[English]Microsoft versucht seit geraumer Zeit den Secure Boot in Windows gegen die Black Lotus-Boot-Kit-Schwachstelle CVE-2023-24932 abzusichern. Nachfolgend eine kurze Zusammenfassung bzw. FAQ, u.a. zum auszutauschenden Zertifikat in den Boot-Medien. Und ein Leser hat mir sein Script zum Zertifikatsaustausch zukommen lassen.
Anzeige
Windows UEFI CA 2023 Zertifikat
Seit langer Zeit versucht Microsoft die Schwachstelle CVE-2023-24932 im Secure Boot von Windows 11 zu schließen, die durch das BlackLotus UEFI-Bootkit ausgenutzt wird (siehe KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)).
Aber es gibt noch ein Problem: Im Oktober 2026 läuft ein UEFI-Zertifikat ("Windows Production PCA 2011") Microsofts ab, welches beim Secure Boot benutzt wird. Das dürfte nicht nur Windows-Nutzer betreffen, sondern auch Linux-Administratoren sollten sich mit dem Thema befassen. Auch hier versucht Microsoft seit geraumer Zeit das Zertifikat zu erneuern (siehe auch Windows 10/11 KB5053484: Neues PS-Script für Zertifikate in Boot-Medien). Administratoren müssen reagieren und das neue Zertifikat bis Oktober 2026 im UEFI der Maschinen abgelegt haben.
Fragen und Antworten zum UEFI-Zertifikat
Bolko hatte in diesem Kommentar einige Fragen und Antworten rund um den Austausch des UEFI-Zertifikat für den Secure Boot eingestellt (danke dafür). Ich ziehe die Informationen mal als FAQ heraus.
Welches Update enthält das neue UEFI-Zertifikat?
Das kumulative Update KB5036210 vom 13. Februar 2024 brachte erstmals das Windows UEFI CA 2023-Zertifikat und die Funktionen mit, um die UEFI Secure Boot Allowed Signature Database (DB) mit dem neuen Schlüssel zu aktualisieren. Dieses und alle nachfolgenden Updates sollten das neue Bootloader-Zertifikat enthalten, was nach Oktober 2026 beim Secure Boot benötigt wird.
Anzeige
Wie erkenne ich, ob das neue Zertifikat vorhanden ist?
Ob Windows das neue Zertifikat integriert hat, sollte man (laut Supportseite) an folgendem Registry-Schlüssel herausfinden können:
HKEY_LOCAL_MACHINE\SYSTEM\\CurrentControlSet\Control\SecureBoot\Servicing
Ist dort der 32-Bit-DWORD-Wert WindowsUEFICA2023Capable auf 0x40 gesetzt, sollte Windows vorbereitet sein. Mit dem DWORD-Wert 0x0 ist das System nicht für das neue UEFI-Zertifikat bereit.
Sind UEFI-Signaturen integriert?
Die spannende Frage ist, ob ein OEM-Hersteller bereits die neuen Zertifikate im UEFI eines neuen Rechners integriert hat. Dann spart man sich das Patchen. Bolko schreibt, dass man im UEFI kann man selber nachschauen können. Dazu das UEFI beim Starten des Rechners (über eine Funktionstaste) öffnen und in folgenden Optionen schauen:
secure boot keys -> Authorized Signatures (db) -> search for "Windows UEFI CA 2023"
Detailliertere Informationen zu diesen UEFI-Signaturen findet man, inklusive Downloads für das neue Zertifikat,. bei Microsoft in diesem Dokument. Kurzfassung: Man braucht, je Mainboard-Hersteller, einen signierten KEK-Schlüssel, um diese neuen Signaturen ins UEFI integrieren zu dürfen.
Microsoft bezeichnet das neue Schlüsselaustausch-Zertifikat als "Microsoft Corporation KEK CA 2023-Zertifikat". Alle Mainboard-Hersteller müssen dieses Microsoft-Zertifikat runterladen, signieren und wieder zurück zu Microsoft hochladen, damit Microsoft dann per Update aus Windows heraus ab dem Jahr 2026 neue DB und DBX-Signaturen ins UEFI schreiben darf. Ohne dieses neue signierte KEK würden die UEFIs die Updates der erlaubten Bootloader-Signatur-Datenbanken verweigern.
