[quote=moinmoin post_id=457216 time=1776776393 user_id=188]
Damit hast du alles, was notwendig ist. Besser geht nicht
[/quote]

Das ist mein allerletzter Beitrag zu diesem Thema!
Schluss, Ende, Feierabend!

Klarer und deutlicher geht es nicht.
[b]Die Antwort von moinmoin ist vielleicht auch für andere User interessant.[/b] ;)

Damit hast du alles, was notwendig ist. Besser geht nicht

DK2000
Danke fürs Testen.
Mal ganz simpel gefragt: Sollte das nicht ausreichen?

Mit der "Check UEFI PK, KEK, DB and DBX.cmd". Der liest den Wert wohl direkt aus dem UEFI aus, wenn ich den Code richtig verstehe. Sicherheitshalber hatte ich aber auch im UEFI selber nachgeschaut und der Hash für den Eintrag ist noch der vom SVN 7. Da kam bislang noch kein neuer Eintrag hinzu.

Noch einmal getestet, um wirklich sicher zu sein. Das Skript liest den Wert direkt aus dem UEFI. Wenn ich den besagten Eintrag im UEFI lösche, ändert sich die Ausgabe:

[attachment=0]Screenshot 2026-04-21 105808.png[/attachment]

SVN 7 ist raus. Also passt das mit dem Skript. Aber erneut über Windows in die DBX eintragen, geht gerade nicht. Kommt nur mit:

DBXSVNLastUpdateError: 80070002 (= Datei nicht gefunden)

Kommt jetzt bei mir in Retail und Release Preview nach manuellem anstoßen des SVN Updates. Egal. Wird schon eine passende Datei erscheinen.

Ah ja, selbst das mag er gerade nicht.

DBXPCA2011RevokeLastUpdateError: 80070002 (= Datei nicht gefunden)

Jedenfalls in der 25H2 Retail. Na mal weiter beobachten.

[quote=DK2000 post_id=457191 time=1776758198 user_id=39966]
Aber es fehlt noch das DBX SVN Update für das UEFI. Hier ist noch SVN 7 eingetragen
[/quote]

Wie kann ich das denn prüfen?

Ja, richtig. Ist bei mir in beiden Zweigen so, dass der Bootmanager mit SVN 8 verwendet wird. Aber es fehlt noch das DBX SVN Update für das UEFI. Hier ist noch SVN 7 eingetragen, jedenfalls bei mir. Und "Ereignis 1796" habe ich derzeit nur im Release Preview der 25H2. Aber da kommt bestimmt noch das passende Update.

26200.8313 habe ich nicht installiert.
Bei mir tritt der von dir beschriebene Fehler in der 26200.8246 auf.
Mit dem Skript (Check Windows state) in der 26200.8246 wird mir das angezeigt (SVN).

TPM-WMI, Ereignis 1796:
Das Update für den sicheren Start konnte DBX mit dem Fehler Das System kann die angegebene Datei nicht finden. nicht aktualisieren.

Richtig. "Check Windows state" prüft, welcher Bootmanager in der ESP installiert ist. Mit "Check EFI file info" kann man aber auch andere Dateien überprüfen, z.B. auf der ISO oder USB-Stick. Beide Skripte sind nützlich.

Aber was mir gerade aufgefallen ist: In der aktuellen Release Preview (26200.8313) habe ich wieder Fehler damit.

[code]TPM-WMI, Ereignis 1796:
Das Update für den sicheren Start konnte DBX mit dem Fehler Das System kann die angegebene Datei nicht finden. nicht aktualisieren.[/code]

In der aktuellen Retail (26200.8246) tritt das nicht auf. Kommt da wohl bald ein Update dafür. Hatte ich da schon öfters die Sache mit "Kann Datei nicht finden". Hat sich im Laufe der Zeit immer von selber gelöst. Also abwarten.

