Windows Secure Boot-Zertifikate
-
oli88
Re: Windows Secure Boot-Zertifikate
@ DK2000: vielen Dank für deine Unterstützung aber leider finde ich auf meinem PC
weder "Show UEFI PK, KEK, DB and DBX.cmd" noch "Check UEFI PK, KEK, DB and DBX.cmd",
das du mir in deinem zweiten Screenshot aufzeigst.
Du musst mir jetzt nochmals genau sagen, wo und was ich eingeben soll? Oder muss ich da noch etwas downloaden?
Oder wie komme ich nun zu dieser Ausgabe wo auch van Neel im vorherigen Beitrag gezeigt hat.
Danke nochmals.
weder "Show UEFI PK, KEK, DB and DBX.cmd" noch "Check UEFI PK, KEK, DB and DBX.cmd",
das du mir in deinem zweiten Screenshot aufzeigst.
Du musst mir jetzt nochmals genau sagen, wo und was ich eingeben soll? Oder muss ich da noch etwas downloaden?
Oder wie komme ich nun zu dieser Ausgabe wo auch van Neel im vorherigen Beitrag gezeigt hat.
Danke nochmals.
-
Tante Google
-
DK2000
- Legende
- Beiträge: 10234
- Registriert: 03.04.2018, 00:07
- Hat sich bedankt: 238 Mal
- Danke erhalten: 737 Mal
- Gender:
Re: Windows Secure Boot-Zertifikate
Das gibt es hier:
https://github.com/cjee21/Check-UEFISecureBootVariables
Sind ein paar Skripte für die PowerShell mit ein wenig Aufbereitung der Ergebnisse. Dachte, dass hattest Du schon heruntergeladen, weil Du es ja selbst verlinkt hattest.
Auf der Seite auf das grüne "Code" gehen und hier dann auf "Download ZIP".
https://github.com/cjee21/Check-UEFISecureBootVariables
Sind ein paar Skripte für die PowerShell mit ein wenig Aufbereitung der Ergebnisse. Dachte, dass hattest Du schon heruntergeladen, weil Du es ja selbst verlinkt hattest.
Auf der Seite auf das grüne "Code" gehen und hier dann auf "Download ZIP".
-
van Neel
- Nachwuchs
- Beiträge: 66
- Registriert: 10.05.2019, 10:22
- Hat sich bedankt: 11 Mal
- Danke erhalten: 5 Mal
- Gender:
Re: Windows Secure Boot-Zertifikate
(editiert)
Noch drei evtl dumme Fragen:
- Auf einem PC, der Secure Boot laut Check UEFI KEK, DB and DBX.cmd gar nicht aktiviert hat (enabled im UEFI, aber mit "anderes Betriebssystem" anstatt "WindowsUEFIModus" ) funtionieren diese Befehle vermutlich nicht?
- Kann man das bedenkenlos Umstellen im UEFI (also auf WindowsUEFI). Auf dem Rechner läuft Win11 26100.4946
- kann man Schlüssel "AvailableUpdates" wieder bedenkenlos löschen wenn alles getan ist, oder gab es den schon vorher nur mit einem anderen Wert?
Noch drei evtl dumme Fragen:
- Auf einem PC, der Secure Boot laut Check UEFI KEK, DB and DBX.cmd gar nicht aktiviert hat (enabled im UEFI, aber mit "anderes Betriebssystem" anstatt "WindowsUEFIModus" ) funtionieren diese Befehle vermutlich nicht?
- Kann man das bedenkenlos Umstellen im UEFI (also auf WindowsUEFI). Auf dem Rechner läuft Win11 26100.4946
- kann man Schlüssel "AvailableUpdates" wieder bedenkenlos löschen wenn alles getan ist, oder gab es den schon vorher nur mit einem anderen Wert?
Gemeinsam geht es leichter ...
-
oli88
Re: Windows Secure Boot-Zertifikate
Hallo DK2000,
danke nochmals für deine Rückmeldung.
Ich habe das nun über github heruntergeladen. Ich habe nun das Windows-Befehlsskript "Check UEFI KEK, DB and DBX" als Administrator ausgeführt und siehe da, es hat funktioniert.
Obwohl ich bei PC und Notebook mit der gleichen Anleitung vorgegangen bin, habe ich nun zwei verschiedene Ergebnisse erhalten, die auch zu deinem Screenshot (Seite 3 / Eintrag vom 13.08.2025, 18:44) abweichen. (bei mir sind weniger grüne Haken als bei dir)
Kannst Du dir das bitte nochmals anschauen? Was meinst Du dazu?
