Microsoft wird ab dem 8. April 2026 ein App-Update für Windows Sicherheit bereitstellen. Damit verbunden wird dann unter Windows Sicherheit -> Gerätesicherheit -> Sicherer Start angezeigt, wie der Status für die neuen Boot-Zertifikate ist. Wie wir wissen, werden die alten Zertifikate ersetzt.
Microsoft betont, dass diese Variante vorrangig für die Heimnutzer (Home / Pro) ist. Ist das App Update installiert wird in der Windows Sicherheits App dann angezeigt, ob der Wechsel des Zertifikats schon erledigt ist, oder nicht. Dann werden drei verschiedene Anzeigen zu sehen sein.
- Ein grüner Haken, sagt aus, dass alles in Ordnung ist und man sich nicht kümmern muss
- Ein gelbes Ausrufezeichen besagt, dass der Rechner noch mit dem alten Zertifikat läuft, aber ein Update über Windows Update angewendet werden kann. Ab Mai 2026 kann hier dann ein zusätzlicher Text erscheinen.
- Ein rotes Kreuz besagt, dass ein Sicherheitsupdate zwar bereitsteht, aber nicht angewendet werden kann. „Dieser Zustand tritt erst auf, nachdem eine Sicherheitslücke entdeckt wurde, die den Startvorgang beeinträchtigt, und kann auf Geräten, die die aktualisierten Zertifikate noch nicht erhalten haben, nicht behoben werden. Dies könnte bereits im Juni 2026 der Fall sein, wenn einige der aktuellen Secure-Boot-Zertifikate ablaufen. In diesem Fall ändert sich das Secure-Boot-Symbol zu einem roten Stopp-Symbol.“
Bei den Heim-Geräten (Home / Pro) wird dieser Zustand automatisch angezeigt. Bei verwalteten Firmengeräten muss dies von den Administratoren erst aktiviert werden.
Wie man im Bild sehen kann, ist es möglich, die Anzeige auszublenden. Das wird aber nicht empfohlen. Microsoft gibt auch noch auf ein paar Fragen Antworten. Wichtig ist wohl:
- Muss ich etwas unternehmen? „In den meisten Fällen sind keine Maßnahmen erforderlich. Das Update für das Secure-Boot-Zertifikat wird automatisch über Windows Update auf Privatanwender-PCs und einigen Unternehmensgeräten bereitgestellt. Stellen Sie sicher, dass Ihr Gerät mit dem Internet verbunden ist und die neuesten Updates installiert sind. Wenn die Windows-Sicherheits-App für „Secure Boot“ ein grünes Häkchen anzeigt, sind keine Maßnahmen erforderlich.“
- Warum wird ein gelbes Ausrufezeichen angezeigt? Ein gelbes Symbol bei „Secure Boot“ bedeutet, dass bei Ihrem Gerät ein behebbares Problem vorliegt, beispielsweise eine Hardware- oder Firmware-Einschränkung, die die automatische Zertifikatsaktualisierung verhindert. Wenden Sie sich an den Hersteller Ihres Geräts, um Unterstützung zu erhalten.
- Warum wird ein rotes Symbol angezeigt? Ein rotes Symbol bei „Secure Boot“ weist darauf hin, dass eine Sicherheitslücke vorliegt, die bei der aktuellen Startkonfiguration Ihres Geräts nicht behoben werden kann. Hier gibt es dann weitere Anleitungen
- Was passiert, wenn mein Gerät keine neuen Zertifikate erhält? Ihr Gerät wird noch eine Zeit lang normal funktionieren. Sobald jedoch die aktuellen Secure-Boot-Zertifikate ablaufen, kann es sein, dass Ihr Gerät nach und nach keine Sicherheitsupdates mehr erhält, die den Windows-Startvorgang schützen (Anmerkung: Es geht nicht um die monatlichen Windows Sicherheitsupdates). Dies kann auch zu Kompatibilitätsproblemen führen, da neuere Betriebssysteme, Firmware, Hardware oder Secure-Boot-abhängige Software möglicherweise nicht mehr geladen werden können. Die Windows-Sicherheits-App wird Sie durch die nächsten Schritte führen.
Also: Am 8. April wird dann die App aktualisiert. Im Mai werden diese Anzeigen dann noch verfeinert. Und am 14. April kommen dann mit dem Sicherheitsupdate April weitere Änderungen für die Zertifikate mit. Es ist also noch kein Grund, in Panik zu verfallen.
[Update]: In einigen Insider Versionen (hier die Canary 295xx) wird der neue Text schon vorab angezeigt. Auch die Retail-Versionen erhalten schon den Text. Zum Patchday am 14.04. werden dann weitere Geräte hinzukommen.
„Sicherer Start ist aktiviert, aber Ihr Gerät verwendet eine ältere Startvertrauenskonfiguration, die aktualisiert werden soll. Es sind noch
nicht genügend Daten vorhanden, um Ihr Gerät für ein automatisches Update zu klassifizieren. Weitere Informationen finden Sie unter dem nachstehenden Link.“
Oder „Der sichere Start ist aktiviert, und alle erforderlichen Zertifikatupdates wurden angewendet. Es sind keine weiteren Zertifikatänderungen erforderlich.“
Schaut einfach mal unter Gerätesicherheit nach.
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 25H2 26200. Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 auch ohne TPM und Secure Boot installieren.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
Und wie wird *das angezeigt?
*Secure Boot is on, and you’ve updated everything manually.
Bestimmt nicht nur so ✅ sondern so ✅👍
Immerhin kümmert sich Microsoft darum (ok, müssen sie ja eigentlich auch).
Dennoch wäre für den absoluten Notfall auch eine Anleitung sinnvoll, die erklärt, wie man
die neuen Zertifikate und Datenbank-Updates direkt ins BIOS schreibt.
Auch das wäre ja möglich, denn es gibt dort Optionen wie „Neuen Schlüssel laden“ o.ä.
Moin Maik
vielleicht hilf dir das weiter.
https://www.windowspro.de/wolfgang-sommergut/uefi-zertifikate-fuer-secure-boot-installieren-erfolg-ueberpruefen-fehler
Gruß Grobu847
btw:
Dort steht:
Sperre der alten Zertifikate ist irreversibel…
Um diese Bedrohung zu beseitigen, müssen nicht nur die neuen Zertifikate installiert, sondern die alten zusätzlich gesperrt werden. Da diese Aktion unwiderruflich ist…
Das ist nicht so, es kommt immer auf die Hardware an, ich kann im Bios mit zwei Mausklicks an den richtigen Stellen alles löschen und dann mit einem Mausklick alles wieder auf 2011 stellen und nach zwei Neustarts jede alte Version der 25H2 installieren, oder jedes andere OS.
#Benny
My friend, you forgot to mention that after each of these mouse clicks in the BIOS/UEFI, a random number is also generated and requested, which you have to confirm; keep in mind we have the same hardware.
Moin,
Danke für den Link.
An sich sehr interessant, aber das meinte ich nicht.
Ich meinte, dass man ins BIOS bootet, sich durch (vermutlich) viele Fenster hangelt, bis man
zur Schlüsselverwaltung kommt und dort die neuen 2023-Keys und Datenbankeinträge,
die vermutlich aus mehreren Dateien bestehen, einfügt.
Ich meine nicht irgendwelche wilden Registry- und Task-Aktionen unter Windows.
Zuerst wäre es wohl nötig, genau zu wissen, welche Dateien nötig sind und wo man diese downloaden kann.
Ich habe mal gelesen, dass diese neuen Zertifikate auch unter GitHub verfügbar sein sollen,
aber in diesen GitHub-Seiten steige ich nicht durch.
Gruß, Maik
Du meinst sicherlich den Link?
https://www.deskmodder.de/blog/2026/03/24/windows-secure-boot-zertifikate-laufen-2026-ab-alte-zertifikate-werden-ersetzt/#comment-326270
Die Check… Dateien zeigen dir dann an, wie dein Status ist.
Danke, aber wie gesagt: Ich steige bei diesen GitHub-Seiten nicht durch.
Wenn, so wie hier schon beschrieben, wird wohl erst einmal aufgezeigt werden müssen, was für Daten ins (UEFI-)Bios geschrieben werden müssen und wo man diese nun dann genau herbekommt.
Damit meine ich, dass man ins BIOS bootet und dort per Hand die nötigen Dateien einfügt.
Ich rede hier nicht um wilde Windows-Anweisungen in der Registry oder Task-Anweisungen.
