Windows Secure Boot
-
Andreas76_SecureBoot
Windows Secure Boot
Hallo,
Microsoft hat die Anleitungsseite zu KB5025885 (Secure Boot) komplett geändert.
Die Befehle mit AvailableUpdates 0x10 und 0x30 gibt es nicht mehr.
Ich hoffe ich habe alles soweit richtig erklärt.
Mit Befehl 0x40 wird das Zertifikat "Windows UEFI CA 2023" in der UEFI DB installiert.
Mit Befehl AvailableUpdates 0x100 wird dann ein neuer Start-Manager installiert, der mit dem Zertifikat
"Windows UEFI CA 2023" signiert ist.
Mein Mainboard vom Hersteller Gigabyte bietet die Optionen, die Datenbanken im UEFI Secure Boot
zu löschen oder zurück zusetzen.
Wenn ich die UEFI Secure Boot Datenbanken zurücksetze und das Zertifikat "Windows UEFI CA 2023"
lösche, startet dann mein Computer nicht mehr, weil ich ja den neuen Boot-Manager benutze, der mit
diesem Zertifikat signiert ist?
Zur UEFI Sperrliste DBX.
Früher wurde mit Befehl 0x30 die DBX Sperrliste mit neuen Zertifikaten/Hashes aktualisiert.
Vom Hersteller Gigabyte sind ab Werk 77 Einträge in der DBX Sperrliste vorhanden.
Nach der Aktualisierung mit 0x30 waren 421 Einträge vorhanden.
Microsoft hat ja geschrieben, dass der Platz im UEFI BIOS begrenzt ist.
Die neue Anleitung zu KB5025885 ist komplett anders.
Habe ich die neue Anleitung richtig verstanden?
Jetzt wird nicht mehr jeder einzelne Bootmanager / oder jeder einzelne Hash in die DBX Sperrliste eingetragen.
Mein Frage:
Jetzt wird mit Befehl AvailableUpdates 0x80 das Zertifikat "Windows Production CA 2011" in die DBX
Sperrliste eingetragen. Dieses Zertifikat soll jetzt alle gefährlichen Bootmanager sperren.
Ist das so richtig mit dem Zertifikat und das die DBX Sperrliste nicht mehr mit jedem Bootmanager aktualisiert wird?
Zitate von Microsoft aus KB5025885:
"HINWEIS: Anstatt die anfälligen Start-Manager vollständig aufzulisten und als nicht vertrauenswürdig einzustufen, wie es in den vorherigen Bereitstellungsphasen der Fall war, fügen wir das Signierungszertifikat "Windows Production PCA 2011" der Secure Boot Disallow List (DBX) hinzu, um die Vertrauenswürdigkeit aller Start-Manager aufzuheben, die mit diesem Zertifikat signiert sind. Dies ist eine zuverlässigere Methode, um sicherzustellen, dass alle vorherigen Start-Manager als nicht vertrauenswürdig eingestuft werden."
"Ein Kontrollmechanismus zum Hinzufügen von "Windows Production PCA 2011" zum DBX für den sicheren Start, durch das alle Windows-Start-Manager blockiert werden, die mit diesem Zertifikat signiert sind."
Danke euch.
Microsoft hat die Anleitungsseite zu KB5025885 (Secure Boot) komplett geändert.
Die Befehle mit AvailableUpdates 0x10 und 0x30 gibt es nicht mehr.
Ich hoffe ich habe alles soweit richtig erklärt.
Mit Befehl 0x40 wird das Zertifikat "Windows UEFI CA 2023" in der UEFI DB installiert.
Mit Befehl AvailableUpdates 0x100 wird dann ein neuer Start-Manager installiert, der mit dem Zertifikat
"Windows UEFI CA 2023" signiert ist.
Mein Mainboard vom Hersteller Gigabyte bietet die Optionen, die Datenbanken im UEFI Secure Boot
zu löschen oder zurück zusetzen.
Wenn ich die UEFI Secure Boot Datenbanken zurücksetze und das Zertifikat "Windows UEFI CA 2023"
lösche, startet dann mein Computer nicht mehr, weil ich ja den neuen Boot-Manager benutze, der mit
diesem Zertifikat signiert ist?
Zur UEFI Sperrliste DBX.
Früher wurde mit Befehl 0x30 die DBX Sperrliste mit neuen Zertifikaten/Hashes aktualisiert.
Vom Hersteller Gigabyte sind ab Werk 77 Einträge in der DBX Sperrliste vorhanden.
Nach der Aktualisierung mit 0x30 waren 421 Einträge vorhanden.
Microsoft hat ja geschrieben, dass der Platz im UEFI BIOS begrenzt ist.
Die neue Anleitung zu KB5025885 ist komplett anders.
Habe ich die neue Anleitung richtig verstanden?
Jetzt wird nicht mehr jeder einzelne Bootmanager / oder jeder einzelne Hash in die DBX Sperrliste eingetragen.
Mein Frage:
Jetzt wird mit Befehl AvailableUpdates 0x80 das Zertifikat "Windows Production CA 2011" in die DBX
Sperrliste eingetragen. Dieses Zertifikat soll jetzt alle gefährlichen Bootmanager sperren.
Ist das so richtig mit dem Zertifikat und das die DBX Sperrliste nicht mehr mit jedem Bootmanager aktualisiert wird?
Zitate von Microsoft aus KB5025885:
"HINWEIS: Anstatt die anfälligen Start-Manager vollständig aufzulisten und als nicht vertrauenswürdig einzustufen, wie es in den vorherigen Bereitstellungsphasen der Fall war, fügen wir das Signierungszertifikat "Windows Production PCA 2011" der Secure Boot Disallow List (DBX) hinzu, um die Vertrauenswürdigkeit aller Start-Manager aufzuheben, die mit diesem Zertifikat signiert sind. Dies ist eine zuverlässigere Methode, um sicherzustellen, dass alle vorherigen Start-Manager als nicht vertrauenswürdig eingestuft werden."
"Ein Kontrollmechanismus zum Hinzufügen von "Windows Production PCA 2011" zum DBX für den sicheren Start, durch das alle Windows-Start-Manager blockiert werden, die mit diesem Zertifikat signiert sind."
Danke euch.
-
Tante Google