Leidiges Thema Secure Boot Zertifikate [Hilfe]
-
Mario
Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]
Irgendwie verstehe ich den Text nicht (auch nicht den englischen Originaltext). Was genau passiert auf HP Laptops nach dem Update? Irgendwie liest sich das grob so, als wenn HP alle Änderungen verhindern würde, die keine original Microsoft Zertifikate sind. Das würde ja effektiv bedeuten, das der "Custom Mode" für Secure Boot durch die Hintertür abgeschafft wird.G4User hat geschrieben: 13.06.2026, 19:36 Beispiel: Notebooks HP G4 Notebook/PC
VERBESSERUNGEN:
- Fügt einen neuen Eigentumsstatus für Secure-Boot-Zertifikate (Stand 2023) hinzu, um zu erfassen,
ob die Zertifikatseinstellungen den Microsoft-Standardwerten entsprechen oder vom Benutzer geändert wurden.
Wenn Zertifikate geändert werden (hinzugefügt, deaktiviert oder gelöscht), übernimmt das HP BIOS die Kontrolle über die Richtlinien, um Änderungen an Secure Boot beim Systemneustart zu verhindern.
Ich kenne das von DELL Systemen, dass man wenn man in UEFI etwas im Custom Mode ändert, man dann beim nächsten Reboot eine PIN auf der Tastatur eingeben muss, da sonst die Änderungen verworfen werden. So etwas würde ich in Ordnung finden, da man ja nicht pausenlos die Keys ändert. Ist so etwas die Änderung bei HP? Oder was genau wurde mit dem Update geändert?
-
Tante Google
- Holgi
- Guru

- Beiträge: 4245
- Registriert: 12.05.2018, 12:33
- Hat sich bedankt: 588 Mal
- Danke erhalten: 935 Mal
- Gender:
Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]
um den Thread hier:
viewtopic.php?t=26028&start=5100
nicht weiter zu belasten (geht ja dort eigentlich um Zero Limit ISOs)
schreibe ich mal hier weiter.
Problem:
Auf einem aktuellen Windows Rechner (Thinkpad X1 Gen13 mit Windows 25H2 26200.8655) lassen sich nicht mehr alle Windows Versionenin einer Hyper-V VM installieren. Hängt mit
Windows UEFI CA 2023
Secure Boot Revocations (DBX)
Secure Version Number (SVN)
Hyper-V Gen2 Firmware
alte Installations- und WinPE-Medien etc.
zusammen.
Bei dem einen geht es, bei dem anderen nicht. Mal so, mal so.
Ich bin jetzt ebenfalls am experimentieren.
Folgende Links habe ich dazu ausgegraben:
https://lenovopress.lenovo.com/lp2353-u ... rtificate?
https://www.deploymentresearch.com/crea ... so-files/?
https://github.com/DeploymentResearch/D ... tFiles.ps1
Vielleicht hilft das irgendwie weiter. Selbst blicke ich da noch nicht wirklich durch.
viewtopic.php?t=26028&start=5100
nicht weiter zu belasten (geht ja dort eigentlich um Zero Limit ISOs)
schreibe ich mal hier weiter.
Problem:
Auf einem aktuellen Windows Rechner (Thinkpad X1 Gen13 mit Windows 25H2 26200.8655) lassen sich nicht mehr alle Windows Versionenin einer Hyper-V VM installieren. Hängt mit
Windows UEFI CA 2023
Secure Boot Revocations (DBX)
Secure Version Number (SVN)
Hyper-V Gen2 Firmware
alte Installations- und WinPE-Medien etc.
zusammen.
Bei dem einen geht es, bei dem anderen nicht. Mal so, mal so.
Ich bin jetzt ebenfalls am experimentieren.
Folgende Links habe ich dazu ausgegraben:
https://lenovopress.lenovo.com/lp2353-u ... rtificate?
https://www.deploymentresearch.com/crea ... so-files/?
https://github.com/DeploymentResearch/D ... tFiles.ps1
Vielleicht hilft das irgendwie weiter. Selbst blicke ich da noch nicht wirklich durch.
