How-To Anleitung Secure Boot Zertifikate manuell updaten in Windows 10+11 - Update

How-To-Threads
KaterTom

KaterTom

Software-Overclocker(in)
Das hier ist für Leute, die gerne bei Windows 10 bleiben wollen:
Alle Befehle in Powershell als Admin ausführen:

1.prüfen, ob die neuen SBZ CA 2023 im BIOS eingetragen sind
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
wenn hier die Ausgabe schon true ist, dann habt ihr die neuen Zertifikate schon. Wenn false ausgegeben wird, geht es mit Schritt 2 weiter

2.prüfen, ob Windows SecureBoot Zertifikate ins BIOS schreiben kann:
Get-SecureBootUEFI -Name PK | Format-List
wenn die Ausgabe dann so aussieht, ist alles okay: Name : PK
Bytes : {161, 89, 192, 165...}
Attributes : NON VOLATILE
BOOTSERVICE ACCESS
RUNTIME ACCESS
TIME BASED AUTHENTICATED WRITE ACCESS
wichtig ist nur der Abschnitt Attributes. Da muss überall Access stehen.

3.Registry Schlüssel erstellen, der dafür sorgt, dass Windows Update nach aktuellen SBZ sucht
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot” -Name “AvailableUpdates” -Value 0x40

4. PC neu starten

5.Das SB-Update forcieren
Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”

6.PC neu starten

7.Schritt 1 wiederholen. Die Ausgebe sollte nun "true" sein. Geschafft! Jetzt habt ihr die neuen Secure Boot Zertifikate auf eurem PC.

Update: Jetzt müssen die neuen Zertifikate aber noch ins UEFI eingetragen werden. Um das zu überprüfen, bzw. zu forcieren, ruft ihr diese Github Seite auf und arbeitet die CMD-Befehle dort ab. Also oben auf den grünen Button drücken und Download Zip wählen. Nach dem Entpacken die Dateien Apply 2023 KEK, DB and bootmgfw update und Apply DBX update als Admin ausführen.Danach den PC neu starten.
Jetzt solltet ihr in der nach TPM-WMI gefilterten Ereignisanzeige das Ereignis 1808 haben (siehe Post #4 erstes Bild).
Und in Windows unter ->Einstellungen ->Update & Sicherheit ->Windows-Sicherheit ->Gerätesicherheit sollte unter "Sicherer Start" folgender Text stehen: "Der sichere Start ist aktiviert und alle erforderlichen Zertifikatupdates wurden angewendet. Es sind keine weiteren Zertifikatänderungen erforderlich". Damit ist das Thema dann erledigt.

Quelle: https://techcommunity.microsoft.com...g/updating-microsoft-secure-boot-keys/4055324
Abschnitt Formal DB update steps Schritt 2 steht da nicht drin, den habe ich aus einem Video von "Windows Einfach erklärt"

Nachtrag: Diese Zertifikate benötigt natürlich nur, wer Secure boot auch nutzt. Wer kein Secure boot benötigt, braucht sich auch nicht um diese Zertifikate kümmern.
 
Zuletzt bearbeitet:
Danke für die Anleitung! Habe das manuelle Update eben auf einem PC durchgeführt, hat geklappt.

Mir stellt sich jetzt nur die Frage, reicht es aus das "Windows UEFI CA" zu aktualiseren oder müssen auch andere Zertifikate erneuert werden? Ich kenne mich mit dem Thema leider nicht so aus.
  • 0x0040 (Windows UEFI CA 2023)
  • 0x0800 (Microsoft UEFI CA 2023)
  • 0x1000 (Microsoft Option ROM UEFI CA 2023)
  • 0x0004 (Microsoft Corporation KEK 2K CA 2023)
  • 0x0100 (Mit Windows UEFI CA 2023 signierten Boot-Manager aktivieren)
Siehe auch hier die Liste von Microsoft:
Screenshot (83).png
 
So muss das dann in der Ereignisanzeige aussehen:
1771159949973.png

Und falls die Zertifikate heruntergeladen, aber noch nicht ins UEFI eingetragen wurde, gibt es diese Fehlermeldung:
1771160319025.png
 
Zuletzt bearbeitet:
Es geht bei mir um nen älteren Arbeits-PC. Bei dem kann nicht mal der Status vollständig ausgelesen werden :ugly:
Zur Not schalte ich einfach Secure Boot ab.

Screenshot (84).png Screenshot (85).png
 
Ja logisch - Secure Boot Zertifikate sind nur bei aktiviertem Secure Boot nötig, bzw. wirksam. Aber ich schreib's trotzdem noch mal oben hin. Einen Test, ob SB aktiviert ist, braucht es nicht. Man schaut halt einfach im UEFI nach, oder sucht bei msinfo32 nach "sicherer Startzustand".
 
