Systeminformationsbericht erstellt am: 09/18/25 12:28:40
Systemname: DESKTOP-xxxxxxxx
[Systemübersicht]

Element	Wert	
Betriebsystemname	Microsoft Windows 11 Pro	
Version	10.0.26200 Build 26200	
Betriebsystemhersteller	Microsoft Corporation	
Systemname	DESKTOP-xxxxxxxx	
Systemhersteller	HP	
Systemmodell	HP All-in-One Desktop-27-ct2659nz-pc-bp6q2ea-uuz	
Systemtyp	x64-basierter PC	
System-SKU	xxxxxxx#xxx	
Prozessor	AMD Ryzen x xxxxX with Radeon Graphics, xxxx MHz, x Kern(e), x logische(r) Prozessor(en)	
BIOS-Version/-Datum	AMI F.19, 22.08.2025	
SMBIOS-Version	3.5	
Version des eingebetteten Controllers	20.13	
BIOS-Modus	UEFI	
BaseBoard-Hersteller	HP	
BaseBoard-Produkt	xxxx	
BaseBoard-Version	xxxxxxxxxx	
Plattformrolle	Desktop	
Sicherer Startzustand	Ein	
PCR7-Konfiguration	Gebunden	
Windows-Verzeichnis	x:\Windows	
Systemverzeichnis	x:\Windows\system32	
Startgerät	\Device\HarddiskVolume1	
Gebietsschema	Deutschland	
Hardwareabstraktionsebene	Version = "10.0.26100.1"	
Benutzername	xxxxxxxxxxxx\Windows	
Zeitzone	Mitteleuropäische Sommerzeit	
Installierter physischer Speicher (RAM)	32,0 GB	
Kernel-DMA-Schutz	Ein	
Virtualisierungsbasierte Sicherheit	Wird ausgeführt...	
Virtualisierungsbasierte Sicherheit – erforderliche Sicherheitseigenschaften	Allgemeine Virtualisierungsunterstützung	
Virtualisierungsbasierte Sicherheit – verfügbare Sicherheitseigenschaften	Allgemeine Virtualisierungsunterstützung, Sicherer Start, DMA-Schutz, Sichere Speicherüberschreibung, UEFI-Code Readonly, SMM Security Mitigations 1.0, Modusbasierte Ausführungssteuerung	
Virtualisierungsbasierte Sicherheit – konfigurierte Dienste	Durch Hypervisor erzwungene Codeintegrität	
Virtualisierungsbasierte Sicherheit – ausgeführte Dienste	Durch Hypervisor erzwungene Codeintegrität	
App Control for Business-Richtlinie	Erzwungen	
App Control for Business-Benutzermodusrichtlinie	Überwachung	
Unterstützung für automatische Geräteverschlüsselung	Voraussetzungen erfüllt	
Es wurde ein Hypervisor erkannt. Features, die für Hyper-V erforderlich sind, werden nicht angezeigt.

[quote=Tekkie post_id=448693 time=1758189604]
Man könnte das Secure Boot Update wie im Support Artikel von Microsoft beschrieben Händisch anstoßen, aber das muss jeder für sich selbst entscheiden:
[/quote]

Wie gesagt abhänig von der Hardware und bedenke die (versteckten) Folgen.
Bei mir war kein Bios Update von F17 zu F19 mit der 25h2 mehr möglich nach den Secure Boot Update.
Erst Bitlocker abschalten, Festplatte löschen und Bios (Full) Reset war nötig!
D.H. auch alle Keys im UEFI löschen war nötig (hp&MS) und das geht auch nicht mit jeder Hardware!
Also Vorsicht! mit dem Secure Boot Update, per Hand.

zur meiner Hardware dieses:
[code]
Systeminformationsbericht erstellt am: 09/18/25 12:28:40
Systemname: DESKTOP-xxxxxxxx
[Systemübersicht]

Element Wert
Betriebsystemname Microsoft Windows 11 Pro
Version 10.0.26200 Build 26200
Betriebsystemhersteller Microsoft Corporation
Systemname DESKTOP-xxxxxxxx
Systemhersteller HP
Systemmodell HP All-in-One Desktop-27-ct2659nz-pc-bp6q2ea-uuz
Systemtyp x64-basierter PC
System-SKU xxxxxxx#xxx
Prozessor AMD Ryzen x xxxxX with Radeon Graphics, xxxx MHz, x Kern(e), x logische(r) Prozessor(en)
BIOS-Version/-Datum AMI F.19, 22.08.2025
SMBIOS-Version 3.5
Version des eingebetteten Controllers 20.13
BIOS-Modus UEFI
BaseBoard-Hersteller HP
BaseBoard-Produkt xxxx
BaseBoard-Version xxxxxxxxxx
Plattformrolle Desktop
Sicherer Startzustand Ein
PCR7-Konfiguration Gebunden
Windows-Verzeichnis x:\Windows
Systemverzeichnis x:\Windows\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "10.0.26100.1"
Benutzername xxxxxxxxxxxx\Windows
Zeitzone Mitteleuropäische Sommerzeit
Installierter physischer Speicher (RAM) 32,0 GB
Kernel-DMA-Schutz Ein
Virtualisierungsbasierte Sicherheit Wird ausgeführt...
Virtualisierungsbasierte Sicherheit – erforderliche Sicherheitseigenschaften Allgemeine Virtualisierungsunterstützung
Virtualisierungsbasierte Sicherheit – verfügbare Sicherheitseigenschaften Allgemeine Virtualisierungsunterstützung, Sicherer Start, DMA-Schutz, Sichere Speicherüberschreibung, UEFI-Code Readonly, SMM Security Mitigations 1.0, Modusbasierte Ausführungssteuerung
Virtualisierungsbasierte Sicherheit – konfigurierte Dienste Durch Hypervisor erzwungene Codeintegrität
Virtualisierungsbasierte Sicherheit – ausgeführte Dienste Durch Hypervisor erzwungene Codeintegrität
App Control for Business-Richtlinie Erzwungen
App Control for Business-Benutzermodusrichtlinie Überwachung
Unterstützung für automatische Geräteverschlüsselung Voraussetzungen erfüllt
Es wurde ein Hypervisor erkannt. Features, die für Hyper-V erforderlich sind, werden nicht angezeigt.
[/code]

Okay.

Man könnte das Secure Boot Update wie im Support Artikel von Microsoft beschrieben Händisch anstoßen, aber das muss jeder für sich selbst entscheiden:

https://support.microsoft.com/de-de/topic/verwalten-der-windows-start-manager-sperrungen-f%C3%BCr-%C3%A4nderungen-des-sicheren-starts-im-zusammenhang-mit-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d

[quote=DK2000 post_id=448678 time=1758178162 user_id=39966]
WindowsUEFICA2023Capable=2
(Windows UEFI CA 2023” certificate is in the DB and the system is starting from the 2023 signed boot manager.)
[/quote]

Bei der Hardware kommt es aber auf die Werte unter "DeviceAttributes" in der REG an.

Bei mir steht in der REG unter Servicing:
UEFICA2023Status= NotStarted
WindowsUEFICA2023Capable= 1

[quote]Msinfo32 ausführen und dann überprüfen ob der Sichere Startzustand auf Ein steht.
[/quote]

Steht auf EIN

Das Problem hatten wir ja schon einmal in dem Thread:

https://www.deskmodder.de/phpBB3/viewtopic.php?t=33352

Das Zertifikat wurde nicht automatisch im Rahmen der Sicherheits-LCU installiert. Manuelle Installation ging aber. Warum Windows das nicht automatisch gemacht hat, ließ sich nicht klären. Eventuell haben sie die automatische Installation wieder gestoppt.

Mal von meinen VMs abgesehen, auf der realen Hardware (Tablet) geschah das automatisch, schon zu Windows 11 24H2 Zeiten. Aber halt vorerst nur DB. DBX, KEK und Option-ROM blieb unangetastet. Die Updates sind wohl da, werden aber nicht automatisch installiert.

Bei mir steht dazu in der Registry in dem Zweig (Tablet mit Win 11 25H2, davor 24H2):

WindowsUEFICA2023Capable=2
(Windows UEFI CA 2023” certificate is in the DB and the system is starting from the 2023 signed boot manager.)

Ist denn Secure Boot im Bios/Uefi aktiviert?

Msinfo32 ausführen und dann überprüfen ob der Sichere Startzustand auf Ein steht.


Gruß

Das hier:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Nein. Das wird jetzt schon installiert. Wie gesagt, habe ich ab Windows 10 22H2.

Die Fage wäre jetzt eher, warum da bei Dir nicht installiert wird. Die Updates sind ja da. Aber irgendwas stört Windows da offensichtlich.

Was steht denn bei Dir so in der Registy:

[code]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing[/code]

Der Ordner C:\Windows\System32\SecureBootUpdates sieht bei mir aus wie bei @BenniDM.

Wird wohl erst mit 25H2 kommen oder?

[quote=Andi post_id=448658 time=1758116741 user_id=43006]
Hat schon jemand die neune Zertifikate?
[/quote]

Yes, hp Bios F.19 Rev.A 08/25 und Win25h2
https://jumpshare.com/share/gdryiLyIGmGs3H8BcuWY

Ja. Auch in Windows 10. Nur das Zertifikat für die KEK und Option-ROMs sind noch nicht installiert worden, aber stehen wohl schon zu Verfügung. Und zurückgezogen wurde auch noch nichts. Und bei den Option-ROMs habe ich eh ein ungutes Gefühl.

[attachment=0]Screenshot 2025-09-17 155351.png[/attachment]

Windows 10 22H2 (nur VM), Windows 11 24H2 (nur VM) und Windows 11 25H2 (Tablet und VMs) wurde das schon alles installiert und auch der Bootmanager ausgetauscht.

Die werden schon seit einer ganzen Weile ausgeliefert und installiert, wo es geht. Befinden sich in dem Verzeichnis:

C:\Windows\System32\SecureBootUpdates

Bis Juni 2026 müssen Sie die neuen Zertifikate am Start haben.

Man kann es prüfen mit Terminal.

[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Bei mir ist das Ergebnis = False

Hat schon jemand die neune Zertifikate?