PDF24 angepasste Installation (nur PDF Druckertreiber) per Script: viewtopic.php?t=30284
Winget (Desktop App Installer) für Windows Versionen ohne Store installieren (HowTo): viewtopic.php?t=26214
Vorstellung: tiny11builder; Script zur Verschlankung von Windows 11: viewtopic.php?t=30134
Windows StartMenü Empfohlen (Recommended Section) komplett ausblenden: viewtopic.php?t=30574
Hyper-V VM per Script erstellen viewtopic.php?t=25114
Winget (Desktop App Installer) für Windows Versionen ohne Store installieren (HowTo): viewtopic.php?t=26214
Vorstellung: tiny11builder; Script zur Verschlankung von Windows 11: viewtopic.php?t=30134
Windows StartMenü Empfohlen (Recommended Section) komplett ausblenden: viewtopic.php?t=30574
Hyper-V VM per Script erstellen viewtopic.php?t=25114
- Holgi
- Guru

- Beiträge: 4245
- Registriert: 12.05.2018, 12:33
- Hat sich bedankt: 588 Mal
- Danke erhalten: 935 Mal
- Gender:
Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]
am Dienstag dem 16.06.2026 müßte es neue Windows MVS Installationsmedien geben.
Bin mal gespannt.
Die letzten aus Mai hatten noch das 2011er Zertifikat.
Bin mal gespannt.
Die letzten aus Mai hatten noch das 2011er Zertifikat.
PDF24 angepasste Installation (nur PDF Druckertreiber) per Script: viewtopic.php?t=30284
Winget (Desktop App Installer) für Windows Versionen ohne Store installieren (HowTo): viewtopic.php?t=26214
Vorstellung: tiny11builder; Script zur Verschlankung von Windows 11: viewtopic.php?t=30134
Windows StartMenü Empfohlen (Recommended Section) komplett ausblenden: viewtopic.php?t=30574
Hyper-V VM per Script erstellen viewtopic.php?t=25114
Winget (Desktop App Installer) für Windows Versionen ohne Store installieren (HowTo): viewtopic.php?t=26214
Vorstellung: tiny11builder; Script zur Verschlankung von Windows 11: viewtopic.php?t=30134
Windows StartMenü Empfohlen (Recommended Section) komplett ausblenden: viewtopic.php?t=30574
Hyper-V VM per Script erstellen viewtopic.php?t=25114
- DK2000
- Legende

- Beiträge: 11029
- Registriert: 03.04.2018, 00:07
- Hat sich bedankt: 284 Mal
- Danke erhalten: 959 Mal
- Gender:
Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]
Das dürfte dabei bleiben, Solange das CA 2011 nicht widerrufen wurde, macht das eigentlich nichts. Problem ist halt nur, wenn SVN 3.0 für cdboot im UEFI steht. Dann muss man zur Erstellung der ISO die passende efisys_ex.bin verwenden, egal ob CA 2011 oder CA 2023.
-
G4User
Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]
Mario hat geschrieben: 14.06.2026, 00:31Custom Mode ist Geschichte, Änderungen ab dem Bios nur noch über den hp Support möglich (Bios Downgrade, Secure-Boot Änderungen, etc.)
MS-Pluton-Chip nun auch aktiv:
Defender erkennt nun auch jede Änderung, z.B. wenn du ein .ISO in .xyz (umbenennen) wird alles böse nun erkannt, habe ich grade getestet mit dem xp-ISO von geforce, da ist ein xp-Keygen drin, wird nun erkannt, egal wie die Dateiendung lautet, selbst wenn Dienst: Überwachung verteilter Verknüpfungen (Client) deaktiviert sein sollte. TOP!
-
Mario
Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]
Meine Frage ist: Wenn man dieses HP BIOS Update einspielt und danach im Custom Mode die Zertifikate ändert, was passiert dann? Wie verhält sich das UEFI bzw. was muss zusätzlich durchgeführt werden, damit die Zertifikate normal akzeptiert werden?
-
Mikey
Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]
@DK2000 - btw: Secure Boot für dein Tab
Schau dir mal diese beiden Links an: Original Equipment Manufacturer Webseiten für den sicheren Start
https://support.microsoft.com/de-de/top ... 6b35b8fb68
Den hier mit Edge öffnen und (rechts oben) ... übersetzten dann Deutsch auswählen (ist die Samsung-Site für Secure Boot in KR)
btw: Manueller Update-Leitfaden für Secure Boot-Zertifikate Samsung Link ist auf der Seite
https://www.samsung.com/sec/support/newsalert/3963/
Schau dir mal diese beiden Links an: Original Equipment Manufacturer Webseiten für den sicheren Start
https://support.microsoft.com/de-de/top ... 6b35b8fb68
Den hier mit Edge öffnen und (rechts oben) ... übersetzten dann Deutsch auswählen (ist die Samsung-Site für Secure Boot in KR)
btw: Manueller Update-Leitfaden für Secure Boot-Zertifikate Samsung Link ist auf der Seite
https://www.samsung.com/sec/support/newsalert/3963/
- Holgi
- Guru

- Beiträge: 4245
- Registriert: 12.05.2018, 12:33
- Hat sich bedankt: 588 Mal
- Danke erhalten: 935 Mal
- Gender:
Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]
Update:
eine von UUPDUMP erzeugte ISO (WIN 11 25H2 26200.8655) funktionierte wieder ganz normal.