Hier noch ein aktuelles Video zum Thema vom Kanal "Windows einfach erklärt"
Eingebundener Inhalt
An dieser Stelle findest du externe Inhalte von Youtube. Zum Schutz deiner persönlichen Daten werden externe Einbindungen erst angezeigt, wenn du dies durch Klick auf "Alle externen Inhalte laden" bestätigst: Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt.
Für mehr Informationen besuche die Datenschutz-Seite.
 
Wir haben noch einen älteren "Office PC" mit Winows 11 in der Familie. Auf dem PC ist Secure Boot aktiv.
Leider werden keine aktuellen neuen Secure Boot Zertifikate über die Window 11 Update Funktion installiert.
Ein BIOS Update gibt es für das alte MSI OEM Mainboard auch nicht mehr.

Gibt es eine Möglichkeit oder einen Trick das unter Windows 11 noch die aktuellen Secure Boot Zertifikate installiert werden?
 
ist SecureBoot wirklich aktiv? msinfo ->
1775551304858.png


Was kommt bei der Ausgabe von
Code: 
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
in einer Powershell mit Admin Rechten? (aus dem 1. Post)
 
@Modemsound schau dir mal Post #3 an und arbeite die cmd- Befehle aus dem Github Link ab.
Wenn das auch nichts bringt, dann kann Windows nicht auf dein UEFI zugreifen, um die neuen Zertifikate dort einzutragen, oder um überhaupt auszulesen, welche Zertifikate drauf sind. In dem Falle hast du 2 Optionen:
die Zertifikate einfach Zertifikate sein lassen und abwarten, was Windows macht. Oder Secure Boot deaktivieren.
 
Ich habe es nicht mehr erwartet, aber scheint tatsächlich funktioniert zu haben. @KaterTom

Bei meinen abfragen in den letzten Wochen auf dem wirklich alten "Office PC" über die Powershell Eingabe:

" ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')"

War die Antwort immer: False

Dann habe ich den Ordner aus dem Github Link runtergeladen und habe die Powershell einige Powershell Befehle aus dem Ordner als Admin ausgeführt, dazwischen den PC immer wieder neu gestartet und das Windows 11 Update manuell angestoßen. Ich kann gar nicht mehr genau sagen nach welchem Powershell Befehl es genau war, aber jetzt ist die Antwort "True" wenn ich die Abfrage zu den SecureBoot Zertifikaten über die Powershell mache.

Die genauen Zertifikate habe ich jetzt nicht einzeln überprüft. Soll ich es jetzt einfach dabei belassen, wenn die Abfrage "True" ergibt?
 
Erstmal sorry für die späten Antworten, aber unter der Woche habe ich erst Abends Zeit für's Internet.
Öffne die Ereignisanzeige und filtere die nach "TPM-WMI" . Wenn du das Ereignis 1808 - wie im ersten Bild inPost #4 zu sehen - hast, dann ist alles okay und deine Zertifikate wurden aktualisiert und ins UEFI eingetragen.
 
KaterTom schrieb:
Das hier ist für Leute, die gerne bei Windows 10 bleiben wollen:
Alle Befehle in Powershell als Admin ausführen:

1.prüfen, ob die neuen SBZ CA 2023 im BIOS eingetragen sind
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
wenn hier die Ausgabe schon true ist, dann habt ihr die neuen Zertifikate schon. Wenn false ausgegeben wird, geht es mit Schritt 2 weiter

2.prüfen, ob Windows SecureBoot Zertifikate ins BIOS schreiben kann:
Get-SecureBootUEFI -Name PK | Format-List
wenn die Ausgabe dann so aussieht, ist alles okay: Name : PK
Bytes : {161, 89, 192, 165...}
Attributes : NON VOLATILE
BOOTSERVICE ACCESS
RUNTIME ACCESS
TIME BASED AUTHENTICATED WRITE ACCESS
wichtig ist nur der Abschnitt Attributes. Da muss überall Access stehen.

3.Registry Schlüssel erstellen, der dafür sorgt, dass Windows Update nach aktuellen SBZ sucht
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot” -Name “AvailableUpdates” -Value 0x40

4. PC neu starten

5.Das SB-Update forcieren
Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”

6.PC neu starten

7.Schritt 1 wiederholen. Die Ausgebe sollte nun "true" sein. Geschafft! Jetzt habt ihr die neuen Secure Boot Zertifikate auf eurem PC.

Update: Jetzt müssen die neuen Zertifikate aber noch ins UEFI eingetragen werden. Um das zu überprüfen, bzw. zu forcieren, ruft ihr diese Github Seite auf und arbeitet die CMD-Befehle dort ab. Also oben auf den grünen Button drücken und Download Zip wählen. Nach dem Entpacken die Dateien Apply 2023 KEK, DB and bootmgfw update und Apply DBX update als Admin ausführen.Danach den PC neu starten.
Jetzt solltet ihr in der nach TPM-WMI gefilterten Ereignisanzeige das Ereignis 1808 haben (siehe Post #4 erstes Bild).
Und in Windows unter ->Einstellungen ->Update & Sicherheit ->Windows-Sicherheit ->Gerätesicherheit sollte unter "Sicherer Start" folgender Text stehen: "Der sichere Start ist aktiviert und alle erforderlichen Zertifikatupdates wurden angewendet. Es sind keine weiteren Zertifikatänderungen erforderlich". Damit ist das Thema dann erledigt.

Quelle: https://techcommunity.microsoft.com...g/updating-microsoft-secure-boot-keys/4055324
Abschnitt Formal DB update steps Schritt 2 steht da nicht drin, den habe ich aus einem Video von "Windows Einfach erklärt"

Nachtrag: Diese Zertifikate benötigt natürlich nur, wer Secure boot auch nutzt. Wer kein Secure boot benötigt, braucht sich auch nicht um diese Zertifikate kümmern.
Zum Vergrößern anklicken....
Hallo,

ich habe hier eine Frage an dich. Ich habe mal dein Schema in Chat gpt eingegeben und die empfehlen da reg add HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f du hast aber einen anderen drin 0x40 . Da ich den von Chat gpt benutzt habe und mit diesem Befehl nach dem Start in windows der PC haengen bleibt habe ich diesen Befehl wieder rausgelöscht mit delete... Jetzt lauft es wieder ohne Probleme der PC. Mit diesem Befehl:
Get-WinEvent -LogName System | Where-Object {
$_.ProviderName -eq "Microsoft-Windows-TPM-WMI" -and $_.Id -in 1036,1043,1044,1045,1795,1796,1797,1798,1799,1801,1802,1803,1808
} | Select-Object TimeCreated, Id, ProviderName, Message -First 30

bekomme ich dann : 30.03.2026 21:12:03 1801 Microsoft-Windows-TPM-WMI Aktualisierte Zertifikate für den sicheren Start sind auf diesem ...

angezeigt. Das sagt ja aus Update Verfügbar aber noch nicht angewendet.

Wenn ich nach dem Befehl: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

ein True habe ist es doch mit sicherheit so das ich die Schritte überspringen kann und direkt die 2 ausführbaren Dateien auf der Git HUB Seite starten kann oder?
 
Ja. Die neuen Zertifikate sind heruntergeladen, aber noch nicht im UEFI eingetragen. Die beiden Befehle auf der Github Seite erledigen das.
 
Für Leute mit älteren PCs, wo das BIOS nicht mitspielt und die Installation über Windows nicht automatisch erfolgt,
wo es nicht zum erfolg führt in der Registry unter AvailableUpdates den Wer 0x40 (5944) zu schreiben:

1. Windows starten
2. USB-Stick anstecken und mit FAT32 formatieren
3. Auf dem Stick einen Ordner erstellen mit dem Namen "EFI" darin noch einen Ordner namens "BOOT"
4. Folgende Datei in Windows suchen: "C:\Windows\Boot\EFI\SecureBootRecovery.efi" und auf den Stick in den Ordner EFI\BOOT kopieren
5. Die kopierte Datei auf dem Stick in "bootx64.efi" umbenennen (ohne "")
6. Wenn BitLocker aktiviert, diesen zur Sicherheit anhalten und Schlüssel sichern!
7. PC neustarten und vom USB-Stick booten. Das System lädt nun die Zertifikate in das UEFI BIOS.
8. Der Rechner wird automatisch nach 10 Sekunden einen Neustart machen und das 2023 CA sollte nun installiert sein.

Sollte nun noch gegengeprüft werden, entweder in PowerShell folgenden Befehl eigeben:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
"True" sollte die Antwort sein.
Alternativ in der Registry folgenden Key überprüfen:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Dort sollte "WindowsUEFICA2023Capable" zu finden sein.
Der kann die Werte 0, 1 und 2 haben:

0 - Kein Zertifkat vorhanden -> Schlecht
1 - Neues Zertifikat vorhanden, aber Windows hat nicht damit gebootet -> am besten PC nochmal booten
2 - Neues Zertifikat vorhanden und Windows hat damit gebootet -> Sehr gut, genau das Ergebnis wollen wir
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

PCGH_Jacky
News Alarm für Secure Boot: Zertifikate laufen im Sommer aus, Microsoft liefert Windows-Tool
2 3
Antworten
54
Aufrufe
4K
Incredible Alk
Incredible Alk
PCGH-Redaktion
News Secure Boot: Zertifikate laufen aus, Microsoft reagiert mit Windows-Updates
Antworten
12
Aufrufe
1K
h_tobi
h_tobi
PCGH-Redaktion
News Windows 11: Secure-Boot-Frist im Juni 2026 - das droht ohne Update
2 3
Antworten
52
Aufrufe
3K
_Oskar_
_Oskar_
PCGH-Redaktion
News Selbst prüfen: Hat Windows 11 die neuen Secure-Boot-Zertifikate bereits angewandt?
Antworten
18
Aufrufe
12K
Andreas1975
Andreas1975
PCGH-Redaktion
News Windows 10: Microsoft bringt Secure Boot auf den neuesten Stand
Antworten
1
Aufrufe
389
Christoph1717
Christoph1717
Oben Unten
Zurück