Die Meldung hab ich bei mir auch seit dem 15.10. Da gab es von Microsoft wohl ein Update für das Zertifikat und die Fehlermeldung besagt jetzt "nur", dass das BIOS auch ein Update benötigt, damit beide Seiten wieder übereinstimmen.

Dafür ist ja noch bis Juni 26 Zeit.

Ich habe auch den TPM-WMI Fehler in der Ereignisanzeige. Jedoch lautet die Beschreibung etwas anders:

Secure Boot certificates have been updated but are not yet applied to the device firmware. Review the published guidance to complete the update and ensure full protection. This device signature information is included here.
DeviceAttributes: BaseBoardManufacturer:Gigabyte Technology Co., Ltd.;FirmwareManufacturer:American Megatrends International, LLC.;FirmwareVersion:F32;OEMModelNumber:Z690 GAMING X DDR4;OEMModelBaseBoard:Z690 GAMING X DDR4;OEMModelSystemFamily:Z690 MB;OEMManufacturerName:Gigabyte Technology Co., Ltd.;OEMModelSKU:Default string;OSArchitecture:amd64;

Wird die Sache im BIOS geregelt oder wir hier oft beschrieben in der Registry usw. So richtig sehe ich nicht mehr durch, :betruebt:

[quote=Blondi_2021 post_id=452923 time=1765410279 user_id=44983]
Hersteller gibt kein Update was dann mit den Gerät "Wegschmeisen " nicht mein Ding ;) Ergo schauen wie es am laufen halten kann ;). Leider hab ich nicht die " Fähigkeit und Wissen " ein Bios so zu verändern.da s alltes freigeschallet wird. Gibts genug Tools und Foren ;) ,
[/quote]

Der Arbeitslaptop ist das A und O und sollte nicht einfach weggeworfen werden. Manchmal können schon kleine BIOS-Optimierungen oder ein firmware-Update mit einem inoffiziellen Mod die Lebensdauer der Hardware verlängern, aber ohne Erfahrung ist das wirklich knifflig.

Hersteller gibt kein Update was dann mit den Gerät "Wegschmeisen " nicht mein Ding ;) Ergo schauen wie es am laufen halten kann ;). Leider hab ich nicht die " Fähigkeit und Wissen " ein Bios so zu verändern.da s alltes freigeschallet wird. Gibts genug Tools und Foren ;) ,

Ist schon so, wie es Purgatory beschrieben hat. Das Ereignisse 1801 lassen sich meistens nur durch ein UEFI-Update beheben. Ansonsten klappt das nicht. Keine Ahnung, ob das auch mal anderes gelöst werden kann, falls man für sein Gerät kein UEFI-Update mehr bekommt.

evtl. mal kurz einen Blick drauf werfen

[url] https://www.windowspro.de/wolfgang-sommergut/uefi-zertifikate-fuer-secure-boot-installieren-erfolg-ueberpruefen-fehler [/url]

könnte einen Denkanstoss geben :)

[quote=Tinka post_id=452878 time=1765307138 user_id=48451]
Muss ich da jetzt was unternehmen? Oder läuft das irgendwann automatisch? Für mich hört sich das irgendwie so an, als ob ich auf das nächste BIOS Update warten muss.

P.S. Auch die alten Fehlerdetails wurden dementsprechend geändert. Früher stand ja dort "Secure Boot CA/keys need to be updated ... usw.
[/quote]

Da liegst Du sehr wahrscheinlich richtig. Ich brauchte ein BIOS Update, bzw. eines was das TPM Modul auf den neuesten Stand gebracht hat.

