Neue SecureBoot Zertifikate werden nicht geladen

Moya

Moya

Enthusiast
Thread Starter
Mitglied seit
05.09.2006
Beiträge
893
Ort
München
Hallo,
die alten Zertifikate laufen aus , die neuen werden verteilt , wenn es klappt hat man in der Ereignisanzeige unter System , Quelle TPM-WMI als Ereignis ID 1808 die Erfolgsmeldung "Dieses Gerät hat .....aktualisiert."
Bei 2 Rechnern hat es geklappt , bei einer Win11 25H2 Rufus Installation auf einem Z170 Board nicht.
Da kommt dann in der Ereignisanzeige die 1801 Meldung "Updated Secure Boot certificates are available on this device but have not yet been applied to the firmware. Review the published guidance to complete the update and maintain full protection. This device signature information is included here." dann kommen noch die DeviceAttributes.
Nun habe ich aber neue Einträge in der Ereignisanzeige
Fehler 1795:
Die Systemfirmware hat beim Versuch, eine Secure-Boot-Variable KEK 2023 zu aktualisieren, den Fehler Falscher Parameter. zurückgegeben. Die Signaturinformationen dieses Geräts sind hier aufgeführt.
Fehler 1797:
Fehler beim Update des sicheren Starts, weil das Windows UEFI CA 2023-Zertifikat nicht in der Datenbank vorhanden ist.

Leider ist mir die Kommunikation zwischen Betriebssystem und UEFI Bios nicht geläufig , es scheint das die neuen Zertifikate nicht ins TPM bzw. UEFI Bios geladen werden können (Fehler 1795) und dann natürlich nicht vorhanden sind (Fehler 1797) .
Hat jemand mit normaler Windows Installation , also ohne Rufus , auf zugelassener Hardware , auch solche Fehlermeldungen ?
Oder sortiert Microsoft hier durch die Hintertür alte Hardware aus , denn ohne neue Zertifikate wird Secure Boot bald nicht mehr funktionieren und es gibt ja schon Spiele die ohne nicht mehr funktionieren ?
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Die KEKse werden z.b. bei MSI auch über Biosupdates verteilt. Schau mal, ob dein Bios aktuell ist bzw. ob es ein neueres Biosupdate dafür gibt und flash das dann.
Wenn Windows da nicht synchronisieren kann, deutet das eher auf eine veraltete Datenbank im Bios/UEFI. Hätte eigentlich schon letztes Jahr so für die Boards vollflächig durch sein müssen.

ps: Wenn das zufälligerweise ein MSI Board sein sollte, kannst du die KEKse auch unter "Settings -> Security -> SecureBoot", da dann von "Standard" auf "Custom" umstellen, unter "Key Management" -> "Key Exchange Keys" bei Details einsehen. Sind da keinerlei CA2023 Zertis mit dabei, dann brauchts ein Biosupdate.

..so z.b. sollte das ausschauen:

MSI_SnapShot_02.png
 
Zuletzt bearbeitet:
Das mit den erforderlichen BIOS-Updates ist aber eher selten meine ich, aber soll durchaus vorkommen. Wenn es dann kein Update gibt, wird es mit dem Gerät schwierig in Sachen Sicherheit....
 
Eigentlich nicht. Ich habe mal bei den Z690er Boards geschaut, da haben die alle, vom Z690 Pro bis zum Godlike im April 2025 sogenannte "Security Updates" bzw. "Code Base Updates" erhalten.
Sollte bei Asus, GB, ASRock und Co. eigentlich auch so sein. Bei Asus werden die öfters über WU Updates eingespielt, ist aber auch nicht die Regel und Z170 ist ja nun nicht der neueste Chipsatz.
Ich würde aber als ersten Weg erst einmal beim Bios ansetzen, denn das deutet alles auf einen DB Kommunikationsfehler hin.

..das MS auf diesen Weg aber vieleicht auch wieder ältere HW. ausselektieren möchte, würde ich auch nicht so ganz ausschließen wollen.
 
Zuletzt bearbeitet:
Hab BIOS auf neuester Version , egal welche Bios Version ich nehme , die Fehlermeldung bleibt gleich.
Es ist ein AsRock Z170 Extreme4
Mich würde interessieren ob das ein Einzelfall ist , oder ob generell Hardware die nicht für Win11 "zugelassen" ist die neuen Zertifikate nicht bekommt.
deshalb meine Vermutung in Post Nr.1 das so alte Hardware aussortiert werden soll
 
Vieleicht einmal beim ASRock Support mit Nennung der Fehler nachfragen?
Wenn die dir schreiben das der Chipsatz nicht unterstützt wird, dann ist das so. Oder die schicken dir ein inoffizielles Bios das du dann einspielen kannst damit das klappt.
Solltest du dann nur nicht mehr danach updaten, weil dann kann die DB wieder futsch sein. Das macht ASRock NL ab und an mal (meine Erfahrung).

ps: Du könntest auch mal bei Github dir den "Check UEFI SecureBoot Variables" herunter laden (auf das gründe Feld "Code" klicken, da dann unten "Download ZIP") und da dann im entpackten Ordner mit rechtsklick (als Admin ausführen) das Befehlszeilentool "Check Windows States" ausführen und schauen, was dir das Tool anzeigt und eventuell welche Fehlermeldungen dazu:

CA2023.png

pps: Du könntest über diese Tools auch manuell die DB Zertis updaten, nur weiß ich persönlich nicht wo es aktuelle dazu gibt und die DB beim Tool ist nicht die neueste.
 
