Leidiges Thema Secure Boot Zertifikate [Hilfe]

[moinmoin]

Current reicht auch. Das ist die Version die derzeit verwendet wird.

[Tante Google]

[g1428d4dy05]

Das Update heißt übrigens "Update der zulässigen Signaturdatenbank (DB) für sicheren Start"

So sah das bei mir aus:


Screenshot 2026-02-09 174350.png

Ist das dann wieder ein anderes Update? Oder wird es mehrere geben? Beim Test mit dem CMD-Skript ist bei mir aber auch nicht alles grün. Zum Beispiel ist bei "Current UEFI DVX" nur der erste Punkt grün und der Rest rot, wie hier.

Screenshot 2026-02-17 101257.jpg

Aber in der Ereignisanzeige ist der 1801 Fehler weg und ich habe jetzt das 1808 Event.

Wird da noch was kommen? Oder wie weiß ich, ob bei mir jetzt alles okay ist?

[DK2000]

"Secure Version Number (SVN)" wurde halt noch nicht in das UEFI eingetragen. Das geschieht normalerweise über "AvailableUpdates=0x200). Die Dabei "DBXUpdateSVN.bin" ist eigentlich auch vorhanden, aber irgendwie klappt das nicht immer und überall. Warum weiß ich auch nicht.

Im Januar hatte ich das auch noch mit der 26H2 (26300) im Dev. Nach dem letzten kumulativen Update hat es dann aber doch geklappt. 25H2 ist so weit auch durch. Jetzt fehlt nur noch die 26H1 (Retail und Canary).

Solange SVN nicht in der DBX eingetragen wurde, ist es egal, welche SVN der Bootmanager verwendet. Das wird dann seitens des UEFI nicht weiter überprüft.

[g1428d4dy05]

Bedeutet das mir dem SVN aber, dass hier noch was passieren muss, dass der Wechsel der Zertifikate komplett durch ist?

[Grobi847]

Das sind meine Werte in der Reg-DB

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\AvailableUpdates Daten = 0
0 oder nicht festgelegt: Es wird keine Aktualisierung des Schlüssels für den sicheren Start ausgeführt

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\UEFICA2023Status Daten = Updated
Aktualisiert: Das Update wurde erfolgreich abgeschlossen.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\WindowsUEFICA2023Capable Daten = 2
2 – Das Zertifikat "Windows UEFI CA 2023" befindet sich in der Datenbank, und das System beginnt mit dem signierten Start-Manager 2023.

[DK2000]

Bedeutet das mir dem SVN aber, dass hier noch was passieren muss, dass der Wechsel der Zertifikate komplett durch ist?

Ja, das sollte noch passieren. Mit der 25H2/26H2 ist jetzt alles durch bei mir. Alles grün, auch die SVN Einträge. Lediglich gesperrt wurde noch nichts. CA2011 sind weiterhin gültig. Aber das passiert dann bestimm irgendwann ab Juni 2026, so wie es Microsoft beschrieben hat.

Und wie das mit der 26H1 weiter geht, muss man abwarten. Die hinkt wohl noch etwas hinterher.

@Grobi847:

Passt so weit auch, nur das bei Dir das CA2011 bereits gesperrt wurde. Das kann dann mit dem einen oder anderen Bootemdium zu Problemen führen. Die müsste man dann bis auf weiteres manuell updaten.

[Grobi847]

@DK2000

Das mit den Bootmedien habe ich mit folgenden Befehlen gelöst.

COPY G:\EFI\MICROSOFT\BOOT\BCD G:\EFI\MICROSOFT\BOOT\BCD.BAK

bcdboot c:\windows /f UEFI /s G: /bootex

COPY G:\EFI\MICROSOFT\BOOT\BCD.BAK G:\EFI\MICROSOFT\BOOT\BCD

Bei mir gibt es keine Probleme mehr. Alles läuft zu meiner Zufriedenheit.
Der Rest erledigt sich dann im Juni.

[g1428d4dy05]

Anbei nochmal mein aktuellen Status in Bildern? Soweit ich hier erfahren habe, wird noch ein Update kommen oder?

Screen 1.png

Screen 2.png

Screen 3.png

[moinmoin]

Muss ja auch noch (mindestens eins), um die alten Zertifikate abzuschalten

[g1428d4dy05]

Guten Morgen,
werden bei HyperV VM auch die Zertifikate automatisch installiert. Aktuell erhalte ich dort einen Fehler: TPM‑WMI‑Fehler mit Ereignis-ID 1040.

[Vectorprime]

bei mir sieht es so aus zur zeit
https://ibb.co/LhNV9ZZv
ich habe mal aus langerweile mein Os neu installiert mit Rufus und gesagt das er die neuen Zertifikate nutzen soll gab keinerlei probleme bei der installation oder danach. Danke Noch mal an Moinmoin für die info mit dem Thread hier

[Vectorprime]

Hallo Danke an alle für die infos und erklärungen aber ich bekomme das erlichgesagt nicht so hin das alles grün wird o sollte o müsste , hier nochmal ein Bild von Check UEFI PK, KEK, DB and DBX.cmd
Ich hoff das es soweit passt das ich kein stress bekomme in Juni

laut moinmoin sind die beiden die bei dir rot sind die die von ms noch via update kommen bei mir sieht es genau so aus wie bei dir

[moinmoin]

Solange bei Current alles ok ist, brauchst du dir keine Gedanken zu machen.
Der Rest kommt dann sicherlich noch,

[Grobi847]

@Vectorprime

Was für Werte stehen bei dir in der Reg-DB in den betreffenden Keys?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\AvailableUpdates

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\UEFICA2023Status

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\WindowsUEFICA2023Capable

[Vectorprime]

@Vectorprime

Was für Werte stehen bei dir in der Reg-DB in den betreffenden Keys?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\AvailableUpdates

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\UEFICA2023Status

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\WindowsUEFICA2023Capable

da schau ich gerne mal nach wenn ich gleich wieder zu Hause bin