HP Stream 7 mit Windows 10 neu installieren

Normalerweise ist es ja eigentlich keinen Artikel wert, ein Windows auf irgendeinem Gerät neu zu installieren. Stick rein und los! Da fängt dann allerdings beim Stream 7 von HP schon der Spaß an, denn das kleine 7” Tablet hat keinen normalen USB Port. Und die Installation von Windows 10 bietet von Haus aus keinen Touchscreen-Support. Zeit also, doch einen kleinen Artikel dafür zu bauen.

Was wir brauchen:

Das Stream 7 sollte zuerst mal voll aufgeladen sein, denn der MicroUSB Anschluss beim Tablet dient auch zum Laden. Und das klappt nicht gleichzeitig, wenn daran der Adapter hängt.

Der USB Stick wird entweder mit dem Windows 10 Media Creation Tool vorbereitet oder z.B. per Rufus. Da das Gerät normalerweise mit Windows 8.1 Home bzw. Windows 8.1 for Bing ausgeliefert wurde, sollte auf dem Stick dann auch wieder ein Windows 10 Home liegen. Es empfiehlt sich die 32-bit Version, da das Tablet nur 1 GB Ram hat. Wer Rufus nutzt, sollte drauf achten, dass der Stick im GPT Modus partitioniert wird. Unser Stream 7 nutzt nur UEFI Boot.

Angeschlossen ans ausgeschaltete Stream 7 wird nun also der USB-OTG Adapter, daran wird der USB Hub gehängt und an diesen dann USB Stick, Tastatur und Maus.

20180715_172434

Beim Anschalten wird die Leiser-Taste rechts gedrückt gehalten, bis das Tablet ins Bootmenü startet. Hier sind noch Touch-Funktionen aktiv, aber auch unsere Tastatur. Mit F9 geht’s ins Auswahlmenü des Bootmediums. Hier muss nur der Installations-USB-Stick gewählt werden und die Installation startet.

20180715_172425

Die Installation läuft dann ganz normal durch. Es empfiehlt sich, alle Partitionen auf der kleinen internen eMMC zu löschen, um keinen Platz für eventuelle Recovery-Partitionen oder ähnliches zu verschwenden.

Nach der Ersteinrichtung des Systems, auf Wunsch mit oder ohne Microsoft Konto, und den entsprechenden Einstellungen bezüglich Datenschutz-Optionen empfiehlt sich zuerst mal der Aufruf von Windows Update. Da Windows den WLAN Adapter von Haus aus erkennt, sollte es dabei keine weiteren Schwierigkeiten geben, so bei der Ersteinrichtung eine WLAN Verbindung eingerichtet wurde.

Über Windows Update kommen leider nicht alle Treiber fürs Stream 7, insofern sind ein paar Downloads von der HP Treiber-Webseite für das Stream 7 notwendig. Dort finden sich zum Glück alle notwendigen Treiber – plus ein paar überflüssige Dinge.

20180715_175736

WLAN- und Audio-Treiber sind nicht notwendig. Diese kommen mit Windows schon in aktuelleren Versionen mit. Auch der HP Support Assistant ist unnötig. Falls das BIOS Update noch nicht installiert wurde, sollte auch dieses gleich mit heruntergeladen werden.

Es empfiehlt sich, mit dem Touchscreen-Treiber anzufangen, dann mit dem  großen Paket aus Chipsatz-, Grafik- und weiteren Treibern weiterzumachen.

Am Ende ist noch ein wenig Aufräumarbeit angesagt. Der C:\Swsetup Ordner, den die HP Installationspakete angelegt haben, sollte wieder gelöscht werden. Auch werden von Windows ja immer ein paar Apps mit installiert, die nicht gebraucht werden. Da kann man ebenfalls je nach Geschmack etwas deinstallieren.

Es empfiehlt sich dringend der Einsatz einer SD Karte, um darauf über die Windows Einstellungen die Standard-Ziele für Apps, Dokumente, Offline-Karten und sonstiges zu verlagern. Die integrierte 32 GB eMMC ist ansonsten viel zu schnell voll.

Und dann heißt es: das Stream 7 wieder ans Netzteil klemmen und erst einmal in Ruhe lassen, damit Windows seine ganzen Hintergrundaufgaben, die nach der Installation noch so ablaufen, in Ruhe fertig bekommt.

Advertisements
Veröffentlicht unter Allgemein | Kommentar hinterlassen

Windows 10 1803–April 2018 Update

Der Frühling lässt noch etwas auf sich warten, das diesjährige Windows 10 Frühlingsupdate hoffentlich nicht mehr. Am 10.04. soll die Verteilung starten, so zumindest die allgegenwärtige Gerüchteküche. Klingt logisch, das wäre der April-Patchday und der würde sich für den Start der Verteilung anbieten.
Zeit also, mal einen Blick auf die neue Version zu werfen – und auch etwas unter die Haube.

Wichtigste sichtbare Neuerungen sind “Timeline” sowie das weiter verbreitete “Fluent” Design. Und natürlich darf das Emoji-Keyboard (welches ja gerade für Apple-Nutzer offenbar sehr, sehr wichtig ist Smile) nicht fehlen, welches jetzt u.a. auch für deutsche Nutzer verfügbar ist.

Die Timeline ersetzt das Symbol für die Task-Ansicht und lässt sich auch mit Win+Tab aufrufen. Sie zeigt nicht nur aktuell offene Fenster an, sondern stellt gleichzeitig einen Zeitstrahl bereit mit vorher genutzten Apps und Webseiten – und das auch über mehrere Windows 10 Geräte hinweg, so dies denn in den Einstellungen erlaubt wird. Die Anbindung von iOS/Android Geräten soll ebenfalls kommen.

Dazu sind weitere Einstellungen von der alten Systemsteuerung in die modernen Einstellungen gewandert.

Unbenannt.1PNG

Beispielsweise die Soundeinstellungen, die jetzt ihren Weg in die Einstellungen gefunden haben sowie die Einstellung der Autostart-Programme. Die Funktionen der Datenträgerbereinigung finden sich jetzt ebenfalls hier, wie auch die deutlich erweiterten Funktionen bezüglich Benachrichtigungen (“Benachrichtigungsassistent” genannt).

Unbenannt5

Auch die Einstellungen der Windows Suche “Cortana” sind jetzt nicht mehr eigenständig, sondern direkt in den modernen Einstellungen zu finden. Langsam wirken diese damit auch etwas vollständiger. Auch deren Design wurde etwas überarbeitet und wirkt nicht mehr ganz so platzverschwendend.

Unbenannt2

Die Übersicht der installierten Schriftarten inkl. Details zu diesen findet sich jetzt ebenfalls hier und zwar in deutlich aufgeräumterer und ausführlicherer Weise. Eine neue Schrift gibt es auch noch, die sich “Bahnschrift” nennt. Jedem deutschen Verkehrsteilnehmer sollte diese Schrift seltsam bekannt vorkommen…

Unbenannt7 Unbenannt6

Edge hat einige neue Features bekommen, sowohl sichtbare als auch unsichtbare. Sichtbar ist auf jeden Fall der neu gestaltete “Hubs” Bereich, der Downloads und Favoriten zusammenfasst. Hier gönnt man sich jetzt mehr Platz und auch das Menü wurde überarbeitet. Warum man immer noch die Einstellungen als kleine Leiste am Rand anzeigt und nicht im Vollbild darf man sich allerdings weiterhin fragen.
Edge kann in der Favoritenleiste nun pro Favorit wahlweise den Namen anzeigen oder nicht, Tabs stummschalten, kennt Autofill für Formulare und vieles mehr. Eine komplette Liste findet sich hier.

Eine nette kleine neue Funktion ist die “Umgebungsfreigabe”. Bluetooth oder WLAN sind Voraussetzung und dann lassen sich spontan mit anderen Windows 10 Geräten in der Nähe Daten austauschen. Einfach z.B. eine Datei im Explorer anklicken “Freigabe” auswählen und verfügbare Geräte in der Nähe werden gesucht. Geht natürlich auch über die “Teilen” Funktion aus Apps. Und ganz ohne Cloud.
Dafür ist die “Heimnetzwerk” Funktionalität weggefallen. Die herkömmlichen Funktionen zum Freigeben von Daten in einer Arbeitsgruppe gibt es aber weiterhin.

Der Bereich “Windows Defender” wurde ebenfalls erweitert. Insbesondere hat man die Oberfläche etwas übersichtlicher zusammengefasst. Die in den letzten Builds der vorherigen Version durcheinandergeratenen Anzeigen im Bereich des Exploit-Schutzes sehen wieder richtig aus und mit der “Kernisolierung” bzw. der dort vorhandenen Funktion “Speicher-Integrität” gibt es auch ein neues Sicherheitsfeature, welches bisher nur Nutzern der Enterprise-Version zur Verfügung stand.

Unbenannt3

Benutzer mit einem lokalen Konto können jetzt Sicherheitsfragen einrichten, um im Falle eines vergessenen Passwortes dieses auch ohne Microsoft Konto zurücksetzen zu können.

Dazu gibts einige Erweiterungen und Verbesserungen in Sachen HDR und der Darstellung von HDR und SDR Inhalten auf HDR-fähiger Hardware. Und am endlosen Thema “Skalierung” hat man auch erneut gearbeitet, so dass auch ältere Programme bei hochauflösenden Displays trotz Skalierung noch sinnvoll nutzbar sind.

