Leidiges Thema Secure Boot Zertifikate [Hilfe]

[DK2000]

Bei mir gibt es die Dateien nicht (25H2, 26H1, jeweils Retail, April Update). Nur "EFI" und "System Volume Information", Keine Ahnung, warum da bei Dir die Dateien existieren oder wer die da reinkopiert hat. Eventuell irgendein Tool oder so, Wüsste aber nicht welches.

[Tante Google]

[Opa Olaf]

Ich vermute das es mit dem UEFI Recover Tool zusammen hängt.
viewtopic.php?t=34066&start=135#p457279
In der Registry steht immer noch "Under Observation" Aber bei Status "Updated"

[DK2000]

Möglich. Hatte auch mal SecureBootRecovery.efi Tool getestet, aber habe da nicht darauf geachtet, ob das irgendetwas in der ESP hinterlässt. Könnte aber schon sein. Aktuell habe ich da jedenfalls diese Dateien nicht.

[Opa Olaf]

Ich werde mal diese Dateien ins Nirvana schicken evtl. sind es ja Dateileichen. Backup vorhanden.
Danke Dir und schönen Sonntag.

[Opa Olaf]

Nach dem Löschen sind keine Veränderung aufgetreten Windows und Linux Booten normal.
Ich konnte nachvollziehen wo diese Dateien hergekommen sind. Im erweiterten UEFI Setup unter Secure Boot ist es möglich sich die Certificate anzuschauen und auch als Kopie abzuspeichern, welches in dieser Startpartition geschieht ohne Warnung.
Also wieder mal zu viel rumgefummelt von meiner einer und hat auch nichts mit dieser Sache hier zu tun.

[Thorben]

dann habe ich nur 278 Einträge im UEFI

hp 278 + 3
https://ibb.co/LD5Bryvy

[Bernd95]

Jetzt haben wir "den Salat" ich wollte heute ein Clean-Install durchführen. Mit dem aktuellen MS-MCT-Tool die 8246 rutergeladen auf USB-Stick -"wie immer der gleiche" und nun kein booten mehr möglich vom dem USB-Stick. Setup bleibt stehen beim Start "Secure-Boot mit einer Fehlermeldung". Andere USB-Sticks mit der selben Fehlermeldung. Setup von System-SSD läuft aber durch, von USB nicht mehr. ?!

Secure-Boot abschalten auch ohne erfolg. Meldung kommt dann abschalten nicht zulässig.
Ist ein hp-pc

[DK2000]

Die ISOs von Microsoft sind da so noch nicht angepasst. Wenn bei DIr bereits alles gesperrt wurde, dann booten die ISOs/Sticks nicht mehr.

Aber USB-Stick lässt sich schnell aktualisieren:

Code: Alles auswählen

copy x:\EFI\Microsoft\Boot\BCD x:\EFI\Microsoft\Boot\BCD.BAK
bcdboot c:\windows /f UEFI /s x: /bootex
COPY x:\EFI\Microsoft\Boot\BCD.BAK x:\EFI\Microsoft\Boot\BCD

x: durch den Buchstaben das USB-Sticks ersetzen. Danach verwendet der Stick den Bootmanager mit den CA 2023 Zertifikat uns sollte normal booten.

[Opa Olaf]

Interessant wäre auch Rufus in der aktuellen Version mit KEK 2023 Unterstützung zu testen, ob das so funktionieren würde.

[DK2000]

Rufus 4.14 geht auch, wenn man die Option aktiviert. Nur mit der "SkuSiPolicy.p7b" wäre ich da vorsichtig. Kann ich aber auch nicht wirklich testen, da ich kein VBS verwende. Aber Stick mit CA 2023 Zertifikat erstellen, geht.

Der Trick mit bcdboot ist halt immer dann nützlich, wenn man bereits einen USB-Stick hat, welcher noch den alten Bootmanager verwendet.

[Opa Olaf]

Ok Danke. Ich habe mir bcdboot schon mal gesichert für alle Fälle.

