Secure Boot Zertifikate

stescho26

stescho26

Profi
Thread Starter
Mitglied seit
06.12.2020
Beiträge
127
Hallo
Mich würde intressieren wie der Status bzgl. der Secure Boot Zertifikate ist?!

Ich habe ein Z690 A-Pro DDR5, mit einem Bios von Ende 2023 beim Umstieg auf den 14700k

Die Frage wääre ob in den aktuellen Versionen bereits die neuen Zertifikate eingepflegt sind ?

Danke
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn noch nicht geschehen, dann wird höchstwahrscheinlich MSI dass in einem Bios mit anbieten.
Ansonsten kommen die via WU in einem kummulativen Update zwischendurch.
So oder so passiert das automatisch ohne das du das mit bekommst, wichtig nur -> ME Firmware immer aktuell halten!
Die ME ist bei Intel dem Bios/UEFI übergeordnet (wie bei AMD AGESA) und wenn da Schadcode rein kommt, nicht gut.
Ohne ME FW. wirst du nicht einmal dein Board booten, geschweige denn UEFI aufrufen können.

..daher sind die ME Settings im "normalen" UEFI-Setup niemals sichtbar. Eine falsche Einstellung und du kannst nur beten, dass dein Board eine Backflash Funktion via USB besitzt.

ps: Du kannst die Keys aber auch im MSI Bios selbst einsehen.

Settings -> Security -> Secure Boot: Dort den Secure Boot Mode von "Standard" auf "Custom" stellen.
Danach ist darunter die Einstellung "Key Management" aktiviert.
Dort im Menü klickst du auf "Key Exchange Keys" und im Popup Fenster auf "Details".
Danach solltest du dann drei "KEK" Keys angezeigt bekommen.
Wenn dort ein Eintrag "KEK 2K CA 2023" dabei ist, alles gut, bist du auf der sicheren Seite:

MSI_SnapShot_02.png

Microsoft listet auf, dass das Zertifikat "Microsoft Corporation KEK CA 2011" im Juni 2026 ausläuft und durch "Microsoft Corporation KEK 2K CA 2023" ersetzt wird.
Es dient zum Signieren von DB (Datenbank erlaubter Signaturen) und DBX (Datenbank verbotener Signaturen).
Zum Vergrößern anklicken....
Quelle: Vorbereiten auf Einschlag (heise)

Du kannst den, wenn du möchtest, jetzt schon auswählen (habe ich so gemacht), nur nicht vergessen, zum Schluss wieder den Secure Boot Mode zurück auf "Standard" stellen!!
Das UEFI wird danach wahrscheinlich nicht mehr reagieren (ist normal), dann drückst du am Gehäuse halt den Reset Knopf. Einstellungen sind aber im UEFI abgespeichert.
 
Zuletzt bearbeitet:
Also eingesehen hab ich die vorhin schonmal, bzgl. dem FW Upadte das hab ich bisher nie gemacht^^
 

Anhänge

  • SC Boot.jpg
    SC Boot.jpg
    352,2 KB · Aufrufe: 27
Alles tutu (was anderes hätte mich auch gewundert), kannst so lassen wie es ist! (y)

ps: Wichtiger als ein Bios Update, gerade wenn alles bugfree läuft, ist es die ME Firmware aktuell zu halten.
Denn wie schon geschrieben, die ME ist die "Schaltzentrale" des Boards und steuert alles, auch im soft_off (ohne Trennung der Spannungsversorgung des Netzteil) deines Rechners.
Ob deine ME aktuell und safe ist kannst du mit den Intel CSME Tool prüfen. Grüner Text: alles gut | Roter Text: solltest dringend die ME updaten!

me status.png

..die aktuelle ME Firmware 16.1.38.2676 bekommst du hier -> download ME-FW.

Rar. entpacken, rechtsklick auf "Install.bat" und mit Admin-Rechten starten -> Firmware wird geupdatet.
Danach startet der Rechner neu und wenn du das CSME Tool noch einmal startest zeigt es dir, dein System ist safe und aktuell.
 
Zuletzt bearbeitet:
ok danke, werde ich mal machen^^
 
Erklärbär schrieb:
Wenn noch nicht geschehen, dann wird höchstwahrscheinlich MSI dass in einem Bios mit anbieten.
Ansonsten kommen die via WU in einem kummulativen Update zwischendurch.
So oder so passiert das automatisch ohne das du das mit bekommst, wichtig nur -> ME Firmware immer aktuell halten!
Die ME ist bei Intel dem Bios/UEFI übergeordnet (wie bei AMD AGESA) und wenn da Schadcode rein kommt, nicht gut.
Ohne ME FW. wirst du nicht einmal dein Board booten, geschweige denn UEFI aufrufen können.

..daher sind die ME Settings im "normalen" UEFI-Setup niemals sichtbar. Eine falsche Einstellung und du kannst nur beten, dass dein Board eine Backflash Funktion via USB besitzt.

ps: Du kannst die Keys aber auch im MSI Bios selbst einsehen.

Settings -> Security -> Secure Boot: Dort den Secure Boot Mode von "Standard" auf "Custom" stellen.
Danach ist darunter die Einstellung "Key Management" aktiviert.
Dort im Menü klickst du auf "Key Exchange Keys" und im Popup Fenster auf "Details".
Danach solltest du dann drei "KEK" Keys angezeigt bekommen.
Wenn dort ein Eintrag "KEK 2K CA 2023" dabei ist, alles gut, bist du auf der sicheren Seite:

Anhang anzeigen 1137446


Quelle: Vorbereiten auf Einschlag (heise)

Du kannst den, wenn du möchtest, jetzt schon auswählen (habe ich so gemacht), nur nicht vergessen, zum Schluss wieder den Secure Boot Mode zurück auf "Standard" stellen!!
Das UEFI wird danach wahrscheinlich nicht mehr reagieren (ist normal), dann drückst du am Gehäuse halt den Reset Knopf. Einstellungen sind aber im UEFI abgespeichert.
Zum Vergrößern anklicken....

Erklärbär schrieb:
Alles tutu (was anderes hätte mich auch gewundert), kannst so lassen wie es ist! (y)

ps: Wichtiger als ein Bios Update, gerade wenn alles bugfree läuft, ist es die ME Firmware aktuell zu halten.
Denn wie schon geschrieben, die ME ist die "Schaltzentrale" des Boards und steuert alles, auch im soft_off (ohne Trennung der Spannungsversorgung des Netzteil) deines Rechners.
Ob deine ME aktuell und safe ist kannst du mit den Intel CSME Tool prüfen. Grüner Text: alles gut | Roter Text: solltest dringend die ME updaten!

Anhang anzeigen 1137454

..die aktuelle ME Firmware 16.1.38.2676 bekommst du hier -> download ME-FW.

Rar. entpacken, rechtsklick auf "Install.bat" und mit Admin-Rechten starten -> Firmware wird geupdatet.
Danach startet der Rechner neu und wenn du das CSME Tool noch einmal startest zeigt es dir, dein System ist safe und aktuell.
Zum Vergrößern anklicken....
Vielen Dank für Deine Unterstützung und umfangreiche Erklärung zu dem Thema.
 
Erklärbär schrieb:
.die aktuelle ME Firmware 16.1.38.2676 bekommst du hier -> download ME-FW.

Rar. entpacken, rechtsklick auf "Install.bat" und mit Admin-Rechten starten -> Firmware wird geupdatet.
Danach startet der Rechner neu und wenn du das CSME Tool noch einmal startest zeigt es dir, dein System ist safe und aktuell.
Zum Vergrößern anklicken....

Wo bekommt man die neusten Firmware Updates her ?
Bei meinem Brett hat selbst das neuste Bios eine alte FW (16.1.35.2557)
Habe mir das daher gerade aus deinem Link geschnappt und drauf geschmissen.
 
Station Driver, ROG Forum usw., gibt viele "Quellen". Das genannte ist aber das derzeit aktuellste.

Mit ausführlicher Log (Historie) der beseitigten Sicherheitsrisiken empfehle ich aber Station Driver. Da kann man die CVSE usw. auch nachgoogeln.
 
@MS1988
Nicht über Intel direkt, sondern (eigentlich) immer nur über den Hersteller des Mainboard.

Im Fall des MSI PRO-Z690-A also über die Supportseite für das Mainboard:
MSI PRO-Z690-A > Support > "Treiber und Downloads" > "Treiber" > "Other"

1756914010502.png


(MSI hat hier scheinbar 'ne andere Versionierung für die Firmware, warum auch immer.)

Hier gibt's aber scheinbar auch keine Garantie, dass die angebotenen Downloads auch die tatsächlich aktuellsten Versionen sind. Lenovo z.B. bietet auch nur die Version 16.1.35.2557 an.

EDIT:

Weil von Erklärbär erwähnt, hier mal ein Link zu "Station Driver": https://www.station-drivers.com/ind...-Engine-Interface-(MEI)/Firmwares/lang,en-gb/
 
Anmelden, um zu antworten.

Ähnliche Themen

citsejam
Secure Boot mit USB boot disk (Rufus)
Antworten
2
Aufrufe
486
citsejam
citsejam
NomexX
Secure Boot und die Keys (ja, wegen Battlefield)
Antworten
0
Aufrufe
161
NomexX
NomexX
J
  • Frage / Lösungssuche
[Ungelöst] Windows startet nicht mehr nach BIOS Update (Error code: 0xc0000098)
Antworten
2
Aufrufe
488
Jalu
J
H
SAS-Festplatten nach Entfernen von RAID (IT-Mode) werden im OS nicht erkannt – Hilfe gesucht
Antworten
15
Aufrufe
539
MentalVerschreckt
M
S
  • Frage / Lösungssuche
Mainboard erkennt M.2 SSD nicht zum booten für Installation von Win11
Antworten
24
Aufrufe
4K
Stranger24
S
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh