Alle USB PE-Sticks und alle vier angelegten PE-Partitionen starten immer noch.
Das wird sich hoffentlich nicht noch ändern.

@bodu@DK2000
Danke für eure Antworten. Bei mir sieht es jetzt so aus.
[attachment=2]Screenshot 2026-04-13 162245.jpg[/attachment]
[attachment=1]Screenshot 2026-04-13 162356.jpg[/attachment]
[attachment=0]Screenshot 2026-04-15 094539.jpg[/attachment]

Ereignisanzeige id:1808
sonnst schaut es gut aus denke ich,
Oder muss man sonnst noch was tun?

mountvol S: /S
(Get-PfxCertificate -FilePath "S:\EFI\Microsoft\Boot\bootmgfw.efi").issuer
(Get-PfxCertificate -FilePath "S:\EFI\Boot\bootx64.efi").issuer
mountvol S: /D

[quote=DK2000 post_id=456929 time=1775901956 user_id=39966]Ob der Bootmanager mit CA 2011 noch aktiv ist, lässt sich so nicht ermitteln. Er wird verwenden, wenn i der Registry steht:[/quote]Danke, da lag ich falsch. Ja der CA 2034 Bootmanager scheint aktiv zu sein, sieht nach einem 0x5944 Durchlauf aus.

Ein Check auf der EFI Partition liefert weitere Hinweise
[code]mountvol S: /S
(Get-PfxCertificate -FilePath "S:\EFI\Microsoft\Boot\bootmgfw.efi").issuer
(Get-PfxCertificate -FilePath "S:\EFI\Boot\bootx64.efi").issuer
mountvol S: /D[/code]

[quote]Das Sperren des CA 2011 ist noch nicht erforderlich
...
Und auch Windows-Sicherheit ist der Ansicht, dass alles so weit passt.[/quote]Die Windows-Sicherheit spiegelt wohl die aktuellen Stand wieder:
Zeitplan für die Updates/ Datum wird noch angekündigt – Erzwingungsphase: noch nicht angekündigt, mindestes ein halbes Jahr im Voraus.
https://support.microsoft.com/de-de/topic/verwalten-der-windows-start-manager-sperrungen-f%C3%BCr-%C3%A4nderungen-des-sicheren-starts-im-zusammenhang-mit-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d#bkmk_enforce
Da die Erzwingungsphase noch nicht ausgerufen ist, ist ein CA 2023 Bootmanger mit gefüllter dbx aus dbxupdate.bin aktuell angebracht.

Ein in der Zukunft angepasstes MediaCreationTool, das CA 2023 Boot Medium erstellt, kann als Anregung dienen, die CA 2011 Sperre zu setzen.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"WindowsUEFICA2023Capable"=dword:00000002

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Ob der Bootmanager mit CA 2011 noch aktiv ist, lässt sich so nicht ermitteln. Er wird verwenden, wenn i der Registry steht:

[code][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"WindowsUEFICA2023Capable"=dword:00000002[/code]

In dem Falle könnte man auch SVN in die DBX einttragen:

[code]reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f[/code]
[code]Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"[/code]

Das Sperren des CA 2011 ist noch nicht erforderlich. Kann man zwar manuell machen, aber bringt halt derzeit noch Nachteile mit sich, die man berücksichtigen. Selbst Microsoft hat noch nicht alles so weit aktualisiert, dass das ohne Probleme zu machen geht. Bootdatenträger auf Windows PE Basis müssten manuell aktualisiert werden, damit die dann auch den Bootamanager mit CA 2023 verwenden. Das betrifft derzeit auch noch die original Microsoft ISOs. Gut, ist jetzt nicht allzu schwierig das zu machen, aber man muss dann halt dran denken. Ansonsten bootet am Ende der Datenträger für das Backup nicht mehr.

Ach so, und 0x4000 wurde mittlerweile bei mir automatisch durch 0x402 ersetzt. Keine Ahnung, was das genau bedeutet. In der Registry sieht es so aus:

[attachment=1]Screenshot 2026-04-11 120149.png[/attachment]
Und auch Windows-Sicherheit ist der Ansicht, dass alles so weit passt.

[attachment=0]Screenshot 2026-04-11 120343.png[/attachment]
Mal weiter beobachten, was der da so automatisch so treibt.

[quote=Kulle9935 post_id=456925 time=1775890563 user_id=49566]Allerdings steht jetzt in der Registry folgender Eintrag mit drin. ConfidenceLevel Under Observation - More Data Needed.[/quote]Ignoriere das.

