Deaktivieren sollte aber wirklich die letzte Maßmahme sein, weil sicherer Start heißt nicht umsonst so, Es soll aber Geräte geben, die ohne BIOS-Update nicht auskommen und wenn der Hersteller keines anbietet, bleibt tatsächlich nur abschalten. Sonst bleibt der Bildschirm einfach nur schwarz...

@oli88
Keine Angst. Wenn das mit dem UEFI Update bei dir nicht klappt, mußt du im BIOS einfach das SecureBoot deaktivieren, und gut Ist.
Dann kannst du den PC weiter benutzen.

Hallo Ihr!
Das Ende der alten Windows-Zertifikate neigt sich so langsam dem Ende zu.
Wenn ich nur schon dran denke, bekomme ich Angst was wird danach sein. Kann ich mein PC dann überhaupt noch benutzen?

Folgendes erscheint bei mir nach wie vor mit dem X. Ich glaube, dass das noch nicht ganz vollständig ist.
Habt Ihr mir noch eine Idee was ich tun könnte?

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
[b]X Microsoft Corporation KEK 2K CA 2023[/b]

Default UEFI KEK
WARNUNG: Failed to query UEFI variable 'KEKDefault' for cert 'Microsoft
Corporation KEK CA 2011'
WARNUNG: Failed to query UEFI variable 'KEKDefault' for cert 'Microsoft
Corporation KEK 2K CA 2023' Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)

Hinter WindowsUEFICA2023Capable steht 0x00000002 (2).
Über diesem gibt es noch ein UEFICA2023Status, hier steht InProgress dahinter.
Bei "Microsoft Corporation KEK 2K CA 2023" ist bei mir leider definitiv kein Häckchen,
ich werde mal Acer anschreiben, habe da aber eher wenig Hoffnung, das da noch etwas geht.
Wenn da nichts geht, muss ich wohl mein Gerät austauschen müssen, denn ab dem Juni 2026
werde ich es - wenn ich richtig liege - ja nicht mehr nutzen können.
Den Link für ein neues Skript, was soll ich damit tun?

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"WindowsUEFICA2023Capable"=dword:00000002

"Microsoft Corporation KEK 2K CA 2023" sollte auch ein Häkchen haben. Aber das liegt an Acer. Wenn die keine Update liefern, da kann da auch nichts installiert werden.

Und dass die "Defaults" nicht gelesen werden können, ist da auch etwas ungewöhnlich, aber liegt letztendlich auch an Acer. Keine Ahnung, was die da gemacht haben. Eventuell einfach keine Default Zertifikate integriert.

Interessant wäre auch zu sehen, was bei Dir hier in der Registry steht:

[code][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"WindowsUEFICA2023Capable"=dword:00000002[/code]

Ansonsten, gibt auch ein neues Skript: https://github.com/cjee21/Check-UEFISecureBootVariables

Konntet Ihr meine vorherigen Einträge sichten? Was sagt ihr dazu?
In der Ereignisanzeige erscheint die Fehlermeldung TPM-WMI 1801 nach wie vor.
Habt ihr noch eine Idee?

weiterer Nachtrag ... habe nun auch nochmals das Check UEFI ausgeführt und siehe da, die beiden fett-markierten sind nun mit
einem Haken versehen, welche vorher noch mit einem Kreuz gekennzeichnet waren.
Heißt, also ich habe alles?? Oder muss auch das fett-martkierte&unterstrichene unter Current UEFI KEK auch mit einem Haken sein?

20 Dezember 2025
Manufacturer: Acer
Model: Aspire TC-603
BIOS: American Megatrends Inc., P11-A0, P11-A0, ACRSYS - 1072009
Windows version: 22H2 (Build 19045.6691)

Secure Boot status: Enabled

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
[b][u]X Microsoft Corporation KEK 2K CA 2023[/u][/b]

Default UEFI KEK
WARNUNG: Failed to query UEFI variable 'KEKDefault' for cert 'Microsoft
Corporation KEK CA 2011'
WARNUNG: Failed to query UEFI variable 'KEKDefault' for cert 'Microsoft
Corporation KEK 2K CA 2023' Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
[b]√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False) [/b]

Default UEFI DB
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft Windows
Production PCA 2011'
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft
Corporation UEFI CA 2011'
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Windows UEFI CA
2023'
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft UEFI CA
2023'
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft Option
ROM UEFI CA 2023'

Current UEFI DBX (only the latest one is needed to be secure)
2023-03-14 : SUCCESS: 220 successes detected
2023-05-09 : SUCCESS: 371 successes detected
2025-01-14 (v1.3.1) : SUCCESS: 245 successes detected
2025-06-11 (v1.5.1) : SUCCESS: 430 successes detected

Nachtrag:
Die Fehlermeldung TPM-WMI 1801 erscheint trotzdem noch.

Hallo moinmoin,
danke für deine Hilfe.
Ich habe nun die beiden Befehle im CMD als Admin eingegeben
und siehe da es erscheinen zwei neue Informationen in der Ereignisanzeige:
1) TPM-WMI 1044: Update der Datenbank für sicheres Starten zur Installation des Microsoft Option ROM-UEFI CA 2023-Zertifikats wurde erfolgreich angewendet
2) TPM-WMI 1045: Update der Datenbank für sicheres Starten zur Installation des Microsoft UEFI CA 2023-Zertifikats wurde erfolgreich angewendet
Auch hat sich im Regedit Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
was geändert:
Ordner UEFICA2023Status steht nun auf "inProgress"
Somit sollte es nun hoffentlich passen, oder was meinst du?
Oder muss jetzt auch noch der Hersteller oder Windows aktiv werden?

Einfach nur ins Windows Terminal (Admin) eingeben und Enter drücken.

Hallo DK2000
danke für deine Rückmeldung.
Die beiden Codes die duvgenannt hast, muss ich da was machen bzw. anstoßen? :dankeschoen:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Vermutlich warten und hoffen, das Du noch ein UEFI-Update vom Hersteller bekommst. Wenn das manuell nicht funktioniert, Da gibt es da keine Möglichkeit, da was zu machen. Jedenfalls kenne ich da keine, außer man hat ein UEFI, wo man manuell die Zertifikate einspielen kann.

[code]reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f[/code]
[code]Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"[/code]
Und Neustart. Entweder klappt oder klappt nicht.

Hallo zurück!
Habe zufällig gerade mal wieder in der Ereignisanzeige nachgeschaut und siehe da ein neuer Fehler mit der Nummer 1801:

Zertifikate für den sicheren Start wurden aktualisiert, aber noch nicht auf die Gerätefirmware angewendet. Lesen Sie den
veröffentlichten Leitfaden, um das Update abzuschließen und vollständigen Schutz sicherzustellen. Diese Gerätesignaturinformationen sind hier enthalten.
DeviceAttributes: FirmwareManufacturer:American Megatrends Inc.;FirmwareVersion:P11-A0;OEMModelNumber:Aspire TC-603;OEMModelBaseBoard:Aspire TC-603;OEMManufacturerName:Acer;OSArchitecture:amd64;
BucketId: 6602c7e6e75ca39c1318eb7f6ae117268d371bada78afc674fde205ae671cdb3
BucketConfidenceLevel:
UpdateType: 0

In der Registry unter Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
gibt es ein Ordner mit dem Namen "UEFICA2023Status" und es steht notstarted drin.

Was muss ich tun sodass die Fehlermeldung verschwindet?

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"WindowsUEFICA2023Capable"=dword:00000002

Ja,scheint alles ok zu sein
[code][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"WindowsUEFICA2023Capable"=dword:00000002[/code]
ist so in der Registry und
[quote]Qulle: TPM-WMI
Ereignis-ID: 1808
zum Zeitpunkt des PC Startes[/quote]
steht in den Ereignissen

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"WindowsUEFICA2023Capable"=dword:00000002

[quote]Oder macht es Sinn den KEK manuel ins Bios ein zufügen denn ein OEM ist der PC nicht?[/quote]
Als OEM zählt in diesem Falle auch der Hersteller eines Boards. Hast Du z.B. von. ASUS ein Bord gekauft, dann muss ASUS einen zu PK vom Bord passend signiertes KEK Zertifikat bereitstellen. Dieses Zertifikat kann ASUS dann am Microsoft liefern, welches dann vom Microsoft in das kumulative Update integriert wird (in die Datei "KEKUpdateCombined.bin"). Alternativ kann ASUS das Zertifikat auch im nächsten UEFI-Update integrieren.

