Leidiges Thema Secure Boot Zertifikate [Hilfe]

[Condor]

Du musst auf dem Stick den Inhalt vom Oder EFI aktualisieren. Ansonsten bringt das alles nichts. Die Boot,wim ist da nicht wirklich das Problem. Der Schalter /bootex macht nichts anderes als den neuen Bootmanager aus dem ADK in das Root der ISO in den EFI-Ordner zu kopieren. Die Boot.wim bleibt unverändert.

Du könntest höchstens versuchen, das EFI Verzeichnis zu kopieren. Aber ob das mit der 22000 geht, weiß ich nicht. Müsste aber theoretisch.

Das Kopieren der Boot.wim in das Verzeichnis vom EaseUS Todo Backup Home würde nichts bringen, wenn dieses keine Kenntnis der "EX" Ordner mit den neuen Bootdateien hat (s. Link von Blondi_2021). Das würde weiterhin nur die alten Dateien verwenden. Das Tool müsste in dem Fall dann auch aktualisiert werden.

Wenn ich morgen Zeit finde, werde ich einfach mal den Support von EaseUS kontaktieren und versuchen, das Problem
anzusprechen. Die werden sich ja früher oder später damit beschäftigen müssen.

[Tante Google]

[Blondi_2021]

nun ja unter Absatz " USB-Datenträger aktualisieren " steht ja eigentlich alles was wichtig ist.

[Condor]

Mein Boot-Stick, der noch mit WinPE und dem UEFI CA 2011 erstellt wurde, bootet nun wieder!

Der Tipp zu dieser Webseite war richtig!
https://www.windowspro.de/wolfgang-somm ... ichtlinien

Zusammenfassung:

1)
Das (neue) UEFI CA 2023 Zertifikat muss auf dem Host-Rechner bereits installiert sein.
2)
Windows PowerShell als Admin starten
3)
Folgende Befehle nacheinander eingeben (Wobei hier D als USB-Laufwerk angegeben ist- ggf. anpassen!):

Code: Alles auswählen

copy d:\efi\microsoft\boot\bcd d:\efi\microsoft\boot\bcd.bak

Code: Alles auswählen

bcdboot c:\windows /f UEFI /s D: /bootex

Code: Alles auswählen

copy d:\efi\microsoft\boot\bcd.bak d:\efi\microsoft\boot\bcd

Danach sollte der Stick wieder booten.
Das hat bei mir mit EaseUS Todo Backup Home funktioniert.
Den Stick von Macrium Reflect werde ich nach dem gleichen Muster bearbeiten.

Noch ein Tipp von mir:
Wenn jemand, so wie ich noch zusätzlich einen Stick mit einem Windows-Wiederherstellungslaufwerk hat,
sollte auch dies neu erstellen lassen, denn auch das bootet mit einem zurückgezogenen UEFI CA 2011 nicht mehr.

[Condor]

Bei meinem ca. 10 Jahre alten "Backup-PC", auf dem Windows 11 ohne TPM läuft, sieht es so aus:

Orenge1.jpg

Bei der Abfrage mit dem Script "Check Windows state.cmd" so:

Orenge2.jpg

Demnach müsste das UEFI CA 2023 installiert bzw. verfügbar sein und der Bootloader in der
Version 7 vorliegen ...
Es bleibt spannend!

[g1428d4dy05]

Bei mir kam gestern ein Windows Update, welches die neuen Zertifikate eingespielt hat. Nach Neustart erhalte ich nicht mehr den 1801 Fehler in der Ereignisanzeige und ich erhalte nun eine 1808 Information in der Ereignisanzeige, die besagt, dass alles okay ist.

[Condor]

Bei mir kam gestern ein Windows Update, welches die neuen Zertifikate eingespielt hat. Nach Neustart erhalte ich nicht mehr den 1801 Fehler in der Ereignisanzeige und ich erhalte nun eine 1808 Information in der Ereignisanzeige, die besagt, dass alles okay ist.

Schön.
Es geht voran.