Das hat dann scheinbar doch nichts allein mit CERT2023 zu tun.
UUPDUMP "verbaut" immer noch die bootx64.efi mit 2011er Zertifikat.
Im Augenblick gehe ich davon aus, dass in den Homebrew ISOs einfach nur die install.wim (boot.wim) ausgetauscht wurde(n) und dadurch irgendwas nicht mehr passt.
eine von UUPDUMP erzeugte ISO (WIN 11 25H2 26200.8655) funktionierte wieder ganz normal.
Das hat dann scheinbar doch nichts allein mit CERT2023 zu tun.
UUPDUMP "verbaut" immer noch die bootx64.efi mit 2011er Zertifikat.
Im Augenblick gehe ich davon aus, dass in den Homebrew ISOs einfach nur die install.wim (boot.wim) ausgetauscht wurde(n) und dadurch irgendwas nicht mehr passt.
PDF24 angepasste Installation (nur PDF Druckertreiber) per Script: viewtopic.php?t=30284
Winget (Desktop App Installer) für Windows Versionen ohne Store installieren (HowTo): viewtopic.php?t=26214
Vorstellung: tiny11builder; Script zur Verschlankung von Windows 11: viewtopic.php?t=30134
Windows StartMenü Empfohlen (Recommended Section) komplett ausblenden: viewtopic.php?t=30574
Hyper-V VM per Script erstellen viewtopic.php?t=25114
Winget (Desktop App Installer) für Windows Versionen ohne Store installieren (HowTo): viewtopic.php?t=26214
Vorstellung: tiny11builder; Script zur Verschlankung von Windows 11: viewtopic.php?t=30134
Windows StartMenü Empfohlen (Recommended Section) komplett ausblenden: viewtopic.php?t=30574
Hyper-V VM per Script erstellen viewtopic.php?t=25114
- DK2000
- Legende

- Beiträge: 11029
- Registriert: 03.04.2018, 00:07
- Hat sich bedankt: 284 Mal
- Danke erhalten: 959 Mal
- Gender:
Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]
In der "ConvertConfig.ini" die Option "UpdtBootFiles=1" setzen:UUPDUMP "verbaut" immer noch die bootx64.efi mit 2011er Zertifikat.
:: Change to 1 to update ISO boot files bootmgr/memtest/efisys.bin from Cumulative Update
:: this also update new UEFI CA 2023 boot files if detected
Ob das aber so richtig funktioniert, keine Ahnung. Schon lange keine ISO mehr über UUPDump erstellt. Bin gerade mal am Testen.
@Mikey:
Ja, da gibt es nur nichts für mein Gerät. Das ist jetzt schon 6 Jahre aus dem Support und da macht Samsung nichts mehr.
Zuletzt geändert von DK2000 am 15.06.2026, 12:50, insgesamt 1-mal geändert.
- Holgi
- Guru

- Beiträge: 4245
- Registriert: 12.05.2018, 12:33
- Hat sich bedankt: 588 Mal
- Danke erhalten: 935 Mal
- Gender:
Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]
Wahnsinn! Danke!
Muss ich unbedingt mal testen!
Muss ich unbedingt mal testen!