Zuletzt bearbeitet:
Hallo,
ASRock antwortet mir nicht , also muss das Z170 Board warten.
Bei einem AM4 System bei mir war schon alles okay , also die 1808 Meldung kam, dann hab ich ein Bios Update gemacht , jetzt ist wieder die 1801 da.
Das ist zum Haare raufen , ich will ja keine Kraftausdrücke verwenden. Bei github hab ich auch geschaut, wenn ich das Update manuell anstoßen will , friert der Rechner ein

@Erklärbär beim abfragen der Variablen steht bei mir bei UEFICA2023Status "in Progress" und eine Zeile drüber AvailableUpdates : 0x0000
 
Zuletzt bearbeitet:
Das mal probiert?
rog-forum.asus.com

[INFORMATION] Secure Boot : Windows UEFI CA 2023 Update

Hi everyone, https://support.microsoft.com/topic/1db237d8-9f3b-4218-9515-3e0a32729685 https://support.microsoft.com/topic/a7be69c9-4634-42e1-9ca1-df06f43f360d - Secure Boot Windows UEFI CA 2023 Updater : Download : Link Check/Update Process : Check Windows UEFI CA 2023 Update...
rog-forum.asus.com rog-forum.asus.com

oder das:
www.hardwareluxx.de

[Sammelthread] - ASUS ROG Strix B650(E)-E/-F/-I/-A Gaming WIFI (AM5)

Sammelthread zum ASUS ROG Strix B650E-E/-F/-I/-A Gaming WIFI Besonderheiten: Optimierte VRM-Kühlung: Massive Kühlkörper mit strategisch gefrästen Luftstromkanälen und , die mit hochleitfähigen Wärmeleitpads mit den Power Stages verbunden sind Next-Gen M.2 Unterstützung: Zwei PCIe® 5.0...
www.hardwareluxx.de www.hardwareluxx.de
 
Moya schrieb:
Hallo,
ASRock antwortet mir nicht , also muss das Z170 Board warten.
Zum Vergrößern anklicken....
Schade, dann werden die das wohl nicht machen (wollen).

Moya schrieb:
beim abfragen der Variablen steht bei mir bei UEFICA2023Status "in Progress" und eine Zeile drüber AvailableUpdates : 0x0000
Zum Vergrößern anklicken....
Ja, dann gibt es dafür keine Zertis bzw. MS grenzt diese Boards aus. Kann man nichts machen.
 
Der Support von ASRock ist mir eigentlich gut in Erinnerung geblieben. Zwar alles nur per Mail, aber die waren schon bemüht zu helfen. In Sachen BIOS sind die immer recht emsig; für das AM4 Brett hier gab es schon im Oktober ein passendes Update...
 
Ist schon komisch irgendwie , auf dem Board mit 170ger chipsatz und 6600k geht es nicht , da kommt nur immer wieder die 1801 Fehlermeldung , auf einem Board mit H110 Chipsatz kommt die Erfolgsmeldung , also die 1808 in der Ereignisanzeige. Beide Boards natürlich neuestes BIOS , Sockel 1151 und DDR4 2133. Auf meinem AM4 System war alles okay , seit Monaten , nach BIOS Update kommt seit 1 Woche wieder nur die 1801 Fehlermeldung. Bis Sommer , wenn die Zertifikate dann wirklich auslaufen, werden Microsoft und die Hersteller das hoffentlich gefixt haben , denn man kann selber ja nicht so viel machen.
@eSp!s0
rog-forum.asus.com

[INFORMATION] Secure Boot : Windows UEFI CA 2023 Update

Hi everyone, https://support.microsoft.com/topic/1db237d8-9f3b-4218-9515-3e0a32729685 https://support.microsoft.com/topic/a7be69c9-4634-42e1-9ca1-df06f43f360d - Secure Boot Windows UEFI CA 2023 Updater : Download : Link Check/Update Process : Check Windows UEFI CA 2023 Update...
rog-forum.asus.com rog-forum.asus.com
da war ich auch und hab fast alles durchprobiert was es da so gibt
 
Anmelden, um zu antworten.

Ähnliche Themen

J
  • Frage / Lösungssuche
[Ungelöst] Windows startet nicht mehr nach BIOS Update (Error code: 0xc0000098)
Antworten
2
Aufrufe
1K
Jalu
J
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh