Leidiges Thema Secure Boot Zertifikate [Hilfe]

[DK2000]

Das passt so weit. Hole Dir mal das neuen Skript. Dann passt die Anzeige, Wenn Du bei dem Rechner, wo vermeintlich Einträge fehlen, dann lässt sich das nicht mehr ändern, außer Du nimmst eine alte DBXUpdate.bin. Aber erforderlich ist da nicht.

Auf meinem Screenshot siehst Du auch, dass in der Test-VM 154 Einträge aus März fehlen, aber ab April passt das. Ich habe da auch eine andere VM, da wird beides in Grun angezeigt, da hier das DBX Update schon vor März eingespielt wurde.

So sieht es in der anderen VM aus:

Screenshot 2026-05-22 213522.png

Da wurde das DBX Update vor März eingespielt.

[Tante Google]

[Kulle9935]

Danke DK2000
wo finde ich das? Meinst Du das hier?
Show UEFI PK, KEK, DB und DBX (neu).cmd

[DK2000]

Ich meine das überarbeitete Paket von hier:

https://github.com/cjee21/Check-UEFISecureBootVariables

[Anime On]

Hallo zusammen

Hab bei mir mit cmd gestestet und meine Frage wäre muss ich wegen Target 7 zu 8 was machen und wenn la , was genau muss ich machen ?

Danke im Voraus

[DK2000]

Code: Alles auswählen

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x202 /f

Code: Alles auswählen

Start-ScheduledTask -TaskName „\Microsoft\Windows\PI\Secure-Boot-Update“

Neustart nicht vergessen.

Danach sollte die aktuelle DBX und DBX SVN passen. Der Rest passt ja schon soweit.

[Anime On]

Code: Alles auswählen

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x202 /f

Code: Alles auswählen

Start-ScheduledTask -TaskName „\Microsoft\Windows\PI\Secure-Boot-Update“

Neustart nicht vergessen.

Danach sollte die aktuelle DBX und DBX SVN passen. Der Rest passt ja schon soweit.

Hab vielen Dank heir ein Bild alles grün aber der 2te befehl hat nicht Funktioniert da kamm eine Fehlermeldung von NICHT erkannt hab den PC Trotzdem neugestartet u im Bild ist Alles Grün

Korrektur Habe den Befehl Start-ScheduledTask als Admin in CMD eingegeben gehabt hab jetzt mit Admin über Pshell eingegeben

[Willi11]

bodu, hp Prob mit UEFI DB CA 2023 ?

https://ibb.co/99nY9Ks7

Lösung?

[bodu]

hp Prob mit UEFI DB CA 2023 ?

Vorhanden sind KEK CA 2023, DB, CA 2023, DBX CA 2011 und SVN 8: Für single boot Windows 11 alles klar, keine Probleme

Aktualisiere zusätzlich eventuell vorhandene Bootmedien.

[User555]

Hallo,
habe auf einem älteren System (Gigabyte Z97M-D3H mit i3-4130 / Win11 25H2 Build: 26200.8457) ein Problem mit dem Secure Boot Update.
Sicherer Start ist aktiviert, laut Win Gerätesicherheit werden noch alte Zertifikate verwendet und sollen aktualisiert werden, aber es sind noch nicht genügend Daten vorhanden für ein automatisches Update.
Habe versucht mit den "Check-UEFISecureBootVariables" die Updates manuell anzustoßen, hat nur teilweise geklappt. Resultat siehe Screenshot CheckCA2023.
Problem ist jetzt, der Rechner friert immer nach ein paar Minuten ein und lässt sich nur mit Drücken des Power Button neu starten. Wenn ich die Aufgabe "\Microsoft\Windows\PI\Secure-Boot-Update" deaktiviere oder im Abgesicherten Modus starte gibt es kein Einfrieren.

Kann ich als "Laie" da groß was machen oder muss ich auf ein zukünftiges Microsoft Sicherheits Update hoffen?

Hier wird ein ähnliches Verhalten beschrieben, anderes System und Win10: https://community.medion.com/t5/Desktop ... d-p/187135
Die komplizierte Lösung dazu:
https://community.medion.com/t5/Betrieb ... m-p/187780

Screenshot 2026-06-04 104540.png

Screenshot 2026-06-04 104221.png

[DK2000]

Und wie sieht es nach Neustart aus? Bleibt es dabei?

[bodu]

Gigabyte Z97M-D3H mit i3-4130 / Win11 25H2 Build: 26200.8457

Kann ich als "Laie" da groß was machen oder muss ich auf ein zukünftiges Microsoft Sicherheits Update hoffen?

PK By OEM 'TestSub' zeigt einen Testschlüssel, dazu gibt es keinen signierten KEK CA 2023 Eintrag.
Windows Update kann da nichts machen, da muss erst Gigabyte die Vorarbeit leisten.
Ein BIOS Update von Gigabyte ist angebracht, wird wahrscheinlich nicht kommen.
Zusätzlich gibt es korrupte Tabellen im NVRAM.

Im UEFI wären die secure boot Einträge zu löschen und und im Secure Boot Setup Mode zu setzten. Danach die PK und KEK zu schreiben.
Auf einem Core I 4.Generation Rechner, BIOS von 2015, mit Windows 11 könnte man in dem Fall auch Secure Boot ausschalten.

[User555]

Und wie sieht es nach Neustart aus? Bleibt es dabei?

Neustart hab ich mehrmals gemacht, ändert leider nichts.

Windows Update kann da nichts machen, da muss erst Gigabyte die Vorarbeit leisten.
Ein BIOS Update von Gigabyte ist angebracht, wird wahrscheinlich nicht kommen.

Ok Danke, dann werde ich abwarten und zur Not den Secure Boot deaktivieren.
Bei einem AsRock Z97 Extreme3 kommt das gleiche Verhalten mit dem Einfrieren, dann weiß ich auch da Bescheid.
Zwei Asus Boards (Z97-A und Z97I-Plus) haben die Secure Boot Updates automatisch im Hintergrund gemacht, da hatte ich wohl Glück.

Zusätzlich gibt es korrupte Tabellen im NVRAM.

Im UEFI wären die secure boot Einträge zu löschen und und im Secure Boot Setup Mode zu setzten. Danach die PK und KEK zu schreiben.

Diese korrupten Tabellen im NVRAM lassen sich mit den Standardeinstellungen im Speichern & Beenden Reiter wiederherstellen?

Im UEFI finde ich keine Option die Secure Boot Einträge zu löschen. Wahrscheinlich müsste ich erst die Standard Schlüssel installieren, danach gab es glaub die Möglichkeit sie zu löschen.

Es gibt noch den Menüpunkt Abbildausführungsrichtlinie, muss ich da was aktivieren?

260605112749.png

260605112835.png

260605112914.png

260605112823.png

260605115931.png

[bodu]

Im UEFI finde ich keine Option die Secure Boot Einträge zu löschen. Wahrscheinlich müsste ich erst die Standard Schlüssel installieren, danach gab es glaub die Möglichkeit sie zu löschen.

Die Standard Schlüssel sind Bestandteil vom BIOS, nicht änderbar. Bei einem BIOS Reset werden die Einträge in das NVRAM geladen, das sind die aktiven Schlüssel und können geändet werden.

In der Schlüsselverwaltung zeigt wohl nur die Schlüssel im NVRAM dar. Hier sollten sich die Schlüssel ändern lassen.
Bei Neugierde lässt sich das ausprobieren.
Bei den BIOS Bildern würde ich DBX löschen, DB löschen, KEK, löschen PK löschen,

Einen PK aus Datei festlegen oder beziehen. Mit Glück wird das *.der Dateiformat akzeptiert
https://github.com/microsoft/secureboot ... ertificate

Und die beiden KEK hinzufügen
https://github.com/microsoft/secureboot ... tificates/

Das UEFI liest wahrscheinlich nur FAT, probiere eine FAT32 formatierten USB Stick.

DB und DBX sollte dann über Windows Update hinzugefügt werden können.
Die DBX ist seit April etwas kleiner, etwa 250 Einträge.
Jedoch kann das wieder in korrupte NVRAM Einträge münden.

[Willi11]

hp Prob mit UEFI DB CA 2023 ?

Vorhanden sind KEK CA 2023, DB, CA 2023, DBX CA 2011 und SVN 8: Für single boot Windows 11 alles klar, keine Probleme

Aktualisiere zusätzlich eventuell vorhandene Bootmedien.

11 Bootmedien aktualisiert und AMI F.30 (Bios hp SSID 08B4E - Update sp173251) löste heute das Problem, thx bodu
siehe:
https://ibb.co/xq9VCDzG

[User555]

In der Schlüsselverwaltung zeigt wohl nur die Schlüssel im NVRAM dar. Hier sollten sich die Schlüssel ändern lassen.
Bei Neugierde lässt sich das ausprobieren.
Bei den BIOS Bildern würde ich DBX löschen, DB löschen, KEK, löschen PK löschen,

Einen PK aus Datei festlegen oder beziehen. Mit Glück wird das *.der Dateiformat akzeptiert
https://github.com/microsoft/secureboot ... ertificate

Und die beiden KEK hinzufügen
https://github.com/microsoft/secureboot ... tificates/

PK und KEK aus der Github Quelle hinzufügen hat nicht geklappt, es kam eine Failed Meldung. War wohl das falsche Dateiformat.