BIOS UEFI Sicherheitszertifikate

Hinweis: Die Registrierung ist nicht mehr möglich, wenden Sie sich an den QNAP Support

    Im Juni sollen alte Sicherheitszertifikate von MS abgeschaltet werden.

    Dazu sind schon verschiedene Meldungen aufgetaucht, die sich auch mit meinen Beobachtungen decken, das MS zusammen mit Herstellern versucht diese zu erneuern.

    Es könnte u.U. Auswirkungen auf VM's oder Applikationen haben, die auf VM's laufen.

    Nachfolgend die verschiedenen Meldungen:

    Ablauf des Windows Secure Boot-Zertifikats und Updates der Zertifizierungsstelle - Microsoft-Support

    Windows Secure Boot und der Zertifikatswechsel: Microsoft Video-Session | Borns IT- und Windows-BlogBorns IT- und Windows-Blog

    Microsoft-Anleitung für Secure-Boot-Zertifikate von Windows Servern | heise online


    Wenn es für jemanden von Interesse ist, füge ich auch gerne eine temp. Lösung bei, sollte der Hersteller für einen älteren PC kein entsprechendes BIOS-Update mehr ausliefern. Wichtig dafür ist aber das MS seine Zertifikats-Datei in Windows entsprechend aktualisiert.

    Becker2020 hat das hier schon angesprochen: QTS 5.2.9.3410 build 20260214 released wo ich das Thema mal rausgeholt habe.

    Es gibt verschiedene Lösungen.

    Aber am Ende sollte es so aussehen. Dann werden die MS-Updates genutzt.

    Weitere Erläuterungen kann ich gerne bei Bedarf nachliefern.

    Lösung 4.jpg

    Einmal editiert, zuletzt von Microby ()

    Gefällt mir 1

    Ich bin zwar nicht der Windows Experte. Aber so wie ich das in Erinnerung habe, muss unter Windows 11 Secure Boot vorhanden sein, aber man muss es nicht einschalten. Dann werden die Zertifikate ja auch nicht nötig, oder?

    Zitat von manni_das_mammut

    aber man muss es nicht einschalten. Dann werden die Zertifikate ja auch nicht nötig, oder?

    Hallo,

    stimmt teilweise.

    Auch jetzt gibt es schon Hardwaretreiber die sich nicht mit Secure Boot vertragen und man kann es "noch" ausschalten.

    Man kann auch Win 11 noch mit Tricks ohne Secure Boot installieren.

    Microsoft verschärft die Sicherheitsanforderungen aber immer weiter. Wenn man bei Win 11 bleiben will/muss, dann könnte es hierdurch zu Problemen kommen.

    Die große Fragen wird sein, was passiert im Sommer wenn Microsoft die alten Zertifikate für ungültig erklärt.

    - Im besten Fall passiert erstmal nichts. :)

    - Oder verschiedene Treiber können nicht mehr geladen werden. :/

    - Oder verschiedene Software startet nicht mehr. :/

    - Oder es gibt keine Win 11 Updates mehr (Evtl erst mit 26H2). :/

    Zitat von Microby

    Wichtig dafür ist aber das MS seine Zertifikats-Datei in Windows entsprechend aktualisiert.

    Bei 2 "alten" PC wurde das Update schon erfolgreich eingespielt.

    pasted-from-clipboard.png
    Wenn im Sommer die alten Zertifikate ungültig werden, sollte es hoffentlich zu keinen Problemen kommen.


    Nachtrag:

    Anbei noch ein weiterer Link (gilt eigentlich für die Hersteller BIOS, PC)

    Wenn der Hersteller aber für ältere Geräte (HP älter als 2017, ....) kein BIOS-Update bereitstellt, könnte es Probleme geben.

    Leitfaden zur Erstellung und Verwaltung von Schlüsseln für Windows Sicherer Start
    Leitfaden zur Erstellung und Verwaltung von Schlüsseln für Windows Sicherer Start
    learn.microsoft.com

    2 Mal editiert, zuletzt von Becker2020 () aus folgendem Grund: Rechtschreibung, Nachtrag

    Gefällt mir 1
    • Neu

    Habe hier auch 2 Geräte, die bekommen keine aktuellen BIOS-Updates mehr und die aktuelle Zertifikate sind nicht installiert.

    Kann man sich in unter Windows in der Powershell mit administrativen Rechten anzeigen lassen:

    Code
    ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

    und

    Code
    ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023')

    Wenn true angezeigt wird ist es gut, wenn false weniger.

