Secure Boot: Ablauf wichtiger Microsoft-Zertifikate zwingt dieses Jahr zum Update

HWL News Bot

HWL News Bot

News
Thread Starter
Mitglied seit
06.03.2017
Beiträge
115.519
Der Secure-Boot-Mechanismus moderner Windows-Systeme steht vor einem wichtigen Stichtag. Ab Juni 2026 laufen zentrale kryptografische Zertifikate aus, die als Fundament für den Startvorgang dienen. Microsoft beruhigt bereits jetzt, dass Windows-PCs auch nach Ablauf dieser Zertifikate wohl weiterhin booten und grundsätzlich funktionsfähig bleiben sollen. Einschränkungen drohen allerdings bei zukünftigen Sicherheitsaktualisierungen für den frühen Boot-Prozess.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Microsoft empfiehlt in solchen Fällen bei Bedarf eine manuelle Aktivierung über die Registry. Unter dem Pfad HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot lässt sich über den Wert AvailableUpdates die Installation verfügbarer Secure-Boot-Aktualisierungen anstoßen.
Zum Vergrößern anklicken....

..schön und gut. Anleitung was da WIE über welchen WERT in Form von WAS angestoßen werden soll? Sehr schwammige Erklärung. Außerdem sind die aktuellen KEKse schon lang ausgerollt. :unsure:
 
Für die Aktivieurng ist der Wert 1 zu setzen. Für den noemalen Endanwender ist dieser Punkt ohnehin obsolet, wie aus dem Artikel zu entnehmen ist.
 
Nicht so ganz. Da stößt man nichts an, sondern da steht der aktuelle Wert/Status der DB drin:

ca2023 zertis.png

..spätestens seit W11 Build .7705 dürften die KEKse eh komplett ausgerollt worden sein, denn da wurde seitens MS die 2011 signierte bootmgfw.efi durch die 2023 signierte bootmgfw.efi mit Version 7.0 ersetzt:

efi.png
(Kopie der EFI auf H: dupliziert und mit LW-Buchst. auslesbar gemacht)

Also, wer sein Windows einigermaßen aktuell hält und auch ab und an mit Updates versorgt, der braucht sich da keinen Kopf drum machen.
Wer meint, er müsse das nicht tun - ok, kann man ja machen aber der wird dann u.U. in der nächsten Zeit merken was das bedeuten kann.
Ist halt wie mit der IMEI, gejammert wird erst immer wenn es zu spät ist und Schuld daran sind eh immer die anderen.


ps: Für jeden der mal den aktuellen Status auf die Schnelle prüfen möchte, dieser Pfad wäre dann der richtige dafür:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Zum Vergrößern anklicken....

pps: Letzter Eintrag bei mir in der SecureState DBX (Liste verbotener Signaturen) ist zumindest:
ReLoader64_.efi, 64-bit, Howyar Technologies, CVE-2024-7344
Zum Vergrößern anklicken....
vom 14.01.2026
 
Zuletzt bearbeitet:
Seit BF6 intressier ich mich auch für secure boot.
 
Erklärbär schrieb:
Anleitung was da WIE über welchen WERT in Form von WAS angestoßen werden soll?
Zum Vergrößern anklicken....
Und genau danach habe ich die letzten paar Tage gesucht.

Vorhin habe ich aber endlich verstanden, wie man win$$ dazu zwingt, die neuen Schlüssel zu installieren. Da sind mehrere Schritte notwendig.

Der erste Schritt ist der einfachste - neu starten. Aber ab jetzt wird es heikel, denn jetzt sollte man im nächsten Schritt in die BIOS-Einstellungen gehen.

Da alle meine Motherboards von Gigabyte sind, kann ich nur von denen berichten. In dem letzten bzw. dem Tab ganz rechts in dem UEFI-Menü muss man in die "secure boot" Einstellungen gehen. Ich hatte das "secure boot" in der Geschmacksrichtung "custom" stehen, um selber die Schlüssel verändern zu können - da wurde aber nichts.

Bei jeder Anmeldung gab es nämlich immer diesen Eintrag im eventdvm.msc "TPM - irgendwas mit "keys ready, but not applied. Need more data." Da konnte ich auch so oft neustarten, wie man wöllte, da hat sich überhaupt nichts geändert.

Das Gigabyte BIOS bietet unter anderen Einstellungen vom "secure boot" noch zahlreiche neue, die in den letzten beiden BIOS-Updates dazugekommen sind. Da kann man in dem "custom" Modus, das "secure boot" in den Status "deployed" bzw. eingerichtet und am Laufen setzen, oder wieder zurück in den Status "setup" zurückgehen.

Solange man in dem "custom" Modus ist, hat man auch vollen Zugang zu den Schlüsseln und kann jeden von denen verändern, wenn man will.

ABER!!!

Das ist schön und gut, aber erst als ich etwas früher heute Morgen das "secure boot" auf den Modus "Standard" gesetzt habe, in dem man selber nichts herumfummeln kann und abermals win$$$ gestartet habe, war endlich auch diese "TPM - blabla Need more data." -Fehlermeldung endlich weg und es gab dieses gelbe Warnschild mit dem Hinweise, "keys deployed".

Die TPM - Fehlermeldung kommt nicht mehr und man wird damit begrüßte, das win$$$ es schon geschafft hat, die neuen Schlüssel in BIOS einzutragen.

Wenn euer BIOS ähnliche Einstellungen für "secure boot" hat, dann stellt das mal auf "standard" oder ähnlich um. Da kann man keine weiteren Einstellungen mehr vornehmen, aber dann klappt es auch mit der Schlüsselvergabe und win$$$.
Nach diesem Neustart könnt ihr das "secure boot" wieder ausschalten oder auf "custom" oder so stellen, wenn ihr wollt. Der Modus "standard" ist nur für diesen einen Neustart notwendig und da muss man auch nichts mit regedit herumfummeln oder so.

Ich hoffe, damit konnte ich helfen.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh