Leidiges Thema Secure Boot Zertifikate [Hilfe]

[DK2000]

Ne, Du versuchts wohl das SaveOS Du in das laufende Windows zu integrieren. Dafür ist es nicht gedacht. Es ist ausschließlich für die WinRE.wim gedacht. Die offizielle Vorgehensweise bei aktivierter Recoveryumgebung (ist im Prinzi das, was auch Pentagon geschrieben hat:
)

Code: Alles auswählen

ReAgentC.exe /mountre /path c:\mount
Dism /Image:c:\mount /Add-Package /PackagePath:"<SSU>"
Dism /Image:c:\mount /Add-Package /PackagePath:"<SafeOS>"  
Dism /Image:c:\mount /CleanUp-Image /StartComponentCleanup /ResetBase
ReAgentC.exe /unmountre /path c:\mount /commit

c:\mount muss dabei vorher erstellt werden und kann danach wieder gelöscht werden. Schwierig ist nur, an das SSU ranzukommen, weil das im Paket für das SSU enthalten ist. Einzeln habe ich das nicht mehr gefunden. Müsst man also aus dem SSU extrahieren. Ob man es weglassen kann, ist immer schwer zu sagen, da das neue Update u.U. auch das neue SSU benötigt, damit es richtig integriert wird. Über Windows Update sollte das alles automatisch geschehen, sofern die Recoverypartition groß genug ist.

Aber wie auch immer, das neue WinRE.wim würde das Problem mit dem bootbaren Stick nicht in jedem Fall lösen.

[Tante Google]

[Anime On]

Wurde mit Fehler abgebrochen. Dann ist es wie DK2000 geschrieben hat, wohl schon installiert mit dem letzten Update.

Ohh habs garnicht gesehen Danke für den hinweiß hmmm
heist jetzt für mich abwarten?

[DK2000]

Ob es installiert ist, lässt sich am Screenshot nicht sagen. Aber gehe mal davon aus, dass es installiert ist und versucht wurde, dass Update in das laufende Windows zu installieren. Die WinRE.wim sollte Abbildversion 26100.7701 habe, 26100.7705 ist das installierte Windows. Was sagt denn folgendes:

Code: Alles auswählen

Dism /Get-ImageInfo /ImageFile:\\?\GLOBALROOT\device\harddisk0\partition3\Recovery\WindowsRE\winre.wim /index:1

\harddisk0\partition4\ musst Du ggf. an Deine Partitionierung anpassen. Standard ist Disk 0, Partition 4.

Aber wie gesagt, mit den Zertifikaten im UEFI hat das keinen Einfluss. Das wäre nur relevant, wenn ein Tool einen mittels der WinRE.wim einen bootfähigen Stick erstellt, erkennt, dass das neue Zertifikat vorhanden ist und daraufhin den neuen Bootmanager zur Erstellung des Sticks oder ISO verwendet.

[Anime On]

Hallo Danke an alle für die infos und erklärungen aber ich bekomme das erlichgesagt nicht so hin das alles grün wird o sollte o müsste , hier nochmal ein Bild von Check UEFI PK, KEK, DB and DBX.cmd
Ich hoff das es soweit passt das ich kein stress bekomme in Juni

[DK2000]

Hat soweit alles geklappt. Fehlen halt noch zwei Zertifikate in der Default DB. Ob die wirklich wichtig sind, kann ich nicht sagen. Aber das muss vom Hersteller über ein UEFI-Update kommen. Auf die Variable hat Windows keinen Zugriff. Das sind praktisch die Werkseinstellungen für das UEFI, wenn man alles zurücksetzt.

Die Current DB und Current DBX passen so weit. SVN passt auch.

Ist halt nur doof, dass Du schon das "Microsoft Windows Production PCA 2011" zurückgezogen hast. Das verhindert jetzt natürlich, dass alle ISOs/Stick mit dem alten Bootmanager mit dem CA2011 Zertifikat nicht mehr booten werden.

Edit: Hatte da gerade Current und Default übersehen. Jetzt passt das. Current ist bei Dir aktuell.