    Aber da ich kein Bitlocker aktiviert habe, was soll's. Aber es wird sich dann zeigen, ob mir hier was auf die Füße fällt. Aber wegwerfen werde ich die Geräte deshalb sicher nicht.

    • Neu

    Mittlerweile haben alle meine alten Rechner ohne BIOS Update das Mircosoftupdate erhalten. :)

    Bei meinem "neuen" PC mit BIOS Update, wurde mir das Mircosoftupdate noch nicht angeboten.

    Auch bei der Win11-VM gibt es noch kein Update.

    Ist ja noch Zeit bis Sommer, wenn Mircosoft die alten Zertifikate abschaltet.

    • Neu
    Zitat von Becker2020

    wenn Mircosoft die alten Zertifikate abschaltet.

    Microsoft schaltet diese Zertifikate nicht ab, die laufen aus - also nicht im Sinne von einer Pfütze sondern mit Ablaufdatum. Dieses Ablaufdatum steht schon lange fest und da kann Microsoft auch nichts mehr daran rütteln. Das haben Zertifikate so an sich. ;)

    Was mich doch etwas verwundert: Microsoft hat 2023 diese Zertifikate durch neue ersetzt. Jahre lang scheint dies niemanden interessiert zu habe, also die Hersteller. Die meisten Geräte habe seither mehr als genügend BIOS Updates erhalten, wo diese Zertifikate enthalten sein hätten können.

    • Neu
    Zitat von Mavalok2

    Jahre lang scheint dies niemanden interessiert zu habe, also die Hersteller.

    Wenn es im Sommer (vermutlich Juni) zu Problemen mit den alten PC/Laptop`s kommt, könnten die Verkaufszahlen neuer PC/Laptop`s wieder stark ansteigen. ;)

    Das Problem ist halt, dass man das Verhalten der PC/Laptop`s nicht genau einschätzen kann.

    Von "keine Probleme" bis "PC startet nicht" ist alles möglich.


    Anmerkung:

    Ich hatte mir schon mal überlegt, die BIOS-Uhr vorzudrehen.

    Bisher habe ich es aber noch nicht versucht.


    Nachtrag:

    QNAP-NAS haben diese Zertifikate (Datum ???) auch. :huh:

    Allerdings ist " Secure Boot" im BIOS der INTEL-NAS (TS-x64, ...) deaktiviert. :)

    Einmal editiert, zuletzt von Becker2020 () aus folgendem Grund: Nachtrag

    • Neu

    Meines Wissens kommen diese Zertifikate nur über das Windows Update, nicht über ein BIOS Update. Allerdings muss das BIOS "kompatibel" sein, sprich Secure Boot und TPM 2.0 müssen vorhanden sein.

    • Neu
    Zitat von manni_das_mammut

    Meines Wissens kommen diese Zertifikate nur über das Windows Update, nicht über ein BIOS Update.

    Im März hatte ich bei Geräten ein BIOS-Update, bei dem in den Release Notes als einzige Änderung "Neue Zertifikate" stand. Dieses BIOS Update kam natürlich kurz nachdem ich gerade die Version davor installiert hatte. Waren leider Geräte die nicht über das zentrale Management gesteuert werden - natürlich. Ansonsten wäre es ja zu einfach gewesen. ;)

    Zitat von manni_das_mammut

    Allerdings muss das BIOS "kompatibel" sein, sprich Secure Boot und TPM 2.0 müssen vorhanden sein.

    Alles was dann darauf zugreifen muss, wird oder kann bei einem nicht aktuellen Zertifikat dann Probleme machen. Meines Wissen nach allem voran Bitlocker.


    Bei mir in der Firma und auch privat sollte eigentlich alles vorbereitet sein und ohne Probleme funktionieren. Aber Theorie und Praxis sind dann immer noch 2 Dinge. Und Microsoft-Produkte sind ja immer mal für eine Überraschung gut. Aber wir werden sehen. Könnte spannend werden.

    Zitat von Becker2020

    könnten die Verkaufszahlen neuer PC/Laptop`s wieder stark ansteigen. ;)

    Bei den Preisen zur Zeit. Da könnte es ein, dass einige zum Apple MacBook Neo greifen. Nur dieses hat zur Zeit auf Grund extremer Nachfrage Lieferschwierigkeiten.

    • Neu

    Die "Default" Werte kommen nur über das BIOS (Hersteller).