Passt das nun mit den neuen Zertifikaten oder muss ich nochmals eingreifen?
DANKE DIR schon mal für deine weitere Unterstüzung.
Notebook:
Ausgabe am Notebook:
Checking for Administrator permission...
Running as administrator - continuing execution...
15 August 2025 Manufacturer: Acer Model: Aspire VX5-591G BIOS: Insyde Corp., V1.08, V1.08, ACRSYS - 0 Windows version: 24H2 (Build 26100.4946)
Secure Boot status: Enabled
Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023
Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023
Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023
Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
X Windows UEFI CA 2023
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023
Current UEFI DBX (only the latest one is needed to be secure)
2023-03-14 : FAIL: 193 failures, 27 successes detected
2023-05-09 : FAIL: 344 failures, 27 successes detected
2025-01-14 (v1.3.1) : FAIL: 234 failures, 11 successes detected
2025-06-11 (v1.5.1) : FAIL: 403 failures, 27 successes detected
Ausgabe am PC:
Checking for Administrator permission...
Running as administrator - continuing execution...
15 August 2025
Manufacturer: Acer
Model: Aspire TC-603
BIOS: American Megatrends Inc., P11-A0, P11-A0, ACRSYS - 1072009
Windows version: 22H2 (Build 19045.6216)
Secure Boot status: Enabled
Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023
Default UEFI KEK
WARNUNG: Failed to query UEFI variable 'KEKDefault' for cert 'Microsoft Corporation KEK CA 2011'
WARNUNG: Failed to query UEFI variable 'KEKDefault' for cert 'Microsoft Corporation KEK 2K CA 2023'
Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023
Default UEFI DB
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft Windows Production PCA 2011'
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft Corporation UEFI CA 2011'
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Windows UEFI CA 2023'
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft UEFI CA 2023'
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft Option ROM UEFI CA 2023'
Current UEFI DBX (only the latest one is needed to be secure)
2023-03-14 : SUCCESS: 220 successes detected
2023-05-09 : SUCCESS: 371 successes detected
2025-01-14 (v1.3.1) : SUCCESS: 245 successes detected
2025-06-11 (v1.5.1) : SUCCESS: 430 successes detected
danke nochmals für deine Rückmeldung.
Ich habe das nun über github heruntergeladen. Ich habe nun das Windows-Befehlsskript "Check UEFI KEK, DB and DBX" als Administrator ausgeführt und siehe da, es hat funktioniert.
Obwohl ich bei PC und Notebook mit der gleichen Anleitung vorgegangen bin, habe ich nun zwei verschiedene Ergebnisse erhalten, die auch zu deinem Screenshot (Seite 3 / Eintrag vom 13.08.2025, 18:44) abweichen. (bei mir sind weniger grüne Haken als bei dir)
Kannst Du dir das bitte nochmals anschauen? Was meinst Du dazu?
Passt das nun mit den neuen Zertifikaten oder muss ich nochmals eingreifen?
DANKE DIR schon mal für deine weitere Unterstüzung.
Notebook:
Ausgabe am Notebook:
Checking for Administrator permission...
Running as administrator - continuing execution...
15 August 2025 Manufacturer: Acer Model: Aspire VX5-591G BIOS: Insyde Corp., V1.08, V1.08, ACRSYS - 0 Windows version: 24H2 (Build 26100.4946)
Secure Boot status: Enabled
Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023
Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023
Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023
Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
X Windows UEFI CA 2023
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023
Current UEFI DBX (only the latest one is needed to be secure)
2023-03-14 : FAIL: 193 failures, 27 successes detected
2023-05-09 : FAIL: 344 failures, 27 successes detected
2025-01-14 (v1.3.1) : FAIL: 234 failures, 11 successes detected
2025-06-11 (v1.5.1) : FAIL: 403 failures, 27 successes detected
Ausgabe am PC:
Checking for Administrator permission...
Running as administrator - continuing execution...
15 August 2025
Manufacturer: Acer
Model: Aspire TC-603
BIOS: American Megatrends Inc., P11-A0, P11-A0, ACRSYS - 1072009
Windows version: 22H2 (Build 19045.6216)
Secure Boot status: Enabled
Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023
Default UEFI KEK
WARNUNG: Failed to query UEFI variable 'KEKDefault' for cert 'Microsoft Corporation KEK CA 2011'
WARNUNG: Failed to query UEFI variable 'KEKDefault' for cert 'Microsoft Corporation KEK 2K CA 2023'
Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023
Default UEFI DB
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft Windows Production PCA 2011'
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft Corporation UEFI CA 2011'
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Windows UEFI CA 2023'
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft UEFI CA 2023'
WARNUNG: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft Option ROM UEFI CA 2023'
Current UEFI DBX (only the latest one is needed to be secure)
2023-03-14 : SUCCESS: 220 successes detected
2023-05-09 : SUCCESS: 371 successes detected
2025-01-14 (v1.3.1) : SUCCESS: 245 successes detected
2025-06-11 (v1.5.1) : SUCCESS: 430 successes detected
-
DK2000
- Legende
- Beiträge: 10234
- Registriert: 03.04.2018, 00:07
- Hat sich bedankt: 238 Mal
- Danke erhalten: 737 Mal
- Gender:
Re: Windows Secure Boot-Zertifikate
Das sieht zwar soweit erst einmal gut aus, nur dass hätte ich derzeit noch nicht gemacht:
Das hat jetzt zu Folge, dass bei Dir ausschließlich nur noch Datenträger sich starten lassen, welche das neue Zertifikat für die Bootdateien verwendet. Alle anderen Datenträger werden am Booten gehindert. Um das zu umgehen, müsste man jedes Mal Secureboot ausschalten und danach wieder einschalten.Microsoft Windows Production PCA 2011 (revoked: True)
-
DK2000
- Legende
- Beiträge: 10234
- Registriert: 03.04.2018, 00:07
- Hat sich bedankt: 238 Mal
- Danke erhalten: 737 Mal
- Gender:
Re: Windows Secure Boot-Zertifikate
Das kann ich Dir nicht beantworten. Ausprobieren. Aber hatten da neulich schon so einen Thread mit "Other OS" ("anderes Betriebssystem") und da hat das auch nicht geklappt. Der Nutzer hatte dann irgendwann eine Neuinstallation vorgenommen und dann lief es. Keine Ahnung, wie sich das bei Dir verhallt.van Neel hat geschrieben: 15.08.2025, 07:45 - Kann man das bedenkenlos Umstellen im UEFI (also auf WindowsUEFI). Auf dem Rechner läuft Win11 26100.4946
Und die Keys in der Registry löschen, sollte gehen. Aber genau kann ich es Dir nicht sagen. Bei mir wurden die automatisch über die kumulativen Updates geschrieben.
-
oli88
Re: Windows Secure Boot-Zertifikate
@ DK2000: also du meinst, ich habe nun alles richtig gemacht und brauche mir keine Sorgen zu machen,
dass mein PC im kommenden Jahr (Juni/Oktober) nicht mehr läuft?
Microsoft Windows Production PCA 2011 (revoked: True) => sollte m.E. kein Problem sein, ich starte den PC immer mit dem gleichen Datenträger oder wie meinst du das?
Eine neue Sicherung mache ich noch ... da habe ich bisher immer den AOMEI Backupper benutzt,
von Windows gibt es da aber auch eine Möglichkeit.
Systemsteuerung -> Sichern und Wiederherstellen (Windows 7) -> Systemabbild erstellen -> auf externe Festplatte
Korrekt oder?
Oder bekomme ich mit dieser externen Festplatte nun ein Problem?
dass mein PC im kommenden Jahr (Juni/Oktober) nicht mehr läuft?
Microsoft Windows Production PCA 2011 (revoked: True) => sollte m.E. kein Problem sein, ich starte den PC immer mit dem gleichen Datenträger oder wie meinst du das?
Eine neue Sicherung mache ich noch ... da habe ich bisher immer den AOMEI Backupper benutzt,
von Windows gibt es da aber auch eine Möglichkeit.
Systemsteuerung -> Sichern und Wiederherstellen (Windows 7) -> Systemabbild erstellen -> auf externe Festplatte
Korrekt oder?
Oder bekomme ich mit dieser externen Festplatte nun ein Problem?
-
oli88
Re: Windows Secure Boot-Zertifikate
... da ich leider nichts mehr von Euch gehört habe, weder positives noch negatives,
gehe ich davon aus, alles richtig gemacht zu haben und das es passt.
Somit sollte es für's erste gewesen sein, mal sehen was 2026 noch so bringt.
gehe ich davon aus, alles richtig gemacht zu haben und das es passt.
Somit sollte es für's erste gewesen sein, mal sehen was 2026 noch so bringt.