[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"WindowsUEFICA2023Capable"=dword:00000002

Ja,scheint alles ok zu sein
[code][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"WindowsUEFICA2023Capable"=dword:00000002[/code]
ist so in der Registry und
[quote]Qulle: TPM-WMI
Ereignis-ID: 1808
zum Zeitpunkt des PC Startes[/quote]
steht in den Ereignissen

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"WindowsUEFICA2023Capable"=dword:00000002

[quote]Oder macht es Sinn den KEK manuel ins Bios ein zufügen denn ein OEM ist der PC nicht?[/quote]
Als OEM zählt in diesem Falle auch der Hersteller eines Boards. Hast Du z.B. von. ASUS ein Bord gekauft, dann muss ASUS einen zu PK vom Bord passend signiertes KEK Zertifikat bereitstellen. Dieses Zertifikat kann ASUS dann am Microsoft liefern, welches dann vom Microsoft in das kumulative Update integriert wird (in die Datei "KEKUpdateCombined.bin"). Alternativ kann ASUS das Zertifikat auch im nächsten UEFI-Update integrieren.

Manuell integrieren würde auch gehen, setzt aber voraus, dass (in dem Beispiel ASUS) das Zertifikat einzeln passend zum bereits vorhandenen 'Platform Key (PK)' zur Verfügung gestellt wird. Ist das nicht der Fall und in der aktuellen KEKUpdateCombined.bin ist auch nichts passendes vorhanden, dann hat man Pech und muss hoffen, dass noch etwas kommen wird.

[quote]Warum macht man es nicht so[/quote]
[quote]Bzw was ist der Unterschied zwischen dem was Du hier schriebst[/quote]

Das ist im Grunde genommen dasselbe, nur einmal zusammengefasst und einmal als Einzelschritte. Jede Aufgabe wird über ein Bit geregelt, welches man über die Zahl in Hexadezimal in "AvailableUpdates" eintragen kann und in einer bestimmten Reihungen ausgeführt werden

[b]1. 0x0040: [/b]
Dieses Bit weist die geplante Aufgabe an, das Zertifikat 'Microsoft UEFI CA 2023 ' zur Secure Boot DB hinzuzufügen. Auf diese Weise kann Windows Startmanagern vertrauen, die von diesem Zertifikat signiert wurden.

[b]2. 0x0800:[/b]
Dieses Bit weist die geplante Aufgabe an, das 'Microsoft Option ROM UEFI CA 2023' in die Datenbank hinzuzufügen.

Wenn 0x4000 ebenfalls festgelegt ist, überprüft die geplante Aufgabe die Datenbank und fügt 'Microsoft UEFI CA 2023' nur hinzu, wenn 'Microsoft Corporation UEFI CA 2011' bereits in der Datenbank vorhanden ist.

[b]3. 0x1000:[/b]
Dieses Bit weist die geplante Aufgabe an, das 'Microsoft UEFI CA 2023' in die Datenbank hinzuzufügen.

Wenn 0x4000 ebenfalls gesetzt ist, überprüft die geplante Aufgabe die Datenbank und fügt'Microsoft Option ROM UEFI CA 2023' nur dann hinzu, wenn das Zertifikat 'Microsoft Corporation UEFI CA 2011' bereits in der Datenbank gefunden wird.

[b]2. und 3. 0x4000:[/b]
Dieses Bit ändert das Verhalten der Bits 0x0800 und 0x1000 so, dass nur dann die Zertifikate 'Microsoft UEFI CA 2023' und 'Microsoft Option ROM UEFI CA 2023' hinzugefügt werden, wenn die Datenbank bereits über das Zertifikat 'Microsoft Corporation UEFI CA 2011' verfügt.

Um sicherzustellen, dass das Sicherheitsprofil des Geräts unverändert bleibt, wendet dieses Bit diese neuen Zertifikate nur dann an, wenn das Gerät dem UEFI CA 2011-Zertifikat vertraut hat. Nicht alle Windows-Geräte vertrauen diesem Zertifikat.

