Hallo,

ich klinke mich hier mal ein:

Ich habe jetzt genau so einen Fall das ich auf einem neuen Gerät welches mit W11 24h2 ausgeliefert wurde kein Win11 23h2 Iso zum Starten bekomme. (Invalid Signature bei der Secure Boot Prüfung.)

Das ISO ist das aktuelle November Medium von der 23h2 aus dem MyVisualStudio-Portal.
Mit Rufus auf einen USB Stick kopiert und Rufus hat gleich gemeckert das die Signatur ggf. nicht funktioniert. (Was dann auch stimmte)

Muss man wirklich erst ein System auf Win11 23h2 mit der Umstellung haben um die Dateien passend auszutauschen?
Ich habe Testweise mal versucht, die Dateien aus der boot.wim zu entpacken und mit bootmgr entpackordner /S uefi USB Stick /bootex die Daten zu kopieren.

Da wird mir aber nur der "normale" boot Ordner kopiert.

Hat das mittlerweile schon jemand gemacht und hat noch eine Idee was ich machen könnte?
Falls es schon jemand gemacht hat:
Wie sehen denn die Ordner auf dem install Medium aus, vorallem das was da unterhalb von efi\boot ist.
Wird da die richtige bootmgrfw_ex. efi angezeigt?
Die mit dem 2023 Zertifikat signierten bootmgrfw_ex.efi ist in der boot.wim auf der W11 23h2 übrigens drin.

Fun fact:
Das starten mit dem Lenovo Recovery Medium klappt. Der Bootloader ist aber da sogar von 2015.
(Installiert leider auch nur die Win 24h2.)

Gerät:
Lenovo P16 Gen 2
Key Exchange Key steht sowol das 2011 als auch die 2023 Microsof tCA drin.
Bei der Authorized Signature Datebase ist die Windows UEFI CA 2023 und MS Windows Production PCA 2011 drin.

Im forbidden Signature Database finde ich den HASH bei den 423 gesperrten Einträgen nicht.

Vielen Dank.

Gruß
Glückskeks

Win11_23H2_German_x64v2.iso ist bestimmt zu alt. Das entsprechende Update (am besten aktuelles update) muss natürlich integriert sein.

Ansonsten halt die aktuelle MVS ISO herunterladen:

https://www.deskmodder.de/blog/2023/05/26/windows-11-22631-iso-esd-deutsch-english-inkl-updates-23h2-moment-4/#MVS

Oder andere aktuelle ISO. Allerdings, der Ordner EFI muss manuell aktualisiert werden.

mountvol s: /s
copy U:\efi\boot\bootx64.efi s:\efi\Microsoft\Boot\bootmgfw.efi /y

[quote=Andreas1235 post_id=434502 time=1728327938]Win11_23H2_German_x64v2.iso.[/quote]
Enthält die 22631.4169 EFI_EX?
https://www.deskmodder.de/blog/2023/05/26/windows-11-22631-iso-esd-deutsch-english-inkl-updates-23h2-moment-4/

Final lässt sich Neuinstallation mit der 23H2 auf Windows UEFI CA 2023 heute nicht beantworten.
Eine Neuinstallation mit der 23H2 wäre in einem halben Jahr zu prüfen.

Boote vom USB Stick mit tagesaktuellem Windows UEFI CA 2023 Bootmanager, fange die 23H2 Installation an.
Nach Möglichkeit die UEFI Partition behalten, eventuell gibt es aus einer frühere Installation einen Windows UEFI CA 2023 Bootmanager.
Falls ein Bootsicherheitsmeldung kommt, nochmals vom USB Stick booten und die UEFI Partition anpassen.
Shift F10[CODE]mountvol s: /s
copy U:\efi\boot\bootx64.efi s:\efi\Microsoft\Boot\bootmgfw.efi /y[/CODE]U: steht Beispielhaft für den USB Stick, ist anzupassen.
In der dann aktuellen winsipolicy.p7b kann auch die 23H2 winload.efi gesperrt sein. Eine heutige winsipolicy.p7b könnte helfen.