PDF24 angepasste Installation (nur PDF Druckertreiber) per Script: viewtopic.php?t=30284
Winget (Desktop App Installer) für Windows Versionen ohne Store installieren (HowTo): viewtopic.php?t=26214
Vorstellung: tiny11builder; Script zur Verschlankung von Windows 11: viewtopic.php?t=30134
Windows StartMenü Empfohlen (Recommended Section) komplett ausblenden: viewtopic.php?t=30574
Hyper-V VM per Script erstellen viewtopic.php?t=25114
Winget (Desktop App Installer) für Windows Versionen ohne Store installieren (HowTo): viewtopic.php?t=26214
Vorstellung: tiny11builder; Script zur Verschlankung von Windows 11: viewtopic.php?t=30134
Windows StartMenü Empfohlen (Recommended Section) komplett ausblenden: viewtopic.php?t=30574
Hyper-V VM per Script erstellen viewtopic.php?t=25114
- DK2000
- Legende

- Beiträge: 11029
- Registriert: 03.04.2018, 00:07
- Hat sich bedankt: 284 Mal
- Danke erhalten: 959 Mal
- Gender:
Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]
Habe das jetzt mal getestet:
28120.2302.260608-1818.BR_PRERELEASE_IM_CLIENTMULTI_X64FRE_DE-DE.ISO
Klappt nicht zu 100%. Das meiste passt zwar, aber es wird leider die alte efisys.bin verwendet (CA 2011/SVN 1.0). Das hat natürlich zur Folge, wenn in der VM bereits SVN 3.0 für cdboot eingetragen ist, bootet die ISO nicht. Ebenso wenn das CA 2011 bereits widerrufen wurde. Das ist natürlich Käse.
Das Problem betrifft aber auch wirklich nur, wenn man in der VM mit der ISO booten will oder eine DVD damit erstellt. Auf USB Stick hat das keinen Einfluss.
28120.2302.260608-1818.BR_PRERELEASE_IM_CLIENTMULTI_X64FRE_DE-DE.ISO
Klappt nicht zu 100%. Das meiste passt zwar, aber es wird leider die alte efisys.bin verwendet (CA 2011/SVN 1.0). Das hat natürlich zur Folge, wenn in der VM bereits SVN 3.0 für cdboot eingetragen ist, bootet die ISO nicht. Ebenso wenn das CA 2011 bereits widerrufen wurde. Das ist natürlich Käse.
Das Problem betrifft aber auch wirklich nur, wenn man in der VM mit der ISO booten will oder eine DVD damit erstellt. Auf USB Stick hat das keinen Einfluss.
-
bodu
- Aufsteiger

- Beiträge: 79
- Registriert: 28.08.2021, 09:26
- Hat sich bedankt: 2 Mal
- Danke erhalten: 10 Mal
Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]
Die Windows CDBoot SVN ist mir unklar.
Ein Fall: NVRAM:
Windows BootMgr SVN : 8.0
Windows CDBoot SVN : 3.0
Eine SVN 7.0 DVD gebootet:
Secure boot version check failed.
Current Version 7.0 - Minimum allowed Version 8.0
Die Windows BootMgr SVN wird angemeckert, nicht die Windows CDBoot SVN.
Ein weitere Fall: NVRAM:
Windows BootMgr SVN : 9.0
Windows CDBoot SVN : 3.0
Mit de-de_windows_11_business_editions_version_25h2_updated_june_2026_x64_dvd_ce4ae96d.iso und Make2023BootableMedia.ps1 erstelltem ISO:
DVD bootet neu, keine Fehlermeldung.
Ein Sprung in die Vergangenheit, BCDW https://sobek.hsdn.org/Docs/bcdw/images_d.htm
fd005760.zip 4x1.44 MB nach C:\CA2023\SVN9.ima extrahiert.
Mit Imdisk oder AIM Toolkit als Laufwerk A: gemountet. Und einen SVN 9 Windows BootMgr zum Diskettenimage kopiert.
xcopy C:\Windows\Boot\EFI_EX\bootmgfw_EX.efi A:\EFI\BOOT\BootX64.efi
Die mit Make2023BootableMedia.ps1 erstellte CA2023 ISO als D: gemountet, (Das BIOS boot zusätzlich als historische Verbeugung beibehalten)
oscdimg.exe -bootdata:2#p0,e,bC:\Windows\Boot\DVD\PCAT\Etfsboot.com#pEF,e,bC:\CA2023\SVN9.ima -u1 -udfver102 D:\ SVN9_W11_CA2023_25H2.iso
DVD booten ist auf Windows BootMgr SVN 9.0 Rechner möglich.
Ein manuelles SVN Update werde ich auf einem produktiven Rechner möglichst vermeiden.
Erst mit verfügbarem MVS ISO, bzw Windows Update ISO synchonisieren.
Zukünftige Sicherheitshinweise werden das zusätzlich beeinflusse, bzw überstimmen.
