Zum Inhalt springen

Änderungen von Dokument Secure Boot Zertifikate

Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 6.1
bearbeitet von Thorsten Seifert
am 2026/02/26 18:04
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 3.5
bearbeitet von Thorsten Seifert
am 2026/02/26 17:55
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -3,6 +3,7 @@
3 3  
4 4  Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!
5 5  
6 +
6 6  = Was bedeutet dies für mich? =
7 7  
8 8  Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis.
... ... @@ -14,17 +14,13 @@
14 14  * Der Windows Bootloader aktualisiert werden muss.
15 15  * Das neue Zertifikat im Bootloader aktiviert werden müssen.
16 16  
17 -Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst.
18 -Dieses Script muss mit Administrator-Berechtigungen auf der Virtuellen Maschine ausgeführt werden!
19 -
20 20  Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.
21 21  
20 +
22 22  = Technischer Ablauf =
23 23  
24 24  == VMware vSphere ==
25 25  
26 -Diesen Teil übernimmt, in Abstimmung mit den Verantwortlichen der virtuellen Maschine, das Rechenzentrum!
27 -
28 28  === Key Exchange Key (KEK) ===
29 29  
30 30  * Virtuelle Maschine herunterfahren
... ... @@ -61,16 +61,13 @@
61 61  
62 62  == Windows ==
63 63  
64 -Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben:
61 +Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben.
65 65  
66 66  * UEFI CA2023 Update-Status: Not startet!
67 67  * Bootloader-Status: Updates failed!
68 68  
69 -Aktualisieren der Signaturen des Bootloaders:
66 +Aktualisieren der Signaturen des Bootloaders
70 70  
71 -* Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}}
72 -** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates!
73 -** Die Ausgabe sollte als //WindowsUEFICA2023Capable //"1" und //UEFICA2023Status //"NotStartet" ausgeben
74 74  * Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}}
75 75  * Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled"
76 76  
... ... @@ -86,7 +86,12 @@
86 86   F33E0C8E001
87 87  {{/code}}
88 88  
89 -* Hinzufügen der Signatur zum Secure Boot Updater: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}
83 +* Hinzufügen der Signatur zum Secure Boot: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}
84 +* Update-Status des UEFI Kontrollieren:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}}
85 +
86 +
87 +
88 +
90 90  * Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}}
91 91  * Die Virtuelle Maschine muss mindestens **zwei mal** neu gestartet werden**!**
92 92