Neue SecureBoot Zertifikate werden nicht geladen

Moya

Moya

Enthusiast
Thread Starter
Mitglied seit
05.09.2006
Beiträge
898
Ort
München
Hallo,
die alten Zertifikate laufen aus , die neuen werden verteilt , wenn es klappt hat man in der Ereignisanzeige unter System , Quelle TPM-WMI als Ereignis ID 1808 die Erfolgsmeldung "Dieses Gerät hat .....aktualisiert."
Bei 2 Rechnern hat es geklappt , bei einer Win11 25H2 Rufus Installation auf einem Z170 Board nicht.
Da kommt dann in der Ereignisanzeige die 1801 Meldung "Updated Secure Boot certificates are available on this device but have not yet been applied to the firmware. Review the published guidance to complete the update and maintain full protection. This device signature information is included here." dann kommen noch die DeviceAttributes.
Nun habe ich aber neue Einträge in der Ereignisanzeige
Fehler 1795:
Die Systemfirmware hat beim Versuch, eine Secure-Boot-Variable KEK 2023 zu aktualisieren, den Fehler Falscher Parameter. zurückgegeben. Die Signaturinformationen dieses Geräts sind hier aufgeführt.
Fehler 1797:
Fehler beim Update des sicheren Starts, weil das Windows UEFI CA 2023-Zertifikat nicht in der Datenbank vorhanden ist.

Leider ist mir die Kommunikation zwischen Betriebssystem und UEFI Bios nicht geläufig , es scheint das die neuen Zertifikate nicht ins TPM bzw. UEFI Bios geladen werden können (Fehler 1795) und dann natürlich nicht vorhanden sind (Fehler 1797) .
Hat jemand mit normaler Windows Installation , also ohne Rufus , auf zugelassener Hardware , auch solche Fehlermeldungen ?
Oder sortiert Microsoft hier durch die Hintertür alte Hardware aus , denn ohne neue Zertifikate wird Secure Boot bald nicht mehr funktionieren und es gibt ja schon Spiele die ohne nicht mehr funktionieren ?
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Die KEKse werden z.b. bei MSI auch über Biosupdates verteilt. Schau mal, ob dein Bios aktuell ist bzw. ob es ein neueres Biosupdate dafür gibt und flash das dann.
Wenn Windows da nicht synchronisieren kann, deutet das eher auf eine veraltete Datenbank im Bios/UEFI. Hätte eigentlich schon letztes Jahr so für die Boards vollflächig durch sein müssen.

ps: Wenn das zufälligerweise ein MSI Board sein sollte, kannst du die KEKse auch unter "Settings -> Security -> SecureBoot", da dann von "Standard" auf "Custom" umstellen, unter "Key Management" -> "Key Exchange Keys" bei Details einsehen. Sind da keinerlei CA2023 Zertis mit dabei, dann brauchts ein Biosupdate.

..so z.b. sollte das ausschauen:

MSI_SnapShot_02.png
 
Zuletzt bearbeitet:
Das mit den erforderlichen BIOS-Updates ist aber eher selten meine ich, aber soll durchaus vorkommen. Wenn es dann kein Update gibt, wird es mit dem Gerät schwierig in Sachen Sicherheit....
 
Eigentlich nicht. Ich habe mal bei den Z690er Boards geschaut, da haben die alle, vom Z690 Pro bis zum Godlike im April 2025 sogenannte "Security Updates" bzw. "Code Base Updates" erhalten.
Sollte bei Asus, GB, ASRock und Co. eigentlich auch so sein. Bei Asus werden die öfters über WU Updates eingespielt, ist aber auch nicht die Regel und Z170 ist ja nun nicht der neueste Chipsatz.
Ich würde aber als ersten Weg erst einmal beim Bios ansetzen, denn das deutet alles auf einen DB Kommunikationsfehler hin.

..das MS auf diesen Weg aber vieleicht auch wieder ältere HW. ausselektieren möchte, würde ich auch nicht so ganz ausschließen wollen.
 
Zuletzt bearbeitet:
Hab BIOS auf neuester Version , egal welche Bios Version ich nehme , die Fehlermeldung bleibt gleich.
Es ist ein AsRock Z170 Extreme4
Mich würde interessieren ob das ein Einzelfall ist , oder ob generell Hardware die nicht für Win11 "zugelassen" ist die neuen Zertifikate nicht bekommt.
deshalb meine Vermutung in Post Nr.1 das so alte Hardware aussortiert werden soll
 
Vieleicht einmal beim ASRock Support mit Nennung der Fehler nachfragen?
Wenn die dir schreiben das der Chipsatz nicht unterstützt wird, dann ist das so. Oder die schicken dir ein inoffizielles Bios das du dann einspielen kannst damit das klappt.
Solltest du dann nur nicht mehr danach updaten, weil dann kann die DB wieder futsch sein. Das macht ASRock NL ab und an mal (meine Erfahrung).

ps: Du könntest auch mal bei Github dir den "Check UEFI SecureBoot Variables" herunter laden (auf das gründe Feld "Code" klicken, da dann unten "Download ZIP") und da dann im entpackten Ordner mit rechtsklick (als Admin ausführen) das Befehlszeilentool "Check Windows States" ausführen und schauen, was dir das Tool anzeigt und eventuell welche Fehlermeldungen dazu:

CA2023.png

pps: Du könntest über diese Tools auch manuell die DB Zertis updaten, nur weiß ich persönlich nicht wo es aktuelle dazu gibt und die DB beim Tool ist nicht die neueste.
 
Zuletzt bearbeitet:
Hallo,
ASRock antwortet mir nicht , also muss das Z170 Board warten.
Bei einem AM4 System bei mir war schon alles okay , also die 1808 Meldung kam, dann hab ich ein Bios Update gemacht , jetzt ist wieder die 1801 da.
Das ist zum Haare raufen , ich will ja keine Kraftausdrücke verwenden. Bei github hab ich auch geschaut, wenn ich das Update manuell anstoßen will , friert der Rechner ein

@Erklärbär beim abfragen der Variablen steht bei mir bei UEFICA2023Status "in Progress" und eine Zeile drüber AvailableUpdates : 0x0000
 
Zuletzt bearbeitet:
Das mal probiert?
rog-forum.asus.com

[INFORMATION] Secure Boot : Windows UEFI CA 2023 Update

Hi everyone, https://support.microsoft.com/topic/1db237d8-9f3b-4218-9515-3e0a32729685 https://support.microsoft.com/topic/a7be69c9-4634-42e1-9ca1-df06f43f360d - Secure Boot Windows UEFI CA 2023 Updater : Download : Link Check/Update Process : Check Windows UEFI CA 2023 Update...
rog-forum.asus.com rog-forum.asus.com

oder das:
www.hardwareluxx.de

[Sammelthread] - ASUS ROG Strix B650(E)-E/-F/-I/-A Gaming WIFI (AM5)

Sammelthread zum ASUS ROG Strix B650E-E/-F/-I/-A Gaming WIFI Besonderheiten: Optimierte VRM-Kühlung: Massive Kühlkörper mit strategisch gefrästen Luftstromkanälen und , die mit hochleitfähigen Wärmeleitpads mit den Power Stages verbunden sind Next-Gen M.2 Unterstützung: Zwei PCIe® 5.0...
www.hardwareluxx.de www.hardwareluxx.de
 
Moya schrieb:
Hallo,
ASRock antwortet mir nicht , also muss das Z170 Board warten.
Zum Vergrößern anklicken....
Schade, dann werden die das wohl nicht machen (wollen).

Moya schrieb:
beim abfragen der Variablen steht bei mir bei UEFICA2023Status "in Progress" und eine Zeile drüber AvailableUpdates : 0x0000
Zum Vergrößern anklicken....
Ja, dann gibt es dafür keine Zertis bzw. MS grenzt diese Boards aus. Kann man nichts machen.
 
Der Support von ASRock ist mir eigentlich gut in Erinnerung geblieben. Zwar alles nur per Mail, aber die waren schon bemüht zu helfen. In Sachen BIOS sind die immer recht emsig; für das AM4 Brett hier gab es schon im Oktober ein passendes Update...
 