Hallo DK2000,

hatte von Microsoft die letzte aktuelle ISO Win 11 23H2 heruntergeladen. Win11_23H2_German_x64v2.iso.
Habe die iso mal geöffnet.
install.wim\1\Windows\Boot gibt es keinen EFI_EX Ordner.

Dieser EFI_EX Ordner wurde bei mir bei bereits installiertem Windows über Windows Update (durch kumulatives Update KB) heruntergeladen und installiert.

Wird schwierig mit einer Neuinstallation von W11 23H2 in z.B. 6 Monaten, wenn Secure Boot ein Update bekam.

[quote]COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD[/quote]
ja, das reicht. Setzt aber voraus, dass man ein aktuelles Windows verwendet, wo der Schalter /bootex unterstützt wird.

[quote]Wie ist das eigentlich mit der 23H2? Die hat keinen EFI_EX Ordner.[/quote]
Aktuelle Version verwenden. Selbst Windows 10 hat die EX Ordner.

Oh je, ich installiere immer offline für lokales Konto mit oobe\bypassnro.

Neues Problem:

Wie ist das eigentlich mit der 23H2? Die hat keinen EFI_EX Ordner.
Z.B. in 6 Monaten will ich eine Neuinstallation mit 23H2 machen, da Rechner nicht 24H2 kompatibel.
Microsoft müsste die ISO dann aktualisieren.
23H2 hat noch alten Boot-Manager PCA2011 in der ISO.

Wenn UEFI mit CA2023 aktualisiert wurde und PCA2011 in UEFI gesperrt wurde, kann dann niemand mehr eine
Neuinstallation mit der 23H2 machen?
Habe ich das richtig verstanden?

SVN Update erstmal außer Acht gelassen, da wird es sonst zu kompliziert.

Danke dir.

[quote=Andreas1235 post_id=434254 time=1728069724]
Nächste Woche soll es ja losgehen (41. Kalenderwoche).
Durch Windows Update wird Secure Boot geändert:
1. UEFI CA 2023 wird in DB gespeichert
2. UEFI CA 2023 Start-Manager wird installiert
Und
3. Production CA 2011 wird in DBX gesperrt.
Alles im laufenden Windows, bootet und funktioniert weiter.[/quote]
Der Zeitpunkt wurde nach KB5025885 verschoben, ohne genauen Termin., ein halbes Jahr nach Juli, es wird 2025.
Es wird sich in der Zukunft zeigen, was, wie, in welchem Umfang geändert wird. Heute lässt sich das nicht präzise sagen.

[quote]Aber was passiert nach dieser Secure Boot Änderung, wenn ich ein clean Neuinstallation Win 11 24H2 mache? (mit aktueller ISO von Microsoft)
Welcher Start-Manager wird installiert?
24H2 benutzt doch Production CA 2011 Start-Manager oder?
Funktioniert die Win 11 24H2.iso von Microsoft?
In der iso install.wim gibt es die Ordner windows\boot\Efi und efi_ex.[/quote]Setup erkennt CA 2023 im UEFI und installiert den
CA 2023 aus dem efi_ex Ordner. Das funktioniert mit der historischen 26100.1 und 24H2.iso.

Falls SVN aktiviert wird, wird es spannender.
Der dann aktuelle bootmgfw_EX.efi ist heute unklar, es kann z.B. SVN 4.0 werden. Eine heutige 24H2.iso wird dann nicht offline funktionieren.
Eventuell lädt setup die dann aktuelle Version online bei der Installation herunter.
Auch ein Unattended Fix ist denkbar, bootx64.efi vom gerade gestarteten Bootmedium sollte passen.

[quote=Andreas1235 post_id=434287 time=1728121541]Reicht es aus, hier die Anleitung aus KB5025885 zu folgen?[/quote]
Das reicht, wenn SVN nicht aktiviert wird.
Mit SVN (Secure Version Number) besteht die Gefahr: Security Error: Secure boot version check failed.
Hier kommt es auch darauf an, ist das eine Neuinstalltion auf leerer Festplattte oder mit vorhandener \efi Partition.

Der Resource Hacker zeigt bei den bootmgfw_EX.efi unter RCData eine BootmgrSecurityVersionNumber und eine SecurityVersionNumber
http://www.angusj.com/resourcehacker/
aus 26100.1742 winre.wim - 00 00 02 00 / 01 00 00 00 : SVN 2.0
aus 26100.1742 install.wim - 00 00 03 00 / 01 00 00 00 : SVN 3.0

Aktuell ist das ein Schachspiel.

[quote=DK2000 post_id=434110 time=1727898361 user_id=39966]
Das Vergüten tritt auf, wenn man auch die DBX installiert. Dann wird alles mit dem Zertifikat 'Microsoft Windows Production PCA 2011' abgelehnt. Man muss dann auf jeden Fall den Inhalt von ~\EFI mit den EX Dateien aktualisieren.

https://learn.microsoft.com/de-de/windows-hardware/manufacture/desktop/winpe-create-usb-bootable-drive?view=windows-11
Punkt 6
[/quote]

Du schreibst Punkt 6.

Es gibt noch die Anleitung KB5025885
[url]https://support.microsoft.com/de-de/topic/kb5025885-verwalten-der-windows-start-manager-sperrungen-f%C3%BCr-secure-boot-%C3%A4nderungen-im-zusammenhang-mit-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d[/url]

Aktualisieren der Windows-Installationsmedien

3. Wenn das neu erstellte Flash-Laufwerk eingebunden ist (z. B. als Laufwerk "D:"), führen Sie die folgenden Befehle als Administrator aus. Geben Sie jeden der folgenden Befehle ein, und drücken Sie dann die EINGABETASTE:

COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

bcdboot c:\windows /f UEFI /s D: /bootex

COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Reicht es aus, hier die Anleitung aus KB5025885 zu folgen?

Hallo.
Ich blicke da nicht durch.
Nächste Woche soll es ja losgehen (41. Kalenderwoche).
Durch Windows Update wird Secure Boot geändert:
1. UEFI CA 2023 wird in DB gespeichert
2. UEFI CA 2023 Start-Manager wird installiert
Und
3. Production CA 2011 wird in DBX gesperrt.
Alles im laufenden Windows, bootet und funktioniert weiter.

Aber was passiert nach dieser Secure Boot Änderung, wenn ich ein clean Neuinstallation Win 11 24H2 mache? (mit aktueller ISO von Microsoft)
Welcher Start-Manager wird installiert?
24H2 benutzt doch Production CA 2011 Start-Manager oder?
Funktioniert die Win 11 24H2.iso von Microsoft?
In der iso install.wim gibt es die Ordner windows\boot\Efi und efi_ex.

Das Vergüten tritt auf, wenn man auch die DBX installiert. Dann wird alles mit dem Zertifikat 'Microsoft Windows Production PCA 2011' abgelehnt. Man muss dann auf jeden Fall den Inhalt von ~\EFI mit den EX Dateien aktualisieren.

https://learn.microsoft.com/de-de/windows-hardware/manufacture/desktop/winpe-create-usb-bootable-drive?view=windows-11
Punkt 6

https://www.microsoft.com/de-de/software-download/windows11
"Windows 11 Laufwerkimage (ISO)" Win11_24H2_German_x64.iso und
"Windows 11-Installationsmedium erstellen" erstellter USB Stick:

install.wim\Windows\System32\Recovery\Winre.wim\Windows\Boot\EFI_EX\bootmgfw_EX.efi ist veraltet.

Eine Neuinstallation mit aktiviertem CA 2023 SVN (Secure Version Number) schlägt fehl.
Security Error: Secure boot version check failed.

Mit editiertem install.wim|winre.wim ist eine Installation möglich.
copy mount\install_wim\Windows\Boot\EFI_EX\bootmgfw_EX.efi mount\winre_wim\Windows\Boot\EFI_EX
Das ist ein Hack für Win11_24H2 26100.1742, bedarf der Kontrolle/Anpassung bei zukünfitigen Versionen.


Ich warte, bis die KB5025885 Einstellungen allgemein verteilt werden.
Wird auch SVN (Secure Version Number) allgemein aktiviert?


Ein Szenario:
Ein USB Stick 2025 Montags erstellt.
Mit diesem USB Stick Dienstag abends Windows 11 neu installiert. Und Windows Update aktualisert, dabei wird die SVN erhöht.
Der gerade verwendete USB Stick ist veraltet, eignet sich nicht mehr zur Neuinstallation auf diesem Rechner. Das verwirrt mich selbst ;)
Hoffentlich läßt sich dann über der obigen Seite ein funktionierender USB Stick erstellen.

Das 'Windows UEFI CA 2023' ist in der Testphase, die Bootmedien sind anzupassen.
Auf eigenen und fremden Rechnern verspricht das viel Spaß ;)

Zwei Präsentationen zu dem Thema
https://uefi.org/sites/default/files/resources/Evolving%20the%20Secure%20Boot%20Ecosystem_Flick%20and%20Sutherland.pdf
Seite 59ff
https://nbviewer.org/github/microsoft/MSRC-Security-Research/blob/master/presentations/2024_05_OffensiveCon/OffensiveCon24_Booting_With_Caution_BDemirkapi.pdf


Die Windows 11 24H2 steht an.
https://www.deskmodder.de/blog/2024/02/14/kb5036210-bereitstellung-des-windows-uefi-ca-2023-zertifikats-ab-13-februar-2024/
https://www.deskmodder.de/blog/2024/08/27/cve-2023-24932-windows-bootmedium-sollte-aktualisiert-werden-wegen-secure-boot-aenderungen/


Zeit für einen Testrechner, 24H2 ist installiert inklusive Windows Update.
https://support.microsoft.com/de-de/topic/kb5025885-verwalten-der-windows-start-manager-sperrungen-f%C3%BCr-secure-boot-%C3%A4nderungen-im-zusammenhang-mit-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d
Schritt 1: Das Windows-Sicherheitsupdate installieren
Schritt 2: Die Änderungen evaluieren
Schritt 3: Erzwingen der Änderungen
1. CA 2023 zum UEFI NVRAM hinzufügen
2. CA 2023 Bootmanager aktivieren
3. CA 2011 im UEFI NVRAM sperren
4. SVN (Secure Version Number) Update, Optional.

Die Schritte bis zur CA 2011 Sperrung werden in der Zukuft ausgerollt.
Möglicherweise bleibt das SVC Update optional, oder wird auch ausgerollt. Das ist aktuell offen.

Test mit der "Urversion" 26100.1 auf USB Stick, ohne 4. SVN Update
bcdboot c:\windows /f UEFI /s D: /bootex

Eine Neuinstallation auf leerer Festplatte (mit diskpart, select disk, clean) mit der "Urversion" 26100.1 funktioniert.
Der Bootmanager (EFI-Partition)\efi\microsoft\boot\Bootmgwf.efi ist CA 2023 signiert.

Nach Windows Update wird es mit dem 4. SVN-Update spannend.
In die Firmware wird eine zusätzliche Mindestversion vom Bootmanager eingetragen.
Auf dem Testrechner eine alte Version ausprobiert, der USB Stick mit 26100.1.

Die aktuelle SVN Bootumgebung eingepielt,
bcdboot c:\windows /s g: /f UEFI /bootex
Mit akutellem Windows Update wird die aktuelle SVC Version gesichert.
bcd zurückkopiert.

Und Vgl die KB: mountvol s: /s | copy S:\EFI\Microsoft\Boot\bootmgfw.efi [U:]\bootmgfw_2023.efi


Bei einer Neuinstallation der "Urversion" 26100.1 auf leerer Festplatte werden die Instllationsdaten kopiert.
Und beim ersten neu starten ergibt sich:

Security Error: Secure boot version check failed.
Your system security may be compromised!
Current version: 1.0 - Minimum allowed version: 3.0
Visit https://aka.ms/secure-boot-version-violation for more information.
The system will shutdown in 10 seconds.

Der Text findet sich in bootmgfw.efi.

Vom USB Stick U: gebootet:
Shift F10, mountvol s: /s, copy /b U:\EFI\Microsoft\Boot\bootmgfw.efi S:\EFI\Microsoft\Boot\
Neu start und die Installation wird fortgeführt.

