ComputerBase
Aktuelles

Secure Boot Zertifikat überprüfung mehrdeutig?

E

Eckensteher

Cadet 4th Year
Registriert
Aug. 2004
Beiträge
88
Moin,
ich habe erst im Mai gemerkt, dass das Senden von Diagnosedaten nicht aktiviert war. Dies scheint ja nötig zu sein, das man die neuen Zertifikate bekommt. Also alles aktiviert. Bis gestern habe ich aber bei der Zertifikatspüfung mit der Powershell immer ein "false" bekommen.
Deshalb habe ich das Bios meines MB Gigabyte Z690 auf den neuesten Stand gebracht.
Nach erneuter Zertifikatspüfung mit der Powershell bekomme ich nun ein "true".
Wenn ich aber unter Gerätesicherheit unter Windows Sicherheit schaue wird mir dies angezeigt.


Screenshot 2026-06-24 093416.png

Nach Windows Auskunft bedeutet es das:
Stellen Sie sicher, dass auf Ihrem Gerät die neuesten Windows-Updates installiert sind. Starten Sie einen Neustart, wenn Sie dazu aufgefordert werden.

Windows Update zeigt das alles auf dem neusten Stand ist.
Muss ich jetzt noch was machen oder ist es so ok?

Gruß Ecke
 
  • Gefällt mir
Reaktionen: Eckensteher
Steht in der Registry
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
UEFICA2023Status auf Updated
dann ist alles ok.
 
  • Gefällt mir
Reaktionen: User38 und Eckensteher
Zur Not secure Boot ausschalten. Steht auch in dem genannten CT Artikel. Für mich persönlich ist Secure Boot keine Sicherheitslösung sondern ein Disaster....
 
  • Gefällt mir
Reaktionen: m4c1990, Asghan, Ostfriese und 2 andere
  • Gefällt mir
Reaktionen: Asghan
Kurzer Hinweis für uns Linuxer: die Microsoft Zertifikate können, zusammen mit anderer Firmware, bequem automatisch per fwupd aktualisiert werden bzw. werden es, wenn man den Dienst ohnehin laufen hat. – Unabhängig von BIOS/UEFI.
 
Zuletzt bearbeitet: (eingespielt → aktualisiert)
  • Gefällt mir
Reaktionen: Asghan
SSD960 schrieb:
Zur Not secure Boot ausschalten. Steht auch in dem genannten CT Artikel. Für mich persönlich ist Secure Boot keine Sicherheitslösung sondern ein Disaster....
Zum Vergrößern anklicken....
Man kann auch ohne Airbag fahren, machen würde ich es trotzdem nicht. ;)
 
SSD960 schrieb:
Zur Not secure Boot ausschalten. Steht auch in dem genannten CT Artikel. Für mich persönlich ist Secure Boot keine Sicherheitslösung sondern ein Disaster....
Zum Vergrößern anklicken....
Ich mag Secure Boot auch überhaupt nicht.
Leider laufen einige Multiplayer-Games mit Online-Basis ohne Secure Boot nicht mehr, z.B. Valorant oder BF 2042.
AAS schrieb:
Man kann auch ohne Airbag fahren, machen würde ich es trotzdem nicht. ;)
Zum Vergrößern anklicken....
Wenn meine Airbags im Auto so schlecht umgesetzt wären, wie Secure Boot, hätte ich die auch deaktiviert, weil lebensgefährlich.

Edit: Die C't 16/26 hat einen wirklich tollen Artikel über das Thema Secure Boot Desaster geschrieben.
 
AAS schrieb:
Man kann auch ohne Airbag fahren, machen würde ich es trotzdem nicht.
Zum Vergrößern anklicken....
Hast du den verlinkten Beitrag gelesen? Du fährst jetzt schon ohne Airbag.
Ergänzung ()

neofelis schrieb:
Leider laufen einige Multiplayer-Games mit Online-Basis ohne Secure Boot nicht mehr, z.B. Valorant oder BF 2042.
Zum Vergrößern anklicken....
Stimmt. Daran habe ich nicht gedacht. Zum Glück habe ich ein solches Spiel nicht.
 
