Neue SecureBoot Zertifikate werden nicht geladen

Ich hatte bei einem Win10 Rechner im Bios jetzt den Kram angeschaltet und es kam nur das Win versucht hat eine Reparatur zu starten (erfolglos) und nicht mehr bootete.
Von weiteren Experimenten da sehe ich also ab.
Entweder die Rechner werden mal ersetzt oder entsorgt...
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hab jetzt das Ganze noch mal mit der aktuellen Version geprüft und dieses Ergebnis bekommen. Installation angestoßen, neu gestartet und das ist der aktuelle Zustand. Windows meint aber auf einmal, das alles passt unter sicherem Start, also denke ich, dass das doch irgendwo erfolgreich war. Nächster Patient also.... :sneaky:
 

Anhänge

  • Bild.jpg
    Bild.jpg
    262,5 KB · Aufrufe: 38
  • Bild.jpg
    Bild.jpg
    10,1 KB · Aufrufe: 40
ich würde mir da jetzt auch keinen Kopf machen. Windows selbst zeigt ja an, dass alles vorhanden und installiert ist. Falls halt noch irgendwelche Blocker vorhanden sind, werden sie jetzt halt angezeigt, was ja der ausdrückliche Wunsch vieler User hier und bei Deskmodder war. ich denke, es verwirrt/verunsichert mehr, als es hilft.

Das war übrigens die Version, mit der ich gearbeitet hatte am Anfang :-)

Screenshot 2026-04-29 191649.png
 
Beim Ivy ist das ein ganz anderes Bild: sieht erstmal brutal aus. Wenn man die Installation anstößt, macht er das auf Nachfrage auch, aber dann stürzt Windows reproduzierbar dermaßen ab, das sogar der Bildschirm zurückgesetzt wird. Hab da so ein kleines Tool, das per Maus die Helligkeit, Kontrast usw regelt. Ich lasse das also besser erstmal; schade.....
 

Anhänge

  • Bild.jpg
    Bild.jpg
    265,5 KB · Aufrufe: 46
Ja , jetzt mit Version 2.8 stimmt die Anzeige. 6600k-secureboot300426.jpg

Das ist wohl ein Sonderfall , denn dieser Rechner ist der einzige , wo es nicht automatisch läuft. Bei 3 anderen , darunter ein "Rufus" Gerät , wo win11 also nur mit Rufus geht , da Prozessor zu alt , ist alles automatisch gelaufen und seit einiger Zeit ist die 1808 Erfolgsmeldung in der Ereignisanzeige.
Bei diesem Rechner stimmt was nicht , denn wenn ich die Installation anstoßen will und den Update-Prozess beginnen will, dann friert der Rechner total ein. Da hilft dann nur noch die Reset-Taste , selbst strg-alt-entf ist wirkungslos.
Habe auch Bios Update gemacht auf neueste Version , hat auch nix genützt , Rechner friert ein sobald die neuen Schlüssel irgendwohin geschrieben werden sollen.
 
Eigentlich steht da ja auch mit Event 1802/03 das man die FW. des Bios auf aktuallisierte Updates des Mobo Anbieters prüfen soll. Die ganze Nummer kann ja nur funktionieren, wenn auch der Mobo Anbieter seinerseits aktuallisierte KEKse in der UEFI SB-DB hinterlegt. Sind die veraltet oder nimmt der Hersteller bestimmte Hardware darin nicht auf, dann kann man da nichts machen. SecureBoot ist ein Zusammenspiel aus minimum drei essentiell wichtigen Faktoren und dieses Bild zeigt das eigentlich sehr gut:

Ablauf_Windows_Zertifikate_Secure_Boot-b01.jpg

ps: Wenn man die EFI-Partition auf eine andere Partition -Direktzugriff ist nicht möglich- extrahiert und einen LW-Buchstaben vergibt, kann man die auch auslesen und bekommt einen Teil der DBs/Zertis/KEKse usw. angezeigt. Man kann die darin enthaltenen Zertis dann auch noch einmal z.b. via Check UEFI-SB-Variables auslesen. Man kann natürlich auch, wenn man möchte "unsafe" weiter mit Windows werkeln bzw. darauf hoffen das alles gut wird - nur, dann kann es halt nach 06/26 auch genausogut iwann mal passieren, dass der Bootloader dann halt ebend nicht mehr booten möchte weil die darin enthaltenen Zertifikate als veraltet und dementsprechend nicht mehr vertrauenswürdig eingestuft werden und das war es dann.
Kann passieren - oder halt nicht. Tür und Tor für Schadware öffnet man dann so oder so, der Bootloader ist ja ein gerne attackiertes Angriffsziel.
 
