... da ich leider nichts mehr von Euch gehört habe, weder positives noch negatives,
gehe ich davon aus, alles richtig gemacht zu haben und das es passt.
Somit sollte es für's erste gewesen sein, mal sehen was 2026 noch so bringt.

... und was meint Ihr?
Passt mein Vorgehen?

@ DK2000: also du meinst, ich habe nun alles richtig gemacht und brauche mir keine Sorgen zu machen,
dass mein PC im kommenden Jahr (Juni/Oktober) nicht mehr läuft?
Microsoft Windows Production PCA 2011 (revoked: True) => sollte m.E. kein Problem sein, ich starte den PC immer mit dem gleichen Datenträger oder wie meinst du das?
Eine neue Sicherung mache ich noch ... da habe ich bisher immer den AOMEI Backupper benutzt,
von Windows gibt es da aber auch eine Möglichkeit.
Systemsteuerung -> Sichern und Wiederherstellen (Windows 7) -> Systemabbild erstellen -> auf externe Festplatte
Korrekt oder?
Oder bekomme ich mit dieser externen Festplatte nun ein Problem?

van Neel hat geschrieben: 15.08.2025, 07:45 - Kann man das bedenkenlos Umstellen im UEFI (also auf WindowsUEFI). Auf dem Rechner läuft Win11 26100.4946

Das kann ich Dir nicht beantworten. Ausprobieren. Aber hatten da neulich schon so einen Thread mit "Other OS" ("anderes Betriebssystem") und da hat das auch nicht geklappt. Der Nutzer hatte dann irgendwann eine Neuinstallation vorgenommen und dann lief es. Keine Ahnung, wie sich das bei Dir verhallt.

Und die Keys in der Registry löschen, sollte gehen. Aber genau kann ich es Dir nicht sagen. Bei mir wurden die automatisch über die kumulativen Updates geschrieben.

Das sieht zwar soweit erst einmal gut aus, nur dass hätte ich derzeit noch nicht gemacht:

Microsoft Windows Production PCA 2011 (revoked: True)

Das hat jetzt zu Folge, dass bei Dir ausschließlich nur noch Datenträger sich starten lassen, welche das neue Zertifikat für die Bootdateien verwendet. Alle anderen Datenträger werden am Booten gehindert. Um das zu umgehen, müsste man jedes Mal Secureboot ausschalten und danach wieder einschalten.

Hallo DK2000,
danke nochmals für deine Rückmeldung.
Ich habe das nun über github heruntergeladen. Ich habe nun das Windows-Befehlsskript "Check UEFI KEK, DB and DBX" als Administrator ausgeführt und siehe da, es hat funktioniert.
Obwohl ich bei PC und Notebook mit der gleichen Anleitung vorgegangen bin, habe ich nun zwei verschiedene Ergebnisse erhalten, die auch zu deinem Screenshot (Seite 3 / Eintrag vom 13.08.2025, 18:44) abweichen. (bei mir sind weniger grüne Haken als bei dir)
Kannst Du dir das bitte nochmals anschauen? Was meinst Du dazu?
Passt das nun mit den neuen Zertifikaten oder muss ich nochmals eingreifen?
DANKE DIR schon mal für deine weitere Unterstüzung.

Notebook:
Ausgabe am Notebook:
Checking for Administrator permission...
Running as administrator - continuing execution...

15 August 2025 Manufacturer: Acer Model: Aspire VX5-591G BIOS: Insyde Corp., V1.08, V1.08, ACRSYS - 0 Windows version: 24H2 (Build 26100.4946)

Secure Boot status: Enabled

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023

Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023

Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023

Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
X Windows UEFI CA 2023
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023

Current UEFI DBX (only the latest one is needed to be secure)
2023-03-14 : FAIL: 193 failures, 27 successes detected
2023-05-09 : FAIL: 344 failures, 27 successes detected
2025-01-14 (v1.3.1) : FAIL: 234 failures, 11 successes detected
2025-06-11 (v1.5.1) : FAIL: 403 failures, 27 successes detected

Ausgabe am PC:
Checking for Administrator permission...
Running as administrator - continuing execution...

