Windows Secure Boot-Zertifikate

[moinmoin]

Der Wert von WindowsUEFICA2023Capable wäre interessant, also ob 0 (wird nicht unterstützt) oder 1 (wird unterstützt).

Wie gesagt, das CA 2023 Zertifikat wird seit einer ganzen Weile über die kumulativen Updates ausgeliefert und wenn möglich (WindowsUEFICA2023Capable=1) automatisch in das UEFI eingetragen.

Es gibt noch einen Wert 2, wenn mit dem neuen Zertifikat gebootet wird. Also die Umstellung erfolgt ist.

[Tante Google]

[DK2000]

Stimmt, das sind die drei möglichen Werte für den Schlüssel:

0 – or key does not exist - “Windows UEFI CA 2023” certificate is not in the DB
1 - “Windows UEFI CA 2023” certificate is in the DB
2 - “Windows UEFI CA 2023” certificate is in the DB and the system is starting from the 2023 signed boot manager.

Gut, ist jetzt die Frage, warum es nicht eingespielt wird. Müsste man dann vermutlich mal in der Ereignisanzeige nachschauen, ob da etwas Verwertbares zu finden ist. Eventuell scheitert es auch am TPM.

https://support.microsoft.com/de-de/top ... ead630eb69

[moinmoin]

SecureBoot im UEFI deaktiviert? Könnte auch ein Grund sein.

[oli88]

Auf meinem PC habe ich noch Windows 10,
auf meinem Notebook schon Windows 11.
Auf beiden Geräten ist Secure Boot im UEFI aktiviert.
TPM 2.0 besitzt das Notebook auch, der PC nicht.
Aber auf beiden Geräten gibt es eben in der Registry diesen Eintrag
WindowsUEFICA2023Capable mit Wert 0.
Schon irgendwie seltsam ... habt ihr noch eine Idee was man tun könnte?
Vielleicht bekommen wir das Problem ja noch gelöst.

[oli88]

... es ist nun ein wenig Zeit vergangen ... leider scheint es so, als ob die neuen Zertifikate immer noch nicht da sind
wenn ich das über PowerShell prüfe und den entsprechenden Befehl (Seite 1) eingebe.
Habe von euch nun auch nichts mehr gehört ... gibt es nochmal etwas, was ich machen könnte
oder einfach nur abwarten?

[tramp20]

Ich muss mich an oli88 dran hängen.
Bei mir (nagelneues Acer Aspire 17 Notebook mit 26100.4770) steht auch 0 drin.

[DK2000]

Was Neues wüsste ich jetzt nicht. Das neue "Windows UEFI CA 2023" Zertifikat wurde bei mir überall über die Kumulativen Updates installiert. Der Bootmanager wurde auch automatisch aktualisiert. Windows 10 22H2 und Windows 11 ab 24H2 von Retail über alle Kanäle bis hoch zur Canary. Die Ausgabe hier ergibt überall "True" zurück.:

Code: Alles auswählen

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Warum das jetzt bei euch nicht klappt, ist wirklich schwer zu sagen. Müsste man eventuell mal in der Ereignisanzeige die IDs durchgehen:

https://support.microsoft.com/de-de/top ... ead630eb69

Interessant ist alles von der Quelle TPM-WMI. Danach am besten mal Filtern oder suchen.

Eventuell ergibt das etwas Brauchbares. In der Aufgabenplanung wurde nicht deaktiviert oder die Aufgabenplanung an sich?

[oli88]

Tut mir Leid ... was dieses Thema angeht, verstehe ich mittlerweile nur noch Bahnhof.
Wie gesagt, wenn ich den Befehl in PowerShell eingebe, kommt immer "False" als Ergebnis.
Habe gerade mal in der Ereignisanzeige nachgesehen ...
Windows-Protokolle –> System und dann die Quelle nach TPM-WMI sortiert.
Habe hier nur Ereignisse mit der ID 1800.
Alle Ereignis-IDs die in dem o.g. Link von Microsoft konnte ich hier nicht finden.
Wenn es auch bei "tramp20" der Fall ist, dass er die Zertifikate nicht hat und dies mit einem neuen Gerät welches den aktuellen Standards entspricht, dann weiß ich auch nicht.
In der Aufgabenplanung habe ich selbst nie wissentlich etwas deaktiviert.

[tramp20]

Windows UEFI CA 2023 zeigt false
Aufgabenplanung zeigt nichts auffälliges an
Im System Eventlog zeigen alle Einträge zu TPM-WMI nur Information an, keine Fehler.

Vielleicht weiß jemand, mit welchem Update die Zertifikate verteilt wurden?

[DK2000]

Keine Ahnung, wann die damit angefangen haben. War, glaube ich, schon Juni 2024. Da die Updates kumulativ sind, sind die neuen Zertifikate auch im aktuellen kumulativen Update enthalten.

Und wenn es keine Fehler zu TPM-WMI gibt, dann versucht die Aufgabe wohl gar nichterst, die Zertifikate zu installieren. Passiert denn hier etwas:

Code: Alles auswählen

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Danach sollte mit der weiter oben erwähnten Abfrage "True" stehen. Eventuell erst nach Neustart, Und falls nicht, noch einmal in die Ereignisanzeige schauen, ob da was steht.

Aber ansonsten wüsste ich gerade auch nicht weiter.

[tramp20]

Danke, ich versuche das morgen.

Schnell noch ins BIOS zur Sicherheit nachgeschaut:
Boot Mode UEFI
Secure Boot Enabled

[tramp20]

@DK2000,

Voller Erfolg, vielen Dank.

WindowsUEFICA2023Capable=1
Und die Task ist auch eingetragen.

Kann man irgendwie/irgendwo das UEFI auslesen, ob das CA 2023 wirklich aktiv ist, außer dass bei WindowsUEFICA2023Capable=2 steht?
Ich bin noch auf der Suche

[tramp20]

Schaut gut jetzt:

Checking for Administrator permission...
Running as administrator - continuing execution...

10 August 2025
Manufacturer: Acer
Model: Aspire A17-51GM
BIOS: INSYDE Corp., V1.65, V1.65, ACRSYS - 2
Windows version: 24H2 (Build 26100.4770) Secure Boot status: Enabled Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023 Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)

Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023

Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023

Current UEFI DBX (only the latest one is needed to be secure)
2023-03-14 : SUCCESS: 220 successes detected
2023-05-09 : SUCCESS: 371 successes detected
2025-01-14 (v1.3.1) : SUCCESS: 245 successes detected
2025-06-11 (v1.5.1) : SUCCESS: 430 successes detected

[oli88]

Auch ich habe das jetzt gerade mal ausprobiert ... und siehe da:
1) Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing -> Wert steht auf 1
2) bei Befehl [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' -> True
Würde nun auch gerne nachschauen, ob das neue Zertifikat aktiv ist.
@ tramp20: wie hast Du das ausgewertet?

Nochmal ne Frage ... wir haben uns jetzt nur über das WindowsUEFICA2023Capable unterhalten,
was ist aber mit den anderen:
Microsoft Corporation KEK CA 2023 / Microsoft UEFI CA 2023 / Microsoft Option ROM CA 2023

[tramp20]

Würde nun auch gerne nachschauen, ob das neue Zertifikat aktiv ist.
@ tramp20: wie hast Du das ausgewertet?

Mit Google gefunden:
https://administrator.de/forum/microsof ... 73826.html
im Thread von fritzo 12.07.2025 um 14:29:28 Uhr Verweis auf
https://github.com/cjee21/Check-UEFISecureBootVariables

Ich weiß ja auch nix, aber wenn ich weiß, wonach genau ich suchen muss, aber dann