Gesammelte Probleme SHIFTbook/Shift13mi

Noch eine kleine Ergänzung zu der Secure Boot Zertifikat Geschichte

Hier gibt es einen Beitrag (von Heute) im Deskmodder Blog
In dem auch auf ein Github Skript zum ausführlichen prüfen des derzeitigen Zustandes usw. verlinkt wird .
Oder direkt hier zu Github Check-UEFISecureBootVariables .

Das heutige Windows Update KB 5077181 enthält zudem eine Änderung zu diesem Thema

"- [Sicherer Start] Mit diesem Update enthalten Windows-Qualitätsupdates eine Vielzahl von Zielangaben, die Geräte und deren Fähigkeit zum Empfang neuer Secure Boot-Zertifikate identifizieren. Geräte erhalten die neuen Zertifikate erst, nachdem sie ausreichend erfolgreiche Update-Signale gezeigt haben, was eine sichere und schrittweise Einführung gewährleistet.
 
  • Like
Reaktionen: Tomasz
R.E.D. schrieb:
Hier gibt es einen Beitrag (von Heute) im Deskmodder Blog
In dem auch auf ein Github Skript zum ausführlichen prüfen des derzeitigen Zustandes usw. verlinkt wird .
Oder direkt hier zu Github Check-UEFISecureBootVariables .
Zum Vergrößern anklicken....
Vielen Dank. Das macht mir den Check einfach.
Kurze Nachfrage zum Dual Boot mit Linux. Mittelfristig möchte ich einen Dual Boot Mit mit Zorin OS ausprobieren und langfristig komplett umstellen. Meine Linux Erfahrungen sind uralt. Wenn ich es richtig verstanden habe, haben moderne Distributionen wie Ubuntu, Linux Mint, Zorin OS etc. kein Problem mit aktiviertem SecureBoot. Sind eventuell Probleme beim Dual Boot zu erwarten, wenn dann diese neuen Zertifikate via Update reinkommen?
 
Tomasz schrieb:
Sind eventuell Probleme beim Dual Boot zu erwarten, wenn dann diese neuen Zertifikate via Update reinkommen?
Zum Vergrößern anklicken....

"Sobald Windows 11 die aktualisierten DB (Database) und KEK (Key Exchange Key)-Zertifikate enthält, kann es auch den Bootloader von ZorinOS – der standardmäßig mit Microsofts 2023-Zertifikat signiert ist – als vertrauenswürdig anerkennen. Dies gilt für alle großen Linux-Distributionen, die über den Shim-Bootloader arbeiten, darunter ZorinOS"

Also wenn ZorinOS mit dem neuesten Shim-Bootloader installiert wird. Denn die aktuelle Version von ZorinOS nutzt bereits die 2023-Zertifikate (laut Internetsuche)

Ich gehe daher erstmal.nicht von Problemen aus ,wenn Windows die Zertifikte installiert oder bereits hat.
 
  • Like
Reaktionen: Tomasz
Hey liebe Community,

ich habe beides geprüft. Und bei beidem kommt folgendes raus:

PS C:\WINDOWS\system32> [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI -Name db).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
Get-SecureBootUEFI : Die Variable ist zurzeit nicht definiert: 0xC0000100
In Zeile:1 Zeichen:42
+ ... .Text.Encoding]::ASCII.GetString((Get-
+ ~~~
SecureBootUEFI -Name db).bytes) ...
~~~~~~~~~~~~~~~~~
+ CategoryInfo : ResourceUnavailable: (Microsoft.Secur...BootUefiCommand:GetSecureBootUefiCommand) [Get-SecureBootUEFI], StatusException
+ FullyQualifiedErrorId : GetFWVarFailed,Microsoft.SecureBoot.Commands.GetSecureBootUefiCommand

Ich habe die Telemetrie an und secure boot vermutlich auch, da auch von Windows 10 auf 11 upgraden konnte.

Was bedeutet das?
Nein Shift13mi ist eine der ersten.