Es geht mir auch nicht um diese „(Check-)cmd-Abfragen“.
Theoretisch macht das dein Mainboardanbieter durch ein BIOS Update, wenn es für das Board noch welche gibt. Ansonsten übernimmt bei manchen Modellen das auch soagr MS mit einem WindowsUpdate und spielt die Zertifikate in den Zertifikatsspeicher vom BIOS.
Normallerweise (wenn der Rechner jünger als 10 Jahre ist) sollte eins von beiden auf jedenfall durchgeführt werden. Daher braucht man sich nicht viele Gedanken machen.
Falls es doch soweit kommt, dass keines der beiden Sachen gemacht wurde und die zertifikate im BIOS fehlen, kann man SecureBoot deaktivieren, dann startet Windows ganz normal und man kann dann danach suchen, wie man die Zertifikate im BIOS manuell aktulisieren kann.
Falls dein Board Win11 tauglich ist, sollte es keine Probleme geben, dass die sachen automatisch/von alleine laufen und aktulisiert wirden.
@florian: Ich habe einen fast sechs Jahren alten Acer Gaming Laptop: Nitro AN517-52 und laut dem telefonischen Support von Acer wird es kein UEFI Update für die neuen Boot-Zertifikate geben. Auch ein Windows Update wird es laut Acer nicht geben!
Und? Dann stelle Secure Boot aus und werde glücklich damit.
Secure Boot bringt für den Privat-Anwender so gut wie keinen Sicherheitsgewinn.
Mein Board ist so um die 3 -4 Jahre alt und ASUS stellt tatsächlich noch BIOS-Updates zur Verfügung.
Das Aktuelle ist vom 3.2.2026.
In den Beschreibungen steht aber nicht, dass dort neue Secure-Boot-Zertifikate enthalten sind.
Mir geht es darum, dass man im absoluten Notfall ins BIOS bootet, sich durch (vermutlich) viele Fenster hangelt, bis man zur Schlüsselverwaltung kommt, und dort die neuen 2023-Keys (PK/KEK/DB/DBX) per Hand einfügt.
Hier mal ein Link zur BIOS-Update-Liste von ASUS:
https://rog.asus.com/de/motherboards/rog-strix/rog-strix-b550-a-gaming-model/helpdesk_bios/
Durch das Thema kämpfe ich seit Wochen mit dem Booten bei der Datensicherung mittels Clonezilla – Live auf einem bootbaren USB-Stick (Rufus). Inzwischen muss ich für jeden meiner 3 W11-PC, den 2 W10-PC und für das 15 Jahre alte COSF-Notebook (Fujitsu E782) einen separaten Bootstick verwenden, sonst scheitert der Bootvorgang mit einer Fehlermeldung. Die Auswahl des Bootmediums mittels F-Taste ist ja auch schon lange nicht mehr möglich. So muss ich jedes mal vorher mittels F2 ins BIOS und dort manuell den USB-Bootstick an die erste Stelle rücken.
Datensicherung mache ich wöchentlich, monatlich und quartalsweise. Es gibt also für jeden der 5 PC satte 5 externe Sicherungsmedien. Bei mir werden als Datensicherung Image von Datenträgern und/oder Partitionen erstellt. An diesem PC29 dauert die quartalsweise DS satte 7 Stunden.
Ein eindeutiges Layer-8-Problem. Man kennts.
Na dann erkläre doch mal, welche Einstellungen wo notwendig sind, damit ich an allen Geräten ohne Probleme den identischen USB-Stick verwenden kann. Aber bitte Einstellungen, die 1. nicht die Sicherheit beeinträchtigen und 2. die Tatsache berücksichtigen, das 4 der Geräte eine Multibootumgebung mit 4 verschiedenen Betriebssystemen haben (PC22 z.B. W10P, W7P, LM, COSF).
Wiso hat man 5 PCs????
Hier stehen nicht nur 5, sondern 29. Nicht zum Spielen, sondern zum Arbeiten und um Geld verdienen. Und einige PC stehen hier auch aus Nostalgie, natürlich voll funktionstüchtig. Einige der PC sind öfters nicht hier, weil sie gegen Gebühr ausgeliehen sind. Um z.B. hochwertige teure langlebige Maschinen zu steuern, die zum Teil 32 Jahre alt sind. Aber diesen Blick über „den Tellerrand“ haben leider immer weniger Mitbürger.
Würde das Problem umgehen, ständig bei allen 29 PCs ins BIOS zu müssen
Bootmanager von HDD – SSD – NVME?
Clonezilla (PE) in das Boot Menu einbinden?
Clonezilla Live ISO – EasyBCD – Bootloader
Das wäre hier sehr eine interessante Frage.
Da es mit Macrium und Aomei Backupper im Alltag ja auch geht.
Der Ordner boot auf c: beinhaltet hier z.B die Dateien zum Booten in eine „PE Umgebung“.
(UEFI benötigt spezielle GRUB-Konfigurationen).
Alternative Stable Version (basierend auf Ubuntu) von Clonezilla zu verwenden,
da diese meist besser mit moderner Hardware umgehen kann.
@Aber bitte Einstellungen, die 1. nicht die Sicherheit beeinträchtigen
und 2. die Tatsache berücksichtigen, das 4 der Geräte eine Multibootumgebung mit 4 verschiedenen Betriebssystemen haben (PC22 z.B. W10P, W7P, LM, COSF).
Bernd:
Genau das nervt ihn ja schon Jahrelang….
Backup machen „in eigener Umgebung“
Zitat: Der Weg ist das Ziel
Secure Boot abstellen. Vom USB-Stick booten – sollte egal sein, von welchem. Backup machen. Secure Boot wieder anstellen.
Sorry, falsch getatscht. Sollte eine Antwort zu DAU123 sein.
Muss ich wegen der neuen Zertifikate ein neues Bootmedium (USB-Stick) für meine Backup-Software (Aomei Backupper) erstellen?
Das ist doch aber Murks – diese Aussage
„Sicherer Start ist aktiviert, aber Ihr Gerät verwendet eine ältere Startvertrauenskonfiguration, die aktualisiert werden soll. Es sind noch
nicht genügend Daten vorhanden, um Ihr Gerät für ein automatisches Update zu klassifizieren. …“
Es wird grün angezeigt, aber theoretisch kann es dann doch passieren, dass ein automatisches Update nicht möglich ist, oder?
Übrigens, das ist teileweise der gleiche Text, der schon jetzt in der Fehlermeldung im Event Viewer steht.
Also an sich nichts neues, wird halt nur zusätzlich woanders angezeigt.
Sicherlich holt sich Windows Sicherheit den Text auch von dort.
Geht jetzt ja auch primär darum, dass Microsoft es schon vor dem 8.04. in den Insidern testet.
Für den Normalmenschen ist die Ereignisanzeige wohl etwas das er nie im Leben zu Gesicht bekommen wird.
Ok, andererseits könnte man auch argumentieren, dass das gleiche für die Windows-Sicherheit, und die Kenntnis was überhaupt Secure Boot ist, gilt.
Daher bin ich ja auch immer dafür, heutzutage komplizierte Sachverhalte möglichst einfach und kurz zu vermitteln. Insbesondere in einer IT-Welt, die immer komplizierter und aufgeblasener wird.
Schon, bin bei dir, aber die Beschreibung zu dem Text ist
„Your device might need additional validation before the update can proceed automatically. Visit aka.ms/getsecureboot for more information.“
Ich glaube kaum, dass normalsterbliche es verstehen
Mein Punkt ist – der grüne Hacken suggeriert, dass alles OK ist, was nicht der Wahrheit entspricht.
Angenommen man nutz das Windows 10 weitere ohne die erweiterten Updates bis Oktober 2026. Gibt es da ab Juni ernsthafte Probleme?
Das gleiche was für Windows 11 gilt, gilt auch für Windows 10. Aber warum sollte man die Updates nicht einspielen?
gepostet mit der Deskmodder.de-App für Android
Nimmt mich nur wunder, es gibt sicher viele die Win 10 weiternutzen und nichts von EOL und den erweiterten Updates wissen und dann eines Tages die Kiste nicht mehr aufstartet
Hast auch wieder recht
gepostet mit der Deskmodder.de-App für Android
Laut den Fragestellungen in diversen Foren gibt es auch noch immer hunderttausende Win7-Nutzer. Bitte warum sollen die Win10 PC nach dem Ende des erweiterten Microsoft-Support nicht mehr starten ? Mein ASUS P5E mit dem E8400 drauf und mein Asrock Z77Pro4 mit dem iCore 7 Gen 3 werden bestimmt weiterhin auch das WIN10 hoch fahren.
