Leidiges Thema Secure Boot Zertifikate [Hilfe]

[DK2000]

Ne, Du versuchts wohl das SaveOS Du in das laufende Windows zu integrieren. Dafür ist es nicht gedacht. Es ist ausschließlich für die WinRE.wim gedacht. Die offizielle Vorgehensweise bei aktivierter Recoveryumgebung (ist im Prinzi das, was auch Pentagon geschrieben hat:
)

Code: Alles auswählen

ReAgentC.exe /mountre /path c:\mount
Dism /Image:c:\mount /Add-Package /PackagePath:"<SSU>"
Dism /Image:c:\mount /Add-Package /PackagePath:"<SafeOS>"  
Dism /Image:c:\mount /CleanUp-Image /StartComponentCleanup /ResetBase
ReAgentC.exe /unmountre /path c:\mount /commit

c:\mount muss dabei vorher erstellt werden und kann danach wieder gelöscht werden. Schwierig ist nur, an das SSU ranzukommen, weil das im Paket für das SSU enthalten ist. Einzeln habe ich das nicht mehr gefunden. Müsst man also aus dem SSU extrahieren. Ob man es weglassen kann, ist immer schwer zu sagen, da das neue Update u.U. auch das neue SSU benötigt, damit es richtig integriert wird. Über Windows Update sollte das alles automatisch geschehen, sofern die Recoverypartition groß genug ist.

Aber wie auch immer, das neue WinRE.wim würde das Problem mit dem bootbaren Stick nicht in jedem Fall lösen.

[Tante Google]

[Anime On]

Wurde mit Fehler abgebrochen. Dann ist es wie DK2000 geschrieben hat, wohl schon installiert mit dem letzten Update.

Ohh habs garnicht gesehen Danke für den hinweiß hmmm
heist jetzt für mich abwarten?

[DK2000]

Ob es installiert ist, lässt sich am Screenshot nicht sagen. Aber gehe mal davon aus, dass es installiert ist und versucht wurde, dass Update in das laufende Windows zu installieren. Die WinRE.wim sollte Abbildversion 26100.7701 habe, 26100.7705 ist das installierte Windows. Was sagt denn folgendes:

Code: Alles auswählen

Dism /Get-ImageInfo /ImageFile:\\?\GLOBALROOT\device\harddisk0\partition3\Recovery\WindowsRE\winre.wim /index:1

\harddisk0\partition4\ musst Du ggf. an Deine Partitionierung anpassen. Standard ist Disk 0, Partition 4.

Aber wie gesagt, mit den Zertifikaten im UEFI hat das keinen Einfluss. Das wäre nur relevant, wenn ein Tool einen mittels der WinRE.wim einen bootfähigen Stick erstellt, erkennt, dass das neue Zertifikat vorhanden ist und daraufhin den neuen Bootmanager zur Erstellung des Sticks oder ISO verwendet.

[Anime On]

Hallo Danke an alle für die infos und erklärungen aber ich bekomme das erlichgesagt nicht so hin das alles grün wird o sollte o müsste , hier nochmal ein Bild von Check UEFI PK, KEK, DB and DBX.cmd
Ich hoff das es soweit passt das ich kein stress bekomme in Juni

[DK2000]

Hat soweit alles geklappt. Fehlen halt noch zwei Zertifikate in der Default DB. Ob die wirklich wichtig sind, kann ich nicht sagen. Aber das muss vom Hersteller über ein UEFI-Update kommen. Auf die Variable hat Windows keinen Zugriff. Das sind praktisch die Werkseinstellungen für das UEFI, wenn man alles zurücksetzt.

Die Current DB und Current DBX passen so weit. SVN passt auch.

Ist halt nur doof, dass Du schon das "Microsoft Windows Production PCA 2011" zurückgezogen hast. Das verhindert jetzt natürlich, dass alle ISOs/Stick mit dem alten Bootmanager mit dem CA2011 Zertifikat nicht mehr booten werden.

