Kein Booten wenn sicherer Start aktiv

[Tanzmusikus]

Aber Windows zeigt UEFI an..

Ist ja auch korrekt: UEFI-Mode mit Legacy-Treibern (z.B. für die Grafikkarte).
Hast du eine ältere Grafikkarte im System, dann passt das so, aber SecureBoot funktioniert nicht.
Hast du eine moderne Grafikkarte mit GOP, dann ist UEFI-only Mode & damit SecureBoot möglich.

Deine RX 7600 ist eine moderne GPU, da sollte UEFI-only möglich sein.
Installiere doch einfach neu, aber bitte ohne SecureBoot, denn das enthält veraltete nicht funktionierende Keys.


Du kannst natürlich alles durchprobieren ...


... den Hinweis zur möglichen Ursache kennst du ja bereits.

Du kannst SB nicht nutzen, da die Zertifikate veraltet sind. Das ist bei allen Boards ohne neuestem Update so.
ASRock ist dabei, die neuen Zertifikate (von M$) für AM4, AM5 sowie Intel) per UEFI-Update auszurollen.

---

Meine Empfehlung: Schreib ASRock (NL) an. Du kannst in Deutsch oder Englisch schreiben.
Am Besten beides. DeepL oder ähnliche Tools helfen dir gern bei der Übersetzung.

Da bekommst du zumindest eine Antwort, ob ein neues UEFI/BIOS mit aktuellen SecureBoot-Keys (Zertifikaten) geplant ist. Im besten Falle bieten sie dir ein (meist Beta) UEFI/BIOS zum Flashen an.

 

[MAYvonBlei]

Die neuen SB-Zertifikate kommen doch per Windowsupdate.

 

[Tanzmusikus]

@MAYvonBlei ... in das UEFI deines Boards?
Und nächste Woche kommt dann ein Patch per Windows Update, welcher die Drucker-Probleme löst. 😉

Bei einigen Laptops ist dies wirklich der Fall, dass man aus dem Betriebssystem heraus das UEFI aktualisiert.
Früher mal war das der Standard-Weg, als es noch kein UEFI gab. Ist bei einigen PCs wohl immer noch möglich.
Ich bevorzuge allerdings das Flashen über den Weg des Herstellers (in meinem Fall: ASRock UEFI/BIOS).

 

[MAYvonBlei]

Ja.

Link1, Link2, Link3, Link4 (CB)

 

[Tanzmusikus]

Hast du damit überprüft, ob deine Keys bereits mit dem gestrigen WU erneuert wurden?

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

Ergänzung (Mittwoch um 19:51)

An deiner Stelle würde ich nochmals Win11 neu installieren. Achte darauf, dass TPM aktiviert ist.
SecureBoot könntest du auch vorerst aus lassen. Probiere am Besten beide Varianten.

 

[eddietwo]

Ich hatte win 11 ja erst neu installiert vom Stick.
Dann ging's kurz.
Und nachdem ich CSM deaktiviert hatte ging's wieder nicht..
Evt war das der Fehler..
Ich installiere mal wieder neu und schalte csm vor der Installation in Windows aus und nicht erst danach.
Evt hilft das was
Dieses KEK Update habe ich noch nicht bekommen.
Vlt löst das ja meine Probleme.
Lg

 

[Tanzmusikus]

Dieses KEK Update habe ich noch nicht bekommen.

Woher nimmst du die Gewissheit?

Und nachdem ich CSM deaktiviert hatte ging's wieder nicht..

Dann lass CSM doch aus & nutze nur den UEFI-only Mode.
Oder bootet bei dir noch WinXP, Vista oder Win7 im Legacy-Mode?

Ich installiere mal wieder neu und schalte csm vor der Installation in Windows aus und nicht erst danach.

👍

Dieses KEK Update habe ich noch nicht bekommen.
Vlt löst das ja meine Probleme.

Denke nicht, dass es das tut. Der KEK Key läuft ja noch einige Monate.

Dies scheinen die neuen Keys zu sein:

  PK:
    /CN=my Platform Key
  KEK:
    /CN=my Key Exchange Key
    /C=US/O=Microsoft Corporation/CN=Microsoft Corporation KEK 2K CA 2023
  db:
    /C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Corporation UEFI CA 2011
    /CN=my Signature Database key
    /C=US/O=Microsoft Corporation/CN=Microsoft Option ROM UEFI CA 2023
    /C=US/O=Microsoft Corporation/CN=Microsoft UEFI CA 2023
    /C=US/O=Microsoft Corporation/CN=Windows UEFI CA 2023

Quelle: https://www.computerbase.de/forum/t...secure-boot-zertifikate.2265476/post-31310630

Was ich aber definitiv empfehle ist, am besten schon vorgestern eure sofern aktive Bitlocker-Wiederherstellungscodes zu sichern. BitLocker hängt stark mit SecureBoot zusammen. Ein im BIOS nachträglich deaktiviertes SB führt sehr häufig zur Abfrage des Bitlocker-Wiederherstellungscodes und wer diesen nicht parat hat...

Hattest du vorher Bitlocker aktiviert?

 

[eddietwo]

Bitlocker war aus von Anfang an.
Seltsame ist dass es ging bis ich CSM deaktiviert hatte.
Zudem musste ich danach den Windows hello Pin zurücksetzen.
Den Zusammenhang kann ich mir noch nicht herleiten