>> Bitte warum sollen die Win10 PC nach dem Ende des erweiterten Microsoft-Support nicht mehr starten?
Weil ggf. das Zertifikat, aufgrund dessen entschieden wird, ob der betreffende Bootloader starten darf, nicht mehr gültig ist und wegen des fehlenden Supports eben auch nicht mehr von Microsoft ersetzt wird.
Hier gibt es aber (seitens Microsoft, glaube ich) die Aussage, dass der Start von bestehenden Systemen ohnehin nicht betroffen ist, sondern „nur“ keine neuen Bootloader mehr installiert werden können. Ich stecke zu wenig in der Materie drin, um beurteilen zu können, was genau denn nun gilt.
Bei alten Systemen aus der Vor-Secure-Boot-Zeit (ich habe auch noch so eins) betrifft Dich das Ganze ohnehin nicht.
Ergänzung:
<quote>
Was passiert, wenn das aktuelle Secure-Boot-Zertifikat abläuft?
Der Computer kann weiterhin gestartet werden. Mit einem abgelaufenen Zertifikat erhält der Computer jedoch keine zukünftigen Updates für den Bootloader oder Secure Boot.
</quote>
Von https://www.dell.com/support/kbdoc/de-de/000390990/h%C3%A4ufig-gestellte-fragen-zur-umstellung-auf-secure-boot
Steht alles oben im Text.
In gewohnt grottiger automatischer Microsoft-Übersetzung
Es ist aber ja auch tatsächlich schwer nachzuvollziehen.
* Wenn das KEK-Zertifikat abläuft, kann ich nichts mehr an der DB ändern und deswegen Bootloader, die mit einem neueren Zertifikat signiert sind, nicht ausführen. Soweit klar.
* Gleichzeitig läuft ja aber auch ein DB-Zertifikat ab. Wieso kann ich dann vorhandene, mit dem abgelaufenen Zertifikat signierte Bootloader weiterhin ausführen?
Ich bin anscheinend nicht der einzige, der das nicht versteht…
Und wann wird sie optisch an Windows 11 angepasst? Darauf warte ich nun schon ein paar Jahre…
Zum Beispiel fehlt noch immer der Blur Effekt und die Kacheln auf der Startseite sind noch immer im Windows 10 Look.
Geduld. Sowas dauert halt heutzutage ewig. 😉
Die work-life Balance… du verstehst sicher… schließlich brauchen die auch noch genügend Zeit für sowas hier: https://www.youtube.com/watch?v=fSKBHOWOcSM
Also dann mit Windows 15 nochmal nachfragen… Okay.
Irgendwann wird’s sicher kommen, aber, „Gut Ding will Weile haben“. *schnarch*
Microsoft hat ja Besserung gelobt und einen Kurswechsel eingeleitet.
Hoffentlich kommt davon schneller was an als bei den Preissenkungen für den Sprit.
Ist ein anderes Thema, aber… Preissenkungen beim Sprit könnte man sofort haben. CO²-Steuer aussetzen oder abschaffen, und schon ist der Sprit fast wieder auf dem Niveau wie vorher. Vielleicht bei der Energiesteuer noch etwas runter, und dann ist man auf dem Niveau wie vorher.
Will aber unser bankrotter Staat nicht, denn, dann wäre ja eine der größten Einnahmequellen was den Verbraucher angeht, weg gefallen. Dann lieber ein Gesetz schaffen, das nur noch ein mal pro Tag eine Erhöhung der Preis erlaubt, so dass die Tankstellen den Preis noch höher ansetzen. 😉
Logik in der BRD (Bananenrepublik Deutschland) im Jahre 2026.
Wir driften ab.
Schauen wir mal was in Windows kommt und vor allem wann.
Ich habe die 26300.8142 Dev. Bei mir ist der Eintrag noch nicht vorhanden.
gepostet mit der Deskmodder.de-App
Hier mal ein paar Links zu PRGs zum überprügen des Keys Standes.
https://github.com/cjee21/Check-UEFISecureBootVariables/archive/refs/heads/main.zip
Stand 27.03.2026
Wer basteln möchte. Bei mir hat es funktioniert.
