Die alten Windows Secure Boot-Zertifikate, die im Juni bzw. Oktober 2026 ablaufen, bereiten einigen doch Kopfschmerzen. Eigentlich muss man sich um nichts kümmern, da der Wechsel von UEFI CA 2011 auf UEFI CA 2023 und weitere automatisch über Windows Update abläuft.
Mit den Skripten, die auf GitHub zum Prüfen angeboten werden, kommt nicht jeder klar. Daher hat Inekai ein kleines Tool mit einer grafischen Oberfläche erstellt. Er hatte mir vorhin eine Mail geschickt und mir das Tool Sioni Secure Boot Zertifikat-Prüfer vorgestellt, bzw. vorgeschlagen.
Wie man im Bild sehen kann, ist es wirklich gelungen. Das kleine portable Tool SecureBootCertChecker.exe muss nur mit Administrator-Rechten gestartet werden. Danach werden dann der Status abgerufen. Wer neugierig sein sollte, kann über „Befehle anzeigen“ auch den Ablauf des Checks nachverfolgen.
Bei meinem Test war alles ok. Daher konnte ich den Button “ Installation anstoßen“ nicht ausprobieren. Aber ich gehe mal davon aus, dass auch dieses funktioniert. Wer es einmal ausprobieren möchte:
- Immer die aktuelle Version dropbox.com (Oben in der Menüleiste das Zeichen für Herunterladen anklicken)
- Version 2.8 bei uns: SecureBootCertChecker.zip (Mit Anregungen aus unseren Kommentaren)
Für HP Elitedesk/Prodesk G4 hat Markus bei uns im Forum eine spezielle Anleitung gepostet. Vielleicht hilft sie euch.
Auch interessant:
https://ibb.co/FbHRfZ2m
jaaa alles oki
@moinmoin
Bei mir sieht das Ergebnis eins zu eins gleich aus wie bei dir. Somit alles bestens.
Wie es auch mit den Scripts ausgegeben wird:
https://github.com/cjee21/Check-UEFISecureBootVariables
PS: Gibt es das Tool auch in englischer Sprache?
Alles Bestens
und richtig gut, das Tool, so kann man es einfach mit verschiednen Rechnern testen.
Vielen Dank
Der o.g. Sini SecureBootCertChecker zeigt durchwegs o.K. an:
Allerdings sind laut Windows Gerätesicherheit die Zertifikate der Startvertrauenskonfiguration veraltet und müssten erneuert werden…..
Evlt. wird die App ja noch erweitert…
Das Tool zeigt leider nur an, ob alles da/vorhanden ist.
Leider abe rnicht, ob es schon angewendet wird (Startvertrauenskonfiguration“. Das wiederum sagt die das Windows Gerätesicherheit. Also kann man hoffen, dass das Tool noch erweitert wird – das wäre dann eigentlich besser/genauer. Weil jetzt ist nicht erkennbar ob es der Rechner auch schon verwendet.
Aber eigentlich sieht man das ja in Naher Zukunft in der Geräte-Sicherheit
(https://support.microsoft.com/de-de/topic/zertifikatupdate-f%C3%BCr-den-sicheren-start-status-in-der-windows-sicherheit-app-5ce39986-7dd2-4852-8c21-ef30dd04f046) , weil MS es ja einpflegt, dass ienem das dann dort genauer angezeigt wird, auch an was es happert, wenn etwas nicht korrekt ist.
Richtig, deshalb habe ich jetzt spontan die brachiale 💪 Methode verwendet:
Habe jetzt im ASUS UEFI das ganze etwas 🫏“angestoßen“ und die Zertifikate:
KEK: Schlüsselregistrierungsschlüssel
CA: Zertifizierungsstelle
DB: Signaturdatenbank für sicheren Start
DBX: Datenbank für widerrufene Signaturen für den sicheren Start
gelöscht. Nach einem Neustart im ASUS UEFI die Zertifikate neu installiert
und jetzt wurden sofort auch laut Windows Gerätesicherheit alle erforderlichen
Zertifkatsupdates installiert & angewendet und deshalb: passt scho…. bis ca. 2040 🥳💃🏼
Sieht also so aus, dass ich es auch so machen müsste, nach dem BIOS Update.
Also, so in etwa:
1. BIOS/UEFI aktualisieren.
2. im BIOS Zertifikate löschen.
3. Reboot.
4. im BIOS SecureBoot neu einrichten.
Oder wo hast Du die ganzen Zertifikate gelöscht?
Löschen braucht man da nichts. Einfach den Update Prozess noch einmal anstoßen. Was fehlt, wird dann installiert, sofern keine Gründe vorliegen, es nicht zu machen.
Im Bios updaten ??
Bei mir wird alles OK angezeigt, also auch nichts zu tun, wie bei dem Check-UEFISecureBootVariables Tool – welches ich persönlich besser finde, da OSS.
ABER – unter Device Security bei Secure Boot steht bei mir ein grüner Hacken, mit dem Text „Secure Boot is on, but your device is using an older boot trust configuration that should be updated. There is not yet enough data to classify your device for automatic update. Visit the link below for more information.“
MS schreibt selbst dazu – „Your device might need additional validation before the update can proceed automatically. Visit aka.ms/getsecureboot for more information.“ Was auch immer das genau bedeuten soll.
Was ist also jetzt der Fall? Wer hat jetzt recht?
Ich gehe davon aus, dass das BIOS doch noch aktualisiert werden muss und ich glaube nicht, dass es ueber Windows Update passiert.
Dazu kommt, dass für mein Board MSI erst vor ein paar Tagen ein Update rausgebraucht hat, welches ich noch nicht installiert habe (Version 7C70v1F1: Update Secure Boot Key) – https://www.msi.com/Motherboard/MEG-Z490-GODLIKE/support#bios
Windows 25H2 OS Build 26200.8246
Bei mir wird ebenfalls alles grün angezeigt (auf allen drei Systemen). Ebenfalls mit den
Check-UEFISecureBootVariables-Skripts.
Allerdings steht bei mir in „Device security“ derzeit auch noch „Secure Boot is on, but your device is using an older boot trust configuration that should be updated. There is not yet enough data to classify your device for automatic update. Visit the link below for more information: https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e
Neustes BIOS habe ich eingespielt. Denke und hoffe, dies wird in nächster Zeit automatisch in Windows umgestellt werden.
Hast Du mal „Check Windows state.cmd“ ausgeführt (aus dem UEFISecureBootVariables-Tool)? Ich vermute mal, dass der Bootmanager noch nicht aktualisiert wurde oder SVN noch bei 7.0 ist.
