Wenn Microsoft so weiter macht, wie bisher, sollte zum. eine MVS ISO passend für SVN 9.0 erscheinen. Das MCT sollte dann zeitnah auch aktualisiert werden. Sollte, wegen SVN 9.0. Ist halt Murks mit dieser SVN. Sobald die wieder erhöht wird, brauch man wieder angepasste Bootmedien. Macht mehr Arbeit.

Die ESD Dateien sind noch auf dem Stand Mai 2026, SVN 8.0
https://www.deskmodder.de/blog/2025/06/28/windows-11-25h2-26200-iso-esd-deutsch-english/

Windows Media Creation Tool erstellt einen USB Stick mit den Mai 2026 ESD Dateien als Grundlage.
Mit Make2023BootableMedia.ps1 ergibt das ein CA 2023 SVN 8.0 USB Stick.
https://github.com/microsoft/secureboot_objects/blob/main/scripts/windows/

Wenn eine neue Festplatte in einen SVN 9.0 Rechner eingebaut werde soll, gibt es ein Problem.

Wenn es noch einen zweiten Windows Rechner mit aktuellem Patchstand Juni 2026 gibt, lässt sich mit einem Hack manuell eingreifen.
Den SVN 9.0 Bootmager auf den USB Stick U: kopieren.

Achtung, in der install.* und winre.wim sind noch die SVN 8.0 Dateien.
Auch Rufus fasst die install.* und winre.wim nicht an.

U:
copy "C:\Windows\Boot\EFI_EX\bootmgfw_EX.efi" "\efi\boot\bootx64.efi"


Die Installation auf neuer Festplatte starten.
Und beim ersten Neustart eine SVN Fehlermeldung erwarten.
Nochmals vom USB Stick booten, Shift F10 und den SVN 9.0 Bootmager vom USB Stick U: auf die ESD Partition der internen Festplatte kopieren.

mountvol.exe S: /s
echo list disk | diskpart.exe
echo list volume | diskpart.exe
break read
pause
U:
copy \efi\boot\bootx64.efi S:\efi\Microsoft\Boot\bootmgfw.efi /y


Das ist ein manueller Hack, funktioniert so nicht unbeaufsichtigt.
Ein Ansatz: hoffen, dass es nächsten Monat ein ESD mit dann akutellen SVN Dateien gibt.

Hallo DK2000
Danke für die Info, du hast es sehr gut erklärt.
Da muss man halt Ständig eine neue ISO mit Rufus erstellen wenn sich die SVN erhöht.
Total bescheuert von Microsoft. Aber lässt sich nicht ändern.
Danke Dir.

Das funktioniert bedingt. Rufus richtet nur das Booten der ISO mit den neuen Zertifikaten ein, beeinflusst aber nicht die Installation. Hier ist es wichtig, dass das Image aktuell ist. Bedeutet, wenn man heute mit so einem Stick installieren will, benötigt man zwingend ein Image mit dem Windows Bootmanager SVN 9.0, also mit integriertem KB5094126 vom 09.06.2026. Wenn man ein älteres Image verwendet, endet die Installation nur damit:
[attachment=0]VirtualBox_Windows_11_25H2_(Retail)_11_06_2026_10_09_06.png[/attachment]
Das war jetzt ein einfacher Test in der VM, wo alle CA 2023 Zertifikate installiert sind, SVN 9.0 und CA 2011 noch nicht widerrufen wurde. Zum Testen habe ich die MVS ISO für Win 11 25H2 vom April 2026 verwendet (SVN 8.0). Diese ISO ist mit Stand Juni 2026 für eine Neuinstallation in dieser VM unbrauchbar. Auf realer Hardware dürfte sich das auch nicht groß anders verhalten. Inplace Upgrade habe ich jetzt nicht weiter getestet, dürfte aber auch versagen.

Wenn Microsoft jetzt SVN auf 10.0 erhöht, werden alle ISOs mit SVN 9.0 unbrauchbar. Seit Microsoft die SVN eingeführt hat und das abgefragt wird, kann man sich leider keine ISO mehr einfach so erstellen und irgendwo lagern. Die ISO muss man immer aktuell halten, da mit einer alten ISO eine Neuinstallation u.U. im Bedarfsfall dann nicht mehr möglich ist.

Um das zu umgehen, müsste man für eine Neuinstallation Secureboot deaktivieren. Dann ist das alles egal. Derzeit geht das noch.

@Gerd11
Danke zunächst für deine Antwort.
Du hast mich leider falsch verstanden, Sorry.
Ich meinte ich habe mir jetzt die neuste ISO Win11 25H2 von hier und bei Microsoft runtergeladen
und mit Rufus 4.14 auf einen USB Stick sowie auf den Screenshot zu sehen erstellt.
Frage ist funktioniert das so mit den neuen Zertifikaten bei einer Clean Neuinstallation wenn der fall eintreten sollte
das man Windows Neuinstallieren müsste ? Nicht das dann die Neuinstallation Fehlschlägt und es Probleme gibt.
Danke@All
[attachment=0]Bootloader.jpg[/attachment]
[attachment=1]Rufus.jpg[/attachment]

Lade ein ISO mit dem MCT und gehe auf "breitstellen" dann speichere "das" in einem Ordner auf deiner Festplatte und starte das Setup aus diesem Ordner. Das geht so immer, es ist dann auch egal ob nur ein Home-Key im Bios ist, wenn du aber z.B. eine aktivierte PRO auf dem PC hast, du benötigst dann so auch keine "pid.txt" da das Setup "das" (Version) erkennt und auch die PRO installiert. "100x so schon alles gemacht."