15 August 2025
Manufacturer: Acer
Model: Aspire TC-603
BIOS: American Megatrends Inc., P11-A0, P11-A0, ACRSYS - 1072009
Windows version: 22H2 (Build 19045.6216)

Secure Boot status: Enabled

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023

Default UEFI KEK
WARNUNG: Failed to query UEFI variable 'KEKDefault' for cert 'Microsoft Corporation KEK CA 2011'
WARNUNG: Failed to query UEFI variable 'KEKDefault' for cert 'Microsoft Corporation KEK 2K CA 2023'

Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023

Default UEFI DB
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft Windows Production PCA 2011'
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft Corporation UEFI CA 2011'
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Windows UEFI CA 2023'
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft UEFI CA 2023'
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft Option ROM UEFI CA 2023'

Current UEFI DBX (only the latest one is needed to be secure)
2023-03-14 : SUCCESS: 220 successes detected
2023-05-09 : SUCCESS: 371 successes detected
2025-01-14 (v1.3.1) : SUCCESS: 245 successes detected
2025-06-11 (v1.5.1) : SUCCESS: 430 successes detected

(editiert)

Noch drei evtl dumme Fragen:

- Auf einem PC, der Secure Boot laut Check UEFI KEK, DB and DBX.cmd gar nicht aktiviert hat (enabled im UEFI, aber mit "anderes Betriebssystem" anstatt "WindowsUEFIModus" ) funtionieren diese Befehle vermutlich nicht?

- Kann man das bedenkenlos Umstellen im UEFI (also auf WindowsUEFI). Auf dem Rechner läuft Win11 26100.4946

- kann man Schlüssel "AvailableUpdates" wieder bedenkenlos löschen wenn alles getan ist, oder gab es den schon vorher nur mit einem anderen Wert?

Das gibt es hier:

https://github.com/cjee21/Check-UEFISecureBootVariables

Sind ein paar Skripte für die PowerShell mit ein wenig Aufbereitung der Ergebnisse. Dachte, dass hattest Du schon heruntergeladen, weil Du es ja selbst verlinkt hattest.

Auf der Seite auf das grüne "Code" gehen und hier dann auf "Download ZIP".

@ DK2000: vielen Dank für deine Unterstützung aber leider finde ich auf meinem PC
weder "Show UEFI PK, KEK, DB and DBX.cmd" noch "Check UEFI PK, KEK, DB and DBX.cmd",
das du mir in deinem zweiten Screenshot aufzeigst.
Du musst mir jetzt nochmals genau sagen, wo und was ich eingeben soll? Oder muss ich da noch etwas downloaden?
Oder wie komme ich nun zu dieser Ausgabe wo auch van Neel im vorherigen Beitrag gezeigt hat.
Danke nochmals.

Du hast halt nur das CA 2023 installiert, aber nicht den Bootmanager aktualisiert. Und nebenbei noch die DBX aktualisiert.

WindowsUEFICA2023Capable=1 : “Windows UEFI CA 2023” certificate is in the DB

Die fehlt halt noch:
Dann wird auch der Boomeranger aktualisiert und WindowsUEFICA2023Capable=2.

Ich verstehe zwar nur Bahnhof habe aber immer alle Updates gemacht und jetzt in der Registry nach geschaut und unter:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing)
den Eintrag WindowsUEFICA2023Capable mit dem Wert 0 gefunden.

Die Eingabe von:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’
gab ein false zurück.

AvailableUpdates auf 0x40 zu setzen und der Start von Secure-Boot-Update haben daran nichts geändert.

Dann habe ich auf die Dateien aus "Check-UEFISecureBootVariables-main" zurück gegriffen und dort die reg Datei
Apply DBX update (restart required).reg ausgeführt.

Das hat erstmal geholfen. Nach dem Neustart des Rechners wird WindowsUEFICA2023Capable mit einer 1 gezeigt und
-match ‘Windows UEFI CA 2023’ wird mit true zurück gegeben.

Die Ausgabe von Check UEFI KEK, DB and DBX.cmd ergibt folgendes Bild:

Checking for Administrator permission...
Running as administrator - continuing execution...

10 August 2025
Manufacturer: TULPAR
Model: T7 V20.6
BIOS: American Megatrends International, LLC., N.1.14MON08, N.1.14MON08, ALASKA - 1072009
Windows version: 24H2 (Build 26100.4770)

Secure Boot status: Enabled

Current UEFI KEK
✅ Microsoft Corporation KEK CA 2011 (revoked: False)
❌ Microsoft Corporation KEK 2K CA 2023

Default UEFI KEK
✅ Microsoft Corporation KEK CA 2011 (revoked: False)
❌ Microsoft Corporation KEK 2K CA 2023

Current UEFI DB
✅ Microsoft Windows Production PCA 2011 (revoked: False)
✅ Microsoft Corporation UEFI CA 2011 (revoked: False)
✅ Windows UEFI CA 2023 (revoked: False)
❌ Microsoft UEFI CA 2023
❌ Microsoft Option ROM UEFI CA 2023

Default UEFI DB
✅ Microsoft Windows Production PCA 2011 (revoked: False)
✅ Microsoft Corporation UEFI CA 2011 (revoked: False)
❌ Windows UEFI CA 2023
❌ Microsoft UEFI CA 2023
❌ Microsoft Option ROM UEFI CA 2023

Current UEFI DBX (only the latest one is needed to be secure)
2023-03-14 : SUCCESS: 220 successes detected
2023-05-09 : SUCCESS: 371 successes detected
2025-01-14 (v1.3.1) : SUCCESS: 245 successes detected
2025-06-11 (v1.5.1) : SUCCESS: 430 successes detected

Soweit so gut (hoffe ich). Nach wie vor läuft alles prima.

Allerdings sehe ich im UEFI nur ein aktiviertes Secure Boot mit Factory-Keys.
Kann es sein, dass ich die Windows-Keys nicht brauche?

Oder habe ich das alles sowieso falsch verstanden?

Hab den Screenshot jetzt mal extern verlinkt. Vergesse da immer, das Gäste gar keine Anhänge sehen können. Sorry.

Ansonsten, die "Show UEFI PK, KEK, DB and DBX.cmd" mit Adminrechten ausführen. Dann ist das uninteressant mit den Leerzeichen im Namen.



Und das Problem mit der DBX und dem gesperrten "Microsoft Windows Production PCA 2011" hat jetzt natürlich die Folge, das nur noch Windows mit dem neuen Zertifikat startet. Auch original Microsoft ISOs würden jetzt nicht mehr booten, da Microsoft bislang den Bootmanager auf dem ISOs nicht aktualisiert hat. Das muss man derzeit auch noch selber machen.

Ältere Backups wären jetzt auch unbrauchbar. An der Stelle also unbedingt ein neues Backup anlegen.

Meinst Du, dass es nun bei mir so nicht richtig funktioniert hat? wegen der DBX.

Leider kann ich den Anhang nicht öffnen aufgrund fehlender Rechte. Das mit den "" habe ich nicht verstanden.
Den Befehl so und so eingegeben, leider bin ich dazu zu blöd.

Was mich halt wundert ist die Sache mit der DBX.

"Show UEFI PK, KEK, DB and DBX.cmd". Da sind Leerzeichen im Namen. Das doof. Muss man dann mit "" einschließen. Und in der Konsole mit Adminrechten ausführen. Bei mir funktioniert das in der VM nur sehr eingeschränkt.



Das VirtualBox UEFI ist da irgendwie nicht ganz konform, was das angeht.

... habe jetzt nochmals von vorne alle Schritte hintereinander ausgeführt.

Wenn ich nun den Befehl
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
in PS eingebe, erscheint 'True'.
Das mit den Katalogsignaturen ist nach wie vor so, aber nur am Notebook. Beim PC habe ich es mittlerweile auch ausprobiert, hier gibt es nur eine Signaturliste und bei der passt es.
In der Ereignisanzeige tauchen nun auch ein paar mehr Einträge unter TPM-WMI:
1042 Die Aktualisierung des sicheren Starts von Dbx zum Widerrufen älterer Start-Manager-SVNs wurde erfolgreich angewendet
1036 Das Update für den sicheren Start von Db wurde erfolgreich angewendet
1037 Das Update für den sicheren Start von Dbx zum Widerrufen von Microsoft Windows Production PCA 2011 wurde erfolgreich angewendet
1799 Der mit Windows UEFI CA 2023 signierte Start-Manager wurde erfolgreich installiert,
Beim Notebook gibt es zusätzlich noch die Meldung 1034: Das Update für den sicheren Start von Dbx wurde erfolgreich angewendet. Aber diese ist schon etwas älter, habe ich gesehen.

Was meint ihr nun, sollte doch nun passen oder?
Hoffentlich.
Gibt es noch eine Möglichkeit, das ganze zu überprüfen? tramp20 hatte doch noch die Möglichkeit einer Abfrage ins Spiel gebracht. \Check-UEFISecureBootVariables-main\Show UEFI PK, KEK, DB and DBX.cmd
Bei mir funktioniert das irgendwie nicht, wahrscheinlich mache ich es falsch.

Danke euch nochmals vielmals und SORRY dass ich zig mal nachfrage, kenne mich nicht so gut aus wie ihr.