Ablauf des Windows Secure Boot-Zertifikats und Zertifikatsaktualisierungen

Antwort 1: Bitte folgen Sie den nachstehenden Schritten:

1. Geben Sie in der Windows-Suchleiste Windows Sicherheit ein.  
   
2. Wählen Sie [Gerätesicherheit] aus dem Menü auf der linken Seite. Unter [Secure boot] wird ein Statusindikator angezeigt. Das Secure boot-Symbol ist mit einem grünen, gelben oder roten Zeichen versehen, das den aktuellen Zustand von Secure boot auf Ihrem System darstellt.  
   

Antwort 2: Bitte folgen Sie den nachstehenden Schritten:

1. Führen Sie Windows Update aus und stellen Sie sicher, dass der OS-Build 26100.6725 oder höher ist.  
   Windows 11, Version 25H2 Updateverlauf - Microsoft Support
2. Geben Sie in der Windows-Suchleiste Windows PowerShell ein.  
   Klicken Sie in den Suchergebnissen mit der rechten Maustaste auf Windows PowerShell und wählen Sie Als Administrator ausführen.  
   
3. Geben Sie den folgenden Befehl ein:  
   reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0X5944 /f  
   
4. Geben Sie dann den folgenden Befehl ein:  
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"  
   
5. Starten Sie Ihren Computer neu.
6. Öffnen Sie nach dem Neustart Windows PowerShell erneut als Administrator.
7. Geben Sie den folgenden Befehl erneut ein:  
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"  
   
8. Starten Sie Ihren Computer erneut.
9. Überprüfen Sie, dass das Secure Boot-Symbol nun grün ist, was darauf hinweist, dass Secure Boot jetzt aktiviert ist und ordnungsgemäß funktioniert.

Antwort 3: Nachdem das Secure Boot-Sicherheitszertifikat abgelaufen ist, können Geräte, die noch nicht das neue Zertifikat von 2023 erhalten haben, weiterhin normal starten und funktionieren, und Standard-Windows-Updates werden weiterhin installiert. Allerdings können diese Geräte beim frühen Startvorgang keinen neuen Schutz erhalten, einschließlich der Aktualisierung von Windows Boot-Administratoren, Secure Boot-Datenbanken, Sperrlisten oder Abwehrmaßnahmen gegen neu entdeckte Schwachstellen auf Boot-Ebene.

Im Laufe der Zeit wird dadurch der Schutz des Geräts gegenüber neuen Bedrohungen eingeschränkt und es kann Szenarien betreffen, die auf das Secure Boot-Vertrauen angewiesen sind, wie zum Beispiel BitLocker-Härtung oder Drittanbieter-Bootloader. Die meisten Windows-Geräte erhalten automatisch aktualisierte Anmeldeinformationen und viele OEM-Hersteller bieten bei Bedarf auch Firmware-Updates an. Ein stets aktuelles Gerät hilft dabei sicherzustellen, dass es weiterhin den vollständigen für den sicheren Start vorgesehenen Schutz erhält.

Antwort 4: Geräte, die Secure Boot deaktiviert haben, erhalten keine neuen Secure Boot-Zertifikate in der Firmware. Daher bleiben sie anfällig für Malware auf der Boot-Ebene (wie Bootkits), da der Secure Boot-Schutz nicht durchgesetzt wird.

Antwort 5: Wenn Windows bereits den 2023 signierten Bootmanager genutzt hat, aber die Firmware auf den Standardwert zurückgesetzt wurde, der das Windows UEFI CA 2023-Zertifikat nicht enthält, blockiert Secure Boot den Startvorgang.

Sie können auf den FAQ-Beitrag verweisen:

[Notebook] Fehlerbehebung – Secure Boot-Verletzungsfehler beim Start

Antwort 6: Ja. Auch wenn die bestehenden Zertifikate abgelaufen sind, können kumulative Updates mit neuen Secure Boot-Zertifikaten weiterhin installiert werden. Wenn das Gerät Windows starten und Updates installieren kann, können die aktualisierten Zertifikate gemäß den veröffentlichten Bereitstellungsrichtlinien in die Firmware geschrieben werden. Die meisten Geräte erhalten diese Updates automatisch, aber einige Systeme benötigen eventuell zusätzliche Firmware-Updates.

Antwort 7: Bitte befolgen Sie die folgenden Schritte:

1. Geben Sie PowerShell in das Windows-System-Suchfeld ein.  
   In den Suchergebnissen klicken Sie auf das Windows PowerShell-Symbol und wählen Sie Als Administrator ausführen.  
   
2. Bestätigen Sie, dass Key Exchange Key (KEK) „Microsoft Corporation KEK 2K CA 2023” enthält.  
   Geben Sie [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023' ein.  
   Wenn True erscheint, bedeutet es, dass „Microsoft Corporation KEK 2K CA 2023” enthalten ist.  
   
3. Bestätigen Sie, dass Signature Databases (DB) „Windows UEFI CA 2023” enthält.  
   Geben Sie [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' ein.  
   Wenn True erscheint, bedeutet es, dass „Windows UEFI CA 2023” enthalten ist.  
   
4. Bestätigen Sie, dass Signature Databases (DB) „Microsoft UEFI CA 2023” enthält.  
   Geben Sie [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023' ein.  
   Wenn True erscheint, bedeutet es, dass „Microsoft UEFI CA 2023” enthalten ist.  
   

Antwort 8: Der Grund für diese Fehlermeldung ist, dass die Secure Boot-Anmeldedaten aktualisiert wurden, aber noch nicht auf die Geräte-Firmware angewendet wurden.

Bitte führen Sie zuerst Windows Update aus, um sicherzustellen, dass die Betriebssystemversion 26100.6725 oder neuer ist, und fahren Sie dann mit den in Frage 2 beschriebenen Schritten fort.

Windows 11, Versionsverlauf für Version 25H2.

Antwort 9: Der Grund für diese Fehlermeldung ist, dass das Boot-Update absichtlich blockiert wird, weil das Gerät bekannten Firmware- oder Hardwarebedingungen entspricht, wodurch das Update nicht sicher abgeschlossen werden kann.

Bitte melden Sie das Problem über das ASUS Service Center.

Antwort 10: Der Grund für diese Fehlermeldung ist, dass das Gerät den durch PK signierten Key Exchange Key (KEK) nicht finden kann.

Bitte melden Sie das Problem über das ASUS Service-Center.