Secure Boot Update (dbx)
-
Andreas76
Secure Boot Update (dbx)
Hallo,
Secure Boot benutzt ja eine DBX-Sperrliste (UEFI-Verbotsliste). DBX=widerrufene Signaturen.
In meinem BIOS vom Motherboard Gigabyte waren vom Hersteller 77 Keys in der UEFI-Verbotsliste.
Durch Windows Update wurde diese List auf 280 (glaube ich) geändert.
Ich wollte einen USB Stick booten, hat aber nicht funktioniert, was früher ging. Ich habe im BIOS die Option Restore Factory Keys
benutzt und auf einmal waren wieder die 77 Keys vom Hersteller. Die von Windows Update waren gelöscht, leider, wusste ich
vorher nicht. Aber der USB-Stick hat dann gebootet.
Nun die Fragen an euch:
Ich möchte die UEFI-Sperrliste (dbx) wieder mit einer aktuellen Datenbank aktualisieren/updaten.
Unter dem Blog: Windows und Server: Ereignis-ID 1033 protokolliert eine anfällige Secure Boot-basierte Komponente vom 16.06.22
gab es schon Hinweise. Unter https://support.microsoft.com/en-us/top ... 083965d9ca gibt es die Anleitung (KB4575994).
Die UEFI Sperrliste als bin-Datei (dbxupdate.bin) kann man bei uefi.org herunterladen. Es gibt aber auch im Windows Ordner
System32\SecureBootUpdates die UEFI-Sperrlisten Dateien.
Welche Datei sollte man nun nehmen für ein manuelles Update der Sperrliste im UEFI?
Welche ist aktueller, die von UEFI.org oder aus dem Windows Ordner?
Eine andere Frage ist noch:
Der Befehl zum Update lautet ja:
Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
Im Befehl steht eine Zeit: 2010-03-06T19:17:21Z. Ist diese Zeit immer gleich, egal welche Update Datei (.bin) ich nehme?
Oder muss ich die Zeit anpassen?
Dankeschön für die Hilfe. Ich hoffe jemand weiß etwas darüber.
Secure Boot benutzt ja eine DBX-Sperrliste (UEFI-Verbotsliste). DBX=widerrufene Signaturen.
In meinem BIOS vom Motherboard Gigabyte waren vom Hersteller 77 Keys in der UEFI-Verbotsliste.
Durch Windows Update wurde diese List auf 280 (glaube ich) geändert.
Ich wollte einen USB Stick booten, hat aber nicht funktioniert, was früher ging. Ich habe im BIOS die Option Restore Factory Keys
benutzt und auf einmal waren wieder die 77 Keys vom Hersteller. Die von Windows Update waren gelöscht, leider, wusste ich
vorher nicht. Aber der USB-Stick hat dann gebootet.
Nun die Fragen an euch:
Ich möchte die UEFI-Sperrliste (dbx) wieder mit einer aktuellen Datenbank aktualisieren/updaten.
Unter dem Blog: Windows und Server: Ereignis-ID 1033 protokolliert eine anfällige Secure Boot-basierte Komponente vom 16.06.22
gab es schon Hinweise. Unter https://support.microsoft.com/en-us/top ... 083965d9ca gibt es die Anleitung (KB4575994).
Die UEFI Sperrliste als bin-Datei (dbxupdate.bin) kann man bei uefi.org herunterladen. Es gibt aber auch im Windows Ordner
System32\SecureBootUpdates die UEFI-Sperrlisten Dateien.
Welche Datei sollte man nun nehmen für ein manuelles Update der Sperrliste im UEFI?
Welche ist aktueller, die von UEFI.org oder aus dem Windows Ordner?
Eine andere Frage ist noch:
Der Befehl zum Update lautet ja:
Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
Im Befehl steht eine Zeit: 2010-03-06T19:17:21Z. Ist diese Zeit immer gleich, egal welche Update Datei (.bin) ich nehme?
Oder muss ich die Zeit anpassen?
Dankeschön für die Hilfe. Ich hoffe jemand weiß etwas darüber.
-
Tante Google
-
Andreas76
Re: Secure Boot Update (dbx)
Ich habe von uefi.org die DBX Sperrlisten Datei heruntergeladen für 64 Bit: x64_DBXUpdate.bin.
Ich habe dann diese Datei mit der Datei DBXUpdateKB.bin aus dem Ordner System32\SecureBootUpdates mit einem
HeX Editor HxD verglichen. Beide Dateien sind identisch.
Super, ein Wunder.
Ich habe dann diese Datei mit der Datei DBXUpdateKB.bin aus dem Ordner System32\SecureBootUpdates mit einem
HeX Editor HxD verglichen. Beide Dateien sind identisch.
Super, ein Wunder.
-
Andreas76
Re: Secure Boot Update (dbx)
Ich habe den Befehl
Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
einfach mal ausprobiert.
Alles ohne Probleme.
Update von dbx hat funktioniert.
Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
einfach mal ausprobiert.
Alles ohne Probleme.
Update von dbx hat funktioniert.