Zuletzt bearbeitet:
Moya schrieb:
Rechner friert ein sobald die neuen Schlüssel irgendwohin geschrieben werden sollen.
Zum Vergrößern anklicken....
Also bin ich da nicht allein mit, aber was macht man in dem Fall? BIOS Update wird es garantiert keines geben....
 
Ja, das letzte Update ist von 2014; da ist leider Schicht im Schacht. Ich hab noch bissel Hoffnung, das da trotzdem noch nicht Hopfen und Malz verloren ist sprich es einen Weg gibt....
 
Die Hoffnung stirbt bekanntlich zuletzt..

..aber selbst mit meinen damaligen Z77 "Edel"platinen (OC-Formula und Extreme11) mit 3570K würde ich bei ASRock Probleme bzgl. der KEKse bekommen. Da ist auch das letzte offzielle Update aus 2018, ergo lange vor Zertifikatsumstellung auf CA2023. Glaube auch kaum, obwohl ASRock einen sehr guten Kundensupport liefert, dass die da noch was machen würden. MS schreibt zwar man könnte wenn man müsste auch ohne aktuelle Zertis, nur das wäre dann halt "unsafe" und würde auch nur so lange funktionieren so lange halt die CA2011 Zertis nicht als veraltet und somit weiterhin vertrauenswürdig eingestuft werden. Das ist dann aber Ermessenssache seitens MS. Wenn die iwann der Meinung sind, ist nicht mehr, dann war es das.
 
Zuletzt bearbeitet:
Naja, ohne SB funktioniert es halt weiterhin, aber blödes Gefühl bleibt. In Sachen BIOS Updates ist ASRock eigentlich schon immer sehr gut gewesen, aber irgendwann ist halt Sense. Für das Zen3 Board hier gab es vorm halben Jahr das nötige Update mit den Zerties....
 
Zuletzt bearbeitet:
Bei mir ist es ein i5 6600k auf 170ger Chipsatz der nicht will. Seltsamerweise ist das bei einem i3 6100 auf H110er Brett ohne Probleme seit langer zeit durch
 
Ja, es gibt wohl so viele Sonderfälle was ich jetzt gelesen habe. Man kann Glück haben oder nicht. Bei nicht mehr unterstützter Hardware (Windows 11) wird es generell schwierig denke ich. Ich drück euch die Daumen.
 
Beim H110 er Brett von Asus ist das Bios vom Januar 2024 , das Z170 ist von ASRock mit aktuellstem Bios von 29.06.2018. Evtl. ist das der Unterschied.
Ist das mit den Zertifikatsupdates denn unter Win10 genauso, oder betrifft das nur Win11 ?
Denn das sind beide nicht mehr ünterstützte Hardware für Win11 , beide wurden mit Rufus installiert
 
Wenn ich das richtig gelesen habe, betrifft es Windows 10 nur, wenn SecureBoot an ist. Aber nagle mich nicht fest.
 
Ich habe das so verstanden, das Windows 10 und 11 nicht mehr starten, wenn SB in Betrieb ist und die Zerties nicht passen....
 
Ok, wenn es win10 mit SecureBoot auch betrifft dann werden auch ältere nicht win11 fähige Systeme die neuen Zertifikate bekommen.
Aber nicht z.B. ein Board mit Z77 Chipsatz und 3570K , denn da hab ich gar kein SecureBoot und TPM , da braucht es auch keine neuen Zertifikate denk ich mal
 
Soweit ich das weiß, betrifft das Windows 11 und 10. Nach Ablauf des Countdown kann es passieren, dass Windows mit veralteten CA2011 Zertis nicht mehr starten wird.
Aber auch nur, wenn MS beschließt, dass die dann veralteten Zertifikate des Bootloader als nicht mehr vertrauenswürdig eingestuft werden, wenn SB aktiv.
Z77 dürfte auch max. W7 zertifiziert gewesen sein. SecureBoot wurde erstmals mit/ab W8 eingeführt.

