ASUS MB Secure Boot Zertifikate prüfen

[Teddy8888]

Hallo zusammen ,

die Secure Boot Zertifikate laufen ja bald ab und nun wollte ich bei meinem
ASUS ROG Strix Z-790-E nachsehen ob die Zertifikate aktuell sind ,
leider weiß ich nicht wo das angezeigt wird .
Auf den Fotos sieht man das die Zertiffikate geladen oder gelöscht werden können aber keine Details .
Weder das Handbuch noch Google konnten helfen aber vielleicht weiß hier ja jemand bescheid .

Ein paar Eckdaten noch : ASUS ROG Strix Z-790-E , Bios 3107 11/28/2025 , Win 25H2 alle Updates aktuell

Danke schon mal im vorraus .

 

[MadDog]

Moin du

also wenn ich in einer Suchmaschine meiner Wahl

"Secure Boot Zertifikate prüfen"​

eingebe, bekomme ich Unmengen an Infos etc.

Vielleicht wäre dies ja was für dich.

 

[Wolfgang.R-357:]

Wenn es bei dir so aussieht, ist alles in Ordnung:

Nachtrag:
Ich habe mich einige Sekunden bemüht, dieser Beitrag kann dir helfen:
https://www.computerbase.de/forum/t...cherheitsluecken.2269624/page-3#post-31441628

Weder das Handbuch noch Google konnten helfen aber vielleicht weiß hier ja jemand bescheid

🤨
Unwahrscheinlich, wenn ich "Secure Boot Zertifikate" in Google eingebe, kommen viele gute Antworten, auch hier bei CB wurde dies schon diverse male debattiert in Artikel und Forenthemen, siehe die Themen hier, unten bei "Ähnliche Themen".

 

[Teddy8888]

@MadDog
Ja ich hab auch jede Menge Infos aber keine WO ich mir die Details dazu im Bios anzeigen lassen kann .
z.B. KEK 2K CA 2023 ... Das finde ich halt nirgens ... (s. Foto)

 

[cyberpirate]

Moin.

Hier kannst ja mal reinschauen,

https://www.asus.com/de/support/faq/1055903/

Wenn es bei dir so aussieht, ist alles in Ordnung:

Anhang anzeigen 1732443

Würde ich nicht jemanden sagen das wenn es so ist wie bei dir das alles in Ordnung ist! Bei Dir wird nicht mal die Standardmäßige Hardwaresicherheit unterstützt! Also das wäre das Minimum. Besser wäre die erweitere Hardware Sicherheit!

 

[kartoffelpü]

Im BIOS muss man nicht unbedingt was machen/prüfen (nur evtl. bei Dual-Boot mit Linux?).
Windows packt die neuen Zertifikate auf die Bootpartition.

 

[Ostfriese]

Meiner Ansicht nach braucht man Secure Boot nicht wirklich, denn wirklich sicher ist das auch nicht, wenn die Kacke mal am Dampfen ist.

Zwar habe ich Secure Boot natürlich, aber ich habe es nicht aktiviert, auch weil es stören kann.

Nicht immer so viel Panik machen...

 

[VDC]

Würde ich nicht jemanden sagen das wenn es so ist wie bei dir das alles in Ordnung ist!

Ist es aber, Zertifikate sind up2date, mehr braucht es nicht.

Besser wäre die erweitere Hardware Sicherheit!

Nur weil es da steht? Also ich hab den Passus selbst am Arbeitsnotebook nicht und das ist recht aktuell und sollte "alles" können.

leider weiß ich nicht wo das angezeigt wird .

So sieht es aus, wenn noch keine Patches/Updates verfügbar sind:

Und auch die Kisten werden nachdem die Zertifikate ausgelaufen sind weiterhin hochfahren.

 

[NameHere]

Du kannst das so wie es @Warhead hier beschrieben hat erledigen.

 

[kartoffelpü]

Also ich hab den Passus selbst am Arbeitsnotebook nicht

Ja, weil in AD- und Intune-Umgebungen die Verteilung nicht automatisch passiert, das müssen die Administratoren anstoßen.

 

[cyberpirate]

Ist es aber, Zertifikate sind up2date, mehr braucht es nicht.

Nun das sagst Du. ich möchte aber immer die erweiterte Hardwaresicherheit haben! zb bei nicht vorhandener standardmäßiger Hardwaresicherheit verzichtet man auf:

• Kein optimaler Schutz vor Rootkits: Ohne diese Sicherheitsstufe können Schadprogramme theoretisch noch vor dem Start von Windows geladen werden. Virenscanner im Betriebssystem können solche tiefen Infektionen oft nicht mehr erkennen.
• Fehlende Barrieren im Arbeitsspeicher: Angreifer können leichter Schadcode in sensible Bereiche des Arbeitsspeichers einschleusen, um Passwörter oder Systemrechte abzugreifen.
• Eingeschränkter Identitätsschutz: Funktionen wie Windows Hello (Anmeldung per Gesicht oder Fingerabdruck) oder die Verschlüsselung über BitLocker können ihre Schlüssel nicht mehr in einem physisch isolierten, maximal geschützten Bereich ablegen

Ich würde das sicher niemandem so empfehlen! Kann man für sich nutzen wenn man das meint. Aber Ich achte darauf das immer die erweiterte HW Sicherheit gegeben ist!

 

[wagga]

Und auch die Kisten werden nachdem die Zertifikate ausgelaufen sind weiterhin hochfahren.

Das Problem habe ich beim PC i7 13700KF und beim Laptop 12450H das er die Updates bis her nicht installiert hatte. Werde so bald der PC nicht mehr startet Secureboot deaktivieren.
Wenn ich es irgendwann brauche muss ich mir dann leider einen neuen PC kaufen.
Wäre schade wenn das dann nur wegen Secureboot nötig wäre.

 

[VDC]

Nun das sagst Du. ich möchte aber immer die erweiterte Hardwaresicherheit haben!

Quelle für die Stichpunkte? Mit Antwort KI biste raus.

Also welches Subsystem welche der 4 Punkte betrifft weiß ich und ja, ist alles an und trotzdem steht es da nicht mit "erweiterte Hardwaresicherheit".

Aber Ich achte darauf das immer die erweiterte HW Sicherheit gegeben ist!

Dann solltest du lieber hier schauen und nur noch kaufen / einsetzen

https://learn.microsoft.com/de-de/windows-hardware/design/device-experiences/OEM-highly-secure-11

Wenn ich es irgendwann brauche muss ich mir dann leider einen neuen PC kaufen.

Mal testweise das Datum "falsch" eingestellt?

 

[gaym0r]

Nun das sagst Du. ich möchte aber immer die erweiterte Hardwaresicherheit haben!

Aber was hat das nun mit dem Thema (Secure Boot Zertifikate) zu tun?

 

[NoNameNoHonor]

@gaym0r Secure Boot ist Teil der "erweiterten Hardware-Sicherheit", dazu gehören aber auch TPM, Kernisolierung und UEFI Memory Access Protection. Daher hat Secure Boot schon etwas mit der erweiterten HW-Sicherheit zu tun, auch wenn es nur Teil davon ist.
Bei manchen Rechnern ist die UEFI Startpartition von früheren Installationsversuchen nicht mehr konsistent. Wenn Du nur Windows und sonst kein BS nutzt, kannst Du auch den Bereich neu schreiben oder bereinigen, entweder mit "bootrec" oder mit "bcdedit". Das hilft in vielen Fällen, du solltest aber nur die Tools dann benutzen, wenn Du verstanden hast, was sie machen. Für den Update der Zertifikate muss übrigens UEFI Secure Boot eingeschaltet sein, bei ausgeschaltetem Secure Boot gibt's keine Durchführung des Updates.

 

[Wolfgang.R-357:]

Ach, ihr hängt euch an einen Beitrag auf, was genau Null mit der eigentlichen Thematik zu tun hat, der Typ hat künstlich eine Nebenbaustelle eröffnet was den Themenersteller nichts nützt.

 

[wagga]

Mal testweise das Datum "falsch" eingestellt?

Im BIOS oder wo?
Im BIOS hatte ich glaub gar kein Datum eingestellt.
Windows zeigt das aktuelle Datum an. Aber ich lass es nochmal neu festlegen über Windows.

 

[VDC]

Windows zeigt das aktuelle Datum an. Aber ich lass es nochmal neu festlegen über Windows.

Netzwerkkabel ziehen, setzen und mal testen

Im BIOS hatte ich glaub gar kein Datum eingestellt.

Stellt sich halt übers OS mit ein.

 

[MaverickM]

Meiner Ansicht nach braucht man Secure Boot nicht wirklich

Gibt halt Software, die das voraussetzt...

 

[Opa Hermie]

Ja, manche Daddelkisten.

@TE: Das hier laden, entpacken und die enthaltene "Check UEFI PK, KEK, DB and DBX.cmd" als Admin ausführen; Quelle: https://github.com/cjee21/Check-UEFISecureBootVariables#checking-the-kek-db-and-dbx-variables
Damit wird im Klartext angezeigt, welche Datenbanken aktiv sind.

Nach den Bildschirmfotos zu urteilen, gehe ich aber stark davon aus, dass die bereits aktualisiert worden sind (KEK, DB und DBX sind als "modified" aufgeführt und die DBX ist recht groß).