Leidiges Thema Secure Boot Zertifikate [Hilfe]

Antwort erstellen


Diese Frage dient dazu, das automatisierte Versenden von Formularen durch Spam-Bots zu verhindern.
Smileys
:) ;) :smile: :lol: :hihi: :D :rofl: :muahah: :( :pff: :kopfstreichel: :ohno: :betruebt: :heulen: :kopfkratz: :duckundweg: :o :? :oops: :psst: :sauer: :-P :daumenrunter: :daumen: :dankeschoen: :thx: :dafür: :gähn:
Mehr Smileys anzeigen

BBCode ist eingeschaltet
[img] ist eingeschaltet
[flash] ist ausgeschaltet
[url] ist eingeschaltet
Smileys sind eingeschaltet

Die letzten Beiträge des Themas

Ich habe die Datenschutzerklärung gelesen und bin damit einverstanden.

   

Ansicht erweitern Die letzten Beiträge des Themas: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Grobi847 » 27.06.2026, 15:52

Schade das keiner von den Fachleuten eine Erklärung zu meinem Problem hat. Egal, man kann ja nicht Alles wissen.
Gruß Grobi847

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Grobi847 » 26.06.2026, 20:06

Moin,
ich habe ein Verständnisproblem, mit dem ungültig werden des KEKs. Am 24.6.26 wurde Microsoft Corporation KEK CA 2011 ungültig. Warum wird sie nicht auf revoked True gesetzt?
Meine Konfiguration sieht folgendermaßen aus.

26 Jun 2026
------------------------------------------------------------
HW : Dell Inc. - OptiPlex 3070 - AMD64/X64
FW : Dell Inc. - 1.35.0 - 04 Sep 2025
OS : Windows 11 - 25H2 (Build 26200.8737)

Detected AMD64/X64 UEFI architecture. Ensure that this is correct for valid DBX results.

Secure Boot status: Enabled

Current UEFI PK
√ Dell Inc. Platform Key

Default UEFI PK
√ Dell Inc. Platform Key

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
√ Dell Inc. Key Exchange Key
√ Dell Inc. Key Exchange Key Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False) √ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
√ Dell Inc. Key Exchange Key
√ Dell Inc. Key Exchange Key Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Dell Bios DB Key
√ Dell Bios FW Aux Authority 2018

Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Dell Bios DB Key
√ Dell Bios FW Aux Authority 2018

Current UEFI DBX
2025-10-14 (v1.6.0) [AMD64] : SUCCESS: 431 successes detected
Current Windows staged : SUCCESS: 289 successes detected
Windows BootMgr SVN : 9.0
Windows CDBoot SVN : 3.0
Windows WDSMgFw SVN : 3.0
Statistics : 27610 Bytes, 493 SHA256 hashes, 2 X.509 certs, 9 SVNs


PowerShell-Status-Check
Ist Secure Boot überhaupt aktiv?
PowerShell 7.5.5
PS C:\Users\Rolf> Confirm-SecureBootUEFI
True

Steht die Windows UEFI CA 2023 schon in der DB?
PowerShell 7.5.5
PS C:\Users\Rolf> [System.Text.Encoding]::ASCII.GetString( `
>> (Get-SecureBootUEFI db).bytes `
>> ) -match 'Windows UEFI CA 2023'
True

KEK 2K CA 2023 vorhanden?
PowerShell 7.5.5
PS C:\Users\Rolf> [System.Text.Encoding]::ASCII.GetString( `
>> (Get-SecureBootUEFI KEK).bytes `
>> ) -match 'Microsoft Corporation KEK 2K CA 2023'
True

Für eine Erklärung wäre ich sehr dankbar.

Gruß Grobi847

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von DK2000 » 23.06.2026, 23:33

Im Grunde hast du es ja schon erkannt: Das Problem liegt am Bootsektor der ISO/DVD. Microsoft nutzt dort noch den alten Bootsektor, und die enthaltene bootx64.efi ist ebenfalls veraltet. Das Microsoft-Skript hingegen verwendet den neuen Bootsektor mit aktueller bootx64.efi. Der Bootsektor mit der bootx64.efi für ISO/DVD steckt in der efisys.bin (alt) bzw. efisys_ex.bin (neu).