Und wenn ja, was dann?
Wenn sogar nach dem Einspielen vom neuen BIOS nicht wirklich komplett hilft, wie man bei gur_helios sieht, was muss man dann tun? Vielleicht SecureBoot in BIOS zurücksetzen?
Dann hat aus irgendeinem Grund der Updater bei Dir entschieden, die Updates noch nicht komplett auszuführen, da Dein System eventuell noch nicht als „High Confidence“ angesehen wird. Eventuell steh tin der Registry dann, woran das liegen könnte.
HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\ServicingKann man natürlich auch manuell anstoßen und schaue, was dann passiert oder halt warten, bis der Updater das als sicher ansieht. Bei meinem Tablet z.B. weiß ich, dass der Updater nicht so richtig will, weil der Fehler „Firmware unknown“ auftritt. Das Gerät scheint nicht wirklich verbreitet zu sein oder ist derzeit kaum noch in Nutzung. Es kommen einfach nicht genügend Daten zusammen um zu ermitteln, ob ein Update gefahrlos ausführbar wäre.
Das Tool zeigt alles Grün an. Nur in der Registry steht unter HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing UEFICA2023Status NotStarted und auch unter Gerätesicherheit/Sicherer Start „sicherer Start ist aktiviert, aber Ihr Gerät verwendet eine ältere Startvertrauenskonfiguration, die aktualisiert werden soll. Es sind noch nicht genügenden Daten vorhanden, um Ihr Gerät für ein automatisches Update zu klassifizieren.“
Hätte von MS endlich gerne eine Anleitung dazu, damit man nicht im Juli mit heruntergelassenen Hosen da steht.
Das Tool oben macht das ja:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /fStart-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"Das sollte das (fast alles) aktuallisieren. Wenn in der Registry dann „UEFICA2023Status=Updated“ steht und sonst ekine Fehler vermerkt wurden, kann man noch DBX SVN aktualisieren:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /fStart-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"Muss man aber noch nicht zwingend. Auch das CA2011 muss man noch nicht zwingend widerrufen.
Du solltest den 25H2-Leuten auch erzählen das die erste Zeile „CMD as Administrator“ ist und
die zweite Zeile „Powershell als Administrator“ ist, nicht jeder hat „Terminal“ installiert und
unter System\Erweitert hat auch evtl. jeder andere Einstellungen für das „Terminal“, falls vorhanden.
Ja, stimmt. Da gebe ich Dir recht. Das vergesse ich da meistens, weil ich nur in Terminal oder Powershell unterwegs bin. Die CMD starte ich da nur noch selten. Aber beide Zeilen lassen sich aber auch in der Powershell mit Adminrechten ausführen (ohne Terminal).
Und wo wir bei meiner Vergesslichkeit sind. Ein Neustart zwischendurch habe ich da auch vergessen zu erwähnen.
So, war das jetzt alles oder habe ich da noch was vergessen?
Sorry.
Da gibt es auch noch 25H2-PC mit:
System\Optionale Features
Features
Legacy Console Host
installiert
wo sich dann auch noch einiges anders verhält
Ps. Ich warte noch immer auf den Tag wo alles in alles drei überall funktioniert, wird wohl nie erfolgen. Haha!
Wolte Microsoft nicht mal die CMD komplett entvernen?
Keine Angst, ist noch ne Zeit hin. Die wichtigsten Zertifikate laufen ja nicht im Juli aus, sondern im Oktober. Dabei ist es dann auch nicht so, dass es nicht mehr geht. Den erst nach dem Ablauf wenn MS sie als nicht mehr zulässig markiert, wird dein PC streiken. Das wird erst Anfang nächsten Jahres kommen. MS muss das zurückziehen der alten Zertifikate ja eh schon verschieben, weil Hersteller wie ASUS und Gigabyte jetzt erst ihre BIOS anfangen updates zur Verfügung zu stellen, weil sie es verschlafen haben. Gigabyte wird frühestens im August alle BIOS Updates für die Unterstützen Mainboards vollständig zur Verfügung haben. Auch ASUS braucht nach eigenen Angaben (Anfang März) noch bis zu einem halben Jahr.
Falls es doch soweit kommen sollte, kannst du den SecureBoot im BIOS vorübergehend auch einfach abschalten, dann strartet Windows wieder ganz normal – also noch keine Panik
hallo, Florian, also, ganz prinzipiell, wenn man das Secure Boot nicht aktiviert kann man nachts gut schlafen?
So ungefähr, ja. Die meisten die als Zweitsystem z.B. ein Linux haben, müssen es eh ausschalten.
Jedoch ist empfehlenswert SecureBoot aktiviert zu haben, vor allem weil:
– Schützt vor Boot‑ und Rootkits
Schadsoftware, die vor dem Betriebssystem startet, wird blockiert.
– Mehr Schutz bei Malware-Angriffen
Besonders wichtig bei verlorenen oder gestohlenen Geräten.
– Voraussetzung für moderne Sicherheit
Windows 11, BitLocker und andere Sicherheitsfunktionen arbeiten optimal damit.
– Unternehmensstandard
In Firmenumgebungen fast immer Pflicht, um im Firmennetz arbeiten zu können
Manche Spiele – wie Valorant oder Battlefield 6 – verlangen SecureBoot (und TPM 2.0). Und es werden in Zukunft sicherlich mehr.
Danke, ich wollte nur sicher gehen, weil wir ja in Zeiten leben in denen man tatsächlich davon ausgehen kann, dass MS einen vom eigenen Computer aussperren könnte, wenn man nicht folgsam ist….
Und wie sieht das bei Acer aus.
Acer Predator PO5-650 PC vom 21.11.24
Ja, sieht für mich alles prima aus, soweit ich dies beurteilen kann. SVN ist bei 8.0.
Hier ein Screenshot:
https://drive.proton.me/urls/E5081T54C0#MUDKgsRLNDKy
Was meinst du dazu?
Ja, wenn SVN 8 auch im UEFI eingetragen ist., dann bist Du aktuell, was das angeht. Hat natürlich dann auch den Nachteil, dass Du alle Bootsticks, auf denen eventuell noch CA2023 SVN 7 vorhanden ist, jetzt auch aktualisieren musst.
Danke dir!
Sämtliche Bootsticks, SSD-Sticks etc. habe ich bereits aktualisiert. Läuft alles soweit reibungsfrei.
Welches Board und BIOS Version genau?