[quote]Was bedeutet der Schlüssel: AvailableUpdates 0x00004000 (16384) das steht in der Registry noch drin
müsste da nicht "0" oder so drin stehen?
[/quote]Der 0x4000 Flag wurde manuell angefordert, wurde verwendet und bleibt für zukünfige Updates erhalten.
Siehe 0x4000 https://support.microsoft.com/de-de/topic/zertifikatupdates-f%C3%BCr-den-sicheren-start-leitfaden-f%C3%BCr-it-experten-und-organisationen-e2b43f9f-b424-42df-bc6a-8476db65ab2f

Was hast du vor? Welche Änderungen willst du setzen? Da schein noch der CA 2011 Boot Manager aktiv zu sein.

@Bodo,@DK2000
Danke für Eure Antwort. Sieht jetzt so aus. Allerdings steht jetzt in der Registry folgender Eintrag mit drin.
ConfidenceLevel Under Observation - More Data Needed.
Was bedeutet das? hat das was mit dem Senden von Diagnose Daten zutun? Die habe ich abgestellt.
[attachment=0]Screenshot 2026-04-11 084838.jpg[/attachment]
[attachment=1]Screenshot 2026-04-11 083947.jpg[/attachment]
Was bedeutet der Schlüssel: AvailableUpdates 0x00004000 (16384) das steht in der Registry noch drin
müsste da nicht "0" oder so drin stehen?

(Get-SecureBootUEFI -Name PK -Decode).Subject
(Get-SecureBootUEFI -Name PKdefault -Decode).Subject

(Get-SecureBootUEFI -Name KEK -Decode).Subject
(Get-SecureBootUEFI -Name KEKdefault -Decode).Subject

(Get-SecureBootUEFI -Name DB -Decode).Subject
(Get-SecureBootUEFI -Name DBdefault -Decode).Subject

(Get-SecureBootUEFI -Name DBX -Decode).Subject
(Get-SecureBootUEFI -Name DBXdefault -Decode).Subject

[quote=Kulle9935 post_id=456880 time=1775805720 user_id=49566]Ich habe mal nach den Zertifikaten geschaut und ich kann das KEK Microsoft UEFI CA 2023 nicht finden.
Alles andere siehe Screenshot scheint da zu sein. [/quote]Das KEK Zertifikat nennt sich ähnlich, der Screenshot zeigt 'Microsoft Corporation KEK 2K CA 2023'

Mit dem März 2026 WindowsUpdate[CODE](Get-SecureBootUEFI -Name PK -Decode).Subject
(Get-SecureBootUEFI -Name PKdefault -Decode).Subject

(Get-SecureBootUEFI -Name KEK -Decode).Subject
(Get-SecureBootUEFI -Name KEKdefault -Decode).Subject

(Get-SecureBootUEFI -Name DB -Decode).Subject
(Get-SecureBootUEFI -Name DBdefault -Decode).Subject

(Get-SecureBootUEFI -Name DBX -Decode).Subject
(Get-SecureBootUEFI -Name DBXdefault -Decode).Subject[/CODE]

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x1000 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

[code][System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'[/code]

Das dürfte "False" ergeben, weil das fehlt neben den SVN Einträgen noch. Der ganze Rest ist vorhanden, auch das KEK.

Obwohl besagtes Zertifikat steht bei Dir in der Default DB.

Warum Dir da jetzt noch was fehlt, kann ich Dir nicht sagen. Eventuell steht in der Registry was dazu:

[code]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing[/code]

Ansonsten abwarten oder noch einmal manuell anstoßen.

[code]reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x1000 /f[/code]
[code]Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"[/code]
Neustart. Das sollte das fehlende "Microsoft UEFI CA 2023" Zertifikat einspielen, sofern es keinen Hinderungsgrund gibt.

Mit den SVN würde ich erst einmal überprüfen, ob auch wirklich der aktuelle Bootsanhänger installiert ist. Sollte aber der Fall sein. Aber sicher kann man sich da nicht sein.

Guten Morgen
Ich hätte da auch eine Frage an die Experten.
Asus Prime B550 Plus Mainboard + Win11 25h2 beides aktuell. Version 3636 2026/01/27
Ich habe mal nach den Zertifikaten geschaut und ich kann das KEK Microsoft UEFI CA 2023 nicht finden.
Alles andere siehe Screenshot scheint da zu sein.
Unter: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) `
-match 'Windows UEFI CA 2023'
wird aber True ausgegeben. Verstehe ich nicht.
[attachment=0]Screenshot 2026-04-10 091526.jpg[/attachment]
Was kann oder muss ich da machen? Das Board ist Herstellungsjahr 2022. Und Asus scheint kein BIOS Update bereitzustellen.
Da brauche ich Eure Hilfe, da ich mich da nicht so gut auskenne.
Danke Euch.

