Windows Deskmodder Projekt - "Zero Limit" um windows 11 Voraussetzungen zu umgehen

[schdrag]

"so kompiliert, dass der TPM-, RAM-, Secure Boot Check, sowie Festplattengröße übersprungen werden bzw. ignoriert wird. Des Weiteren enthalten die ISO`s eine ausgetauschte appraiserres.dll (der Grund allen Übels) sowie eine generische ei.cfg (gibt die Werte für die Editions-ID, den Kanal und die Volumenlizenz an). "

Windows 11 ISO ohne TPM etc. -- Willkommen bei dem Deskmodder Projekt - "Zero Limit" - Deskmodder.de

www.deskmodder.de

Ist das jetzt schon zu viel des Guten?

Desweiteren gibt deskmodder hier

Windows 11 auch ohne TPM und Secure Boot installieren

www.deskmodder.de

einen Registry-hack an, um "alle" Prüfungen auszuschalten (SSE 4.2 + POPCNT, also mindestens Intel Nehalem, sind wohl seit 22h4 Pflicht).
reg.exe add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\HwReqChk" /f /v HwReqChkVars /t REG_MULTI_SZ /s , /d "SQ_SecureBootCapable=TRUE,SQ_SecureBootEnabled=TRUE,SQ_TpmVersion=2,SQ_RamMB=8192,"

oder reicht der
" gesetzten Registry-Key (AllowUpgradesWithUnsupportedTPMOrCPU als dword:00000001 im Zweig HKEY_LOCAL_MACHINE\SYSTEM\Setup\MoSetup)", den @ahoellrigl
hier empfiehlt bzw. was ist der Nachteil des deskmodder hacks direkt oberhalb?

 

[StefanW.]

Warum Deskmodder und nicht Rufus, welches Du in der Vergangenheit schon genutzt hast?

 

[ahoellrigl]

Durch die Befehlszeile

reg.exe add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\HwReqChk" /f /v HwReqChkVars /t REG_MULTI_SZ /s , /d "SQ_SecureBootCapable=TRUE,SQ_SecureBootEnabled=TRUE,SQ_TpmVersion=2,SQ_RamMB=8192,"

wird eine Schlüsselstruktur im Registry-Zweig HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion erzeugt, die dem Setup-Programm von Windows 11 mittteilt, dass es die Prüfungen, ob SecureBoot vorhanden ist, ob es aktiviert ist, ob ein TPM 2.0 aktiv ist und ob mindestens 8 GB RAM vorhanden sind, allesamt überspringen (bzw. deren Ergebnis ignorieren) soll. Die von mir (und auch von Deskmodder) beschriebene Methode basiert auf einem anderen Key in einem Registry-Zweig, der eben nur die Prüfung auf die Version der CPU und das TPM ausschaltet. Letztlich kommt es darauf an, wie lange die Setup-Programme zu zukünftigen Versionen von Windows 11 diese Werte noch auslesen und umsetzen oder aber sie aber irgendwann mal ignorieren.

Plausibel erschiene es mir, dass das Setup die Registry-Einträge, durch die mehr Prüfungen umgangen werden, früher ignorieren wird als den Eintrag, wo es nur um CPU und TPM geht. Aber sicher wird man das nur (sofern man nicht sehr gute Kontakte in die Entwicklungsabteilung von Microsoft hat ) durch Ausprobieren herausfinden.

Ich würde immer mindestens am Anfang die Methode wählen, die am wenigsten vom Standard abweicht. Warum hier die Prüfung auf SecureBoot und RAM abschalten, wenn ein Gerät die Kriterien erfüllt? Oder eben ansonsten Rufus den Job erledigen lassen.

