Leidiges Thema Secure Boot Zertifikate [Hilfe]

[Primus]

Ich brauche wieder eure Hilfe bzw. eure Meinung, ob ich alles richtig gemacht habe.

Bei mir hatte sich das UEFI CA 2023 Zertifikat nicht aktualisiert, ob wohl das schon lange draußen sein sollte.



Geprüft mit diesem Befehl und das stand auf False:

Code: Alles auswählen

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Ich habe dann hier ein wenig herumgegraben und mir einige Infos zusammengestückelt.
Also habe ich dann dieses gemacht:

Code: Alles auswählen

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Und dieses:

Code: Alles auswählen

mountvol s: /s
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
mountvol s: /d

Und dieses:

Code: Alles auswählen

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Das hat funktioniert, der Eintrag steht jetzt auf True. Ich hänge mal noch zwei Bilder an. Es wäre echt nett, wenn mir einer sagt, ob jetzt alles korrekt ist oder ob ich noch irgendwie aktiv werden muss.

Auf ein BIOS Update warte ich bei einem 2018er Board vermutlich vergeblich? Rog Maximus XI Hero

[Tante Google]

[DK2000]

Da kann man vorerst nichts weiter machen. Bei Dir fehlen jetzt halt noch ein paar CA2023 Zertifikate, die aktuelle DBX und halt das KEK. Aber das KEK muss von ASUS kommen. Und beim Rest ist wieder die Frage, warum es nicht geht.

Der neue Bootmanager wird aber verwendet? Das hattest Du überprüft? Wundert mich halt, weil bei SVN bei Dir auch nichts steht.

Ach sehe gerade, der neue Bootmanager wird verwendet. Den Screenshot mit der Registry hatte ich ganz übersehen.

[Primus]

Danke für die Antwort, also dürften die fehlenden Zertifikate noch per Win Update kommen oder muss ich die auch selbstständig aktualisieren?

Ich habe keine Ahnung, warum das nicht über die Updates ging. Fehler habe ich keine gefunden.

Ich habe aber irgendwie Zweifel das Asus da noch etwas nach schiebt, das letzte Bios Update ist von 2024. Heißt das dann, der Pc bootet nicht, durch das fehlen des neuen kek?

[Moddiator]

Windows schiebt die Zertifikate normal jedem Rechner unter; man muss da gar nichtrs machen. Meines Wissens sollte man aber, nachdem die Zertifikate infitriert sind vermeiden, Secure Boot abzuschalten, weil danach die Kiste nicht mehr startet. Bezieht sich aber alles auf nach dem Termin, wenn die Zerties abgelaufen sind. Wer passende BIOS Updates einspielen darf, ist natürlich fein raus....

[DK2000]

Wenn man Secureboot abschaltet, passiert erst einmal gar nichts. Der Rechner bootet weiterhin, da sich ja niemand mehr für die Zertifikate interessiert.

Problematisch wird es nur, auch jetzt schon, wenn der neue Bootamanager installiert ist und man löscht die neuen Zertifikate aus dem UEFI. Dann würde Windows mit eingeschaltetem Secureboot nicht mehr starten. Wenn man es aber deaktiviert, wird WIndows wieder booten.

[Moddiator]

Auf jeden Fall sind die Zertifikate weg, wenn man SB abschalten; nur wer ein passendes BIOS hat, bleibt von all dem verschont, weil der Hersteller dort alles verewigt hat...

[DK2000]

Die Zertifikate sind nicht weg, wenn man Secureboot ausschaltet. Die werden nur nicht mehr ausgewertet. Die Zertifikate wird man aus dem UEFI nur dann wieder los, wenn man diese einzeln aus dem UEFI löscht oder man den Speicher für die Zertifikate auf Werkseinstellungen zurücksetzt. Dann werden die Defaults wieder verwendet.

