Secure Boot Zertifikate "False" trotz neustem BIOS und Updates

[Captain Flint]

• Prozessor (CPU): Intel Core Ultra 7 265K
• Arbeitsspeicher (RAM): 64GB DDR5 Kingston
• Mainboard: ASROCK Z890 Pro RS
• Netzteil: 800W BeQuiel
• Gehäuse: BeQuiet
• Grafikkarte: RTX 5050Ti
• HDD / SSD: 4x m.SSD + 4x SATA SSD

Hallo Leute,
wie oben beschrieben, ziemlich aktuelles Board, neustes BIOS 3.24, frische Windows 11 Pro Installation inkl. neusten Updates, alle Treiber auf neustem Stand. Der Secure Boot Check schlägt aber immer noch fehl.
Ich hatte SB mal deaktiviert wegen einer Linux Installation, es ist aber im BIOS aktiviert.
Laut Google sollte eine einfache Prüfung > PowerShell (als Administrator) mit dem Befehl: Confirm-SecureBootUEFI Klarheit verschaffen, aber wie gesagt, es erscheint immer FALSE.

• Befehl eingeben: Confirm-SecureBootUEFI.
• True = Zertifikate sind vorhanden.
• False = Zertifikate fehlen (Handlungsbedarf)

Was kann/soll man in dem Fall machen?
Einfach abwarten ob ASROCK da noch mit einem aktuellen BIOS um die Ecke kommt oder entsprechenden Treiber zur Verfügung stellt?
Auf Windows Updates vertrauen?

Nicht das nun eine Welt unterginge, aber ich würde mich ein Stück weit besser fühlen wenn ich das Thema als "erledigt" markieren kann

 

[Benna]

Hast du das schon gesehen?

https://www.computerbase.de/forum/t...fikate-laufen-ab-was-ist-zu-beachten.2264300/

 

[Captain Flint]

Hast du das schon gesehen?

Ja, hat mir aber nicht wirklich geholfen, oder ich habe etwas wichtiges übersehen?!?

 

[frazzlerunning]

Ich hatte SB mal deaktiviert wegen einer Linux Installation, es ist aber im BIOS aktiviert.

Hast du nach dem aktivieren auch die Keys geladen? Musst schauen wie das bei AsRock Bios geht.

 

[Opa Hermie]

Hier lesen: https://github.com/cjee21/Check-UEF...l-updating-to-the-2023-ca-signed-boot-manager
Und das Script "Apply 2023 KEK, DB and bootmgfw update.cmd" als Admin ausführen. Das löst das Update der Datenbanken und Zertifikate aus, nach einem Neustart sollten die ins NVRAM des Bios geschrieben sein. Danach kannst Du Secureboot einschalten.

ASRock hat anscheinend gepennt beim Update, so wie etliche andere Hersteller auch, obwohl der Ablauf der Zertifikate seit Jahren bekannt ist.

 

[javajo]

hatte dasselbe Problem. Der Tip von user warhead löste mein Problem

 

[Spock37]

Vielleicht kann mir ja jemand erklären, warum mein Windows 11 auf zwei privat genutzten Computern (alt/mögl. Rufus, neues Thinkpad) noch bootet, obwohl ich SecureBoot wegen Dual-Boot versuchsweise deaktiviert habe?

Ich habe Debian Linux mit SB installiert, SB aber danach versuchsweise im UEFI abschaltet. Bislang ohne Auffälligkeiten.

(Grund: Mit ist wichtig, dass die Kisten laufen, egal, was Microsoft veranstaltet. Im Zweifel verzichte ich lieber auf ein laufendes Windows, als auf ein laufendes Debian Linux.)

 

[mibbio]

Vielleicht kann mir ja jemand erklären, warum mein Windows 11 auf zwei privat genutzten Computern (alt/mögl. Rufus, neues Thinkpad) noch bootet, obwohl ich SecureBoot wegen Dual-Boot versuchsweise deaktiviert habe?

Weil Windows 11 ganz regulär auch ohne Secure Boot funktioniert, da es keinen Secure Boot Zwang gibt. In den Systemanforderungen heißt es dahingehen nur "Secure Boot capable", das Board muss SB lediglich unterstützen, aber ob es an oder aus ist, spielt für Windows 11 keine Rolle.

 

[KnolleJupp]

Für Windows 11 braucht man kein Secure Boot, es muss grundsätzlich als Option vorhanden sein und man sollte es aktivieren,
aber ein aktiviertes Secure Boot ist keine Voraussetzung für Windows 11. Lediglich wenn Secure Boot gar nicht verfügbar ist, streikt Windows 11.

Aktuellere Secure Boot Zertifikate kommen in Form von einem BIOS-Update, können aber auch in Form eines Windows-Updates eingespielt werden.
Egal ob der Hersteller des Mainboards da mittlerweile was gemacht hat oder nicht, Microsoft selber sollte die neuen Zertifikate bereits ausspielen.

