auf einem MSI-System mit Dual-Boot hatte ich heute das Problem, dass die Microsoft PIN nicht mehr akzeptiert wurde (habe den genauen Wortlaut der Fehlermeldung leider nicht mehr im Kopf) nach der Aktualisierung unter Linux (Grub/Kernel???). Muss ich das so hinnehmen oder lässt sich das irgendwie vermeiden? Ich war gezwungen, die PIN zurückzusetzen und hatte dabei noch nicht einmal mehr Zugriff auf meine E-Mails (zweiter Rechner erforderlich).
Ich bin der Sache schon etwas näher gekommen: wenn ich über GRUB direkt openSUSE boote gibt es hinterher keine Probleme mit der Microsoft PIN. Das Problem scheint der Windows 11 - Eintrag in GRUB zu sein?
Ich behelfe mir jetzt so, dass ich Windows 11 über den Microsoft Bootloader starte und GRUB für openSUSE (“opensuse secureboot”) bei Bedarf manuell auswähle (in meinem Fall mittels der Taste F11 beim Booten).
Ich hatte das Problem auch. Ein Rechner mit ausschließlich Win 10 und ein Rechner mit Win 11 und 2 Linuxen.
Bei beiden Rechner (gleich alt und ähnlicher Technik) waren die Mainboard-Batterien leer. Neue Batterien eingesetzt, Bios wieder eingerichtet und jetzt ist alles wieder gut.
Aber ob es die Ursache war, …?
Ich denke nicht, dass das die Ursache war: der Rechner ist quasi nagelneu! Würde eher auf eine Fehlkonfiguration im BIOS tippen oder beim GRUB-Bootloader?
Ich kenne die genaue Ursache auch nicht, aber unter gewissen Umständen merkt das Betriebssystem aus dem Hause Microsoft, dass kein sauberer Bootvorgang durchgeführt wurde (Start eines Fremdbetriebssystem) => Secure Boot, Measured Boot, Trusted Boot, ELAM und so weiter…
In solchen Fällen ist bei mir die sogenannte “Kernisolation” plötzlich abgeschaltet. Natürlich ist die Kernisolation beim regulären Betrieb aus Sicherheitsgründen eingeschaltet.
Die fehlende Kernisolation bewirkt bei meinem Windows-Rechner, dass er sich plötzlich nicht mehr am WLAN (WPA2-Enterprise) anmelden kann, weil der Zugriff auf das dazu benötigte X.509-(Maschinen-)Zertifikat per TPM abgesichert ist. Eine fehlende Kernisolation oder ein funktionsuntüchtigter TPM kann gravierende Auswirkungen auf “Windows Hello” haben, so dass die PIN-Anmeldung nicht mehr funktioniert.
In den Windows-Einstellungen (Zahnrad) unter:
Datenschutz und Sicherheit > Windows-Sicherheit > Gerätesicherheit
kontrollieren, ob da irgendeine Schutzmassnahme im Fehlerfall abgeschaltet wurde, welche im regulären Betrieb eingeschaltet ist.
Randbemerkung: Wer im Umgang mit den Gruppenrichtlinien (gpedit.msc) geübt ist, sollte die von den australischen Behörden empfohlenen Schutzmassnahmen im Betriebssystem MS Windows 10 und 11 umsetzen:
Ein Rechner hat nur Windows und nie ein GRUB gesehen. GRUB schließe ich daher aus.
Vorher bekamen beide Rechner Updates. Aber es ist Windows 10 und 11. Möglich, dass gleiche Updates für beide Versionen kamen und das Problem verursachten.
Das TPM habe ich auch in Verdacht: Batterie leer → BIOS-Einstellungen weg → TPM-Einstellungen weg