... bei meinem Notebook habe ich das nun auch mit dem neuen Skript ausgeführt.
Folgendes Ergebnis -> bei Microsoft Corporation KEK 2K CA 2023 ist leider immer noch ein X hinterlegt.
Kann ich da noch was machen?

Secure Boot status: Enabled Current UEFI PK √ Acer Platform Key
Default UEFI PK
√ Acer Platform Key

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023
√ Acer Key Exchange Key

Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023
√ Acer Key Exchange Key

Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Acer Database
√ DisablePW
√ ABO

Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
X Windows UEFI CA 2023
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023
√ Acer Database
√ DisablePW
√ ABO

Current UEFI DBX
2025-10-14 (v1.6.0) [AMD64] : SUCCESS: 431 successes detected
Current Windows staged : SUCCESS: 278 successes detected
Windows BootMgr SVN : 8.0
Windows CDBoot SVN : 3.0
Windows WDSMgFw SVN : 3.0
Statistics : 26004 Bytes, 482 SHA256 hashes, 2 X.509 certs, 7 SVNs

Hallo DK2000,
ich glaube, jetzt sollte es bei meinem neuen PC passen.
So sieht es nun aus:
06 Jun 2026
------------------------------------------------------------
HW : Acer - Nitro N50-660 - AMD64/X64
FW : American Megatrends Inc. - 1.04 - 19 Nov 2025
OS : Windows 11 - 25H2 (Build 26200.8524)

Detected AMD64/X64 UEFI architecture. Ensure that this is correct for valid DBX results.

Secure Boot status: Enabled

Current UEFI PK
√ Acer Platform Key

Default UEFI PK
√ Acer Platform Key

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
√ Acer
√ Acer Key Exchange Key
√ Acer Key Exchange Key

Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
√ Acer Key Exchange Key
Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Acer
√ Acer Database
√ Acer Database

Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Acer
√ Acer Database
√ Acer Database

Current UEFI DBX
2025-10-14 (v1.6.0) [AMD64] : FAIL: 3 failures, 428 successes detected
Current Windows staged : SUCCESS: 278 successes detected
Windows BootMgr SVN : 8.0
Windows CDBoot SVN : 3.0
Windows WDSMgFw SVN : 3.0
Statistics : 22742 Bytes, 429 SHA256 hashes, 2 X.509 certs, 3 SVNs

Vielen DANK, DK2000

Nach dem ausführen des SVN Updates (die Änderung des REG Keys plus der Aufforderung für Secure-Boot-Update) in einem PS Fenster als Administrator und folgendem Neustart, habe ich jetzt endlich die aktualisierten SVNs (vorher stand da sowas wie "not applied" und 2-3 FAIL Einträge):
---------------------------------------------------------------------------------------------------------------------------------
Checking for Administrator permission...
Running as administrator - continuing execution...

04 Juni 2026
Manufacturer: ASRock
Model: B650E PG Riptide WiFi
BIOS: American Megatrends International, LLC., 4.10, 4.10, ALASKA - 1
Windows version: 25H2 (Build 26200.8524)

Detected x64 UEFI architecture. Ensure that this is correct for valid DBX results.

Secure Boot status: Enabled

Current UEFI PK √ ASRock Inc. Default UEFI PK √ ASRock Inc.
Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)

Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)

Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)

Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)

Current UEFI DBX
2025-10-14 (v1.6.0) [x64] : SUCCESS: 431 successes detected
Current Windows staged : SUCCESS: 278 successes detected
Windows BootMgr SVN : 8.0
Windows CDBoot SVN : 3.0
Windows WDSMgFw SVN : 3.0
Statistics : 20964 Bytes, 432 SHA256 hashes, 0 X.509 certs, 3 SVNs
---------------------------------------------------------------------------------------------------------------------------------
Gefällt mir jetzt natürlich viel besser^^, die Ausgabe des neuesten GitHub Scripts.

Current UEFI DBX
2025-10-14 (v1.6.0) [x64]   : FAIL: 154 failures, 277 successes detected
Current Windows staged      : SUCCESS: 278 successes detected

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Was die DBX angeht, so passt das eigentlich. Das bei Dir dort "[i]FAIL: 3 failures, 428 successes detected[/i]" steht und auch schon beim alten Skript mit dem DBX-Update vom Juni 2025 sagt nur aus, dass die DBX bei Dir vor dem Datum aktualisiert wurde. Wann genau, kann ich nicht sagen. Dei Update-Datei wurde da mehrmals aktualisiert und verändert, so dass sich die Einträge unterscheiden. Beim Update aus Oktober 2025 waren das 431 Einträge. Diese Datei wurde bis März 2026 verwenden. Im April kam dann eine neue Datei mit nur noch 278 Einträgen. Das wäre die aktuelle Datei und das passt bei Dir soweit ("[i]SUCCESS: 278 successes detected[/i]").

