Forum: PC Hard- und Software Windows 10 - jetzt bekomme ich richtig Angst

Karl B. schrieb:
> Trag lieber etwas dazu bei, das Secure Boot Problem praktisch zu lösen.
Das löst man schon bei der Installation von Windows, indem man den 
Installer anweist die Überprüfung von Secure Boot außen vor zu lassen. 
Damit wird das Gedöns dauerhaft abgeschaltet und Windows fragt da nicht 
mehr nach - ferdisch.

Karl B. schrieb:
> Alexander schrieb:
>> doch. ist in about:settings
> Wo genau?
> Finde ich nicht auf Anhieb.

Datenschutz & Sicherheit -> Cookies und Website-Daten -> Daten 
entfernen...

Zeitraum: alles

[✓] Temporäre Dateien und Seiten im Cache

[✓] Cookies und Website-Daten beim Beenden von Firefox löschen

Karl B. schrieb:
> Das ist keine Lösung.
> Wir sprechen uns 2027 wieder, wenn Du Dich hier ausheulst.
> Übrigens, in Deinem jetzigen Zustand würde ich nicht mehr autofahen.
> Du hast die Promillegrenze deutlich überschritten.
Ach Karl, sind wir jetzt am Punkt Aufstampf und unsachlich werden 
angekommen? Laß das einfach, es bringt Dich keinen Schritt weiter und Du 
zeigst hier nur allen das Windows definitiv nicht zu Deinem 
Kompetenbereich gehört.

Dein Secure Boot deaktivieren geht eigentlich nur bei Installation, wo 
man dem Installer sagt das man dies nicht möchte. Im Nachgang ist das 
aus gutem Grund nur schwierig oder auch gar nicht möglich. Man kann es 
unter bestimmten Bedingungen im UEFI-Bios abschalten, aber eben nicht 
immer.
Man kann es, wie schon mehrfach erwähnt, bei der Installation via 
Registryschlüssel abschalten. Wie und unter welchen Bedingungen das 
funktioniert ist z.B. hier 
https://www.easeus.de/partitionieren-tipps/secure-boot-und-tpm-umgehen.html 
beschrieben. Man muß bloß einmal im Netz nach "Secure Boot in Registry 
abschalten" suchen und man erhält jede Menge Lesestoff zum Thema.

Hans schrieb:
> Dein Secure Boot deaktivieren geht eigentlich nur bei Installation, wo
> man dem Installer sagt das man dies nicht möchte. Im Nachgang ist das
> aus gutem Grund nur schwierig oder auch gar nicht möglich.

Man kann Secure Boot normalerweise "einfach so" im BIOS deaktivieren. 
Ich habe es nie anders erlebt.

Gerhard O. schrieb:
> Bei mir läuft seit 2013 ein W7X64 i7 PC.  ...
Man muß ja auch nicht immer die allerneueste HW haben. Für's 
stinknormale Tagesgeschäft was  so als Elektroniker zu bewältigen hat, 
tut es oftmals die betagte HW durchaus und auch ausreichend schnell.
Ich habe neben dem genannten Win11 Rechner auch noch einen alten HP 
XW4400W mit XP stehen. Mit dem mache ich auch noch das eine oder andere, 
einfach weil die entsprechende SW darauf installiert und eingerichtet 
ist. Ja beim Booten braucht der mittlerweile schon etwas und man kann 
dabei noch einen Kaffee trinken, aber das stört mich nicht allzu sehr, 
denn wenn er einmal hochgefahren ist, dann läuft der ordentlich und auch 
stabil. Wenn ich mal Lust habe, dann ziehe ich immer mal ein Programm 
von diesem Rechner auf den Win11 Rechner um, allerdings drängt mich da 
nix. Das Ding steht halt da und wenn ich ihn brauche muß ich ihn nur 
einschalten.