Der ganze Bereich Kommandozeile und damit auch das “Windows Subsystem for Linux” wurden ebenfalls erneut erweitert. Wer mag, kann jetzt Kali Linux direkt unter Windows 10 betreiben. Dazu ist jetzt der OpenSSH Client standardmäßig in Windows 10 dabei und der dazugehörige Server lässt sich als Feature nachinstallieren.
Mehr Details zu Kommandozeile und WSL und deren Neuerungen finden sich hier.

Und das Thema Datenschutz wurde noch mal angepackt. Bisher wurde Microsoft ja von manchen Datenschützern böse dafür kritisiert, dass man den Leuten die Möglichkeit gibt, die vorgesehenen Standard-Einstellungen einfach mit einem Klick zu übernehmen. Der Nutzer, der sich nicht weiter interessiert hätte somit Einstellungen übernehmen können, die er so nicht übernommen hätte, wenn sie ihn denn interessiert hätten. Oder so. Winking smile Nun ja, man hat es umgebaut. Ab sofort muss man verschiedene Datenschutz-Einstellungen bei der Installation (bzw. nach dem Upgrade) einmalig mit ja/nein auswählen, bevor man die jeweiligen Optionen bestätigen kann. Damit kann dann wirklich niemand mehr behaupten, er hätte ja keine Wahl gehabt.
Zudem findet sich die Möglichkeit, alle Telemetriedaten per “Diagnostic Data Viewer” einzusehen und zu durchsuchen. Wird wohl kein Mensch wirklich machen, aber zumindest gäbe es die Möglichkeit.
Andere Themen aus dem Bereich Datenschutz wären die verfeinerten Berechtigungen für den Zugriff aufs Dateisystem durch UWP Apps.

Unbenannt4

Das Update der bisherigen Systeme hier verlief übrigens unproblematisch. Nahezu alle Einstellungen wurden übernommen, alle Programme liefen weiter und nachdem die Backups des alten Windows per Datenträgerbereinigung entsorgt wurden, waren ein paar GB mehr Platz auf der Disk als vorher. Kann also losgehen mit dem Update!

[Update]
Nun gab es doch noch Änderungen und das Update kam doch erst am 30.04. raus und wird ab dem Mai Patch-Day am 8.5. allgemein verteilt. Zudem heißt es doch nicht „Spring Creators Update“ sondern ganz sinnig „April 2018 Update“. Man sollte sich diese tollen Namen bei Microsoft einfach abgewöhnen, wenn man schon völlig ideenlos zu sein scheint. Die Überschrift wurde entsprechend des neuen Namens angepasst.

Veröffentlicht unter Allgemein | Kommentar hinterlassen

Windows 10 1803 Kernisolierung lässt sich nicht deaktivieren

In Windows 10 in der Version 1803 kommt für den Normalnutzer in den Windows Defender Security Center Einstellungen eine neue Funktion hinzu, welche es bisher nur in den Enterprise Versionen von Windows 10 gab: HVCI oder auch “Speicher-Integrität”.

Windows nutzt hierbei Funktionen des eingebauten Hypervisors (der Virtualisierung), um zusätzliche Sicherheit für den Kernel zu bieten. Ein Teil dieser Funktionen ist eben die oben genannte “Speicher-Integrität”, welche man nun aktivieren kann, so die Hardware dies denn unterstützt.

Dies bietet sich normalerweise auch an, mehr Sicherheit ist schließlich nie verkehrt. Allerdings müssen Treiber und Software damit kompatibel sein. Manch älterer Treiber ist es leider nicht. Diese Geräte werden dann mit der Fehlermeldung “Code 39” im Gerätemanager angezeigt.

Auch andere Virtualisierungslösungen wie Virtualbox kollidieren mit HVCI. In diesem Fall sollte man HVCI also nicht aktivieren.

Unbenannt

Zumindest in der Build 17133.1 von Windows 10, welche wohl ab 10. April als nächste Windows 10 Version verteilt werden wird, gibt es hier allerdings noch einen kleinen Bug: Aktiviert man diese Funktion und startet neu, kann man sie über den Schalter nicht wieder ausschalten. Windows meldet, die Funktion würde vom Systemadministrator konfiguriert.

Hilfe bringt ein kleiner Eingriff in der Registry. Unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
\Scenarios\HypervisorEnforcedCodeIntegrity findet sich der Schlüssel “Enabled”, welcher auf den Wert 0 gesetzt werden muss. Nach einem erneuten Neustart ist HVCI wieder deaktiviert.

Veröffentlicht unter Allgemein | 8 Kommentare

ODYS Vario Pro 12–ein Jahr später

Im Januar 2017 hatte ich hier im Blog ja eine Reihe von Beiträgen zum Test des ODYS Vario Pro 12 Convertibles. Ein Jahr später ist das Gerät weiterhin in Benutzung, insofern soll dieser Beitrag noch als kurzes Langzeitfazit dienen.

Das Vario Pro ist zwischendurch immer mal als Reisebegleiter mit dabei gewesen und hat sich dabei als überraschend gut nutzbar erwiesen.

Folgende Punkte haben sich als teils nervige Einschränkungen erwiesen, auch über längere Nutzungszeit:

  • 2 GB Ram sind einfach zu wenig. Mit 4 GB wäre das Gerät deutlich besser nutzbar. Eine unverständliche Einschränkung.
  • Das Kabel des mitgelieferten Netzteils ist einfach zu kurz. Beim Laden ist man immer ziemlich eingeschränkt.
  • Die Störgeräusche im Lautsprecher nerven.
  • Und zuletzt ist der verbaute Realtek WLAN Adapter eine Katastrophe. Trotz bestem WLAN verliert er die Verbindung, baut sie nach Standby nicht wieder auf und ist unendlich lahm.

Ich hatte ein paar der Punkte ja auch vor einem Jahr im Test schon bemängelt und auf Updates gehofft. Leider gabs aber zumindest seit Abschluss des Tests keine weiteren Firmware-Updates mehr.

Das Gerät ist übrigens von “Meltdown” und “Spectre” betroffen. Ob hier ein Intel Microcode Update vom Hersteller freigegeben wird, steht in den Sternen. Ich hab mal beim Support nachgefragt und werde entsprechend berichten.

Und ich habe etwas den Schraubendreher geschwungen. “Teardown” wäre etwas übertrieben, aber ein Blick “unter die Haube” war zumindest möglich. Die sichtbaren Schrauben an der Unterseite können entfernt werden, danach lässt sich die Unterschale vorsichtig aus ihren geklemmten Schnappern ziehen. Vorsicht, die Schrauben sind unterschiedlich lang, also bitte beim Rausschrauben die Position merken.

20180114_160109

Größtes Teil ist der Akku, der mit einem Kabel mit dem Mainboard verbunden und mit vier Schrauben am Gehäuse verschraubt ist. Falls er also mal hin ist, lässt er sich tauschen – falls man denn irgendwo ein Ersatzteil bekommen kann.

20180114_160118

Das eigentliche Mainboard ist winzig und verbirgt sich fast komplett unter einer Schutzfolie, die auch als Wärmeleiter dient. Rechts findet sich der Anschluss der Tastatur sowie ein einsames Antennenkabel. Okay, Performance ist mit einer einzelnen Antenne natürlich nicht möglich.

An der oberen Seite finden sich die Anschlüsse für Display und Kamera sowie Kabel zum USB2 Port und zum Touchpad. Und am unteren Rand finden sich dann USB3 Anschluss, Netzteil- und Kopfhörerbuchse.

20180114_160220

Der WLAN Chip direkt über dem Antennenverbinder ist leider verlötet, ein Tausch somit nicht möglich. Ob die Nähe zum Kopfhöreranschluss für die Störgeräusche verantwortlich ist, lässt sich nicht sagen. Möglich wäre es aber.

20180114_160153

Am oberen Rand des Gehäuses findet sich dann noch eine Typenbezeichnung. Damit findet sich dann auch der tatsächliche Hersteller des Gerätes.

http://www.yifangdigital.com/

Das “Nextbook NB1160CWP” ist dort allerdings auch nicht mehr zu finden und weder Downloads noch Firmware-Updates finden sich auf der Webseite. Allerdings findet sich im Netz noch weiter die Info, dass es auch eine 4 GB RAM Variante des Gerätes gibt. Warum ODYS diese nicht vertrieben hat, wird aber wohl nicht zu klären sein.

Veröffentlicht unter Allgemein | 4 Kommentare

Performance-Einschränkungen durch “Meltdown” und “Spectre” Patches?

Langsam aber sicher kommen mehr und mehr Informationen zu den in der letzten Woche veröffentlichten Sicherheitslücken in diversen Prozessoren ans Licht. Und auch zu den Einschränkungen, die hierdurch verursacht werden.

Die Lücken per Software so zu stopfen, dass sie nicht oder zumindest schwerer ausnutzbar sind, geht leider nicht ganz ohne Nebenwirkungen. Die Nebenwirkung, die wohl am deutlichsten spürbar wird, ist die gesunkene Performance.

Je nach verwendetem Prozessor und auch je nach Windows Version werden messbare oder auch merkbare Einschränkungen der Geschwindigkeit auftauchen.

In einem Blog-Artikel hat Terry Myerson von Microsoft heute einige Details zu den Lücken und den Patch-Auswirkungen geliefert.

https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/

Demnach wirkt sich der Patch auf Windows 10 bei aktueller Hardware (Skylake und aktueller, d.h. ab 2016) vielleicht messbar aus, allerdings nicht merkbar. Ist das gleiche System auf Hardware aus der Zeit davor installiert, kann ein entsprechender Patch auch schon merkbare Einschränkungen haben.

Mit Windows 7 oder 8.x sieht die Sache etwas schlechter aus. Da hier deutlich mehr Daten zwischen User- und Kernelmode ausgetauscht werden, schlagen die Patches wohl merkbar zu. Wie weit das jeweils für den Einzelnen tatsächlich ein Problem wird, wird sich wohl erst über die nächste Zeit geben.

Natürlich klingt das ein wenig danach, als würde man die Gelegenheit nutzen, noch ein paar Leute von Windows 10 überzeugen zu wollen. Allerdings gibt es zwischen den einzelnen Windows Versionen ja auch “unter der Haube” jedes Mal eine Menge Änderungen. Und so hat man z.B. mit Windows 10 das Font-Rendering nicht mehr im Kernel. Eine Funktion, die im Zusammenhang mit den aktuellen Patches bremst.

Und nun wird auch klar, warum Microsoft für die Server-Versionen anders als beim Client noch extra Registry-Keys eingeführt hat, die die “Mitigations” einzeln scharf schalten: bei Windows Servern mit viel I/O Last kommt es wohl doch zu deutlicheren Performance-Einschränkungen. Für das Ausnutzen von “Spectre” benötigt der Angreifer aber zumindest die Möglichkeit, überhaupt Code lokal auf dem System ausführen zu können. Somit wird empfohlen, genau zu prüfen und die entsprechenden Patches nur auf Systemen wie Terminalservern zu aktivieren, auf welchen auch Nutzer arbeiten.

Ach ja: die Performance-Einschränkungen betreffen Patches gegen “Variante 2” des “Spectre” Angriffs. Um dagegen vorzugehen, sind Microcode Updates notwendig. Solange also entsprechende Microcode Patches nicht vorliegen, werden auch die Funktionen des Patches nicht wirksam – und damit auch keine Performance-Einschränkungen.

Die Mehrzahl der normalen Nutzer wird also vermutlich keine Performance-Einschränkungen merken. Schlicht und einfach, weil sie gar kein notwendiges Microcode Update bekommen. Das will Intel nämlich nur für die CPUs der letzten fünf Jahre bereitstellen.

Veröffentlicht unter Allgemein | 1 Kommentar

“Meltdown” und “Spectre” unter Windows

Seit gestern geht es im Netz ja drunter und drüber, nachdem über zwei massive Sicherheitslücken berichtet wird, welche in Prozessoren stecken.

Die heftigere Lücke, “Meltdown” genannt, steckt ausschließlich in nahezu allen Intel CPUs des letzten Jahrzehnts. Sie lässt sich vergleichsweise einfach ausnutzen, aber wohl nicht ohne einen Tausch der CPU vollständig beseitigen. Fehlerfreie CPUs von Intel gibt es momentan aber gar nicht, so dass die Lücke per Software umgangen werden muss.

Die zweite Lücke mit Namen “Spectre” ist wohl deutlich schwerer auszunutzen, aber wohl auch deutlich schwerer zu umgehen. Dafür taucht sie nicht nur in Intel CPUs auf, sondern auch bei AMD und selbst auf der ARM Plattform.

Konkrete Infos zu beiden Lücken finden sich auf einer eigens dafür eingerichteten Webseite: https://meltdownattack.com/

Intel hat zudem eine Liste online gestellt, in der man die betroffenen CPU Modelle nennt: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
Interessanterweise wird auch dort wieder sehr häufig auf andere CPU Hersteller verwiesen, obwohl diese zumindest mit “Meltdown” nichts zu tun haben. Vermutlich ist das wohl ein Versuch der Schadensbegrenzung, indem man den Anschein erweckt, die Probleme würden generell andere Hersteller auch betreffen.

Microsoft liefert seit heute Patches für Windows 7, 8.1 und 10 sowie die Server 2012 R2 und 2016. Die Updates ändern einige Systemfunktionen signifikant, was Probleme mit mancher Antivirensoftware verursachen kann. Die Updates werden daher nicht installiert, solange der Hersteller der genutzten Antivirensoftware nicht die Funktion geprüft und einen Registry-Key gesetzt hat.

Interessanterweise wird zumindest hier momentan noch der Key auch dann nicht gesetzt, wenn man den mitgelieferten Windows Defender nutzt. Da der eigentliche Microsoft Patch-Day erst am kommenden Dienstag stattfindet und normalerweise die Updates planmäßig auch erst zu diesem Zeitpunkt erscheinen sollten, kann gut sein, dass man dies erst zu jenem Termin nachholt.

Die Engine-Updates für Windows Defender setzen den Key ebenfalls.

Dieser Key kann auch manuell gesetzt werden – was allerdings nur passieren sollte, wenn der Hersteller der AV Software dies ausdrücklich so genannt hat oder gar keine AV Software verwendet wird. Überprüft wird ein DWORD (32-bit) mit Namen cadca5fe-87d3-4b96-b7fb-a231484277cc und dem Wert 0  an dieser Stelle:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat

Wenn der Key “QualityCompat” nicht existiert, ist er ebenfalls anzulegen. Erst dann kommen bei der nächsten Updatesuche die neuen Updates. Dies gilt auch für Systeme, die über einen WSUS updaten.

Der Key kann bei allen oben genannten Systemen gesetzt werden. Wer mit einer Domäne arbeitet, sollte ihn per GPO an alle Systeme verteilen.

meld0

Details dazu finden sich direkt bei Microsoft: https://support.microsoft.com/en-us/help/4072699/important-information-regarding-the-windows-security-updates-released

Um gegen „Spectre“ geschützt zu sein, sind außerdem zwingend BIOS Updates notwendig, die die aktuellen Microcodes der Hersteller mitbringen. Solange diese nicht eingespielt wurden – bzw. nicht verfügbar sind – sind die Lücken je nach CPU weiterhin ausnutzbar.

Erste Hersteller verteilen schon BIOS-Updates für ihre Geräte. Leider werden damit je nach Hersteller auch wieder nur relativ aktuelle Geräte versorgt. Microsoft verteilt Updates für neuere Surface Modelle, Lenovo z.B. für ThinkPads ab den 2013er Modellen. Ältere Geräte gehen momentan leer aus.

Und auch hier finden sich bei Microsoft noch weiterführende Details: https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe

Damit ist allerdings auf Windows Servern noch nicht genug! Die reine Installation der Updates reicht dort nicht aus, um die Schutzfunktionen auch vollständig zu aktivieren. Damit die zusätzlichen “Mitigations” der neuen Updates auch aktiv werden, sind zwei weitere Registry-Keys notwendig. Diese stehen ab Windows Server 2012 R2 zur Verfügung.

Der entsprechende Artikel bei Microsoft findet sich hier: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

Die beiden DWORD (32-bit) namens FeatureSettingsOverride und FeatureSettingsOverrideMask  müssen unter folgendem Key angelegt werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

Als Wert bekommt FeatureSettingsOverride dann 0 und FeatureSettingsOverrideMask den Wert 3

Wer die Einträge per GPO verteilen will, sollte dafür eine eigene Gruppenrichtlinie anlegen, sie z.B. “Meltdown-Mitigation” nennen und per WMI Filter auf die genannten Systeme begrenzen. Da WMI einen String als “Version” zurückliefert, kann nicht auf ein “größer gleich 6.3” überprüft werden.

SELECT Version FROM Win32_OperatingSystem WHERE Version like „6.3%“ OR Version like „10%“

Wer ganz nach Microsofts Vorgabe die Verteilung der Einträge nur auf Server begrenzen will, sollte den String dementsprechend abändern.

SELECT * FROM Win32_OperatingSystem WHERE (ProductType = 2 OR ProductType = 3) AND (Version like „6.3%“ OR Version like „10%“)

melt1 melt2

Falls man die Einstellungen wieder rückgängig machen will, können die Einträge einfach gelöscht werden. Auch das geht natürlich über die gleiche GPO.

Im obigen Microsoft Artikel findet sich auch ein Script zur Überprüfung der Einstellungen. Je nach verwendeter CPU sind hier mehr oder weniger Einträge grün. So fehlt z.B. auf älteren CPUs die PCID Funktion. Das Script vorher und nachher aufgerufen führt hier zu folgenden Ergebnissen:

melt3 melt4

Microsoft verweist auch auf BIOS- bzw. Firmware-Updates. Ob es solche geben wird, für welche Systeme damit zu rechnen ist, all das ist momentan noch sehr offen. Ich gehe davon aus, dass alle Systeme, die aus dem Garantiezeitraum ihres Herstellers raus sind, keine solchen Updates bekommen werden. Hier bleiben die Lösungen per Software die einzige Möglichkeit.

Ein vollständig gepatchtes System mit aktuellen Windows- und Firmware-Updates sollte dann zu dieser Anzeige führen:

Unbenannt

Update 2017-01-04, 21:20 – Hinweis auf Microsoft Artikel bezüglich Clients ergänzt
Update 2017-01-06, 18:05 Überarbeitung mit Hinweisen auf weitere CPU Hersteller und notwendige Firmware-Updates
Update 2017-01-09, 20:19 – Überarbeitung, da Microsoft mittlerweile konkret den Grund für die beim Server notwendigen Registry-Keys nennt.