LG und danke im Voraus.
Viktor
 
@VikTheKick

Wenn ich es richtig interpretiere ,könnte es darauf hindeuten ,dass Secure Boot nicht aktiviert ist oder das System nicht im UEFI-Modus läuft, sondern im Legacy-Modus (BIOS).

Du kannst es prüfen in dem du z.B. über die Windows Suche msinfo eingibst ,die Systeminformationen öffnest und schaust was in der Zeile "sicherer Srartzustand steht. (steht da "Ein" ist Secure Boot an ,andernfalls nicht.
schau dabei auch mal was in der Zeile BIOS-Modus steht. Da sollte UEFI stehen.
 
Zuletzt bearbeitet:
Hmm, merkwürdig. Ich hab nachgeschaut und das hab ich herausgefunden.

War bedeutet Not Active und wie kann ich das ändern?

Aber in der PowerShell wird auf die Anfrage Confirm-SecureBootUEFI ein false ausgegeben.
1000047119.jpg
 
Und wenn ich es deaktiviere und wieder versuche es wieder zu aktivieren, kommt folgende Ausgabe, obwohl nach dem Wegklicken wieder der Zustand auf dem ersten Foto wieder vorherrscht.

1000047120.jpg
 
Ich würde sagen das dein System nicht im UEFI sondern im Legacy(BIOS) Mode bootet ,Secure Boot funktioniert nur im UEFI Mode (soweit ich weiss)

Du kannst den Boot Modus von BIOS auf UEFI aber nur umstellen ,wenn deine Festplatte schon im Partitionsschema GPT und nicht MBR partitioniert wurde. Ansonsten müsste die Festplatte erst umgewandelt werden.
 
Zuletzt bearbeitet:
VikTheKick schrieb:
Und wenn ich es deaktiviere und wieder versuche es wieder zu aktivieren, kommt folgende Ausgabe, obwohl nach dem Wegklicken wieder der Zustand auf dem ersten Foto wieder vorherrscht.

Anhang anzeigen 6881
Zum Vergrößern anklicken....
Zu der Meldung habe ichngerade noch folgendes zur Behebung gefunden (da ich die bisher noch nicht kannte

Um dies zu lösen:

- Geben Sie beim Booten Ihre UEFI/BIOS-Einstellungen ein (drücken Sie je nach System Del, F2 oder F10).

- Navigieren zu Sicherer Boot Einstellungen.
Ändern Sicherer Bootmodus „ Standard „ Benutzerdefiniert um wichtige Verwaltungsoptionen freizuschalten.

- Wählen Installieren Sie die standardmäßigen Secure Boot-Schlüssel, Plattformschlüssel (PK) registrieren, oder Werksschlüssel wiederherstellen.

- Bestätigen Sie die Aktion (wählen Sie normalerweise „Ja“).

- Stellen Sie Secure Boot nach der Registrierung auf ein Aktiviert.

- Optional, Schalter Sicherer Bootmodus zurück zu Standard um den Benutzermodus abzuschließen.

- Speichern und beenden (normalerweise F10 drücken).

"Dieser Prozess registriert den PK und wechselt das System vom Setup-Modus in den Benutzermodus, sodass Secure Boot ordnungsgemäß funktioniert.
Zuerst Sicherstellen das CSM (Legacy-Support) deaktiviert ist und Ihre Festplatte die GPT-Partitionierung für volle UEFI-Kompatibilität verwendet. "
 
Mega, danke. Jetzt ist secure boot aktive und die beiden powershell abfragen werden als false beantwortet. Ich versuch mal deinen Lösungsvorschlag
 
  • Like
Reaktionen: R.E.D.
Top 👍 Freut.mich,wenn ich helfen konnte.

Das " False " ist jetzt ja nicht ungewöhnlich ,da Secure Boot bisher nicht aktiviert war.

Mit den Befehlen um.die Updates manuell anzustoßen sollte es dann aber jetzt klappen und anschließend sollte dann eigentlich auch "True" ausgegeben werden.
 
  • Like
Reaktionen: Dwain Zwerg und VikTheKick
Oh man, irgendwie mag's bei mir grad nicht laufen. Es hat nicht funktioniert. Ich habe Dinge PowerShell Befehle kopiert und ausgeführt. Zweimal neu gestartet und es wird und noch false ausgegeben...
 
Hhmm ! 🤔
Hast du das aktuellste Windows 11 25H2 Update KB5077181 (glaub vom.10.02.26) schon installiert? oder hast du noch Win 11 24h2 ? (kann mich grad nich erinnern)

EDIT: Vielleicht liegt es auch daran ,dass Secure Boot ganz frisch aktiviert wurde und Microsoft jetzt erst flüssig Daten sammeln möchte ,bevor das Update für die Zertifikate kommen kann.


mach dich erstmal nich verrückt.😉
 
Zuletzt bearbeitet:
VikTheKick schrieb:
Es war tatsächlich die Lösung bzw die Teillösung
Zum Vergrößern anklicken....
Nur nochmal der Vollständigkeit halber :

Du hast für db

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x40

und gleich danach

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

in der PowerShell (als Admin) ausgeführt

und den Rechner dann zweimal neugestartet?
(Durch das erste Mal wird das Update angestoßen, durch das zweite Mal wird die neue Konfiguration aktiv.)

Wenn du es so gemacht hast :

besteht auch noch die Möglichkeit ,dass die db Überprüfung falsch ist (z.B. wenn die Firmware die Liste nicht korrekt aktualisiert hat)

Du kannst den tatsächlichen Status überprüfen in dem Du in der Admin PowerShell

$status = (Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" -Name "UEFICA2023Status" -ErrorAction SilentlyContinue).UEFICA2023Status
Write-Host "UEFI CA 2023 Status: $status"

ein gibst.

Wenn der Wert "Updated" (2) ist, wurde das Update erfolgreich abgeschlossen .

ist die Ausgabe "in Progress" (1) wird das Update noch verarbeitet (kann bis zu 24Std. dauern)

bei "Not Started" (0) wurde das Update noch nicht gestartet.

Alternativ kannst du auch in die Registry gehen, zu dem Pfad " HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing " navigieren und schauen ob der Wert des Schlüssels "ServiceLastKnowStatus" auf (2) ,(1) oder (0), steht.
 
  • Like
Reaktionen: VikTheKick
Bei mir steht es dort auf „In Progress“Screenshot (237).pngund in der Registry fehlt der Schlüssel komplett.Screenshot (238).pngVielleicht ist bei mir doch noch nicht aller Tage Abend🤷‍♂️
 
Dwain Zwerg schrieb:
und in der Registry fehlt der Schlüssel komplett.
Zum Vergrößern anklicken....
🤔dafür hab ich ausser dem "Standard" keiner deiner Schlüssel drin srehen. (nur noch den "ServiceLastKnowStatus") eventuell da es bei.mir abgeschlossen ist.
aber zumindest läuft bei dir der Prozess offenbar noch und ist nicht gescheitert. (wenn das aber mehrere Tage so bleibt ,kann es auf Firmware bedingte Beschränkungen hindeuten.)


Du kannst höchstens mal das Ereignisprotokoll nach relevanten Ereignissen durchsuchen.
mit

Get-WinEvent -ProviderName "Microsoft-Windows-TPM-WMI" | Where-Object {$_.Id -in (1795, 1801, 1797)} | Format-List TimeCreated, Id, Message

- 1801: Hinweis, dass Secure Boot-Zertifikate aktualisiert werden müssen.

- 1795: Firmwarefehler beim Schreiben in Secure Boot-Variablen (häufig bei VMs oder veralteter Firmware).

- 1797: Fehler, weil das Windows UEFI CA 2023-Zertifikat fehlt
 
Geil: Ich kriege nur den 1801 und das seit dem 25.01.2026 (BucketID von mir geändert):
Code: 
Updated Secure Boot certificates are available on this device but have not yet been applied to the firmware. Review the published guidance to complete the update and maintain full protection. This device signature information is included here.
DeviceAttributes: FirmwareManufacturer:Insyde Corp.;FirmwareVersion:V1.10;OEMModelNumber:Spin SP513-54N;OEMModelBaseBoard:Caboom_IL;OEMManufacturerName:Acer;OSArchitecture:amd64;
BucketId: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
BucketConfidenceLevel:
UpdateType:
For more information, please see https://go.microsoft.com/fwlink/?linkid=2301018.
Na ja dann habe ich am WE etwas zu tun …
 
Zuletzt bearbeitet:
  • Haha
Reaktionen: R.E.D.
R.E.D. schrieb:
Nur nochmal der Vollständigkeit halber :

Du hast für db

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x40

und gleich danach

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

in der PowerShell (als Admin) ausgeführt

und den Rechner dann zweimal neugestartet?
(Durch das erste Mal wird das Update angestoßen, durch das zweite Mal wird die neue Konfiguration aktiv.)

Wenn du es so gemacht hast :

besteht auch noch die Möglichkeit ,dass die db Überprüfung falsch ist (z.B. wenn die Firmware die Liste nicht korrekt aktualisiert hat)

Du kannst den tatsächlichen Status überprüfen in dem Du in der Admin PowerShell

$status = (Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" -Name "UEFICA2023Status" -ErrorAction SilentlyContinue).UEFICA2023Status
Write-Host "UEFI CA 2023 Status: $status"

ein gibst.

Wenn der Wert "Updated" (2) ist, wurde das Update erfolgreich abgeschlossen .

ist die Ausgabe "in Progress" (1) wird das Update noch verarbeitet (kann bis zu 24Std. dauern)

bei "Not Started" (0) wurde das Update noch nicht gestartet.

Alternativ kannst du auch in die Registry gehen, zu dem Pfad " HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing " navigieren und schauen ob der Wert des Schlüssels "ServiceLastKnowStatus" auf (2) ,(1) oder (0), steht.
Zum Vergrößern anklicken....
Das gibt mir diese Meldung aus:
UEFI CA 2023 Status: Updated
Heißt das, dass nichts weiter getan werden muss? Oder sollte auch die db Abfrage zwingend true sein?
 
Dwain Zwerg schrieb:
Geil: Ich kriege nur den 1801 und das seit dem 25.01.2026 (BucketID von mir geändert):
Zum Vergrößern anklicken....
Genau wie bei mir : bei mir war das auch der einzige ,aber zum letzten mal am 03.02.26

Ich würde jetzt mal noch abwarten ob sich "in Progress" in "Updated" die nächste Zeit ändert .(vielleicht spätestens nach dem März update nochmal prüfen)

Es gibt schon noch eine Möglichkeit das Update zu erzwingen ,aber das ist ,soweit ich bisher rausgefunden habe ,nicht "ungefährlich" vor allem ,wenn die Firmware nicht mitspielt.

VikTheKick schrieb:
Das gibt mir diese Meldung aus:
UEFI CA 2023 Status: Updated
Heißt das, dass nichts weiter getan werden muss? Oder sollte auch die db Abfrage zwingend true sein?
Zum Vergrößern anklicken....

Wenn da Updated steht und in der db Prüfung weiterhin (also auch nach längerer Zeit) nich true ausgibt ,kann es auf einen Fehler in der Anwendung oder einer fehlgeschlagenen Firmware-Verarbeitung hindeuten.

Da würd ich aber erstmal noch abwarten. Aktuell geh ich bei (nach wie vor) davon aus ,dass es an der frischen Aktivierung von Secure Boot liegt
 
Zuletzt bearbeitet:
  • Like
Reaktionen: VikTheKick
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben Unten