Für jene, die dasselbe Problem haben. Es nützt nur eine Neuinstallation, ich habe es eben dank frust level gemacht und siehe da, secure boot funktioniert jetzt. ^^

Ob es nun daran lag, das ich damals von einer SSHD auf die SSD geclont hatte, wo ich den Pc modernisiert habe oder davon, das ich lediglich ein Upgrade von Win 10 auf Win 11 hatte, kann ich leider nicht sagen. Ich vermute aber es ist eher das Upgrade Szenario.

Auf jeden Fall noch mal Danke an alle, die sich hier für mich Zeit genommen hatten. ^^

Ich habe mal versucht das Zertifikat manuell zu installieren aber auch das will nicht. Sehr eigenartig

Dann muss das funktionieren. Das Gerät ist ja noch nicht alt. Oder halt die UEFI Revision ist zu alt. Das weiß ich nicht. Keine Ahnung, ob es da eine minimale Revision gibt, die Windows erwartet. Oder ich mache gerade einen Denkfehler.

Ja das Board hat TPM 2.0 es ist alles vorhanden, ich habe ja auch Win 11 ohne Probleme installiert, also nichts umgangen oder sowas. Das letzte Bios habe ich auch drauf, das ist von 2021.

Dann ist Dein UEFI aber wirklich schon etwas älter. Ob der da die neuen Zertifikate einspielen kann? TPM 2.0 ist vorhanden?

Bei der ersten Zeile ist es True, bei der zweiten false.

[u]Bei der letzten Zeile kommt eine Fehlermeldung: [/u]

PS C:\Windows\system32> [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
Get-SecureBootUEFI : Die Variable ist zurzeit nicht definiert: 0xC0000100
In Zeile:1 Zeichen:42
+ ... ystem.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) ...
+ ~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ResourceUnavailable: (Microsoft.Secur...BootUefiCommand:GetSecureBootUefiCommand) [Get-SecureBootUEFI], StatusException
+ FullyQualifiedErrorId : GetFWVarFailed,Microsoft.SecureBoot.Commands.GetSecureBootUefiCommand

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Windows Production PCA 2011'

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011' 

Jetzt im UEFI oder beim Zertifikat der Bootdatei?

[code][System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Windows Production PCA 2011'[/code][code][System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'[/code]

Bei beiden sollte derzeit noch "True" erscheinen und hier sollte "False" erscheinen:

[code]System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011' [/code]

Jetzt kommt es halt darauf an, dass die bootmgfw.efi entweder das CA 2011 oder das CA 2023 beizt. Beide funktionieren derzeit noch mit Secure Boot.

Eventuell hat Windows das Zertifikat nie aktualisiert, weil wegen "OtherOS" oder durch das Löschen der Keys alles wieder rückgängig gemacht. Aber das CA 2011 sollte vorhanden sein.

Ich habe mit Powershell nachgesehen, ich habe das Zertifikat Windows UEFI 2023 gar nicht. Ich habe Microsoft Windows Production PCA 2011

ist etwas sicherer:

mkdir C:\bootmgr
xcopy S:\EFI\Microsoft\Boot\bootmgfw.efi C:\bootmgr

dann kann man sich in dem Verzeichnis das verwendete Zertifikat unter Eigenschaften anzeigen lassen

Ich habe mountvol s: /s erledigt.

Aber s: taucht nirgendwo auf ^^

Das egal. Noch nie was von gehört, dass Secure Boot wegen einem alten Datenträger versagt. Das prüft ja nur die Zertifikate der Bootdateien und so. Wichtig ist halt nur, das die EFI-Systempartition als Datensysteme FAT32 hat. Zum Booten scheint der die aber zu verwenden.

Ma schauen, was da in der EFI-Systempartition so drin ist:

mountvol s: /s

Das ordnet der Systempartition den Buchstaben S: zu. Falls der bei Dir schon belegt ist, dann eine n anderen Buchstaben Wähen. Da kann man mal nachsehen, was da drin ist und welche Zertifikate die Bootdateien haben. Die Dateien sind aber teilweise versteckt.

S:\EFI\Microsoft\Boot\bootmgfw.efi

Von der Datei die Eigenschaften\Digitale Signatur. Der Pfad wäre interessant:

[attachment=0]46b20be7-4d36-4305-9b03-5556c3dd7e18.png[/attachment]

Da steht:
100MB
Fehlerfrei (EFI-Systempartition)

Daneben:
C:
930,16GB NTFS Fehlerfrei (Startpartition, Auslagerungsdatei, Absturzabbild, Basisdatenpartition)



Also ist es wurscht ob da auch ne Uralt HDD drin arbeitet (Nicht C:)?

Eine normale EFI-Systempartition (ESP) mit FAT32 wird Dir in der Datenträgerverwaltung angezeigt?

Ich vermute da irgendwie, dass da das Problem liegt. Müsste man eventuell formatieren und neu schreiben lassen.

Weil das Problem scheint ja auch zu sein, dass der Eintrag "Windows Boot Manager" nicht funktioniert, egal ob mit Secure Boot oder nicht. Der muss funktionieren.

Außer natürlich, die rote Meldung bezieht sich wirklich auf die Firmware, also dem UEFI an sich und deren Treiber.

Sorry Doppelpost.

Ich habe nochmal über die Problematik nachgedacht. Mal angenommen mit den Keys ist gar nichts, sondern die machen was sie sollen, wäre es dann nicht denkbar das es schlicht an alter Hardware liegt?
Ich habe z.B. noch eine alte HDD drin, die ich schon seit 2006 in jedem PC mit schleife. Und meine Spiele HDD ist auch schon älter. Treiber Updates wird es für die nicht geben.

Ja es listet einiges auf, was soll ich damit machen? ^^

Ich kann gerne mal schauen aber von custom habe ich im Bios nichts gesehen. Ich schau mal eben nach.


[Edit]: Ich habe nichts mit Custom gefunden.