Veröffentlicht unter Allgemein | 3 Kommentare

Gerüchte und Wahrheiten über den Support von CPUs unter Windows 10

In den letzten Tagen hatte ich in einem Forenthread die Aussage lesen dürfen, eine Intel Core i5 2400 CPU würde von Windows 10 angeblich nicht mehr voll unterstützt. Daher könne es damit zu Problemen kommen. Der Thread drehte sich um die langsamen Bootzeiten eines ganz bestimmten Notebooks.

Auch auf Nachfrage konnte zwar für die Behauptung keine vernünftige Quelle genannt werden, aber die Behauptung wurde natürlich trotzdem nicht zurück genommen. Mittlerweile ist die Diskussion leider entfernt worden, aber ich möchte trotzdem die Gelegenheit nutzen, noch einmal ein wenig mit diesem Gerücht aufzuräumen. Denn neu ist es nicht. Ich hatte bereits einen Artikel dazu hier im Blog.

https://ingoboettcher.wordpress.com/2017/07/25/hardwaresupport-unter-windows-10-panik-und-clickbait/

Ein paar Teile dieses Artikels und des damaligen Beitrags sind also etwas doppelt gemoppelt.

Welche CPUs unterstützt Windows 10?

Dazu gibt es von Microsoft eine Webseite, die alle Spezifikationen nennt, die ein PC braucht, damit Windows 10 drauf läuft.

https://www.microsoft.com/de-de/windows/windows-10-specifications

In Sachen Prozessor werden dort zwei Punkte genannt:

  • Prozessor oder SoC mit mindestens 1 GHz
  • Wenn Sie ein 64-Bit-Betriebssystem auf einem 64-Bit-PC verwenden möchten, muss der Prozessor CMPXCHG16b, PrefetchW und LAHF/SAHF unterstützen.

Das ist alles. Keinerlei Einschränkungen auf spezielle Modelle, Hersteller oder Baujahre.

Normalerweise sollte das ausreichen, denn die in diesem Fall nutzbaren CPUs von Intel und AMD “sprechen” ja alle die gleiche Sprache: x86. Einige mit 64-bit Erweiterungen namens AMD64 und je nach Generation mit zusätzlichen Features wie MMX, SSE und vielem mehr.

Windows „spricht” also auch x86 und damit läuft es auf einer Vielzahl von Prozessoren. Hat eine neuere CPU mehr Features, werden diese in neueren Windows Versionen meist auch genutzt. Hat die CPU diese Features nicht, werden sie halt nicht verwendet. Nur ganz bestimmte CPU Features sind zwischenzeitlich für die 64-bit Version von Windows 10 notwendig geworden – das sind die oben in der Liste aufgeführten Befehle.

Ein darüber hinaus notwendiges Feature von CPU und BIOS wird dabei tatsächlich nicht genannt: Das “Execute Disable” Bit, auch “NX” oder “XD” Funktion genannt. Das wird seit Windows 8.1 vorausgesetzt. Systeme, die das nicht kennen, sind größtenteils Modelle aus den Jahren 2004 oder früher. Also mittlerweile mindestens 14 Jahre alt.

Muss Windows überhaupt eine CPU exakt kennen?

Jein. Normalerweise müsste Windows das nicht. Ein Hersteller, der jetzt ein System rausbringt, welches exakt die x86 Befehle unterstützt, wie Intel sie definiert hat (bzw. AMD für AMD64), benötigt zunächst mal keine Änderungen an Windows dafür.

Damit Windows den Herstellernamen sauber anzeigen kann, würde man natürlich eine Änderung brauchen. Auch lädt Windows Microcode Updates für CPUs zur Laufzeit nach. Die dafür notwendigen Daten müsste Microsoft integrieren. Aber generell wäre das System auch auf solch einer CPU lauffähig.

Ein Beweis dafür ist eine CPU aus China. Dort ist gerade vom Hersteller Zhaoxin eine x86 CPU namens KX-7000 in der Entwicklung. Und die ersten Benchmark-Ergebnisse sind von Benchmarks, die unter Windows laufen. Windows unterstützt die CPU aber bisher rein gar nicht.

Natürlich ist eine vollständige Unterstützung besser, schon aus Gründen von Performance oder um eventuelle kleine Probleme in der Implementation zu umschiffen. Generell geht es aber auch so.

Woher kommen nun Gerüchte über angebliche Einschränkungen?

Mit dem Windows 10 Update auf die Version 1703 gab es auf einer bestimmten Serie von Rechnern Probleme. In der Hauptsache sind dies preiswerte Tablets, die eines gemeinsam haben: die verwenden einen Prozessor mit integriertem Grafikkern von Intel, und zwar ein Modell der Serie “Clover Trail”, auch Atom Z2xxx genannt.

