Leidiges Thema Secure Boot Zertifikate [Hilfe]

Antwort erstellen


Diese Frage dient dazu, das automatisierte Versenden von Formularen durch Spam-Bots zu verhindern.
Smileys
:) ;) :smile: :lol: :hihi: :D :rofl: :muahah: :( :pff: :kopfstreichel: :ohno: :betruebt: :heulen: :kopfkratz: :duckundweg: :o :? :oops: :psst: :sauer: :-P :daumenrunter: :daumen: :dankeschoen: :thx: :dafür: :gähn:
Mehr Smileys anzeigen
BBCode ist eingeschaltet
[img] ist eingeschaltet
[flash] ist ausgeschaltet
[url] ist eingeschaltet
Smileys sind eingeschaltet
Die letzten Beiträge des Themas

Ich habe die Datenschutzerklärung gelesen und bin damit einverstanden.

   

Ansicht erweitern Die letzten Beiträge des Themas: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von moinmoin » 11.03.2026, 09:15

Abgeschlossen ist das Thema noch nicht. Kommt bei jedem darauf an, was schon installiert ist und was nicht.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von g1428d4dy05 » 11.03.2026, 08:41

D.h. es ist nur ein vorbereitendes Update gewesen und es kommt noch was?

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von moinmoin » 11.03.2026, 07:26

Das hat hiermit zu tun

https://support.microsoft.com/de-de/top ... 2eff09b5d2

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von g1428d4dy05 » 11.03.2026, 07:01

Das Update was ich erhalten habe, hieß "Update der zulässigen Signaturdatenbank (DB) für sicheren Start". Macht das einen Unterschied, da andere hier eine andere Bezeichnung haben?

Und bei der Abfrage "Get-SecureBootUEFI -name KEK -decode" erhalte ich 3 Zertifikate, ist das normal?

SignatureOwner : 77fa9abd-0359-4d32-bd60-28f4e78f784b
Subject : CN=Microsoft Corporation KEK 2K CA 2023, O=Microsoft Corporation, C=US
Version : 3
Algorithm : sha256RSA
SerialNumber :
ValidFrom : 2023-03-02 21:21:35Z
ValidTo : 2038-03-02 21:31:35Z

SignatureOwner : 77fa9abd-0359-4d32-bd60-28f4e78f784b
Subject : CN=Microsoft Corporation KEK CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
Version : 3
Algorithm : sha256RSA
SerialNumber :
ValidFrom : 2011-06-24 22:41:29Z
ValidTo : 2026-06-24 22:51:29Z

SignatureOwner : e58e05e2-5c43-4ef7-880b-3f06734eb36f
Subject : CN=GIGABYTE
Version : 3
Algorithm : sha256RSA
SerialNumber :
ValidFrom : 2023-09-05 08:39:55Z
ValidTo : 2053-09-05 08:39:54Z

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von bodu » 10.03.2026, 20:55

Mit dem März 2026 Update wurde 'Get-SecureBootUEFI -decode' ergänzt, die Ausgabe wird im Klartext dargestellt.

Get-SecureBootUEFI -name PKdeault -decode
Get-SecureBootUEFI -name PK -decode
Get-SecureBootUEFI -name KEKdefault -decode
Get-SecureBootUEFI -name KEK -decode
Get-SecureBootUEFI -name DBdefault -decode
Get-SecureBootUEFI -name DB -decode
Get-SecureBootUEFI -name DBXdefault -decode
Get-SecureBootUEFI -name DBX -decode
Get-SecureBootUEFI -name KEK -decode

SignatureOwner : 77fa9abd-0359-4d32-bd60-28f4e78f784b
Subject : CN=Microsoft Corporation KEK 2K CA 2023, O=Microsoft Corporation, C=US
Version : 3
Algorithm : sha256RSA
SerialNumber : 33000000131416B8616D82824B000000000013
ValidFrom : 2023-03-02 21:21:35Z
ValidTo : 2038-03-02 21:31:35Z

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Andi » 05.03.2026, 15:07

Bei mir sieht das momentan so aus:

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von bodu » 04.03.2026, 23:42

Andi hat geschrieben: 04.03.2026, 10:39Wie sieht Eure Registry danach aus?
Windows 11 kompatible Hardware, Defautlt CA 2023 Zeritififkate vom UEFI Update 2025 eingespielt.

Windows Update setzte Current CA 2023 Zeritififkate, bootet vom CA2023 bootmanger, CA 2011 nicht in der dbx, kein SVN gesetzt. Auf dem Rechner gab es keine manuellen Windows Einstellungen vom mir für CA 2023.

Ich habe den Eindruck, wir sind immer noch in einer Einführungsphase.
Via Window Update kommen aktuell geringe, sichere Änderungen.
Die Reaktion der Geräte wird gerade gesammelt und für weitere Updates berücksichtigt.
In ein, zwei Jahren lache ich herzlich über meine damaligen falschen Annahmen :)

Code: Alles auswählen

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"WindowsUEFICA2023Capable"=dword:00000002
"UEFICA2023Status"="Updated"
"ConfidenceLevel"="Under Observation - More Data Needed"
"RebootRequestedDB"=dword:00000001
"RebootRequestedKEK"=dword:00000001
"RebootRequested3POROMDB"=dword:00000001
"RebootRequested3PUEFICADB"=dword:00000001
"LastParsedBucketDataVersion"=dword:00000006
"ConfidenceUpdateType"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes]
"StateAttributes"="0649C6331ABC00FC087F-1-0-1-0-ER-KEKUpdateAllowList | DBUpdateExternalRollout | DBUpdate3PUEFICARollout | DBUpdate3POROMRollout-BR--OR---RBR--0-0-5475DB1BC7C122B08BD24BD5232AF6E0842A2ECE-0--ABD20A5337F630323E08788821B81AF6BBDFE331"

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Grobi847 » 04.03.2026, 14:35

@DK2000
Meine Reg-DB Einträge sehen bei mir genau so aus wie bei dir.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"ConfidenceLevel"="Under Observation - More Data Needed"
"ConfidenceUpdateType"=dword:00000000
"LastParsedBucketDataVersion"=dword:00000007
"UEFICA2023Status"="Updated"
"WindowsUEFICA2023Capable"=dword:000

Allerdings habe ich in der Ereignisanzeige die 1808 mit folgenden Text:

Dieses Gerät hat die Zertifizierungsstelle/Schlüssel für den sicheren Start aktualisiert. Diese Gerätesignaturinformationen sind hier enthalten.
DeviceAttributes: FirmwareManufacturer:Dell Inc.;FirmwareVersion:1.35.0;OEMManufacturerName:Dell Inc.;OEMModelSKU:0930;OSArchitecture:amd64;
BucketId: c1d92b10d4ae21346d621ef561a684079fbebe35dc6ffba8b0def6e2f57ca456
BucketConfidenceLevel: Under Observation - More Data Needed
UpdateType: Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023, Boot Manager (2023)
Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2301018.

Gruß Grobi847

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von DK2000 » 04.03.2026, 13:25

Da sieht es so unordentlich aus, wie immer bei mir. :rofl:

Was das SecureBoot angeht, hat sich da nicht viel getan:

Code: Alles auswählen

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"ConfidenceLevel"="Under Observation - More Data Needed"
"ConfidenceUpdateType"=dword:00000000
"LastParsedBucketDataVersion"=dword:00000007
"UEFICA2023Status"="Updated"
"WindowsUEFICA2023Capable"=dword:00000002
AvailableUpdates steht auf 0x0. Also liegt gerade wohl nicht mehr an. Und warum ich immer noch "Unter Beobachtung" stehe, keine Ahnung. Zertifikate wurden alle installiert, aber noch keine gesperrt.

In der Ereignisanzeige fehlt aber noch der 1808. Oder der fehlt, weil ich beobachtet werde. Keine Ahnung. Hinzu kam aber ein 1040:

Integritätsprüfungen vor dem Nachweis bestätigen, dass eine kritische Komponente fehlgeschlagen ist und dass das Gerät nicht den Nachweis bestehen soll.

Noch mal geschnüffelt in den Logs: Das liegt wohl daran, dass das vTPM 2.0 keinen "Endorsement Key (EK)" besitzt. Jedenfalls steht da in der JSON Datei "EkCertIsAvailable=false".

Auf dem Tablet fehlt da noch das KEK, aber bezweifele, das da noch was kommen wird. Und an den PK gehe ich bestimmt nicht ran, um mir ein eigenes KEK zu erstellen. Das ist mir zu großes Risiko. Und falls es dann im Sommer irgendwelche Probleme mit SecureBoot auf dem Tablet gibt, dann schalte ich das ab und gut.

Ich lasse das alles so un warte mal ab, was sich da noch so tut.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Andi » 04.03.2026, 10:39

Update des zulässigen Schlüsselaustauschschlüssel (Key Exchange Key, KEK) für sicheren Start wurde bei mir gerade installiert.

Wie sieht Eure Registry danach aus?

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von bodu » 02.03.2026, 23:06

Es gibt alte UEFI mit einem Bug, ein KEK Zertifikat kann nicht im normalen Betrieb hinzugefügt werden.
Anfragen von der Betriebsystemseite werden vom UEFI blockiert.
Das ist ein Sonderfall, sollte nicht bei Windows 11 kompatiblen Geräten auftreten.
Ein Endanwender wird davon nichts mitbekommen und mit CA 2011 weiterarbeiten.

