15

Microsofts Update-Sperre bei Windows 7/8.1 auf neueren Prozessoren tritt in Kraft

Mit dem April-Patchday hat Microsoft Ernst gemacht und neuere Prozessoren effektiv von der Einspielung künftiger Betriebssystem- und Sicherheits-Updates unter Windows 7/8.1 ausgeschlossen. Zum März-Patchday war diese Funktionalität (wie berichtet) bereits Teil der (optionalen) Vorschau auf den April-Patchday, nunmehr ist es Teil der offiziellen Patch-Pakete KB4015549 (Windows 7) und KB4015550 (Windows 8.1) geworden. Deren Deinstallation bringt im übrigen nichts, da mit den letztes Jahr eingeführten Patch-Paketen nunmehr alle Einzelpatches nur noch in zusammengefasster Form vorliegen – eine Deinstallation würde also auch das Entfernen der Sicherheits-Updates bedeuten, womit man sich dann sogar höchstselbst von den Sicherheits-Updates ausschließen würde. Per default sind jedoch die April-Update immer noch für Nutzer aller Prozessoren zugängig – erst nach dem (erfolgreichen) April-Patchday wird jede weitere Update-Suche über den Windows-Update-Dienst mit einer Fehlermeldung über "Unsupported Hardware" quittiert:

Leicht unklar ist allerdings nach wie vor, welche Hardware hiervon genau betroffen ist. Die meiste Berichterstattung im Internet macht es sich an dieser Stelle zu einfach und bezieht sich nur auf ein offizielles Microsoft-Dokument, nach welches alles ab Intels Kaby Lake sowie AMDs Bristol Ridge (und damit auch AMDs Ryzen) vom weiteren Support in Windows 7/8.1 ausgeschlossen ist. Laut dem März-Patchday konnte diese Funktionalität aber nur für Kaby Lake in der Praxis bestätigt werden – und auch jetzt gibt es entsprechende Meldungen nur von Kaby-Lake-Nutzern unter Windows 7/8.1, nicht aber von Ryzen-Nutzern unter Windows 7/8.1. Vielmehr ließ sich bei Born IT sogar der Kommentar eines Ryzen-Nutzers finden, das sein Windows auch nach dem April-Patchday immer noch zur Update-Suche fähig war. Insofern muß derzeit als (stark) "unsicher" betrachtet werden, ob AMDs Ryzen nun wirklich umgehend vom Windows-Update-Dienst ausgeschlossen ist (kann später aber noch kommen).

AMDs Bristol Ridge ist derzeit in jedem Fall betroffen, denn Microsoft gibt jenes Verhalten ("Herunterladen und Installieren von Windows-Updates in Zukunft") sogar offiziell unter "bekannte Probleme" der beiden vorgenannten Patch-Pakete an. Jener Status deutet aber auch darauf hin, das diese Sperr-Funktionalität zumindest bei Bristol Ridge gar nicht gewünscht ist – dies kann man womöglich als Hinweis darauf deuten, das Microsoft diese Prozessoren zukünftig wieder in seine offizielle Supportliste für Windows 7/8.1 aufnehmen wird. Eventuell hat AMD hierbei interveniert – dies würde auch erklären, wieso AMDs Ryzen derzeit augenscheinlich nicht betroffen ist, obwohl Microsofts grundsätzliche Einstellung zum Thema klar dokumentiert ist. Einige Meldungen sprechen auch noch davon, das Microsoft den Support für Skylake-Prozessoren einschränkt – aber dies ist womöglich früheren Verwirrungen zum Thema geschuldet, derzeit gibt es hierzu jedenfalls keinerlei Praxis-Anzeigen.

Für Nutzer von Kaby-Lake-Maschinen unter Windows 7/8.1 fängt nun aber in jedem Fall der Ärger an. Nachdem man am Ende doch noch irgendwie zu passenden Chipsatz- und Grafik-Treibern kommen konnte, legt die Verhinderung von Sicherheits-Updates den möglichst umgehenden Umstieg auf ein anderes Betriebssystem nahe – ohne regelmäßigen Sicherheits-Updates geht es heutzutage einfach nicht mehr. Denn wie aus mehreren Quellen berichtet wird, funktioniert selbst das manuelle Einspielen von Windows-Patches nach Abschluß des April-Patchdays auf Kaby-Lake-Systemen nicht mehr. Dies bedeutet auch, daß Updaten per Windows-Katalog oder den Update-Packs von WinFuture nach Absolvierung des April-Patchdays auch nicht mehr funktioniert – Windows weigert sich danach schlicht, noch irgendwelche neuen Windows-Patches zu installieren. Wie dies bei Microsofts WSUS-System aussieht, ist derzeit noch nicht bekannt (würde aber sowieso nur für professionelle Anwender gelten).

Natürlich gibt es dennoch Schleichwege: So kann man im Mai nach Erreichen des Patch-Days schlicht das kumulative Update zum April-Patchday deinstallieren – danach funktioniert die Suche nach Updates über Windows Update wieder und man kann die im Mai anstehenden Updates herunterladen und installieren. Dummerweise muß man diesen Akt jeden Monat manuell wiederholen, was auf die Dauer ziemlich unbequem kommen dürfte. Ein eleganterer Schleichweg kommt aus den Leserkommentaren bei AskWoody: Dort hat ein Anwender die Datei "wuaueng.dll" (zu finden unter C:\Windows\System32) durch eine ältere Version ersetzt – danach konnte selbst unter Kaby Lake unlimitiert nach neuen Updates gesucht und jene installiert werden (die Warnmeldung über die "unsupported Hardware" kam lustigerweise manchmal trotzdem). Ob diese Möglichkeit ewig bestehen bleibt, muß derzeit offenbleiben – für den Augenblick erscheint jene als einfachster Ausweg. Die hierfür notwendige ältere "wuaueng.dll" kann man selbst auf bereits gepatchten Systemen schlicht durch Deinstallation des kumulativen Updates zum April-Patchday erzeugen.

In der Summe der Dinge sind jedoch alle Varianten, Windows 7/8.1 derzeit noch auf Intels Kaby Lake zu betreiben (AMDs Bristol Ridge ist wie gesagt noch in der Schwebe, bei AMDs Ryzen ist die Situation gänzlich unklar), immer eine Bastellösung – und damit nur für entsprechend erfahrene PC-Anwender auf ihren eigenen Systemen zu empfehlen. Auf administrierten Rechner bzw. im dienstlichen Umfeld sowie bei allen PCs von Otto Normalsurfern sind in dieser Situation die Klimmzüge zur Erlangung von Sicherheits-Updates zu kompliziert, hier existiert nunmehr ein klarer Druck hin in Richtung des Wechsels auf ein anderes Betriebssystem – was ja nicht einmal zwingend "Windows 10" heißen muß. Denn Microsoft offenbart sich mit dieser Aktion einmal mehr als nicht vertrauenswürdiger Geschäftspartner, welcher nicht einmal Respekt vor dem wichtigsten Punkt einer Betriebssystem-Entwicklung hat – der Gewährleistung der IT-Sicherheit durch garantierte Sicherheits-Updates.

Für diese Support-Verweigerung kann man sicherlich keine technischen Gründe anführen, denn die betroffenen Prozessoren erfüllen ganz einwandfrei die Mindestanforderungen von Windows 7/8.1. Daß Microsoft keine Treiber für neuere Prozessoren liefern will, hat mit der Entscheidung gegen die Sicherheits-Updates zudem nicht das geringste zu tun, denn Treiber für neue Hardware sind nun einmal zuerst Sache der jeweiligen Hardware-Hersteller (und sowohl für Kaby Lake als auch für Ryzen gibt es Hersteller-Treiber für Windows 7/8.1, wenn auch nur inoffiziell). Für die Sicherheits-Updates spielt die jeweilige Technik sowieso nur eine untergeordnete Rolle, da hiervon schließlich primär Kernkomponenten von Windows betroffen sind – und die müssen zwingend auf jedem kompatiblen Prozessor laufen. Eben aus diesem Grund ist auch nicht zu sehen, wieso Microsoft jetzt besonders große Validierungs-Aufwendungen durch den Support neuerer CPU-Generationen haben sollte – wenn Sicherheits-Patches auf älterer Hardware laufen, werden jene auch auf neuerer Hardware (mit gleicher/ähnlicher Architektur) laufen, dies muß meistens noch nicht einmal explizit getestet werden.

