Nach dem Update/Installation von KB5066835, TPM-WMI Fehler...

[Guru-Meditation]

Moin

Auf einem Rehner auf dem vorhin die aktuellesten Windows-Updates geladen wurden, gibt es auf einmal den folgenden Fehler...

Installiert wurde...
2025-10 Kumulatives Update für Windows 11 Version 24H2 für x64-basierte Systeme (KB5066835) (26100.6899)
2025-10 Kumulatives Update für .NET Framework 3.5 und 4.8.1 für Windows 11, version 24H2 für x64 (KB5066131)

Ich habe bei Google nichts zu dem Fehler gefunden..
Windows verhält sich normal, im Zuverlässigkeitsverlauf gibt es keine Einträge..sfc usw. findet nichts..ich gehe davon aus das es wohl mit dem Update KB5066835 zusammnhängt denn diesen Fehler habe ich vorher nicht gesehen..

Rechner ist voll Windows 11 kompatibel und wurde vor Monaten automatisch von Windows Update aktualisiert.

Eventuell weiß ja jemand was dieser Eintrag zu bedeuten hat.

P.S.
Hier auch der get-tpm output..

 

[cvzone]

Ich vermute es hängt damit zusammen und Microsoft hat nur eine entsprechende Erkennung/Meldung eingebaut
https://support.microsoft.com/de-de...gsstelle-7ff40d33-95dc-4c3c-8725-a9b95457578e

Möglicherweise müssen Sie Maßnahmen ergreifen, um sicherzustellen, dass Ihr Windows-Gerät sicher bleibt, wenn die Zertifikate im Jahr 2026 ablaufen. Sowohl UEFI Secure Boot DB als auch KEK müssen mit den entsprechenden neuen 2023-Zertifikatversionen aktualisiert werden.

Meinem Verständnis nach kann da nur ein UEFI Update helfen.

Mein Laptop hat z.B. erst kürzlich ein neues Bios mit u.a. folgender Änderung erhalten.

2. Add
1) Add microsoft 2023 Cert.

 

[Guru-Meditation]

Hm..ich denke du hast Recht, das wird wohl damit zusammenhängen, hab gerade geschaut, neues Bios-Update gibt es "noch" nicht, das letzte ist 2 Monate alt..
Dann mal abwarten...danke dir!

 

[inge70]

ist bei mir ebenso. Mir fiel zudem auf, dass man im Windows-Sicherheitscenter bei Gerätesicherheit auch den Passus "Details zum Sicherheitschip" nicht mehr auswählen kann:

Der Apssus fehlt. Ist aber auch schon seit Build 26200.6725 der Fall, wie ich eben nach einer Deinstallation des aktuellen KBKB5066835 feststellen musste.

Aber aktiv ist TPM 2.0, geprüft mit tpm.msc.

Ein aktuelleres Bios/UEFI gibt es für mein Mainboard auch nicht. Na dann heißt es wohl nur: abwarten!

 

[derkerl]

Ja die Meldung hab ich auch bei meinem Lenovo E16 Gen 3,gestern gab es zwar auch ein Bios update dafür aber wohl nicht "Updated the CPU microcode"

 

[cvzone]

Updated the CPU microcode

Der CPU Microcode enthält keine Secure Boot Zertifikate.

Diese Zeile war aus den Change Notes meines Lenovo Notebooks. Sie schreiben das also konkret rein (wenn sie überhaupt mal was korrekt auflisten in der readme)

2. Add
1) Add microsoft 2023 Cert.

 

[cosmoconer]

ist bei mir ebenso. Mir fiel zudem auf, dass man im Windows-Sicherheitscenter bei Gerätesicherheit auch den Passus "Details zum Sicherheitschip" nicht mehr auswählen kann:
Anhang anzeigen 1666117
...

Wenn man START-->Suchleiste "TPM" eingibt und dann auf den ersten Eintrag "Sicherheitschip" klickt dann gehts direkt ins Sicherheits-Center und der Eintrag ist wieder da. Bei einem Neustart ist der Eintrag wieder verschwunden. Aber egal, wichtig ist es läuft ordnungsgemäss
:-)

 

[inge70]

@cosmoconrer,
dann hat MS das wohl irgendwann geändert, dass man diese Details nur noch über den Weg tpm.msc anzeigen lassen kann.
Soweit alles sauber läuft, ist alles gut

Nur dieser neue TPM-WMI Fehler mit ID 1801 ist mal wieder MS-typisch.
Na mal schauen wann das aufgelöst wird.