Manuell integrieren würde auch gehen, setzt aber voraus, dass (in dem Beispiel ASUS) das Zertifikat einzeln passend zum bereits vorhandenen 'Platform Key (PK)' zur Verfügung gestellt wird. Ist das nicht der Fall und in der aktuellen KEKUpdateCombined.bin ist auch nichts passendes vorhanden, dann hat man Pech und muss hoffen, dass noch etwas kommen wird.

[quote]Warum macht man es nicht so[/quote]
[quote]Bzw was ist der Unterschied zwischen dem was Du hier schriebst[/quote]

Das ist im Grunde genommen dasselbe, nur einmal zusammengefasst und einmal als Einzelschritte. Jede Aufgabe wird über ein Bit geregelt, welches man über die Zahl in Hexadezimal in "AvailableUpdates" eintragen kann und in einer bestimmten Reihungen ausgeführt werden

[b]1. 0x0040: [/b]
Dieses Bit weist die geplante Aufgabe an, das Zertifikat 'Microsoft UEFI CA 2023 ' zur Secure Boot DB hinzuzufügen. Auf diese Weise kann Windows Startmanagern vertrauen, die von diesem Zertifikat signiert wurden.

[b]2. 0x0800:[/b]
Dieses Bit weist die geplante Aufgabe an, das 'Microsoft Option ROM UEFI CA 2023' in die Datenbank hinzuzufügen.

Wenn 0x4000 ebenfalls festgelegt ist, überprüft die geplante Aufgabe die Datenbank und fügt 'Microsoft UEFI CA 2023' nur hinzu, wenn 'Microsoft Corporation UEFI CA 2011' bereits in der Datenbank vorhanden ist.

[b]3. 0x1000:[/b]
Dieses Bit weist die geplante Aufgabe an, das 'Microsoft UEFI CA 2023' in die Datenbank hinzuzufügen.

Wenn 0x4000 ebenfalls gesetzt ist, überprüft die geplante Aufgabe die Datenbank und fügt'Microsoft Option ROM UEFI CA 2023' nur dann hinzu, wenn das Zertifikat 'Microsoft Corporation UEFI CA 2011' bereits in der Datenbank gefunden wird.

[b]2. und 3. 0x4000:[/b]
Dieses Bit ändert das Verhalten der Bits 0x0800 und 0x1000 so, dass nur dann die Zertifikate 'Microsoft UEFI CA 2023' und 'Microsoft Option ROM UEFI CA 2023' hinzugefügt werden, wenn die Datenbank bereits über das Zertifikat 'Microsoft Corporation UEFI CA 2011' verfügt.

Um sicherzustellen, dass das Sicherheitsprofil des Geräts unverändert bleibt, wendet dieses Bit diese neuen Zertifikate nur dann an, wenn das Gerät dem UEFI CA 2011-Zertifikat vertraut hat. Nicht alle Windows-Geräte vertrauen diesem Zertifikat.

[b]4. 0x0004:[/b]
Dieses Bit weist die geplante Aufgabe an, nach einem 'Key Exchange Key (KEK)' zu suchen, welcher mit dem 'Platform Key (PK)' des Geräts signiert wurde. Der PK wird vom OEM verwaltet. OEMs signieren das Microsoft KEK mit ihrem PK und liefern es an Microsoft, wo es in die kumulativen Updates enthalten ist.

[b]5. 0x0100: [/b]
Dieses Bit weist die geplante Aufgabe an, den vom 'Windows UEFI CA 2023' signierten Bootmanager auf die Boot-Partition anzuwenden. Dieser ersetzt dann den mit dem 'Microsoft Windows Production PCA 2011' signierten Boot-Manager.

Diese Bits lassen sich auch zu 0x5944 addieren. In dem Falle würde die geplante Aufgabe alle Aufgaben in einem Rutsch ausführen, sofern möglich. Man kann aber auch andere Bits kombinieren, wie in Deinem Fall dann wohl 0x4000 und 0x100 zu 0x4100. In dem Falle würden beide Aufgaben ausgeführt werden.

Aber wie auch immer. Bei Dir hat das jetzt wohl geklappt. "Current UEFI KEK", "Current UEFI DB" und "Current UEFI DBX" sind aktuell. Ist halt nur die Frage, ob der neue Boot Manager verwendet wird.

[code][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"WindowsUEFICA2023Capable"=dword:00000002[/code]

Wenn das bei Dir in der Registry steht, sollte das aber der Fall sein. Und Ereignis 1808 sollte jetzt bei Dir auch in der Ereignisanzeige zu finden sein.