An dieser Stelle verweise ich auf diesen Kommentar von Daniel Casota, der noch auf Spezialfälle eingeht.
Und TBR weist in diesem Kommentar auf eine Information bei Bleeping Computer hin, dass Boot-Images, die von neueren ADK-Versionen erzeugt wurden, den BlackLotus-Fix bereits enthalten.
Weitere Informationen
Meinen Kenntnissen nach will Microsoft das alte UEFI Secure-Boot-Zertifikat ("Windows Production PCA 2011") mit einem künftigen Update als ungültig erklären. Die sogenannte Erzwingungsphase beginnt aber nicht vor Januar 2026. Allen Lesern empfehle ich den Microsoft Support-Beitrag Verwalten der Windows-Start-Manager-Sperrungen für Änderungen des sicheren Starts im Zusammenhang mit CVE-2023-24932 von Mai 2023, da dort viele zusätzliche Informationen (u.a. die Zeitpläne für die Erzwingungsphase) zusammen getragen wurden.
Ein Script zur Zertifikatinstallation
Es gab in diesem Kommentarthread einen Hinweis auf ein Script zur Zertifikatinstallation. Ich hatte angeboten, das Script zu veröffentlichen – hier die betreffenden Anweisungen. Ein Administrator hat mir folgenden Code zukommen lassen (danke dafür).
@ECHO OFF @REM Autor:RF @REM Datum:31.01.2025 @REM KB5025885 REM TODO REM reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f REM 2x Reboot REM REM powershell -command "[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'" REM REM reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f REM 2x Reboot REM REM mountvol Q: /s && copy "Q:\EFI\Microsoft\Boot\bootmgfw.efi" "%TEMP%\bootmgfw.efi" && mountvol Q: /d REM Signatur von %TEMP%\bootmgfw.efi prüfen REM REM reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f REM 2x Reboot REM REM powershell -command "[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'" REM REM reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f REM 2x Reboot @ECHO. @ECHO %~nx0 %* REM **************************************************************************** REM Test Administator Berechtigung "%windir%\System32\net.exe" session >nul 2>nul "%windir%\System32\net.exe" session >nul 2>nul REM ECHO ErrorLevel: %errorlevel% IF ERRORLEVEL 1 ( ECHO. ECHO Error: %~nx0 ECHO Administator Berechtigung erforderlich ECHO. Pause Exit /b ) REM **************************************************************************** SETLOCAL SET $CWD=%CD% SET $CERT_OLD=Microsoft Windows Production PCA 2011 SET $CERT_NEW=Windows UEFI CA 2023 SET $OUT=%TEMP%\~%~n0.txt CD /D "%~dp0" REM CD /D "%~1" REM **************************************************************************** ECHO Check new Certificate installed in UEFI db (%$CERT_NEW%) ECHO. > "%$OUT%" powershell.exe -command "[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match '%$CERT_NEW%'" > NUL "%windir%\System32\find.exe" /I "True" "%$OUT%" REM ECHO %ERRORLEVEL% IF "0"=="%ERRORLEVEL%" GOTO :DB_OK REM **************************************************************************** ECHO. ECHO ERROR: new Certificate is not installed in UEFI db. ECHO. SET /P $ANSWER="Do you want to install new Certificate in UEFI db? [Y/N] " IF /I NOT "Y"=="%$ANSWER%" GOTO :ENDE REM **************************************************************************** ECHO. ECHO Add Reg Key ECHO. "%windir%\System32\REG.EXE" ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot" /v AvailableUpdates /t REG_DWORD /d 0x40 /f ECHO. ECHO Please reboot twice and run this script again ECHO. GOTO :ENDE REM **************************************************************************** :DB_OK ECHO new Certificate is installed in UEFI db (%$CERT_NEW%). ECHO. REM **************************************************************************** ECHO Check Signature of BootLoader (%$CERT_NEW%) ECHO. "%windir%\System32\mountvol.exe" Q: /S > NUL COPY /Y "Q:\EFI\Microsoft\Boot\bootmgfw.efi" "%TEMP%\bootmgfw.efi" "%windir%\System32\mountvol.exe" Q: /D > NUL "%windir%\System32\find.exe" /I "%$CERT_NEW%" "%TEMP%\bootmgfw.efi" REM ECHO %ERRORLEVEL% IF "0"=="%ERRORLEVEL%" GOTO :BOOT_OK > NUL "%windir%\System32\find.exe" /I "%$CERT_OLD%" "%TEMP%\bootmgfw.efi" IF "0"=="%ERRORLEVEL%" ECHO BootLoader is signed with old Certificate "%$CERT_OLD%" REM **************************************************************************** ECHO. ECHO ERROR: BootLoader is not signed with new Certificate. ECHO. SET /P $ANSWER="Do you want to update the BootLoader? [Y/N] " IF /I NOT "Y"=="%$ANSWER%" GOTO :ENDE REM **************************************************************************** ECHO. ECHO Add Reg Key ECHO. "%windir%\System32\REG.EXE" ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot" /v AvailableUpdates /t REG_DWORD /d 0x100 /f ECHO. ECHO Please reboot twice and run this script again ECHO. GOTO :ENDE REM **************************************************************************** :BOOT_OK ECHO BootLoader is signed with new Certificate (%$CERT_NEW%). ECHO. REM **************************************************************************** ECHO Check old Certificate blocked in UEFI dbx (%$CERT_OLD%) ECHO. > "%$OUT%" powershell.exe -command "[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match '%$CERT_OLD%'" > NUL "%windir%\System32\find.exe" /I "True" "%$OUT%" REM ECHO %ERRORLEVEL% IF "0"=="%ERRORLEVEL%" GOTO :DBX_OK REM **************************************************************************** ECHO. ECHO ERROR: old Certificate is not blocked in UEFI dbx. ECHO. SET /P $ANSWER="Do you want to blocked old Certificate in UEFI dbx? [Y/N] " IF /I NOT "Y"=="%$ANSWER%" GOTO :ENDE REM **************************************************************************** ECHO. ECHO Add Reg Key ECHO. "%windir%\System32\REG.EXE" ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot" /v AvailableUpdates /t REG_DWORD /d 0x80 /f ECHO. ECHO Please reboot twice and run this script again ECHO. GOTO :ENDE REM **************************************************************************** :DBX_OK ECHO old Certificate is blocked in UEFI dbx. ECHO. REM **************************************************************************** REM TODO REM "%windir%\System32\REG.EXE" ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot" /v AvailableUpdates /t REG_DWORD /d 0x200 /f REM **************************************************************************** :ENDE ECHO bye PAUSE CD /D "%$CWD%" ENDLOCAL GOTO :EOF
Der Administrator hat mir mitgeteilt, dass er ca. 50 Rechner mit dem Script umgestellt habe. Natürlich gilt, dass der Code auf Basis As-Is bereitgestellt wird und die Nutzung auf eigene Gefahr erfolgt.
Ähnliche Artikel:
Windows 10/11 KB5053484: Neues PS-Script für Zertifikate in Boot-Medien
KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)
Frage: BlackLotus-Schwachstelle und ablaufendes UEFI-Zertifikat – was droht uns?
Windows und das (BlackLotus) Secure Boot-Desaster: Wie ist bei euch der Status?
Anzeige
Also mein Thinkpad T14 G4 hat das aktuellste BIOS welches auch laut Changelog schon das neue MS Zertifikat haben soll. W11 24H2 Februar Update ist ebenfalls installiert.
WindowsUEFICA2023Capable steht auf 0 und AvailableUpdates steht ebenfalls auf 0
Muss man da dann irgendwann manuell eingreifen oder wird das "irgendwann" automatisch von Windows geupdated?
Ich habe es in der FAQ nicht angegeben – hatte es vor einigen Wochen mal im Blog erwähnt (finde die Stelle nicht mehr): Laut Microsoft will man das alte UEFI-Zertifikat mit einem zukünftigen Update revoken – also als ungültig erklären, so dass das neue Zertifikat dann ausschließlich für den Secure Boot gilt.
