Leidiges Thema Secure Boot Zertifikate [Hilfe]

Primus · Beitrag von **Primus** » 28.01.2026, 19:54

Ich brauche wieder eure Hilfe bzw. eure Meinung, ob ich alles richtig gemacht habe.

Bei mir hatte sich das UEFI CA 2023 Zertifikat nicht aktualisiert, ob wohl das schon lange draußen sein sollte.

Geprüft mit diesem Befehl und das stand auf False:

Code: Alles auswählen

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Ich habe dann hier ein wenig herumgegraben und mir einige Infos zusammengestückelt.
Also habe ich dann dieses gemacht:

Code: Alles auswählen

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Und dieses:

Code: Alles auswählen

mountvol s: /s
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
mountvol s: /d

Und dieses:

Code: Alles auswählen

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Das hat funktioniert, der Eintrag steht jetzt auf True. Ich hänge mal noch zwei Bilder an. Es wäre echt nett, wenn mir einer sagt, ob jetzt alles korrekt ist oder ob ich noch irgendwie aktiv werden muss.

Auf ein BIOS Update warte ich bei einem 2018er Board vermutlich vergeblich? Rog Maximus XI Hero

Beitrag von **Tante Google** » 28.01.2026, 19:54

DK2000 · Beitrag von **DK2000** » 28.01.2026, 21:23

Da kann man vorerst nichts weiter machen. Bei Dir fehlen jetzt halt noch ein paar CA2023 Zertifikate, die aktuelle DBX und halt das KEK. Aber das KEK muss von ASUS kommen. Und beim Rest ist wieder die Frage, warum es nicht geht.

Der neue Bootmanager wird aber verwendet? Das hattest Du überprüft? Wundert mich halt, weil bei SVN bei Dir auch nichts steht.

Ach sehe gerade, der neue Bootmanager wird verwendet. Den Screenshot mit der Registry hatte ich ganz übersehen.

Primus · Beitrag von **Primus** » 28.01.2026, 22:15

Danke für die Antwort, also dürften die fehlenden Zertifikate noch per Win Update kommen oder muss ich die auch selbstständig aktualisieren?

Ich habe keine Ahnung, warum das nicht über die Updates ging. Fehler habe ich keine gefunden.

Ich habe aber irgendwie Zweifel das Asus da noch etwas nach schiebt, das letzte Bios Update ist von 2024.

Heißt das dann, der Pc bootet nicht, durch das fehlen des neuen kek?

Moddiator · Beitrag von **Moddiator** » 28.01.2026, 23:20

Windows schiebt die Zertifikate normal jedem Rechner unter; man muss da gar nichtrs machen. Meines Wissens sollte man aber, nachdem die Zertifikate infitriert sind vermeiden, Secure Boot abzuschalten, weil danach die Kiste nicht mehr startet. Bezieht sich aber alles auf nach dem Termin, wenn die Zerties abgelaufen sind. Wer passende BIOS Updates einspielen darf, ist natürlich fein raus....

DK2000 · Beitrag von **DK2000** » 28.01.2026, 23:27

Wenn man Secureboot abschaltet, passiert erst einmal gar nichts. Der Rechner bootet weiterhin, da sich ja niemand mehr für die Zertifikate interessiert.

Problematisch wird es nur, auch jetzt schon, wenn der neue Bootamanager installiert ist und man löscht die neuen Zertifikate aus dem UEFI. Dann würde Windows mit eingeschaltetem Secureboot nicht mehr starten. Wenn man es aber deaktiviert, wird WIndows wieder booten.

Moddiator · Beitrag von **Moddiator** » 28.01.2026, 23:44

Auf jeden Fall sind die Zertifikate weg, wenn man SB abschalten; nur wer ein passendes BIOS hat, bleibt von all dem verschont, weil der Hersteller dort alles verewigt hat...

DK2000 · Beitrag von **DK2000** » 29.01.2026, 00:00

Die Zertifikate sind nicht weg, wenn man Secureboot ausschaltet. Die werden nur nicht mehr ausgewertet. Die Zertifikate wird man aus dem UEFI nur dann wieder los, wenn man diese einzeln aus dem UEFI löscht oder man den Speicher für die Zertifikate auf Werkseinstellungen zurücksetzt. Dann werden die Defaults wieder verwendet.