SSD960 schrieb:
Hast du den verlinkten Beitrag gelesen? Du fährst jetzt schon ohne Airbag.
Zum Vergrößern anklicken....
Dann hast du den Artikel nicht richtig gelesen.
 
  • Gefällt mir
Reaktionen: AAS
SSD960 schrieb:
Hast du den verlinkten Beitrag gelesen? Du fährst jetzt schon ohne Airbag.
Zum Vergrößern anklicken....
Du hast ihn nicht richtig gelesen und meinen auch nicht, wie soll ich folgendes umsetzen ohne Secure Boot?
  • Intune Compliance
  • Conditional Access
  • BitLocker
  • Defender for Endpoint / Security Baseline
  • Credential Guard / VBS / HVCI
  • Measured Boot / Device Health Attestation
Klar kann Windows irgendwie auch ohne Secure Boot starten. Darum geht es aber nicht.
Die Frage ist: Wie soll ich moderne Microsoft-Sicherheitsfunktionen glaubwürdig erzwingen, wenn schon der Startvorgang nicht abgesichert ist?
 
neofelis schrieb:
Edit: Die C't 16/26 hat einen wirklich tollen Artikel über das Thema Secure Boot Desaster geschrieben.
Zum Vergrößern anklicken....
Den Artikel habe ich auch gelesen, ich interpretiere ihn anders:
Wer seine Zertifikate, UEFI, Bitlockerkeys nicht im Griff hat, fällt bös gesagt auf die Fresse. ;)
Alle anderen Sysadmin, welche sich um Systeme richtig kümmern, haben keine Probleme.
 
OK, dein BIOS ist schon mal auf aktuellem Stand. Selbst nach einem BIOS Werksreset bekommst du keinen Streß.
ABER dein Bootmanager ist noch auf dem alten Stand. (2) Dort muss 2023 in der Zertifikatbezeichnugn stehen.
Das sollte übers Windows-Update eigentlich automatisch passiert sein. Sind bei Dir alle Updates eingespielt?

Da dein BIOS die alte und die neue Version kennt, sollte der Rechner aber weiterhin booten. Sicherer wäre es die Bootmanager auszutauschen. Ggf. manuell:
https://www.heise.de/ratgeber/Secur...en-11293302.html?seite=all#nav_bootmanager__4
 
Micha- schrieb:
Sind bei Dir alle Updates eingespielt?
Zum Vergrößern anklicken....
Laut Win auf neustem Stand und kann im Updateverlauf nichts sehen was nicht installiert wurde.
ich habe erst im Mai gemerkt, dass das Senden von Diagnosedaten nicht aktiviert war. Dies scheint ja nötig zu sein, das man die neuen Zertifikate bekommt. Also alles aktiviert.
vieleicht liegt es daran, das da nicht kam
Micha- schrieb:
Sicherer wäre es die Bootmanager auszutauschen. Ggf. manuell:
Zum Vergrößern anklicken....
da schau ich mal rein und melde mich später
Ergänzung ()

Micha- schrieb:
Da dein BIOS die alte und die neue Version kennt, sollte der Rechner aber weiterhin booten. Sicherer wäre es die Bootmanager auszutauschen. Ggf. manuell:
https://www.heise.de/ratgeber/Secur...en-11293302.html?seite=all#nav_bootmanager__4
Zum Vergrößern anklicken....

liegt hinter Paywall konnte ich nicht lesen, habe aber jetzt mal nach meiner winversion geschaut, da scheint mir doch was zu fehlen?
1782313477065.png
 
Zuletzt bearbeitet:
Oh
1782313978880.png


Da bekommst du auch keine Updates mehr. Wieso hast du kein 25H2?
Hast du getrickst um auf Win11 zu kommen?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Amiga500
Frage wegen Secure Boot Zertifikat überprüfung
Antworten
16
Aufrufe
979
Micha-
Micha-
Nicht die Mama
Secure-Boot-Zertifikat-Update wird verteilt (Win+Linux)
Antworten
17
Aufrufe
6.690
Bolli2
Bolli2
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz