Seite 1 von 1
Secure Boot Zertifikate
Verfasst: 17.09.2025, 15:45
von Andi
Bis Juni 2026 müssen Sie die neuen Zertifikate am Start haben.
Man kann es prüfen mit Terminal.
[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Bei mir ist das Ergebnis = False
Hat schon jemand die neune Zertifikate?
Re: Secure Boot Zertifikate
Verfasst: 17.09.2025, 15:56
von DK2000
Ja. Auch in Windows 10. Nur das Zertifikat für die KEK und Option-ROMs sind noch nicht installiert worden, aber stehen wohl schon zu Verfügung. Und zurückgezogen wurde auch noch nichts. Und bei den Option-ROMs habe ich eh ein ungutes Gefühl.
Screenshot 2025-09-17 155351.png
Windows 10 22H2 (nur VM), Windows 11 24H2 (nur VM) und Windows 11 25H2 (Tablet und VMs) wurde das schon alles installiert und auch der Bootmanager ausgetauscht.
Die werden schon seit einer ganzen Weile ausgeliefert und installiert, wo es geht. Befinden sich in dem Verzeichnis:
C:\Windows\System32\SecureBootUpdates
Re: Secure Boot Zertifikate
Verfasst: 17.09.2025, 17:00
von BenniDM
Andi hat geschrieben: 17.09.2025, 15:45
Hat schon jemand die neune Zertifikate?
Yes, hp Bios F.19 Rev.A 08/25 und Win25h2
https://jumpshare.com/share/gdryiLyIGmGs3H8BcuWY
Re: Secure Boot Zertifikate
Verfasst: 17.09.2025, 19:33
von Andi
Der Ordner C:\Windows\System32\SecureBootUpdates sieht bei mir aus wie bei @BenniDM.
Wird wohl erst mit 25H2 kommen oder?
Re: Secure Boot Zertifikate
Verfasst: 17.09.2025, 19:42
von DK2000
Nein. Das wird jetzt schon installiert. Wie gesagt, habe ich ab Windows 10 22H2.
Die Fage wäre jetzt eher, warum da bei Dir nicht installiert wird. Die Updates sind ja da. Aber irgendwas stört Windows da offensichtlich.
Was steht denn bei Dir so in der Registy:
Code: Alles auswählen
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Re: Secure Boot Zertifikate
Verfasst: 17.09.2025, 20:06
von Andi
Das hier:
Re: Secure Boot Zertifikate
Verfasst: 18.09.2025, 07:57
von Tekkie
Ist denn Secure Boot im Bios/Uefi aktiviert?
Msinfo32 ausführen und dann überprüfen ob der Sichere Startzustand auf Ein steht.
Gruß
Re: Secure Boot Zertifikate
Verfasst: 18.09.2025, 08:49
von DK2000
Das Problem hatten wir ja schon einmal in dem Thread:
viewtopic.php?t=33352
Das Zertifikat wurde nicht automatisch im Rahmen der Sicherheits-LCU installiert. Manuelle Installation ging aber. Warum Windows das nicht automatisch gemacht hat, ließ sich nicht klären. Eventuell haben sie die automatische Installation wieder gestoppt.
Mal von meinen VMs abgesehen, auf der realen Hardware (Tablet) geschah das automatisch, schon zu Windows 11 24H2 Zeiten. Aber halt vorerst nur DB. DBX, KEK und Option-ROM blieb unangetastet. Die Updates sind wohl da, werden aber nicht automatisch installiert.
Bei mir steht dazu in der Registry in dem Zweig (Tablet mit Win 11 25H2, davor 24H2):
WindowsUEFICA2023Capable=2
(Windows UEFI CA 2023” certificate is in the DB and the system is starting from the 2023 signed boot manager.)
Re: Secure Boot Zertifikate
Verfasst: 18.09.2025, 11:20
von Andi
Msinfo32 ausführen und dann überprüfen ob der Sichere Startzustand auf Ein steht.
Steht auf EIN
Re: Secure Boot Zertifikate
Verfasst: 18.09.2025, 11:23
von BenniDM
DK2000 hat geschrieben: 18.09.2025, 08:49
WindowsUEFICA2023Capable=2
(Windows UEFI CA 2023” certificate is in the DB and the system is starting from the 2023 signed boot manager.)
Bei der Hardware kommt es aber auf die Werte unter "DeviceAttributes" in der REG an.
Bei mir steht in der REG unter Servicing:
UEFICA2023Status= NotStarted
WindowsUEFICA2023Capable= 1
Re: Secure Boot Zertifikate
Verfasst: 18.09.2025, 12:00
von Tekkie
Okay.
Man könnte das Secure Boot Update wie im Support Artikel von Microsoft beschrieben Händisch anstoßen, aber das muss jeder für sich selbst entscheiden:
https://support.microsoft.com/de-de/top ... ff139f832d
Re: Secure Boot Zertifikate
Verfasst: 18.09.2025, 12:49
von BenniDM
Tekkie hat geschrieben: 18.09.2025, 12:00
Man könnte das Secure Boot Update wie im Support Artikel von Microsoft beschrieben Händisch anstoßen, aber das muss jeder für sich selbst entscheiden:
Wie gesagt abhänig von der Hardware und bedenke die (versteckten) Folgen.
Bei mir war kein Bios Update von F17 zu F19 mit der 25h2 mehr möglich nach den Secure Boot Update.
Erst Bitlocker abschalten, Festplatte löschen und Bios (Full) Reset war nötig!
D.H. auch alle Keys im UEFI löschen war nötig (hp&MS) und das geht auch nicht mit jeder Hardware!
Also Vorsicht! mit dem Secure Boot Update, per Hand.
zur meiner Hardware dieses:
Code: Alles auswählen
Systeminformationsbericht erstellt am: 09/18/25 12:28:40
Systemname: DESKTOP-xxxxxxxx
[Systemübersicht]
Element Wert
Betriebsystemname Microsoft Windows 11 Pro
Version 10.0.26200 Build 26200
Betriebsystemhersteller Microsoft Corporation
Systemname DESKTOP-xxxxxxxx
Systemhersteller HP
Systemmodell HP All-in-One Desktop-27-ct2659nz-pc-bp6q2ea-uuz
Systemtyp x64-basierter PC
System-SKU xxxxxxx#xxx
Prozessor AMD Ryzen x xxxxX with Radeon Graphics, xxxx MHz, x Kern(e), x logische(r) Prozessor(en)
BIOS-Version/-Datum AMI F.19, 22.08.2025
SMBIOS-Version 3.5
Version des eingebetteten Controllers 20.13
BIOS-Modus UEFI
BaseBoard-Hersteller HP
BaseBoard-Produkt xxxx
BaseBoard-Version xxxxxxxxxx
Plattformrolle Desktop
Sicherer Startzustand Ein
PCR7-Konfiguration Gebunden
Windows-Verzeichnis x:\Windows
Systemverzeichnis x:\Windows\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "10.0.26100.1"
Benutzername xxxxxxxxxxxx\Windows
Zeitzone Mitteleuropäische Sommerzeit
Installierter physischer Speicher (RAM) 32,0 GB
Kernel-DMA-Schutz Ein
Virtualisierungsbasierte Sicherheit Wird ausgeführt...
Virtualisierungsbasierte Sicherheit – erforderliche Sicherheitseigenschaften Allgemeine Virtualisierungsunterstützung
Virtualisierungsbasierte Sicherheit – verfügbare Sicherheitseigenschaften Allgemeine Virtualisierungsunterstützung, Sicherer Start, DMA-Schutz, Sichere Speicherüberschreibung, UEFI-Code Readonly, SMM Security Mitigations 1.0, Modusbasierte Ausführungssteuerung
Virtualisierungsbasierte Sicherheit – konfigurierte Dienste Durch Hypervisor erzwungene Codeintegrität
Virtualisierungsbasierte Sicherheit – ausgeführte Dienste Durch Hypervisor erzwungene Codeintegrität
App Control for Business-Richtlinie Erzwungen
App Control for Business-Benutzermodusrichtlinie Überwachung
Unterstützung für automatische Geräteverschlüsselung Voraussetzungen erfüllt
Es wurde ein Hypervisor erkannt. Features, die für Hyper-V erforderlich sind, werden nicht angezeigt.