 

[schdrag]

TPM-, RAM-, Secure Boot Check, sowie Festplattengröße übersprungen werden bzw. ignoriert wird. Des Weiteren enthalten die ISO`s eine ausgetauschte appraiserres.dll (der Grund allen Übels) sowie eine generische ei.cfg

bei rufus habe ich die Optionen lt. Anhang: da steht nichts von "appraiserres.dll (der Grund allen Übels) sowie eine generische ei.cfg". der reg key Vorschlag von @ahoellrigl betrifft tpm und cpu. Evtl. hat der Vorschlag von @ahoellrigl ja auch seine Vorteile (?). Allerdings nutze ich secure boot nicht (MBR). Rufus habe ich nur für das win11 upgrade von win 10 aus genutzt, alle weiteren updates kamen automatisch (und problemlos). Die Option mit dem lokalen Konto ist für mich auch zweideutig: das existiert ja schon, ich möchte nicht, dass es neu erstellt wird bzw. dass da evtl. etws parallel läuft. Ausserdem möchte ich keine regionalen Optionen setzen, das Konto soll einfach so, wie es ist übernommen werden... Auf der rufus seite habe ich auf die Schnelle keine Antwort für diese Fragezeichen gefunden...
Rufus muss übrigens für die 24H2 Installation wohl in der Version 4.6 installiert sein.

Beitrag automatisch zusammengeführt: 10 Jan. 2025

Ich würde immer mindestens am Anfang die Methode wählen, die am wenigsten vom Standard abweicht. Warum hier die Prüfung auf SecureBoot und RAM abschalten, wenn ein Gerät die Kriterien erfüllt?

hatte Deine Antwort noch nicht gelesen in meiner Antwort auf Stefan, scheint mir plausibel.

 

[ahoellrigl]

Naja, Rufus verwendet natürlich keine eigene Magie, sondern setzt die vorhandenen Möglichkeiten um und verpackt sie hübsch. Sodass man sich als Anwender nicht mit Dateioperationen herumplagen muss, sondern einfach ein paar Auswahlfelder anhaken kann. Wobei hier die erste Auswahlbox ja recht deutlich mit dem übereinstimmt, was die Schlüsselstruktur in HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\HwReqChk bewirkt.

Gibt es einen Grund, wenn du auf dem System sowieso Windows 11 laufen lassen willst, weshalb du dort SecureBoot dann nicht aktivieren möchtest?

In den FAQs von Rufus findet sich übrigens ein ganz interessantes Statement vom Entwickler zu den Kriterien und ihrer Umgehung. Dort konkret anknüpfend an die CPU-Kriterien PopCnt und SSE4.2, die sich inzwischen nicht mehr umgehen lassen, aber schon mit einer allgemeineren Positionierung (gleich im ersten Absatz).

​

You should also understand that there's only so much software developers, including myself and Microsoft, want to go to continue to support old platforms, when there exists new feature (in this case new CPU extensions) that can make the software better, and that there has to be a cutting point at which environments that do not support these new features have to be left behind.​

​

The way it works, and this is what Microsoft did, is you announce public system requirements (which, in the case of Windows 11, officially required using a modern CPU with PopCnt and SSE4.2 from the very first release), while still providing an unofficial "grace period", during which you might be able to apply bypasses to continue to run the software on hardware that does not meet these requirements... until the day where the software developer enforces them. And 24H2 is when they made the requirement for a CPU that supports PopCnt and SSE4.2 come into actual effect.​

​

In short: You shouldn't expect to be able to run Windows on hardware it wasn't designed for forever. You got granted the ability to do so for a few years, but it should be obvious that this was always going to end eventually, and that, at some stage, you do have to upgrade your hardware to benefit from modern features (most of which aren't simply "gimmicks", but elements that actually improve the software).​

 

[schdrag]

Gibt es einen Grund, wenn du auf dem System sowieso Windows 11 laufen lassen willst, weshalb du dort SecureBoot dann nicht aktivieren möchtest?