Selbst der Dell meiner Frau hat nun diese Fehlermeldung seit dem KB5066835-Update, obwohl das letzte Bios-UEFI Update ebenfalls bereits folgendes mitbrachte:

This BIOS contains the new 2023 Secure Boot Certificates

Somit wird dieser neue TPM_Fehler wohl nur wieder durch MS behoben werden können.

 

[cosmoconer]

@inge70
Ich kann mich gut daran erinnern das die "Sicherheischip Infos" damals schon einmal sporadisch angezeigt worden im Center (auch W11),...eines Tages war es gefixt.
Und Ja, ID1801 ist in der Tat so ein "MS Ding" :-)

 

[inge70]

@cosmoconrer,

Die Möglichkeit der Anzeige "Details zum Sicherheitschip" ist ja nun "mal wieder" aus dem Sicherheits-Center verschwunden.
Aber das war bereits bei Build 26200.6725 der Fall, wie ich heute feststellen musste, als ich das aktuelle KB5066835 deinstallierte, um zu prüfen ob dieser TPM-Fehler wieder weg ist.
Und siehe da, nach der Deinstallation des KB war der Fehler weg aber die Anzeige "Details zum Sicherheitschip" war nicht wieder vorhanden.
Somit wurde das wohl schon früher raus genommen aus dem Center.
Aber man kann es ja anderweitig anzeigen lassen.

Hab das KB5066835 wieder installiert, da trotz des nun vorhandenen TPM-WMI Fehlers ja keine Einschränkungen bisher vorhanden sind.
Zumindest nicht bei den beiden rechnern hier bei mir.
Da wird wohl nur MS wissen, was das soll.

Lassen wir uns mal überraschen...

 

[cosmoconer]

Interessant.
Ich habe KB5066835 Build 26200.6899 nach wie vor aktiv.
Heute nach dem Booten war komischerweise der Chip-Eintrag wieder sichtbar (siehe Screenshot) aber
der untere Hinweis (weitere Details zum Anklicken) war nicht zu sehen. Gestern fehlte der komplette Eintrag.

..und Ja, lassen wir uns überraschen 🪡

 

[Guru-Meditation]

Sichtbar ist der Punkt bei mir immer, die Details fehlen aber seit dem Update...

 

[Phönix2005]

In einem anderen Forum wurde beschrieben, dass man im Bios bei Secure Boot das alte 2011 Zertifikat von Microsoft deaktivieren / widerrufen muss.
Hintergrund, das 2011 Zertifikat ist wohl benutzt wurden, um Rootkits zu zertifizieren. Daher muss das 2011 Zertifikat manuell im Bios wiederrufen werden, um einen sicheren Secure Boot start hinzubekommen.

Wenn das 2011 Zertifikat widerrufen wird gehen ggfs. alte Boot Images nicht mehr, die mit dem 2011 Zertifikat zertifiziert wurden.

 

[inge70]

Hintergrund, das 2011 Zertifikat ist wohl benutzt wurden, um Rootkits zu zertifizieren. Daher muss das 2011 Zertifikat manuell im Bios wiederrufen werden, um einen sicheren Secure Boot start hinzubekommen.

der sichere Boot ist ja aktiv und ich gehe davon aus, dass es bei allen die SecureBoot aktiv haben, es auch weiterhin so in den Systeminfos angezeigt wird.
Es fehlt lediglich in Sicherheits-Center die Anzeige zu "Details zum Sicherheitschip". Das war aber auch schon vor dem KB5066835 der Fall, wie ich selbst festgestellt hatte.

Das man im UEFI/Bios selbst ein Zertifikat widerrufen muss, wäre mir daher neu. Zumal es nichts bringen wird.