Mein letztes Bios ist von 2018.Neue werde ich nicht mehr bekommen.
Die Keys sind nicht fest im Bios installiert nur temporär.
Also Bios nicht zurücksetzen.
https://drive.google.com/file/d/1D96InwWCB2YkHXeOWuuSquhOLtm81kSu/view?usp=drive_link
https://www.windowspro.de/wolfgang-sommergut/uefi-zertifikate-fuer-secure-boot-installieren-erfolg-ueberpruefen-fehler
https://hitco.at/blog/uefi-secureboot-db-update-installieren/
Gerold
Hier nochmal der normale Link zur GitHub Seite.
https://github.com/cjee21/Check-UEFISecureBootVariables/
Translator
Check-UEFISecureBootVariables
PowerShell-Skripte zur Überprüfung der UEFI-KEK-, DB- und DBX-Secure-Boot-Variablen sowie Skripte für andere Secure-Boot-bezogene Elemente.
Wichtig
Die DBX-Prüfung Check UEFI PK, KEK, DB and DBXist von der UEFI-Architektur abhängig. Das Skript versucht, die installierte Windows-Architektur zu erkennen und geht davon aus, dass die UEFI-Architektur übereinstimmt (dies sollte auf offiziell unterstützten Systemen der Fall sein [*] ). Ist dies nicht der Fall oder schlägt die Erkennung fehl, sind die Ergebnisse der DBX-Prüfung ungültig.
Warnung
Das Deaktivieren von Secure Boot sollte vermieden werden. Wenn Windows bei deaktiviertem Secure Boot gestartet wird, werden alle Secure-Boot- und UEFI-bezogenen Konfigurationen zurückgesetzt [*] . Dies kann das Löschen von UEFI-Variablen für den LSA-Schutz [*] , SkuSiPolicy.p7b [*] und SBAT [*] beinhalten , die anschließend erneut konfiguriert bzw. aktualisiert werden müssen.
Gerold
Diskussion laufen hier dazu:
Windows Secure Boot-Zertifikate
https://www.deskmodder.de/phpBB3/viewtopic.php?t=33352&start=45
und
https://www.deskmodder.de/blog/2024/02/14/kb5036210-bereitstellung-des-windows-uefi-ca-2023-zertifikats-ab-13-februar-2024/
PowerShell
ernstgemeinte Frage: wie haben wir ein Leben ohne Secure Boot überstanden?
ich habe für lange Jahre Secure Boot deaktiviert (bei Endgeräten, die nicht von der Stange sind, Mainboard und so, ist Secure Boot m. M. n. von vornherein nicht aktiv, erst muss Custom aktiviert werden, dann geht man auf Standard) und mir ist nie was passiert.
Mittlerweile ist es aber so, dass manche Spiele SecureBoot verlangen… und es werden wahrscheinlich immer mehr – vor allem wegen AntiCheat.
>Mittlerweile ist es aber so, dass manche Spiele SecureBoot verlangen… und es werden wahrscheinlich immer mehr – vor allem wegen AntiCheat.
Dann steckt man sie dort hin, wo die Sonne nie hin scheint…
Wir haben sogar Onlinebanking mit mobileTAN überstanden.
Wird halt alles hysterischer. Und alles muss wie Fort Knox abgesichert sein, wegen Leuten, für die password12345 ein sicheres Passwort ist, und die sich beim Onlinebanking im Internetcafé nicht ausloggen.
Was muss da genau für ein Update installiert werden?
Bei mir kommt keine Anzeige, Windows Update behauptet auf den neuesten Stand zu sein und niergends ist zu finden ab welcher Versionsnummer das mit dabei ist. Die Windows Sicherheits App steht derzeit bei Anwendungsversion 1000.29554.0.1001, sowie auch der Dienst und der Antimalware-Client auf 4.18.26020.6 (wobei ich nicht glaube das der relavant dafür sein wird)
Die Versionen hab ich auch. Bei mir hat sich das jetzt geändert. Wird wohl wieder in Wellen verteilt. Denn es heißt ja ab 8.04.