Oder mit dem Skript (Check Windows state)

FilePath         : C:\Windows\Boot\EFI_EX\bootmgfw_EX.efi
Machine          : x64
Subsystem        : EFI Application
SubsystemVersion : 1.0

File Information:

OriginalFilename  : bootmgr.exe
FileDescription   : Boot Manager
ProductName       : Betriebssystem Microsoft® Windows®
Comments          :
CompanyName       : Microsoft Corporation
FileName          : C:\Windows\Boot\EFI_EX\bootmgfw_EX.efi
FileVersion       : 10.0.28000.322 (WinBuild.160101.0800)
ProductVersion    : 10.0.28000.322
IsDebug           : False
IsPatched         : False
IsPreRelease      : False
IsPrivateBuild    : False
IsSpecialBuild    : False
Language          : Deutsch (Deutschland)
LegalCopyright    : © Microsoft Corporation. Alle Rechte vorbehalten.
LegalTrademarks   :
PrivateBuild      :
SpecialBuild      :
FileVersionRaw    : 10.0.28000.322
ProductVersionRaw : 10.0.28000.322

Authenticode SHA256: D2ECB3C8D4DC6FD1CB2D058DF4BD7EA72EA5A14111D7A5C848CFB94AA9C058D3

Signature Certificate(s):

Subject      : CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
Issuer       : CN=Windows UEFI CA 2023, O=Microsoft Corporation, C=US
Thumbprint   : 441FDC17A4C37612D191C63C70123778C1D761FD
FriendlyName :
NotBefore    : 15.05.2025 21:23:59
NotAfter     : 15.05.2026 21:23:59
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid,
               System.Security.Cryptography.Oid...}

BOOTMGRSECURITYVERSIONNUMBER: 8.0

Interessant. Das mit SVN 8 habe ich gar nicht mitbekommen. Die ESP wurde entsprechend aktualisiert, aber im UEFI ist noch SVN 7 eingetragen. Mal schauen, wann da ein neues Update für DBX SVN kommt.

Auch interessant, dass die Dateiversion jetzt 28000.322 ist. Auch in Windows 10. Wann haben sie das den geändert?

So viele kleine Änderungen, die da an mir vorbei gehen. Aber egal, Hauptsache Windows bootet.

Und die SVN kann man mit dem Skript ([i]Check EFI file info.cmd[/i]) aus dem bekannten Paket auslesen.

(https://github.com/cjee21/Check-UEFISecureBootVariables)

[code]FilePath : C:\Windows\Boot\EFI_EX\bootmgfw_EX.efi
Machine : x64
Subsystem : EFI Application
SubsystemVersion : 1.0

File Information:

OriginalFilename : bootmgr.exe
FileDescription : Boot Manager
ProductName : Betriebssystem Microsoft® Windows®
Comments :
CompanyName : Microsoft Corporation
FileName : C:\Windows\Boot\EFI_EX\bootmgfw_EX.efi
FileVersion : 10.0.28000.322 (WinBuild.160101.0800)
ProductVersion : 10.0.28000.322
IsDebug : False
IsPatched : False
IsPreRelease : False
IsPrivateBuild : False
IsSpecialBuild : False
Language : Deutsch (Deutschland)
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
LegalTrademarks :
PrivateBuild :
SpecialBuild :
FileVersionRaw : 10.0.28000.322
ProductVersionRaw : 10.0.28000.322

Authenticode SHA256: D2ECB3C8D4DC6FD1CB2D058DF4BD7EA72EA5A14111D7A5C848CFB94AA9C058D3

Signature Certificate(s):

Subject : CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
Issuer : CN=Windows UEFI CA 2023, O=Microsoft Corporation, C=US
Thumbprint : 441FDC17A4C37612D191C63C70123778C1D761FD
FriendlyName :
NotBefore : 15.05.2025 21:23:59
NotAfter : 15.05.2026 21:23:59
Extensions : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid,
System.Security.Cryptography.Oid...}

BOOTMGRSECURITYVERSIONNUMBER: 8.0[/code]

Ganz am Ende steht dann die aktuelle SVN der Datei.

[quote=g1428d4dy05 post_id=457058 time=1776403440 user_id=47302]Wie verhält es sich denn mit den Zertifikaten und einer Neuinstallation von Windows 11. Bei mir scheinen alle Zertifikate aktualisiert zu sein. Wie wäre es aber nun, wenn ich Windows neue installiere?[/quote]
Da ist einiges im Fluss.

Akutell sperrt Windows Update die PCA 2011 Signatur noch nicht.
Eine Neuinstalltion mit einem altem ISO ist möglich.
Bei einer Neuinstallation auf leerer Festplatte sollte der CA 2023 Bootmanager in der EFI Partition gespeichert werden.



Wenn die PCA 2011 Signatur gesperrt wurde, und SVN (Secure Version Number) gesetzt ist, wird es komplexer.

https://www.deskmodder.de/phpBB3/viewtopic.php?t=32297
https://support.microsoft.com/de-de/topic/verwalten-der-windows-start-manager-sperrungen-f%C3%BCr-%C3%A4nderungen-des-sicheren-starts-im-zusammenhang-mit-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d
"Jedes Mal, wenn der SVN aktualisiert wird, müssen alle startbaren Medien aktualisiert werden."

Make2023BootableMedia.ps1 geht in die Richtung
https://support.microsoft.com/de-de/topic/aktualisieren-von-startbaren-windows-medien-zur-verwendung-des-pca2023-signierten-start-managers-d4064779-0e4e-43ac-b2ce-24f434fcfa0f
https://github.com/microsoft/secureboot_objects/tree/main/scripts/windows


Das April 2026 25H11 Update erstellt neu eine SVN 8 C:\Windows\Boot\EFI_EX\bootmgfw_EX.efi, war bisher SVN 7.

Wenn im NVRAM mindestens SVN 7 gefordert wird, dann reicht ein CA 2023 SVN 7 Installationsmedium, 24H2 26100.2033 mit CA 2023


Wenn in der Firmware mindestens SVN 8 gefordert wird, ist ein CA 2023 SVN 8 Installationsmedium erforderlich.

Die Windows 11 25H2 26200.8246 ESD (Sicherheitsupdate des Monats) beinhaltet den SVN 8 Bootmanager.
https://www.deskmodder.de/blog/2025/06/28/windows-11-25h2-26200-iso-esd-deutsch-english/
26200.8246.260413-0654.25h2_ge_release_svc_refresh_CLIENTBUSINESS_VOL_x64FRE_de-de.esd
*\4\Windows\Boot\EFI_EX\bootmgfw_EX.efi SVN 8
*\4\Windows\System32\Recovery\Winre.wim\Windows\Boot\EFI_EX\bootmgfw_EX.efi SVN 8
Die Hausaufgaben wurden gemacht: das ESD beinhaltet den Secure Boot Stand vom zugehörigen Windows Update.

Idee, nicht getestet:
Jedes Mal, wenn der SVN aktualisiert wird, ist ein neues ESD/ISO zu verwenden und mit z.B. Make2023BootableMedia.ps1 der CA 2023 Bootmanager auf dem Installationsmedium zu schreiben.
Das Dateidatum C:\Windows\Boot\EFI_EX\bootmgfw_EX.efi ist ein Indiz zum SVN Stand.
Wenn das Dateidatum vom aktuellen Windows Update Monat entspricht, ist da genauer hinzuschauen. Eine Neuinstallation mit bestehendem Medium kann funktionieren, oder es ist ein neues Medium zu erstellen. In kritischen Zeitkonstellationen ist dazu ein zweiter Rechner erforderlich. Die lokale EFI Partition kann ein Ansatz für den tagesaktuellen Bootmanager sein.
Frage in zwei Jahren nach Praxiserfahrungen nach.

[quote=g1428d4dy05 post_id=457058 time=1776403440 user_id=47302]
Wie verhält es sich denn mit den Zertifikaten und einer Neuinstallation von Windows 11. Bei mir scheinen alle Zertifikate aktualisiert zu sein. Wie wäre es aber nun, wenn ich Windows neue installiere?
[/quote]

Ich vermute, dass alles Nötige enthalten sein wird, sobald Microsoft die ISO auf den aktuellen Stand bringt.
So wie ich es verstanden habe, werden die neuen Zertifikate und Datenbankeinträge direkt ins (UEFI-)BIOS geschrieben.
Wenn dein Rechner also bereits alle 2023er-Zertifikate besitzt, sollte es bei einer Neuinstallation keine Probleme geben.

Wie verhält es sich denn mit den Zertifikaten und einer Neuinstallation von Windows 11. Bei mir scheinen alle Zertifikate aktualisiert zu sein. Wie wäre es aber nun, wenn ich Windows neue installiere?

Danke für den Hinweis.
Habe ich bereits gemacht.

https://www.deskmodder.de/phpBB3/viewtopic.php?p=456414#p456414

[quote=Sam2 post_id=457011 time=1776207694 user_id=51878]
Alle USB PE-Sticks und alle vier angelegten PE-Partitionen starten immer noch.
Das wird sich hoffentlich nicht noch ändern.
[/quote]

Ich vermute, das wird sich noch ändern, sobald das derzeit noch gültige 2011er-Zertifikat in
den nächsten Monaten zurückgezogen wird und nur noch das 2023er angewendet wird.

Schau mal hier auf Seite 4:


[attachment=0]Screenshot 2026-04-16 131455.png[/attachment]