Leidiges Thema Secure Boot Zertifikate [Hilfe]

[g1428d4dy05]

D.h. es ist nur ein vorbereitendes Update gewesen und es kommt noch was?

[Tante Google]

[moinmoin]

Abgeschlossen ist das Thema noch nicht. Kommt bei jedem darauf an, was schon installiert ist und was nicht.

[bodu]

Ein Planspiel für die Zukunft:

Gegeben
Alter Rechner mit altem UEFI: CA2011 im UEFI Default Tabelle, kein CA2023 in der Tabelle Der CA2023 bootloader ist gesetzt.
Es wurde CA2023 KEK und DB, CA2011 in dbx und SVN gesetzt. Der Rechner bootet mit CA2023.

Aus irgendeinem Grund wird ein UEFI reset gemacht.
UEFI secure boot reset und load factory default keys: CA211 ist aktiv.

Der Rechner bootet nicht mehr, da CA 2023 im UEFI fehlt, secure boot schlägt fehl.

Die Reparaturanwendung SecureBootRecovery.efi schreibt das Zertifikat „Windows UEFI CA 2023“ erneut. Secure boot CA2011 kann aktiv sein.
https://support.microsoft.com/de-de/top ... ff139f832d

Mit einem FAT formatierten USB Stick D:

Code: Alles auswählen

md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi D:\efi\boot\bootx64.efi

Vom USB Stick gebootet wird CA 2023 wird in die DB gesetzt.
Ein Neustart vom Rechner ist möglich.

CA 2023 Einträge sind noch in KEK und DBX zu sezten.

https://hitco.at/blog/uefi-secureboot-d ... tallieren/
Angepasst an die Reparaturanwendung:

Code: Alles auswählen

$RegSecureBoot = Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot"
Write-Host "AvailableUpdates hat derzeit den Wert: 0x$($RegSecureBoot.AvailableUpdates.ToString("X"))"

$RegValue = 0x0
$RegValue += 0x0004 # look for a Key Exchange Key signed by the device’s Platform Key (PK)
#$RegValue += 0x0040 # add the Windows UEFI CA 2023 certificate to the Secure Boot DB.
#$RegValue += 0x0800 # apply the Microsoft Option ROM UEFI CA 2023 to the DB
#$RegValue += 0x1000 # apply the Microsoft UEFI CA 2023 to the DB
#$RegValue += 0x4000 # 0x800 and 0x1000 if it finds Microsoft Corporation UEFI CA 2011 already in the DB.
$RegValue += 0x0002 # apply DBXupdate.bin
$RegValue += 0x0080 # apply DBXUpdate2024.bin CA2011 in DBX, and SVN 2.0 
$RegValue += 0x0200 # apply DBXUpdateSVN.bin, increase SVN to monthly update 
Write-Host "Setze AvailableUpdates auf: 0x$($RegValue.ToString("X"))"

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value $RegValue
 
$StartTimeStamp = (Get-Date).AddSeconds(-1)
$StartTimeStamp
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Start-Sleep -Seconds 30

$RegSecureBoot = Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot"
Write-Host "AvailableUpdates hat derzeit den Wert: 0x$($RegSecureBoot.AvailableUpdates.ToString("X"))"
Get-WinEvent -FilterHashtable @{ProviderName='microsoft-windows-tpm-wmi'; StartTime=$StartTimeStamp } -ErrorAction SilentlyContinue | Format-Table -Wrap -AutoSize

[Thorben]

#bodu
NICHT ohne 0x5944 und ONLINE

0x5944 : Stellen Sie alle erforderlichen Zertifikate bereit, und aktualisieren Sie den PCA2023 signierten Start-Manager.

Code: Alles auswählen

https://support.microsoft.com/de-de/topic/registrierungsschl%C3%BCsselupdates-f%C3%BCr-den-sicheren-start-windows-ger%C3%A4te-mit-it-verwalteten-updates-a7be69c9-4634-42e1-9ca1-df06f43f360d

[bodu]

#bodu
NICHT ohne 0x5944

securebootrecovery.efi ist ein Fix unter gewissen Vorraussetzungen, 0x5944 bereists in der Vergangenheit durchgelaufen und vom Endanwender das UEFI auf einem alten Rechner resettet.

Nach dem securebootrecovery.efi Fix startet der Rechner mit PCA2023 signierten Start-Manager, 0x5944 ist hier nicht erforderlich, der PCA2023 signierten Start-Manager muss nicht nochmals installiert werden.

[DK2000]

"securebootrecovery.efi" versucht halt, auf UEFI-Ebene dass "Windows UEFI CA 2023" Zertifikat erneut in die DB einzutragen. Alternativ müsste man den Bootmanager wieder austauschen, sofern man das CA 2011 noch nicht blockiert hat. Ansonsten ist das Tool die einzige Möglichkeit, das System wieder zum Booten zu bewegen, sofern man das Zertifikat installiert bekommt. Alternativ SecureBoot deaktivieren oder einen vollständigen Reset machen und CA 2011 wieder aus der DBX streichen.

[Thorben]

bodo vote:
Aus irgendeinem Grund wird ein UEFI reset gemacht.
UEFI secure boot reset und load factory default keys: CA211 ist aktiv.

DK2000 vote:
Ansonsten ist das Tool die einzige Möglichkeit, das System wieder zum Booten zu bewegen
-----------------------------------------------------------------------------------------------------
Es gibt immer eine Alternative:
Der PC ist Online und mit den richtigen CMD-Befehlen wir alles neu installiert (nach einem User UEFI-Reset ), das funktioniert aber nur wenn auch 0x5944 mit genutzt wird und das BIOS Online unterstützt, so wie bei mir. Nach dem zweiten Neustart ist die Fehlermeldung dann weg und der PC startet die 25H2, schon alles getestet und bei meiner Hardware möglich.

[DK2000]

@Thorben:

Deine Alternative ist zwar schön und gut, aber die funktioniert nur, wenn Windows mit aktiviertem SecureBoot noch bootet. Führt man so ein UEFI Reset durch und das "Windows UEFI CA 2023" befindet sich danach weder in der Default DB noch in der Current DB, wird Windows nicht mehr starten, solange der Bootmanager mit den CA 2023 installiert ist. Das UEFI blockiert dann hier den Start von Windows.

Windows bootet in so einem Fall dann nur, wenn man SecureBoot deaktiviert. Hier lassen sich dann aber die neuen Zertifikate nicht einspielen. Von hier aus müsste man also zuerst den alten Bootmanager mit dem CA 2011 Zertifikat wieder installieren, sofern das Zertifikat nicht als gesperrt in der DBX steht bzw. der UEFI-Reste entfernt es dort. Ist das Zertifikat gesperrt, wird Windows von hier aus mit aktiviertem SecureBoot auch nicht mehr starten.

Wenn bei Dir der BootManager mit dem CA 2023 Zertifikat installiert ist, Du einen UEFI-Reset machst (load factory default keys) und das besagte CA 2023 Zertifikat weder in der Default DB noch in der Current DB. steht, wird Windows mit aktiviertem SecureBoot nicht mehr starten. Wenn das bei Dir aber der Fall ist, dann funktioniert Dein SecureBoot nicht wie erwartet oder Du hast etwas übersehen,

[Thorben]

Hey, DK2000
meine AI-Hardware erkennt solche Fehler (AI-BIOS, SecureBoot) und deaktiviert SecureBoot dann automatisch wenn nötig, ist ein Intel&MSFT-Prototype, vom Mike erhalten - Benny hat das MB auch.

[Kulle9935]

Guten Morgen
Ich hätte da auch eine Frage an die Experten.
Asus Prime B550 Plus Mainboard + Win11 25h2 beides aktuell. Version 3636 2026/01/27
Ich habe mal nach den Zertifikaten geschaut und ich kann das KEK Microsoft UEFI CA 2023 nicht finden.
Alles andere siehe Screenshot scheint da zu sein.
Unter: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) `
-match 'Windows UEFI CA 2023'
wird aber True ausgegeben. Verstehe ich nicht.

Screenshot 2026-04-10 091526.jpg

Was kann oder muss ich da machen? Das Board ist Herstellungsjahr 2022. Und Asus scheint kein BIOS Update bereitzustellen.
Da brauche ich Eure Hilfe, da ich mich da nicht so gut auskenne.
Danke Euch.

[DK2000]

Code: Alles auswählen

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'

Das dürfte "False" ergeben, weil das fehlt neben den SVN Einträgen noch. Der ganze Rest ist vorhanden, auch das KEK.

Obwohl besagtes Zertifikat steht bei Dir in der Default DB.

Warum Dir da jetzt noch was fehlt, kann ich Dir nicht sagen. Eventuell steht in der Registry was dazu:

Code: Alles auswählen

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Ansonsten abwarten oder noch einmal manuell anstoßen.

Code: Alles auswählen

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x1000 /f

Code: Alles auswählen

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Neustart. Das sollte das fehlende "Microsoft UEFI CA 2023" Zertifikat einspielen, sofern es keinen Hinderungsgrund gibt.

Mit den SVN würde ich erst einmal überprüfen, ob auch wirklich der aktuelle Bootsanhänger installiert ist. Sollte aber der Fall sein. Aber sicher kann man sich da nicht sein.

[bodu]

Ich habe mal nach den Zertifikaten geschaut und ich kann das KEK Microsoft UEFI CA 2023 nicht finden.
Alles andere siehe Screenshot scheint da zu sein.

Das KEK Zertifikat nennt sich ähnlich, der Screenshot zeigt 'Microsoft Corporation KEK 2K CA 2023'

Mit dem März 2026 WindowsUpdate

Code: Alles auswählen

(Get-SecureBootUEFI -Name PK -Decode).Subject
(Get-SecureBootUEFI -Name PKdefault -Decode).Subject

(Get-SecureBootUEFI -Name KEK -Decode).Subject
(Get-SecureBootUEFI -Name KEKdefault -Decode).Subject

(Get-SecureBootUEFI -Name DB -Decode).Subject
(Get-SecureBootUEFI -Name DBdefault -Decode).Subject

(Get-SecureBootUEFI -Name DBX -Decode).Subject
(Get-SecureBootUEFI -Name DBXdefault -Decode).Subject

[Kulle9935]

@Bodo,@DK2000
Danke für Eure Antwort. Sieht jetzt so aus. Allerdings steht jetzt in der Registry folgender Eintrag mit drin.
ConfidenceLevel Under Observation - More Data Needed.
Was bedeutet das? hat das was mit dem Senden von Diagnose Daten zutun? Die habe ich abgestellt.

Screenshot 2026-04-11 084838.jpg

Screenshot 2026-04-11 083947.jpg

Was bedeutet der Schlüssel: AvailableUpdates 0x00004000 (16384) das steht in der Registry noch drin
müsste da nicht "0" oder so drin stehen?

[bodu]

Allerdings steht jetzt in der Registry folgender Eintrag mit drin. ConfidenceLevel Under Observation - More Data Needed.

Ignoriere das.

Was bedeutet der Schlüssel: AvailableUpdates 0x00004000 (16384) das steht in der Registry noch drin
müsste da nicht "0" oder so drin stehen?

Der 0x4000 Flag wurde manuell angefordert, wurde verwendet und bleibt für zukünfige Updates erhalten.
Siehe 0x4000 https://support.microsoft.com/de-de/top ... 76db65ab2f

Was hast du vor? Welche Änderungen willst du setzen? Da schein noch der CA 2011 Boot Manager aktiv zu sein.

[DK2000]

Ob der Bootmanager mit CA 2011 noch aktiv ist, lässt sich so nicht ermitteln. Er wird verwenden, wenn i der Registry steht:

Code: Alles auswählen

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing]
"WindowsUEFICA2023Capable"=dword:00000002

In dem Falle könnte man auch SVN in die DBX einttragen:

Code: Alles auswählen

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

Code: Alles auswählen

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Das Sperren des CA 2011 ist noch nicht erforderlich. Kann man zwar manuell machen, aber bringt halt derzeit noch Nachteile mit sich, die man berücksichtigen. Selbst Microsoft hat noch nicht alles so weit aktualisiert, dass das ohne Probleme zu machen geht. Bootdatenträger auf Windows PE Basis müssten manuell aktualisiert werden, damit die dann auch den Bootamanager mit CA 2023 verwenden. Das betrifft derzeit auch noch die original Microsoft ISOs. Gut, ist jetzt nicht allzu schwierig das zu machen, aber man muss dann halt dran denken. Ansonsten bootet am Ende der Datenträger für das Backup nicht mehr.

Ach so, und 0x4000 wurde mittlerweile bei mir automatisch durch 0x402 ersetzt. Keine Ahnung, was das genau bedeutet. In der Registry sieht es so aus:

Screenshot 2026-04-11 120149.png

Und auch Windows-Sicherheit ist der Ansicht, dass alles so weit passt.

Screenshot 2026-04-11 120343.png

Mal weiter beobachten, was der da so automatisch so treibt.