Leidiges Thema Secure Boot Zertifikate [Hilfe]

Antwort erstellen


Diese Frage dient dazu, das automatisierte Versenden von Formularen durch Spam-Bots zu verhindern.
Smileys
:) ;) :smile: :lol: :hihi: :D :rofl: :muahah: :( :pff: :kopfstreichel: :ohno: :betruebt: :heulen: :kopfkratz: :duckundweg: :o :? :oops: :psst: :sauer: :-P :daumenrunter: :daumen: :dankeschoen: :thx: :dafür: :gähn:
Mehr Smileys anzeigen

BBCode ist eingeschaltet
[img] ist eingeschaltet
[flash] ist ausgeschaltet
[url] ist eingeschaltet
Smileys sind eingeschaltet

Die letzten Beiträge des Themas

Ich habe die Datenschutzerklärung gelesen und bin damit einverstanden.

   

Ansicht erweitern Die letzten Beiträge des Themas: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von bodu » 10.07.2026, 20:44

Grobi847 hat geschrieben: 26.06.2026, 20:06Am 24.6.26 wurde Microsoft Corporation KEK CA 2011 ungültig. Warum wird sie nicht auf revoked True gesetzt?
Das Datum bezieht sich auf neu zu zertifizierende Dateien.
Bestehende signierte KEK CA 2011 Dateien bleiben gültig, bestehende DB, DBX Dateien können von der Betriebssystemebene eingespielt werden.
Neue DB, DBX mit KEK CA 2011 signierte Dateien wird es nicht geben.
Ein SVN11 bootloader kann in der Zukunft mit neuer KEK CA 2011 DBX nicht gesperrt werden. Das ist heute kein Problem.

Ein aktiver DB CA 2011 ist ein anderes Thema. Da steht die Ankündigung der automatisierten Sperrung noch aus.
Bisher wird dazu eine 6 Monatige Vorwarnzeit genannt, wird wohl nicht mehr dieses Jahr automatisert gesperrt.
Manuell kann DB CA 2011 über die DBX geperrt werden, die daraus resultierenden Anpassungen (neue Bootmedien) sind dann vom Endanweder zu pflegen. Z.B. das Media Creation Tool ist noch nicht so weit.

Die DBX CA 2011 sperre ist aktuell mit KEK CA 2011 signiert.
Aktuell ist ein KEK CA 2011 sinnvoll. Eine Sperre ist nicht angedacht, es gibt keine Andeutung dazu.
2027/2028 oder später kann es eine Änderung geben.
Juxtopose hat geschrieben: 10.07.2026, 17:17Mittlerweile hab ich fast resigniert und möchte einfach nur noch wissen, ob ICH was tun kann, außer (ab)warten ob/wann die Blockade gelöst wird.
Die Einträge werden auf UEFI Ebene gespeichert, nur das UEFI kann schreiben. Das Betriebssystem kann Anfragen an das UEFI stellen.
Das UEFI blockiert den Zugriff, eine Änderung ist vom Betriebssystem aus nicht möglich.
Es ist fraglich, ob es ein UEFI Update vom Laptophersteller geben wird.

Ein manueller Eingriff in das UEFI ist ein Ansatz, dazu gibt es verschiedene Wege je nach vorhandenem Rechner.
Da wäre eine Anleitung von Medion für den Laptop angebracht. Aus der Ferne ist das Rätselraten.
Möglicherweise gib es eine UEFI einen Punkt die Blockade zu lösen, dann werden Anfragen vom Betriebsystem verarbeitet.
Möglicherweise gibt es im UEFI einen Punkt Administer Secure Boot, KEK Zertifikat laden. Das KEK CA 2023 Zertifikat wäre da von vom Endanwender einzuspielen.
Oder das UEFI lässt sich in den Secure Boot Setup Mode (Endanwender darf die Zertifikate schreiben) schalten.
Im ersten Schritt ist die Bitlockerzustand zu prüfen, evtl der Wiederherstellungsschlüssel griffbereit zu halten.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von moinmoin » 10.07.2026, 17:26

Wenn kein BIOS Update zur Verfügung steht und auch sonst nichts, kannst du wohl nur abwarten.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Juxtopose » 10.07.2026, 17:17

moinmoin hat geschrieben: 10.07.2026, 15:54 Das ist ein falsch interpretierter Beitrag von Computerbase. Microsoft stoppt nichts.
Wir hatten das Thema hier schon Ende Juni.
https://www.deskmodder.de/blog/2026/06/ ... klaert-es/
Jo, diesen Blogpost hier auf deskmodder hatte ich auch bereits gefunden ^^ (und meinen Kummer kund getan)

Mittlerweile hab ich fast resigniert und möchte einfach nur noch wissen, ob ICH was tun kann, außer (ab)warten ob/wann die Blockade gelöst wird.