Dass es sich mittlerweile herumgesprochen hat, Secure Boot zu disablen, 
ist nicht die Antwort auf die Frage.
Das Secure Boot-Problem mag momentan noch nicht aktuell sein.
Aber auf den "dicken Knall" sollte man vorbereitet sein. Jetzt schon 
einmal wissen, wie es richtig geht.
Offenbar wissen die selbsternannten Experten hier im Forum das auch 
nicht.
Oder wollen ganz bewusst aus eigennützigem geschäftlichen Interesse 
damit hinter dem Berge halten, wie man Secure Boot richtig verwendet und 
die entsprechenden Zertifikate nachträglich noch auf den Rechner 
bekommt.

ciao
gustav

Nemopuk schrieb:
> Bis Windows XP hatte ich das oft empfohlen. Danach nicht mehr.
Auch Windows XP muß/mußte man nicht alle Nasen lang neu aufsetzen. Oben 
erwähnter HP Rechner wurde von mir nie neu aufgesetzt. Bis 2022 war der 
noch ständig im Einsatz, weil ich auf dem die SW für meinen AG 
entwickelt bzw. supportet habe. Ein Umzug der Entwicklungsumgebung mit 
allen zusätzlich installierten Komponenten wäre einfach zu aufwändig 
gewesen.

Karl B. schrieb:
> Aber auf den "dicken Knall" sollte man vorbereitet sein.

Welcher Knasll sollte das sein? Berichte doch mal.

Karl B. schrieb:
> Jetzt schon
> einmal wissen, wie es richtig geht.
Es gibt hier nur einen der nicht weis wie es "richtig geht".

Karl B. schrieb:
> Oder wollen ganz bewusst aus eigennützigem geschäftlichen Interesse
> damit hinter dem Berge halten, wie man Secure Boot richtig verwendet und
> die entsprechenden Zertifikate nachträglich noch auf den Rechner
> bekommt.
Ja wenn Du Dir nichts sagen läßt, dann mußt Du halt weiter rum 
wurschteln wie bisher. Bei den ganzen "selbsternannten Experten", inkl. 
mir, funktioniert ja der Kram, nur nicht bei demjenigen der meint es 
besser zu wissen. Manche Leuten ist halt nicht zu helfen, aus welchen 
Gründen auch immer.

Karl B. schrieb:
> Einfach zu sagen, nicht installieren, ist eine derart dümmliche Aussage,
Nee es ist keine dümmliche Aussage. Es ist nicht gewollt das man diesen 
Mechanismus im Nachgang per Software umgehen kann. Deshalb darf man 
diesen Mechanismus gar nicht erst ins System lassen und das geht eben 
nur bei der Installation. Ist (leider) so auch wenn Du das nicht wahr 
haben willst.

Hans schrieb:
> Dein Secure Boot deaktivieren geht eigentlich nur bei Installation

Liest Du eigentlich meine Threads richtig?
Es geht hier nicht darum, Secure Boot im Bios zu disablen.
Das kann ich jederzeit en- oder disablen, wenn ich ins Bios gehe.
Momentan ist es deswegen enabled, um an die geforderten Zertifikate zu 
kommen, die ja per Windows Update schrittweise ausgerollt werden.
Das eigentliche Problem:
Das Vorbereitungs-Update ist nicht installiert, weil zu dem Zeitpunkt, 
(Februar 2024) Secure Boot disabled war.
So ist meine Befürchtung nicht von der Hand zu weisen, dass trotz jetzt 
enableten Secure Boot, die dann ausgerollten Zertifikate nicht 
installiert werden.
Und: Wenn ich das wünsche: Wie komme ich auf anderem Wege an die 
Zertifikate ran.
Anschließend kann ich ja Secure Boot wieder disablen, wenn mir das nicht 
gefällt. (Sollte man nicht, um weitere Updates für das Secure Boot zu 
bekommen, weiß ich auch.)