Aktuelle ISOs hier im Blog oder über das Media Creation Tool (MCT). Solange das CA 2011 nicht widerrufen wird, booten sie alle. Erst wenn das widerrufen wird, braucht man dann eine entsprechende ISO mit dem CA 2023 Bootmanger. Da jetzt SVN 9 eingetragen ist, benötigt man vermutlich auch eine ISO (aus heutiger Sicht) mit dem Sicherheitsupdate von gestern. Windows Bootmanager älter SVN 9 dürfen auch jetzt schon nicht mehr booten. Muss ich mal testen. Müsste ich wohl mit einer älteren ISO installieren.

Hmm, seit dem gestrigen Sicherheitsupdate steht jetzt das drin.
Windows BootMGR SVN Ziel 9.0 wie komme ich dorthin, oder muss man gar nichts tun?
Sonnst ist alles grün.
[attachment=0]Screenshot 2026-06-10 093954.jpg[/attachment]

Okay habe den Startmanager nochmal mit 0x200 aktualisiert, ist jetzt alles wieder Grün.
Blöde Frage wo bekomme ich jetzt jetzt eine aktuelle Win11 25H2 Iso her wo das alles drin ist falls
man Windows Neu installieren muss (Bootmedium) ?

[attachment=0]Screenshot 2026-06-09 231110.png[/attachment]

Interessant. Nach dem heutigen Sicherheitsupdate hat der mir alles auf dem Tablet aktualisiert, außer KEK. Aber da werde ich wohl auch nichts mehr bekommen. Aber der ganze Rest ist jetzt aktuell, auch DBX und SVN. Hätte ich nicht gedacht.

Gut, Plutonium ist wieder ne Sache für sich. Aber ich vermute mal irrelevant für silverstar. :)

moinmoin, Microsoft Secure Boot ist eine Sache aber wer auf brandneuer Hardware auch noch einen aktiven Microsoft Pluton-Chip mit an Board hat bei dem ist beim beim Start ein aktives Trusted Platform Module (TPM) und aktives Microsoft Secure Boot schon zwingend voraussetzt. (Bei uns jedenfalls ist das auf allen brandneuen hp-Geräten schon so und in der UEFI DB ist CA 2011 und PCA 2011 gelöscht bzw. schon seit dem 30.05.26 überall von hp deaktiviert worden, mit dem Bios-Updates vom 30.05.26.) Eines der drei Sachen -oder alle abzuschalten ist hier auch nicht mehr möglich.

So ähnlich hattest du es hier schon.
https://www.deskmodder.de/phpBB3/viewtopic.php?t=34066&start=180#p457908
Gedanken machen muss man sich erst, wenn Microsoft Secure Boot beim Start schon zwingend voraussetzen würde. Das wird wohl aber nicht passieren. (Noch nicht).

Moin,

ich habe auf dem PC SecureBoot deaktiviert.
Das Script von c't, zum auslesen der Gültigkeit zeigt an das die Key's bis 19.10.2026 gültig sind.

Da SecureBoot deaktiviert ist, muss ich mir auch nach dem 19.10.2026, insofern keine neuen Key's kommen, keine Gedanken bzgl. des Starten des PC's und nutzen Gedanken machen.
Sehe ich das richtig?

[quote=bodu post_id=458622 time=1780676668 user_id=45968]
In der Schlüsselverwaltung zeigt wohl nur die Schlüssel im NVRAM dar. Hier sollten sich die Schlüssel ändern lassen.
Bei Neugierde lässt sich das ausprobieren.
Bei den BIOS Bildern würde ich DBX löschen, DB löschen, KEK, löschen PK löschen,

Einen PK aus Datei festlegen oder beziehen. Mit Glück wird das *.der Dateiformat akzeptiert
https://github.com/microsoft/secureboot_objects/tree/main/PreSignedObjects/PK/Certificate

Und die beiden KEK hinzufügen
https://github.com/microsoft/secureboot_objects/blob/main/PreSignedObjects/KEK/Certificates/
[/quote]

PK und KEK aus der Github Quelle hinzufügen hat nicht geklappt, es kam eine Failed Meldung. War wohl das falsche Dateiformat.

[quote=bodu post_id=458579 time=1780593693 user_id=45968]
[quote=Willi11 post_id=458525 time=1780509096]hp Prob mit UEFI DB CA 2023 ?[/quote]Vorhanden sind KEK CA 2023, DB, CA 2023, DBX CA 2011 und SVN 8: Für single boot Windows 11 alles klar, keine Probleme

Aktualisiere zusätzlich eventuell vorhandene Bootmedien.
[/quote]

11 Bootmedien aktualisiert und AMI F.30 (Bios hp SSID 08B4E - Update sp173251) löste heute das Problem, thx bodu
siehe:
https://ibb.co/xq9VCDzG