Ist schon komisch irgendwie , auf dem Board mit 170ger chipsatz und 6600k geht es nicht , da kommt nur immer wieder die 1801 Fehlermeldung , auf einem Board mit H110 Chipsatz kommt die Erfolgsmeldung , also die 1808 in der Ereignisanzeige. Beide Boards natürlich neuestes BIOS , Sockel 1151 und DDR4 2133. Auf meinem AM4 System war alles okay , seit Monaten , nach BIOS Update kommt seit 1 Woche wieder nur die 1801 Fehlermeldung. Bis Sommer , wenn die Zertifikate dann wirklich auslaufen, werden Microsoft und die Hersteller das hoffentlich gefixt haben , denn man kann selber ja nicht so viel machen.
@eSp!s0
rog-forum.asus.com

[INFORMATION] Secure Boot : Windows UEFI CA 2023 Update

Hi everyone, https://support.microsoft.com/topic/1db237d8-9f3b-4218-9515-3e0a32729685 https://support.microsoft.com/topic/a7be69c9-4634-42e1-9ca1-df06f43f360d - Secure Boot Windows UEFI CA 2023 Updater : Download : Link Check/Update Process : Check Windows UEFI CA 2023 Update...
rog-forum.asus.com rog-forum.asus.com
da war ich auch und hab fast alles durchprobiert was es da so gibt
 
Jetzt hat Microsoft was geändert , man muss nicht mehr in die Ereignisanzeige schauen , sonden eine kleine neue Textzeile in Windows-Sicherheit unter Gerätesicherheit , sicherer Start: "Der sichere Start ist aktiviert, und alle erforderlichen Zertifikatsupdates wurden angewendet. Es sind keine weiteren Zertifikatsänderungen erforderlich."
Das ist dasselbe wie die 1808 Meldung in der Ereignisanzeige bisher. Falls die Zertifikate schon da aber noch nicht angewendet sind kommt als Fehlermeldung die 1801 ......
Falls noch nicht bekannt , Ereignisanzeige -> WindowsProtokolle -> System , dann Filtern nach TPM-WMI , sonst kommen zu viele Meldungen , da stehen die Meldungen dann ...
 
Hier ist leider erst ein Gerät ready...
 
Besteht bei mir noch Handlungsbedarf oder passt das so?

Screenshot 2026-04-17 124358.png
 
So wie ich das jetzt sehe, hast du zwar die aktuellen Zertis und KEK'se in der Datenbank, daher das "true" anhand PS, sind aber im UEFI noch nicht aktiv (Current UEFI).
Erster Weg wäre da wohl das Bios zu aktuallisieren und schauen, ob der Mobo Anbieter das dann darüber aktiv setzt. Sollte eigentlich.

Korrekt wäre das so, unter "Current" muss alles aktiv sein:
CA2023.png

..bei dir scheinen da definitiv noch die veralteten 2011er zu laufen.

ps: Du könntest auch mal versuchen, wenn du die passende Software parat hast (z.b. Minitool PartedMagic), die EFI Partition auf eine andere freie Partition (Größe ist egal) zu duplizieren und dann via "Check EFI File" auszulesen. Die original EFI kannst du darüber nicht auslesen, da für Zugriff (verständlicherweise) gesperrt. Würde dann so ausschauen:

EFI CA2023.png

Da hättest du dann auch die Info, ob EFI überhaupt die aktuelle boot.mgr hat. Denn ohne die nutzt der ganze Zauber wenig.
Wenn da noch die alte läuft, dann müsste da unter "Issuer" was mit CA2011 drin stehen und bei "NotBefore" ein uralt Datum.
 
Zuletzt bearbeitet:
Bios ist aktuell und auch wenn ich denke, dass Dell noch ein Update mitden Zertifikaten bringen wird, möchte ich testen was man auf Rechnern macht, welche kein Update mehr bekommen.

Jetzt passt es. (y)
1776425899130.png
1776425952218.png
 
Die Zertis kommen von MS und werden mit den Sicherheitsupdates ausgerollt. Datenbankupdate (db, dbx, KEK, PK) mit z.b. Win-Build 26100.8039 vom 21.03.2026 ist der 19.02.2026.
Kann man alles auf der duplizierten EFI auslesen, die dann auch einen LW-Buchstaben besitzt, siehe Post #18.
 
Habe gerade mal bei mir geschaut, habe auch das neueste Bios drauf und alle Treiber.
Ist so aber nicht in Ordnung - Bild unten
 

Anhänge

  • TPM Fehler.jpg
    TPM Fehler.jpg
    60,6 KB · Aufrufe: 22
  • Bild 2.jpg
    Bild 2.jpg
    40,3 KB · Aufrufe: 20
Bei dir scheint da aber einiges quer zu laufen. Bios, MS Sicherheitsupdates usw. alles aktuell? :unsure:

..lade dir mal bei Github das "Check-UEFISecureBootVariables" Paket herunter (grüner Button "Code", da dann "Download Zip" anwählen).
Aus der entpackten Zip öffnest du dann die CMDs "Check UEFI PK, KEK, DB and DBX" und "Check Windows state" mit rechtsklick "als Admin ausführen".
Davon mach mal Screens und poste die hier. Sind die gleichen wie in den Vorposts über deinen. Ruf aber nicht die "Apply" Files auf, die DBs darin sind veraltet!!
 
