Ich meine das überarbeitete Paket von hier:

https://github.com/cjee21/Check-UEFISecureBootVariables

Danke DK2000
wo finde ich das? Meinst Du das hier?
Show UEFI PK, KEK, DB und DBX (neu).cmd

Das passt so weit. Hole Dir mal das neuen Skript. Dann passt die Anzeige, Wenn Du bei dem Rechner, wo vermeintlich Einträge fehlen, dann lässt sich das nicht mehr ändern, außer Du nimmst eine alte DBXUpdate.bin. Aber erforderlich ist da nicht.

Auf meinem Screenshot siehst Du auch, dass in der Test-VM 154 Einträge aus März fehlen, aber ab April passt das. Ich habe da auch eine andere VM, da wird beides in Grun angezeigt, da hier das DBX Update schon vor März eingespielt wurde.

So sieht es in der anderen VM aus:

[attachment=0]Screenshot 2026-05-22 213522.png[/attachment]
Da wurde das DBX Update vor März eingespielt.

Danke DK2000 für deine Antwort.
Wie mache Ich das mit dem DB Update? Über AvaibleUpdate? mit welche Dword Wert?
Habe ich einen Befehl vergessen? Auf dem anderen PC hatte ich das schon im März gemacht da ist alles Grün auch in der Currerent DBX siehe Bild, Merkwürdig.[attachment=0]Screenshot 2026-05-22 150333.jpg[/attachment]
Oder geht das automatisch mit dem nächsten Windows Update? Komme heute leider nicht mehr dazu.
Hatte das Mitte, Ende April gemacht.

Das mit der DBX kann man ignorieren. Bis März waren das 431 Einträge in der "DBXUpdate.bin". Seit April sind das nur noch 278 Einstige. Das neue Skript zeigt da beide Zustände an:

[attachment=0]Screenshot 2026-05-22 141601.png[/attachment]

Wenn Du bis März kein DBX-Update vorgenommen hattest, dann passt das mit 278 Einträgen.

[attachment=0]IMG_20260522_092859.jpg[/attachment]
Hallo Leute.
Bei mir sieht es jetzt so aus (Siehe Screenshot)
Alles Grün außer Current UEFI DBX. Da steht was Rot mit Fail: 154 Failures, 277 sussesses detected
Wie bekomme ich das weg? Welchen Befehl für Terminal und Registry gibt es dafür?
BIOS und Windows 11 25H2 sind aktuell. Auf meinem 2ten Rechner ist alles Okay sprich alles Grün.
Habe ich was vergessen auszuführen? Danke Euch

[quote=DK2000 post_id=457609 time=1778235500 user_id=39966]
Die ISOs von Microsoft sind da so noch nicht angepasst. Wenn bei DIr bereits alles gesperrt wurde, dann booten die ISOs/Sticks nicht mehr.

Aber USB-Stick lässt sich schnell aktualisieren:

[code]copy x:\EFI\Microsoft\Boot\BCD x:\EFI\Microsoft\Boot\BCD.BAK
bcdboot c:\windows /f UEFI /s x: /bootex
COPY x:\EFI\Microsoft\Boot\BCD.BAK x:\EFI\Microsoft\Boot\BCD[/code]

x: durch den Buchstaben das USB-Sticks ersetzen. Danach verwendet der Stick den Bootmanager mit den CA 2023 Zertifikat uns sollte normal booten.
[/quote]

Ja ein "Clean-Install" funktioniert so wieder, ich danke dir! :dankeschoen:
https://ibb.co/xSy1KmdG

Nein, Neuinstalliert werden muss da nichts. Wenn Secureboot aktiviert wird, werden dann halt nur die neuen Zertifikate eingespielt und gut. Die Änderung merkt man nicht weiter.

Dankeschön
Hatte schon befürchtungen, das der eine PC ohne aktives SecureBoot dann nicht mehr startet.

Wie sieht das dann eigentlich aus, wenn ich Secure Boot aktiviere, muss ich Windows 11 dann neuinstallieren. Oder habe ich dann noch all meine Daten

Ja, das geht. Und ich hoffe ja mal, das Microsoft da keine Sperre einbauen wird, die ein Start ohne Secureboot verhindert. Aber im Moment keine Anzeichen für so etwas.

Moin,

wenn im BIOS der "Sichere Start" deaktiviert.
Ist es ja quasi egal ob die Zertifikate aktuell sind und der PC startet trotzdem ab Juni, oder sehe ich das falsch?

Weil das Servicing den Wert setzt und ist abhängig von "BucketHash" und "ConfidenceLevel".

Und so vollständig sieht das unter Servicing nicht aus. Da fehlt irgendwie der Ordner "DeviceAttributes". Der Rest passt aber so weit, außer "ConfidenceUpdateType".

Wenn bei Dir [i]"AvailableUpdates"=dword:00000000[/i] steht, dann wird die Aufgabe nicht ausgeführt, weil es nichts zu tun gibt.

Für [i]"ConfidenceUpdateType"[/i] gibt es verschiedene Werte aber wirklich dokumentiert ist der Eintrag nicht. Bei mir steht er auf 0 und alle Updates wurde eingespielt.

Hey, DK2000 ich habe die "ConfidenceUpdateType" so per Hand geändert und nun habe ich mein KEK und permanent eine "ConfidenceUpdateType" dword:00005944, warum sollte das auch nicht überall gehen?!
https://ibb.co/Q3sDzJD8

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot]
"AvailableUpdates"=dword:00005944

"ConfidenceUpdateType" kann man nicht ändern. Der wird vom Updater festgelegt und bei jedem Lauf neu ermittelt, so wie der Rest unter "Servicing" auch. Was Du meinst, ist dieser Schlüssel:

[code][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot]
"AvailableUpdates"=dword:00005944[/code]

Für KEK würde aber auch nur [i]"AvailableUpdates"=dword:00000004[/i] ausreichen. Setzt aber voraus, dass ein passendes KEK in der KEKUpdateCombined.bin enthalten ist und der Updater dieses nicht aus anderen Gründen verweigert. Eine entsprechende Fehlermeldung sollte dann unter "Servicing" vermerkt sein.

#HAlex
schon so per Hand versucht?

Regedit
HKLM SYSTEM CurrentControlSet Control SecureBoot Servicing
ConfidenceUpdateType auf 22852 (Dezimal)

unter Aufgaben - PI - Secure-Boot-Update starten

2x Neustarten