Leidiges Thema Secure Boot Zertifikate [Hilfe]

[HAlex]

In der Tat blockiert HP mit fehlendem SBKPFV3 die Installation der Zertifikate aus Windows heraus und das Bios selbst kennt sie nicht. ABER: eine EFI-Datei darf die neuen Zertifikate einspielen.

Gratulation.

Was passierte mit der KEK Tabelle?

Update Summary.jpg

[Tante Google]

[bodu]

@Halex
Der CA2023 KEK Eintrag fehlt. Nicht schön, aber erst mal kein Beinbruch.
Der Microsoft Corporation KEK CA 2011 läuft am 24.06.2026 aus.
Wenn ich das richtig verstehe, werden danach mit CA 2023 signierte dbx Einträge nicht hinzugefügt, das schlägt fehl.
Get-SecureBootSVN bleibt auf dem heutigen oder Juli Update Stand.
Das wird interessant, falls ein CA 2023 SVN * Bootloader in ferner Zukunft aus Sicherheitsgründen blockiert werden soll.
CA 2023 Booten sollte weiterhin möglich sein. Das ist heute Spekulation, nagle mich nicht auf das fest, genaues lässt sich später in der Praxis zeigen.

[HAlex]

...genaues lässt sich später in der Praxis zeigen.
So sehe ich das auch. Muss ja... - Für den Fall der Fälle gibt es aber auch ein Leben ohne Secure Boot.
Das 'harmlos' benutzte HP ProBook meiner Freundin mit 16 GB Ram + SSD läuft letztlich bestimmt auch so noch eine Weile einwandfrei gut. Mit meinem Gigabyte Z790 ist bzgl. Secure Boot eh Alles komplett im grünen Bereich.

[Gerd-W]

#HAlex
schon so per Hand versucht?

Regedit
HKLM SYSTEM CurrentControlSet Control SecureBoot Servicing
ConfidenceUpdateType auf 22852 (Dezimal)

unter Aufgaben - PI - Secure-Boot-Update starten

2x Neustarten

[DK2000]

"ConfidenceUpdateType" kann man nicht ändern. Der wird vom Updater festgelegt und bei jedem Lauf neu ermittelt, so wie der Rest unter "Servicing" auch. Was Du meinst, ist dieser Schlüssel:

Code: Alles auswählen

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot]
"AvailableUpdates"=dword:00005944

Für KEK würde aber auch nur "AvailableUpdates"=dword:00000004 ausreichen. Setzt aber voraus, dass ein passendes KEK in der KEKUpdateCombined.bin enthalten ist und der Updater dieses nicht aus anderen Gründen verweigert. Eine entsprechende Fehlermeldung sollte dann unter "Servicing" vermerkt sein.

[Gerd-W]

Hey, DK2000 ich habe die "ConfidenceUpdateType" so per Hand geändert und nun habe ich mein KEK und permanent eine "ConfidenceUpdateType" dword:00005944, warum sollte das auch nicht überall gehen?!
https://ibb.co/Q3sDzJD8

[DK2000]

Weil das Servicing den Wert setzt und ist abhängig von "BucketHash" und "ConfidenceLevel".

Und so vollständig sieht das unter Servicing nicht aus. Da fehlt irgendwie der Ordner "DeviceAttributes". Der Rest passt aber so weit, außer "ConfidenceUpdateType".

Wenn bei Dir "AvailableUpdates"=dword:00000000 steht, dann wird die Aufgabe nicht ausgeführt, weil es nichts zu tun gibt.

Für "ConfidenceUpdateType" gibt es verschiedene Werte aber wirklich dokumentiert ist der Eintrag nicht. Bei mir steht er auf 0 und alle Updates wurde eingespielt.

[silverstar]

Moin,

wenn im BIOS der "Sichere Start" deaktiviert.
Ist es ja quasi egal ob die Zertifikate aktuell sind und der PC startet trotzdem ab Juni, oder sehe ich das falsch?

[DK2000]

Ja, das geht. Und ich hoffe ja mal, das Microsoft da keine Sperre einbauen wird, die ein Start ohne Secureboot verhindert. Aber im Moment keine Anzeichen für so etwas.

[silverstar]

Dankeschön
Hatte schon befürchtungen, das der eine PC ohne aktives SecureBoot dann nicht mehr startet.

Wie sieht das dann eigentlich aus, wenn ich Secure Boot aktiviere, muss ich Windows 11 dann neuinstallieren. Oder habe ich dann noch all meine Daten

[DK2000]

Nein, Neuinstalliert werden muss da nichts. Wenn Secureboot aktiviert wird, werden dann halt nur die neuen Zertifikate eingespielt und gut. Die Änderung merkt man nicht weiter.