Also bei meinem Laptop klappt das Script nicht. Es gibt mir immer wieder die Meldung der Bootloader müsste aktualisiert werden. Wenn ich das machen und 2-mal reboote, kommt anschließend immer noch die selbe Meldung und das Zertifikat ist immer noch das Alte. Wenn ich die Registryeinträge manuell setze, wie im MS Artikel beschrieben, geht es. Vielleicht haben Andere andere Erfahrungen?
Ich schaue mal, ob ich den Urheber des Scripts noch kontaktieren kann.
Sorry, wenn es nicht funktioniert. Das Script setzt ja auch nur die Reg Key gemäss Doku.
Beim Test des Boot Loader habe ich im Gegensatz zur Doku was automatisches gemacht. Warum das bei Dir nicht geht weiss ich nicht. Wenn Du es nach Doku von Hand machst, ist dann der BootLoader mit dem neuen Zertifikat signiert?
BTW. habe mittlerweile auch zwei Gerätetypen, bei denen das importieren des neuen Zertifikats nicht geht.
Ja, wenn ich es manuell nach Anleitung von MS machen wird der bootloader signiert und ich kann das neue Zertifikat auch entsprechend aus der UEFI Partition extrahieren. Lustigerweise bekomme ich dann beim Script folgenden Fehler:
Falscher Parameter.
Das System kann das angegebene Laufwerk nicht finden.
Das System kann die angegebene Datei nicht finden.
BootLoader is signed with old Certificate "Microsoft Windows Production PCA 2011"
Wie gesagt habe ich aber die bootmgfw_2003 Datei aus der Partition rauskopiert und kann das neue 2023er Zertifikat darin anzeigen lassen.
UPDATE: Es scheint hier ein spezielles Problem mit dem Gerät zu geben. Ich komme nämlich nicht über Schritt 2 in der MS Anleitung hinaus. Trotz mehrfacher Versuche lässt sich das 2011er Zertifikat nicht sperren.
Ups, da war ich wohl zu ungeduldig. Jetzt hat es doch noch geklappt. Hat irgendwie mehrere Minuten gedauert bis Windows die Änderung tatsächlich intern umgesetzt hat. Einfach mal 5 Minuten warten und dann kam Event ID 1037 im log. Dein Script besätigt jetzt auch alles positiv. Die Änderung konnte aber nur manuell vorgenommen werden.
Das Skript mountet die UEFI Partition als Laufwerk Q:
Ist dies bei Dir bereits belegt?
Kann im Skript angepasst werden
Tatsächlich nicht. Ist eine Platte mit nur einer C: Partition und den üblichen Verdächtigen wie EFI und Wiederherstellungspartition. Wenn ich es als S: mounte, wie im MS Artikel geht es aber. Sehr komisch.
Hier das gleiche Phänomen mit dem Script, aber beim manuellen Workaround stehe ich irgendwie auf dem Schlauch. Im BIOS (ACER) habe ich keine Möglichkeit, bereits installierte Schlüssel anzuschauen. WindowsUEFICA2023Capable in der Registry steht auf 0.
Ich muss doch jetzt in irgendeiner Form eine Installation durchführen, oder verstehe ich grundsätzlich etwas falsch? Sprich, mit dem Setzen einiger Registry-Einträge ist das Ganze doch nicht erledigt, oder?
MS hat den Code zum Updaten seit letztem Frühling in den Windows Update. Damit der Code ausgeführt wird, muss in der Registry der entsprechende Wert gesetzt und dann 2x neu gestartet werden.
Klappt leider nicht mit jedem Computer, da dies vom BIOS und der zusammenarbeit mit Microsoft abhängt.
Frage: Hat sich schon mal jemand das in Hinblick bei einem Server mit WDS angesehen ?
Das müßte dort doch auch "gefixt" werden , oder ?
Ich kann nur warnen dieses per Hand durchzuführen, falls doch denkt an die gesamte Hardware "im System". Bei mir war nach den erfolgreichen Update der 24H2PC das Internet tot, da ich nicht an die "Zyxel 10-Gigabit Switch" und andere HW in meinem Netz dachte. Ich würde in jedem Fall auf Microsoft Update warten!
