Änderungen von Dokument Secure Boot Zertifikate

Zusammenfassung

• Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Inhalt

...	...	@@ -1,14 +7,9 @@
1		-{{error}}
2		-**Die Seite befindet sich noch im Aufbau!**
3		-
4		-Wir übernehmen keine Garantie auf Funktion. Durchführung auf eigene Gefahr.
5		-{{/error}}
6		-
7	7	Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
8	8	Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
9	9
10	10	Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!
11	11
	6	+
12	12	= Was bedeutet dies für mich? =
13	13
14	14	Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis.
...	...	@@ -20,20 +20,13 @@
20	20	* Der Windows Bootloader aktualisiert werden muss.
21	21	* Das neue Zertifikat im Bootloader aktiviert werden müssen.
22	22
23		-Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst.
24		-Dieses Script muss mit Administrator-Berechtigungen auf der Virtuellen Maschine ausgeführt werden!
25		-
26	26	Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.
27	27
	20	+
28	28	= Technischer Ablauf =
29	29
30	30	== VMware vSphere ==
31	31
32		-(% class="box infomessage" %)
33		-(((
34		-**Den Tausch des KEK und PK übernimmt, **in Abstimmung mit den Verantwortlichen der virtuellen Maschine,** das Rechenzentrum!**
35		-)))
36		-
37	37	=== Key Exchange Key (KEK) ===
38	38
39	39	* Virtuelle Maschine herunterfahren
...	...	@@ -44,7 +44,7 @@
44	44	* Aktualisieren der VMware Tools
45	45	* Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
46	46
47		-=== Platform Key (PK) ===
	35	+=== Platform Key ===
48	48
49	49	* Virtuelle Maschine Herunterfahren.
50	50	* Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
...	...	@@ -70,16 +70,15 @@
70	70
71	71	== Windows ==
72	72
73		-Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben:
	61	+Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben.
74	74
75	75	* UEFI CA2023 Update-Status: Not startet!
76	76	* Bootloader-Status: Updates failed!
77	77
78		-Aktualisieren der Signaturen des Bootloaders:
	66	+Aktualisieren der Signaturen des Bootloaders
79	79
80	80	* Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}}
81		-** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates!
82		-** Die Ausgabe sollte als //WindowsUEFICA2023Capable //"1" und //UEFICA2023Status //"NotStartet" ausgeben
	69	+* Erfolgt keine Ausgabe, fehlt eines der oben genannten
83	83	* Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}}
84	84	* Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled"
85	85
...	...	@@ -95,7 +95,7 @@
95	95	F33E0C8E001
96	96	{{/code}}
97	97
98		-* Hinzufügen der Signatur zum Secure Boot Updater: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}
	85	+* Hinzufügen der Signatur zum Secure Boot: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}
99	99	* Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}}
100	100	* Die Virtuelle Maschine muss mindestens **zwei mal** neu gestartet werden**!**
101	101
...	...	@@ -111,25 +111,3 @@
111	111	* Bootloader-Status: Updated!
112	112
113	113	Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!
114		-
115		-
116		-= Ressourcen =
117		-
118		-[[https:~~/~~/techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789>>https://techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789]]
119		-
120		-[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
121		-
122		-[[https:~~/~~/learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are>>https://learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are]]
123		-
124		-[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
125		-
126		-
127		-[[https:~~/~~/knowledge.broadcom.com/external/article/424429>>https://knowledge.broadcom.com/external/article/424429]]
128		-
129		-[[https:~~/~~/knowledge.broadcom.com/external/article/423893>>https://knowledge.broadcom.com/external/article/423893]]
130		-
131		-[[https:~~/~~/knowledge.broadcom.com/external/article/423919>>https://knowledge.broadcom.com/external/article/423919]]
132		-
133		-[[https:~~/~~/knowledge.broadcom.com/external/article/421593/>>https://knowledge.broadcom.com/external/article/421593/]]
134		-
135		-