Leidiges Thema Secure Boot Zertifikate [Hilfe]

Deine Frage passt nicht in die anderen Bereiche, dann stelle sie hier.
Mario

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Beitrag von Mario » 14.06.2026, 00:31

G4User hat geschrieben: 13.06.2026, 19:36 Beispiel: Notebooks HP G4 Notebook/PC
VERBESSERUNGEN:
- Fügt einen neuen Eigentumsstatus für Secure-Boot-Zertifikate (Stand 2023) hinzu, um zu erfassen,
ob die Zertifikatseinstellungen den Microsoft-Standardwerten entsprechen oder vom Benutzer geändert wurden.
Wenn Zertifikate geändert werden (hinzugefügt, deaktiviert oder gelöscht), übernimmt das HP BIOS die Kontrolle über die Richtlinien, um Änderungen an Secure Boot beim Systemneustart zu verhindern.
Irgendwie verstehe ich den Text nicht (auch nicht den englischen Originaltext). Was genau passiert auf HP Laptops nach dem Update? Irgendwie liest sich das grob so, als wenn HP alle Änderungen verhindern würde, die keine original Microsoft Zertifikate sind. Das würde ja effektiv bedeuten, das der "Custom Mode" für Secure Boot durch die Hintertür abgeschafft wird.

Ich kenne das von DELL Systemen, dass man wenn man in UEFI etwas im Custom Mode ändert, man dann beim nächsten Reboot eine PIN auf der Tastatur eingeben muss, da sonst die Änderungen verworfen werden. So etwas würde ich in Ordnung finden, da man ja nicht pausenlos die Keys ändert. Ist so etwas die Änderung bei HP? Oder was genau wurde mit dem Update geändert?

Tante Google

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Beitrag von Tante Google » 14.06.2026, 00:31


Benutzeravatar
Holgi
Guru
Guru
Beiträge: 4245
Registriert: 12.05.2018, 12:33
Hat sich bedankt: 588 Mal
Danke erhalten: 935 Mal
Gender:

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Beitrag von Holgi » 14.06.2026, 11:32

um den Thread hier:
viewtopic.php?t=26028&start=5100
nicht weiter zu belasten (geht ja dort eigentlich um Zero Limit ISOs)
schreibe ich mal hier weiter.
Problem:
Auf einem aktuellen Windows Rechner (Thinkpad X1 Gen13 mit Windows 25H2 26200.8655) lassen sich nicht mehr alle Windows Versionenin einer Hyper-V VM installieren. Hängt mit
Windows UEFI CA 2023
Secure Boot Revocations (DBX)
Secure Version Number (SVN)
Hyper-V Gen2 Firmware
alte Installations- und WinPE-Medien etc.
zusammen.
Bei dem einen geht es, bei dem anderen nicht. Mal so, mal so.
Ich bin jetzt ebenfalls am experimentieren.
Folgende Links habe ich dazu ausgegraben:
https://lenovopress.lenovo.com/lp2353-u ... rtificate?
https://www.deploymentresearch.com/crea ... so-files/?
https://github.com/DeploymentResearch/D ... tFiles.ps1

Vielleicht hilft das irgendwie weiter. Selbst blicke ich da noch nicht wirklich durch.
PDF24 angepasste Installation (nur PDF Druckertreiber) per Script: viewtopic.php?t=30284
Winget (Desktop App Installer) für Windows Versionen ohne Store installieren (HowTo): viewtopic.php?t=26214
Vorstellung: tiny11builder; Script zur Verschlankung von Windows 11: viewtopic.php?t=30134
Windows StartMenü Empfohlen (Recommended Section) komplett ausblenden: viewtopic.php?t=30574
Hyper-V VM per Script erstellen viewtopic.php?t=25114

Benutzeravatar
Holgi
Guru
Guru
Beiträge: 4245
Registriert: 12.05.2018, 12:33
Hat sich bedankt: 588 Mal
Danke erhalten: 935 Mal
Gender:

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Beitrag von Holgi » 14.06.2026, 12:39

am Dienstag dem 16.06.2026 müßte es neue Windows MVS Installationsmedien geben.
Bin mal gespannt.
Die letzten aus Mai hatten noch das 2011er Zertifikat.
PDF24 angepasste Installation (nur PDF Druckertreiber) per Script: viewtopic.php?t=30284
Winget (Desktop App Installer) für Windows Versionen ohne Store installieren (HowTo): viewtopic.php?t=26214
Vorstellung: tiny11builder; Script zur Verschlankung von Windows 11: viewtopic.php?t=30134
Windows StartMenü Empfohlen (Recommended Section) komplett ausblenden: viewtopic.php?t=30574
Hyper-V VM per Script erstellen viewtopic.php?t=25114

Benutzeravatar
DK2000
Legende
Legende
Beiträge: 11029
Registriert: 03.04.2018, 00:07
Hat sich bedankt: 284 Mal
Danke erhalten: 959 Mal
Gender:

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Beitrag von DK2000 » 14.06.2026, 12:48

Das dürfte dabei bleiben, Solange das CA 2011 nicht widerrufen wurde, macht das eigentlich nichts. Problem ist halt nur, wenn SVN 3.0 für cdboot im UEFI steht. Dann muss man zur Erstellung der ISO die passende efisys_ex.bin verwenden, egal ob CA 2011 oder CA 2023.

G4User

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Beitrag von G4User » 14.06.2026, 14:11

Mario hat geschrieben: 14.06.2026, 00:31
G4User hat geschrieben: 13.06.2026, 19:36 Das würde ja effektiv bedeuten, das der "Custom Mode" für Secure Boot durch die Hintertür abgeschafft wird.
Custom Mode ist Geschichte, Änderungen ab dem Bios nur noch über den hp Support möglich (Bios Downgrade, Secure-Boot Änderungen, etc.)
MS-Pluton-Chip nun auch aktiv:
Defender erkennt nun auch jede Änderung, z.B. wenn du ein .ISO in .xyz (um­be­nen­nen) wird alles böse nun erkannt, habe ich grade getestet mit dem xp-ISO von geforce, da ist ein xp-Keygen drin, wird nun erkannt, egal wie die Dateiendung lautet, selbst wenn Dienst: Überwachung verteilter Verknüpfungen (Client) deaktiviert sein sollte. TOP!


Mario

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Beitrag von Mario » 14.06.2026, 19:08

Meine Frage ist: Wenn man dieses HP BIOS Update einspielt und danach im Custom Mode die Zertifikate ändert, was passiert dann? Wie verhält sich das UEFI bzw. was muss zusätzlich durchgeführt werden, damit die Zertifikate normal akzeptiert werden?

Mikey

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Beitrag von Mikey » 14.06.2026, 22:50

@DK2000 - btw: Secure Boot für dein Tab

Schau dir mal diese beiden Links an: Original Equipment Manufacturer Webseiten für den sicheren Start
https://support.microsoft.com/de-de/top ... 6b35b8fb68

Den hier mit Edge öffnen und (rechts oben) ... übersetzten dann Deutsch auswählen (ist die Samsung-Site für Secure Boot in KR)
btw: Manueller Update-Leitfaden für Secure Boot-Zertifikate Samsung Link ist auf der Seite
https://www.samsung.com/sec/support/newsalert/3963/

Benutzeravatar
Holgi
Guru
Guru
Beiträge: 4245
Registriert: 12.05.2018, 12:33
Hat sich bedankt: 588 Mal
Danke erhalten: 935 Mal
Gender:

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Beitrag von Holgi » 15.06.2026, 00:48

Update:
eine von UUPDUMP erzeugte ISO (WIN 11 25H2 26200.8655) funktionierte wieder ganz normal.
Das hat dann scheinbar doch nichts allein mit CERT2023 zu tun.
UUPDUMP "verbaut" immer noch die bootx64.efi mit 2011er Zertifikat.
Im Augenblick gehe ich davon aus, dass in den Homebrew ISOs einfach nur die install.wim (boot.wim) ausgetauscht wurde(n) und dadurch irgendwas nicht mehr passt.
PDF24 angepasste Installation (nur PDF Druckertreiber) per Script: viewtopic.php?t=30284
Winget (Desktop App Installer) für Windows Versionen ohne Store installieren (HowTo): viewtopic.php?t=26214
Vorstellung: tiny11builder; Script zur Verschlankung von Windows 11: viewtopic.php?t=30134
Windows StartMenü Empfohlen (Recommended Section) komplett ausblenden: viewtopic.php?t=30574
Hyper-V VM per Script erstellen viewtopic.php?t=25114

Benutzeravatar
DK2000
Legende
Legende
Beiträge: 11029
Registriert: 03.04.2018, 00:07
Hat sich bedankt: 284 Mal
Danke erhalten: 959 Mal
Gender:

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Beitrag von DK2000 » 15.06.2026, 12:48

UUPDUMP "verbaut" immer noch die bootx64.efi mit 2011er Zertifikat.
In der "ConvertConfig.ini" die Option "UpdtBootFiles=1" setzen:

:: Change to 1 to update ISO boot files bootmgr/memtest/efisys.bin from Cumulative Update
:: this also update new UEFI CA 2023 boot files if detected


Ob das aber so richtig funktioniert, keine Ahnung. Schon lange keine ISO mehr über UUPDump erstellt. Bin gerade mal am Testen.

@Mikey:

Ja, da gibt es nur nichts für mein Gerät. Das ist jetzt schon 6 Jahre aus dem Support und da macht Samsung nichts mehr.
Zuletzt geändert von DK2000 am 15.06.2026, 12:50, insgesamt 1-mal geändert.

Benutzeravatar
Holgi
Guru
Guru
Beiträge: 4245
Registriert: 12.05.2018, 12:33
Hat sich bedankt: 588 Mal
Danke erhalten: 935 Mal
Gender:

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Beitrag von Holgi » 15.06.2026, 12:50

Wahnsinn! Danke!
Muss ich unbedingt mal testen!
PDF24 angepasste Installation (nur PDF Druckertreiber) per Script: viewtopic.php?t=30284
Winget (Desktop App Installer) für Windows Versionen ohne Store installieren (HowTo): viewtopic.php?t=26214
Vorstellung: tiny11builder; Script zur Verschlankung von Windows 11: viewtopic.php?t=30134
Windows StartMenü Empfohlen (Recommended Section) komplett ausblenden: viewtopic.php?t=30574
Hyper-V VM per Script erstellen viewtopic.php?t=25114

Benutzeravatar
DK2000
Legende
Legende
Beiträge: 11029
Registriert: 03.04.2018, 00:07
Hat sich bedankt: 284 Mal
Danke erhalten: 959 Mal
Gender:

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Beitrag von DK2000 » 15.06.2026, 15:02

Habe das jetzt mal getestet:

28120.2302.260608-1818.BR_PRERELEASE_IM_CLIENTMULTI_X64FRE_DE-DE.ISO

Klappt nicht zu 100%. Das meiste passt zwar, aber es wird leider die alte efisys.bin verwendet (CA 2011/SVN 1.0). Das hat natürlich zur Folge, wenn in der VM bereits SVN 3.0 für cdboot eingetragen ist, bootet die ISO nicht. Ebenso wenn das CA 2011 bereits widerrufen wurde. Das ist natürlich Käse.

Das Problem betrifft aber auch wirklich nur, wenn man in der VM mit der ISO booten will oder eine DVD damit erstellt. Auf USB Stick hat das keinen Einfluss.

bodu
Aufsteiger
Aufsteiger
Beiträge: 79
Registriert: 28.08.2021, 09:26
Hat sich bedankt: 2 Mal
Danke erhalten: 10 Mal

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Beitrag von bodu » 23.06.2026, 23:18

Die Windows CDBoot SVN ist mir unklar.

Ein Fall: NVRAM:
Windows BootMgr SVN : 8.0
Windows CDBoot SVN : 3.0

Eine SVN 7.0 DVD gebootet:
Secure boot version check failed.
Current Version 7.0 - Minimum allowed Version 8.0
Die Windows BootMgr SVN wird angemeckert, nicht die Windows CDBoot SVN.



Ein weitere Fall: NVRAM:
Windows BootMgr SVN : 9.0
Windows CDBoot SVN : 3.0

Mit de-de_windows_11_business_editions_version_25h2_updated_june_2026_x64_dvd_ce4ae96d.iso und Make2023BootableMedia.ps1 erstelltem ISO:
DVD bootet neu, keine Fehlermeldung.

Ein Sprung in die Vergangenheit, BCDW https://sobek.hsdn.org/Docs/bcdw/images_d.htm
fd005760.zip 4x1.44 MB nach C:\CA2023\SVN9.ima extrahiert.
Mit Imdisk oder AIM Toolkit als Laufwerk A: gemountet. Und einen SVN 9 Windows BootMgr zum Diskettenimage kopiert.
xcopy C:\Windows\Boot\EFI_EX\bootmgfw_EX.efi A:\EFI\BOOT\BootX64.efi
Die mit Make2023BootableMedia.ps1 erstellte CA2023 ISO als D: gemountet, (Das BIOS boot zusätzlich als historische Verbeugung beibehalten)
oscdimg.exe -bootdata:2#p0,e,bC:\Windows\Boot\DVD\PCAT\Etfsboot.com#pEF,e,bC:\CA2023\SVN9.ima -u1 -udfver102 D:\ SVN9_W11_CA2023_25H2.iso
DVD booten ist auf Windows BootMgr SVN 9.0 Rechner möglich.