Als Grund für den ganzen Ärger rückt damit einmal mehr Microsofts Ansinnen in den Vordergrund, die Menschheit zu Windows 10 zwangszubekehren – einige Kommentatoren haben obenstehende Fehlermeldung inzwischen schon als "GWX 2" betitelt. Allerdings überspannt Microsoft in diesem Fall den Bogen dann doch einigermaßen – denn zumindest im Fall von Windows 8.1 liegt mit diesem Ausschluß von Intels Kaby Lake ein klarer Bruch des ursprünglichen Support-Versprechens vor. Jenes sieht bis fünf Jahren nach Release des Betriebssystems das bestmögliche Support-Level in Form des "Mainstream-Supports" vor – ein zwangsweises Abschalten von Sicherheits-Updates für neue Hardware braucht man darunter sicherlich nicht einordnen. Im Rahmen des Mainstream-Supports wäre vielmehr sogar zu fordern, das Microsoft neue Hardware eigenaktiv unterstützt, sprich selbst noch Mirosoft-eigene Treiber zur Verfügung stellt. Und da der Mainstream-Support für Windows 8.1 noch bis zum 9. Januar 2018 läuft, wird Microsoft hier ziemlich klar vertragsbrüchig – bleibt zu hoffen, das die (wenigen verbliebenen) Nutzer von Windows 8.1 demnächst Microsoft mit Sammelklagen überziehen, auf das Microsoft dieses (unerwünschte) "Osterei" im Hals steckenbleibt.

Nachtrag vom 17. April 2017

In Bezug auf die nun anlaufende Update-Sperre bei Windows 7/8.1 auf neueren Prozessoren gibt es für den Augenblick weiterhin noch keine Praxis-Meldungen, daß dies auch auf AMDs Ryzen zutreffen würde – die entsprechende Medienberichte hierzu raten ergo auch nur in der Gegend herum, sprechen aber nicht über reale Ereignisse. Sicher ist derzeit nur die Update-Sperre bei Intels Kaby Lake (bestätigt durch mehrere Anwender-Berichte) und bei AMDs Bristol Ridge (von Microsoft selber als "Fehler" dieses Updates klassifiziert) – wobei sich in letzterem Fall eben wegen der Einordnung als "Fehler" vielleicht noch etwas ändert. Daneben geht die Diskussion in unserem Forum weiter, ob jenes Verhalten Microsofts nun wirklich einen Vertragsbruch an den Nutzern von Windows 8.1 (Nichterfüllung des Mainstream-Supports, der erst am 9. Januar 2018 ausläuft) darstellt: Gänzlich sicher kann man sich hierbei natürlich nicht sein, weil die Lieferung von Sicherheits-Updates natürlich immer bedingt, das die benutzte Hardware auch von der jeweiligen Windows-Version offiziell unterstützt wird. Die Windows 7/8 Systemanforderungen sehen zwar bislang nur jeweils einen x86-Prozessor vor (Windows 8 fordert dazu noch die CPU-Befehlssatzerweiterungen PAE, NX und SSE2 ab), allerdings hatte Microsoft diesen offiziellen Systemanforderungen kürzlich tatsächlich den Hinweis auf den eingestellten Support bei neuen CPUs hinzugefügt.

Ironischerweise weiß dies der "Windows 7 Upgrade Advisor", welcher die Tauglichkeit eines PC-System zum Update auf Windows 7 feststellt, noch nicht – wie ein Foren-Anwender notiert, dessen Kaby-Lake-System seit dem April-Patchday nicht mehr nach Sicherheits-Updates unter Windows 7 suchen darf, vom "Upgrade Advisor" allerdings trotzdem noch als Windows-7-tauglich eingeordnet wird. Ob sich hier allerdings etwas justizables ergeben könnte, bliebe abzuwarten: Erstens einmal ist Microsoft schon ganz automatisch sehr gut abgesichert durch den Punkt, das man kaum direkte Verträge mit Endanwendern eingeht, sondern dies alles üblicherweise über die jeweiligen PC-Hersteller läuft. Und zweitens dürfte die Anzahl der Anwender, welche wirklich hiervon betroffen sind (mittels der erst in diesem Jahr veröffentlichen Kaby-Lake-CPUs allein unter Windows 7/8), eher zu gering sein, um wirklich Aufsehen durch praktisch eingestellten Support zu erregen. Es war halt bisher einfach nur so üblich, das Microsoft für ältere Betriebssysteme den Hardware-Support nicht mutwillig einschränkt – oder anders formuliert: Früher war Microsoft mal als Company bekannt, welche sich das Stichwort "Kompatibilität" auf die Stirn tätowiert hatte.

Wie zu sehen, haben sich die Zeiten (deutlich) geändert und Microsoft will eigentlich nur noch Sicherheits-Updates bereitstellen, sofern die "jeweils letzte Version von Windows" verwendet wird – was Windows 10 in seiner jeweils neuesten Version bedeutet, nicht einmal ältere Versionen von Windows 10 werden noch unterstützt. Microsoft zwingt damit seine Nutzer, wirklich alles mitzugehen, was man sich bei Microsoft an Änderungen zu Windows 10 auch in Zukunft noch so ausdenken wird – die Möglichkeit, sich bewußt zu verweigern (breit ausgenutzt nach den Launches von Windows Vista & 8), wird grundsätzlich verbaut. In einem Markt mit mehreren Anbietern wäre dies kein so großes Problem – dann könnten diejenigen, welche ein solches Gebaren stört, einfach den Betriebssystem-Anbieter wechseln. Bei einer funktionierenden Wettbewerbsaufsicht würde man ein solches Verhalten vielleicht auch als letzten Anstoß dazu nehmen, Microsoft als "Monopolisten" einzuordnen und entsprechend zu behandeln (Zerschlagung der Firma oder aber Führung des Unternehmens durch die Wettbewerbsbehörde selber). So aber müssen die Anwender nun ihren eigenen Weg finden – was aber vielleicht auch nicht ganz so schlecht ist, denn indirekt stärkt Microsoft hiermit natürlich den Druck, sich endlich einmal mit Linux auseinanderzusetzen (anstatt nur darüber zu reden bzw. nachzudenken).

Nachtrag vom 19. April 2017

Inzwischen beschäftigen sich einige Anleitungen mit dem Punkt, Microsofts Update-Sperre gegenüber neueren Prozessoren unter Windows 7/8.1 auszuhebeln. So bescheibt man beim Deskmodder den eher manuellen Weg, wonach gewisse System-Dateien mit einer früheren Version ersetzt werden müssen, damit die Update-Suche auch nach dem April-Patchday wieder funktioniert. Nachteiligerweise könnte dieser Akt nach jedem der monatlichen Patchdays jeweils erneut notwendig werden – je nachdem ob Microsoft die bewußten Dateien aus demselben oder einem anderen Grund wiederum aktualisiert hat. Demzufolge versucht man anderenorts die bewußten System-Dateien nicht gleich komplett durch ältere Versionen zu ersetzen, sondern in diesen System-Dateien allein nur die Kompatibilitätprüfung wegzupatchen. Eine Anleitung im ComputerBase-Forum gibt hierzu Hilfestellung, ein nachfolgendes Posting weist aber auch auf die Probleme dieser Methode hin – jene wurde auf einem englischen Windows entwickelt, auf einem deutschen Windows funktioniert das ganze erst nach kleineren Anpassungen. Eventuell kann man aber aus dieser Ausgangslage noch ein regelrechtes Programm entwickeln, welches diesen Job der Verhinderung der Kompatibilitätprüfung sprachenunabhängig auf allen Windows 7/8.1 Systemen erledigt.

Nachtrag vom 18. Juni 2017

Im Forenthread zu Microsofts Windows-Update-Sperre nun auch für AMDs Ryzen hat sich nun eine zweite Meldung eingefunden, wonach dieser Tatbestand wirklich zutreffen soll und Microsoft ab sofort auch Ryzen-Systeme von weiteren Updates unter Windows 7/8.1 ausschließt. Beim ersten Auftreten dieser Update-Sperre in diesem April traf dies in der Praxis nur auf Systeme mit Intels Kaby Lake und AMDs Bristol Ridge zu. Systeme mit AMDs Ryzen wurden zwar seinerzeit in der Presse regelmäßig auch mit genannt – hierbei hatte man sich jedoch nur auf Microsofts generelles Statement verlassen und keinerlei Praxismeldungen herangezogen bzw. abgewartet. Am Ende hat Microsoft mit etwas Verspätung dann jedoch das getan, was das offizielle Statement bereits ankündigte: Alles ab AMDs Bristol Ridge (und damit auch Ryzen) sowie Intels Kaby Lake wird nicht mehr mit weiteren Updates für Windows 7/8.1 versorgt. Im genauen betrifft dies alle ab dieses Jahr herausgekommenen neuen CPU-Generationen, auch die kommenden Skylake-X-Prozessoren werden hiervorn betroffen sein – obwohl ihre Brüder aus der "normalen" Skylake-Generation weiterhin Microsoft-Support unter Windows 7/8.1 erfahren werden (und bei Skylake-X noch nicht einmal eine integrierte Grafiklösung dabei ist). Im Fall von Ryzen betrifft dies augenscheinlich nur eine Handvoll an Nutzern (welche sich zudem notfalls weiterhelfen können), ist aber dennoch doppelt schade, denn über die Mainboard-Hersteller sind sogar noch AMD-offizielle Windows-7-Treiber für Ryzen zu bekommen, ist die Treiber-Situation damit weitaus besser als bei Intel.