Deskmodder.de

Secure Boot muss aktiviert sein, wenn Du Windows 11 regulär installieren willst.
Danach nicht mehr.
Ich habe inzwischen drei alte Laptops mit Windows 11 laufen, die Secure Boot gar nicht unterstützen, von den restlichen Anforderungen ganz abgesehen.
Ich verstehe zwar den Zusammenhang hier nicht, aber wenn es so klappt, sei zufrieden damit.

Das bin ich auch!
Ich wüsste aber trotzdem gerne, was da schiefgelaufen ist...!

Was mich jetzt interessiert:
reg query HKLM\SYSTEM\CurrentControlSet\Control /v FirmwareBootDevice

Ist das immer noch disk 10?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
FirmwareBootDevice REG_SZ multi(0)disk(0)rdisk(9)partition(1)

Außer einem BIOS Update auf {F5} vom 04 .01. 2024 fällt mir da nichts mehr ein.

Also ohne Secure Boot get es. Dann ist es ein Problem mit den Zertifikaten und Signaturen für Secure Boot:

https://www.deskmodder.de/blog/2024/02/ ... ruar-2024/

Du müsstest mal in der PowerShell, wie beschrieben, nachschauen, welches Zertifikat da installiert wurde. Solange nicht die DBX installiert wurde, sollten die alten nun neuen Zertifikate parallel funktionieren. Wurde die DBX (Sperrliste) installier, gehen nur noch die neuen Zertifikate.

Aber jetzt kommen wir doch dem Problem endlich näher.

In dem Artikel steht:

Im rechten Fensterteil dann ein Doppelklick auf AvailableUpdates und den Wert auf 40 ändern.

Hexadezimal oder Dezimal?

(Statt PowerShell geht doch bestimmt auch Cmd, oder ?!?)

In der Anleitung geht das nur in mit der PowerShell. Und 0x40 ist Hex, Daher das 0x vor der 40.

Bei mir gibt der letzte Schritt "false" aus - dann ist wohl das Sicherheitsupdate Februar 2024 nicht installiert...
Komisch, eigentlich habe ich bisher keine Updates ausgelassen,,, In der Update-Liste kann ich es auch nicht finden!

Jetzt habe ich den Secure Boot wieder eingeschaltet, den Rechner neu gestartet - brauchte allerdings den Boot-Stick wieder - und die Anleitung nochmal durchgespielt - jetzt gibt der letzte Schritt auch "true" aus!

Aber bei erneutem Booten wird wieder der Boot-Stick benötigt... Also "Secure Boot" wieder ausgeschaltet...

Jetzt direkt i.Z.m. Security Boot hab ich erst einmal keine Idee, vlt. ja @ DK2000 oder jemand anderes.

Wurde ggf. mal
Schnellstart deaktiviert,
Gerät stromlos gemacht und entladen
(vom Stromnetz trennen und Powertaste mehrmals drücken - effektiv ca. 1 Minute/
bei Akku Geräten muss dieser zuvor raus,
Infos aus msconfig (z. B. über Ausführen) hinzugezogen?

Bios: Standardeinstellungen laden und/ oder CMOS Reset und/ oder Bios Update (falls für das Gerät notwendig),
Starten ohne Platten/ Peripherie
wäre Weiteres – wie wohl schon vorangehend mehr oder weniger erwähnt wurde.
Starten ohne Platten/ Peripherie hat insbes. den Hintergrund, dass Desktop Management Interface ggf. insoweit aufgefrischt wird
(ca. 30 bis 60 Sekunden, dann wieder ausgeschalten und mit starten/ vgl. https://www.biosflash.com/bios-cmos-reset.htm)

Evtl. lässt sich Obiges kombinieren.
Bei den obigen techn. Prozeduren i.e.S. Dokus für die Hardware beachten, im Zweifel Hersteller fragen.
Natürlich alles auf eigene Gefahr.

Dann wäre noch Vorschlag von @ moinmoin (seiner zuletzt).
Wenn, dann würde ich es jedoch nach obigen diversen Maßnahmen einordnen.

Die externen Linux Sticks würde ich beim Ganzen unbedingt außen vor lassen.
Ob es etwas bringt, kann ich auch nicht sagen.

Das liegt am Secure Boot. CMOS Reset würde meistens auch nicht bringen, da die Zwerzifikate im UEFI im nicht-flüchtigen Speicher installiert wurden. Die überleben auch ein UEFI-Update.

Gibt es da eventuell im UEFI-Setup eine Verwaltung (Key management), wo man das alles auf Werkseinstellungen zurücksetzen kann?

Das mit den neuen Zertifikaten ist da im Moment noch nicht so ganz einfach und die Einrichtung erfolgt größtenteils noch manuell. Muss ja dann auch der passende Boot Manager von Windows installiert werden, welche mit den neuen Zertifikaten signiert wurde. Der alten Dateien sind dann nicht mehr brauchbar, sobald die DBX Liste installiert wurde.

Irgendwann wird Microsoft das Ganze über ein kumulatives Update automatisieren. Aber im Moment ist das noch alles etwas fummelig und nicht zwingend erforderlich.

Das passt alles noch nicht!
Wenn er mit einem MCT-Bootstick problemlos im Secure-Modus booten kann, dann wahrscheinlich nur deshalb, weil der "Boot-EFI-Ordner" noch alte Dateien hat.
Mit dem bcdboot-command wurden wahrscheinlich Dateien neueren Datums in den ESP/Microsoft/Boot/EFI-Ordner aus dem C:\Windows\Boot-Ordner übertragen, was zum Problem führt.
Man müsste den Windows/Boot-Ordner komplett im PE-Modus austauschen und dann den bcdboot-command erneut ausführen.
CMOS-Reset bringt nur dann etwas, wenn zunächst die ESP-Partition neu formatiert wurde und nach dem Reset neu erstellt wurde.
Manchmal reicht es, einfach nur die bootmgfw.efi auszutauschen

Im C.:\Windows\Boot sind beide Varianten enthalten. Die in den Ordnern mit EX am Ende sind die Dateien mit den neuen Signaturen. Hat man die DBX installiert, funktionieren nur noch die neuen Dateien.

Aber wenn der MCT-Bootstick mit Secure Boot startet, dann dürfte die DBX nicht installiert worden sein. Als ich das bei mir getestet hatte, ließ sich der Stick nicht mehr booten. Aber eventuell hat Microsoft da auch was geändert.

Müsste man mal auf dem Stick die Signatur in den Eigenschaften der Dateien auslesen. Wenn da "Windows UEFI CA 2023" steht, ist es die neue Signatur. Wenn da noch "Microsoft Root Certificate Authority 2010" steht. ist es noch die alte Signatur und die wird unbrauchbar, wenn man die DBX installiert hat. Hier müsste man dann manuell den Stick umstellen.

Sehe auch gerade, dass bcdboot einen neuen Schalter bekommen hat:

/bootex : Verwenden Sie die bootex-Binärdateien für die Wartung, wenn die erforderlichen Bedingungen erfüllt sind.

Damit verwendet dann wohl bcdboot automatisch die neuen Dateien aus den EX-Ordnern. Getestet habe ich das aber noch nicht.

Der Artikel wurde auch überarbeitet, da es wohl mit dem Update am 09.07.2024 Änderungen gab.

https://support.microsoft.com/en-us/top ... ff139f832d

Muss ich die Tage wohl mal selber wieder testen. Das sind jetzt wohl Schritte dazugekommen:

----
1. "Windows UEFI CA 2023" installieren (2x booten erforderlich):
2. Bootdateien aktualisieren (2x booten erforderlich):
3. Sperrliste (DBX) installieren (2x booten erforderlich):
4. SVN Update für die Firmware (2x booten erforderlich):
Überprüfen dann in der Powershell jeweils mit
Den Part mit der DBX würde ich aber derzeit noch auslassen. Das führt nur zu Problemen, da sich dann kein USB-Stick oder ISOs mit Bootdatein starten lassen, welche ein zurückgezogenes Zertifikat verwenden.

DK2000 hat geschrieben: 15.07.2024, 18:52 Gibt es da eventuell im UEFI-Setup eine Verwaltung (Key management), wo man das alles auf Werkseinstellungen zurücksetzen kann?

Das gibt es:
Allerdings sind mir die zuletzt geschilderten Zusammenhänge und Anleitungen etwas zu hoch...
Ich schätze mich als "ambitionierten Anwender" ein und verstehe die Vorgänge "unter der Haube" nur rudimentär!

Da ich Windows ohne Secure Boot problemlos starten kann, will ich es vorerst dabei belassen...!
Ich folge aber gern eurer weiteren Diskussion und versuche auch, den ein oder anderen Ratschlag zu befolgen, wenn ich mir halbwegs sicher bin, dass mein Computer danach auch noch funktionieren wird

Auf jeden Fall bedanke ich mich herzlich für eure konstruktive Diskussion, eure Ratschläge und Anleitungen!