[HAlex]

Welches HP-Gerät wird verwendet?

HP ProBook 470 G5 mit BIOS 01.31.00 Rev.A vom 11. Feb. 2025 (gibt kein neueres)
in der Ereignisanzeige sind keine Einträge
Bitlocker ist deaktiviert

Muss ich wohl auf eine Lösung von HP warten

Hier kommt die Lösung; soeben auf meinem HP ProBook 470 G5 Zertifikate erfolgreich installiert!

In der Tat blockiert HP mit fehlendem SBKPFV3 die Installation der Zertifikate aus Windows heraus und das Bios selbst kennt sie nicht. ABER: eine EFI-Datei darf die neuen Zertifikate einspielen. Folgendes ist zu tun:
1. Windows starten
2. USB-Stick anstecken und mit FAT32 formatieren
3. Auf dem Stick einen Ordner EFI erstellen und darin einen Ordner BOOT
4. Folgende Datei in Windows suchen: C:\Windows\Boot\EFI\SecureBootRecovery.efi und auf den Stick in den Ordner EFI\BOOT kopieren
5. Die kopierte Datei auf dem Stick umbenennen in bootx64.efi
6. Rechner neustarten und im Bios unter SecureBoot den Haken bei "Reset SecureBoot Keys to factory defaults" setzen. Bios-Änderungen speichern.
7. Neustart mit Boot vom USB-Stick. Das System lädt nun die Zertifikate in die Datenbank.
8. Wenn fertig, einfach Neustart und freuen, dass Windows wieder mit Secure-Boot startet.
9. ggf. Check, ob es wirklich geklappt hat. Dafür Terminal als Administrator öffnen und folgendes eingeben:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Es sollte dort true erscheinen.

Aktualisieren: Powershell mit Adminrechten
Get-SecureBootSVN

Veraltete Dateien aktualisieren: Powershell mit Adminrechten
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

danach
Start-ScheduledTask -TaskName „\Microsoft\Windows\PI\Secure-Boot-Update“

danach Systemneustart und ein neuer Check mit dem Secureboot Checker bzw. Get-SecureBootSVN

[bodu]

In der Tat blockiert HP mit fehlendem SBKPFV3 die Installation der Zertifikate aus Windows heraus und das Bios selbst kennt sie nicht. ABER: eine EFI-Datei darf die neuen Zertifikate einspielen.

Gratulation.

Was passierte mit der KEK Tabelle?
In der KEKdefault HP ProBook 470 G5 mit BIOS 01.31.00 Rev.A v war kein CA2023, das BIOS Key Reset wird die kaum in die KEK eingespielt haben.

Hat ein Windows Update oder ein manuller Eingriff die CA 2023 zur KEK hinzugefügt?

Code: Alles auswählen

(Get-SecureBootUEFI -Name KEK -Decode).Subject

nur KEK aktualisieren

Code: Alles auswählen

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x4 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Es gibt mit dem Mai Update unter C:\Windows\SecureBoot\ExampleRolloutScripts Skripte für Rechner an Domänen, für Rechner im Firmenumfeld.
https://support.microsoft.com/en-us/top ... 25c965b8a0
In den Scripten wird AvailableUpdates 0x5944 gesetzt, CA 2023 aktiviert, PCA 2011 noch nicht gesperrt.

Eine Statusanzeige:
C:\Windows\SecureBoot\ExampleRolloutScripts\Detect-SecureBootCertUpdateStatus.ps1
powershell -nop -ep bypass -noexit -f "C:\Windows\SecureBoot\ExampleRolloutScripts\Detect-SecureBootCertUpdateStatus.ps1"

[olfi]

btw: 25H2 - 26200.8457 - SB
Unter: C:\Windows\SecureBoot\ExampleRolloutScripts
sind bei mir hier nun ganz neue ms .ps1 vom 12-05.26 zu finden.

[olfi]

Die sind das hier.
https://ibb.co/tpy0gHLH