Hm, ich hatte zugegebenermassen Windows 10 (Sandy bridge HP Laptop vor 8 oder 9 Jahren gebraucht erstanden ) mit mbr installiert; uefi und secure boot wurde in diesem bios nur eingeschränkt unterstützt, habe ich wird - nochmals lange in den bios optionen gesucht - nicht angeboten; vielleicht hätte ich mich besser einlesen sollen). Windows 11 war dann eine upgrade Installation, weil schon in der Windows 10 Installation diverse Treiber aus Fremdquellen (dell... ) Verwendung gefunden haben. Leider habe ich die damals nötigen Treiber nicht gesichtert...
Anscheinend lässt sich der Wechsel auf uefi bzw. die Aktivierung von secure boot auch noch nachträglich ändern:

MBR zu GPT ändern ohne Dateiverlust Windows 11

www.deskmodder.de

Aber ich hab da doch ganz schönen Respekt davor (trotz Komplett-backup, das ich auf jeden Fall machen würde).
In dem Bios (aktuelle Version) meines sandy bridge Rechners wird uefi und secure boot allerdings nur rudimentär unterstützt (ist aber glaube ich bei anderen sandy bridge Rechnern ähnlich, zumindest hab ich das beim thinkcentre m91p so erlebt); weiss nicht, ob das dann auch wieder Probleme macht.
Bei der frischen Installation von Windows 11 auf dem m91p thinkcentre eines Bekannten habe ich mich für uefi und secure boot entschieden.

In den FAQs von Rufus findet sich übrigens ein ganz interessantes Statement vom Entwickler zu den Kriterien und ihrer Umgehung. Dort konkret anknüpfend an die CPU-Kriterien PopCnt und SSE4.2, die sich inzwischen nicht mehr umgehen lasse

Dann werden die Sandy bridge Prozessoren mit SSE4.2 (PopCnt ist ein Teil davon) ja noch ein Weilchen unterstützt, zumindest bis Oct 13, 2026, wer weiss, sogar noch länger, falls es die Microsoft Götter wollen.

"SSE4.2 wird von Intel seit 2008 und von AMD seit 2011 standardmäßig unterstützt, so dass für offiziell unterstützte CPUs keine Probleme auftreten. Die Erweiterung enthält unter anderem neue String-Operationen. Die POPCNT-Instruktion (Population Count) ist ein Teil von SSE4.2 und wird in Zukunft für die Zusammenarbeit zwischen dem Windows 11-Kernel und den USB-XHCI-Treibern erforderlich sein. Unterstützt die installierte CPU die SSE4.2-Instruktionen nicht, wird Windows 11 den Bootvorgang verweigern."

Windows 11 24H2 läuft nicht mehr auf CPUs ohne SSE4.2

Ab der Windows 11 Version Build 26080, die Teil des kommenden 24H2 Updates ist, werden die Streaming SIMD Extensions SSE4.2 für x86 Prozessoren ...

administrator.de

Wobei es bei heise heisst:
"POPCNT ist Teil von SSE4.2, gelangte teilweise aber schon ohne umfänglichen SSE4.2-Support in Prozessoren – primär in AMDs Phenom II."

Windows 11 24H2 läuft nicht mehr mit Prozessoren ohne SSE4.2

Aktuelle Windows-11-Versionen setzen weitere Instruktionen voraus. Installationstricks mit uralten Prozessoren funktionieren damit nicht mehr.

www.heise.de

 

[bodu]

AllowUpgradesWithUnsupportedTPMOrCPU setzt secure boot (damit UEFI und GPT) und TPM 1 voraus.
Bei noch älterer Hardware funktioniert bisher 'product server' oder 'AppCompatFlags\HwReqChk'.
Das zukünftige Verhalten bei einem großen Upgrades zeigt sich dann.

 

[ahoellrigl]

Hm, ich hatte zugegebenermassen Windows 10 (Sandy bridge HP Laptop vor 8 oder 9 Jahren gebraucht erstanden ) mit mbr installiert; uefi und secure boot wurde in diesem bios nur eingeschränkt unterstützt, vielleicht hätte ich mich besser einlesen sollen). Windows 11 war dann eine upgrade Installation, weil schon in der Windows 10 Installation diverse Treiber aus Fremdquellen (dell... ) Verwendung gefunden haben. Leider habe ich die damals nötigen Treiber nicht gesichtert...
Anscheinend lässt sich der Wechsel auf uefi bzw. die Aktivierung von secure boot auch noch nachträglich ändern:

Ah, OK, das ist nachvollziehbar. Da würde ich dir von größeren Umstellungen im Systemunterbau tatsächlich doch eher abraten. Nutze dann lieber den PC, so lange er gut funktioniert. Wenn das Upgrade auf 24H2 mit der Methode AppCompatFlags\HwReqChk (ob nun per eigenem Eintrag in die Registry oder per Einstellung in Rufus) klappt, solltest du an der Stelle erst einmal die knapp 2 Jahre bis Oktober 2026 Ruhe haben. In der Zeit kann man ja schon ein bisschen vorplanen, wie man auf die verschiedenen möglichen Situationen dann reagieren könnte.

 

[joshua666]

Bis jetzt kann man das viel einfacher haben:

 

[schdrag]

Wenn das Upgrade auf 24H2 mit der Methode AppCompatFlags\HwReqChk (ob nun per eigenem Eintrag in die Registry oder per Einstellung in Rufus) klappt, solltest du an der Stelle erst einmal die knapp 2 Jahre bis Oktober 2026 Ruhe haben.

hab gestern auf 24H2 aktualisiert via
reg.exe add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\HwReqChk" /f /v HwReqChkVars /t REG_MULTI_SZ /s , /d "SQ_SecureBootCapable=TRUE,SQ_SecureBootEnabled=TRUE,SQ_TpmVersion=2,"

mit gesetzten Registry-Key (AllowUpgradesWithUnsupportedTPMOrCPU als dword:00000001 im Zweig HKEY_LOCAL_MACHINE\SYSTEM\Setup\MoSetup

da wusste ich hiervon

AllowUpgradesWithUnsupportedTPMOrCPU setzt secure boot (damit UEFI und GPT) und TPM 1 voraus.
Bei noch älterer Hardware funktioniert bisher 'product server' oder 'AppCompatFlags\HwReqChk'.

noch nichts. Soll ich jetzt den Registry-Key (AllowUpgradesWithUnsupportedTPMOrCPU als dword:00000001 im Zweig HKEY_LOCAL_MACHINE\SYSTEM\Setup\MoSetup wieder 'raus nehmen? Bisher werden die updates eingespielt (zwei oder drei wurden nachträglich noch installiert).
Hätte - für den Zweitcomputer, falls überhaupt... sonst die rufus Methode genommen:
Soll ich die Einstellungen wie folgt setzen (ich will keine Änderung im Bezug auf Benutzerkonteneinstellungen, darum hätte ich die entsprechenden Felder leer gelassen)?
Grundsätzlich: irgendwann 'mal gibt's ja 25H2, wäre ein direkter upgrade von 23H2 zu 25H2 möglich? Oder hängt das wieder von den MS Göttern ab bzw. von eventuellen zukünftigen schwenks ebendieser?

Beitrag automatisch zusammengeführt: 11 Jan. 2025

Upgrade auf 24H2 mit der Methode AppCompatFlags\HwReqChk

als Kochrezept Installierer war für mich diese Anleitung (beleuchtet unterschiedliche Arten, also auch die Rufus Methode) sehr erleuchtend:

How to install Windows 11 24H2 on unsupported hardware

If you have an unsupported computer and want to try Windows 11 version 24H2, here is how to bypass hardware requirements and update right now.

www.neowin.net

 

[bodu]

Bis jetzt kann man das viel einfacher haben:

