Die alten Windows Secure Boot-Zertifikate, die im Juni bzw. Oktober 2026 ablaufen, bereiten einigen doch Kopfschmerzen. Eigentlich muss man sich um nichts kümmern, da der Wechsel von UEFI CA 2011 auf UEFI CA 2023 und weitere automatisch über Windows Update abläuft.
Mit den Skripten, die auf GitHub zum Prüfen angeboten werden, kommt nicht jeder klar. Daher hat Inekai ein kleines Tool mit einer grafischen Oberfläche erstellt. Er hatte mir vorhin eine Mail geschickt und mir das Tool Sioni Secure Boot Zertifikat-Prüfer vorgestellt, bzw. vorgeschlagen.
Wie man im Bild sehen kann, ist es wirklich gelungen. Das kleine portable Tool SecureBootCertChecker.exe muss nur mit Administrator-Rechten gestartet werden. Danach werden dann der Status abgerufen. Wer neugierig sein sollte, kann über „Befehle anzeigen“ auch den Ablauf des Checks nachverfolgen.
Bei meinem Test war alles ok. Daher konnte ich den Button “ Installation anstoßen“ nicht ausprobieren. Aber ich gehe mal davon aus, dass auch dieses funktioniert. Wer es einmal ausprobieren möchte:
- Immer die aktuelle Version dropbox.com (Oben in der Menüleiste das Zeichen für Herunterladen anklicken)
- Version 1.5 bei uns: SecureBootCertChecker.zip
https://ibb.co/FbHRfZ2m
jaaa alles oki
@moinmoin
Bei mir sieht das Ergebnis eins zu eins gleich aus wie bei dir. Somit alles bestens.
Wie es auch mit den Scripts ausgegeben wird:
https://github.com/cjee21/Check-UEFISecureBootVariables
PS: Gibt es das Tool auch in englischer Sprache?
Alles Bestens
und richtig gut, das Tool, so kann man es einfach mit verschiednen Rechnern testen.
Vielen Dank
Der o.g. Sini SecureBootCertChecker zeigt durchwegs o.K. an:
Allerdings sind laut Windows Gerätesicherheit die Zertifikate der Startvertrauenskonfiguration veraltet und müssten erneuert werden…..
Evlt. wird die App ja noch erweitert…
Das Tool zeigt leider nur an, ob alles da/vorhanden ist.
Leider abe rnicht, ob es schon angewendet wird (Startvertrauenskonfiguration“. Das wiederum sagt die das Windows Gerätesicherheit. Also kann man hoffen, dass das Tool noch erweitert wird – das wäre dann eigentlich besser/genauer. Weil jetzt ist nicht erkennbar ob es der Rechner auch schon verwendet.
Aber eigentlich sieht man das ja in Naher Zukunft in der Geräte-Sicherheit
(https://support.microsoft.com/de-de/topic/zertifikatupdate-f%C3%BCr-den-sicheren-start-status-in-der-windows-sicherheit-app-5ce39986-7dd2-4852-8c21-ef30dd04f046) , weil MS es ja einpflegt, dass ienem das dann dort genauer angezeigt wird, auch an was es happert, wenn etwas nicht korrekt ist.
Bei mir wird alles OK angezeigt, also auch nichts zu tun, wie bei dem Check-UEFISecureBootVariables Tool – welches ich persönlich besser finde, da OSS.
ABER – unter Device Security bei Secure Boot steht bei mir ein grüner Hacken, mit dem Text „Secure Boot is on, but your device is using an older boot trust configuration that should be updated. There is not yet enough data to classify your device for automatic update. Visit the link below for more information.“
MS schreibt selbst dazu – „Your device might need additional validation before the update can proceed automatically. Visit aka.ms/getsecureboot for more information.“ Was auch immer das genau bedeuten soll.
Was ist also jetzt der Fall? Wer hat jetzt recht?
Ich gehe davon aus, dass das BIOS doch noch aktualisiert werden muss und ich glaube nicht, dass es ueber Windows Update passiert.
Dazu kommt, dass für mein Board MSI erst vor ein paar Tagen ein Update rausgebraucht hat, welches ich noch nicht installiert habe (Version 7C70v1F1: Update Secure Boot Key) – https://www.msi.com/Motherboard/MEG-Z490-GODLIKE/support#bios
Windows 25H2 OS Build 26200.8246
Das Tool ist da leider wohl nicht Open Source, so da es etwas schwer zu sagen ist, was es genau macht. Aber so wie ich das sehe, überprüft es nur, ob das Zertifikat ‚Windows UEFI CA 2023‘ vorhanden ist und gut. Weiter scheint der nichts zu prüfen, auch nicht ob bei der Installation der Zertifikate Feler in der Registry hinterlegt wurden und über den Status der Installation der aller Komponenten überhaupt. Keine Informationen über DB, DBX, KEK, SVN und welcher Bootmanager verwendet wird. So ist das ein klein wenig mager das Ganze.
Nein, das Tool zeigt leider tatsächlich nur an ob alles benötigte in Windows vorhanden ist – mehr leider nicht.
Also nur weil alles grün ist, heißt leider nicht, dass es trotzdem passt oder aktuell schon angewendet wird.
Aber vielleicht wird es ja noch erweitert.
Derzeit kann man ja noch warten, weil MS ab April/Mai das ja in der Windows Gerätesicherheit einbaut und dann anzeigt, auch warum es nicht geht, wenn es probleme gibt, schön mit Ampel-Symbolen
https://support.microsoft.com/de-de/topic/zertifikatupdate-f%C3%BCr-den-sicheren-start-status-in-der-windows-sicherheit-app-5ce39986-7dd2-4852-8c21-ef30dd04f046
WoW, nettes schnelles und kleines Tool. Bei mir ist alles Okay.