Die efisys_ex.bin enthält die bootx64.efi mit CA 2023 und SVN >= 3.0. Man kann sich aber auch eine Diskette mit SVN 9.0 bootx64.efi erstellen – Hauptsache nicht unter SVN 3.0.

Das SVN-Update habe ich in mehreren VMs wieder entfernt, weil mich das bei den ISOs teilweise nervt. Eine VM ist allerdings noch komplett aktiviert, was das alles betrifft.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von bodu » 23.06.2026, 23:18

Die Windows CDBoot SVN ist mir unklar.

Ein Fall: NVRAM:
Windows BootMgr SVN : 8.0
Windows CDBoot SVN : 3.0

Eine SVN 7.0 DVD gebootet:
Secure boot version check failed.
Current Version 7.0 - Minimum allowed Version 8.0
Die Windows BootMgr SVN wird angemeckert, nicht die Windows CDBoot SVN.



Ein weitere Fall: NVRAM:
Windows BootMgr SVN : 9.0
Windows CDBoot SVN : 3.0

Mit de-de_windows_11_business_editions_version_25h2_updated_june_2026_x64_dvd_ce4ae96d.iso und Make2023BootableMedia.ps1 erstelltem ISO:
DVD bootet neu, keine Fehlermeldung.

Ein Sprung in die Vergangenheit, BCDW https://sobek.hsdn.org/Docs/bcdw/images_d.htm
fd005760.zip 4x1.44 MB nach C:\CA2023\SVN9.ima extrahiert.
Mit Imdisk oder AIM Toolkit als Laufwerk A: gemountet. Und einen SVN 9 Windows BootMgr zum Diskettenimage kopiert.
xcopy C:\Windows\Boot\EFI_EX\bootmgfw_EX.efi A:\EFI\BOOT\BootX64.efi
Die mit Make2023BootableMedia.ps1 erstellte CA2023 ISO als D: gemountet, (Das BIOS boot zusätzlich als historische Verbeugung beibehalten)
oscdimg.exe -bootdata:2#p0,e,bC:\Windows\Boot\DVD\PCAT\Etfsboot.com#pEF,e,bC:\CA2023\SVN9.ima -u1 -udfver102 D:\ SVN9_W11_CA2023_25H2.iso
DVD booten ist auf Windows BootMgr SVN 9.0 Rechner möglich.

Ein manuelles SVN Update werde ich auf einem produktiven Rechner möglichst vermeiden.
Erst mit verfügbarem MVS ISO, bzw Windows Update ISO synchonisieren.
Zukünftige Sicherheitshinweise werden das zusätzlich beeinflusse, bzw überstimmen.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von DK2000 » 15.06.2026, 15:02

Habe das jetzt mal getestet:

28120.2302.260608-1818.BR_PRERELEASE_IM_CLIENTMULTI_X64FRE_DE-DE.ISO

Klappt nicht zu 100%. Das meiste passt zwar, aber es wird leider die alte efisys.bin verwendet (CA 2011/SVN 1.0). Das hat natürlich zur Folge, wenn in der VM bereits SVN 3.0 für cdboot eingetragen ist, bootet die ISO nicht. Ebenso wenn das CA 2011 bereits widerrufen wurde. Das ist natürlich Käse.

Das Problem betrifft aber auch wirklich nur, wenn man in der VM mit der ISO booten will oder eine DVD damit erstellt. Auf USB Stick hat das keinen Einfluss.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Holgi » 15.06.2026, 12:50

Wahnsinn! Danke!
Muss ich unbedingt mal testen!

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von DK2000 » 15.06.2026, 12:48

UUPDUMP "verbaut" immer noch die bootx64.efi mit 2011er Zertifikat.
In der "ConvertConfig.ini" die Option "UpdtBootFiles=1" setzen:

:: Change to 1 to update ISO boot files bootmgr/memtest/efisys.bin from Cumulative Update
:: this also update new UEFI CA 2023 boot files if detected


Ob das aber so richtig funktioniert, keine Ahnung. Schon lange keine ISO mehr über UUPDump erstellt. Bin gerade mal am Testen.

@Mikey:

Ja, da gibt es nur nichts für mein Gerät. Das ist jetzt schon 6 Jahre aus dem Support und da macht Samsung nichts mehr.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Holgi » 15.06.2026, 00:48

Update:
eine von UUPDUMP erzeugte ISO (WIN 11 25H2 26200.8655) funktionierte wieder ganz normal.
Das hat dann scheinbar doch nichts allein mit CERT2023 zu tun.
UUPDUMP "verbaut" immer noch die bootx64.efi mit 2011er Zertifikat.
Im Augenblick gehe ich davon aus, dass in den Homebrew ISOs einfach nur die install.wim (boot.wim) ausgetauscht wurde(n) und dadurch irgendwas nicht mehr passt.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Mikey » 14.06.2026, 22:50

@DK2000 - btw: Secure Boot für dein Tab

Schau dir mal diese beiden Links an: Original Equipment Manufacturer Webseiten für den sicheren Start
https://support.microsoft.com/de-de/top ... 6b35b8fb68

Den hier mit Edge öffnen und (rechts oben) ... übersetzten dann Deutsch auswählen (ist die Samsung-Site für Secure Boot in KR)
btw: Manueller Update-Leitfaden für Secure Boot-Zertifikate Samsung Link ist auf der Seite
https://www.samsung.com/sec/support/newsalert/3963/

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Mario » 14.06.2026, 19:08

Meine Frage ist: Wenn man dieses HP BIOS Update einspielt und danach im Custom Mode die Zertifikate ändert, was passiert dann? Wie verhält sich das UEFI bzw. was muss zusätzlich durchgeführt werden, damit die Zertifikate normal akzeptiert werden?

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von G4User » 14.06.2026, 14:25

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von G4User » 14.06.2026, 14:11

Mario hat geschrieben: 14.06.2026, 00:31
G4User hat geschrieben: 13.06.2026, 19:36 Das würde ja effektiv bedeuten, das der "Custom Mode" für Secure Boot durch die Hintertür abgeschafft wird.
Custom Mode ist Geschichte, Änderungen ab dem Bios nur noch über den hp Support möglich (Bios Downgrade, Secure-Boot Änderungen, etc.)
MS-Pluton-Chip nun auch aktiv:
Defender erkennt nun auch jede Änderung, z.B. wenn du ein .ISO in .xyz (um­be­nen­nen) wird alles böse nun erkannt, habe ich grade getestet mit dem xp-ISO von geforce, da ist ein xp-Keygen drin, wird nun erkannt, egal wie die Dateiendung lautet, selbst wenn Dienst: Überwachung verteilter Verknüpfungen (Client) deaktiviert sein sollte. TOP!

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von DK2000 » 14.06.2026, 12:48

Das dürfte dabei bleiben, Solange das CA 2011 nicht widerrufen wurde, macht das eigentlich nichts. Problem ist halt nur, wenn SVN 3.0 für cdboot im UEFI steht. Dann muss man zur Erstellung der ISO die passende efisys_ex.bin verwenden, egal ob CA 2011 oder CA 2023.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Holgi » 14.06.2026, 12:39

am Dienstag dem 16.06.2026 müßte es neue Windows MVS Installationsmedien geben.
Bin mal gespannt.
Die letzten aus Mai hatten noch das 2011er Zertifikat.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Holgi » 14.06.2026, 11:32

um den Thread hier:
viewtopic.php?t=26028&start=5100
nicht weiter zu belasten (geht ja dort eigentlich um Zero Limit ISOs)
schreibe ich mal hier weiter.
Problem:
Auf einem aktuellen Windows Rechner (Thinkpad X1 Gen13 mit Windows 25H2 26200.8655) lassen sich nicht mehr alle Windows Versionenin einer Hyper-V VM installieren. Hängt mit
Windows UEFI CA 2023
Secure Boot Revocations (DBX)
Secure Version Number (SVN)
Hyper-V Gen2 Firmware
alte Installations- und WinPE-Medien etc.
zusammen.
Bei dem einen geht es, bei dem anderen nicht. Mal so, mal so.
Ich bin jetzt ebenfalls am experimentieren.
Folgende Links habe ich dazu ausgegraben:
https://lenovopress.lenovo.com/lp2353-u ... rtificate?
https://www.deploymentresearch.com/crea ... so-files/?
https://github.com/DeploymentResearch/D ... tFiles.ps1

Vielleicht hilft das irgendwie weiter. Selbst blicke ich da noch nicht wirklich durch.

Nach oben