des Herstellers Fujitsu hat der Hersteller einen Fehler im BIOS, so dass das Aktualisieren von SecureBoot Datenbanken hier für massive Probleme gesorgt hat. Auch die Aktualisierung der Zertifikate könnte solche Probleme verursachen. Da viele der betroffenen Fujitsu Systeme aus dem Support sind, weigert der Hersteller sich für diese Maschinen, das Problem zu beheben.

Außerdem müssen sich Firmen, die Windows Updates nicht über Windows Update beziehen, damit beschäftigen, die entsprechenden Zertifikate manuell zu verteilen.
Aus dem Grund richtet sich der von Heise zitierte Artikel bei Microsoft auch an die entsprechenden Verantwortlichen in Firmen und nicht an den normalen Heimnutzer.

Das klingt so, als bräuchte ich ein BIOS-Update. Brauche ich eines?

Nein!

Die Hersteller werden die neuen Zertifikate auch im Rahmen von BIOS-Updates verteilen. Sie kommen aber, wie oben ja schon geschrieben, auch über Windows Update.

Die Variante übers BIOS-Update hat einen Vorteil: die neuen Zertifikate können nicht einfach wieder gelöscht werden. Hingegen könnte man die Zertifikate, die über Windows Update kommen, im BIOS-Setup einfach wieder löschen. In der Praxis dürfte das keinen Unterschied ergeben.

Natürlich empfiehlt Microsoft, idealerweise ein aktuelles BIOS einzuspielen. Das ist generell sinnvoll. Es ist aber kein Muss in diesem Zusammenhang.

Leider wird das aus dem Artikel bei Heise nicht deutlich genug, denn in den Kommentaren zum Heise Artikel überschlagen sich die Reaktionen derer, die erwarten, mangels BIOS-Update ihr System nicht mehr weiter nutzen zu können.

Wovor warnt Microsoft denn nun?

Es gibt keine Warnung durch Microsoft! Das ist schlicht etwas, was sich der Redakteur bei Heise ausgedacht hat.

Microsoft informiert über das Vorgehen und ruft Firmenkunden auf, sich mit dem Thema zu beschäftigen. Der originale Artikel ist auch bei Heise verlinkt und nirgendwo ist dort auch nur ein Wort der Warnung zu sehen.

Act now: Secure Boot certificates expire in June 2026 – Windows IT Pro Blog

Da hat man ein Schnäppchen gemacht und günstig einen PC oder ein Notebook gekauft, möglicherweise gebraucht oder einfach nur etwas ältere Lagerware. Man hat extra auf offizielle Kompatibilität zu Windows 11 geachtet und beim ersten Anschalten kommt dann das böse Erwachen: die Vorinstallation des PC-Herstellers ist uralt, die vom Händler aufs gebrauchte Gerät installierte Windows Version ist noch gar kein Windows 11. Und ist das, was da installiert ist, nicht schon lange aus dem Support von Microsoft raus?

Wer nagelneue Geräte kauft, bekommt darauf normalerweise auch ein Windows 11 in recht aktueller Version. Bei Gebrauchtgeräten kann das schon anders sein. Aber ist das für die ganz normalen Nutzer schlimm?

Im Netz finden sich Behauptungen, dass man zwingend manuell upgraden müsse, wenn eine Windows Version nicht mehr im Rahmen ihres Supportzeitraumes wäre. Sie würde dann ja keine Updates mehr bekommen und somit auch nicht die notwendigen Updates, um auf eine neue Version upgraden zu können.

Aber stimmt das? Oder reicht ein einfaches Abwarten, bis sich Windows Update um das Problem gekümmert hat?

Kommt man von einem alten Windows zu einer ganz aktuellen Version, ohne manuell eingreifen zu müssen? Das hab ich einfach mal für euch ausprobiert.

Das zum Test verwendete Notebook ist ein Lenovo ThinkPad L480, also ein Gerät mit Intel CPU der achten Generation. Es unterstützt SecureBoot und bringt ein TPM 2.0 mit – somit eine offiziell unterstützte Hardware für Windows 11.

Um die Sache etwas spannender zu machen, wurde als Ausgangssystem die älteste Windows 10 Version überhaupt installiert – die allererste Windows 10 Build 10240 von 2015. Microsoft hat sich später dazu entschieden, den Windows Versionen Namen auf Basis des Erscheinungsmonats bzw. noch später des Halbjahres zu geben und nennt diese Version nun nachträglich „1507“.

