Leidiges Thema Secure Boot Zertifikate [Hilfe]

Antwort erstellen


Diese Frage dient dazu, das automatisierte Versenden von Formularen durch Spam-Bots zu verhindern.
Smileys
:) ;) :smile: :lol: :hihi: :D :rofl: :muahah: :( :pff: :kopfstreichel: :ohno: :betruebt: :heulen: :kopfkratz: :duckundweg: :o :? :oops: :psst: :sauer: :-P :daumenrunter: :daumen: :dankeschoen: :thx: :dafür: :gähn:
Mehr Smileys anzeigen
BBCode ist eingeschaltet
[img] ist eingeschaltet
[flash] ist ausgeschaltet
[url] ist eingeschaltet
Smileys sind eingeschaltet
Die letzten Beiträge des Themas

Ich habe die Datenschutzerklärung gelesen und bin damit einverstanden.

   

Ansicht erweitern Die letzten Beiträge des Themas: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Thorben » 03.05.2026, 14:46

DK2000 hat geschrieben: 02.05.2026, 22:32 dann habe ich nur 278 Einträge im UEFI
hp 278 + 3
https://ibb.co/LD5Bryvy

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Opa Olaf » 03.05.2026, 12:12

Nach dem Löschen sind keine Veränderung aufgetreten Windows und Linux Booten normal.
Ich konnte nachvollziehen wo diese Dateien hergekommen sind. Im erweiterten UEFI Setup unter Secure Boot ist es möglich sich die Certificate anzuschauen und auch als Kopie abzuspeichern, welches in dieser Startpartition geschieht ohne Warnung.
Also wieder mal zu viel rumgefummelt von meiner einer und hat auch nichts mit dieser Sache hier zu tun.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Opa Olaf » 03.05.2026, 12:00

Ich werde mal diese Dateien ins Nirvana schicken evtl. sind es ja Dateileichen. Backup vorhanden. ;-)
Danke Dir und schönen Sonntag.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von DK2000 » 03.05.2026, 11:53

Möglich. Hatte auch mal SecureBootRecovery.efi Tool getestet, aber habe da nicht darauf geachtet, ob das irgendetwas in der ESP hinterlässt. Könnte aber schon sein. Aktuell habe ich da jedenfalls diese Dateien nicht.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Opa Olaf » 03.05.2026, 11:47

Ich vermute das es mit dem UEFI Recover Tool zusammen hängt.
viewtopic.php?t=34066&start=135#p457279
In der Registry steht immer noch "Under Observation" Aber bei Status "Updated"

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von DK2000 » 03.05.2026, 11:18

Bei mir gibt es die Dateien nicht (25H2, 26H1, jeweils Retail, April Update). Nur "EFI" und "System Volume Information", Keine Ahnung, warum da bei Dir die Dateien existieren oder wer die da reinkopiert hat. Eventuell irgendein Tool oder so, Wüsste aber nicht welches.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Opa Olaf » 03.05.2026, 10:58

Hallo,

ich habe mir mal den Inhalt der Efi Partition nach den Update angeschaut. Das folgende Bild verwirrt mich doch etwas.
Ist es normal das sich diese Dateien jetzt dort befinden und bleibt das so?

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von DK2000 » 02.05.2026, 22:32

Wenn ich bei mir aus dem UEFI die DBX wieder entferne (0 Einträge) und das April Update ausführe und das Update noch einmal anstoße, dann habe ich nur 278 Einträge im UEFI). Wenn allerdings schon 431 Einträge im UEFI sind, stelle ich keine Änderung fest. Die neue kleine DBXUpdate.bin wird aber auf jeden Fall seit April verwendet, sofern im UEFI noch kein DBX-Update stattfand oder man zwischendurch die Standards im UEFI wiederhergestellt hat.

Aber das Zusammenfassen von Einträgen macht da Sinn. Der Gedanke kam mir da vorhin auch.

Mit dem Skripten von garlin (https://github.com/garlin-cant-code/Sec ... 23-Updates):

Check-DBX.bat:
Screenshot 2026-05-02 234654.png
Check-UEFI.bat:
Screenshot 2026-05-02 235037.png
Das sieht doch gut aus. Sollte also passen.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von bodu » 02.05.2026, 22:26

DK2000 hat geschrieben: 02.05.2026, 19:50warum Microsoft aus der DBXUpdate.bin 154 Einträge entfernt hat?
garlin beschreibt das in Post #1.423 https://www.elevenforum.com/t/garlins-p ... 23/page-72
151 Einträge wurden entfernt, die (in der Zukunft) zusammengefasst mit einem Eintrag PCA 2011 in der DBX gesperrt werden. Ich habe keine Erklärung zu 154, zu genau will ich das aktuell gar nicht wissen.
Wenn ich richtig verstehe, sind das 'Microsoft Windows Production PCA 2011' Einträge.
Z.B. 'Microsoft Corporation UEFI CA 2011' sind weitherhin per DBX gesperrt.
(Get-SecureBootUEFI -Name DBX -Decode).Authority

Zur DBX können in laufenden Betrieb nur hinzugefügt werden, auf vielen Rechnern mit Standardfälle sollte die große dbx bereits sein. Das mag der angedachte Standardfall vom Betriebssystemhersteller für die meisten Rechner sein.
Die kleinere DBX Datei mag auf speziellen Rechnern angebracht sein, möglicherweise wird das rechnerabhängig angewendet.
Ich kenne keine praktischen Beispiele, bei den die kleinere DBX automisch von Windows Update angewendet wurde.
Wann, was, wo, auf welchen Rechnern, in welchem zeitlichen Ablauf-Abstand umgesetzt wird, lasse ich auf mich zukommen.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von DK2000 » 02.05.2026, 19:50

Mal Frage am Rande: Gibt es mittlerweile irgendwo eine plausible Erklärung, warum Microsoft aus der DBXUpdate.bin 154 Einträge entfernt hat? Das leuchtet mir im Moment nicht so wirklich ein.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von John-Boy » 02.05.2026, 18:48

bodu hat geschrieben: 02.05.2026, 17:27 Ist die CA 2023 doch in der KEK?
Get-SecureBootUEFI -name KEK -decode
Bild

Code: Alles auswählen

PS C:\WINDOWS\system32> Get-SecureBootUEFI -name KEK -decode


SignatureOwner : f5a96b31-dba0-4faa-a42a-7a0c9832768e
Subject        : O=HP Inc., C=US, OU=CODE-SIGN, CN=HP UEFI Secure Boot KEK 2017
Version        : 3
Algorithm      : sha256RSA
SerialNumber   : 013BD6744BB8849B30497CB221D0AA13
ValidFrom      : 2017-01-20 01:00:00Z
ValidTo        : 2033-01-17 00:59:59Z

SignatureOwner : 77fa9abd-0359-4d32-bd60-28f4e78f784b
Subject        : CN=Microsoft Corporation KEK CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
Version        : 3
Algorithm      : sha256RSA
SerialNumber   : 610AD188000000000003
ValidFrom      : 2011-06-24 22:41:29Z
ValidTo        : 2026-06-24 22:51:29Z
bodu hat geschrieben: 02.05.2026, 17:27 An der Stelle stellt sich die Frage:
warten auf eine Anweisung vom Hersteller oder ausprobieren?
Ich werde mal auf HP und MS warten... wenn da was schief geht wäre es unschön :kopfkratz:

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von bodu » 02.05.2026, 17:27

John-Boy hat geschrieben: 02.05.2026, 12:32PS C:\WINDOWS\system32> (Get-SecureBootUEFI -Name PK -Decode).SerialNumber
5FB660D4C2FB166B6576B7257A4C37AB
Aus der kek_update_map.json
"KEKUpdate": "HP/KEKUpdate_HP_PK1.bin",
"serial_number": "5fb660d4c2fb166b6576b7257a4c37ab",

HP erstellte einen signierte den entsprechenden KEK CA 2023 KEKUpdate_HP_PK1.bin.
HP nahm die CA 2023 nicht in das BIOS Update von Februar 2025

Ist die CA 2023 doch in der KEK?
Get-SecureBootUEFI -name KEK -decode

An der Stelle stellt sich die Frage:
warten auf eine Anweisung vom Hersteller oder ausprobieren?

Ein KEK Update in Windows über AvailableUpdates 0x4, oder KEKUpdate_HP_PK1.bin im UEFI manuell einpielen?
Gibt es im UEFI bei secure boot etwas in der Richtung "factory default HP keys", "Custom secure keys" (PK/KEK/DB/DBX) oder ein "Setup/Enrollment mode". Die Namen sind Beispiele, sind möglicherweise anders benannt.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Tom11 » 02.05.2026, 16:05

hp AIO mit Fail 3 sieht so aus:

Code: Alles auswählen

(Get-SecureBootUEFI -Name KEKdefault -Decode).Subject | Select-String -Pattern "CA 2023"
CN=Microsoft Corporation KEK 2K CA 2023, O=Microsoft Corporation, C=US

(Get-SecureBootUEFI -Name DBdefault -Decode).Subject | Select-String -Pattern "CA 2023"
CN=Windows UEFI CA 2023, O=Microsoft Corporation, C=US
CN=Microsoft Option ROM UEFI CA 2023, O=Microsoft Corporation, C=US
CN=Microsoft UEFI CA 2023, O=Microsoft Corporation, C=US