Wie Du siehst hatte ich hier die gleiche Meldung:
[attachment=1]1.png[/attachment]
Was ich gemacht habe war auf die GA Seite zu gehen. Und ich habe gesehen, dass das BIOS, was so lange in der Beta war, endlich final war. Also habe ich upgedatet, mit allem was hinter dem steht. Ramtimings wieder testen, Undervolting der CPU, blablabla.
Am 05.11ten um 15:30 Uhr nahm ich dann das Biosupdate vor, startete ewig neu um zu testen ob die Kiste noch stabil läuft. Das ist mit neuer Agesa (AMD), ergo neuem BIOS Update, ja nicht immer gegeben. Es geht aber nur darum, dass die Angriffsstellen der CPUs als auch des des TPMs gefixt sind. CVE-2024-36347 und CVE-2025-2884 als Beispiel. Intel regelt das in der ME Firmware (die auch ein neues BIOS Update erfordern kann aber nicht zwingend muss), AMD halt in der Agesa.
Dummerweise änderte sich am Status von Windows nichts. Bis ich dann mitgeschnitten habe dass ich, zumindest bei meinem Board, die Rechte was Secure Boot betraf, von System auf User umstellen musste, ohne irgendwas zu ändern wohlgemerkt. Die Registry schaltete schnell, das Ereignisprotokoll sprach zunächst aber was anderes. Immer noch 1801 als Fehler.

Einen Tag danach:
[attachment=0]2.png[/attachment]
1808 und ein lapidarer Eintrag als Information, nicht mehr als Fehler. Scheinbar braucht Windows einen Augenblick.
Je nach dem System welches Du hast musst Du also schauen was Du brauchst. ME Firmware oder eine Agesa.

Und übrigens, da ich ja ein DualBios auf dem Mainboard habe kam ich auf die Idee mit einem älterem UEFI zu booten. Also habe ich die Zertifikate manuell eingefügt im UEFI, Windows hat sie aber nicht anerkannt sondern die alten genommen. Wie es scheint werden die Zertifikate von Windows nicht eingespielt wenn zumindest das TPM (Theorie) seitens des Herstellers nicht gefixt wird.

Bei mir steht nach dem Update jetzt was Neues in der TPM-WMI 1801 Fehlermeldung:
"Secure Boot certificates have been updated but are not yet applied to the device firmware. Review the published guidance to complete the update and ensure full protection. This device signature information is included here." Dann kommen die Device Attributes und dann steht da noch "For more information, please see https://go.microsoft.com/fwlink/?linkid=2301018."
Muss ich da jetzt was unternehmen? Oder läuft das irgendwann automatisch? Für mich hört sich das irgendwie so an, als ob ich auf das nächste BIOS Update warten muss.

P.S. Auch die alten Fehlerdetails wurden dementsprechend geändert. Früher stand ja dort "Secure Boot CA/keys need to be updated ... usw.

Ja, klappt immer noch nicht, wie erhofft. Die dbupdate.bin ist immer noch inhaltslos.

Bin gerade am überlegen, ob man die nicht von einer älteren ISO nehmen kann. Oder war die schon immer leer? Kann aber eigentlich nicht sein.

Auch nach dem gestrigen Patchday-Update wird mir weiterhin der Fehler TPM-WMI 1801 im Event Viewer ausgegeben. Die relevanten Registry-Keys stehen weiterhin auf not started und 2.

Ich habe sogar noch einen Modus mehr, den "Manual". Und der hat mir den Arsch gerettet was das Thema hier betrifft.
Ich habe, auch nach BIOS Update, die Schritte hier mehrmals wiederholt und ständig kam eine Fehlermeldung.
Dann bin ich auf "Manual" gegangen wo ich die Option habe Zertifikate zu löschen oder auch einzufügen. Und ich sah das unter DB- und DBX, also den Bootoptionen, eine 0 stand.
Also habe ich von "System" auf "User" geswitched und die Schritte nochmal wiederholt, und siehe da, die Zertifikate werden eingebunden. Das mag ein spezifisches "Gigabyte" Problem sein, aber mir hat es geholfen.

Schlussendlich weiß ich jetzt das ich diese Zertifikate auch vor dem BIOS Update hätte einbinden können, aber zum einen weiß ich nicht woher ich die bekomme und zum anderen... na ja, zu doof oder so :D

Helfen, für viele, wird wohl nur ein BIOS Update in dem das TPM Modul, bzw. die Sicherheitslücken der jeweiligen CPU, explizit aufgelistet werden. Wenn die jeweiligen Hersteller das eben zur Verfügung stellen...

Ah, hat also funktioniert. Der 1801 Fehler sollte jetzt weg sein.

Ja, das kann natürlich sein, wenn das UEFI Secure Boot im System-Modus läuft, dass dann keine neuen Zertifikate eingespielt werden können. Aber schon ein gewisser Aufwand für Benutzer.

Und Secure Boot kannst Du ein und ausschalten. Die Variablen werden nicht geändert. Das würde nur gehen, wenn das UEFI-Setup extra dafür eine Einstellung hat, wo man die Variablen manuell bearbeiten kann. Da könnte man dann auch wieder ein Zertifikat rauslösche oder eine Sperre zurücknehmen. Ansonsten bleibt alles so, wie es jetzt ist.

[quote=DK2000 post_id=451279 time=1762368412 user_id=39966]

Der Fehler 1801 verschwindet wohl erst, wenn man auch die anderen beiden Zertifikate noch installieren lässt:

0x0800 = Microsoft UEFI CA 2023
0x1000 = Microsoft Option ROM CA 2023

[/quote]

Na schau an, funzt, danke erstmal dafür.
[attachment=0]1.png[/attachment]

Allerdings muss ich sagen das funktioniert erst nach BIOS Update (und damit TPM) UND als ich Secure Boot von "System" auf "User" umstellte. Ich bin die Schritte nämlich auch vorher durch hab Secure Boot aber komplett so gelassen wie im BIOS eingestellt. Scheinbar darf Windows, zumindest auf meinem Mainboard hier, im "System" Mode nichts umschreiben.
Das ist viel zuviel Aufwand für Normaluser, da muss MS, und auch die Hersteller, dringend was machen.
Schluss oder endlich, ohne BIOS Update was die Firmware für das TPM mit einschließt, wird das nichts werden.
Ich sehe schwarz für ältere Systeme. Mein BIOS vorher war nur 1,5 Jahre alt und nichts ging.

Vor allem bin ich gespannt was passiert wenn man mal "Secure Boot" aus macht und dann wieder an macht. Wird das alles übernommen? Muss ich jetzt, nur für MS, diverse Profile im BIOS anlegen?

Gut, dann ist jetzt bei Dir "Windows UEFI CA 2023" installiert /war es wohl auch schon) und jetzt auch der neu signierte Bootmanager. Bis hier hin passt das jetzt.

Der Fehler 1801 verschwindet wohl erst, wenn man auch die anderen beiden Zertifikate noch installieren lässt:

0x0800 = Microsoft UEFI CA 2023
0x1000 = Microsoft Option ROM CA 2023

Müsste eigentlich gehen, wenn AvailableUpdates=0x1800 bzw. 0x5800 eingetragen wird. Oder halt beide der Reihe nach einzeln.

KEK ist ja schon und mehr gibt es da gerade nicht.

Ist auch immer interessant, was in AvailableUpdates noch drinsteht, wenn das Update ausgeführt wurde.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot\AvailableUpdates 0x100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Das ist jetzt lustig.

Der Wert hier in Registry
[code]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot\AvailableUpdates 0x100[/code]
stand noch nach wie vor in der Registry. Jetzt habe ich nochmal den Befehl
[code]Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"[/code]
gestartet und ohne Reboot steht jetzt das im Ereignisprotokoll als auch in der Registry.

Meldung 1 (1801 Fehler, sehr merkwürdig)
[attachment=2]1.png[/attachment]
Meldung 2 (ohne jeglichen Neustart)
[attachment=1]2.png[/attachment]
und in der Registry das
[attachment=0]3.png[/attachment]

Sehr strange...