# Admin(!!!) Powershell Skript zum Prüfen (Volltext direkt in Terminal einfügbar!)
# UEFI Zertifikat auslesen:
# SecureBoot Status
if ( ( Confirm-SecureBootUEFI ) -eq $false ) { Write-Host -ForegroundColor red `n 'SecureBoot ist aus – Thema hat sich erledigt' `n } else { Write-Host -ForegroundColor green `n 'SecureBoot Status OK' `n }
# Gegenprobe auf altes Zertifikat
if ( ( [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows Production PCA 2011' ) -eq $true ) { Write-Host -ForegroundColor green `n 'Altes Zertifikat vorhanden' `n } else { Write-Host -ForegroundColor red `n 'Altes Zertifikat nicht vorhanden!' `n }
# Neues Zertifikat auslesen
if ( ( [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' ) -eq $false ) { Write-Host -ForegroundColor red `n 'Neues UEFI Zertifikat ist noch nicht installiert!' `n } else { -ForegroundColor green`n 'Neues UEFI Zertifikat bereits installiert!' `n }
# Windows Zusammenarbeit mit dem neuen Zertifikat prüfen:
if ( ( Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\ -Name 'WindowsUEFICA2023Capable' ).WindowsUEFICA2023Capable -eq 0 ) { Write-Host -ForegroundColor red `n 'Windows ist noch nicht bereit für das neue Zertifikat!' `n } else { Write-Host -ForegroundColor green `n 'Windows ist bereit für das neue Zertifikat' `n }
#
Bei "Neues Zertifikat auslesen" hast du nach dem "else" ein "Write-Host" vergessen. Schmeißt dort sonst einen Fehler ;)
Bei mir zeigt es alles grün.
Riesig… bei mir ist die Hälfte rot… alles 1000mal getestet, damit 's auch wirklich idiotensicher ist und genau das was ich nicht testen konnte…
Vorhin kam ein neuer PC. Bei dem würde es bestimmt gehen…
Danke! :)
Also hier nochmal:
___________________________________________
# Admin(!!!) Powershell Skript zum Prüfen (Alles unter der Linie direkt in Terminal einfüg- und ausführbar! Bisschen hässlich aber zweckmäßig!) :D
# UEFI Zertifikat auslesen:
# Präambel
try { Confirm-SecureBootUEFI | Out-Null } catch { $ExceptionMessage = $_.Exception.Message } finally { if ( ( $ExceptionMessage ) -ne $null ) { Write-Host -ForegroundColor red `n 'Hab doch gesagt als Admin, du Honk!' && [Environment]::Exit(1) } else { $admin = 'Superadmin am Start!' && Write-Host -ForegroundColor green `n $admin `n } }
# Firmware Typ prüfen
if ( ( $env:firmware_type ) -ne 'UEFI' ) { Write-Host -ForegroundColor red `n 'Kein UEFI erkannt – Nichts zu tun!' && [Environment]::Exit(1) } else { $firmware = 'UEFI Boot aktiv' && Write-Host -ForegroundColor green `n $firmware `n }
# SecureBoot Status
if ( ( Confirm-SecureBootUEFI ) -eq $false ) { Write-Host -ForegroundColor red `n 'SecureBoot ist aus – Solange das so ist ist das Problem bei diesem Gerät irrelevant!' `n && [Environment]::Exit(1) } else { $secureboot = 'SecureBoot Status OK' && Write-Host -ForegroundColor green `n $secureboot `n }
# Gegenprobe auf vorheriges Zertifikat
if ( ( [System.Text.Encoding]::ASCII.GetString( ( Get-SecureBootUEFI -Name db ).bytes ) -match 'Windows Production PCA 2011' ) -eq $true ) { $AltesZertifikat = 'Vorheriges Zertifikat (noch) vorhanden!' && Write-Host -ForegroundColor green `n $AltesZertifikat `n } else { $AltesZertifikat = 'Vorheriges Zertifikat nicht (mehr) vorhanden' && Write-Host -ForegroundColor red `n $AltesZertifikat `n }
# Neues Zertifikat auslesen
if ( ( [System.Text.Encoding]::ASCII.GetString( ( Get-SecureBootUEFI -Name db ).bytes ) -match 'Windows UEFI CA 2023' ) -eq $false ) { $NeuesZertifikat = 'Neues UEFI Zertifikat ist noch nicht installiert!' && Write-Host -ForegroundColor red `n $NeuesZertifikat `n } else { $NeuesZertifikat = 'Neues UEFI Zertifikat bereits installiert!' && Write-Host -ForegroundColor green`n $NeuesZertifikat `n }
# Windows Zusammenarbeit mit dem neuen Zertifikat prüfen:
if ( ( Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\ -Name 'WindowsUEFICA2023Capable' ).WindowsUEFICA2023Capable -eq 0 ) { $WindowsCapable = 'Windows ist (noch) nicht bereit für das neue Zertifikat!' && Write-Host -ForegroundColor red `n $WindowsCapable `n } else { $WindowsCapable = 'Windows ist bereit für das neue Zertifikat' && Write-Host -ForegroundColor green `n $WindowsCapable `n }
#
Kann das sein, das MS die Zertifikationsserver abgeschaltet hat?
