Secure Boot Zertifikate installiert aber nicht an Hardware gebunden

[N3misis]

Hallo zusammen,



eher durch Zufall habe ich mitbekommen, das Windows seitig die neuen Zertifikate bereits ausgerollt wurden.
Laut Ereignis Anzeige, scheinen diese sich aber nicht im BIOS mit der Hardware verbunden zu haben.

Als Fehler wird mir dort unter Ereignis ID 1801 folgendes aufgezeigt:



Secure Boot certificates have been updated but are not yet applied to the device firmware. Review the published guidance to complete the update and ensure full protection. This device signature information is included here.

DeviceAttributes: BaseBoardManufacturer:ASUSTeK COMPUTER INC.;FirmwareManufacturer:American Megatrends Inc.;FirmwareVersion:1402;OEMModelBaseBoard:TUF GAMING B850-PLUS WIFI;OEMManufacturerName:ASUS;OSArchitecture:amd64;

Das aktuelle BIOS zu diesen Board ist jedoch seit gestern installiert. Trotzdem erhalte ich auch heute im Verlauf den Fehler als Bericht in der System Kategorie.

" Review the published guidance to complete the update and ensure full protection. "

Diese Infos sind aber nirgendwo hinterlegt.

Microsoft verweist im Report lediglich auf:


Ablauf des Windows Secure Boot-Zertifikats und Updates der Zertifizierungsstelle

Dort wird aber nur der Secure Boot erläutert und ein Hinweis auf die Zertifikate gegeben.

Ich bin mir ehrlich gesagt jetzt nicht sicher, wie der nächste Stepp ablaufen soll.

Von Microsoft wird hier denke ich einmal nichts mehr passieren denn " Secure Boot certificates have been updated " …

Hat jemand von euch hierzu bereits Erfahrungen wie man den Prozess sauber abschließt?

Bzw. Warum konnte der Prozess nicht regulär beendet werden?
Wobei ich mir auch gerade überlege wie das Microsoft Update dies im Bios regeln hätte sollen?
BIOS und Windows sind zwei völlig unabhängige Ebenen.

 

[kartoffelpü]

Die Meldung bedeutet meiner Meinung nach nur, dass das neue Zertifikat nicht direkt in der Firmware ist, aber trotzdem installiert ist.
Direkt in die Firmware würde es nur durch ein neues BIOS des Herstellers kommen.

Meldung habe ich auch auf meinem Privat-PC. Auf den Firmengeräten, wo wir es bisher teils per Regkey, teils per BIOS-Update ausgerollt haben, muss ich glatt mal nachschauen.

Ansonsten mal selber ein bisschen recherchieren, habe jetzt keine Lust mehr, die Sachen durchzulesen: https://www.google.com/search?q=secure+boot+certificate+1801

 

[Opa Hermie]

Das hier runterladen, entpacken und die enthaltene "Check UEFI PK, KEK, DB and DBX.cmd" als Administrator ausführen: https://codeload.github.com/cjee21/Check-UEFISecureBootVariables/zip/refs/heads/main

Quelle: https://github.com/cjee21/Check-UEFISecureBootVariables#viewing-all-the-uefi-secure-boot-variables

Die neuen Datenbanken werden ins BIOS geschrieben, aber nur ins NVRAM, können also zurückgesetzt/gelöscht werden.
Ein laufendes Update kann man daran erkennen, dass kurz nach dem Start der schwarze Bildschirm (ggf. mit Logo) und dem Ladekringeln nebst Text und Prozentanzeige kommt; also nicht der sonst übliche blaue Bildschirm "Updates werden installiert" usw.

Mit den enthaltenen Scripten kannst Du auch ein Update manuell antoßen. In manchen Fällen werden die Datenbanken mittels BIOS-Update eingespielt (HP z.B.), die müssten dann permanent sein.

 

[Nero FX]

Wie @Opa Hermie schreibt:
Das Zertifikat wurde "Temporär" installiert. Bei einem CMOS Reset etc. verschwindet es.
Windows empfiehlt es aber im BIOS fest zu installieren, das musst du Manuell im SecureBoot Menü machen.

Auf der Anderen Seite hast du das 2026 ablaufende Zertifikat aus 2018 nicht installiert sondern sehr wahrschein das 2021 oder sogar 2023er Zertifkat. Daher ist das Update eher Optional.

 

[Opa Hermie]

Das Zertifikat wurde "temporär" installiert. Bei einem CMOS-Reset etc. verschwindet es.
Windows empfiehlt es aber, im BIOS fest zu installieren, das musst du manuell im SecureBoot-Menü machen.

Nein, muss man nicht. Die neuen Daten werden beim Neustart nach Windows-Update(s) automatisch eingespielt.
Man kann das auch forcieren (über Registry-Einträge, kann das oben verlinkte Script auch machen), dann wird das irgendwann mal bei einem Neustart gemacht - warum das längere Zeit dauern kann und nicht sofort erfolgt, kann ich nicht sagen.

Man kann die Schlüssel und Datenbanken auch händisch im BIOS eintragen lassen (heißt oft "Custom Keys" o.ä., geht nicht bei jedem PC, je nachdem, ob der Hersteller das Menü dafür aktiviert hat), dazu müssen die auf einem angeschlossenen Laufwerk zugänglich sein.

 

[N3misis]

Wie @Opa Hermie schreibt:
Das Zertifikat wurde "Temporär" installiert. Bei einem CMOS Reset etc. verschwindet es.
Windows empfiehlt es aber im BIOS fest zu installieren, das musst du Manuell im SecureBoot Menü machen.

Auf der Anderen Seite hast du das 2026 ablaufende Zertifikat aus 2018 nicht installiert sondern sehr wahrschein das 2021 oder sogar 2023er Zertifkat. Daher ist das Update eher Optional.

Woher siehst du das mit dem 2018er Zertifikat? Weil das Board noch recht neu ist?
Wo kann ich das Ausstellungsjahr des Zertifikat überprüfen ? Sollte dies im BIOS stehen?

Ergänzung (Donnerstag um 22:22)

Nein, muss man nicht. Die neuen Daten werden beim Neustart nach Windows-Update(s) automatisch eingespielt.
Man kann das auch forcieren (über Registry-Einträge, kann das oben verlinkte Script auch machen), dann wird das irgendwann mal bei einem Neustart gemacht - warum das längere Zeit dauern kann und nicht sofort erfolgt, kann ich nicht sagen.

Man kann die Schlüssel und Datenbanken auch händisch im BIOS eintragen lassen (heißt oft "Custom Keys" o.ä., geht nicht bei jedem PC, je nachdem, ob der Hersteller das Menü dafür aktiviert hat), dazu müssen die auf einem angeschlossenen Laufwerk zugänglich sein.

Diesen Vorgang mit den Zertifikaten im BIOS habe ich noch nie vorgenommen. Daher habe ich hierbei auch etwas Respekt davor. Ich will mir halt nicht den Zugang oder Boot zerschießen.

Ergänzung (Donnerstag um 22:34)

Ich habe im Übrigen gestern noch ein BIOS Update ( aktuelles von ASUS ) und ein Chipsatz Update ( aktuelles von AMD) eingespielt.
Heute konnte ich in der Ereignisanzeige die Meldung nicht mehr vorfinden.

Was jedoch zum Thema TPM kurios ist....

Was mir jedoch fehlt, ist der zweite und dritte Stepp der TPM PRüfung beim Start.

Normalerweise ist die Reihenfolge wie folgt:

Seit dem Update werden nur noch die ersten beiden Steps geloggt.

Die Abfrage über tpm.msc ergibt jedoch, dass TPM einsatzbereit ist.

Dennoch...warum der fehlende LOG ?

Ergänzung (Donnerstag um 22:40)

anbei auch der aktuelle TPM Out:

 

[Opa Hermie]

Ich habe im Übrigen gestern noch ein BIOS-Update (aktuelles von ASUS) und ein Chipsatz-Update (aktuelles von AMD) eingespielt.
Heute konnte ich in der Ereignisanzeige die Meldung nicht mehr vorfinden.

Kein Wunder, das Update der Schlüssel+Datenbanken wird nicht wieder versucht, wenn es Schwierigkeiten gab. Schau' mal im Eventlog, ob es noch weitere, zeitlich benachbarte Einträge gibt und was da drinsteht, als die Aktualisierung angestoßen bzw. verworfen wurde.

Manchmal steht da was von inkompatibler Firmware; vermutlich reicht der Platz nicht aus, die dbx-Datenbank (forbidden signature list) wird immer größer wird, da sie die abgelaufenen Signaturen enthält.
Mein alter HP-Rechner kann z.B. auch keine vollständige Aktualisierungen mehr beziehen, vom Hersteller gibts schon lange keine BIOS-Updates, die das beheben könnten. Wenn die Signaturen irgendwann ablaufen, muss halt SecureBoot abgestellt werden, falls die Kiste nicht mehr starten will.
Das wäre übrigens Mittel der Wahl, wenn man z.B. das BIOS resettet hat und die Defaults ältere Signaturen beinhalten.

 

[SeniorY]

ich würde mir da tatsächlich keinen großen Kopf drum machen. Secure Boot verdient seinen Namen auch nicht.