Der Bootmanager liest die Mindestversion aus dem NVRAM und prüft sich selbst.
Weitere Dateien aus der EFI Partition werden nicht berücksichtigt.

Aus KB5025885:
"Jedes Mal, wenn der SVN aktualisiert wird, müssen alle startbaren Medien aktualisiert werden."
Eine Installation bei SVN Update kann mit lokal vorhandenem 24H2 ISO in der Zukunft fehl schlagen.
Die obige Fehlermelung wird entsprechend erscheinen, die Versionsnummern werden sich unterscheiden. Das kann eine Fehlermeldung werden, die öfters vorkommt.
Eine aktuelle bootmgfw.efi kopieren ist ein minimaler Lösungsansatz.



Zur finalen 24H2 ist es wohl nicht mehr so lang hin.
In der Zwischenzeit ein Test mit der Windows 11 24H2 Enterprise Eval.
26100.1742.240906-0331.ge_release_svc_refresh_CLIENTENTERPRISEEVAL_OEMRET_x64FRE_de-de.iso

Ein 8 GB USB Stick FAT32 formatiert, die ISO Dateien kopiert (via dism.exe install.wim --> install.esd)
Die bcd Datei gesichert. Auf einem Rechner mit 26100.1742 mit CA2023 und SVP aktiv:
bcdboot c:\windows /s d: /f UEFI /bootex /offline
Die bcd Datei zurück kopiert.

Eine Neuinstallation auf leerer Festplatte (mit diskpart, select disk, clean) ergibt
Security Error: Secure boot version check failed.
Current version: 2.0 - Minimum allowed version: 3.0

Das Ergebnis verblüfft mich.

Setup speicherte in die EFI Partiton auf der Festplatte:
sigcheck64.exe bootmgfw.efi
Verified: Signed
Signing date: 18:55 29.03.2024
File version: 10.0.26089.1001 (WinBuild.160101.0800)

Aus KB5025885:
Ab den Updates vom 9. Juli 2024 wird die SVN im Startmanager und im Firmwareupdate erhöht.

Die bootmgfw.efi Signatur vom März ist zu alt.
Diese Datei findet sich auch unter \$Windows.~BT\Sources\Boot\EFI_EX\bootmgfw_EX.efi.
Und in $Windows.~BT\Sources\SafeOS\winre.wim|\Windows\Boot\EFI_EX\bootmgfw_EX.efi.

Der Rechner war offline, ohne Internetverbindung.

Unter \Windows\Boot\EFI_EX\bootmgfw_EX.efi gibt es eine neuere Datei, signiert am 07.08.2024.
mountvol s: /s
copy \Windows\Boot\EFI_EX\bootmgfw_EX.efi s:\efi\Microsoft\Boot\bootmgfw.efi /y
Neu start und die Installation wird fortgeführt.

Zusammengefasst:
26100.1742.240906-0331.ge_release_svc_refresh_CLIENTENTERPRISEEVAL_OEMRET_x64FRE_de-de.iso
aktuell:
boot.wim\2\Windows\Boot\EFI_EX\bootmgfw_EX.efi
install.wim\Windows\Boot\EFI_EX\bootmgfw_EX.efi
veraltet:
install.wim\Windows\System32\Recovery\Winre.wim\Windows\Boot\EFI_EX\bootmgfw_EX.efi

Ich bin auf die finale 24H2 mit der install.wim/winre.wim gespannt.

Nochmals: die 4. SVN (Secure Version Number) ist als Optional deklariert, unklar ob das generell ausgerollt wird.
Unabhängig davon gibt eine Fehlermeldung in der Zukunft einen Hinweis für einen Lösungsansatz
Security Error: Secure boot version check failed.
Current version: * - Minimum allowed version: *

In einem Jahr mag mindestens SVN Version 4.0 gefordert sein, die Installationsmedien von heute werden nicht funktionieren.
Lösungsideen: manueller fix, neue Installationsdateien, Installation mit Onlineverbindung (aktuelle bootmgwf.efi aus dem Netz)
Eine fortlaufende Pflege der Installationsmedien ist angebracht.