Ein manuelles SVN Update werde ich auf einem produktiven Rechner möglichst vermeiden.
Erst mit verfügbarem MVS ISO, bzw Windows Update ISO synchonisieren.
Zukünftige Sicherheitshinweise werden das zusätzlich beeinflusse, bzw überstimmen.

Benutzeravatar
DK2000
Legende
Legende
Beiträge: 11029
Registriert: 03.04.2018, 00:07
Hat sich bedankt: 284 Mal
Danke erhalten: 959 Mal
Gender:

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Beitrag von DK2000 » 23.06.2026, 23:33

Im Grunde hast du es ja schon erkannt: Das Problem liegt am Bootsektor der ISO/DVD. Microsoft nutzt dort noch den alten Bootsektor, und die enthaltene bootx64.efi ist ebenfalls veraltet. Das Microsoft-Skript hingegen verwendet den neuen Bootsektor mit aktueller bootx64.efi. Der Bootsektor mit der bootx64.efi für ISO/DVD steckt in der efisys.bin (alt) bzw. efisys_ex.bin (neu).

Die efisys_ex.bin enthält die bootx64.efi mit CA 2023 und SVN >= 3.0. Man kann sich aber auch eine Diskette mit SVN 9.0 bootx64.efi erstellen – Hauptsache nicht unter SVN 3.0.

Das SVN-Update habe ich in mehreren VMs wieder entfernt, weil mich das bei den ISOs teilweise nervt. Eine VM ist allerdings noch komplett aktiviert, was das alles betrifft.

Grobi847
Grünschnabel
Grünschnabel
Beiträge: 40
Registriert: 14.12.2024, 11:56
Hat sich bedankt: 1 Mal
Danke erhalten: 10 Mal

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Beitrag von Grobi847 » 26.06.2026, 20:06

Moin,
ich habe ein Verständnisproblem, mit dem ungültig werden des KEKs. Am 24.6.26 wurde Microsoft Corporation KEK CA 2011 ungültig. Warum wird sie nicht auf revoked True gesetzt?
Meine Konfiguration sieht folgendermaßen aus.

26 Jun 2026
------------------------------------------------------------
HW : Dell Inc. - OptiPlex 3070 - AMD64/X64
FW : Dell Inc. - 1.35.0 - 04 Sep 2025
OS : Windows 11 - 25H2 (Build 26200.8737)

Detected AMD64/X64 UEFI architecture. Ensure that this is correct for valid DBX results.

Secure Boot status: Enabled

Current UEFI PK
√ Dell Inc. Platform Key

Default UEFI PK
√ Dell Inc. Platform Key

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
√ Dell Inc. Key Exchange Key
√ Dell Inc. Key Exchange Key Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False) √ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
√ Dell Inc. Key Exchange Key
√ Dell Inc. Key Exchange Key Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Dell Bios DB Key
√ Dell Bios FW Aux Authority 2018

Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Dell Bios DB Key
√ Dell Bios FW Aux Authority 2018

Current UEFI DBX
2025-10-14 (v1.6.0) [AMD64] : SUCCESS: 431 successes detected
Current Windows staged : SUCCESS: 289 successes detected
Windows BootMgr SVN : 9.0
Windows CDBoot SVN : 3.0
Windows WDSMgFw SVN : 3.0
Statistics : 27610 Bytes, 493 SHA256 hashes, 2 X.509 certs, 9 SVNs


PowerShell-Status-Check
Ist Secure Boot überhaupt aktiv?
PowerShell 7.5.5
PS C:\Users\Rolf> Confirm-SecureBootUEFI
True

Steht die Windows UEFI CA 2023 schon in der DB?
PowerShell 7.5.5
PS C:\Users\Rolf> [System.Text.Encoding]::ASCII.GetString( `
>> (Get-SecureBootUEFI db).bytes `
>> ) -match 'Windows UEFI CA 2023'
True

KEK 2K CA 2023 vorhanden?
PowerShell 7.5.5
PS C:\Users\Rolf> [System.Text.Encoding]::ASCII.GetString( `
>> (Get-SecureBootUEFI KEK).bytes `
>> ) -match 'Microsoft Corporation KEK 2K CA 2023'
True

Für eine Erklärung wäre ich sehr dankbar.

Gruß Grobi847

Antworten