Ich habe bei mir das neuste BIOS installiert (per USB Stick, Download von der Herstellerseite) und nach dem Neustart habe ich nichts weiter gemacht, aber in Device Security steht jetzt „Secure Boot is on and all required certificate updates have been applied. No further certificate changes are needed.“ – also ist jetzt alles OK
Bei mir wurde das mit einen Optionale Updates angeboten.Bei mir steht bei dem Tool auch Update anstossen.Acer Predator PO5-650 PC vom 21.11.24 .
Das Tool ist da leider wohl nicht Open Source, so da es etwas schwer zu sagen ist, was es genau macht. Aber so wie ich das sehe, überprüft es nur, ob das Zertifikat ‚Windows UEFI CA 2023‘ vorhanden ist und gut. Weiter scheint der nichts zu prüfen, auch nicht ob bei der Installation der Zertifikate Feler in der Registry hinterlegt wurden und über den Status der Installation der aller Komponenten überhaupt. Keine Informationen über DB, DBX, KEK, SVN und welcher Bootmanager verwendet wird. So ist das ein klein wenig mager das Ganze.
Nein, das Tool zeigt leider tatsächlich nur an ob alles benötigte in Windows vorhanden ist – mehr leider nicht.
Also nur weil alles grün ist, heißt leider nicht, dass es trotzdem passt oder aktuell schon angewendet wird.
Aber vielleicht wird es ja noch erweitert.
Derzeit kann man ja noch warten, weil MS ab April/Mai das ja in der Windows Gerätesicherheit einbaut und dann anzeigt, auch warum es nicht geht, wenn es probleme gibt, schön mit Ampel-Symbolen
https://support.microsoft.com/de-de/topic/zertifikatupdate-f%C3%BCr-den-sicheren-start-status-in-der-windows-sicherheit-app-5ce39986-7dd2-4852-8c21-ef30dd04f046
Das mit der „Windows Gerätesicherheit“ und der Ampel wurde bei mir schon Anfang April aktiviert. Das zeigt „Grün“ an. Aber wie auch immer. Um das Tool zu testen müsste ich mal alles in der VM mal rückgängig machen. So bin ich noch nicht davon überzeugt, dass das Tool mit „Alles Aktuell“ wirklich aussagt, dass wirklich alles aktuell ist.
Danke für die ganzen Tipps. An das habe ich gar nicht gedacht. Ich arbeite daran.
WoW, nettes schnelles und kleines Tool. Bei mir ist alles Okay.
Wenn ich bei Secure Boot auf „UEFI“ stelle, ist alles o.k….ABER: einige SSDs mit den aktuellen Builds starten dann kein Windows 11.
Schalte ich bei Secure Boot auf „Andere Betriebssysteme“ booten alle SSDs normal…ABER: das kleine TOOL zeigt Fehler an.
Kommt darauf an, wie die Systempartition auf den anderen SSDs aussieht. Die Option „Andere Betriebssysteme“ aktiviert nicht in jedem Fall Secureboot und kann auch CSM zur Unterstützung verwenden. Wenn die Option „UEFI“ aktiviert ist, muss die Systempartition den Standard entsprechen und bei Windows 11 25H2/26H1/Beta CA2023 SVN 8 verwenden. Ansonsten bootet das nicht. Falls das SVN-Update mit dem April-Update noch nicht in das UEFI geschrieben wurde, reicht auch noch SVN 7 aus.
Danke
26H2 startet auch normal, aber 29576 schaltet sofort ins BIOS wenn „UEFI“ eingeschaltet ist.
Ich habe das Tool jetzt nochmal um einige wichtige Abfragen aktualisiert. Danke für die Tipps hier in den Kommentaren. Das Tool hat vorher auch den Installationsprozess angestoßen, um die neuen Zertifikate zu installieren, aber jetzt sind die Abfragen etwas klarer und Windows-konform. Dropbox-Version ist aktuell – Jetzt die 2.2.
Oben auch aktualisiert.
Danke Chris.
So, jetzt die Frage eines PC-Deppen mit einem Vorkriegs-Computer und Rufus installiertem W11. Funktioniert das nur an offiziell W11 unterstützen PCs oder auch an alten Vögeln wie meinem…?
Screenshot bei https://ibb.co/RT63p6Zt
Wenn Secure Boot aktiviert ist, ist es egal ob PC alt oder neu
Dankeschön. Wie gesagt, bin PC-Depp mit Vorkriegsware Packard Bell, Mobo H61H2-AD v1.0 und Intel i5-2500s…
„Troubleshooting: If Secure Boot is listed as „Unsupported“ instead of „Off,“ your motherboard might not support it, or your BIOS needs an update“
Bzgl. des BIOS erhalte ich nirgends in der Welt „Unterstützung“ und P01-B2 von AMI soll der letzte Stand sein…
AI: Secure Boot must be „On“ (enabled) and active for the system to use certificates to verify the digital signature of the bootloader. If it is unsupported, the system is not verifying the signature of the OS, meaning the expiration of these certificates (starting June 2026) will not stop your computer from booting.
Muss mir also keine Sorgen machen…???
Sieht so aus, als ob Dein UEFI SecureBoot nicht unterstützt oder es ist deaktiviert bzw. Du bootest gar nicht im UEFI Modus. Jedenfalls scheint es die Variable DB nicht zu geben. Intel der 2. Generation ist auch schon ein klein wenig älter. Keine Ahnung, welche UEFI Revision da verwendet wurde, wenn überhaupt.
Und solange Microsoft nicht das Class 3+ erzwingt (UEFI mit aktivierten Secureboot) ist das alles egal. Noch bootet Windows mit oder ohne Secureboot.
Hallo
Bei mir auch alles Grün und Windowssicherheit sagt auch alles OK.
Was ich mich nun aber Frage; Bei mir ist SVN 7 und nicht 8
Ist das von belang oder egal?
Die SVN muss mit dem Bootmanager übereinstimmen. Solange Windows bootet, dann passt das noch zusammen. Ist im UEFI SVN 8 eingetragen, muss der Bootmanager auch SVN 8 haben, da ansonsten nicht mehr gebootet wird. Verwendet der Bootmanager SVN 8, im UEFI steht aber noch SVN 7, dann passt das auch noch. Nur umgekehrt wäre schlecht.
BINGO!!!
Habe probehalber sämtliche Secure Boot-Schlüssel im BIOS gelöscht (ansonsten keine weiteren Aktionen durchgeführt) und nun steht bei mir in „Device security“ endlich „Secure Boot is on and all required certificate updates have been applied. No further certificate changes are needed.“ (musste das System lediglich zweimal neu starten).
Ich habe fertig!
Kann man die Schlüssel einfach löschen?
Hatte sicherheitshalber eine Kopie der Schlüssel erstellt (ist anzuraten).