Edit: Hatte da gerade Current und Default übersehen. Jetzt passt das. Current ist bei Dir aktuell.

[Condor]

Moin!
Ich klinke mich hier mal mit ein.

Ich habe seit gestern nun auch das zukünftig gültige “Windows UEFI CA 2023“-Zertifikat per Windows-Update bekommen.
Dazu habe ich über die Tage/Wochen oft per Hand die Aufgabenplanung mit „jetzt starten“ angeschoben.
Siehe dazu bitte die Bilder.
Die Abfrage sieht nun so aus und sollte soweit OK sein:

Windows Secure Boot-Zertifikat5.jpg

Was mich nun gewundert hat ist, dass nun der 2011-Schlüssel auf “zurückgezogen” steht.
Ich habe nun probiert, ob ich mit dem Boot-Stick meiner Backup-Software (EaseUS Todo Backup Home),
welche wohl mit WinPE erstellt wurde, noch booten kann.
Das scheint nun nicht mehr zu funktionieren.

Sec1.jpg

Was wäre nach eurer Meinung nun die beste Lösung für den Notfall einer Wiederherstellung?

1) Ich könnte im BIOS “von einem anderen System booten” auswählen, also den Secure Boot ausschalten.
Und nach der Wiederherstellung wieder einschalten.
Oder
2) Das Boot-Medium neu erstellen. Aber dafür müsste ja WinPE aktualisiert werden, richtig?

Was wäre eure Meinung?

Vielen Dank im Voraus.

Screenshot 2026-02-09 174350.png

.

Windows Secure Boot-Zertifikat3.jpg

[moinmoin]

Solange es keine geeigneten Bootmedien gibt, wirst du Secure Boot deaktivieren müssen.

[Condor]

Solange es keine geeigneten Bootmedien gibt, wirst du Secure Boot deaktivieren müssen.

OK, wenn das so funktioniert, dann käme ich damit klar.
Weißt du, ob – oder wie man dann WinPE aktualisieren bzw. neu installieren kann?

Update:
Ich kann zumindest schon mal die Versionsnummer abfragen:

Code: Alles auswählen

dism /Get-WimInfo /WimFile:E:\SOURCES\boot.wim /index:1

Wobei "E" mein Laufwerksbuchstabe für den Boot-Stick ist.

wim1.jpg

[moinmoin]

Da wirst du auf Microsoft warten müssen. Noch sind ja (offiziell) beide Zertifikate vorhanden. Also besteht für Microsoft kein Zeitdruck.

[DK2000]

Wenn das verendete WinPE für das Bootmedium so weit aktuell ist, geht das auch mit dem Skript von Microsoft:

https://github.com/microsoft/secureboot ... eMedia.ps1

Das würde die Bootdateien auf dem Bootmedium aktualisieren, so dass man wieder booten kann.

Das ist ja das Problem derzeit noch, dass das eigentliche Tool, welches das Bootmedium erstellt, von den CA 2023 Zertifikaten Kenntnis haben muss, um diese auch zu verwenden. Ist da nicht der Fall, werden nur die alten Bootdateien verwendet.

[Condor]

Wenn das verendete WinPE für das Bootmedium so weit aktuell ist, geht das auch mit dem Skript von Microsoft:

https://github.com/microsoft/secureboot ... eMedia.ps1

Das würde die Bootdateien auf dem Bootmedium aktualisieren, so dass man wieder booten kann.

Das ist ja das Problem derzeit noch, dass das eigentliche Tool, welches das Bootmedium erstellt, von den CA 2023 Zertifikaten Kenntnis haben muss, um diese auch zu verwenden. Ist da nicht der Fall, werden nur die alten Bootdateien verwendet.

Vielen Dank für den Tipp!
Leider bin ich aber kein (guter) Coder und bin mir nicht sicher, wie ich dieses Script auf den Boot-Stick anwenden könnte.

Soweit ich mich erinnere, hat EaseUS Todo Backup Home vor der Erstellung des Boot-Mediums das WinPE erst
von MS geladen, also downgeloadet.
Wenn ich das im Verzeichnis finden könnte, könnte ich es ja mal löschen, so dass es in (bald) aktueller Version
erneut erstellt werden kann?

Mal sehen, wie es weitergeht.
Vorerst müsste ich dann halt Secure Boot im BIOS ausschalten um dann mit dem Stick zu booten.

[DK2000]

Sehe gerade, Deine Boot.wim, hat die 22000.1 (Windows 11 21H2). Gibt es dafür noch ein Update mit den neuen Zertifikaten? Weiß ich jetzt gar nicht. Falls nicht, eventuell manuell aktualisieren oder die ganze Boot.wim austauschen. Wenn das geht.

Ja, gute Frage jetzt. Keine Ahnung, ob EaseUS Todo Backup Home eine neuere WinPE Version herunter läd und wenn, dann vermutlich auch wieder die Revision 1, weil die so im ADK enthalten ist. Kann man dem EaseUS Todo Backup Home auch beibringen, die installierte WinRE.wim zu verwenden?

[Blondi_2021]

passend zum Script https://github.com/microsoft/secureboot ... Media.ps1 von @DK2000 kann man sich auch hier mal kurz einlesen https://www.windowspro.de/wolfgang-som ... ot-manager ist recht verständlich da beschrieben.

[Condor]

Sehe gerade, Deine Boot.wim, hat die 22000.1 (Windows 11 21H2). Gibt es dafür noch ein Update mit den neuen Zertifikaten? Weiß ich jetzt gar nicht. Falls nicht, eventuell manuell aktualisieren oder die ganze Boot.wim austauschen. Wenn das geht.

Ja, gute Frage jetzt. Keine Ahnung, ob EaseUS Todo Backup Home eine neuere WinPE Version herunter läd und wenn, dann vermutlich auch wieder die Revision 1, weil die so im ADK enthalten ist. Kann man dem EaseUS Todo Backup Home auch beibringen, die installierte WinRE.wim zu verwenden?

Ich lese gerade diese Seite https://learn.microsoft.com/de-de/windo ... windows-11.
Dort ist beschrieben, wie ich eine mit UEFI 2023 CA signierte Windows PE Iso erzeugen kann.
Ich habe schon die ADK 10.1.26100.2454 installiert.
Wohl mit diesem Befehl:

Code: Alles auswählen

MakeWinPEMedia /ISO C:\WinPE_amd64 C:\WinPE_amd64\WinPE_amd64.iso /bootex

Daraus könnte ich dann vermutlich die boot.wim extrahieren und die dann vielleicht direkt auf den Boot-Stick kopieren oder
in mein Backup-Programm kopieren, denn dort finde eine "winpe.wim" mit über 600 MB Größe.

Wäre vielleicht einen Versuch wert?

[DK2000]

Du musst auf dem Stick den Inhalt vom Oder EFI aktualisieren. Ansonsten bringt das alles nichts. Die Boot,wim ist da nicht wirklich das Problem. Der Schalter /bootex macht nichts anderes als den neuen Bootmanager aus dem ADK in das Root der ISO in den EFI-Ordner zu kopieren. Die Boot.wim bleibt unverändert.

Du könntest höchstens versuchen, das EFI Verzeichnis zu kopieren. Aber ob das mit der 22000 geht, weiß ich nicht. Müsste aber theoretisch.

Das Kopieren der Boot.wim in das Verzeichnis vom EaseUS Todo Backup Home würde nichts bringen, wenn dieses keine Kenntnis der "EX" Ordner mit den neuen Bootdateien hat (s. Link von Blondi_2021). Das würde weiterhin nur die alten Dateien verwenden. Das Tool müsste in dem Fall dann auch aktualisiert werden.