Mal kurz informiert: Microsoft beginnt jetzt mit der Integration der neuen „Windows UEFI CA 2023“ Zertifikates in den eigenen ISOs. Hintergrund ist das Sicherheitsproblem in dem derzeit noch genutzten „Windows Production PCA 2011“ Zertifikat. Wir hatten darüber berichtet.
Von Mai 2023 bis Juli 2024 lief eine Bereitstellungsphase. Man konnte manuell schon Sperrdateien (Code Integrity Boot policy und Secure Boot disallow list (DBX)) einrichten. Danach werden dann aber keine ISOs mehr akzeptiert (mit aktiviertem Secure Boot), die das neue Zertifikat nicht beinhalten. Im neuen Windows ADK 10.1.26100.2454 von Dezember 2024 wurde das neue Zertifikat im BCD Boot nun schon hinzugefügt. Man kann davon ausgehen, dass die anderen Medien (Windows ISOs) und auch Updates dann im Laufe der nächsten Monate folgen werden.
Denn die vierte Stufe soll sechs Monate nach dem Ende der Bereitstellungsphase beginnen. Das wäre dann der Februar 2025.
Wer derzeit seine ISOs mit Rufus auf einem Stick erstellt, erhält schon einen Hinweis, dass die derzeit verwendete ISO noch nicht das neue Zertifikat „Windows UEFI CA 2023“ verwendet. Das ist nur ein Hinweis. Die ISO selber wird aber auf den Stick gepackt. (Danke an Karthagos für das Bild)
Wenn Microsoft dann vermutlich ab Februar 2025 das Update ausliefert, werden die alten ISOs ohne neuen Zertifikat nicht mehr starten. Es sei denn, man deaktiviert Secure Boot im UEFI.
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 23H2 22631, oder 24H2 26100. Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 auch ohne TPM und Secure Boot installieren.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
„Wenn Microsoft dann vermutlich ab Februar 2025 das Update ausliefert, werden die alten ISOs ohne neuen Zertifikat nicht mehr starten. Es sei denn, man deaktiviert Secure Boot im UEFI.“ ???
Soll das bedeuten, man kann von einer älteren Windows-11-Build-ISO nicht mehr normal (clean) installieren, weil das Setup zwingend aktiviertes SecureBoot voraussetzt? Toll …
Nicht zwingend. Ohne Secure Boot gehen auch die alten ISOs
Edit: Und mit den Updates bzw. neuen Windows ISOs wird das dann ja integriert sein.
Ich stelle die Frage wahrscheinlich doppelt.
Also die aktuelle Windows 11 24H2 ISO wird garantiert das neue Zertifikat bekommen.
Aber ich habe noch und benutze noch die Windows 11 23H2 ISO.
Diese wird dann nicht mehr starten mit Secure Boot?
Die 23H2 MVS ISOs werden dann mit Sicherheit auch aktualisiert. Wenn die Updates bereitgestellt wurden, dann haben wir ja auch die aktualisierten ISOs.
was mache ich wenn ich mal auf das Recovery-Image vom Hersteller zurückgreifen will?
BSPW. Lenovo legion go
gepostet mit der Deskmodder.de-App für Android
Die werden sicher eine neue Boot iso anbieten.
Aber das erste was ich Lösche die Recover partition, weil brauche ich nicht, auch dem Hardware rep Team egal die haben den ein stick wo alles wider herstellt, wie bei der auslieferung.
Und das werbewindows von laptop hersteller war bei mir nur 5 min am leben stick herstell von der Deskmodder Seite und pid.txt anlegen und den damit booten und den komplett alles lösche und neu anfangen.
Glaubst du wirklich?
Also bei HP ist das Tool erhältlich, ab 35 GB Stick braucht man den tut man den rein und ne stunde später ist wider alles so wie bei auslieferung.
Aber für was braucht man die den???
Die wäre bei mir fast wider 3 Jahre alt, die werbewindows Version und den noch das win 11 Home zeuch. 😁
Mit einer neuen Deskmodder Version installieren. Und nach install Update starten schon sind alle Laptop Treiber am instalieren. 😁
Ich habe die 24H2 1742 ISO als Basis. Gibt’s dann dazu auch eine neue, die auch ein Update enthält für die kommenden Checkpoint-Updates?
Werde kein Problem haben update jedes mal die Windows 11 Canary boot Stick, bei jeder neuen Version.
Ach wenn bei Tools, anzeigt das es nicht bootet weil zurückgezogen bei isos einfach die wim in die /boot kopieren und mit Easybcd aktivieren als menue und schon bootet es, hatte das mit Minitool Partitions Wizard booten von Stick geht nicht booten per Easybcd aktiviert bootet es. 😁
Das aber auch nur ein Workaround. Das Problem tritt derzeit eigentlich nur auf, wenn man das CA 2011 in die DBX einträgt und eventuell noch SVN aktiviert. Wenn nur das CA 2023 in die DB eingetragen wird (ist schon länger der Fall), passiert nichts weiter. Selbst wenn man auf CA 2023 umstellt, ist so weit erst einmal alles gut, außer dass das Inplace Upgrade Probleme macht. Jedenfalls noch beim letzten Mal, wo ich das getestet hatte.
Ja das schon klar Habs aber schon mal gesagt dem Minitool Support.weil 12.8 ging nicht mehr und den gehofft auf 12.9 aber auch da, das selbe, ist aber nicht so wichtig weil ja ist kein Imager wo man beim rück Image von Stick bootet,
Ich ändere ja unter Windows und wenn man eine Partition ändert wo aktiv ist wird den sowiso neu gestartet in die windows cmd. 😁
Sind die bis jetzt fehlenden, neu signierten Versionen der Dateien cdboot.efi und cdboot_noprompt.efi auch verfügbar?
Ja, aber die sind schon länger dabei. Ansonsten könnte man ja von der ISO nicht booten. Nenne sich jetzt bloß efisys.bin und efisys_noprompt.bin.
ich frage mich was das soll, das windows/microsoft zugriff aufs bios hat… egal welche „sicherheit“ es berühren soll, es macht uefi und seine „sicherheit“ zum unnützen ding… denn wenn win zugriff nehmen kann, kann das faktisch auch JEDER andere… also ist das sicherheitskonzept von windows für die katz… und augenwischrei.
ich weiss warum ich die „windows sicherheit“ immer als erstes lösche. wegen diesen unding.
Die „Windows Sicherheit“ hat damit aber nichts zu tun. Das kommt von den Sicherheitsupdates. Die schreiben das neue CA in die DB vom UEFI.
Geht doch nicht anderst.
Und Windows Update wurde nicht unterwandert
Also ob User Zugriff hätte glaube ich nicht, wird den wohl nicht booten, wenn sich da, was durch hacker verändert hat, intel hat ja sicher aus dem ufi Virus gelernt😂, kannst ja auch nicht als User komplett das Android verwalten das kann ja auch nur Google und die Handy hersteller.
Da kann man nicht mal mehr alles tun wenn man gerootet hat bei neueren geräten. 😁
Weiß man schon WANN eine neue ISO kommt, aus der man mit Rufus was machen kann?
Und – sind dann auch die aktuellsten Updates drin so dass es quasi nahtlos weitergehen kann?
Wenn man komplett auf Linux umgestiegen ist, dann wird das UEFI scheinbar gar nicht aktualisiert?
Spielt nur MS diese Zertifikat-Updates aus?
Das Zertifikat ist nur für Windows relevant.
Ich bin kein Fachmann.
Aber Linux Updates müssten SBAT aktualisieren.
Also auch Linux Bootloader werden gesperrt.
Hallo zusammen,
Die ganzen ISOs die ich für Kunden gehärtet habe werden dann vermutlich auch nicht mehr gehen………
ich vermute das diese Änderung dann auch Softwareverteilung betrifft wenn dort per ADK ein Image von Windows 10 oder 11 erstellt wird damit man die Geräte per PXE neu aufsetzen kann. Da wohl nur das aktuelle Windows 11 ADK geändert wurde und nicht das alte Windows 10 ADK 2004 (das noch viele unserer Kunden installiert haben weil sie ältere Server als 2022 im Einsatz haben) wird das viel Arbeit für uns
Hi folks !
Weiss jemand, bzw. kann jemand bestätigen,
dass der GANZE SALAT erst “ wirksam “ wird,
WENN die Maschine “ neu aufgesetzt “
UND dabei -also-
ein neuer Bootmanager installiert wird ?
Überhaupt:
Falls NICHT!? Sind möglicher Weise sämtliche Rettungs-Medien-Isos “ hopps “ !?
mfg j