[quote=DK2000 post_id=430755 time=1721062361 user_id=39966]
Gibt es da eventuell im UEFI-Setup eine Verwaltung (Key management), wo man das alles auf Werkseinstellungen zurücksetzen kann?
[/quote]

Das gibt es:[attachment=0]IMG_20240716_081748.jpg[/attachment]


Allerdings sind mir die zuletzt geschilderten Zusammenhänge und Anleitungen etwas zu hoch...
Ich schätze mich als "ambitionierten Anwender" ein und verstehe die Vorgänge "unter der Haube" nur rudimentär!

Da ich Windows ohne Secure Boot problemlos starten kann, will ich es vorerst dabei belassen...!
Ich folge aber gern eurer weiteren Diskussion und versuche auch, den ein oder anderen Ratschlag zu befolgen, wenn ich mir halbwegs sicher bin, dass mein Computer danach auch noch funktionieren wird :-D

Auf jeden Fall bedanke ich mich herzlich für eure konstruktive Diskussion, eure Ratschläge und Anleitungen!
:dankeschoen:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011' 

Im C.:\Windows\Boot sind beide Varianten enthalten. Die in den Ordnern mit EX am Ende sind die Dateien mit den neuen Signaturen. Hat man die DBX installiert, funktionieren nur noch die neuen Dateien.

Aber wenn der MCT-Bootstick mit Secure Boot startet, dann dürfte die DBX nicht installiert worden sein. Als ich das bei mir getestet hatte, ließ sich der Stick nicht mehr booten. Aber eventuell hat Microsoft da auch was geändert.

Müsste man mal auf dem Stick die Signatur in den Eigenschaften der Dateien auslesen. Wenn da [i]"Windows UEFI CA 2023" [/i]steht, ist es die neue Signatur. Wenn da noch [i]"Microsoft Root Certificate Authority 2010"[/i] steht. ist es noch die alte Signatur und die wird unbrauchbar, wenn man die DBX installiert hat. Hier müsste man dann manuell den Stick umstellen.

Sehe auch gerade, dass bcdboot einen neuen Schalter bekommen hat:

[quote]/bootex : Verwenden Sie die bootex-Binärdateien für die Wartung, wenn die erforderlichen Bedingungen erfüllt sind.[/quote]

Damit verwendet dann wohl bcdboot automatisch die neuen Dateien aus den EX-Ordnern. Getestet habe ich das aber noch nicht.

Der Artikel wurde auch überarbeitet, da es wohl mit dem Update am 09.07.2024 Änderungen gab.

https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d

Muss ich die Tage wohl mal selber wieder testen. Das sind jetzt wohl Schritte dazugekommen:

----
1. "Windows UEFI CA 2023" installieren (2x booten erforderlich):

[code]reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f[/code]

2. Bootdateien aktualisieren (2x booten erforderlich):

[code]reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f[/code]

3. Sperrliste (DBX) installieren (2x booten erforderlich):

[code]reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f[/code]

4. SVN Update für die Firmware (2x booten erforderlich):

[code]reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f[/code]

Überprüfen dann in der Powershell jeweils mit

[code][System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'[/code]
[code][System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011' [/code]

Den Part mit der DBX würde ich aber derzeit noch auslassen. Das führt nur zu Problemen, da sich dann kein USB-Stick oder ISOs mit Bootdatein starten lassen, welche ein zurückgezogenes Zertifikat verwenden.

Das passt alles noch nicht!
Wenn er mit einem MCT-Bootstick problemlos im Secure-Modus booten kann, dann wahrscheinlich nur deshalb, weil der "Boot-EFI-Ordner" noch alte Dateien hat.
Mit dem bcdboot-command wurden wahrscheinlich Dateien neueren Datums in den ESP/Microsoft/Boot/EFI-Ordner aus dem C:\Windows\Boot-Ordner übertragen, was zum Problem führt.
Man müsste den Windows/Boot-Ordner komplett im PE-Modus austauschen und dann den bcdboot-command erneut ausführen.
CMOS-Reset bringt nur dann etwas, wenn zunächst die ESP-Partition neu formatiert wurde und nach dem Reset neu erstellt wurde.
Manchmal reicht es, einfach nur die bootmgfw.efi auszutauschen

Das liegt am Secure Boot. CMOS Reset würde meistens auch nicht bringen, da die Zwerzifikate im UEFI im nicht-flüchtigen Speicher installiert wurden. Die überleben auch ein UEFI-Update.

Gibt es da eventuell im UEFI-Setup eine Verwaltung (Key management), wo man das alles auf Werkseinstellungen zurücksetzen kann?

Das mit den neuen Zertifikaten ist da im Moment noch nicht so ganz einfach und die Einrichtung erfolgt größtenteils noch manuell. Muss ja dann auch der passende Boot Manager von Windows installiert werden, welche mit den neuen Zertifikaten signiert wurde. Der alten Dateien sind dann nicht mehr brauchbar, sobald die DBX Liste installiert wurde.

Irgendwann wird Microsoft das Ganze über ein kumulatives Update automatisieren. Aber im Moment ist das noch alles etwas fummelig und nicht zwingend erforderlich.

Jetzt direkt i.Z.m. Security Boot hab ich erst einmal keine Idee, vlt. ja @ DK2000 oder jemand anderes.

Wurde ggf. mal
Schnellstart deaktiviert,
Gerät stromlos gemacht und entladen
(vom Stromnetz trennen und Powertaste mehrmals drücken - effektiv ca. 1 Minute/
bei Akku Geräten muss dieser zuvor raus,
Infos aus msconfig (z. B. über Ausführen) hinzugezogen?

Bios: Standardeinstellungen laden und/ oder CMOS Reset und/ oder Bios Update (falls für das Gerät notwendig),
Starten ohne Platten/ Peripherie
wäre Weiteres – wie wohl schon vorangehend mehr oder weniger erwähnt wurde.
Starten ohne Platten/ Peripherie hat insbes. den Hintergrund, dass Desktop Management Interface ggf. insoweit aufgefrischt wird
(ca. 30 bis 60 Sekunden, dann wieder ausgeschalten und mit starten/ vgl. [url]https://www.biosflash.com/bios-cmos-reset.htm[/url])

Evtl. lässt sich Obiges kombinieren.
Bei den obigen techn. Prozeduren i.e.S. Dokus für die Hardware beachten, im Zweifel Hersteller fragen.
Natürlich alles auf eigene Gefahr.

Dann wäre noch Vorschlag von @ moinmoin (seiner zuletzt).
Wenn, dann würde ich es jedoch nach obigen diversen Maßnahmen einordnen.

Die externen Linux Sticks würde ich beim Ganzen unbedingt außen vor lassen.
Ob es etwas bringt, kann ich auch nicht sagen.

Bei mir gibt der letzte Schritt "false" aus - dann ist wohl das Sicherheitsupdate Februar 2024 nicht installiert...
Komisch, eigentlich habe ich bisher keine Updates ausgelassen,,, In der Update-Liste kann ich es auch nicht finden!

Jetzt habe ich den Secure Boot wieder eingeschaltet, den Rechner neu gestartet - brauchte allerdings den Boot-Stick wieder - und die Anleitung nochmal durchgespielt - jetzt gibt der letzte Schritt auch "true" aus!

Aber bei erneutem Booten wird wieder der Boot-Stick benötigt... Also "Secure Boot" wieder ausgeschaltet...

In der Anleitung geht das nur in mit der PowerShell. Und 0x40 ist Hex, Daher das 0x vor der 40.

In dem Artikel steht:
[quote]Im rechten Fensterteil dann ein Doppelklick auf AvailableUpdates und den Wert auf 40 ändern.[/quote]
Hexadezimal oder Dezimal?

(Statt PowerShell geht doch bestimmt auch Cmd, oder ?!?)

Also ohne Secure Boot get es. Dann ist es ein Problem mit den Zertifikaten und Signaturen für Secure Boot:

https://www.deskmodder.de/blog/2024/02/14/kb5036210-bereitstellung-des-windows-uefi-ca-2023-zertifikats-ab-13-februar-2024/

Du müsstest mal in der PowerShell, wie beschrieben, nachschauen, welches Zertifikat da installiert wurde. Solange nicht die DBX installiert wurde, sollten die alten nun neuen Zertifikate parallel funktionieren. Wurde die DBX (Sperrliste) installier, gehen nur noch die neuen Zertifikate.

Aber jetzt kommen wir doch dem Problem endlich näher.

Außer einem BIOS Update auf {F5} vom 04 .01. 2024 fällt mir da nichts mehr ein.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
FirmwareBootDevice REG_SZ multi(0)disk(0)rdisk(9)partition(1)

Was mich jetzt interessiert:
[b]reg query HKLM\SYSTEM\CurrentControlSet\Control /v FirmwareBootDevice[/b]

Ist das immer noch disk 10?

Das bin ich auch!
Ich wüsste aber trotzdem gerne, was da schiefgelaufen ist...!

Secure Boot muss aktiviert sein, wenn Du Windows 11 regulär installieren willst.
Danach nicht mehr.
Ich habe inzwischen drei alte Laptops mit Windows 11 laufen, die Secure Boot gar nicht unterstützen, von den restlichen Anforderungen ganz abgesehen.
Ich verstehe zwar den Zusammenhang hier nicht, aber wenn es so klappt, sei zufrieden damit.

[quote=DK2000 post_id=430701 time=1720983085 user_id=39966]
Was mich mal interessieren würde, was passiert, wenn Secure Boot aus ist?
[/quote]

Das habe ich gerade ausprobiert... Und siehe da: Es klappt! Der Rechner fährt ohne angesteckten Bootstick normal mit Windows hoch!!!

Nun lese ich aber, dass Secure Boot unbedingt notwendig für Windows 11 ist - was passt also nicht, wenn der ordentliche Start MIT Secure Boot nicht funktioniert?