Zudem wurde auf Deskmodder von DK2000 berichtet, dass auch so ein Widerruf nichts bringt. Er hatte alles was an neuen Zertifikaten aktuell ist und einbinden konnte versucht aber die Fehlermeldung TPM-WMI erscheint dennoch.
Selbst bei meiner Frau am Dell-PC, der bereits ein UEFI-Update mit aktuellem 2023 Secure Boot Certificate erhielt, erscheint dieser Fehler.
Somit denke ich es ist mal wieder von MS was verbugt worden.
So etwas änhliches gab es schon einmal, dass ein Fehler im Ereignisprotokoll auftauchte und keiner sich einen Reim darauf machen konnte.
Das war das Ding mit "Der "Microsoft Pluton Cryptographic Provider"-Anbieter wurde aufgrund eines Initialisierungsfehlers nicht geladen.". Da musste MS auch nach patchen.

Denke es ist hier ebenso.

Somit warten wir mal ab was da noch kommt. Probleme macht dieser Fehler ja keine, da SecureBoot und Co weiterhin funktionieren.

 

[Phönix2005]

Beim aktuellen AGESA ComboAm4v2PI 1.2.0.F sind die neuen Keys dabei. Das Problem ist, dass eben noch die 2011 CAs aktiv sind und somit hat man eine unsichere Umgebung. Da ja weiterhin Boot Images mit dem alten komprimitierten Zertifikat geladen werde können. Erst wenn das deaktiviert ist und nur mit dem neuen Zertifikat gestartet wird, hat man eine "trusted" Umgebung.

Daher hilft es nicht, nur die 2023 Zertifikate zu haben, sondern die alten müssen deaktiviert werden.

Das man Zertifikate im Bios widerufen muss ist für mich auch neu, aber das erste UEFI Microsoft Zertifikat ist aus 2011. Da hat das ganze Thema mit Secure Boot erst begonnen.

Update: Zertifikat im Bios nicht widerrufen wenn der Bootloader nicht mit dem neuen Zertifikat signiert ist. Andernfalls startet Windows nicht mehr.

 

[inge70]

Es wäre höchst umständlich wenn die User selbst diese alten Zertifikate widerrufen müssten, denn nicht jeder weiß wie er ins UEFI/bios kommt, geschweige was da zu tun ist. Es gibt ja auch Laien, die die Kisten eben nur nutzen.
Da bin ich ja mal gespannt wie das geregelt wird

 

[Phönix2005]

Naja, das alte Zertifikat läuft in 2026 aus --> Problem gelöst

 

[Guru-Meditation]

Das war aber auch schon vor dem KB5066835 der Fall, wie ich selbst festgestellt hatte.

Muss zugeben, das ich nie vorher darauf geachtet habe sondern erst nachdem ich rein zufällig den Fehler im Ereignisprotokoll gesehen haben.

Somit denke ich es ist mal wieder von MS was verbugt worden.

Muss ja denn den Fehler im Ereignisprotokoll habe ich erst nach der Installation von KB5066835. Abwarten und Kaffee trinken

 

[inge70]

@Guru-Meditation
ich hab da ehrlich gesagt auch nie drauf geachtet und nur wegen diesem TPM-WMI Fehler-Eintrag mal ins Sicherheitscenter geschaut.
Daher hab ich dann einfach das KB5066835 deinstalliert um das gegen zu prüfen. Der TPM-Fehler war weg aber auch mit 26200.6725 war der zusätzliche Passus "Details zum Sicherheitschip" im Sicherheitscenter weg.
Es stand eben lediglich "Sicherheitschip", so wie jetzt auch.

Aber ich habe das KB5066835 weder installiert, da es keine Probleme gibt durch diesen Fehlereintrag TPM-WMI. Ist nur nervig, nicht wirklich etwas dagegen machen zu können.
In meinem UEFI kann ich keine Zertifikate widerrufen. Nur eben alles löschen oder speichern. Aber nichts einzeln widerrufen.
Wäre ja auch echt murx, wenn MS das auf diese Weise durchsetzen würde.
Aber wer weiß was bei MS so ab geht.

Warten wir mal ab ob durch die Board-Hersteller oder MS noch was kommt zu diesem Thema.
Müsste ja eigentlich

 

[Phönix2005]

Microsoft beschreibt im CVE-2023-24932 ausführlich, wie der Windows Bootloader mit dem neuen Zertifikat signiert wird und wie das Alter auf eine Sperrliste gesetzt wird.

Oder man wartet bis in Anfang 2026 das ganze per Windows Patches passiert. Was zu empfehlen ist.