Ein Fall: NVRAM:
Windows BootMgr SVN : 8.0
Windows CDBoot SVN : 3.0
Eine SVN 7.0 DVD gebootet:
Secure boot version check failed.
Current Version 7.0 - Minimum allowed Version 8.0
Die Windows BootMgr SVN wird angemeckert, nicht die Windows CDBoot SVN.
Ein weitere Fall: NVRAM:
Windows BootMgr SVN : 9.0
Windows CDBoot SVN : 3.0
Mit de-de_windows_11_business_editions_version_25h2_updated_june_2026_x64_dvd_ce4ae96d.iso und Make2023BootableMedia.ps1 erstelltem ISO:
DVD bootet neu, keine Fehlermeldung.
Ein Sprung in die Vergangenheit, BCDW https://sobek.hsdn.org/Docs/bcdw/images_d.htm
fd005760.zip 4x1.44 MB nach C:\CA2023\SVN9.ima extrahiert.
Mit Imdisk oder AIM Toolkit als Laufwerk A: gemountet. Und einen SVN 9 Windows BootMgr zum Diskettenimage kopiert.
xcopy C:\Windows\Boot\EFI_EX\bootmgfw_EX.efi A:\EFI\BOOT\BootX64.efi
Die mit Make2023BootableMedia.ps1 erstellte CA2023 ISO als D: gemountet, (Das BIOS boot zusätzlich als historische Verbeugung beibehalten)
oscdimg.exe -bootdata:2#p0,e,bC:\Windows\Boot\DVD\PCAT\Etfsboot.com#pEF,e,bC:\CA2023\SVN9.ima -u1 -udfver102 D:\ SVN9_W11_CA2023_25H2.iso
DVD booten ist auf Windows BootMgr SVN 9.0 Rechner möglich.
Ein manuelles SVN Update werde ich auf einem produktiven Rechner möglichst vermeiden.
Erst mit verfügbarem MVS ISO, bzw Windows Update ISO synchonisieren.
Zukünftige Sicherheitshinweise werden das zusätzlich beeinflusse, bzw überstimmen.
- DK2000
- Legende

- Beiträge: 11029
- Registriert: 03.04.2018, 00:07
- Hat sich bedankt: 284 Mal
- Danke erhalten: 959 Mal
- Gender:
Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]
Im Grunde hast du es ja schon erkannt: Das Problem liegt am Bootsektor der ISO/DVD. Microsoft nutzt dort noch den alten Bootsektor, und die enthaltene bootx64.efi ist ebenfalls veraltet. Das Microsoft-Skript hingegen verwendet den neuen Bootsektor mit aktueller bootx64.efi. Der Bootsektor mit der bootx64.efi für ISO/DVD steckt in der efisys.bin (alt) bzw. efisys_ex.bin (neu).
Die efisys_ex.bin enthält die bootx64.efi mit CA 2023 und SVN >= 3.0. Man kann sich aber auch eine Diskette mit SVN 9.0 bootx64.efi erstellen – Hauptsache nicht unter SVN 3.0.
Das SVN-Update habe ich in mehreren VMs wieder entfernt, weil mich das bei den ISOs teilweise nervt. Eine VM ist allerdings noch komplett aktiviert, was das alles betrifft.
Die efisys_ex.bin enthält die bootx64.efi mit CA 2023 und SVN >= 3.0. Man kann sich aber auch eine Diskette mit SVN 9.0 bootx64.efi erstellen – Hauptsache nicht unter SVN 3.0.
Das SVN-Update habe ich in mehreren VMs wieder entfernt, weil mich das bei den ISOs teilweise nervt. Eine VM ist allerdings noch komplett aktiviert, was das alles betrifft.
-
Grobi847
- Grünschnabel

- Beiträge: 40
- Registriert: 14.12.2024, 11:56
- Hat sich bedankt: 1 Mal
- Danke erhalten: 10 Mal
Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]
Moin,
ich habe ein Verständnisproblem, mit dem ungültig werden des KEKs. Am 24.6.26 wurde Microsoft Corporation KEK CA 2011 ungültig. Warum wird sie nicht auf revoked True gesetzt?
Meine Konfiguration sieht folgendermaßen aus.
26 Jun 2026
------------------------------------------------------------
HW : Dell Inc. - OptiPlex 3070 - AMD64/X64
FW : Dell Inc. - 1.35.0 - 04 Sep 2025
OS : Windows 11 - 25H2 (Build 26200.8737)
Detected AMD64/X64 UEFI architecture. Ensure that this is correct for valid DBX results.