Und ja, hatte die Schlüssel lediglich gelöscht und keinerlei weitere Tätigkeiten vorgenommen (also die Schlüssel NICHT wieder geladen oder Ähnliches).
Zumindest bei mir hat dies ohne Probleme funktioniert.
Na das scheint ja viele zu interessieren.
Also bei mir ist fast alles grün.
Nur bei : Microsoft Option ROM UEFI CA 2023 ist ein rotes X
SVN ist 8.0
Frage ist nun ob das per MS Update kommt ??
Manuell ließ sich dieses Zertifikat nicht installieren, oder wurde nicht angenommen.
Habe gerade gesehen das das rote X bei Default ist. Bei Current ist ein grüner Hacken.
Danke für die vielen Anregungen. Was ich aber noch loswerden wollte: Bei uns sind viele Leute dabei, die mit Bios etc. nicht viel anfangen können, Senioren, die hin und wieder bei unserem Chaostreffen vorbeischauen etc. Ich wollte ein einfaches Tool machen, was schnell und zuverlässig prüft, ob die neuen Zertifikate schon installiert sind oder nicht und wenn nein, diese mit zwei Klicks installierbar machen. Spezialisten mag meine App nicht nerdig genug sein, bzw. zu wenig Informationen bereitstellen. Ich denke, ich habe jetzt einen guten Kompromiss gefunden. Ich selbst habe mir das Leben damit erleichtert, weil ich 1. faul bin und 2. recht viele Rechner bei mir, meiner Familie, Freunde etc. habe, die ich betreue
Ist halt kompliziert, weil das mehrere Schritte sind und nicht alles wird ausgeführt, wenn der Updater feststellt, dass die Voraussetzungen nicht passen (steht meistens in der Registry unter dem weiter oben genannten Schlüssel).
0x5944 (Update DB):
„Microsoft Corporation KEK 2K CA 2023“
„Windows UEFI CA 2023“
„Microsoft UEFI CA 2023“
„Microsoft Option ROM UEFI CA 2023“
„Bootmanager Update“
0x200:
„DBX SVN Update“
0x2:
„DBX Update“
0x80 (derzeit noch optional):
„Microsoft Corporation UEFI CA 2011“ widerrufen
Was allerdings davon ausgeführt wird, hängt von mehreren Bedingungen ab, welche nicht immer klar sind. Teilweise hilft nur ein BIOS-Update und wie man weiter oben liest, wohl teilweise auch ein Reset der Zertifikate im UEFI.
Und dann ist da ja noch Microsoft, die immer komische Sachen machen. Warum jetzt im April Update vom DBX-Update 154 Einträge fehlen, ist mir da nicht so klar. Bis März waren es noch 431 Einträge. Hatte da auch mal alles zurückgesetzt im UEFI, wurde soweit auch wieder alles aktualisiert, nur DBX hat jetzt nur noch 277 Einträge. Was Microsoft davor hat, weiß ich auch noch nicht.
Ja, ich verstehe. Ich schau, ob ich noch soviel wie möglich in das Tool integrieren kann. Alle Sonderfälle werde ich wohl nicht schaffen. Dazu scheint das Thema tatsächlich zu komplex zu sein und ich bin gespannt, wie Microsoft das dann lösen wird. Bei meinen Rechner hat das tatsächlich wunderbar funktioniert (Thinkpads und AMD Desktop Rechner AM4). Ich melde mich wieder, wenn ich eine neuen Version habe. Fehler bitte auch direkt hier melden, merci
Eine schöne Idee!
Aber es prüft ja nur Windows interne Zertifikate, ob installiert, vorhanden und bereit…
Aber es prüft ja nicht, ob im BIOS die entsprechenden Zertifikate auch schon vorliegen.
Ohne dem passenden Zertifikaten im BIOS funktioniert es ja trotzdem nicht, auch wenn Windows es schon könnte.
Hallo Chris,
ich finde es toll, was Du da gemacht hast. Ich bin 77 Jahre alt und froh, das es noch Leute gibt, die auch an uns denken, die nicht von allem Fachwissen haben wie hier die vielen anderen Spezialisten, Danke für Deine Mühe.
LG Ossilotta
Hallo Ossilotta,
sehr gerne
Gruß Chris
Das Tool check nicht die UEFI DBX auf Fehler?
https://ibb.co/Y4Z0cPXg
Ist die Frage, warum das DBX Update nicht ausgeführt wurde. Mit dem April Update sollten eigentlich 277 Einträge sein, obwohl es im März noch 431 waren. Eventuell steht was in der Registry dazu (Pfad s. weiter oben).
Und die DBX zu überprüfen ist ein wenig kompliziert, da man die Einträge in der DBXUpdate.bin mit den Einträgen im UEFI überprüfen muss. Allerdings gibt es da gerade eine Differenz von 154 Einträgen zwischen März und April. Das Skript verwendet die DBXUpdate.bin vom 14.10.2025, welche bis März aktuell war. Keine Ahnung, ob das jetzt so sein muss oder ob Microsoft da ein Fehler unterlaufen ist.
Ich nehme immer gerne checkca2023 von Claude Boucher. Das zeigt alles Wesentliche getrennt auf einem Bildschirm an und hat auch Schalter um es anzustoßen.
https://github.com/claude-boucher/CheckCA2023
Ha, das Tool hat mich schon einmal gerettet, weil mein W11 bisher kein Update durchführen wollte. Mit dem Tools hat es jetzt geklappt. Eine Sorge weniger.
So, neue Version 2.3 mit DBX-Anfragen und andere, soweit sinnvoll. Jetzt sollte eine einigermaßen große Anfrage stattfinden, die die meisten Szenarien abdeckt:
— Intelligente Statusprüfung gestartet —
Betriebssystem: Windows 11 / 25H2 / Build 26200 / 8313
Secure Boot Status: True
Windows UEFI CA 2023 vorhanden: True
Erweiterte Bewertung:
Windows bestätigt vollständig aktualisiert (Event 1808): Kein Event gefunden
Bootmanager 2023 angewendet (Event 1799): Kein Event gefunden
DB-Update Ereignis 1036 gefunden: Kein Event gefunden
DBX-Update Ereignis 1034 gefunden: Kein Event gefunden
DBX PCA2011-Widerruf Ereignis 1037: Kein Event gefunden
KEK-2023 Ereignis 1043: Kein Event gefunden
Option-ROM-2023 Ereignis 1044: Kein Event gefunden
Microsoft-UEFI-CA-2023 Ereignis 1045: Kein Event gefunden
UEFI-Variablen: DB: lesbar=Ja, Bytes=8454, Listen=6, Einträge≈6 | DBX: lesbar=Ja, Bytes=20904, Listen=6, Einträge≈432 | KEK: lesbar=Ja, Bytes=3884, Listen=3, Einträge≈3 | PK: lesbar=Ja, Bytes=817, Listen=1, Einträge≈1
Update-Trigger: AvailableUpdates=0x0, kein Update-Trigger ausstehend
Secure-Boot-Servicing Registry: AvailableUpdates=0, UEFICA2023Status=Updated, WindowsUEFICA2023Capable=2, BucketHash=23e6462138780b2c37a972b708601a174d9a5cd1583f162cc0dcac93e5dc6001, ConfidenceLevel=High Confidence
Warn-/Fehlerereignisse: keine relevanten TPM-WMI-Blocker gefunden
Empfehlung: Aktuell – Secure Boot aktiv, Zertifikat vorhanden, keine Blocker.
das tool kann nicht selbst adminrechte einfordern… 😞
Was ist daran so schlimm, einmal einen Rechtsklick zu machen? 🤔
Nabend
muß hier mal nach Rat fragen.
Habe mit dem PS-Befehl Get-SecureBootSVN die SVNs geprüft, nun gibt mir dieser Befeh aus:
FirmwareSVN : 2.0
BootManagerSVN : 8.0
StagedSVN : 8.0
ComplianceStatus : Not compliant (Firmware does not match boot manager)
BootManagerPath : \\.\HarddiskVolume3\EFI\Microsoft\Boot\bootmgfw.efi
Weiß einer wie ich die Firmware SVN auf 8.0 bekomme.
Mainboard ist ein MSI B650 Tomahawk WIFI
Hat sich erledigt, habe es selbst herausgefunden.
Falls es jemanden interessiert, es funktioniert mit den beiden Befehlen:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
Start-ScheduledTask -TaskName „\Microsoft\Windows\PI\Secure-Boot-Update“
0x200 +Start-ScheduledTask und mehrfacher Neustart – behebt hier den Fehler nicht!
Get-SecureBootSVN
FirmwareSVN : 5.0
BootManagerSVN : 8.0
StagedSVN : 8.0
ComplianceStatus : Not compliant (Firmware does not match boot manager)
BootManagerPath : \\xxx\bootmgfw.efi
Du bist aber mit der 25H2/26H1 unterwegs. Die ehemalige Dev (26300) ist noch auf SVN 5 für das UEFI, der Bootmanager allerdings ist schon auf SVN 8. Aber die Kombination passt noch. Umgekehrt wäre es schlecht.
Neuer hp AIO 27 Zoll AI 350 mit Clean-Install der aktuellen 25H2
https://ibb.co/77n3zPj
Das ist ein HP. Kann sein, dass das wieder etwas HP-spezifisches ist, dass der Updater Dir das DBX SVN Update nicht in das UEFI einspielen kann. Steht eventuell in der Regustry etwas dazu?
Wurde denn der Rest soweit installiert?
HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\ServicingAnsonsten ist es schwer zu sagen. Die 26200.8246 hat auf jeden Fall das DBX SVN 8.0 Update. Wurde denn soweit der Rest installiert (KEK und DB) bzw. ist in den Defaults vorhaben?
Bug Fail 3 wohl gefunden!
https://github.com/microsoft/secureboot_objects/issues/396
Fail 3 ist:
MS greatly reduced the size of April 2026’s DBXupdate.bin by removing all of the Microsoft boot manager entries, but accidentally removed three non-MS entries:
[7EAC80A915C84CD4AFEC638904D94EB168A8557951A4D539B0713028552B6B8C] grubx64.efi Canonical 2020-07-01
[804E354C6368BB27A90FAE8E498A57052B293418259A019C4F53A2007254490F] grubnetx64.efi Canonical 2020-07-01
[E7681F153121EA1E67F74BBCB0CDC5E502702C1B8CC55FB65D702DFBA948B5F4] gcdx64.efi Canonical 2020-07-01
Da frage ich mich auch schon, was Microsoft da gemacht hat. Im März waren es noch 431 Einträge. Sind auch so in UEFI eingetragen, außer ich lösche die. Seit April aber nur noch 277 Einträge. Keine Ahnung, was sie sich dabei gedacht haben. Aber wie auch immer. Wenn das Update im März eingespielt wurde, sind im UEFI 431 Einträge vorhanden und die bleiben da auch. Das April Update ändert daran nichts. Jedenfalls konnte ich bei mir nichts feststellen. Einträge aus dem UEFI wurden seitens Windows bislang nicht entfernt.
Wenn ich bei mir im UEFI DBX und DBX SVN lösche und das Update neu anstoße, dann habe ich danach DBX 277 Einträge und DBX SVN enthält 8.0.
Bei der Status-Prüfung steht bei mir folgendes:
Secure Boot Status: True
Windows UEFI CA 2023 vorhanden: True
Erweiterte Bewertung:
Windows bestätigt vollständig aktualisiert (Event 1808): Nicht nachgewiesen
Bootmanager 2023 angewendet (Event 1799): Nicht nachgewiesen
DB-Update Ereignis 1036 gefunden: Nicht nachgewiesen
DBX-Update Ereignis 1034 gefunden: Nicht nachgewiesen
Secure-Boot-Servicing Registry: AvailableUpdates=16384, UEFICA2023Status=Updated
Warn-/Fehlerereignisse: keine relevanten TPM-WMI-Blocker im geprüften Verlauf gefunden
Empfehlung: Aktuell – Zertifikat vorhanden, Secure Boot aktiv und keine relevanten Fehler/Blocker gefunden.
Ereignis 1799/1808 ist optionaler Zusatznachweis.
Was ich nicht verstehe, owohl alles in Ordung zu sein scheint, warum hinter einigen Eintägen,
„Nicht nachgewiesen“ steht?
Hallo Manni,
die Anzeige „Nicht nachgewiesen“ bedeutet in dem Tool nicht, dass das jeweilige Update fehlt oder fehlerhaft ist. Es bedeutet nur, dass im geprüften Windows-Ereignisverlauf kein passendes Event gefunden wurde. Die Events 1799/1808/1034/1036 sind Zusatznachweise, aber nicht der einzige Bewertungsmaßstab. Entscheidend sind zusätzlich Secure Boot aktiv, das vorhandene Windows UEFI CA 2023-Zertifikat, der Registry-Status UEFICA2023Status=Updated, keine relevanten Fehler-/Blocker-Ereignisse und die Anzeige in Windows-Sicherheit.
AvailableUpdates=16384 entspricht 0x4000 und ist nach dem Microsoft-Updateablauf kein Fehlerzustand. Wenn Windows-Sicherheit meldet, dass alle erforderlichen Zertifikatupdates angewendet wurden, ist das der maßgebliche grüne Status.
Gruß Chris
Hallo Chris,
vielen Dank für deine ausführliche Antwort.
Unter Dateschutz und Sicherheit – Windows Sicherheit,
sowie unter: Geräteleistung und -integrität ist alles im grünen Bereich.
Gruß Manni
0x4000 ist ein „Spezial>“-Bit, welches das Verhalten der Installation der Updates beeinflusst:
Dieses Bit ändert das Verhalten der 0x0800 und 0x1000 Bits so, dass das Microsoft UEFI CA 2023 und die Microsoft Option ROM UEFI CA 2023 nur angewendet werden, wenn die Datenbank bereits das Microsoft Corporation UEFI CA 2011 besitzt.
Wenn man den Prozess mit 0x5944 startet, ist das Bit gesetzt Wenn am Ende 0x4000 dort stehen bleibt, bedeutet das, dass alle fünf Updates ausgeführt wurden und alles OK ist. Das Bit wird am Ende nicht gelöscht. Bleibt der Wert >0x4000 übrig, bedeutet das, das mind. ein Update nicht ausgeführt werden konnte.
DBX und DBX SVN Updates werden mit 0x5944 nicht ausgeführt. Die muss man separat anstoßen. Ich weiß jetzt aber gerade nicht, ob man die addieren kann (0x202) oder beide Schritte getrennt ausführen muss. Das habe ich nicht getestet. Muss ich mal machen.
Gerade mal getestet. 0x202 aktualisiert in einem Rutsch DBX und DBX SVN. Das geht also, Die Schritte müssen nicht Einzel ausgeführt werden. Auch wenn man der Wert zu 0x5944 addiert (= 0x5B46) scheint zu funktionieren. Am Ende wurden KEK, DB, DBX, DBX SVN und Bootmanager aktualisiert und es bleibt der Wert 0x4000 übrig. Keine Fehler wurde in der Registry vermerkt. Scheint also zu passen.
Bei mir ist bei SecureBoot-Registryschlüssel „AvailableUpdates“ REG_DWORD 0x00004000 (16384).
Ja, das ist richtig. Das passt. Da wurde mit 0x5944 soweit alles ausgeführt (KEK, DB und Bootmanager). 0x4000 bleibt stehen, da das Bit am Ende nicht gelöscht wird. Wenn der Status auf „Updated“ steht, ist alles gut.
So, ich habe die App nochmal etwas erweitert, Texte etwas entschärft und Beschreibungen hinzugefügt. Außerdem startet die App jetzt automatisch im Admin-Modus. Ich hoffe, ich konnte noch alle Anregungen mit einbauen. Damit sollte jetzt eigentlich jeder gut zurecht kommen
Version ist jetzt 2.5
Super, vielen Dank 👍
Habe die Abfragen jetzt nochmal erweitert und das Design etwas angepasst in den Logs. Es ist jetzt auch möglich, nur zu prüfen für vorsichtige User. Da wird also nur der Systemzustand geprüft, aber man kann keine Einträge in der Registry machen. Version ist jetzt 2.8
Allgemein: Es gibt wohl so viele Sonderfälle, dass es wohl selbst Microsoft nicht sofort hinbekommt. Ich bin gespannt, was das wird ab Juni – Oktober.
Nicht wundern, dass sich jetzt 3 AV Tools „melden“
https://www.virustotal.com/gui/file/a3975c5f0296b6a2f6b38918802524574d389b1cadd76dadd04e0be0f1284df3/detection
Ich glaube, dass es false-positives sind. Ich bin auch nicht ganz sicher, ob Chris direkt was dagegen machen kann.
Das sind die Abfragen, die von den dreien als false/positive bewertet werden. Einzige möglichkeit wäre, einige Abfragen wieder auszubauen. Ja, die gemeldeten Aktivitäten sind die technischen Abfragen des Tools. Es prüft Secure Boot, UEFI-Variablen, Windows-Ereignisse und den Secure-Boot-Registry-Status.
Bkav Pro, K7AntiVirus und CrowdStrike Falcon sind bedeutungslos, bei 63x clean -keine Änderungen nötig…
Hi,
sollte das Tool auch auf Servern funktionieren? Probiere es gerade auf einem Testsystem, Hardware, keine VM, und nach 30 Minuten ist immer noch kein Ergebnis da.
Viele Grüße
Ich habe zuhause keinen Server zum testen. Daher leider nein.
Bei mir genauso. Mein Windows Server 2019 hängt…
Kann man da irgendwie Debugoutput produzieren, dass man das fixen könnte?
Hallo zusammen, habe mal ne Frage – habe eben mein BIOS von meinem asus x370 Prime Pro auf das letzte BIOS beta gedated. Weswegen habe herum gespielt mit den Scripten von github und so weiter – Boot Zeit war sehr lang, schwarzer Bildschirm usw. Nun ist alles fine – wenn ich das Tool anwende, fordert mich Windows zu einem Neustart auf – die anderen 3 hacken sind grün, nur der letzte ist gelb. Ist jetzt nun alles ready? Nach dem Neustart bleibt es auf gelb.
Bei meinem angejahrten Win 11 Pc (AsusTek Z97-P SOCKET 1150) mit Bios 2016 mit aktiven UEFI Secure Boot ging die Installation des neuen Zertifikats gründlich daneben. (Sione secure boot Zertifikat Prüfer)
Der Pc stürtzte sofort ab und lies sich absolut nicht mehr booten. Bildschirm blieb schwarz – nur ein kurzes Cursor – Blinken.
Ich habe dann das vorhandene Bios neu installiert – ohne Erfolg.
Erst die Enfernung der Bios-Batterie brachte mich weiter. Jetzt gelang mir tatsächlich mit Hilfe eines Backup-Mediums Windows neu aufzusetzen.
Also kann es wohl auch mal schief gehen mit der Einrichtung einer neuen UEFI Zertifikation
Bei einem Kumpel mit einem uralten Intel Z370 Asrock Board wurden die Zertifikate mit dem letzten Win11 25H2 Preview Update installiert. Er hat zwar mehrere unaufgeforderte Reboots gebraucht, aber einen BIOS Update hat er nicht gebraucht, es gibt auch keinen neuen für das Board. Und es ging automatisch über Windows Update, komplett ohne 3rd Party Tools.