(Ich bin sehr froh über die Blogeinträge! Haben mir schon manches mal geholfen)

Grüße Jux

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von moinmoin » 10.07.2026, 15:54

Das ist ein falsch interpretierter Beitrag von Computerbase. Microsoft stoppt nichts.
Wir hatten das Thema hier schon Ende Juni.
https://www.deskmodder.de/blog/2026/06/ ... klaert-es/

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Grobi847 » 10.07.2026, 15:51

Probleme mit älteren Systemen: Microsoft stoppt teils Rollout von Secure-Boot-Zertifikaten
https://www.computerbase.de/news/betrie ... ten.98330/

Gruß Grobi847

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Juxtopose » 09.07.2026, 21:05

Grobi847 hat geschrieben: 09.07.2026, 20:43 Moin Juxtopose,
eventuell findest du ja auf dieser Seite das passende BIOS.
https://www1.medion.de/downloads/?op=se ... &type=TEXT

Gruß Grobi847
Danke für den Hinweis. Diese Seite hatte ich bei meiner Recherche auch schon gefunden, aber keiner der Einträge für den Erazer Defender P10 liest sich wie ein BIOS/UEFI Update. Leider.
Selbst wenn ich die MSN Nummer bei Medion direkt eingebe, wird mir nix passendes angezeigt.

Grüße Jux

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Grobi847 » 09.07.2026, 20:43

Moin Juxtopose,
eventuell findest du ja auf dieser Seite das passende BIOS.
https://www1.medion.de/downloads/?op=se ... &type=TEXT

Gruß Grobi847

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Juxtopose » 09.07.2026, 17:35

Mahlzeit.

Ich möchte (muss) mich hier nun auch mal zu Wort melden.
Bei einem Laptop aus 2021 werden die neuen Zertifikate nicht eingespielt (gelbes Ausrufezeichen beim Defender).
Mit dem "Sioni Secure Boot Zertifikat-Prüfer" aus diesem Thread

https://www.deskmodder.de/blog/2026/04/ ... /#comments

konnte ich folgende Fehler ID's ausmachen: 1795, 1797, 1801 & 1802

Nun findet man u.a. bei der 1802 ID die Info, dass das Update blockiert wird, wenn eine Insyde Firmware (also der Hersteller des BIOS, welches aber durch Medion verkauft wurde) am Start ist.

Ich habe auch schon die bekannten Befehle benutzt, um zu prüfen ob der secure boot aktiv ist (ist er), den reg Wert einfügen lassen, den Update Prozess manuell getriggert und mehrfach neugestartet.
Aber es rührt sich nichts.

Leider finde ich zu dem Laptop kein BIOS Update.

Was kann ich nun tun? Irgendwas blockiert ja offensichtlich das ganze Unterfangen.

1802 Windows has blocked updates due to known HW or FW issue – check with manufacturer for KEK update

Ereigniskennung

1802 - Das Update für den sicheren Start <Ereignistyp> wurde aufgrund eines bekannten Firmwareproblems auf dem Gerät blockiert. Wenden Sie sich an Ihren Gerätehersteller, um ein Firmwareupdate zu erhalten, das das Problem behebt.
Die Signaturinformationen dieses Geräts sind hier aufgeführt.

KI_4: Insyde Firmware
Bei Geräten, bei denen Insyde-basierte Firmware verwendet wird, treten bei Updates für den sicheren Start möglicherweise bekannte Kompatibilitätsprobleme auf. Das Anwenden von Updates auf diesen Systemen kann zu Startfehlern oder Firmwarebeschädigungen führen, sodass das Update übersprungen wird, um die Stabilität aufrechtzuerhalten. Kunden können sich beim Gerätehersteller erkundigen, ob aktualisierte Firmware verfügbar ist, die dieses Problem behebt und das Update für den sicheren Start ermöglicht.


DeviceAttributes:
BaseBoardManufacturer:MEDION;
FirmwareManufacturer:INSYDE Corp.;
FirmwareVersion:1.07.02RME1_00005;
OEMModelNumber:DEFENDER P10;
OEMModelBaseBoard:NH77Dx;
OEMModelSystemFamily:Erazer;
OEMManufacturerName:MEDION;
OEMModelSKU:ML-210009 30031534;
OSArchitecture:amd64;
BucketId: 98bf3cdfae9c0277dac1cab57bc43acf279dcec6b4

Vielleicht kann ja jemand heflen.
Grüße Jux

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Grobi847 » 27.06.2026, 15:52

Schade das keiner von den Fachleuten eine Erklärung zu meinem Problem hat. Egal, man kann ja nicht Alles wissen.
Gruß Grobi847

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Grobi847 » 26.06.2026, 20:06

Moin,
ich habe ein Verständnisproblem, mit dem ungültig werden des KEKs. Am 24.6.26 wurde Microsoft Corporation KEK CA 2011 ungültig. Warum wird sie nicht auf revoked True gesetzt?
Meine Konfiguration sieht folgendermaßen aus.

26 Jun 2026
------------------------------------------------------------
HW : Dell Inc. - OptiPlex 3070 - AMD64/X64
FW : Dell Inc. - 1.35.0 - 04 Sep 2025
OS : Windows 11 - 25H2 (Build 26200.8737)

Detected AMD64/X64 UEFI architecture. Ensure that this is correct for valid DBX results.

Secure Boot status: Enabled

Current UEFI PK
√ Dell Inc. Platform Key

Default UEFI PK
√ Dell Inc. Platform Key

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
√ Dell Inc. Key Exchange Key
√ Dell Inc. Key Exchange Key Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False) √ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
√ Dell Inc. Key Exchange Key
√ Dell Inc. Key Exchange Key Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Dell Bios DB Key
√ Dell Bios FW Aux Authority 2018

Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Dell Bios DB Key
√ Dell Bios FW Aux Authority 2018

Current UEFI DBX
2025-10-14 (v1.6.0) [AMD64] : SUCCESS: 431 successes detected
Current Windows staged : SUCCESS: 289 successes detected
Windows BootMgr SVN : 9.0
Windows CDBoot SVN : 3.0
Windows WDSMgFw SVN : 3.0
Statistics : 27610 Bytes, 493 SHA256 hashes, 2 X.509 certs, 9 SVNs


PowerShell-Status-Check
Ist Secure Boot überhaupt aktiv?
PowerShell 7.5.5
PS C:\Users\Rolf> Confirm-SecureBootUEFI
True

Steht die Windows UEFI CA 2023 schon in der DB?
PowerShell 7.5.5
PS C:\Users\Rolf> [System.Text.Encoding]::ASCII.GetString( `
>> (Get-SecureBootUEFI db).bytes `
>> ) -match 'Windows UEFI CA 2023'
True

KEK 2K CA 2023 vorhanden?
PowerShell 7.5.5
PS C:\Users\Rolf> [System.Text.Encoding]::ASCII.GetString( `
>> (Get-SecureBootUEFI KEK).bytes `
>> ) -match 'Microsoft Corporation KEK 2K CA 2023'
True

Für eine Erklärung wäre ich sehr dankbar.

Gruß Grobi847

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von DK2000 » 23.06.2026, 23:33

Im Grunde hast du es ja schon erkannt: Das Problem liegt am Bootsektor der ISO/DVD. Microsoft nutzt dort noch den alten Bootsektor, und die enthaltene bootx64.efi ist ebenfalls veraltet. Das Microsoft-Skript hingegen verwendet den neuen Bootsektor mit aktueller bootx64.efi. Der Bootsektor mit der bootx64.efi für ISO/DVD steckt in der efisys.bin (alt) bzw. efisys_ex.bin (neu).