[b]4. 0x0004:[/b]
Dieses Bit weist die geplante Aufgabe an, nach einem 'Key Exchange Key (KEK)' zu suchen, welcher mit dem 'Platform Key (PK)' des Geräts signiert wurde. Der PK wird vom OEM verwaltet. OEMs signieren das Microsoft KEK mit ihrem PK und liefern es an Microsoft, wo es in die kumulativen Updates enthalten ist.

[b]5. 0x0100: [/b]
Dieses Bit weist die geplante Aufgabe an, den vom 'Windows UEFI CA 2023' signierten Bootmanager auf die Boot-Partition anzuwenden. Dieser ersetzt dann den mit dem 'Microsoft Windows Production PCA 2011' signierten Boot-Manager.

Diese Bits lassen sich auch zu 0x5944 addieren. In dem Falle würde die geplante Aufgabe alle Aufgaben in einem Rutsch ausführen, sofern möglich. Man kann aber auch andere Bits kombinieren, wie in Deinem Fall dann wohl 0x4000 und 0x100 zu 0x4100. In dem Falle würden beide Aufgaben ausgeführt werden.

Aber wie auch immer. Bei Dir hat das jetzt wohl geklappt. "Current UEFI KEK", "Current UEFI DB" und "Current UEFI DBX" sind aktuell. Ist halt nur die Frage, ob der neue Boot Manager verwendet wird.

[code][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"WindowsUEFICA2023Capable"=dword:00000002[/code]

Wenn das bei Dir in der Registry steht, sollte das aber der Fall sein. Und Ereignis 1808 sollte jetzt bei Dir auch in der Ereignisanzeige zu finden sein.

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Starten Sie das System manuell neu, wenn AvailableUpdates 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x40
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

@DK2000

Warum macht man es nicht so
[code]reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Starten Sie das System manuell neu, wenn AvailableUpdates 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"[/code]
Bzw was ist der Unterschied zwischen dem was Du hier schriebst
[code]Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x40
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"[/code]
und dem?
Danach sieht das bei mir schon viel besser aus (abgesehen von Default,also OEM)
[quote]Windows version: 25H2 (Build 26200.7171)

Secure Boot status: Enabled

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)

Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023

Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)

Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
X Windows UEFI CA 2023
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023

Current UEFI DBX (only the latest one is needed to be secure)
2025-06-11 (v1.5.1) : SUCCESS: 430 successes detected
2025-10-14 (v1.6.0) : SUCCESS: 431 successes detected[/quote]

Gut,wenn dann alles soweit ok ist werde Ich es nun so lassen und warten was noch kommt

[quote=DK2000 post_id=451702 time=1763044180 user_id=39966]
KEK ist da so ein Zwischending.[/quote]
Oder macht es Sinn den KEK manuel ins Bios ein zufügen denn ein OEM ist der PC nicht?
Wie sieht es mit den Updates bei Enterprise Versionen aus?

"Default UEFI DB" wird vom OEM über ein UEFI-Update aktualisiert. Das sind die Standardwerte, wenn man im Menü auf den entsprechenden Punkt geht, sofern vorhanden (z.b. Werkseinstellungen oder Standard). Die kann man so nicht ändern. KEK ist da so ein Zwischending. Den kann Microsoft theoretisch aktuelleren, sofern der OEM ein passendes Zertifikat für das Gerät bereitstellen und an Microsoft sendet. Der muss zum PK passen. Ansonsten muss der auch über ein UEFI-Update erfolgen.

Die 2011 Zertifikate bleiben erhalten. Werden nur zu gegebener Zeit gesperrt (revoked).

Außerdem ist jetzt wohl auch wieder das 'Windows UEFI CA 2023' in der "Current UEFI DB". Wurde wohl schon wieder aktualisiert. Vermutlich dann auch der Boot Manager.

Ich würde da Ganze jetzt zufriedenlassen und die Ereignisanzeige ignorieren.

Und das Skript müsste auch mal wieder aktualisiert werden.

"Current UEFI DBX" -> "2025-10-16 (v1.6.0)" -> 431 Einträge

Ah, sehe gerade. Hat er ja schon vor 2 Tagen gemacht.

---

Die einzige VM, wo alles funktioniert hat, wie es soll:

[attachment=1]Screenshot 2025-11-13 161335.png[/attachment]

Und in der Ereignisanzeige steht auch anstelle des 1801 jetzt der 1808:

[attachment=0]Screenshot 2025-11-13 162037.png[/attachment]

Aber warum das in genau dieser einen VM alles geklappt hat, ist mir immer noch ein Rätsel.

Secure Boot status: Enabled
Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023  

Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023

Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023

Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
X Windows UEFI CA 2023
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023

Current UEFI DBX (only the latest one is needed to be secure)
2023-03-14          : SUCCESS: 220 successes detected
2023-05-09          : SUCCESS: 371 successes detected
2025-01-14 (v1.3.1) : SUCCESS: 245 successes detected
2025-06-11 (v1.5.1) : SUCCESS: 430 successes detected

13.11.2025 14:47:30            1801 Fehler           Secure Boot CA/keys need to be updated. This device signature i...
13.11.2025 14:40:41            1034 Informationen    Das Update für den sicheren Start von Dbx wurde erfolgreich ang...
13.11.2025 14:40:41            1801 Fehler           Secure Boot CA/keys need to be updated. This device signature i...
13.11.2025 14:39:08            1801 Fehler           Secure Boot CA/keys need to be updated. This device signature i...

Aber dennoch scheint nur die Current UEFI DB aktualisiert zu sein alle anderen sind noch auf 2011.
Woran kann das liegen?

[code]Secure Boot status: Enabled
Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023

Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023

Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023

Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
X Windows UEFI CA 2023
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023

Current UEFI DBX (only the latest one is needed to be secure)
2023-03-14 : SUCCESS: 220 successes detected
2023-05-09 : SUCCESS: 371 successes detected
2025-01-14 (v1.3.1) : SUCCESS: 245 successes detected
2025-06-11 (v1.5.1) : SUCCESS: 430 successes detected[/code]

Wenn Ich die Show Secure Boot update events.cmd ausführe kommen auch nur Fehler
[code]13.11.2025 14:47:30 1801 Fehler Secure Boot CA/keys need to be updated. This device signature i...
13.11.2025 14:40:41 1034 Informationen Das Update für den sicheren Start von Dbx wurde erfolgreich ang...
13.11.2025 14:40:41 1801 Fehler Secure Boot CA/keys need to be updated. This device signature i...
13.11.2025 14:39:08 1801 Fehler Secure Boot CA/keys need to be updated. This device signature i...
[/code]

mountvol s: /s
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
mountvol s: /d

CN = Windows UEFI CA 2023
O = Microsoft Corporation
C = US

CMD als Administrator ausführen
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:

Es kommt kein fehler es wird nur immer wieder uefi gestartet.
In den Uefi Zertifikaten ist nur CA 2011 der Bootmanager dagegen hat CA 2023.
Wie bekomme ich das gelöst?

wenn ich
[code]mountvol s: /s
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
mountvol s: /d[/code]
und in den Eigenschaften-Zertifikate schaue steht da
[code]CN = Windows UEFI CA 2023
O = Microsoft Corporation
C = US[/code]

Edit
[quote=DK2000 post_id=451658 time=1762979980 user_id=39966]
Ich vermute einfach mal, dass das 'Windows UEFI CA 2023' Zertifikat nicht in der DB installier ist, aber der Boot Manger passend dazu. Oder der Boot Manager mit dem alten Zertifikat wird verwendet und das CA 2011 ist zurückgezogen.
[/quote]
Das gab mir zu denken und ich habe es geschafft mit Hilfe von Microsoft selbst [url]https://support.microsoft.com/de-de/topic/verwalten-der-windows-start-manager-sperrungen-f%C3%BCr-%C3%A4nderungen-des-sicheren-starts-im-zusammenhang-mit-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d?WT.mc_id=M365-MVP-6771[/url]
Wiederherstellungsverfahren
[code]
CMD als Administrator ausführen
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:
[/code]
das hat geholfen und Windows bootet wieder mit dem CA 2011 aus dem Uefi.
Danke @DK2000

Was kommt denn für ein Fehler seiten das UEFI?