[g1428d4dy05]

Das Update heißt übrigens "Update der zulässigen Signaturdatenbank (DB) für sicheren Start"

[DK2000]

Wobei ich das Update immer noch nicht zu fassen bekommen habe. Regulär über Windows Update scheint das nicht zu kommen. Und was es genau macht, weiß ich auch nicht. Ich vermute fast schon, das trägt nur einen Wert in der Registry ein.

@Condor:

Bei Dir fehlt nur nach das (SVN update):

Code: Alles auswählen

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

Code: Alles auswählen

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Der Rest passt so weit.

[Sam2]

So sieht das bei mir aus installiert 02.10.25 / 12.02.26

[DK2000]

Das sagt nichts aus. Das habe ich auch in Windows 10 und nützt mir da gar nichts, weil der Laptop kein UEFI hat. Windows muss den Kram da in das UEFI übertragen. Daher das andere Skript weiter oben, welcher die UEFI-Variablen ausliest. SecureBoot muss natürlich dafür aktiviert sein.

[Sam2]

Wenn ich das Script ausführe starten meine PE- Partitionen nicht mehr da die unteren drei None dann auch grün abgehakt sind.

[DK2000]

Passt ja eigentlich auch so weit. Sieht bei meiner 28000 auch so aus. "Option ROM" und "SVN" fehlt noch. Mal schauen, ob das hier auch irgendwann kommt. Das Wichtigste passt ja so weit:

Code: Alles auswählen

Windows version: 26H1 (Build 28000.1575)

UEFISecureBootEnabled    : 1
AvailableUpdates         : 0x5800
UEFICA2023Status         : InProgress
WindowsUEFICA2023Capable : Windows UEFI CA 2023 cert is in DB, system is starting from 2023 signed boot manager

bootmgfw version         : 10.0.27954.300 (WinBuild.160101.0800)
bootmgfw signature CA    : Windows UEFI CA 2023
bootmgfw SVN             : 7.0

bootmgr version          : 10.0.27954.300 (WinBuild.160101.0800)
bootmgr signature CA     : Microsoft Windows Production PCA 2011
bootmgr SVN              : 7.0

memtest version          : 10.0.28000.1 (WinBuild.160101.0800)
memtest signature CA     : Microsoft Windows Production PCA 2011

Nur wird das Update nicht abgeschlossen, weil:

Code: Alles auswählen

The Secure Boot update failed to update Option ROM CA 2023 (DB) with error Das System kann die angegebene Datei nicht finden..

Code: Alles auswählen

The Secure Boot update failed to update SBAT with error Das System kann die angegebene Datei nicht finden..

Mal schauen, ob da noch irgendwas kommt. Mit der 25H2/26H2 hat aber mittlerweile alles geklappt.

[Condor]

So sieht das bei mir aus installiert 02.10.25 / 12.02.26

So bei mir:

Screenshot 2026-02-17 085055.png

Irgendwie alles etwas merkwürdig. Allein schon wegen dem Datum.

[Condor]

Das Update heißt übrigens "Update der zulässigen Signaturdatenbank (DB) für sicheren Start"

So sah das bei mir aus:

Screenshot 2026-02-09 174350.png

[Condor]

Passt ja eigentlich auch so weit. Sieht bei meiner 28000 auch so aus. "Option ROM" und "SVN" fehlt noch. Mal schauen, ob das hier auch irgendwann kommt. Das Wichtigste passt ja so weit:

Das Script scheint das/die SVN anscheinend auch nicht immer korrekt auszulesen.
In meinem Beitrag vom "16.02.2026, 10:26" wird die Version auch nur in der zweiten Script-Abfrage angezeigt.

Interessant finde ich auch, dass das "Microsoft Option ROM UEFI CA 2023" bei meinem ca. 10 Jahre alten
PC sofort in grün abgehakt war!?

Ich meine, wenn „Current“ DB und KEK das CA 2023 anzeigen, es grundsätzlich auch ausreichen müsste.