Ein KEK updateversuch KEK schlägt im normalen Betrieb fehl:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x4 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Get-WinEvent -FilterHashtable @{
ProviderName='microsoft-windows-tpm-wmi';
Id=@(1802)
}

Description:
The Secure Boot update KEK 2023 was blocked due to a known firmware issue on the device.
Check with your device vendor for a firmware update that addresses the issue.
Die Meldung kann varriieren, generell nach einem vorhandenen KEK CA 2023 Zertifiikat zu prüfen
Ein Firmware Update vom Hardware Hersteller kann das Problem lösen.

Bei alten Geräten ohne Herstellersupport gibt es für wissbegierige Anwender einen Lösungsansatz.
Im UEFI Secure Setup Mode kann ein neuer Schlüsselsatz ab PK Platform Key erstellt werden.
Das erfordert einen manuellen Eingriff vom Endbenutzer: UEFI Einstellungen ändern.

Im Setup Mode können Werte geschrieben werden.
Manche UEFI erlauben die Auswahl von PK, KEK, DB Dateien.

Andere UEFI erlauben das nicht, dann ist ein externes Programm sinnvoll.
Vom Betriebssystemhersteller:
https://github.com/microsoft/secureboot ... otKeys.ps1
https://github.com/microsoft/secureboot ... /releases/
https://github.com/microsoft/secureboot ... naries.zip

PS> cat .\edk2-x64-secureboot-binaries\MicrosoftAndThirdParty\Firmware\README.md
PS> .\InstallSecureBootKeys.ps1
Supply values for the following parameters:
PresignedObjectsPath: .\edk2-x64-secureboot-binaries\MicrosoftAndThirdParty\Firmware
Enrolling certificates for Secure Boot...
Enrolling DB...
DB enrolled successfully.
Enrolling DBX...
DBX enrolled successfully.
Enrolling KEK...
KEK enrolled successfully.
Enrolling PK...
PK enrolled successfully.
Enrollment complete.
Script execution finished.

Secure Boot, Bootloader und SVN sind anschliesend zu setzen.


garlin's scripte vereinfachen das.
https://www.elevenforum.com/t/garlins-p ... 023.43423/


Mosby setzt einen eignen PK Schlüssel, und setzt KEK, DB, und dbx
https://github.com/pbatard/Mosby

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von hpnbR7000 » 19.02.2026, 17:51

#dk2000
Ist eine echte Bastelstunde, habe es so dann gelöst:
(Es geht, die Frage war nur in welcher Reihenfolge die Befehle anlaufen müßen.)

Code: Alles auswählen

ps-fenster  (as admin) 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x0040 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

60 Sekunden abwarten..

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x0080 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

60 Sekunden abwarten..

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x0800 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

60 Sekunden abwarten..

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x1000 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

60 Sekunden abwarten..

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x4000 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

60 Sekunden abwarten..

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x0020 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

60 Sekunden abwarten..

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x0002 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

60 Sekunden abwarten..

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

60 Sekunden abwarten..

Apply revocations.cmd

60 Sekunden abwarten.. und dann Neustarten
am Anfang
https://ibb.co/hvjG7R9

(noch ohne die Apply revocations.cmd)
https://ibb.co/Y4dfRNfQ

am Ende
https://ibb.co/tpntL3xf

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Condor » 19.02.2026, 10:59

Vectorprime hat geschrieben: 18.02.2026, 18:19
Grobi847 hat geschrieben: 18.02.2026, 15:24 @Vectorprime
gehe mal in die Computerverwaltung
Computerverwaltung -> Benutzerdefinierte Ansicht -> Benutzerdefinierte Ansicht erstellen.
hab mal gegoogelt hab ich gemacht
Vielleicht könntest du uns das kurz erklären, wie man in der Computerverwaltung eine „benutzerdefinierte Ansicht“ erstellt.
Ich finde dazu nichts.
Und wir reden hier von dieser Computerverwaltung?:
Comp1.jpg

OK, also unter der „Ereignisanzeige“ …

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von DK2000 » 19.02.2026, 10:49

Und ob 0x00000003 wirklich auf einen "schwerwiegenden Fehler" handelt, bezweifele ich da auch so ein wenig. Solange da seitens Microsofts kein offizielles Dokument dazu erscheint, kann das alles Mögliche bedeuten. Der Copilot bzw. die KI-Suche ist da nicht immer eine zuverlässige Quelle für sowas.

In der 26220 Beta hat der nach dem letzten Update SBAT aktualisiert. Ich habe da den Zweig jetzt in der Registry. Allerdings stehe ich da jetzt auch unter Beobachtung, was das auch immer bedeuten mag.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von moinmoin » 19.02.2026, 10:04

@Grobi847 Wenn du reelle (offizielle) Links hast, musst du sie nicht ändern. Dann dürfen sie so genutzt werden.

Nach oben