:smile: Ok Danke. Ich habe mir bcdboot schon mal gesichert für alle Fälle.

Rufus 4.14 geht auch, wenn man die Option aktiviert. Nur mit der "SkuSiPolicy.p7b" wäre ich da vorsichtig. Kann ich aber auch nicht wirklich testen, da ich kein VBS verwende. Aber Stick mit CA 2023 Zertifikat erstellen, geht.

Der Trick mit bcdboot ist halt immer dann nützlich, wenn man bereits einen USB-Stick hat, welcher noch den alten Bootmanager verwendet.

Interessant wäre auch Rufus in der aktuellen Version mit KEK 2023 Unterstützung zu testen, ob das so funktionieren würde.

copy x:\EFI\Microsoft\Boot\BCD x:\EFI\Microsoft\Boot\BCD.BAK
bcdboot c:\windows /f UEFI /s x: /bootex
COPY x:\EFI\Microsoft\Boot\BCD.BAK x:\EFI\Microsoft\Boot\BCD

Die ISOs von Microsoft sind da so noch nicht angepasst. Wenn bei DIr bereits alles gesperrt wurde, dann booten die ISOs/Sticks nicht mehr.

Aber USB-Stick lässt sich schnell aktualisieren:

[code]copy x:\EFI\Microsoft\Boot\BCD x:\EFI\Microsoft\Boot\BCD.BAK
bcdboot c:\windows /f UEFI /s x: /bootex
COPY x:\EFI\Microsoft\Boot\BCD.BAK x:\EFI\Microsoft\Boot\BCD[/code]

x: durch den Buchstaben das USB-Sticks ersetzen. Danach verwendet der Stick den Bootmanager mit den CA 2023 Zertifikat uns sollte normal booten.

Jetzt haben wir "den Salat" ich wollte heute ein Clean-Install durchführen. Mit dem aktuellen MS-MCT-Tool die 8246 rutergeladen auf USB-Stick -"wie immer der gleiche" und nun kein booten mehr möglich vom dem USB-Stick. Setup bleibt stehen beim Start "Secure-Boot mit einer Fehlermeldung". Andere USB-Sticks mit der selben Fehlermeldung. Setup von System-SSD läuft aber durch, von USB nicht mehr. ?! :ohno:

Secure-Boot abschalten auch ohne erfolg. Meldung kommt dann abschalten nicht zulässig.
Ist ein hp-pc

[quote=DK2000 post_id=457464 time=1777753967 user_id=39966]
dann habe ich nur 278 Einträge im UEFI
[/quote]

hp 278 + 3
https://ibb.co/LD5Bryvy

Nach dem Löschen sind keine Veränderung aufgetreten Windows und Linux Booten normal.
Ich konnte nachvollziehen wo diese Dateien hergekommen sind. Im erweiterten UEFI Setup unter Secure Boot ist es möglich sich die Certificate anzuschauen und auch als Kopie abzuspeichern, welches in dieser Startpartition geschieht ohne Warnung.
Also wieder mal zu viel rumgefummelt von meiner einer und hat auch nichts mit dieser Sache hier zu tun.

Ich werde mal diese Dateien ins Nirvana schicken evtl. sind es ja Dateileichen. Backup vorhanden. ;-)
Danke Dir und schönen Sonntag.

Möglich. Hatte auch mal SecureBootRecovery.efi Tool getestet, aber habe da nicht darauf geachtet, ob das irgendetwas in der ESP hinterlässt. Könnte aber schon sein. Aktuell habe ich da jedenfalls diese Dateien nicht.

Ich vermute das es mit dem UEFI Recover Tool zusammen hängt.
https://www.deskmodder.de/phpBB3/viewtopic.php?t=34066&start=135#p457279
In der Registry steht immer noch "Under Observation" Aber bei Status "Updated"

Bei mir gibt es die Dateien nicht (25H2, 26H1, jeweils Retail, April Update). Nur "EFI" und "System Volume Information", Keine Ahnung, warum da bei Dir die Dateien existieren oder wer die da reinkopiert hat. Eventuell irgendein Tool oder so, Wüsste aber nicht welches.

Hallo,

ich habe mir mal den Inhalt der Efi Partition nach den Update angeschaut. Das folgende Bild verwirrt mich doch etwas.
Ist es normal das sich diese Dateien jetzt dort befinden und bleibt das so?

Wenn ich bei mir aus dem UEFI die DBX wieder entferne (0 Einträge) und das April Update ausführe und das Update noch einmal anstoße, dann habe ich nur 278 Einträge im UEFI). Wenn allerdings schon 431 Einträge im UEFI sind, stelle ich keine Änderung fest. Die neue kleine DBXUpdate.bin wird aber auf jeden Fall seit April verwendet, sofern im UEFI noch kein DBX-Update stattfand oder man zwischendurch die Standards im UEFI wiederhergestellt hat.

Aber das Zusammenfassen von Einträgen macht da Sinn. Der Gedanke kam mir da vorhin auch.

Mit dem Skripten von garlin (https://github.com/garlin-cant-code/SecureBoot-CA-2023-Updates):

Check-DBX.bat:
[attachment=1]Screenshot 2026-05-02 234654.png[/attachment]

Check-UEFI.bat:
[attachment=0]Screenshot 2026-05-02 235037.png[/attachment]

Das sieht doch gut aus. Sollte also passen.

[quote=DK2000 post_id=457461 time=1777744220 user_id=39966]warum Microsoft aus der DBXUpdate.bin 154 Einträge entfernt hat? [/quote]
garlin beschreibt das in Post #1.423 https://www.elevenforum.com/t/garlins-powershell-scripts-for-updating-secure-boot-ca-2023.43423/page-72
151 Einträge wurden entfernt, die (in der Zukunft) zusammengefasst mit einem Eintrag PCA 2011 in der DBX gesperrt werden. Ich habe keine Erklärung zu 154, zu genau will ich das aktuell gar nicht wissen.
Wenn ich richtig verstehe, sind das 'Microsoft Windows Production PCA 2011' Einträge.
Z.B. 'Microsoft Corporation UEFI CA 2011' sind weitherhin per DBX gesperrt.
(Get-SecureBootUEFI -Name DBX -Decode).Authority

Zur DBX können in laufenden Betrieb nur hinzugefügt werden, auf vielen Rechnern mit Standardfälle sollte die große dbx bereits sein. Das mag der angedachte Standardfall vom Betriebssystemhersteller für die meisten Rechner sein.
Die kleinere DBX Datei mag auf speziellen Rechnern angebracht sein, möglicherweise wird das rechnerabhängig angewendet.
Ich kenne keine praktischen Beispiele, bei den die kleinere DBX automisch von Windows Update angewendet wurde.
Wann, was, wo, auf welchen Rechnern, in welchem zeitlichen Ablauf-Abstand umgesetzt wird, lasse ich auf mich zukommen.

Mal Frage am Rande: Gibt es mittlerweile irgendwo eine plausible Erklärung, warum Microsoft aus der DBXUpdate.bin 154 Einträge entfernt hat? Das leuchtet mir im Moment nicht so wirklich ein.