Wenn ich versuche mit dem obigen Script das Zertifikat aus zu tauschen, bekommen ich folgende Fehler:
Fehler bei der Initialisierung der SCEP-Zertifikatregistrierung für WORKGROUP\DESKTOP-2UK5OV6$ über https://AMD-KeyId-8a0578cf56146fea399af903fb5b0ac36eb2786a.microsoftaik.azure.net/templates/Aik/scep:
GetCACaps
GetCACaps: Not Found
{"Message":"The authority \"amd-keyid-8a0578cf56146fea399af903fb5b0ac36eb2786a.microsoftaik.azure.net\" does not exist."}
HTTP/1.1 404 Not Found
Date: Wed, 26 Feb 2025 10:00:09 GMT
Content-Length: 121
Content-Type: application/json; charset=utf-8
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000;includeSubDomains
x-ms-request-id: 0680b10f-3083-47e4-985a-7454c96c359b
Methode: GET(297ms)
Phase: GetCACaps
Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)
im Event-Log.
Dies tritt bei mehreren Rechnern auf.
bei mir tut sich gar nichts.
ich habe unter "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot" fuer "AvailableUpdates" den wert 0x40 (dec 64) eingetragen.
paar mal gebootet.
und auch manuell angestossen:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
a) auf einem WIN11 24H2 ist danach zumindest "WindowsUEFICA2023Capable" in der registry gesetzt.
b) auf einem WIN10 22H2 passiert absolut nichts.
auf BEIDEN systemen werden keine neuen zertifikate (zusaetzlich) in das BIOS geschrieben. die folgenden werden allesamt NICHT hinzugefuegt:
– "Windows UEFI CA 2023"
– "Microsoft UEFI CA 2023"
– "Microsoft Corporation KEK CA 2023"
welche komponente waere dafuer zustaendig?
und nach welchen regeln passiert das?
jetzt wird es spannend.
mein rechner mit WIN11 24H2 ist ein Lenovo ThinkCentre.
im BIOS setup bietet es den folgenden luxus:
unter "security -> secure boot -> key management" lassen sich mit "append" manuell weitere zertifikate hinzfuegen.
auf https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11 habe ich downloads gefunden:
– "windows uefi ca 2023.crt"
– "microsoft corporation kek 2k ca 2023.crt"
der CN from KEK ist uebrigens nicht "Microsoft Corporation KEK CA 2023", sondern "Microsoft Corporation KEK 2K CA 2023".
beide keys sind jetzt im BIOS. damit ist das system "vorbereitet". die aufgabe ist fuer mich damit erledigt.
ich persoenlich werde NICHT manuell anstossen: die umstellung vom bootloader; die sperrliste vom alten zertifikat; den SVN check.
allerdings: was soll mat mit dem "windows oem devices pk.cer" von den microsoft downloads machen?
ungeloest ist auch noch die frage fuer "Microsoft UEFI CA 2023" (fuer linux bootloader). dafuer konnte ich bislang keinen download finden.
ausserdem die frage: was ist mit meinem WIN10 22H2 (Asus)? dort habe ich keine moeglichkeit gefunden, im BIOS setup manuell zu importieren.
und generell:
wann und wie passiert der import automatisch? nach welchen regeln?
ich will ja nicht auf jedem rechner in das BIOS setup und manuell irgendwelche zertifkate importieren …