Habe ich weiter oben schon gepostet, aber bei mir hat das ganz gut funktioniert, wenn die Zertifikate denn z.B. per BIOS (mein PC) oder manuell (VMware/Omnissa Server-VMs) zur Verfügung gestellt wurden:
rog-forum.asus.com

[INFORMATION] Secure Boot : Windows UEFI CA 2023 Update

Hi everyone, https://support.microsoft.com/topic/1db237d8-9f3b-4218-9515-3e0a32729685 https://support.microsoft.com/topic/a7be69c9-4634-42e1-9ca1-df06f43f360d - Secure Boot Windows UEFI CA 2023 Updater : Download : Link Check/Update Process : Check Windows UEFI CA 2023 Update...
rog-forum.asus.com rog-forum.asus.com

Nach Setup.cmd und Update.cmd benötigte es aber immer mindestens einen Neustart, danach war das Ergebnis über die Check.cmd dann erfolgreich: "Updated"
Habe mich aber nicht allzu sehr mit dem Thema beschäftigt, muss ich gestehen. Daher seid gnädig, wenn ich irgendetwas durcheinander bringe :)
 
Was ich mich zu dem Thema am meisten Frage. Was passiert, wenn die Zertifikate zu alt sind? Hab vor 6 Monaten mal nen Test mit paar Lenovo und Fujitsu Notebooks in der Arbeit gemacht. CMOS Zeit geändert und ohne Netzwerk gebootet. Allen getesteten Geräten war es total egal und sie haben trotzdem Windows gebootet :fresse:
 
Bis Juni wirst du davon auch nichts merken. Danach wirst du dann sehen, was dann nicht mehr passiert. ;)
 
Mit solchen "billigen" Tricks wirst du das sicherlich nicht aushebeln können, da hardwarebasiert (u.a. OP_Rom) und in der UEFI basierten Firmware verankert.
Die Schlüssel haben quasi, einfach erklärt, ein festes Ablaufdatum die via Imagehashcodes in der Schlüsselregistrierungsdatenbank eingetragen und hierarchisch erst via PK (Plattformschlüssel, den stellt der Moboanbieter zu Verfügung), dann durch KEK (ein codierter OEM Austauschschlüssel) und danach durch die Zulässigkeitsdatenbanken ASD (zulässig) und DBX (unzulässig) bestimmen, ob der vorliegende Code in der UEFI Umgebung ausgeführt werden darf oder nicht. Das ganze nennt sich dann sicherer Start und dient schlicht und einfach dazu, dass du dir nicht schon während des Bootvorganges Schadcode einfängst, wie vor Windows 8 noch der Fall.

Es steht ja jedem frei wie er seinen PC nutzt und welchen Risiken er sich freiwillig sehenden Auges hingeben möchte, nur wirst du definitiv davon ausgehen dürfen, dass einiges an Software nicht mehr funktionieren wird, die diese digitalen Signaturen in aktualisierter CA2023 DB und somit sicheren Start benötigen. Auch wird, denke ich mal, W11 direkt dann meckern u.a. wegen boot.mgr und EFI. Von daher werden sich so einige notorische Update_Verweigerer ab Juni halt wundern. Wirst du sehen was hier dann alles für lustig Postings kommen werden.
 
Zuletzt bearbeitet:
Es wird sicher noch interessant.....
 
..da gehe ich mal ganz schwer von aus.

Wie lange macht MS schon darauf aufmerksam und rollt immer und immer wieder aus? 6 Monate? 1 Jahr? Seit wann gibt es die UEFI Updates? 3 Monate? 6 Monate? ..oder doch länger? :unsure:
 
Gefühlt geht das schon eine ganze Weile.....
 
Anmelden, um zu antworten.

Ähnliche Themen

J
  • Frage / Lösungssuche
[Ungelöst] Windows startet nicht mehr nach BIOS Update (Error code: 0xc0000098)
Antworten
2
Aufrufe
1K
Jalu
J
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh