Leidiges Thema Secure Boot Zertifikate [Hilfe]

[bodu]

Ist mein HP-Gerät ist auf einer Liste von Systemen, bei denen ein Secure-Boot-Update Probleme machen könnte?

Das deutet auf einen Sonderfall, das HP UEFI kann Änderungen blockieren.
Gibt es Einträge in de Ereignisanzeige, System, Filter Quelle TPM-WMI
Z.B. "The Secure Boot update KEK 2023 was blocked due to a known firmware issue on the device.

Manchmal lässt sich das KEK CA 2023 im HP UEFI einspielen, oder im Setup Mode Signaturen einspielen.
Gibt es ein Bitlocker Wiederherstellungsschlüssel?

Edited:
Welches HP-Gerät wird verwendet? Für alte Geräte bietet HP kein BIOS Update, ein manuelle Lösung wird in Aussicht gestellt.
Support for HP PCs outside of service life
https://support.hp.com/us-en/document/i ... 3070429-16

[Tante Google]

[John-Boy]

Welches HP-Gerät wird verwendet?

HP ProBook 470 G5 mit BIOS 01.31.00 Rev.A vom 11. Feb. 2025 (gibt kein neueres)
in der Ereignisanzeige sind keine Einträge
Bitlocker ist deaktiviert

Muss ich wohl auf eine Lösung von HP warten

[DK2000]

Die Einträge in der Registry sind eventuell etwas ausführlicher:

Code: Alles auswählen

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Aber da dürfte jetzt auch nur drinstehen, dass es auf "Pause" steht. Aber eventuell steht da der Grund, warum das so ist. Aus irgendeinem Grund hat die gesammelte Telemetrie ergeben, dass ein automatisches Update bei dem Gerät gar nicht oder nicht zuverlässig möglich ist. Aber das kann dann letztendlich nur Microsoft zusammen mit HP klären.

Und wie es bodu schon geschrieben hat, wenn ds UEFI-Setup eine Option dafür bietet, könnte man auch versuchen, die .bin Dateien manuell in das UEFI zu schreiben. Aber das ist auch nicht so einfach. Gerade nach dem April Update ist das etwas unübersichtlich mit dem .bin Dateien geworden. Bis März war das noch einfacher.

[John-Boy]

Die Reg. sieht so aus

[DK2000]

Der steht auf "Pause". Wird kein Update installieren und das System bootet noch mit dem CA 2011. Da hilft nur abwarten. Aber wenigstens wird dadurch auch der Widerruf des CA 2011 nicht ausgeführt.

[bodu]

Die Reg. sieht so aus

Da ist ein KEKLastUpdateError gesetzt.

Hat HP KEK bereitgestellt?
Lese die SerialNumber vom PK Platformkey aus.

Code: Alles auswählen

(Get-SecureBootUEFI -Name PK -Decode).SerialNumber

Gibt es die Nummer (ohne führende Nullen) in der KEK Update Liste?https://github.com/microsoft/secureboot ... e_map.json

Bin erst mal zwei, drei Tage weg...

[bodu]

HP ProBook 470 G5 mit BIOS 01.31.00 Rev.A vom 11. Feb. 2025

Hat HP beim BIOS 01.31.00 Rev.A Upate ein CA 2023 Zertifikat zur KEKdefault und DBdefault hinzugefügt?
(Get-SecureBootUEFI -Name KEKdefault -Decode).Subject | Select-String -Pattern "CA 2023"
(Get-SecureBootUEFI -Name DBdefault -Decode).Subject | Select-String -Pattern "CA 2023"
(Get-SecureBootUEFI -Name KEKdefault -Decode).Subject
(Get-SecureBootUEFI -Name DBdefault -Decode).Subject

Muss ich wohl auf eine Lösung von HP warten

Gibt es ein aktiven Punkt im HP UEFI:
Reiter Security / BIOS Sure Start / Sure Start Secure Boot Keys Protection.

Das UEFI blockiert Secure Boot Änderungen mit dieser Einstellung.
Diese Einstellung kann nur lokal am Laptop geändert werden.
Deaktiviere den Punkt im UEFI, um Änderungen zu erlauben.