Windows Secure Boot-Zertifikate

Windows 10 startet nicht, oder du kannst dich nicht einloggen?
Antworten
Robbi
Grünschnabel
Grünschnabel
Beiträge: 36
Registriert: 17.04.2022, 01:58
Hat sich bedankt: 2 Mal
Danke erhalten: 1 Mal

Re: Windows Secure Boot-Zertifikate

Beitrag von Robbi » 13.11.2025, 16:29

Gut,wenn dann alles soweit ok ist werde Ich es nun so lassen und warten was noch kommt
DK2000 hat geschrieben: 13.11.2025, 15:29 KEK ist da so ein Zwischending.
Oder macht es Sinn den KEK manuel ins Bios ein zufügen denn ein OEM ist der PC nicht?
Wie sieht es mit den Updates bei Enterprise Versionen aus?
Nach oben
Tante Google

Re: Windows Secure Boot-Zertifikate

Beitrag von Tante Google » 13.11.2025, 16:29

Robbi
Grünschnabel
Grünschnabel
Beiträge: 36
Registriert: 17.04.2022, 01:58
Hat sich bedankt: 2 Mal
Danke erhalten: 1 Mal

Re: Windows Secure Boot-Zertifikate

Beitrag von Robbi » 16.11.2025, 04:03

@DK2000

Warum macht man es nicht so

Code: Alles auswählen

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Starten Sie das System manuell neu, wenn AvailableUpdates 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Bzw was ist der Unterschied zwischen dem was Du hier schriebst

Code: Alles auswählen

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x40
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
und dem?
Danach sieht das bei mir schon viel besser aus (abgesehen von Default,also OEM)
Windows version: 25H2 (Build 26200.7171)

Secure Boot status: Enabled

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)

Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023

Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)

Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
X Windows UEFI CA 2023
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023

Current UEFI DBX (only the latest one is needed to be secure)
2025-06-11 (v1.5.1) : SUCCESS: 430 successes detected
2025-10-14 (v1.6.0) : SUCCESS: 431 successes detected
Nach oben
Benutzeravatar
DK2000
Legende
Legende
Beiträge: 10490
Registriert: 03.04.2018, 00:07
Hat sich bedankt: 247 Mal
Danke erhalten: 787 Mal
Gender:

Re: Windows Secure Boot-Zertifikate

Beitrag von DK2000 » 16.11.2025, 09:23

Oder macht es Sinn den KEK manuel ins Bios ein zufügen denn ein OEM ist der PC nicht?
Als OEM zählt in diesem Falle auch der Hersteller eines Boards. Hast Du z.B. von. ASUS ein Bord gekauft, dann muss ASUS einen zu PK vom Bord passend signiertes KEK Zertifikat bereitstellen. Dieses Zertifikat kann ASUS dann am Microsoft liefern, welches dann vom Microsoft in das kumulative Update integriert wird (in die Datei "KEKUpdateCombined.bin"). Alternativ kann ASUS das Zertifikat auch im nächsten UEFI-Update integrieren.

Manuell integrieren würde auch gehen, setzt aber voraus, dass (in dem Beispiel ASUS) das Zertifikat einzeln passend zum bereits vorhandenen 'Platform Key (PK)' zur Verfügung gestellt wird. Ist das nicht der Fall und in der aktuellen KEKUpdateCombined.bin ist auch nichts passendes vorhanden, dann hat man Pech und muss hoffen, dass noch etwas kommen wird.
Warum macht man es nicht so
Bzw was ist der Unterschied zwischen dem was Du hier schriebst
Das ist im Grunde genommen dasselbe, nur einmal zusammengefasst und einmal als Einzelschritte. Jede Aufgabe wird über ein Bit geregelt, welches man über die Zahl in Hexadezimal in "AvailableUpdates" eintragen kann und in einer bestimmten Reihungen ausgeführt werden

1. 0x0040:
Dieses Bit weist die geplante Aufgabe an, das Zertifikat 'Microsoft UEFI CA 2023 ' zur Secure Boot DB hinzuzufügen. Auf diese Weise kann Windows Startmanagern vertrauen, die von diesem Zertifikat signiert wurden.