edit: Da ja heute das neue (nicht sicherheitsrelevante) .8328 Update via WU verteilt wurde, hier noch einmal wie ein komplett sauberes CA2023-System ausschauen sollte:

CA2023_ready.png

..wem das so angezeigt wird -PRIMA! Der braucht sich absolut keine Sorgen mehr machen. (y)

Wer im UEFI Zugriff auf die SecureBoot States hat, hier für z.b. MSI die Zertis wie sie vorliegen sollten damit alles aalglatt funktioniert:

1.) Die Datenbanken:
CA2023_DB.png

2.) Die KEKse:
CA2023_KEK.png

3.) und ganz wichtig, der aktuelle CA2023 PlattformKey des Mobo Anbieters:
CA2023_PK.png

..gerade bei den Plattform Key scheints da wohl wirklich noch bei einigen gerade älteren und OEM Rechner zu haken und noch viele "PK_fail" Systeme im Umlauf zu sein.
Ohne einen CA2023_ready PK wird aber zu 100% SecureBoot demnächst scheitern und wer mal die Log zum neuen Update liest wird hier interessantes finden:

[Update der Windows-Treiberrichtlinie] Neu! Dieses Update verbessert die Windows-Sicherheit, indem geändert wird, wie der Windows-Kernel Drittanbietertreibern vertraut. Die Standardvertrauensstellung für kreuzsignierte Treiber wird entfernt, während Treiber aus dem Windows-Hardwarekompatibilitätsprogramm (WHCP) und eine Zulassungsliste mit vertrauenswürdigen Legacytreibern zulässig bleiben. Windows überwacht die Treiberkompatibilität für mindestens 100 Stunden und drei Neustarts, bevor die Erzwingung aktiviert wird. Nach der Erzwingung kann eine kleine Anzahl von kreuzsignierten Treibern blockiert werden. Weitere Informationen finden Sie in der Windows-Treiberrichtlinie und im Blog Zur Weiterentwicklung der Windows-Treibersicherheit.
Zum Vergrößern anklicken....
..könnte also ein Indiz dafür sein, dass MS ab 06 bzw. 11/2026 ernst macht und nicht CA2023_ready Zertis danach im boot.mgr als nicht mehr vertrauenswürdig einstuft und damit W10/11 SecureBoot Systeme sperrt, da ja der PK u.a. auch vom UEFI übernommen (zusammen mit den db/dbx und KEK) in der EFI vorliegt!

Ob euer (AMI)Bios ein sog. PK_fail Bios besitzt, könnt ihr z.b. hier prüfen -> PKfail Detector. Einfach das Biosfile im .bin/.rom Format dort hochladen, das Ergebnis bekommt ihr dann angezeigt.

So sollte z.b. ein sauberer CA2023 PK nach Scan des Biosfile ausschauen:
PK_clean.png


..alles andere wäre sehr schlecht..

ps: Und zu W10/W11 SecureBoot allgemein und was MS dazu meint, hier folgende Info von MS:
Diese älteren Zertifikate laufen im Juni 2026 ab. Geräte, die die neueren 2023-Zertifikate nicht erhalten haben, werden weiterhin normal gestartet und funktionieren normal, und Windows-Standardupdates werden weiterhin installiert. Diese Geräte können jedoch keinen neuen Sicherheitsschutz mehr für den frühen Startprozess erhalten, einschließlich Updates für Windows-Start-Manager, Datenbanken für den sicheren Start, Sperrlisten oder Risikominderungen für neu entdeckte Sicherheitsrisiken auf Startebene.
Im Laufe der Zeit schränkt dies den Schutz des Geräts vor neuen Bedrohungen ein und kann sich auf Szenarien auswirken, die auf der Vertrauensstellung für den sicheren Start basieren, z. B. BitLocker-Härtung oder Bootloader von Drittanbietern. Die meisten Windows-Geräte erhalten die aktualisierten Zertifikate automatisch, und viele OEMs stellen bei Bedarf Firmwareupdates bereit. Wenn Sie Ihr Gerät mit diesen Updates auf dem neuesten Stand halten, können Sie sicherstellen, dass es weiterhin den vollständigen Sicherheitsschutz erhält, den der sichere Start bieten soll.
Zum Vergrößern anklicken....
..wobei es dann gerade mit Treibersignierungen von Drittanbietern die ein CA2023 Protokoll voraussetzen sehr problematisch werden könnte, also man wird dort quasi "unsafe" und eingeschränkt unterwegs sein.
Das kann dann u.U. schon so ganz banale Software wie z.b. Datenrettungssoftware betreffen, wenn man ein Dos basiertes Rescue via deren Bootloader (in aktuallisierter Form) durchführen möchte.
_
 
