Nein, Neuinstalliert werden muss da nichts. Wenn Secureboot aktiviert wird, werden dann halt nur die neuen Zertifikate eingespielt und gut. Die Änderung merkt man nicht weiter.

Dankeschön
Hatte schon befürchtungen, das der eine PC ohne aktives SecureBoot dann nicht mehr startet.

Wie sieht das dann eigentlich aus, wenn ich Secure Boot aktiviere, muss ich Windows 11 dann neuinstallieren. Oder habe ich dann noch all meine Daten

Ja, das geht. Und ich hoffe ja mal, das Microsoft da keine Sperre einbauen wird, die ein Start ohne Secureboot verhindert. Aber im Moment keine Anzeichen für so etwas.

Moin,

wenn im BIOS der "Sichere Start" deaktiviert.
Ist es ja quasi egal ob die Zertifikate aktuell sind und der PC startet trotzdem ab Juni, oder sehe ich das falsch?

Weil das Servicing den Wert setzt und ist abhängig von "BucketHash" und "ConfidenceLevel".

Und so vollständig sieht das unter Servicing nicht aus. Da fehlt irgendwie der Ordner "DeviceAttributes". Der Rest passt aber so weit, außer "ConfidenceUpdateType".

Wenn bei Dir [i]"AvailableUpdates"=dword:00000000[/i] steht, dann wird die Aufgabe nicht ausgeführt, weil es nichts zu tun gibt.

Für [i]"ConfidenceUpdateType"[/i] gibt es verschiedene Werte aber wirklich dokumentiert ist der Eintrag nicht. Bei mir steht er auf 0 und alle Updates wurde eingespielt.

Hey, DK2000 ich habe die "ConfidenceUpdateType" so per Hand geändert und nun habe ich mein KEK und permanent eine "ConfidenceUpdateType" dword:00005944, warum sollte das auch nicht überall gehen?!
https://ibb.co/Q3sDzJD8

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot]
"AvailableUpdates"=dword:00005944

"ConfidenceUpdateType" kann man nicht ändern. Der wird vom Updater festgelegt und bei jedem Lauf neu ermittelt, so wie der Rest unter "Servicing" auch. Was Du meinst, ist dieser Schlüssel:

[code][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot]
"AvailableUpdates"=dword:00005944[/code]

Für KEK würde aber auch nur [i]"AvailableUpdates"=dword:00000004[/i] ausreichen. Setzt aber voraus, dass ein passendes KEK in der KEKUpdateCombined.bin enthalten ist und der Updater dieses nicht aus anderen Gründen verweigert. Eine entsprechende Fehlermeldung sollte dann unter "Servicing" vermerkt sein.

#HAlex
schon so per Hand versucht?

Regedit
HKLM SYSTEM CurrentControlSet Control SecureBoot Servicing
ConfidenceUpdateType auf 22852 (Dezimal)

unter Aufgaben - PI - Secure-Boot-Update starten

2x Neustarten

...[i]genaues lässt sich später in der Praxis zeigen.[/i]
So sehe ich das auch. Muss ja... - Für den Fall der Fälle gibt es aber auch ein Leben ohne Secure Boot.
Das 'harmlos' benutzte HP ProBook meiner Freundin mit 16 GB Ram + SSD läuft letztlich bestimmt auch so noch eine Weile einwandfrei gut. Mit meinem Gigabyte Z790 ist bzgl. Secure Boot eh Alles komplett im grünen Bereich.

@Halex
Der CA2023 KEK Eintrag fehlt. Nicht schön, aber erst mal kein Beinbruch.
Der Microsoft Corporation KEK CA 2011 läuft am 24.06.2026 aus.
Wenn ich das richtig verstehe, werden danach mit CA 2023 signierte dbx Einträge nicht hinzugefügt, das schlägt fehl.
Get-SecureBootSVN bleibt auf dem heutigen oder Juli Update Stand.
Das wird interessant, falls ein CA 2023 SVN * Bootloader in ferner Zukunft aus Sicherheitsgründen blockiert werden soll.
CA 2023 Booten sollte weiterhin möglich sein. Das ist heute Spekulation, nagle mich nicht auf das fest, genaues lässt sich später in der Praxis zeigen.

[quote=bodu post_id=457799 time=1778873242 user_id=45968]
[quote=HAlex post_id=457796 time=1778857065 user_id=48367]In der Tat blockiert HP mit fehlendem SBKPFV3 die Installation der Zertifikate aus Windows heraus und das Bios selbst kennt sie nicht. ABER: eine EFI-Datei darf die neuen Zertifikate einspielen.[/quote]
Gratulation.

