Secure Boot Zertifikate

[Andi]

Bis Juni 2026 müssen Sie die neuen Zertifikate am Start haben.

Man kann es prüfen mit Terminal.

[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Bei mir ist das Ergebnis = False

Hat schon jemand die neune Zertifikate?

[Tante Google]

[DK2000]

Ja. Auch in Windows 10. Nur das Zertifikat für die KEK und Option-ROMs sind noch nicht installiert worden, aber stehen wohl schon zu Verfügung. Und zurückgezogen wurde auch noch nichts. Und bei den Option-ROMs habe ich eh ein ungutes Gefühl.

Screenshot 2025-09-17 155351.png

Windows 10 22H2 (nur VM), Windows 11 24H2 (nur VM) und Windows 11 25H2 (Tablet und VMs) wurde das schon alles installiert und auch der Bootmanager ausgetauscht.

Die werden schon seit einer ganzen Weile ausgeliefert und installiert, wo es geht. Befinden sich in dem Verzeichnis:

C:\Windows\System32\SecureBootUpdates

[BenniDM]

Hat schon jemand die neune Zertifikate?

Yes, hp Bios F.19 Rev.A 08/25 und Win25h2
https://jumpshare.com/share/gdryiLyIGmGs3H8BcuWY

[Andi]

Der Ordner C:\Windows\System32\SecureBootUpdates sieht bei mir aus wie bei @BenniDM.

Wird wohl erst mit 25H2 kommen oder?

[DK2000]

Nein. Das wird jetzt schon installiert. Wie gesagt, habe ich ab Windows 10 22H2.

Die Fage wäre jetzt eher, warum da bei Dir nicht installiert wird. Die Updates sind ja da. Aber irgendwas stört Windows da offensichtlich.

Was steht denn bei Dir so in der Registy:

Code: Alles auswählen

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

[Andi]

Das hier:

[Tekkie]

Ist denn Secure Boot im Bios/Uefi aktiviert?

Msinfo32 ausführen und dann überprüfen ob der Sichere Startzustand auf Ein steht.


Gruß

[DK2000]

Das Problem hatten wir ja schon einmal in dem Thread:

viewtopic.php?t=33352

Das Zertifikat wurde nicht automatisch im Rahmen der Sicherheits-LCU installiert. Manuelle Installation ging aber. Warum Windows das nicht automatisch gemacht hat, ließ sich nicht klären. Eventuell haben sie die automatische Installation wieder gestoppt.

Mal von meinen VMs abgesehen, auf der realen Hardware (Tablet) geschah das automatisch, schon zu Windows 11 24H2 Zeiten. Aber halt vorerst nur DB. DBX, KEK und Option-ROM blieb unangetastet. Die Updates sind wohl da, werden aber nicht automatisch installiert.

Bei mir steht dazu in der Registry in dem Zweig (Tablet mit Win 11 25H2, davor 24H2):

WindowsUEFICA2023Capable=2
(Windows UEFI CA 2023” certificate is in the DB and the system is starting from the 2023 signed boot manager.)

[Andi]

Msinfo32 ausführen und dann überprüfen ob der Sichere Startzustand auf Ein steht.

Steht auf EIN

[BenniDM]

WindowsUEFICA2023Capable=2
(Windows UEFI CA 2023” certificate is in the DB and the system is starting from the 2023 signed boot manager.)

Bei der Hardware kommt es aber auf die Werte unter "DeviceAttributes" in der REG an.

Bei mir steht in der REG unter Servicing:
UEFICA2023Status= NotStarted
WindowsUEFICA2023Capable= 1

[Tekkie]

Okay.

Man könnte das Secure Boot Update wie im Support Artikel von Microsoft beschrieben Händisch anstoßen, aber das muss jeder für sich selbst entscheiden:

https://support.microsoft.com/de-de/top ... ff139f832d

[BenniDM]

Man könnte das Secure Boot Update wie im Support Artikel von Microsoft beschrieben Händisch anstoßen, aber das muss jeder für sich selbst entscheiden:

Wie gesagt abhänig von der Hardware und bedenke die (versteckten) Folgen.
Bei mir war kein Bios Update von F17 zu F19 mit der 25h2 mehr möglich nach den Secure Boot Update.
Erst Bitlocker abschalten, Festplatte löschen und Bios (Full) Reset war nötig!
D.H. auch alle Keys im UEFI löschen war nötig (hp&MS) und das geht auch nicht mit jeder Hardware!
Also Vorsicht! mit dem Secure Boot Update, per Hand.

zur meiner Hardware dieses:

Code: Alles auswählen

Systeminformationsbericht erstellt am: 09/18/25 12:28:40
Systemname: DESKTOP-xxxxxxxx
[Systemübersicht]

Element	Wert	
Betriebsystemname	Microsoft Windows 11 Pro	
Version	10.0.26200 Build 26200	
Betriebsystemhersteller	Microsoft Corporation	
Systemname	DESKTOP-xxxxxxxx	
Systemhersteller	HP	
Systemmodell	HP All-in-One Desktop-27-ct2659nz-pc-bp6q2ea-uuz	
Systemtyp	x64-basierter PC	
System-SKU	xxxxxxx#xxx	
Prozessor	AMD Ryzen x xxxxX with Radeon Graphics, xxxx MHz, x Kern(e), x logische(r) Prozessor(en)	
BIOS-Version/-Datum	AMI F.19, 22.08.2025	
SMBIOS-Version	3.5	
Version des eingebetteten Controllers	20.13	
BIOS-Modus	UEFI	
BaseBoard-Hersteller	HP	
BaseBoard-Produkt	xxxx	
BaseBoard-Version	xxxxxxxxxx	
Plattformrolle	Desktop	
Sicherer Startzustand	Ein	
PCR7-Konfiguration	Gebunden	
Windows-Verzeichnis	x:\Windows	
Systemverzeichnis	x:\Windows\system32	
Startgerät	\Device\HarddiskVolume1	
Gebietsschema	Deutschland	
Hardwareabstraktionsebene	Version = "10.0.26100.1"	
Benutzername	xxxxxxxxxxxx\Windows	
Zeitzone	Mitteleuropäische Sommerzeit	
Installierter physischer Speicher (RAM)	32,0 GB	
Kernel-DMA-Schutz	Ein	
Virtualisierungsbasierte Sicherheit	Wird ausgeführt...	
Virtualisierungsbasierte Sicherheit – erforderliche Sicherheitseigenschaften	Allgemeine Virtualisierungsunterstützung	
Virtualisierungsbasierte Sicherheit – verfügbare Sicherheitseigenschaften	Allgemeine Virtualisierungsunterstützung, Sicherer Start, DMA-Schutz, Sichere Speicherüberschreibung, UEFI-Code Readonly, SMM Security Mitigations 1.0, Modusbasierte Ausführungssteuerung	
Virtualisierungsbasierte Sicherheit – konfigurierte Dienste	Durch Hypervisor erzwungene Codeintegrität	
Virtualisierungsbasierte Sicherheit – ausgeführte Dienste	Durch Hypervisor erzwungene Codeintegrität	
App Control for Business-Richtlinie	Erzwungen	
App Control for Business-Benutzermodusrichtlinie	Überwachung	
Unterstützung für automatische Geräteverschlüsselung	Voraussetzungen erfüllt	
Es wurde ein Hypervisor erkannt. Features, die für Hyper-V erforderlich sind, werden nicht angezeigt.