Secure Boot status: Enabled
Current UEFI PK
√ Dell Inc. Platform Key
Default UEFI PK
√ Dell Inc. Platform Key
Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
√ Dell Inc. Key Exchange Key
√ Dell Inc. Key Exchange Key Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False) √ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
√ Dell Inc. Key Exchange Key
√ Dell Inc. Key Exchange Key Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Dell Bios DB Key
√ Dell Bios FW Aux Authority 2018
Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Dell Bios DB Key
√ Dell Bios FW Aux Authority 2018
Current UEFI DBX
2025-10-14 (v1.6.0) [AMD64] : SUCCESS: 431 successes detected
Current Windows staged : SUCCESS: 289 successes detected
Windows BootMgr SVN : 9.0
Windows CDBoot SVN : 3.0
Windows WDSMgFw SVN : 3.0
Statistics : 27610 Bytes, 493 SHA256 hashes, 2 X.509 certs, 9 SVNs
PowerShell-Status-Check
Ist Secure Boot überhaupt aktiv?
PowerShell 7.5.5
PS C:\Users\Rolf> Confirm-SecureBootUEFI
True
Steht die Windows UEFI CA 2023 schon in der DB?
PowerShell 7.5.5
PS C:\Users\Rolf> [System.Text.Encoding]::ASCII.GetString( `
>> (Get-SecureBootUEFI db).bytes `
>> ) -match 'Windows UEFI CA 2023'
True
KEK 2K CA 2023 vorhanden?
PowerShell 7.5.5
PS C:\Users\Rolf> [System.Text.Encoding]::ASCII.GetString( `
>> (Get-SecureBootUEFI KEK).bytes `
>> ) -match 'Microsoft Corporation KEK 2K CA 2023'
True
Für eine Erklärung wäre ich sehr dankbar.
Gruß Grobi847
ich habe ein Verständnisproblem, mit dem ungültig werden des KEKs. Am 24.6.26 wurde Microsoft Corporation KEK CA 2011 ungültig. Warum wird sie nicht auf revoked True gesetzt?
Meine Konfiguration sieht folgendermaßen aus.
26 Jun 2026
------------------------------------------------------------
HW : Dell Inc. - OptiPlex 3070 - AMD64/X64
FW : Dell Inc. - 1.35.0 - 04 Sep 2025
OS : Windows 11 - 25H2 (Build 26200.8737)
Detected AMD64/X64 UEFI architecture. Ensure that this is correct for valid DBX results.
Secure Boot status: Enabled
Current UEFI PK
√ Dell Inc. Platform Key
Default UEFI PK
√ Dell Inc. Platform Key
Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
√ Dell Inc. Key Exchange Key
√ Dell Inc. Key Exchange Key Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False) √ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
√ Dell Inc. Key Exchange Key
√ Dell Inc. Key Exchange Key Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Dell Bios DB Key
√ Dell Bios FW Aux Authority 2018
Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Dell Bios DB Key
√ Dell Bios FW Aux Authority 2018
Current UEFI DBX
2025-10-14 (v1.6.0) [AMD64] : SUCCESS: 431 successes detected
Current Windows staged : SUCCESS: 289 successes detected
Windows BootMgr SVN : 9.0
Windows CDBoot SVN : 3.0
Windows WDSMgFw SVN : 3.0
Statistics : 27610 Bytes, 493 SHA256 hashes, 2 X.509 certs, 9 SVNs
PowerShell-Status-Check
Ist Secure Boot überhaupt aktiv?
PowerShell 7.5.5
PS C:\Users\Rolf> Confirm-SecureBootUEFI
True
Steht die Windows UEFI CA 2023 schon in der DB?
PowerShell 7.5.5
PS C:\Users\Rolf> [System.Text.Encoding]::ASCII.GetString( `
>> (Get-SecureBootUEFI db).bytes `
>> ) -match 'Windows UEFI CA 2023'
True
KEK 2K CA 2023 vorhanden?
PowerShell 7.5.5
PS C:\Users\Rolf> [System.Text.Encoding]::ASCII.GetString( `
>> (Get-SecureBootUEFI KEK).bytes `
>> ) -match 'Microsoft Corporation KEK 2K CA 2023'
True
Für eine Erklärung wäre ich sehr dankbar.
Gruß Grobi847