Vorhanden: 10.0.19045.2965 22H2
de-de_windows_11_business_editions_version_24h2_updated_dec_2024_x64_dvd_fc8380e6.iso[DVD]\setup.exe
offline | Updates, Treiber und optionales Feature nicht jetzt herunterladen

X250 mit Secure Boot und TPM 2.0:
"Dieser PC erfüllt nicht die Mindestsystemanforderungen für die Ausführung von Windows 11..."
<Annehmen> zum „Akzeptieren“

Der Registryeintrag AllowUpgradesWithUnsupportedTPMOrCPU ist inzwischen obsolete.
Die interne Hardwareprüfung wird vom Setup ausgewertet, und nun bei vorhandener Mindesthardware [Regeln nach AllowUpgradesWithUnsupportedTPMOrCPU] dem Endanwender zur Bestätigung angeboten.


T530 kein Secure Boot und kein TPM
Der PC wird überprüft, erfüllt die Systemanforderungen nicht.
Der PC muss TPM 2.0 unterstützen
Der Prozessor wird für diese Windows-Version nicht unterstützt.
<Schließen>
Hier sind zur Umgehung andere Vorbereitungen notwendig.


Korrektur:
AllowUpgradesWithUnsupportedTPMOrCPU ist auf TPM 1.2 Rechner weiter sinnvoll.

 

[der_ingo]

X250 mit Secure Boot und TPM 2.0:
"Dieser PC erfüllt nicht die Mindestsystemanforderungen für die Ausführung von Windows 11..."
<Annehmen> zum „Akzeptieren“

Das wäre mir neu. Ist das jetzt eine modifizierte ISO aus Drittquellen, oder eine ISO direkt von Microsoft?

T530 kein Secure Boot und kein TPM

Dann stell das halt um. Dürfte sinnvoller sein, als jedes Mal wieder umständlichere Umgehungsmaßnahmen zu suchen.
Oder hat das Gerät tatsächlich kein TPM verbaut?

 

[bodu]

Das wäre mir neu. Ist das jetzt eine modifizierte ISO aus Drittquellen, oder eine ISO direkt von Microsoft?

War eine ISO von Microsoft über eine Drittquelle, Test, kein Produktivrechner.

Nun eine 26100.2033 ESD von dl.delivery.mp.microsoft.com (dism /apply-image + copy *.esd):
Die \setup.exe zeigt auch die fehlende Mindestsystemanforderungen und fragt die Bestätigung vom Benuter beim X250.

Dann stell das halt um.

Der T530 nun mit secure boot und TPM 1.2, 26100.2033 ESD \setup.exe
Der PC wird überprüft, erfüllt die Systemanforderungen nicht.
Der PC muss TPM 2.0 unterstützen
Der Prozessor wird für diese Windows-Version nicht unterstützt.
Schließen

mit reg.exe add "HKLM\SYSTEM\Setup\MoSetup" /v "AllowUpgradesWithUnsupportedTPMOrCPU" /t REG_DWORD /d 1
Setup meldet fehlende Mindestsystemanforderungen, fragt beim Benutzer "fehlender Kompatibilität" zu bestätigen und fortzufahren.

Ein 26100.2033 Setup ohne zusätzliche Einstellungen benötigt secure boot und TPM 2.0, ein alter Prozesor führt zu nachfrage beim Benutzer.
Das Setup mit "AllowUpgradesWithUnsupportedTPMOrCPU" akzeptiert TPM 1.2, fragt auch beim Benutzer nach.

 

[schdrag]

bei meineim Sandy bridge HP 2560p ohne secure boot und (denke ich) mit tpm 1.x (findet sich nix im bios) hatte ich die windows11 24h2 iso auf der Laptop-SSD gespeichert und in ein separates Verzeichnis gepackt. So konnte ich von 23h2 auf 24h2 problemlos updaten. Kann das einen Einfluss auf MS upgrade blocks - auch beim upgrade von windows 10 - haben?