Was passierte mit der KEK Tabelle?
[attachment=0]Update Summary.jpg[/attachment]

Die sind das hier.
https://ibb.co/tpy0gHLH

btw: 25H2 - 26200.8457 - SB
Unter: C:\Windows\SecureBoot\ExampleRolloutScripts
sind bei mir hier nun ganz neue ms .ps1 vom 12-05.26 zu finden.

(Get-SecureBootUEFI -Name KEK -Decode).Subject

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x4 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

[quote=HAlex post_id=457796 time=1778857065 user_id=48367]In der Tat blockiert HP mit fehlendem SBKPFV3 die Installation der Zertifikate aus Windows heraus und das Bios selbst kennt sie nicht. ABER: eine EFI-Datei darf die neuen Zertifikate einspielen.[/quote]
Gratulation.

Was passierte mit der KEK Tabelle?
In der KEKdefault HP ProBook 470 G5 mit BIOS 01.31.00 Rev.A v war kein CA2023, das BIOS Key Reset wird die kaum in die KEK eingespielt haben.

Hat ein Windows Update oder ein manuller Eingriff die CA 2023 zur KEK hinzugefügt?[CODE](Get-SecureBootUEFI -Name KEK -Decode).Subject[/CODE]

nur KEK aktualisieren[CODE]reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x4 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"[/CODE]



Es gibt mit dem Mai Update unter C:\Windows\SecureBoot\ExampleRolloutScripts Skripte für Rechner an Domänen, für Rechner im Firmenumfeld.
https://support.microsoft.com/en-us/topic/sample-secure-boot-e2e-automation-guide-f850b329-9a6e-40d1-823a-0925c965b8a0
In den Scripten wird AvailableUpdates 0x5944 gesetzt, CA 2023 aktiviert, PCA 2011 noch nicht gesperrt.

Eine Statusanzeige:
C:\Windows\SecureBoot\ExampleRolloutScripts\Detect-SecureBootCertUpdateStatus.ps1
powershell -nop -ep bypass -noexit -f "C:\Windows\SecureBoot\ExampleRolloutScripts\Detect-SecureBootCertUpdateStatus.ps1"

[quote=John-Boy post_id=457402 time=1777532837 user_id=38926]
[quote=bodu post_id=457401 time=1777487306 user_id=45968]
Welches HP-Gerät wird verwendet?
[/quote]


HP ProBook 470 G5 mit BIOS 01.31.00 Rev.A vom 11. Feb. 2025 (gibt kein neueres)
in der Ereignisanzeige sind keine Einträge
Bitlocker ist deaktiviert

Muss ich wohl auf eine Lösung von HP warten :betruebt:
[/quote]

[b]Hier kommt die Lösung[/b]; soeben auf meinem HP ProBook 470 G5 [b]Zertifikate erfolgreich installiert![/b]

In der Tat blockiert HP mit fehlendem SBKPFV3 die Installation der Zertifikate aus Windows heraus und das Bios selbst kennt sie nicht. ABER: eine EFI-Datei darf die neuen Zertifikate einspielen. Folgendes ist zu tun:
1. Windows starten
2. USB-Stick anstecken und mit FAT32 formatieren
3. Auf dem Stick einen Ordner EFI erstellen und darin einen Ordner BOOT
4. Folgende Datei in Windows suchen: C:\Windows\Boot\EFI\SecureBootRecovery.efi und auf den Stick in den Ordner EFI\BOOT kopieren
5. Die kopierte Datei auf dem Stick umbenennen in bootx64.efi
6. Rechner neustarten und im Bios unter SecureBoot den Haken bei "Reset SecureBoot Keys to factory defaults" setzen. Bios-Änderungen speichern.
7. Neustart mit Boot vom USB-Stick. Das System lädt nun die Zertifikate in die Datenbank.
8. Wenn fertig, einfach Neustart und freuen, dass Windows wieder mit Secure-Boot startet.
9. ggf. Check, ob es wirklich geklappt hat. Dafür Terminal als Administrator öffnen und folgendes eingeben:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Es sollte dort true erscheinen.

[b]Aktualisieren:[/b] Powershell mit Adminrechten
Get-SecureBootSVN

Veraltete Dateien aktualisieren: Powershell mit Adminrechten
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

danach
Start-ScheduledTask -TaskName „\Microsoft\Windows\PI\Secure-Boot-Update“

danach Systemneustart und ein neuer Check mit dem Secureboot Checker bzw. Get-SecureBootSVN