Bei meinem Testsystem, wo ich im April die DBX-Variable im UEFI zurückgesetzt und das DBX-Update vom Aprill 2026 neu eingespielt hatte, sieht das halt jetzt so aus:

[code]Current UEFI DBX
2025-10-14 (v1.6.0) [x64] : FAIL: 154 failures, 277 successes detected
Current Windows staged : SUCCESS: 278 successes detected[/code]

Das ist jetzt so, wie es lt. Microsoft aktuell sein sollte. Das Update vom Oktober 2025 kann man derzeit also ignorieren.

Bei Dir fehlt jetzt eigentlich nur noch das SVN-Update (PowerShell mit Adminrechten):

[code]reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f[/code]
[code]Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"[/code]
Eventuell Neustart. Danach wäre eigentlich alles so weit aktuell, so wie es seitens Microsofts vorgesehen ist. Das Widerrufen des CA 2011 Zertifikates kommt erst noch.

Hallo DK2000,
danke für deine schnelle Rückmeldung.
Ich habe das neue Skript heruntergeladen und erneut das "Check UEFI PK, KEK, DB and DBX" ausgeführt,
nun mit folgendem Ergebnis.
Bei allen sind die Häckchen grün, sollte passen.
Aber was meinst zum Current UEFI DBX? Hier sind 3 Positionen mit "not applied" und eben immer noch
das FAIL: 3 failures, 428 successes detected.
Passt das trotzdem?

03 Jun 2026
------------------------------------------------------------
HW : Acer - Nitro N50-660 - AMD64/X64
FW : American Megatrends Inc. - 1.04 - 19 Nov 2025
OS : Windows 11 - 25H2 (Build 26200.8524)

Detected AMD64/X64 UEFI architecture. Ensure that this is correct for valid DBX results.

Secure Boot status: Enabled

Current UEFI PK
√ Acer Platform Key

Default UEFI PK
√ Acer Platform Key

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
√ Acer
√ Acer Key Exchange Key
√ Acer Key Exchange Key

Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
√ Acer Key Exchange Key
Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Acer
√ Acer Database
√ Acer Database

Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Acer
√ Acer Database
√ Acer Database

Current UEFI DBX
2025-10-14 (v1.6.0) [AMD64] : FAIL: 3 failures, 428 successes detected
Current Windows staged : SUCCESS: 278 successes detected
Windows BootMgr SVN : Not applied
Windows CDBoot SVN : Not applied
Windows WDSMgFw SVN : Not applied
Statistics: 22570 Bytes, 429 SHA256 hashes, 2 X.509 certs, 0 SVNs

Mal das aktuelle Skript verwenden: https://github.com/cjee21/Check-UEFISecureBootVariables/archive/refs/heads/main.zip

Aber sieht eigentlich gut aus. Fur die DBX-Prüfung braucht man die aktuellen Dateien. v1.5.1 ist da ein wenig alt.

Hallo zusammen!
Wie bereits in diesem Thema berichtet, bekomme ich seitens Hersteller für meine alten Geräte kein neues Zertifikatsupdate
weshalb ich nun ein neues Gerät kaufen musste.
Auf dem neuen Gerät habe ich gleich als erstes ein BIOS-Update mit den neuen Keys durchgeführt
und habe nun das "Check UEFI KEK, DB and DBX" ausgeführt.
Folgendes kam heraus. Was meint Ihr, habe ich nun alle Zertifikate auf dem neuen (2023er) Stand?
Was mich ein bisschen stört, ist der letzte Punkt wo es heißt "FAIL: 3 failures, 427 successes detected"?
Das war auf meinem alten PC nicht so ...
Könnt ihr mir bitte nochmals weiterhelfen?
Vielen Dank schon mal.

Checking for Administrator permission...
Running as administrator - continuing execution...
03 Juni 2026 Manufacturer: Acer Model: Nitro N50-660 BIOS: American Megatrends Inc., 1.04, 1.04, ACRSYS - 1072009 Windows version: 25H2 (Build 26200.8457)

Secure Boot status: Enabled

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)

Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)

Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)

Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)

Current UEFI DBX (only the latest one is needed to be secure)
2023-03-14 : SUCCESS: 220 successes detected
2023-05-09 : SUCCESS: 371 successes detected
2025-01-14 (v1.3.1) : SUCCESS: 245 successes detected
[b]2025-06-11 (v1.5.1) : FAIL: 3 failures, 427 successes detected[/b]

[quote=Grobi847 post_id=456414 time=1774352814 user_id=51617]
Um mit einem Stick zu Booten, mit eingeschalteten Secure Boot, muß man den Stick mit folgenden Befehlen bearbeiten.
COPY G:\EFI\MICROSOFT\BOOT\BCD G:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s G: /bootex
COPY G:\EFI\MICROSOFT\BOOT\BCD.BAK G:\EFI\MICROSOFT\BOOT\BCD
Das Laufwerk G: muß entsprechend geändert werden, in den Buchstaben den der Stick bei dir hat.
[/quote]

Funktioniert perfekt.
Ist in meiner Schatztruhe gespeichert.
Vielen Dank. :daumen: :smile:

Vielen Dank @Grobi847, eben deine drei Befehlszeilen im CMD Fenster als Admin laufen lassen. Dürfte tadellos geklappt haben, bin sehr beruhigt jetzt, DANKE!

[quote=Huetteldorfer post_id=456410 time=1774341633 user_id=40929]
Ob es mit deaktiviertem Secure Boot ginge, wäre interessant. Aber ich hoffe eh, dass ich es nicht brauchen werde. ;-)
[/quote]

Mit deaktivierten Secure Boot geht es auf jeden Fall.
Um mit einem Stick zu Booten, mit eingeschalteten Secure Boot, muß man den Stick mit folgenden Befehlen bearbeiten.
COPY G:\EFI\MICROSOFT\BOOT\BCD G:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s G: /bootex
COPY G:\EFI\MICROSOFT\BOOT\BCD.BAK G:\EFI\MICROSOFT\BOOT\BCD

Das Laufwerk G: muß entsprechend geändert werden, in den Buchstaben den der Stick bei dir hat.

Die dortigen Zertifikate sind in für das UEFI gedacht, nicht für Windows. Diese werden in den entsprechenden UEFI-Variablen eingetragen, z.B. "windows uefi ca 2023.crt" in die Variable DB. Die Zertifikate kann z.B. ein OEM dazu verwenden, diese in die Defaults einzutragen. Wenn das UEFI-Setup eine solche Möglichkeit bietet, kann man diese Zertifikate auch manuell in die Currents eintragen.

Die Aufgabenplanung verwendet die Zertifikate im .bin Format aus "C:\Windows\System32\SecureBootUpdates". Ob hier auch Zertifikate im .crt Format angenommen werden, weiß ich gerade nicht.

Wenn SecureBoot deaktiviert ist, ist das mit den Zertifikaten alles hinfällig. Das UEFI an sich interessiert sich dafür nicht weiter. Das macht nur SecureBoot.

DVD/ISOs/Stick müsste man in so einem Fall dann manuell aktualisieren, so dass hier der passend signierte Bootmanager mit aktueller SVN verwendet wird.

Inplace Upgrade würde auch weiterhin funktionieren, da hier nicht von der DVD/Stick gebootet wird.

Ob es notwendig war, diese Zertifikate von hier https://learn.microsoft.com/de-de/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11#14-signature-databases-db-and-dbx zu installieren, weiß ich nicht. Ich habe es getan, dann die Scripte von GitHub einzeln ausgeführt. In der Aufgabenplanung das installieren und neubooten angestoßen. Dann noch mein AsRock mainboard BIOS von Version 3.40 auf 4.10 aktualisiert. Mit dem einen schon zurückgezogenen Zertifikat muss ich halt jetzt entweder bis Juni, oder sogar bis Okt. 2026 mein System gesund erhalten, eben weil ich vermutlich von keinem Stick oder einer DVD ein Reperatur-Inplace Upgrade machen kann, weil der Bootloader es nicht mehr zulassen würde. Ob es mit deaktiviertem Secure Boot ginge, wäre interessant. Aber ich hoffe eh, dass ich es nicht brauchen werde. ;-)

Das sind dann aber andere Zertifikate, welche so installiert werden. Die SecureBoot Zertifikate (.bin Dateien) werden automatisch von Windows in das UEFI eingespielt, sofern es keinen Block gibt. Man kann das zwar manuell über den Eintrag in der Registry anstoßen, aber wenn es einen Block gibt, klappt das nicht. Wirklich manuell kann man die Zertifikate nur installieren, wenn das UEFI-Setup die Möglichkeit bietet, die .bin Dateien zu laden und in der passenden Variable zu hinterlegen. Ansonsten kommen die auch mit einem UEFI-Update vom Geräte-/Boardhersteller.

Bei Dir ist ja alles soweit installiert und sogar schon das CA2011 zurückgezogen. Letzteres sollte noch nicht geschehen, außer Du hast das passende Skript ausgeführt und Windows angewiesen, das CA2011 in BDX einzutragen. Ist aber derzeit noch nicht zu empfehlen.

Mit rechter Maustaste, im Kontextmenü dann auf zertifikat installieren. Und Lokalen Computer auswählen. Zertifikatsspeicher automatisch auswählen.

Wie hast du die heruntergeladenen Zertifikate installiert?