Hey, DK2000
meine AI-Hardware erkennt solche Fehler (AI-BIOS, SecureBoot) und deaktiviert SecureBoot dann automatisch wenn nötig, ist ein Intel&MSFT-Prototype, vom Mike erhalten - Benny hat das MB auch.

@Thorben:

Deine Alternative ist zwar schön und gut, aber die funktioniert nur, wenn Windows mit aktiviertem SecureBoot noch bootet. Führt man so ein UEFI Reset durch und das "Windows UEFI CA 2023" befindet sich danach weder in der Default DB noch in der Current DB, wird Windows nicht mehr starten, solange der Bootmanager mit den CA 2023 installiert ist. Das UEFI blockiert dann hier den Start von Windows.

Windows bootet in so einem Fall dann nur, wenn man SecureBoot deaktiviert. Hier lassen sich dann aber die neuen Zertifikate nicht einspielen. Von hier aus müsste man also zuerst den alten Bootmanager mit dem CA 2011 Zertifikat wieder installieren, sofern das Zertifikat nicht als gesperrt in der DBX steht bzw. der UEFI-Reste entfernt es dort. Ist das Zertifikat gesperrt, wird Windows von hier aus mit aktiviertem SecureBoot auch nicht mehr starten.

Wenn bei Dir der BootManager mit dem CA 2023 Zertifikat installiert ist, Du einen UEFI-Reset machst (load factory default keys) und das besagte CA 2023 Zertifikat weder in der Default DB noch in der Current DB. steht, wird Windows mit aktiviertem SecureBoot nicht mehr starten. Wenn das bei Dir aber der Fall ist, dann funktioniert Dein SecureBoot nicht wie erwartet oder Du hast etwas übersehen,

bodo vote:
Aus irgendeinem Grund wird ein UEFI reset gemacht.
UEFI secure boot reset und load factory default keys: CA211 ist aktiv.

DK2000 vote:
Ansonsten ist das Tool die einzige Möglichkeit, das System wieder zum Booten zu bewegen
-----------------------------------------------------------------------------------------------------
Es gibt immer eine Alternative:
Der PC ist Online und mit den richtigen CMD-Befehlen wir alles neu installiert (nach einem User UEFI-Reset ), das funktioniert aber nur wenn auch 0x5944 mit genutzt wird und das BIOS Online unterstützt, so wie bei mir. Nach dem zweiten Neustart ist die Fehlermeldung dann weg und der PC startet die 25H2, schon alles getestet und bei meiner Hardware möglich.

"securebootrecovery.efi" versucht halt, auf UEFI-Ebene dass "Windows UEFI CA 2023" Zertifikat erneut in die DB einzutragen. Alternativ müsste man den Bootmanager wieder austauschen, sofern man das CA 2011 noch nicht blockiert hat. Ansonsten ist das Tool die einzige Möglichkeit, das System wieder zum Booten zu bewegen, sofern man das Zertifikat installiert bekommt. Alternativ SecureBoot deaktivieren oder einen vollständigen Reset machen und CA 2011 wieder aus der DBX streichen.

[quote=Thorben post_id=456791 time=1775489513]
#bodu
NICHT ohne 0x5944 [/quote]
securebootrecovery.efi ist ein Fix unter gewissen Vorraussetzungen, 0x5944 bereists in der Vergangenheit durchgelaufen und vom Endanwender das UEFI auf einem alten Rechner resettet.

Nach dem securebootrecovery.efi Fix startet der Rechner mit PCA2023 signierten Start-Manager, 0x5944 ist hier nicht erforderlich, der PCA2023 signierten Start-Manager muss nicht nochmals installiert werden.

https://support.microsoft.com/de-de/topic/registrierungsschl%C3%BCsselupdates-f%C3%BCr-den-sicheren-start-windows-ger%C3%A4te-mit-it-verwalteten-updates-a7be69c9-4634-42e1-9ca1-df06f43f360d

#bodu
NICHT ohne 0x5944 und ONLINE

0x5944 : Stellen Sie alle erforderlichen Zertifikate bereit, und aktualisieren Sie den PCA2023 signierten Start-Manager.

[code]
https://support.microsoft.com/de-de/topic/registrierungsschl%C3%BCsselupdates-f%C3%BCr-den-sicheren-start-windows-ger%C3%A4te-mit-it-verwalteten-updates-a7be69c9-4634-42e1-9ca1-df06f43f360d
[/code]