Und da hat noch kein User hier eine richtige Antwort geliefert.

ciao
gustav

Karl B. schrieb:
> Es geht hier nicht darum, Secure Boot im Bios zu disablen.
> Das kann ich jederzeit en- oder disablen, wenn ich ins Bios gehe.
> Momentan ist es deswegen enabled, um an die geforderten Zertifikate zu
> kommen, die ja per Windows Update schrittweise ausgerollt werden.
Irgendwie raffst Du es nicht. Die Zertifikate für's Secure Boot haben 
primär erst mal nichts mit Windows zu tun. Das ist Sache des (UEFI)BIOS. 
Eine Aktualisierung dieses Krams erfolgt mit dem Update von Selbigen. 
Wenn es für Dein BIOS keine Updates gibt, dann gibt es eben auch keine 
neuen Zertifikate.

Das System wurde hier 
Beitrag "Re: Windows 10 - jetzt bekomme ich richtig Angst" doch hinreichend 
beschrieben. Liest Du so etwas überhaupt oder blendest Du das einfach 
aus, weil es Dir nicht in den Kram passt.

Da ist nichts beschrieben, außer groben Umriss, kein Workaround, der 
direkt anwendbar wäre.
Aber Du hat mich beim Hochladen gestört, indem Du wieder die Finger 
nicht still halten konntest.
Jetzt also ein hilfreicher Hinweis nachgeliefert, wie man Secure Boot 
disabled oder enabled.
Leider nur der letzte Schritt.
Man kann ja googeln. Bild suchen und den vollständigen Link finden.

ciao
gustav

Hans schrieb:
> Irgendwie raffst Du es nicht. Die Zertifikate für's Secure Boot haben
> primär erst mal nichts mit Windows zu tun. Das ist Sache des (UEFI)BIOS.

Da weiß ich aber och einen der nichts rafft.

Die Zertifikate werden über Updates des OS ausgerollt, denn sowhl Linux 
als auch Windows können UEFI-Updates einspielen, und genau das passiert 
mit den Schlüsseln für Secureboot.
Das sieht dann aus wie ein Windows-Update, ist aber in der Wirklichkeit 
ein UEFI-Flash der dem BIOS neue Keys unterjubelt. Kann sein das der 
Update auch noch andere Dinge im OS korrigiert und daher sehr groß ist, 
die haben dann aber per se nichts mit dem UEFI, dem BIOS oder Secureboot 
zu tun, zumindest nicht zwangsweise.

Das andere ist, das man die Überprüfung des Secureboot im Bios jederzeit 
ein und ausschalten kann, wie es einem beliebt.
Wenn (nach aktuellem Stand) alle Zertifikate und Dateien korrekt sind, 
passiert dabei gar nichts wenn man es einschaltet, nur das sich im 
Windows der Status des "Sicheren Startzustand"s auf "ein" ändert.
Sind die Dateien kaputt (Malware?), die Zertifikate ungültig (nächstes 
Jahr?) oder Secureboot im Bios abgeschaltet, passiert auch nichts, das 
OS bootet normal durch und "Sicherer Startzustand" steht auf "Nein".
Daher kann man ja auch SB immer aktiv lassen und wenn man mal eine ISO 
von USB booten muss/will, schaltet man es kurz aus, hinterher wieder an. 
Passiert gar nix.
Dazu muss man nicht neu installieren oder irgendwelche Tricks anwenden.

Ich bin mir nicht mal sicher, ob SB aktiv sein muss um den 
Zertifikatsupdate einzuspielen, aber das kann durchaus sein.
Ein BIOS-Update ist definitiv nicht erforderlich, das man da immer das 
letzte einspielen sollte sollte klar sein, aber die enthalten nicht 
immer aktuelle Zertifikate, das löst das Problem nicht, daher macht MS 
es ja über Windowsupdate.

Das oben vermisste KB5036210 ist nichts weiter als eine Prüfsoftware, 
die nur einen Key in der Registry setzt (oder eben nicht) wenn der 
SB-Update für diese Hardware ok ist.
Der Update selbst kommt irgendwann danach, in einem der monatlichen 
kumulativen Updates.
Der Witz dran: jedes kumulative Update zieht Windows auf den aktuellen 
Stand hoch, enthält also alle Vorpatches.
Wenn der Regkey also "ja" sagt und man einen monatlichen Update korrekt 
installiert, sollte sich das Bios aktualisiert haben.
Wenn das nicht der Fall ist, ist die Kiste evtl. gesperrt, MS markiert 
gewisse Software, Hardware oder Einstellungen manchmal als problematisch 
und dann werden bestimmte Sachen nicht aktiv obwohl vorhanden.
Was, wie zu beheben und warum ist normal nicht oder nur schwer zu 
finden.

Aktueller Stand also:
SB im BIOS aktivieren, letztes BIOS installieren, alle Treiber aktuell 
halten, alle Updates reinhauen.
Mehr kann man nicht machen.
Ganz harte Jungs können die Zertifikatdateien manuell suchen und 
einspielen (nein, nicht über die Windows-Zertifikatsspeicher-Sache, 
sondern im Bios über "Enroll Keys"), aber das ist durchaus nicht 
einfach, nicht sicher und teilweise trotz korrekter Bedienung auch 
gefährlich, weil man sich schnell den Zertspeicher im Bios zerschießen 
kann, inklusive der Windows-Lizenz.

Karl B. schrieb:
> Dann sag endlich, wo Deiner Meinung nach die richtige "Stelle" ist.

Kilo S. schrieb:
> Die Zertifikate im TPM Modul werden gemeinsam mit der UEFI Firmware
> aktualisiert.

Das schlimme ist, du wirst es nicht glauben...

Nicht Verstehen...

Beitrag "Re: Windows 10 - jetzt bekomme ich richtig Angst"
Thats the way I like it
three times thumbs high!

ciao
gustav

Hans schrieb:
> Das ist Sache des (UEFI)BIOS.
> Eine Aktualisierung dieses Krams erfolgt mit dem Update von Selbigen.
> Wenn es für Dein BIOS keine Updates gibt, dann gibt es eben auch keine
> neuen Zertifikate.

Da irrst du.

Oliver

Karl B. schrieb:
> Was ich auf meinem Rechner habe, bestimme immer noch ich.

Was ich von Deinem Schlangenöl für Computer-BILD-Leser halte, bestimme 
wiederum ich.

Karl B. schrieb:
> Es ging zum Schluss um die Kernfrage, wie man die ominösen Zertifikate
> auf den Rechner bekommt.
> Und da hat unser aufgeblasener Superuser auch keine Ahnung von.

Wie kommst Du auf diese Idee? Nachdem Du schon nicht in der Lage (oder 
zu faul) warst, Rückfragen zu Deinem angeblichen Nero-Bug zu 
beantworten, hielt ich es bloss für zwecklos, Dich weiter als bis zum 
Deaktivieren von Secure Boot durch das UEFI-BIOS zu lotsen.

Karl B. schrieb:
> Da kann jeder seinen bekifften Senf absondern.

Warum unterstellst Du anderen Alkohol- und Cannabiskonsum, während Du 
derjenige bist, der wirre Monologe hält, statt konkrete Fragen zu 
beantworten?

Und Du fällst nicht zum ersten Mal auf. Meistens nervst Du in fremden 
Threads, indem Du wortreich von Deinen Problemen schwafelst, die nichts 
mit dem eigentlichen Thema zu tun haben - so auch hier.

Es ist ganz einfach: Du bist einer dieser Idioten mit ungesundem 
Halbwissen, die überall planlos rumfummeln, und wenn etwas nicht mehr 
geht, sind es "Glitches", und alle, die den Fehler beim heiligen 
Karl-Gustav sehen, haben bloss keine Ahnung.

Hmmm schrieb:
> dieser Idioten

Ich verbitte mir diesen Ton.

ciao
gustav

Oh, jetzt ist unsere Esmu-Eskalation beleidigt.

Harald K. schrieb:
> Oh, jetzt ist unsere Esmu-Eskalation beleidigt.

IHR HABT IHN GESCHAFFT

Jens M. schrieb:
> Das andere ist, das man die Überprüfung des Secureboot im Bios jederzeit
> ein und ausschalten kann, wie es einem beliebt.
> Wenn (nach aktuellem Stand) alle Zertifikate und Dateien korrekt sind,
> passiert dabei gar nichts wenn man es einschaltet, nur das sich im
> Windows der Status des "Sicheren Startzustand"s auf "ein" ändert.
> Sind die Dateien kaputt (Malware?), die Zertifikate ungültig (nächstes
> Jahr?) oder Secureboot im Bios abgeschaltet, passiert auch nichts, das
> OS bootet normal durch und "Sicherer Startzustand" steht auf "Nein".
Also wenn es völlig egal ist, ob die Zertifikate gültig oder ungültig 
sind und diese beiden Zustände lediglich ein Ja/Nein- Flag ohne weitere 
Auswirkungen auf das System setzen, dann ist die Secure Boot 
Option/Funktion ad absurdum geführt und wäre damit völlig überflüssig. 
Das was Du beschreibst, ist das was Du im gebooteten Zustand, also 
komlpett geladenen Zustand des OS, siehst. Secure Boot ist zu diesem 
Zeitpunkt schon längst Geschichte. Mit Secure Boot soll lediglich das 
Laden von Schadsoftware während des PC-Startes unterbunden werden. Kann 
man u.a. hier 
https://support.microsoft.com/de-de/windows/windows-11-und-sicherer-start-a8ff1202-c0d9-42f5-940f-843abef64fad 
nach lesen.

Jens M. schrieb:
> Die Zertifikate werden über Updates des OS ausgerollt, denn sowhl Linux
> als auch Windows können UEFI-Updates einspielen, und genau das passiert
> mit den Schlüsseln für Secureboot.
Natürlich ist es softwaretechnisch möglich BIOS/UEFI-Updates 
einzuspielen. Die Frage ist ob das der OS Hersteller so macht. Denn das 
sind essentielle Sachen, die einen PC auch schnell komplett lahmlegen 
können und/oder sich insbesondere bei Multi-OS Systemen auf das andere 
System auswirken können. Zudem erfordert dies auch die genaue Kenntnis 
der zu Grunde liegenden HW.
Das BIOS egal ob klassisch oder UEFI ist am Ende die Schnittstelle 
zwischen SW und HW und diese kann wohl der HW-Hersteller am besten 
definieren, weil der seine HW kennt.
MS empfiehlt ja auch im Zweifel beim HW-Hersteller selbst nachzusehen.

Hans schrieb:
> Also wenn es völlig egal ist, ob die Zertifikate gültig oder ungültig
> sind und diese beiden Zustände lediglich ein Ja/Nein- Flag ohne weitere
> Auswirkungen auf das System setzen, dann ist die Secure Boot
> Option/Funktion ad absurdum geführt und wäre damit völlig überflüssig.

Nein.
Lesen und verstehen. Ich weiß, letzteres ist schwer, aber für dich 
nochmal zum mitlesen:
Mit der Option im Bios schaltet man die Prüfung der Signaturen ein und 
aus, mehr nicht.
Wenn sie an ist und die Signaturen sind ok (was sie bei 99,999% aller 
Anwender sind), dann passiert nichts, das System prüft die Signaturen 
beim Start, kommt auf den Desktop hoch und zeigt "Sicherer Startzustand 
Ein".
Wenn sie abgeschaltet wird, ist völlig egal ob Signaturen vorhanden 
sind, ob sie gültig sind und ob die Dateien den Signaturen entsprechen, 
das System startet und zeigt "Sicherer Startzustand Aus". Mehr nicht.
Der Wechsel zwischen diesen beiden Zuständen ändert nichts am System, 
und sofern die Signaturen gültig sind, das System also keine Malware 
oder Frickelscheiße enthält, kann man es nach belieben ein und 
ausschalten, ohne Konsequenzen.
Wenn es doch infiziert ist (davor schützt weder die eine noch die andere 
Einstellung) dann bekommst du bei "ein" aber einen Startfehler.

Hans schrieb:
> Die Frage ist ob das der OS Hersteller so macht.

Ist es nicht, machen sie. Alle.

Hans schrieb:
> sich insbesondere bei Multi-OS Systemen auf das andere
> System auswirken können.

Entweder tun sie es nicht, oder du bist ale Benutzer des ganzen schlau 
genug damit umzugehen. Du (also du, persönlich) bist es nicht, für diese 
Benutzer gibt es daher die Verteilung über Windowsupdate.

Hans schrieb:
> Zudem erfordert dies auch die genaue Kenntnis
> der zu Grunde liegenden HW.

Nein. Das ist UEFI-Standard, und wenn dein Board das kann, dann bekommt 
es den Update. Ob es das kann hast du nicht zu entscheiden. Dafür ist 
der "Signalupdate".

Hans schrieb:
> Das BIOS egal ob klassisch oder UEFI ist am Ende die Schnittstelle
> zwischen SW und HW

Wann hast du den letzten non-UEFI-PC gesehen? War das schon mit XP?
Diese alten Schüsseln haben (wenn sie überhaupt noch laufen) kein 
Secureboot.

Hans schrieb:
> MS empfiehlt ja auch im Zweifel beim HW-Hersteller selbst nachzusehen.

Weil es immer eine gute Idee ist, eine aktuelle Firmware in der Hardware 
zu haben, Stichwort Microcodeupdate und so.
Die Schlüssel könnten theoretisch enthalten sein, sind sie aber in der 
Regel nicht, weil es Aufwand ist. Für alte Hardware bekommt man kein 
Geld mehr also ist der Support so wenig wie eben möglich.

Jens M. schrieb:
> Wann hast du den letzten non-UEFI-PC gesehen? War das schon mit XP?

Das war ein HP ProLiant Microserver Gen 8, erschienen im Juni 2013.

Das ist zwar jetzt auch schon zwölf Jahre her, aber zu diesem Zeitpunkt 
war  Windows 8 bzw. Windows Server 2012 aktuell.

Jens M. schrieb:
> Wenn sie an ist und die Signaturen sind ok (was sie bei 99,999% aller
> Anwender sind), dann passiert nichts, das System prüft die Signaturen
> beim Start, kommt auf den Desktop hoch und zeigt "Sicherer Startzustand
> Ein".

Man muss halt die Überprüfung ausschalten, solange noch ein gültiges 
Zertifikat im Speicher ist. Danach ist es zu spät.

Oliver

Oliver S. schrieb:
> Danach ist es zu spät.

Nein?!
Wenn das Zertifikat ungültig ist gibt's beim Start einen Fehler, mehr 
nicht.
Dann ins Bios gehen, "nein" und die Kiste tut wieder.
Und selbst dann könne man immer noch den Update einspielen (wenn man 
denn einen hat der die Zertifikate aktualisiert) oder die Zertifikate 
manuell im Bios importieren und der Schalter kann wieder auf "ein" und 
gut.

so, ich hab das jetzt an einem Rechner ausprobiert, der bislang aus 
Bequemlichkeit SB off hatte. Windows 11 Pro 24H2 Build 26100.6584, also 
aktuellst Stand jetzt.

Eine Anleitung dazu habe ich unter 
https://www.msxfaq.de/windows/sicherheit/uefi_secure_boot_blacklotus.htm 
gefunden, da gibt's eine "Checkliste" etwa im zweiten Drittel der Seite.

Schritt 1: Microsoft UEFI 2023 CA installiert?
Das ergab bei mir false, logischerweise. Der angesagte Task 
Secure-Boot-Update half aber nicht, denn er aktualisiert den Key nur, 
wenn SB aktiv ist.
Insofern muss ich meinen vorherigen Post korrigieren: wenn SB 
grundsätzlich läuft (also keine Malware) und es am abgelaufenen 
Zertifikat liegt, muss man den Rechner offline nehmen und die Uhr 
verstellen. Das wäre zumindest mein Versuch. Die nachfolgende Prozedur 
war nicht online, alle notwendigen Daten sind wohl schon via 
Windowsupdate vorhanden, nur nicht aktiv.

Also
- Neu starten
- Im Bios SB aktivieren
- Den Regkey auf 40 setzen
- Den Task starten
- Rechner Neustarten
- Erneute Abfrage ergibt "true". Juhu.

Schritt 2: Wer signierte den aktuellen Bootmanager?
Ergab bei mir 2011, also falsch.
Wieder:
- Regkey auf 100 (es ist der gleiche Schlüssel nur der Wert ist anders)
- Task starten (gleicher Task wie oben)
- Neustarten
- Erneute Abfrage: 2023.

Schritt 3: "Microsoft Windows Production PCA 2011" sperren
Hier identisch zu oben:
- Regkey setzen, diesmal auf 80
- Task starten
- Neu starten
- Testabfrage.

Jetzt läuft meine Kiste auf dem neuen Zertifikat und dazu ist das alte 
ungültig, kurz und schmerlos, bis auf die häufigen Neustarts. Der ganze 
Vorgang dauerte auch keine 10 Minuten, was primär die Neustarts und das 
wieder raussuchen des Links der o.g. Seite waren. Die Updates selber 
sind instant, man sieht den Erfolg im Regedit: der Wert springt wieder 
auf 0 zurück wenn erledigt.

Das geht noch einen Schritt weiter als 2026 zu erwarten wäre, denn m.W. 
wird das alte 2011-Zertifikat nicht gesperrt.
Da meine Bootsticks eh kein SB unterstützen habe ich es denn auch direkt 
wieder deaktiviert, kann aber ruhigen Gewissens in die Zukunft sehen, 
denn was auch immer passiert: die Zertifikate sind's nicht.

YMMV, es empfiehlt sich die Seite mal durchzulesen.
Speziell Backups und Multiboot fallen mir als Fallstricke ein, aber für 
ein einfaches Standardsystem ist das einfach und sicher durchzuführen.

Moin Jens,

danke für diesen wertvollen Beitrag und den Link.

Gerhard

Noch ganz kurz zwei Dinge, die mir erst nach abschicken eingefallen 
sind:

1.
Der Rechner ist ein haöbwegs aktueller Lenovo mit Intel Core aus der 12. 
Generation. Die Installation war daher ohne Trickserei mit einem vom 
Media Creation Tool erzeugten Win11-Stick, vor ca. 3 Jahren.
Nix mit Rufus, Ventoy usw., allerdings ist das ein Offlinekonto mit dem 
bypassnro-Trick. Dazu sind viele Dinge mittels ShutUp10 deaktiviert und 
mit AppBuster deinstalliert worden.

2.
In der Ereignisanzeige waren etliche Fehler aus den letzten Monaten, 
etwa 1-2 am Tag, das die Aktualisierung nicht durchgeführt wurde weil 
Secureboot nicht aktiv sei. Er hätte es vermutlich also schon lange 
selber gemacht, wenn ich nicht abgeschaltet hätte.
Ich hab leider keinen anderen mit dem ich testen könnte, ob es nach 
Aktivierung der Biosoption nicht einfach gereicht hätte ein paar Mal neu 
zu starten, und oder den PC zwischendrin jeweils einen Tag laufen zu 
lassen damit der Task triggert. Ist aber anzunehmen.