@DK2000
Zu Deinem oben geschilderten Problem "... Datei nicht gefunden"
Ich trau mich ja fast nicht zu fragen, aber diese Meldung kommt auch bei fehlenden Zugriffsrechten...?

Stimmt. Explorer zeigt 1 KB an, aber die Datei hat auch nur 3 Byte. Alles merkwürdig.

@DK2000

Nein, das stimmt so. Ich hab jetzt auch mal in einer anderen Windows 11 Version von vorherigen Stand (26200.7019 - Hauptversion, aus der die Bilder sind, ist 7171) nachgeschaut, hat auch diese Größe.

Könnte man schon. Im UEFI gibt es ja meist die Option, Zertifikate aus Datei laden. Aber auf realer Hardware nie versucht. Nur in der VM. Da kann ich wenigstens nichts kaputt machen. Ich würde das alles in Ruhe lassen. Irgendwann muss Microsoft das ja mal fixen. Und solange den 1801 in der Ereignisanzeige ignorieren.

Aber Deine dbupdate.bin sieht größer aus. Bei mir hat die nur 3 Byte, warum auch immer. Under täuscht das nur?

Im Ordner C:\Windows\System32\SecureBootUpdates finde ich nebem anderem (s. Anhang) eine Datei namens
"DBUpdateOROM2023.bin". Könnte das die von Dir gemeinte "Microsoft Option ROM UEFI CA 2023" sein? Damit kann (möchte) ich manuell nichts anfangen, nein?
Und nochmals https://www.deskmodder.de/phpBB3/posting.php?mode=reply&t=33813#

[attachment=0]SecureBootUpdates.jpg[/attachment]@dk2000

zu 2. War auf Deinem Screenshot nicht zu sehen. Da sehe ich nur 'KEK' und 'Windows UEFI CA 2023'.

zu 3: Das ist alles im Ordner "C:\Windows\System32\SecureBootUpdates" zu finden und Microsoft sollte die wohl von sich aus installieren. Aber klappt nicht. Endet bei mir immer mit 0x80070002 (Datei nicht gefunden). Aber in einer anderen Installation lief es komplett durch. Warum, keine Ahnung. War ja hier schon einmal Thema:

https://www.deskmodder.de/phpBB3/viewtopic.php?t=33719#p451082

Bei Tinka ging es auf drei Rechnern, aber eine bockt. Aber irgendwie nicht zu ermitteln, warum und wieso.

@DK2000
1. Der Registryeintrag entspricht dem, was Du angibst.
2. Das Zertifikat "Microsoft UEFI CA 2023" ist als authorizierte Signatur in der db eingetragen.
3. "Microsoft Option ROM UEFI CA 2023 finde ich nicht. Wo sollte das denn sein?

MfG
neisbe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"WindowsUEFICA2023Capable"=dword:00000002

'Microsoft UEFI CA 2023'
'Microsoft Option ROM UEFI CA 2023'

Die soll Windows installieren, wie das 'Windows UEFI CA 2023' auch, aber das klappt da wohl mal nicht so ganz wirklich. Wenn in der Registry steht:

[code][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"WindowsUEFICA2023Capable"=dword:00000002[/code]

Dann wurde auch der neue Boot Manager bereits installiert. Das passt dann so weit erst einmal.

Vielen Dank für die schnelle Antwort.

Kannst Du mir mitteilen, welche Zertifikate noch fehlen?

Sollte gehen. Die Meldung am Anfang mit dem fTPM weiß ich nicht. Schon lange kein Update mehr dafür erhalten. Wenn Du kein BitLocker verwendest, wäre es wohl egal, ob Du das Y und N drückst. Windows wird sich schon melden, wenn dem was mit dem TPM nicht schmeckt.

Ansonsten die neuen Zertifikate werden nicht überschrieben oder gelöscht. Das wäre sehr schlecht, da Windows mit Secure Boot dann nicht mehr starten würde, wenn bei Dir auch schon der Bootmanager ausgetauscht wurde.

Und KEK hast Du auch schon. Dann passt ja fast alles. Zwei Zertifikate fehlen noch, aber da bockt Windows teilweise.

[attachment=3]Abb. 2 -GigaByte-BiosUpdateF39.png[/attachment]Hallo,

ich verwende ein Gigabyte X570 Aorus Master, mit dem ich auch zufrieden bin.
Jedes Biosupdate für Hauptreleases seit F4 habe ich problemlos mitgenommen, gelegentlich auch Betareleases wie den F39g. Diesen, weil dadurch eine "Sicherheitslücke in der AMD-CPU-Mikrocode-Signaturprüfung (CVE-2024-36347)" beseitigt wurde.

Am 2.9.2025 installierte ich dann den Betarelease F39i.
Daraufhin bekam ich bei Booten jedesmal die Meldung (Abb.1). Nach Drücken von <N> wurde weiter gebootet, doch stellte ich dann fest, dass die (digitale) Aktivierung meines Haupt-Windows 11 nicht mehr gegeben war. Die Windowsaktivierung einer W11-Installation auf einer anderen SSD war allerdings beibehalten. Auch die testweise Neuinstallation von Windows 11 auf einer freien SSD -so glaube ich mich zu erinnern- wurde aktiviert.

Da ich keinerlei Efahrung mit Bios-Zertifikaten habe, mühte ich mich zwei Tage, bis das ganze wieder gerichtet und die Akvierung wieder gegeben war. Warum es dann wieder funktionierte: keine Ahnung.

Der Betarelease wurde von Gigabyte, wie ich später feststellte, zurückgezogen und durch F39j ersetzt, der aber inzwischen auch entfernt ist. F39g gib es aber immer noch.

Inzwischen gibt es den Hauptrelease F39,der auch wieder eine "Sicherheitslücke CVE-2025-2884 (Lesezugriff außerhalb des zulässigen Speicherbereichs) in TPM 2.0Raven2/Picasso-, Cézanne-, Vermeer/Matisse- und Renoir-CPUs" behebt -also auch für meinen Ryzen 7 5800X3D.

Mein Bioszertifikate können aus den Abb. 3 - 6 erkannt werden. Auch die neuen ab 2026 gültigen sind dort schon vorhanden und werden auch durch die Powershellabfrage "[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'" mit der Antwort "TRUE" bestätigt.

Ich hoffe, die Darlegungen lassen eine Bewertung zu und somit komme zu meiner Frage:
Kann ich unter diesen Gegebenheiten das Bios-Update Hauptrelease F39 bedenkenlos einspielen ohne wieder in Probleme wie o.a. zu laufen?


neisbe[attachment=4]Abb. 1 -BiosInfo.jpg[/attachment]