Bekomme die Meldung „Sicherer Start ist aktiviert, aber Ihr Gerät verwendet eine ältere Startvertrauenskonfiguration, die aktualisiert werden soll. Es sind noch
nicht genügend Daten vorhanden, um Ihr Gerät für ein automatisches Update zu klassifizieren. Weitere Informationen finden Sie unter dem nachstehenden Link.“ angezeigt.
Bedeutet das nun, dass die Secure Boot Zertifikate veraltet sind? Der Test über die Powershell gibt aus, dass ich die neuen Zertifikate bereits hätte, wenn ich da nichts falsch gemacht habe.
Dann bist du noch in der Phase der Überprüfung. Wird also alles noch kommen
Ok, danke dir.
Könnte aber auch sein, dass dein BIOS noch nicht aktuell ist. Das braucht ja die Zertifikate auch – kuck mal ob dein Hersteller ein aktuelles Update zu Verfügung stellt.
Falls du ein Gigabyte, oder ASUS Board hast, da könnte sein dass es da auch noch keine Zertifikatsupdate gibt, weil die haben es wohl verschlafen und bereiten die BIOS Updates jetzt erst vor.
Laut Support von Gigabyte, gehen die ersten Updates jetzt erst in die Testphase bevor das BIOS Update dann in 6-10 Wochen zur Verfügung gestellt wird – zumindest bei meinem Board (X870 AORUS ELITE WIFI7) 🙈
Wird auch ein mitgrund sein, warum MS zurück rudert und die alten Zertifikate vorerst nicht auf die Sperrliste im Oktober setzen – hab ich gelesen
Ist in der Tat ein ASUS-Board. Das letzte BIOS-Update ist nicht so lange her. Ich werde mal beobachten, ob es was Neues geben wird.
Kannst auch mal unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicingnachschauen., Ist mittlerweile sehr ausführlich geworden, was da eingetragen wird. Eventuell kanst Du daraus ersehen, was dem noch fehlt.Also unter „Confidence Level“ steht „Under Observation – more data needed“, und unter „UEFICA2023Status“ steht „NotStarted“.
Das aber nicht viel. Keine Ahnung, warum das so ist. Bei mir auf dem Tablet steht drin, das es Probleme mit dem KEK-Update gibt, wegen „Unbekannter Firmware“ und das das Ganze noch „Unter Beobachtung“ steht. Das kann ich dann zuordnen. Der Rest einschließlich Bootmanager wurde aktualisiert. In der Windows-Sicherheit steht aber dieselbe Meldung, wie bei Dir auch.
Google Gemini sagt folgendes wenn ich nach „Confidence Level – Under observation, more data needed“ frage:
Ich frage mich, ob die tatsächlich diese Sachen checken. Bei der Menge an verschiedenen Hardwarekonfigurationen kommt mir das wie ein ziemlich unmöglich zu stemmender Akt vor…
Interessant. Nach dem heutigen Sicherheitsupdate (KB5083769) steht jetzt in der Windows-Sicherheit „Der sichere Start ist aktiviert, und alle erforderlichen Zertifikatupdates wurden angewendet. Es sind keine weiteren Zertifikatänderungen erforderlich.“
Der von dir genannte Registrierungsschlüssel sagt jetzt auch „UEFICA2023Status“ – „Updated“. Der Rest der Schlüssel sieht aus wie auf meinen anderen Computern, bei denen ebenfalls alles OK ist, was die aktualisierten Zertifikate anbelangt. Naja, auf dem Desktop-PC sind es ein paar Schlüssel weniger.
Ich wollte mich mal bei Moinmoin hier mal ein großes Dankeschön aussprechen mit was für eine Engelsgeduld er das immer wieder durchkaut für alle. Vielen Lieben Dank auch an das ganze Team von Deskmodder ihr seit die besten
Die Installation des MS Regkeys erweitert die Information um den Secure Boot in der Systemsteuerung => Datenschutz und Sicherheit => Windows Sicherheit => Gerätesicherheit
———–
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Security Center\Device security]
„HideSecureBootStates“=dword:00000000
———–
Wie man mit Registrierungsdaten und -änderungen umgeht, sollte hier klar sein.
Anwendung ohne Gewähr.
Quelle: https://support.microsoft.com/de-de/topic/it-administratorleitfaden-zertifikataktualisierung-f%C3%BCr-den-sicheren-start-status-in-der-windows-sicherheit-app-fb8e2121-4402-433b-af8b-623760951fdb