 

[n1tro666]

Aktuellere Secure Boot Zertifikate kommen in Form von einem BIOS-Update, können aber auch in Form eines Windows-Updates eingespielt werden.

wobei bei einem bios update vom board hersteller die zertifikate permanent im bios integriert sind, und auch ein cmos clear und ein 'load default keys / restore factory keys' überleben.
dies ist bei der windows update variante nicht der fall.

 

[qiller]

Es gibt 2 Orte, wo die SB-Keys gespeichert sind:

• Default Speicher: Das ist der feste EEPROM-Speicher des BIOS/UEFIs. Hier können SB-Certs/Keys nur durch ein BIOS/UEFI-Update vom Hersteller des Rechners bzw. Mainboards hinzugefügt werden
• Custom Speicher: Das ist der von @Opa Hermie erwähnte NVRAM, den man auch resetten kann und auf den auch Windows Zugriff hat und die neuen SB-Certs per Secureboot-Update Task dort hineinspeichern kann (z.B. falls es kein BIOS-Update vom Hersteller gibt).

Wichtig ist, dass die neuen 2023er SB-Certs im Customspeicher liegen und der Bootloader auf den 2023er signierten Bootloader umgestellt wurde. Dann liefert das "Check Windows State.cmd"-Script auch "Updated" zurück.

 

[KnolleJupp]

Also...
Zwei Beispiele für ein Einspielen von Daten über das Betriebssystem:

- Neuerer Microcode für die CPU.
Im Bootprozess, während der Kernel-Initialisierungsphase, wenn der Bootloader, z.B. der Windows Boot Manager, den Kernel in den Speicher lädt,
wird u.a. auch ein temporärer Speicher eingerichtet, die Initial RAM Disk und in diesem temporären Speicher liegt u.U. ein durch den Windows Boot Manager bereitgestellter CPU Microcode. Es wird also eine temporäre RAM-Disk eingerichtet und dort bestimmte Daten bereitgestellt.

Durch ein WIndows-Update kann für den Boot Manager in dieses Datenpaket u.a. ein neuerer Microcode integriert werden.

Es wird dann abgeglichen, ob diese Version neuer ist als die, die im BIOS/UEFI bzw. in der CPU selber vorhanden ist. Dann wird dieser Microcode über ein bestimmtes Register in den SRAM Bereich der CPU geschrieben und ersetzt den ab Werk fest und unveränderlich einprogrammierten Microcode. Das passiert logischerweise bei jedem Kaltstart.

- Neuere Secure Boot Zertifikate.

Secure Boot Zertifikate können nicht während des Bootvorgangs eingespielt werden, sondern müssen bereits bei Rechnerstart vorliegen.
Ohne gültige Zertifikate würde bei aktiviertem Secure Boot der Bootloader nicht mal starten.

Diese liegen im NVRAM Bereich des Mainboards bzw. BIOS/UEFI-Chips. Non-Volatile Random Access Memory.
Den nennt man auch UEFI-Variablenspeicher. Dort liegen u.a. die Werte zu allen Einstellungsmöglichkeiten des BIOS/UEFI und diese werden z.B. gelöscht bzw. mit fest eingespeicherten Default-Werten ersetzt, wenn man das BIOS resettet. Und da können dann auch durch Windows-Update neue Zertifikate hinzugefügt werden.

Startet man einen Rechner, beginnt das BIOS/UEFI mit dem Startprozess.
Es beginnt mit der sogenannten SEC oder Security Phase. Dabei wird die CPU initialisiert, ein Cache und die Initial RAM Disk eingerichtet.
Dann kommt die Pre-EFI Initialization Phase, wo z.B. der Chipsatz initialisiert wird, Arbeitsspeicher-Erkennung usw.
Danach käme die DXE Phase, Driver Execution Environment. Das ist der Moment wo die eigentliche Hardware des Rechners gestartet wird, wo Treiber geladen werden, Schnittstellen bereitgestellt werden, wie USB, Laufwerke, Bildschirm, Tastatur usw.
Secure Boot Zertifikate können durch das Betriebssystem in den NVRAM Bereich geschrieben werden, aber nicht ins BIOS/UEFI.

Als letztes könnte man noch USB BIOS Flashback erklären.
Dazu gibt es auf dem Mainboard einen speziellen Controller-Chip, der von der immer anliegenden 5V Standby Spannung des Netzteils versorgt wird.
Dieser Controller überschreibt über den SPI-Bus das BIOS/UEFI mit einer über einen bestimmten USB-Anschluss bereitgestellten Version.

PS: Durch ein BIOS-Update oder ein Aufrufen der BIOS-Werkseinstellungen werden die Zertifikate im NVRAM natürlich nicht gelöscht.
Wäre ja auch schwer blöd, wenn alleine dadurch der Rechner wegen alter, abgelaufener Zertifikate nicht mehr starten würde...
Zertifikate, Schlüssel usw. werden erst gelöscht, wenn du das im BIOS in den Secure Boot Optionen explizit auswählst.