Lange ist es her, aber das war vor ziemlich genau zehn Jahren der Beginn von Windows 10. Die Version ist natürlich schon jahrelang als Home, Pro oder Enterprise schon nicht mehr unterstützt. Was passiert also, wenn ich mit so einem alten System nach Updates schaue?

Nun, ich bekomme Updates. Dass das System an sich nicht mehr unterstützt ist, bedeutet schließlich nur, dass es ab dem Ende des Supportzeitraumes keine neuen Updates mehr gibt.

Die bereits veröffentlichten Updates stehen selbstverständlich weiter zur Verfügung und mein zehn Jahre altes Windows 10 installiert fröhlich einen Satz an kumulativen Windows Updates, Treiberupdates und startet dazu ein paar Mal neu.

Und direkt danach macht Windows Update gleich weiter. Ist die Version 1507 auf dem aktuellen Stand, wird ein Funktionsupdate angeboten, d.h. ein Upgrade auf eine neuere Windows Version. In diesem Fall ist das die Version 20H2, also die Version aus dem zweiten Halbjahr des Jahres 2020.

Die Version 20H2 von Windows 10 ist die letzte „große“ Windows 10 Version. Es folgten danach zwar noch weitere Versionen und aktuell wäre die Version 22H2. Diese basieren aber auf dem Kern von 20H2 und sind ihrerseits nur kleine Patch-Pakete, die Funktionen freischalten. Insofern alles richtig gemacht, das ist sinnvollerweise die neueste Windows 10 Version, die sinnvoll möglich ist.

Und eine gute halbe Stunde später ist es auch schon geschafft, wir haben die Build 19042 erreicht. Automatisch wurde der Edge Browser auf Chromium-Basis installiert, das Hintergrundbild sieht auch etwas moderner aus, wunderbar.

Grundsätzlich wären alle diese Dinge ganz von alleine passiert, denn Windows Update installiert wichtige Updates ja von selbst, ohne dass man eingreifen muss. Um nicht so lange warten zu müssen, habe ich für den Test Windows Update aufgerufen und nach Updates suchen lassen – muss man aber nicht.

Auch die Windows 10 Version 20H2 installiert dann natürlich fröhlich weiter Updates. Und auch diese Version ist nicht mehr im Support, d.h. es gibt kein Update von diesem Monat, aber wir kommen der Neuzeit ein wenig näher.

Windows 11 kündigt sich auch schon an. Noch ohne weitere Details, aber wir mögen uns schon einmal vorbereiten.

Und nun beginnt eine kleine Wartezeit. Die Komponenten für das Upgrade auf Windows 11 werden im Hintergrund heruntergeladen, aber die Prüfung auf Kompatibilität von Hardware, Treibern und Software findet nicht sofort statt!

Das ist wichtig, u.a. auch dann, wenn man z.B. erst nachträglich das TPM 2.0 aktiviert oder SecureBoot, denn diese Änderung wird nicht sofort wirksam. Die Überprüfungsprozesse laufen per Aufgabenplanung – und nur alle paar Tage mal.

Werden also keine weiteren Updates an dieser Stelle gefunden, ist das völlig normal. Man braucht einfach nur etwas abzuwarten.

Hat man brav abgewartet, wird einem Windows 11 ganz von alleine angeboten – und zwar jetzt passenderweise auch gleich die momentan aktuelle Version 24H2.

Es geht also ohne weitere Zwischenschritte direkt von einem Windows 10 20H2 mit einem Patch-Stand von Mai 2022 auf die aktuelle Windows 11 Version.

Eine gewisse Zeit haben Download und Vorbereitungen des Updates gebraucht und dann kann endlich der Neustart erfolgen.

Und nach ein paar weiteren Neustarts ist das System aktuell. Und zwar wirklich aktuell, denn es wurde nicht nur die Windows 11 Version 24H2 installiert, sondern die aktuellen Updates des Monats sind ebenfalls schon da.

Es klappt also grundsätzlich völlig ohne irgendwelche manuelle Eingriffe, ein altes, nicht mehr unterstütztes Windows 10 oder 11 auf eine aktuelle Version zu bringen!
Man kann dabei bei einer beliebigen Windows 10 oder 11 Version anfangen und wird in wenigen Schritten ganz automatisch auf dem aktuellen Stand landen.