Ich vermute einfach mal, dass das 'Windows UEFI CA 2023' Zertifikat nicht in der DB installier ist, aber der Boot Manger passend dazu. Oder der Boot Manager mit dem alten Zertifikat wird verwendet und das CA 2011 ist zurückgezogen.

Bräuchte man jetzt mehr Informationen über den Istzustand.

Hallo,
ich habe versehentlich in meinem Asrock UEFI die Secure Boot Zertifikate gelöscht und dann neu intalliert aber nun startet mein Windows 11 25h2 nicht mehr wenn ich secure boot aktiviere.
Was kann ich tun?

Wer einmal genau wissen will, was in der EFI-Partion genau steht, kann das folgendermaßen überprüfen. Aber VORSICHT, macht man einen Fehler, dann bootet das System nicht mehr. Es ist ratsam ein Image von seinem System zu haben.
So geht man vor:
1. Mit dem Programm `MiniTool Partition Wizard` gibt man der EFI-Partition einen Laufwerksbuchstaben z.B. x, dass Übernehmen nicht vergessen.
2. Mit dem Programm Explorer++ (als Admin starten), kopiert man das gesamte EFI-Verzeichnis an eine Ort seiner Wahl.
3. Mit dem Programm `MiniTool Partition Wizard` den Laufwerksbuchstaben wieder wegnehmen (Kein).

Jetzt kann man in Ruhe die EFI-Partition begutachten.

... da ich leider nichts mehr von Euch gehört habe, weder positives noch negatives,
gehe ich davon aus, alles richtig gemacht zu haben und das es passt.
Somit sollte es für's erste gewesen sein, mal sehen was 2026 noch so bringt.

... und was meint Ihr?
Passt mein Vorgehen?

@ DK2000: also du meinst, ich habe nun alles richtig gemacht und brauche mir keine Sorgen zu machen,
dass mein PC im kommenden Jahr (Juni/Oktober) nicht mehr läuft?
Microsoft Windows Production PCA 2011 (revoked: True) => sollte m.E. kein Problem sein, ich starte den PC immer mit dem gleichen Datenträger oder wie meinst du das?
Eine neue Sicherung mache ich noch ... da habe ich bisher immer den AOMEI Backupper benutzt,
von Windows gibt es da aber auch eine Möglichkeit.
Systemsteuerung -> Sichern und Wiederherstellen (Windows 7) -> [b]Systemabbild erstellen[/b] -> auf externe Festplatte
Korrekt oder?
Oder bekomme ich mit dieser externen Festplatte nun ein Problem?

[quote="van Neel" post_id=447232 time=1755236750 user_id=41941]
- Kann man das bedenkenlos Umstellen im UEFI (also auf WindowsUEFI). Auf dem Rechner läuft Win11 26100.4946[/quote]
Das kann ich Dir nicht beantworten. Ausprobieren. Aber hatten da neulich schon so einen Thread mit "Other OS" ("anderes Betriebssystem") und da hat das auch nicht geklappt. Der Nutzer hatte dann irgendwann eine Neuinstallation vorgenommen und dann lief es. Keine Ahnung, wie sich das bei Dir verhallt.

Und die Keys in der Registry löschen, sollte gehen. Aber genau kann ich es Dir nicht sagen. Bei mir wurden die automatisch über die kumulativen Updates geschrieben.

Das sieht zwar soweit erst einmal gut aus, nur dass hätte ich derzeit noch nicht gemacht:

[quote]Microsoft Windows Production PCA 2011 (revoked: [b]True[/b])[/quote]

Das hat jetzt zu Folge, dass bei Dir ausschließlich nur noch Datenträger sich starten lassen, welche das neue Zertifikat für die Bootdateien verwendet. Alle anderen Datenträger werden am Booten gehindert. Um das zu umgehen, müsste man jedes Mal Secureboot ausschalten und danach wieder einschalten.