Die efisys_ex.bin enthält die bootx64.efi mit CA 2023 und SVN >= 3.0. Man kann sich aber auch eine Diskette mit SVN 9.0 bootx64.efi erstellen – Hauptsache nicht unter SVN 3.0.

Das SVN-Update habe ich in mehreren VMs wieder entfernt, weil mich das bei den ISOs teilweise nervt. Eine VM ist allerdings noch komplett aktiviert, was das alles betrifft.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von bodu » 23.06.2026, 23:18

Die Windows CDBoot SVN ist mir unklar.

Ein Fall: NVRAM:
Windows BootMgr SVN : 8.0
Windows CDBoot SVN : 3.0

Eine SVN 7.0 DVD gebootet:
Secure boot version check failed.
Current Version 7.0 - Minimum allowed Version 8.0
Die Windows BootMgr SVN wird angemeckert, nicht die Windows CDBoot SVN.



Ein weitere Fall: NVRAM:
Windows BootMgr SVN : 9.0
Windows CDBoot SVN : 3.0

Mit de-de_windows_11_business_editions_version_25h2_updated_june_2026_x64_dvd_ce4ae96d.iso und Make2023BootableMedia.ps1 erstelltem ISO:
DVD bootet neu, keine Fehlermeldung.

Ein Sprung in die Vergangenheit, BCDW https://sobek.hsdn.org/Docs/bcdw/images_d.htm
fd005760.zip 4x1.44 MB nach C:\CA2023\SVN9.ima extrahiert.
Mit Imdisk oder AIM Toolkit als Laufwerk A: gemountet. Und einen SVN 9 Windows BootMgr zum Diskettenimage kopiert.
xcopy C:\Windows\Boot\EFI_EX\bootmgfw_EX.efi A:\EFI\BOOT\BootX64.efi
Die mit Make2023BootableMedia.ps1 erstellte CA2023 ISO als D: gemountet, (Das BIOS boot zusätzlich als historische Verbeugung beibehalten)
oscdimg.exe -bootdata:2#p0,e,bC:\Windows\Boot\DVD\PCAT\Etfsboot.com#pEF,e,bC:\CA2023\SVN9.ima -u1 -udfver102 D:\ SVN9_W11_CA2023_25H2.iso
DVD booten ist auf Windows BootMgr SVN 9.0 Rechner möglich.

Ein manuelles SVN Update werde ich auf einem produktiven Rechner möglichst vermeiden.
Erst mit verfügbarem MVS ISO, bzw Windows Update ISO synchonisieren.
Zukünftige Sicherheitshinweise werden das zusätzlich beeinflusse, bzw überstimmen.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von DK2000 » 15.06.2026, 15:02

Habe das jetzt mal getestet:

28120.2302.260608-1818.BR_PRERELEASE_IM_CLIENTMULTI_X64FRE_DE-DE.ISO

Klappt nicht zu 100%. Das meiste passt zwar, aber es wird leider die alte efisys.bin verwendet (CA 2011/SVN 1.0). Das hat natürlich zur Folge, wenn in der VM bereits SVN 3.0 für cdboot eingetragen ist, bootet die ISO nicht. Ebenso wenn das CA 2011 bereits widerrufen wurde. Das ist natürlich Käse.

Das Problem betrifft aber auch wirklich nur, wenn man in der VM mit der ISO booten will oder eine DVD damit erstellt. Auf USB Stick hat das keinen Einfluss.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Holgi » 15.06.2026, 12:50

Wahnsinn! Danke!
Muss ich unbedingt mal testen!

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von DK2000 » 15.06.2026, 12:48

UUPDUMP "verbaut" immer noch die bootx64.efi mit 2011er Zertifikat.
In der "ConvertConfig.ini" die Option "UpdtBootFiles=1" setzen:

:: Change to 1 to update ISO boot files bootmgr/memtest/efisys.bin from Cumulative Update
:: this also update new UEFI CA 2023 boot files if detected


Ob das aber so richtig funktioniert, keine Ahnung. Schon lange keine ISO mehr über UUPDump erstellt. Bin gerade mal am Testen.

@Mikey:

Ja, da gibt es nur nichts für mein Gerät. Das ist jetzt schon 6 Jahre aus dem Support und da macht Samsung nichts mehr.

Nach oben