HP ProBook 470 G5 mit BIOS 01.31.00 Rev.A vom 11. Feb. 2025
Hat HP beim BIOS 01.31.00 Rev.A Upate ein CA 2023 Zertifikat zur KEKdefault und DBdefault hinzugefügt?
(Get-SecureBootUEFI -Name KEKdefault -Decode).Subject | Select-String -Pattern "CA 2023"
(Get-SecureBootUEFI -Name DBdefault -Decode ...

Die Reg. sieht so aus
Da ist ein KEKLastUpdateError gesetzt.

Hat HP KEK bereitgestellt?
Lese die SerialNumber vom PK Platformkey aus.
(Get-SecureBootUEFI -Name PK -Decode).SerialNumber Gibt es die Nummer (ohne führende Nullen) in der KEK Update Liste?https://github.com/microsoft/secureboot ...

Ist mein HP-Gerät ist auf einer Liste von Systemen, bei denen ein Secure-Boot-Update Probleme machen könnte?
Das deutet auf einen Sonderfall, das HP UEFI kann Änderungen blockieren.
Gibt es Einträge in de Ereignisanzeige, System, Filter Quelle TPM-WMI
Z.B. "The Secure Boot update KEK 2023 was ...

Der sichere Start ist aktiviert und alle Zertifikate ok, nichts weiter erforgerlich - wirklich? Die Aussage 'nichts weiter erforderlich' bezieht sich auf die aktuelles Windows Update Verhalten: KEK und DB CA 2023. PCA 2011 wird zur Zeit nicht in der DBX gesperrt. Demnach ist zur Zeit nichts weiter ...

Ein zeitlicher Sprung bei gleichem Grundthema,

Gegeben: Ein Win 11 25H2 Rechner mit CA 2023 im DB. Und PCA 2011 und SVN 8 im DBX:
Gesucht :Booten/Installieren vom externer Medium.

https://www.microsoft.com/de-de/software-download/windows11

"Windows 11 Laufwerkimage (ISO) für x64-Geräte ...

Wie verhält es sich denn mit den Zertifikaten und einer Neuinstallation von Windows 11. Bei mir scheinen alle Zertifikate aktualisiert zu sein. Wie wäre es aber nun, wenn ich Windows neue installiere?
Da ist einiges im Fluss.

Akutell sperrt Windows Update die PCA 2011 Signatur noch nicht.
Eine ...

Sam2 hat geschrieben: 15.04.2026, 01:01Alle USB PE-Sticks und alle vier angelegten PE-Partitionen starten immer noch.
Das wird sich hoffentlich nicht noch ändern.

Das wird sich hoffentlich noch ändern, wenn die Erzwingungsphase in der Zukunft ausgerufen und später ausgeführt wird.

Ob der Bootmanager mit CA 2011 noch aktiv ist, lässt sich so nicht ermitteln. Er wird verwenden, wenn i der Registry steht: Danke, da lag ich falsch. Ja der CA 2034 Bootmanager scheint aktiv zu sein, sieht nach einem 0x5944 Durchlauf aus.

Ein Check auf der EFI Partition liefert weitere Hinweise ...

Allerdings steht jetzt in der Registry folgender Eintrag mit drin. ConfidenceLevel Under Observation - More Data Needed. Ignoriere das.

Was bedeutet der Schlüssel: AvailableUpdates 0x00004000 (16384) das steht in der Registry noch drin
müsste da nicht "0" oder so drin stehen?
Der 0x4000 Flag ...

Ich habe mal nach den Zertifikaten geschaut und ich kann das KEK Microsoft UEFI CA 2023 nicht finden.
Alles andere siehe Screenshot scheint da zu sein. Das KEK Zertifikat nennt sich ähnlich, der Screenshot zeigt 'Microsoft Corporation KEK 2K CA 2023'

Mit dem März 2026 WindowsUpdate (Get ...

#bodu
NICHT ohne 0x5944
securebootrecovery.efi ist ein Fix unter gewissen Vorraussetzungen, 0x5944 bereists in der Vergangenheit durchgelaufen und vom Endanwender das UEFI auf einem alten Rechner resettet.

Nach dem securebootrecovery.efi Fix startet der Rechner mit PCA2023 signierten Start ...

Ein Planspiel für die Zukunft:

Gegeben
Alter Rechner mit altem UEFI: CA2011 im UEFI Default Tabelle, kein CA2023 in der Tabelle Der CA2023 bootloader ist gesetzt.
Es wurde CA2023 KEK und DB, CA2011 in dbx und SVN gesetzt. Der Rechner bootet mit CA2023.

Aus irgendeinem Grund wird ein UEFI reset ...

Mit dem März 2026 Update wurde 'Get-SecureBootUEFI -decode' ergänzt, die Ausgabe wird im Klartext dargestellt.

Get-SecureBootUEFI -name PKdeault -decode
Get-SecureBootUEFI -name PK -decode
Get-SecureBootUEFI -name KEKdefault -decode
Get-SecureBootUEFI -name KEK -decode
Get-SecureBootUEFI -name ...

Wie sieht Eure Registry danach aus? Windows 11 kompatible Hardware, Defautlt CA 2023 Zeritififkate vom UEFI Update 2025 eingespielt.

Windows Update setzte Current CA 2023 Zeritififkate, bootet vom CA2023 bootmanger, CA 2011 nicht in der dbx, kein SVN gesetzt. Auf dem Rechner gab es keine manuellen ...

Es gibt alte UEFI mit einem Bug, ein KEK Zertifikat kann nicht im normalen Betrieb hinzugefügt werden.
Anfragen von der Betriebsystemseite werden vom UEFI blockiert.
Das ist ein Sonderfall, sollte nicht bei Windows 11 kompatiblen Geräten auftreten.
Ein Endanwender wird davon nichts mitbekommen und ...