Zuletzt bearbeitet:
Hallo,
es geschehen noch Wunder. Mich hat das nicht in Ruhe gelassen , das mein Brett von AsRock mit 170ger Chipsatz und dem 6600K die neuen Zertifikate nicht wollte. Dann habe ich tatsächlich mal AsRock Support angeschrieben und das Problem geschildert und nach einem aktuellerem Bios (das aktuellste war von 2018) gefragt. Dann kam diese Antwort:

Hallo,
nein, leider gibt es hierzu kein BIOS mit den aktuellen Secure Boot Keys.
Diese werden in der Regel über das Windows Update aufgespielt.
Jetzt kommt das „aber“ warum es wahrscheinlich hier nicht funktioniert:
Bitte beachten Sie, dass dieses Mainboard nicht mit Windows 11 getestet wurde.
Auch ist die von Ihnen eingesetzte CPU nicht in der Microsoft Liste von unterstützen CPU:
https://docs.microsoft.com/en-us/windows-hardware/design/minimum/supported/windows-11-supported-intel-processors
Und daher funktioniert das Update nicht oder wird erst gar nicht angeboten…
Mit freundlichen Grüßen / Kind regards
ASRock Technical Support
ASRock Europe B.V.

Das fand ich dann doch etwas schwach und musste wiedersprechen:

Hallo,
danke für die Antwort , aber das ist falsch. Natürlich ist die Hardware nicht für win11 , aber ich habe z.b. ein Board von Asus mit Chipsatz 110 und einem i3 6100 Prozessor, und dort ist es längst automatisch geschehen. Auch diese Hardware ist nicht für win11 , bekommt aber automatisch ohne Probleme die neuen Zertifikate.
Auch win10 braucht neue Zertifikate .

Und heute kam tatsächlich noch eine Antwort vom Support:

Hallo,
bitte BIOS 7.51a aufspielen.
Dieses hat die aktuellen Secure Boot Keys enthalten.
Wir haben das BIOS auf GoogleDrive hochgeladen:
https://drive.google.com/file/d/1ZSprdUef_jM81f710WznaDfBxIJumJ_7/view?usp=sharing
Mit freundlichen Grüßen / Kind regards
ASRock Technical Support
ASRock Europe B.V.
Bijsterhuizen 1111, 6546 AR Nijmegen, The Netherland


okay , hab ich mir gedacht , dann mach ich doch mal das neue Bios drauf , gesagt , getan , und was soll ich sagen
es funktioniert !!!!
Die neuen Zertifikate sind geladen , die 1808 Erfolgsmeldung kommt in der Ereignisanzeige und (fast) alles passt. Jetzt schau ich mal ob es auf der AsRock Seite dieses Bios auch gibt oder nur da bei GoogleDrive wo ich herunter geladen habe. Link ist oben , es ist das Z170 Extreme4 , falls das noch jemand hat.
Ich finde es sehr okay von AsRock , wenn auch erst in der 2ten Mail , nachdem ich sozusagen gesagt habe "erzählt mir kein Müll", mir das neue Bios zu schicken.
Grüße und schöne Feiertage euch allen
 
Feiner Zug von Asrock. Noch viel Spass mit Deinem Board :)
 
Anmelden, um zu antworten.

Ähnliche Themen

L
Neuer PC! Was sollte man im Bios alles einstellen? (AM5 Asus ProArt Neo)
Antworten
2
Aufrufe
375
LuxyLux
L
J
  • Frage / Lösungssuche
[Ungelöst] Windows startet nicht mehr nach BIOS Update (Error code: 0xc0000098)
Antworten
2
Aufrufe
2K
Jalu
J
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh