Leidiges Thema Secure Boot Zertifikate [Hilfe]

[Mario]

Beispiel: Notebooks HP G4 Notebook/PC
VERBESSERUNGEN:
- Fügt einen neuen Eigentumsstatus für Secure-Boot-Zertifikate (Stand 2023) hinzu, um zu erfassen,
ob die Zertifikatseinstellungen den Microsoft-Standardwerten entsprechen oder vom Benutzer geändert wurden.
Wenn Zertifikate geändert werden (hinzugefügt, deaktiviert oder gelöscht), übernimmt das HP BIOS die Kontrolle über die Richtlinien, um Änderungen an Secure Boot beim Systemneustart zu verhindern.

Irgendwie verstehe ich den Text nicht (auch nicht den englischen Originaltext). Was genau passiert auf HP Laptops nach dem Update? Irgendwie liest sich das grob so, als wenn HP alle Änderungen verhindern würde, die keine original Microsoft Zertifikate sind. Das würde ja effektiv bedeuten, das der "Custom Mode" für Secure Boot durch die Hintertür abgeschafft wird.

Ich kenne das von DELL Systemen, dass man wenn man in UEFI etwas im Custom Mode ändert, man dann beim nächsten Reboot eine PIN auf der Tastatur eingeben muss, da sonst die Änderungen verworfen werden. So etwas würde ich in Ordnung finden, da man ja nicht pausenlos die Keys ändert. Ist so etwas die Änderung bei HP? Oder was genau wurde mit dem Update geändert?

[Tante Google]

[Holgi]

um den Thread hier:
viewtopic.php?t=26028&start=5100
nicht weiter zu belasten (geht ja dort eigentlich um Zero Limit ISOs)
schreibe ich mal hier weiter.
Problem:
Auf einem aktuellen Windows Rechner (Thinkpad X1 Gen13 mit Windows 25H2 26200.8655) lassen sich nicht mehr alle Windows Versionenin einer Hyper-V VM installieren. Hängt mit
Windows UEFI CA 2023
Secure Boot Revocations (DBX)
Secure Version Number (SVN)
Hyper-V Gen2 Firmware
alte Installations- und WinPE-Medien etc.
zusammen.
Bei dem einen geht es, bei dem anderen nicht. Mal so, mal so.
Ich bin jetzt ebenfalls am experimentieren.
Folgende Links habe ich dazu ausgegraben:
https://lenovopress.lenovo.com/lp2353-u ... rtificate?
https://www.deploymentresearch.com/crea ... so-files/?
https://github.com/DeploymentResearch/D ... tFiles.ps1

Vielleicht hilft das irgendwie weiter. Selbst blicke ich da noch nicht wirklich durch.

[Holgi]

am Dienstag dem 16.06.2026 müßte es neue Windows MVS Installationsmedien geben.
Bin mal gespannt.
Die letzten aus Mai hatten noch das 2011er Zertifikat.

[DK2000]

Das dürfte dabei bleiben, Solange das CA 2011 nicht widerrufen wurde, macht das eigentlich nichts. Problem ist halt nur, wenn SVN 3.0 für cdboot im UEFI steht. Dann muss man zur Erstellung der ISO die passende efisys_ex.bin verwenden, egal ob CA 2011 oder CA 2023.

[G4User]

Das würde ja effektiv bedeuten, das der "Custom Mode" für Secure Boot durch die Hintertür abgeschafft wird.

Custom Mode ist Geschichte, Änderungen ab dem Bios nur noch über den hp Support möglich (Bios Downgrade, Secure-Boot Änderungen, etc.)
MS-Pluton-Chip nun auch aktiv:
Defender erkennt nun auch jede Änderung, z.B. wenn du ein .ISO in .xyz (um­be­nen­nen) wird alles böse nun erkannt, habe ich grade getestet mit dem xp-ISO von geforce, da ist ein xp-Keygen drin, wird nun erkannt, egal wie die Dateiendung lautet, selbst wenn Dienst: Überwachung verteilter Verknüpfungen (Client) deaktiviert sein sollte. TOP!

[G4User]

siehe:
https://ibb.co/VWTzwpjM