[bezelbube]

Ich bin ja kein Freund von diesen Vorschau Update´s.
Bild 1 vor Installation von KB5074105 (26200.7705).
Danach hab ich aus diesen Archiv https://github.com/cjee21/Check-UEFISecureBootVariables
die 3 apply.....cmd´s nochmal´s ausgeführt,mit anschließenden Neustart.
Die *.cmd Dateien als Admin ausführen.
Dann nochmal eine halbe Stunde gewartet,damit die Task´s auch ausgeführt werden.
"Check UEFI PK, KEK, DB and DBX.cmd" gibt dann das Ergebnis aus.
Und voila siehe Bild 2.

securebootvariables.png

securebootvariables-danach.png

Und keine Angst,die 3 apply*.cmd´s setzen nur Task´s,die Windows noch den Neustart ausführt.

[DK2000]

Ja, das sieht doch super aus. Dann passt das alles ja soweit.

[NT_Wolfi]

Bei mir immer SBAT nicht.

Das Update für den sicheren Start von Dbx wurde erfolgreich angewendet
Das Update für den sicheren Start von Dbx zum Widerrufen älterer Start-Manager-SVNs wurde erfolgreich angewendet.
Das Update für den sicheren Start von Dbx zum Widerrufen von Microsoft Windows Production PCA 2011 wurde erfolgreich angewendet.

Das Update für den sicheren Start konnte SBAT mit dem Fehler Unknown HResult Error code: 0x800700c1 nicht aktualisieren.
Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2169931
Fehler 1796
EventData
UpdateType SBAT
HResult -1878589247

[Primus]

Wie ist das eigentlich, wenn es für mein Mainboard keine Bios- Update geben wird und damit die kek veraltet bleibt? Wenn ich das richtig verstanden habe, geht dann ja auch nichts mehr? ^^ Oder gibt es eine Möglichkeit, die selbst einzufügen?

[bezelbube]

@Primus
Führe doch einfach die 3 Apply*.cmd´s aus.
Die "Check UEFI PK, KEK, DB and DBX.cmd" gibt dann Auskunft ob Windows alle Zertifikate angewendet hat.

[Pentagon]

Szenario:
Ausgang
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
WindowsUEFICA2023Capable REG_DWORD 0x2

Backup Recovery einspielen
Reboot ==> Secure Boot Fehlermeldung
"Selected Boot Image did not authenticate. Please press enter to attempt boot to next device"

Bildschirm bleibt schwarz.

==> BIOS ==> Secure Boot ausschalten ==> Voila, PC bootet wieder
WindowsUEFICA2023Capable REG_DWORD 0x0

Watt nu?

[DK2000]

WindowsUEFICA2023Capable=0x0

Secureboot deaktiviert oder aktiviert, aber “Windows UEFI CA 2023” nicht in der DB

Wenn Secureboot deaktiviert ist, kann die Variable nicht abgefragt werden, daher kommt das auf dasselbe raus. Windows kann hier nicht ermitteln, ob das “Windows UEFI CA 2023" installiert ist oder nicht.

WindowsUEFICA2023Capable=0x2

Secureboot ist aktiviert, "Windows UEFI CA 2023” ist vorhanden und es wird der passende Bootmanager mit dem CA 2023 Zertifikat verwendet.

Warum das jetzt bei Dir nach "Backup Recovery einspielen" nicht funktioniert, schwer zu sagen, vermute aber fast, falsche SVN. Der aktuelle Bootmanager benötigt wohl den Bootmanager mit SVN 7.0. SVN = Secure Version Number. Wenn die SVN niedriger ist als erwartet, wird das Zertifikat abgelehnt und Windows bootete nicht mehr.

Gehe aber bei der Überlegung davon aus, dass vor dem Erstellen des Backups WindowsUEFICA2023Capable=0x2 bereits vorhanden war.

[Pentagon]

Ich habe jetzt das Backup der Startpartition gemountet und gesehen, dass das Image nicht WindowsUEFICA2023Capable war. Ich vermute, dass da nur noch eine Neuinstallation hilft, wenn ich den Rechner mit Secure Boot betreiben will.
Damit kann ich aber gut leben. Es gibt Schlimmeres.