Edit: Welche registry Umgehungs-settings haben Prio? Die von laufenden windows oder die vom gemounteten Medium?

* in der registry des laptops war bei mir
reg.exe add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\HwReqChk" /f /v HwReqChkVars /t REG_MULTI_SZ /s , /d "SQ_SecureBootCapable=TRUE,SQ_SecureBootEnabled=TRUE,SQ_TpmVersion=2,"

mit dem Registry-Key (AllowUpgradesWithUnsupportedTPMOrCPU als dword:00000001 im Zweig HKEY_LOCAL_MACHINE\SYSTEM\Setup\MoSetup
vorgegeben.

Das gemountete 24h2 Medium war unberührt. Da scheint dann der upgrade Prozess zuerst auf die reg Einträge vom laufenden System zu schauen.

 

[ahoellrigl]

Diese Registry-Keys werden (meines Wissens) nur vom Setup-Programm ausgelesen - oder ggf. irgendwann vermutlich mal nicht mehr. Es sollte also unproblematisch sein, das jetzt laufende Windows 11 24H2 mit der Registry mit diesen Eintragungen einfach so zu lassen, wie es jetzt ist. Und dann kann man in etwa einem Jahr ja schauen, ob so auch das nächste Upgrade auf die dann vermutlich ausgerollte Hauptversion 25H2 möglich ist.

 

[schdrag]

Registry-Key (AllowUpgradesWithUnsupportedTPMOrCPU als dword:00000001 im Zweig HKEY_LOCAL_MACHINE\SYSTEM\Setup\MoSetup
vorgegeben.

Wie wandel ich das in einen reg.exe add um?
reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\Setup\MoSetup" /f /v /t REG_DWORD /s, /d [???] "AllowUpgradesWithUnsupportedTPMOrCPU=1"
Werde aus der Anleitung nicht so recht schlau...

reg add

Reference article for the reg add command, which adds a new subkey or entry to the registry.

learn.microsoft.com

 

[ahoellrigl]

So etwas ist doch, weil regelbasiert, mal eine gute Aufgabe für eine KI. Also habe ich ChatGPT gefragt, einmal auf Englisch,

Generate a reg.exe command to write the key "AllowUpgradesWithUnsupportedTPMOrCPU" with the value "dword:00000001" to the registry hive "HKEY_LOCAL_MACHINE\SYSTEM\Setup\MoSetup".​

einmal auf Deutsch.

Erzeuge einen Befehl mit reg.exe, um den Key "AllowUpgradesWithUnsupportedTPMOrCPU" mit dem Wert "dword:00000001" in den Registry-Hive "HKEY_LOCAL_MACHINE\SYSTEM\Setup\MoSetup" zu schreiben.​

Das Ergebnis war in beiden Fällen dasselbe.

reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\Setup\MoSetup" /v AllowUpgradesWithUnsupportedTPMOrCPU /t REG_DWORD /d 1 /f

ChatGPT liefert auch eine Erläuterung mit.

Erklärung:​

• reg.exe add: Fügt einen neuen Registrierungseintrag hinzu.
• "HKEY_LOCAL_MACHINE\SYSTEM\Setup\MoSetup": Der Pfad zum Ziel-Registry-Schlüssel.
• /v AllowUpgradesWithUnsupportedTPMOrCPU: Der Name des zu erstellenden Werts.
• /t REG_DWORD: Der Typ des Werts (in diesem Fall DWORD).
• /d 1: Der Wert, der gespeichert werden soll (entspricht dword:00000001).
• /f: Erzwingt das Überschreiben eines vorhandenen Werts ohne Bestätigungsaufforderung.

Dieser Befehl muss in einer erhöhten (Administrator-)Eingabeaufforderung ausgeführt werden.​

Sieht für mich auf den ersten Blick korrekt aus, aber natürlich sollte man es auch noch einmal selbst gegenprüfen.