2. 0x0800:
Dieses Bit weist die geplante Aufgabe an, das 'Microsoft Option ROM UEFI CA 2023' in die Datenbank hinzuzufügen.

Wenn 0x4000 ebenfalls festgelegt ist, überprüft die geplante Aufgabe die Datenbank und fügt 'Microsoft UEFI CA 2023' nur hinzu, wenn 'Microsoft Corporation UEFI CA 2011' bereits in der Datenbank vorhanden ist.

3. 0x1000:
Dieses Bit weist die geplante Aufgabe an, das 'Microsoft UEFI CA 2023' in die Datenbank hinzuzufügen.

Wenn 0x4000 ebenfalls gesetzt ist, überprüft die geplante Aufgabe die Datenbank und fügt'Microsoft Option ROM UEFI CA 2023' nur dann hinzu, wenn das Zertifikat 'Microsoft Corporation UEFI CA 2011' bereits in der Datenbank gefunden wird.

2. und 3. 0x4000:
Dieses Bit ändert das Verhalten der Bits 0x0800 und 0x1000 so, dass nur dann die Zertifikate 'Microsoft UEFI CA 2023' und 'Microsoft Option ROM UEFI CA 2023' hinzugefügt werden, wenn die Datenbank bereits über das Zertifikat 'Microsoft Corporation UEFI CA 2011' verfügt.

Um sicherzustellen, dass das Sicherheitsprofil des Geräts unverändert bleibt, wendet dieses Bit diese neuen Zertifikate nur dann an, wenn das Gerät dem UEFI CA 2011-Zertifikat vertraut hat. Nicht alle Windows-Geräte vertrauen diesem Zertifikat.

4. 0x0004:
Dieses Bit weist die geplante Aufgabe an, nach einem 'Key Exchange Key (KEK)' zu suchen, welcher mit dem 'Platform Key (PK)' des Geräts signiert wurde. Der PK wird vom OEM verwaltet. OEMs signieren das Microsoft KEK mit ihrem PK und liefern es an Microsoft, wo es in die kumulativen Updates enthalten ist.

5. 0x0100:
Dieses Bit weist die geplante Aufgabe an, den vom 'Windows UEFI CA 2023' signierten Bootmanager auf die Boot-Partition anzuwenden. Dieser ersetzt dann den mit dem 'Microsoft Windows Production PCA 2011' signierten Boot-Manager.

Diese Bits lassen sich auch zu 0x5944 addieren. In dem Falle würde die geplante Aufgabe alle Aufgaben in einem Rutsch ausführen, sofern möglich. Man kann aber auch andere Bits kombinieren, wie in Deinem Fall dann wohl 0x4000 und 0x100 zu 0x4100. In dem Falle würden beide Aufgaben ausgeführt werden.

Aber wie auch immer. Bei Dir hat das jetzt wohl geklappt. "Current UEFI KEK", "Current UEFI DB" und "Current UEFI DBX" sind aktuell. Ist halt nur die Frage, ob der neue Boot Manager verwendet wird.

Code: Alles auswählen

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"WindowsUEFICA2023Capable"=dword:00000002
Wenn das bei Dir in der Registry steht, sollte das aber der Fall sein. Und Ereignis 1808 sollte jetzt bei Dir auch in der Ereignisanzeige zu finden sein.
Nach oben
Robbi
Grünschnabel
Grünschnabel
Beiträge: 36
Registriert: 17.04.2022, 01:58
Hat sich bedankt: 2 Mal
Danke erhalten: 1 Mal

Re: Windows Secure Boot-Zertifikate

Beitrag von Robbi » 16.11.2025, 15:21

Ja,scheint alles ok zu sein

Code: Alles auswählen

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"WindowsUEFICA2023Capable"=dword:00000002
ist so in der Registry und
Qulle: TPM-WMI
Ereignis-ID: 1808
zum Zeitpunkt des PC Startes
steht in den Ereignissen
Nach oben
Antworten

Zurück zu „Windows 10 Login/Boot“