Diese Probleme waren so massiv, dass Microsoft das Update für diese Systeme gesperrt hat und nicht weiter ausliefert. Systeme mit solch einem Chip bleiben auf Version 1607 stehen, allerdings wurde der Supportzeitraum dieser Version aus Kulanz bis zum Jahr 2023 verlängert – also genau so lange, wie die Geräte mit dem mitgelieferten Windows 8.1 auch unterstützt worden wären.

Was dabei oft unter den Tisch gekehrt wird: nicht der gesamte Intel SoC ist problematisch, sondern nur dessen Grafikteil. Den hat Intel nicht selber entwickelt, sondern lizensiert. Im Prinzip ist dies ein PowerVR SGX 545 Kern von Imagination Technologies. Dessen Windows 8 Treiber waren schon von Anfang an eher wackelig, liefen unter Windows 10 nur nach einigen Anpassungen überhaupt und mit 1703 halt überhaupt nicht mehr stabil.

Die Probleme waren wohl auch nichts, was Microsoft mit einem Patch hätte beheben können. Diejenigen, die sehr früh die Version 1703 installiert hatten, hatten zumindest massive Probleme nach dem Upgrade, bis dessen Verteilung gestoppt wurde.

Die Aussage von Microsoft zu konkret diesem Problem war dann, dass man nur Geräte unterstützen könne, die von ihren Herstellern auch unterstützt und entsprechend mit Treibern versehen werden. Das Originalzitat findet sich in meinem ganz oben erwähnten Beitrag. Ohne neuere Treiber von Intel liefen diese GPUs halt nicht mehr richtig und Intel war nicht bereit, neuere Treiber dafür zu liefern. Damit ist das Verhalten von Microsoft logisch und verständlich.

Intels Werk und Microsofts Beitrag

Es gibt von Intel eine Liste von “Legacy” CPUs, die von Intel nicht weiter unterstützt werden.

https://ark.intel.com/products/series/79666/Legacy-Intel-Core-Processors

CPUs auf dieser Liste werden also im Falle von Problemen von Intel aus nicht mehr mit Microcode Updates versehen, die teilweise integrierten Grafikkerne bekommen keine Treiber-Updates mehr. Intel interessiert sich für diese Komponenten also nicht mehr. Das ist normal, jeder Hersteller handhabt das mit älteren Komponenten früher oder später so.

Für die Praxis sagt es erst einmal wenig aus, solange nicht ein neues Betriebssystem z.B. Befehle erfordert, die diese CPUs nicht kennen oder halt Probleme mit den schon genannten Grafiktreibern auftauchen.

Der eigentliche CPU Kern ist unproblematisch, da die Befehle der neueren CPUs ja durchweg auf dem aufbauen, was die alten CPUs schon konnten. Es fallen normalerweise keine Befehle einfach mal so weg.

Die Gerüchteküche brummt

Aus der Aussage von Microsoft zu einem konkreten Problem mit einer bestimmten SoC Modellreihe und der Liste von Intel hat dann irgendein §$%§“3$“! Mitte 2017 das Gerücht fabriziert und in die Welt gesetzt, Windows würde auf allen Systemen, die Intel nicht mehr unterstützen würde, auch nicht mehr unterstützt.

Im nächsten Schritt gab es zu dem Gerücht auch noch eine Verschärfung. Und zwar meinten dann einige Zeitgenossen, dass Windows 10 1709 angeblich auf diesen Systemen gar nicht mehr funktionieren würde. Einige Newsseiten titelten sogar, dass Microsoft damit ja wunderbar funktionierende Hardware wie z.B. einen Core i7 der Sandy Bridge Generation aufs Altenteil schieben würde. Der Shitstorm war da.

Und die ganze Geschichte hält sich leider wacker, obwohl die verschärfte Variante des Gerüchtes durch die Realität ja schon widerlegt wurde. Denn Windows 10 läuft auch in der Version 1709 noch auf CPUs von 2007 wie einem Core 2 Duo. Die 32-bit Version lässt sich sogar auf noch älteren CPUs nutzen.

Das gesamte Gerücht war also nachgewiesenermaßen kompletter Unfug.

Und in Zukunft?

Irgendwann werden bestimmte Komponenten mit einer neueren Windows Version nicht mehr unterstützt werden. Das ist normal und nachvollziehbar. Das System ist ja nicht statisch, sondern es wird ständig weiterentwickelt. Die dafür teils notwendigen Treiberanpassungen wird nicht jeder Hersteller mehr liefern wollen.

Sicherlich werden irgendwann auch mal technische Gründe auftauchen, bisher unterstützte, alte CPUs nicht mehr weiter zu unterstützen.

Bisher ist nichts davon passiert.

Bisher ist alles in der Richtung einfach nur ein unbewiesenes Gerücht. Welches immer wieder schön weiter verbreitet wird…

Veröffentlicht unter Allgemein | Kommentar hinterlassen