Wie oben schon geschrieben ist es wichtig zu wissen, dass manche Dinge nicht sofort passieren, sondern manchmal ein paar Tage brauchen. Als Normalnutzer muss man somit nichts manuell laden, keine Inplace-Upgrades machen, nicht mit Tools oder ISO-Images hantieren sondern einfach nur abwarten.

Ist das aber sinnvoll?

Für jeden, der sich etwas näher mit dem System beschäftigt, stellt sich die Frage, was denn die Nachteile sind.

Zuerst einmal, wie schon erwähnt, die Zeit. Man hat halt über mehrere Tage eben kein aktuelles System. Dem Normalnutzer mag es egal sein, aber wer ein paar mehr Ansprüche hat, möchte sofort ein aktuelles System.

Die Partitionierung ist ein weiterer Nachteil in diesem Fall. Die alte Windows 10 Version 1507 hat am Anfang der Disk eine 450 MB große Wiederherstellungspartition angelegt. Für die Windows 10 Version 20H2 war diese zu klein, also hat sie am Ende der Disk eine neue Wiederherstellungspartition angelegt. Die 450 MB vorne sind nun unnötig. Kein Beinbruch, aber halt nicht ideal.

Auch sind bei der Variante mit den Upgrades möglicherweise nicht alle Sicherheitsfunktionen aktiv.

Bei einer Neuinstallation auf dem selben Gerät waren die Bitlocker-Verschlüsselung und der „Schutz durch lokale Sicherheitsautorität“ automatisch aktiviert. Hingegen war beides nach den Upgrades aus.

Fazit ist also: ja, es geht.
Ja, man kann problemlos ohne manuelle Aktionen ein vom Händler mit uraltem Windows 10 oder 11 geliefertes Gerät upgraden. Und wenn man einfacher Nutzer ist, ist das auch völlig okay.

Wer sich ein wenig mit dem Thema beschäftigt, sollte aber in solchen Fällen gar nicht erst ein Upgrade, sondern eine saubere Neuinstallation durchführen. Ein Windows 11 USB-Installationsstick ist schnell erstellt. Davon wird gebootet und die verbaute Disk vollständig gelöscht. Die reine Windows 11 Installation ist dann in meist 15 Minuten durch und man hat eine saubere Basis, ohne irgendwelche Altlasten mitzunehmen.

So als Laie in Sachen selbst betriebenem WordPress fallen einem nicht von Anfang an jegliche kleinen und großen Optionen und Fallen auf, die man setzen oder umschiffen sollte.

Durch einen netten Hinweis von Thomas Kessler und sein „Responsive Twenty Ten“ Plugin ist das Blog jetzt auch mobil besser lesbar und es wurden u.a. die Direkt-Links auch auf das früher verwendete, besser lesbare Format umgestellt.

Noch einmal vielen Dank!

Das Plugin findet sich hier: https://www.kessler-design.com/responsive-twenty-ten/

Auf Windows 10 und 11 Systemen taucht nach der Installation der kumulativen Updates vom April 2025 der Ordner C:\inetpub neu auf.

Dieser Ordner wird normalerweise angelegt, wenn die Internetinformationsdienste (IIS) nachinstalliert werden. Diese wurden allerdings auch durch das Update nicht automatisch nachinstalliert.

Dass der Ordner plötzlich auftaucht, ist allerdings tatsächlich Absicht. Microsoft hat den Artikel zu der Sicherheitslücke CVE-2025-21204 nachträglich ergänzt und schreibt nun dazu:

„Nach der Installation der in der Übersicht der Sicherheitsupdates für Ihr Betriebssystem aufgeführten Updates wird auf Ihrem Gerät ein neuer Ordner %systemdrive%\inetpub erstellt. Dieser Ordner sollte nicht gelöscht werden, unabhängig davon, ob die Internetinformationsdienste (IIS) auf dem Zielgerät aktiv sind. Dieses Verhalten ist Teil der Änderungen, die den Schutz erhöhen und keine Maßnahmen von IT-Administratoren und Endbenutzern erfordern.“

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21204

Vermutlich ist es auf dem privaten PC kein wirkliches Problem, wenn der Ordner doch gelöscht wurde. Angriffsszenarien in diesem Umfeld beziehen sich meist eher auf den Nutzer, der normalerweise eh administrative Rechte hat oder erlangen kann. In Firmenumgebungen sollte der Ordner aber wohl erst einmal nicht entfernt werden.

Stand: 2025-04-11, Korrektur nach Änderung des CVE Artikels von MS, nachdem der Ordner doch nicht gelöscht werden sollte.

Ich wollte das Blog schon lange mal von der werbefinanzierten WordPress Seite umziehen auf den eigenen Webspace. Nun ist es vollbracht!

Sieht alles so aus wie immer, aber jetzt halt ohne Werbung. Übrigens auch ohne irgendwelche Elemente zum Teilen von Artikeln via Social Media.
Wer Artikel via Social Media teilen möchte, kann gerne Links kopieren und in den Medien seiner Wahl einfügen.
Einbindungen von Share-Buttons wird es schon aus Gründen des Datenschutzes nicht mehr geben.

Die Inhalte unter der alten Adresse werden nach und nach verschwinden. Je nach Zeit und Lust werden Artikel, auf die häufig verlinkt wird, mit entsprechenden Hinweisen auf ihren neuen Ort versehen.

Ja, das kleine VarioPro Convertible lebt immer noch, man glaubt es kaum. Beim letzten Mal hatte ich ja beschrieben, wie man Ubuntu installieren kann.

Mittlerweile habe ich festgestellt, dass es noch einen viel einfacheren Weg gibt: Fedora!

Mit Fedora Linux kommt passenderweise gleich der 32-bit EFI Bootloader mit. Man braucht also nichts vorzubereiten, sondern nimmt einfach einen USB-Stick mit dem aktuellen Fedora Image – in meinem Fall den KDE Spin – und installiert los.

Spannenderweise funktioniert damit auch der Sound sauber, der bei Ubuntu so seine Probleme hatte. Und das interne WLAN-Modul ist zwar weiterhin nicht toll, funktioniert aber grundsätzlich.

Die Performance ist natürlich mies, egal ob man nun GNOME oder KDE verwendet. Mit einem etwas leichtgewichtigeren Desktop könnte man evtl. noch ein wenig mehr Geschwindigkeit rausholen.

Aber es läuft. Man glaubt es kaum! 😉

Zum Ende des Jahres kommen ja überall die Jahresrückblicke. Das hier soll keiner werden, aber das letzte Posting hier ist schon ein gutes Jahr her und somit ist einfach mal wieder ein Lebenszeichen notwendig.

Das Jahr war voll gepackt. Viel Arbeit, ein familiärer Trauerfall, diverse kleine und große Veränderungen. Da fehlte dann irgendwo die Zeit und Lust für Blog-Einträge. Zudem gibt es ja auch diverse andere gute Blogs und Seiten, so dass ich auch nicht all das noch einmal schreiben muss, was anderswo schon steht.

Und viel hat sich in der IT-Welt auch nicht verändert. Es wird weiterhin jedes kleine Windows-Problem zur Katastrophe erklärt, egal wie viele Leute es betrifft. Und es wird weiterhin jedes neue Apple Gadget gehypt, egal wie viele Leute es am Ende kaufen. Und, nicht zu vergessen, nächstes Jahr ist auf jeden Fall das Jahr von Linux auf dem Desktop!

Ich werde von Freunden und Kollegen immer mal wieder drauf angesprochen, dass sie über einen Blog- oder Foren-Beitrag von mir gestolpert sind. Und manchmal ging mir das selbst so. Ja, auf der Suche nach der Lösung eines Problems bin ich immer mal wieder auf eigenen Beiträgen mit den entsprechenden Lösungsansätzen gelandet. Das Blog dient also auch für mich dazu, Dinge festzuhalten, um selbst noch mal wieder drauf zugreifen zu können.

Insofern wird es hier in Zukunft hoffentlich wieder regelmäßiger Beiträge geben. Genug Material ist sicherlich da. Die heimische Server-Welt wurde umgebaut, alte PCs auf neue Betriebssysteme umgestellt. Da wird sicherlich noch der eine oder andere Artikel bei anfallen.

Und keine Angst, einen richtigen Jahresrückblick verkneife ich mir auch dieses Jahr!