(Get-SecureBootUEFI -Name KEKdefault -Decode).Subject
O=HP Inc., C=US, OU=CODE-SIGN, CN=HP UEFI Secure Boot KEK 2017
CN=Microsoft Corporation KEK 2K CA 2023, O=Microsoft Corporation, C=US
CN=Microsoft Corporation KEK CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US

(Get-SecureBootUEFI -Name DBdefault -Decode).Subject
CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
CN=Windows UEFI CA 2023, O=Microsoft Corporation, C=US
O=HP Inc., C=US, OU=CODE-SIGN, CN=HP UEFI Secure Boot DB 2017
CN=Microsoft Option ROM UEFI CA 2023, O=Microsoft Corporation, C=US
CN=Microsoft UEFI CA 2023, O=Microsoft Corporation, C=US
Das Problem ist, das 27 Zoll Gerät hat ein F.26 Bios SSID 8B4E und es gibt viele verschiedene hp Geräte mit gleicher hp Hardware aber anderen Namen (mind. drei habe ich gefunden) und nun hat hp das Bios SSID 8B4E auf F.17 für die gesamte Bios SSID 8B4E Geräteline festgesetzt und bei meiner Hardware sind alle F.18 bis F.26 Bios nicht mehr auf der hp (Support-Website) zugänglich, vermutlich ein böser Fehler von hp.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von John-Boy » 02.05.2026, 12:32

bodu hat geschrieben: 01.05.2026, 21:48
Gibt es ein aktiven Punkt im HP UEFI:
Reiter Security / BIOS Sure Start / Sure Start Secure Boot Keys Protection.
Nein diesen Punkt gibt es nicht auch nichts vergleichbares

Ergebnis der Powershell
Bild

Code: Alles auswählen

Windows PowerShell
Copyright (C) Microsoft Corporation. Alle Rechte vorbehalten.

Lernen Sie das neue plattformübergreifende PowerShell kennen – https://aka.ms/pscore6

PS C:\WINDOWS\system32> Get-SecureBootUEFI -Name KEKdefault -Decode).Subject | Select-String -Pattern "CA 2023"
In Zeile:1 Zeichen:44
+ Get-SecureBootUEFI -Name KEKdefault -Decode).Subject | Select-String  ...
+                                            ~
Unerwartetes Token ")" in Ausdruck oder Anweisung.
    + CategoryInfo          : ParserError: (:) [], ParentContainsErrorRecordException
    + FullyQualifiedErrorId : UnexpectedToken

PS C:\WINDOWS\system32> (Get-SecureBootUEFI -Name DBdefault -Decode).Subject | Select-String -Pattern "CA 2023"
PS C:\WINDOWS\system32> (Get-SecureBootUEFI -Name KEKdefault -Decode).Subject
O=HP Inc., C=US, OU=CODE-SIGN, CN=HP UEFI Secure Boot KEK 2017
CN=Microsoft Corporation KEK CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
PS C:\WINDOWS\system32> (Get-SecureBootUEFI -Name DBdefault -Decode).Subject
O=HP Inc., C=US, OU=CODE-SIGN, CN=HP UEFI Secure Boot DB 2017
CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
CN=Microsoft Corporation UEFI CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
PS C:\WINDOWS\system32>
PS C:\WINDOWS\system32>
PS C:\WINDOWS\system32> (Get-SecureBootUEFI -Name PK -Decode).SerialNumber
5FB660D4C2FB166B6576B7257A4C37AB
PS C:\WINDOWS\system32>

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von bodu » 01.05.2026, 21:48

John-Boy hat geschrieben: 30.04.2026, 09:07HP ProBook 470 G5 mit BIOS 01.31.00 Rev.A vom 11. Feb. 2025
Hat HP beim BIOS 01.31.00 Rev.A Upate ein CA 2023 Zertifikat zur KEKdefault und DBdefault hinzugefügt?
(Get-SecureBootUEFI -Name KEKdefault -Decode).Subject | Select-String -Pattern "CA 2023"
(Get-SecureBootUEFI -Name DBdefault -Decode).Subject | Select-String -Pattern "CA 2023"
(Get-SecureBootUEFI -Name KEKdefault -Decode).Subject
(Get-SecureBootUEFI -Name DBdefault -Decode).Subject
Muss ich wohl auf eine Lösung von HP warten :betruebt:
Gibt es ein aktiven Punkt im HP UEFI:
Reiter Security / BIOS Sure Start / Sure Start Secure Boot Keys Protection.

Das UEFI blockiert Secure Boot Änderungen mit dieser Einstellung.
Diese Einstellung kann nur lokal am Laptop geändert werden.
Deaktiviere den Punkt im UEFI, um Änderungen zu erlauben.

Nach oben