Danke für diese Einschätzung – dann warte ich mal ab, ob die zukünftigen Win-Updates mit meinem PC gnädig umgehen.
Nach meinem letzten Totalabsturz habe ich natürlich schon ein wenig Angst, dass sich das Problem bei einer erneuten Installation des CA 2023 wiederholen könnte.
Aber Deine Beobachtungen beruhigen mich natürlich – nochmals Danke
Wenn ich es richtig verstehe, ich man auf der sicheren Seite, wenn man die Zertifikate per BIOS Update macht, aber auch reines Windows Update reicht normalerweise aus:
https://support.microsoft.com/en-gb/topic/frequently-asked-questions-about-the-secure-boot-update-process-b34bf675-b03a-4d34-b689-98ec117c7818
Q9: What is the difference between firmware updates and Windows updates when applying Secure Boot certificates?
They serve different purposes.
Firmware updates can update the default Secure Boot variables stored in firmware. This is primarily useful if Secure Boot settings are later reset to the defaults because the firmware defaults determine which certificates are restored in that scenario.
Windows applies changes to the active Secure Boot variables that are enforced during normal boot. These active variables are what the firmware uses to validate boot components and what Windows relies on to deliver future Secure Boot protections.
In practice, Windows is responsible for keeping the active Secure Boot configuration current. Firmware updates help ensure that the default values are also updated, which reduces risk if Secure Boot is reset or reinitialized in the future.
Administrators should ensure that the active Secure Boot variables are updated and monitor deployment status, regardless of whether firmware updates are available.
Q8: If the Secure Boot certificates on my device are already expired, can I still receive updated certificates?
Yes. The cumulative updates that contain the new Secure Boot certificates can still be applied even if the existing certificates have expired. If the device can boot Windows and install updates, the updated certificates can be written to firmware by following the published deployment guidance. Most devices will receive these updates automatically, but some systems may require additional firmware updates.
na, dann kann ich ja hoffen, dass die kommenden Updates meine Bedenken beseitigen.
Ich habe mir schon überlegt, ob ich zum Legacy Bio-Modus zuückkehren soll um dieser Falle (Absturz) zu entgehen.
Jedenfalls finde ich es toll, dass Du Dir mit Deinen Recherchen soviel Mühe gemacht hast – nochmals vielen Dank.
Ich werde Dir im Sommer kurz berichten wie sich die Angelegenheit entwickelt hat.
Hallo Mio – wie versprochen gebe ich einen kleinen Statusbericht für meinen ollen PC ab.
Deine Mutmaßungen, dass es sich das neue Zertifikat im Laufe der Updates irgentwann istalliert hat sich bewahrheitet (Gestern nach dem Patch war es dann soweit)
Secure Boot Status: True
Windows UEFI CA 2023 vorhanden: True.
Ich habe auch eine wenig nachgeholfen indem ich im UEFI-Bios das noch eingestellte CSM deaktivierte.
Ausserdem habe ich die deaktivierte Telemetrie wieder zugelassen.
Nochmals Danke
Gutes Tool,
nur leider gibt es Hersteller, bei denen das bei einigen Modellen nicht funktioniert. HP ist so ein Kandidat. Beim immer noch von Windows 11 unterstützten HP ProBook 430 G5 von 2017/2018 gibt es kein Bios-Update und das bestehende verhindert, dass Betriebssysteme selbst ein Zertifikat einspielen. SecureBoot muss also komplett deaktiviert werden, damit Windows nach Auslaufen des Zertifikates weiter läuft. Absolute Frechheit. Selbst kein Bios-Update mit den Zertifikaten anbieten und gleichzeitig verhindern, dass die hier im Beitrag beschriebene Methode funktioniert.
Zu HP siehe auch mal hier
https://www.deskmodder.de/phpBB3/viewtopic.php?t=34066&start=135#p457399
Alles schon durch. HP verweigert ein Bios-Upgrade. Es werden lediglich Rechner ab 2018 gelistet. Das genannte Modell ist von 2017. Es ist nur deshalb so mies, weil es noch ganz offiziell Windows 11 erhalten hat und man nun Unternehmen, welche die Geräte noch immer einsetzen, zum Umstieg zwingt. Rechner ohne SecureBoot sind in dem Umfeld nicht erwünscht und Geräte werden ersetzt, wenn es wirklich nicht mehr geht. Und wenn HP hier eine künstliche Schranke einbaut, dass noch nicht mal Windows selbst in die Datenbank schreiben darf, finde ich das wirklich mies.
hoffentlich gibt es hier keine Verwirrungen, offensichtlich gibt es hier zwei Teilnehmer mit dem selben Namen. Ich bin schon auch der Meinung, dass ein Laptop das explizit für Win 11 zugelassen wurde, weiterhin mit den erforderlichen Updates versorgt werden müsste.
Wird es nicht. Die Antwort war eh Spam. Bist also wieder alleine als Werner.
Danke für die Klärung.
Vielen Dank für das Tool. Ich habe mein Lenovo Thinkpad E560 jetzt auch einmal damit geprüft und herausgefunden, dass das Zertifikat zwar vorhanden ist, Windows aber einen Blocker feststellt. Lenovo selbst bietet neue BIOS, die den Blocker wohl „ausschalten“ (laienhaft ausgedrückt), nur für Modelle an, die Windows-11-fähig sind, was mein Modell aber nicht ist.
Hier die Prüfergebnisse:
UEFI Secur Boot ist aktiv.
Windiws UEFI CA 2023 ist vorhanden.
Winwos meldet Blocker. Log prüfen.
Das Log sieht so aus:
— Intelligente Statusprüfung gestartet —
Betriebssystem: Windows 10 / 22H2 / Build 19045 / 7291
✔ Secure Boot Status: True
✔ Windows UEFI CA 2023 vorhanden: True
Firmware-/Plattformdiagnose:
System=LENOVO 20EVCTO1WW; Mainboard=LENOVO 20EVCTO1WW SDK0J40709 WIN; BIOS/UEFI=LENOVO R00ET56W (1.31 ); CPU=GenuineIntel Intel(R) Core(TM) i7-6500U CPU @ 2.50GHz
Intel-Plattform erkannt: Secure-Boot-CA-Update bleibt OEM-/Firmware-abhängig, nicht rein CPU-abhängig. Windows 10: je nach Support-/ESU-/OEM-Stand besonders vorsichtig bewerten.
Erweiterte Bewertung:
• Windows bestätigt vollständig aktualisiert (Event 1808): Kein Event gefunden
✔ Bootmanager 2023 angewendet (Event 1799): Ja
✔ DB-Update Ereignis 1036 gefunden: Ja
• DBX-Update Ereignis 1034 gefunden: Kein Event gefunden
• DBX PCA2011-Widerruf Ereignis 1037: Kein Event gefunden
• KEK-2023 Ereignis 1043: Kein Event gefunden
✔ Option-ROM-2023 Ereignis 1044: Ja
✔ Microsoft-UEFI-CA-2023 Ereignis 1045: Ja
Event-Zeitstatus:
⚠ Event 1801 zuletzt: /Date(1780392324115 – Zertifikate verfügbar, aber noch nicht in die Firmware übernommen.
⚠ Zeitlogik: Kein neueres Event 1808 nach Event 1801 gefunden; Firmware-/OEM-Status prüfen.
⚠ Event 1803: Für dieses Gerät fehlt Windows/OEM-seitig ein passender KEK-/Firmwarepfad; Hersteller prüfen.
Event-1801 Gerätedaten: OEMManufacturerName=LENOVO, OEMModelSKU=LENOVO_MT_20EV_BU_Think_FM_ThinkPad E560, OSArchitecture=amd64, BucketId=74aaa51ed1b4a0a957925b0f9df4257956af412f04fd7f
UEFI-Variablen: DB: lesbar=Ja, Bytes=10652, Listen=8, Einträge≈8 | DBX: lesbar=Ja, Bytes=23512, Listen=10, Einträge≈484 | KEK: lesbar=Ja, Bytes=2640, Listen=2, Einträge≈2 | PK: lesbar=Ja, Bytes=1077, Listen=1, Einträge≈1
Update-Trigger: AvailableUpdates=16388 (0x4004), unbekannte/teilweise verarbeitete Bits
Secure-Boot-Servicing Registry: AvailableUpdates=16388, UEFICA2023Status=InProgress, UEFICA2023Error=2147942402, UEFICA2023ErrorEvent=1803, WindowsUEFICA2023Capable=2, BucketHash=74aaa51ed1b4a0a957925b0f9df4257956af412f04fd7fb8dcd4057914c5860a, ConfidenceLevel=High Confidence
Sicherheits-/Recovery-Hinweise:
⚠ BitLocker: Unklar – BitLocker-Ausgabe konnte nicht eindeutig bewertet werden.
⚠ Windows-Sicherheit: Microsoft-Endstatus unter Gerätesicherheit > Sicherer Start gegenprüfen.
Bootreihenfolge: Bei BitLocker-Recovery Windows Boot Manager vor PXE/Netzwerkboot setzen.
⚠ Hinweisereignis 1800: Neustart vor weiterer Secure-Boot-Aktualisierung erforderlich/empfohlen
✖ Warn-/Fehlerereignisse gefunden: 1801, 1803
✖ Event 1801: Zertifikate verfügbar, aber noch nicht in die Firmware übernommen. Dieser Befund verhindert eine grüne Gesamtbewertung, solange kein neueres Event 1808 gefunden wird.
⚠ Event 1801: Aktualisierte Zertifikate f�r den sicheren Start sind auf diesem Ger�t verf�gbar, wurden aber noch nicht auf die Firmware angewendet. Lesen Sie den ver�ffentlichten Leitfaden, um das Update abzuschlie�en und den vollst�ndigen Schutz aufrechtzuerhalten. Diese Ger�te-Signaturinformationen sind hier enthalten. DeviceAttributes: FirmwareVersion:R00ET56W (1.31 );OEMManufacturerName:LENOVO;OEMModelSKU:LENOVO_MT_20EV_BU_Think_FM_ThinkPad E560;OSArchitecture:amd64; BucketId: 74aaa51ed1b4a0a957925b0f9df4257956af412f04fd7f
⚠ Event 1803: F�r dieses Ger�t wurde kein PK-signierter Schl�sselaustauschschl�ssel (KEY Exchange Key, KEK) gefunden. Wenden Sie sich an den Ger�tehersteller, um eine ordnungsgem��e Schl�sselbereitstellung zu erhalten. Diese Ger�tesignaturinformationen sind hier enthalten. DeviceAttributes: FirmwareVersion:R00ET56W (1.31 );OEMManufacturerName:LENOVO;OEMModelSKU:LENOVO_MT_20EV_BU_Think_FM_ThinkPad E560;OSArchitecture:amd64; BucketId: 74aaa51ed1b4a0a957925b0f9df4257956af412f04fd7fb8dcd4057914c5860a BucketConfidenceLevel: High
✖ Empfehlung: Prüfen – Windows meldet Blocker. Log prüfen.
Hinweis zur Auswertung:
• – „Kein Event gefunden“ bedeutet nur: Im geprüften Windows-Ereignisverlauf wurde dieses konkrete Zusatzereignis nicht gefunden.
✖ – Das ist nicht automatisch ein Fehler und heißt nicht, dass das Zertifikat fehlt oder die Aktualisierung gescheitert ist.
✖ – Die Hauptbewertung nutzt Secure Boot aktiv, Windows UEFI CA 2023 vorhanden, Registry-Status, DB/DBX/KEK/PK-Lesbarkeit und bekannte Blocker-/Fehlerereignisse.
– Event 1799/1808/1034/1036 sind hilfreiche Zusatznachweise, können aber je nach System, Updateweg oder bereinigtem Ereignislog fehlen.
✖ – Event 1801 ist anders: Wenn kein neueres Event 1808 gefunden wird, deutet es auf nicht angewendete Firmware-/OEM-Schritte hin.
⚠ – Event 1802/1803 sprechen eher für bekannte Hardware-/Firmware-/OEM-Einschränkungen; dann Hersteller-/BIOS-Hinweise prüfen.
✖ – AvailableUpdates wird dezimal und hexadezimal angezeigt; 16384 entspricht 0x4000 und ist allein kein Fehler.
⚠ – BitLocker-Hinweis: Vor Secure-Boot-/Firmware-Aktionen Recovery-Key bereithalten, wenn BitLocker aktiv oder unklar ist.
⚠ – Bei wiederholter BitLocker-Recovery Bootreihenfolge prüfen: Windows Boot Manager sollte vor PXE/Netzwerkboot stehen.
– Windows-Sicherheit bleibt der Microsoft-Endstatus; dieses Tool ergänzt die technische Diagnose und ersetzt die Windows-Anzeige nicht.
Was mach ich nun?
Ich bin kein Profi, bekomme aber manches mit den Tipps und Anleitungen von dieser Seite hin, abre sehr tief in der Materie stecke ich nicht. Kann mir daher jemand weiterhelfen oder kennt das Problem sowie eine Lösung?
Herzliche Grüße
Sam