    Ohne BIOS-Update bleiben die alten Zertifikate. Ob es hierdurch zu Problemen kommt ? :/


    Nur die "Current" Werte kann Microsoft (oder andere) per Update aktualisieren.


    pasted-from-clipboard.png

    • Neu

    Die PC-Welt hatte das Tool Check-UEFISecureBootVariables-main im März Heft.

    Da waren mehrere Scripte dabei. Hierfür habe ich Check UEFI PK, KEK, DB and DBX.cmd genutzt.


    Den Artikel (mit Tool) gibt es auch Online

    Ihr Windows-PC bekommt ab Juni ernste Probleme – das können Sie tun
    Bald laufen einige Secure-Boot-Zertifikate für Windows aus. Sie sollten die Situation auf Ihrem PC untersuchen und bei Bedarf Maßnahmen einleiten, um den…
    www.pcwelt.de

    • Neu
    Zitat von Mavalok2

    Aber es wird sich dann zeigen, ob mir hier was auf die Füße fällt. Aber wegwerfen werde ich die Geräte deshalb sicher nicht.

    Das muss man sicher nicht. Wenn man keine Software hat die eine vertrauenwürdige Stellung haben wollen, wird sicher nichts passieren. Und sollte doch wieder erwarten die Hardware nicht mehr booten, einfach ins BIOS und SecureBoot deaktivieren und zack bootet die Kiste wieder. SecureBoot sollte nur bei einer Win11-Neuinstallation wieder temp. eingeschaltet sein, dann sollte es auch wieder installierbar sein.


    Zitat von Mavalok2

    Die meisten Geräte habe seither mehr als genügend BIOS Updates erhalten, wo diese Zertifikate enthalten sein hätten können.

    Die wollen sicher nur neue Geräte verkaufen. An einem BIOS für alte, verdienen die kein Geld.

    Zitat von manni_das_mammut

    Meines Wissens kommen diese Zertifikate nur über das Windows Update, nicht über ein BIOS Update.

    Nein, es gibt Zertifikate von MS und auch der Hersteller muss Zertifikate ins BIOS implementieren. Die MS-Zertifikate werden bzw. können auch temp. in der MS-Zertifikatsdatei (DB) gespeichert werden. Herstellerzertifikate gehen immer ins BIOS.

    Zitat von Mavalok2

    Bei mir in der Firma und auch privat sollte eigentlich alles vorbereitet sein und ohne Probleme funktionieren.

    Bei uns sind sie erst nach meinen Hinweisen drauf aufmerksam geworden.

    Und ja:

    Zitat von Mavalok2

    Alles was dann darauf zugreifen muss, wird oder kann bei einem nicht aktuellen Zertifikat dann Probleme machen.

    bspw. auch Adobe-Produkte und ich spreche nicht von dem popeligen Reader, sondern von den ausgewachsenen Produkten, die bspw. eine zertifizierte digitale Unterschrift erzeugen können und nutzen. Das sind die Produkte, die auf die Zertifikate angewiesen sind.

    Zitat von Becker2020

    Hierfür habe ich Check UEFI PK, KEK, DB and DBX.cmd genutzt.

    Korrekt. Und auch die PS-Module UEFIv2.psm1 Damit Secure Boot certificates have been updated but are not yet applied - Microsoft Q&A ist etwas mehr möglich.

    Ich hab damit dann auch einen meiner alten Test-Kisten grün bekommen. In der Registry sollte es so aussehen:

    Lösung 4.jpg

    wenn der "In Progress" steht, wird das Herstellerzertifikat auch genutzt und der Fehler im Ereignislog sollte weg sein:

    Lösung 1.jpg

    Und ach, ich seh gerade... MS und Hersteller basteln weiter rum...

    Meiner ist nun wieder da, hier erkennbar:

    Fehler 7 TPM.jpg

    Neverending Story halt...

    • Neu

    Nur der sagt leider nicht wirklich aus, ob die Zertifikate installiert sind oder nicht. Vermutlich sollte es dies, aber Microsoft eben. ;) Ich habe Geräte mit und ohne Zertifikate und bei beiden wird es grün angezeigt. Da ich bei den Geräten ohne Zertifikate aber kein Bitlocker verwende, werden die Zertifikate für den Start auch nicht benötigt. Von da her. Aber wie gesagt, sagt nichts über die Zertifikate aus.

    • Neu

    Meine alten PC (ohne BIOS Update) haben alle schon das April-Update und das Update mit den Zertifikaten erhalten.

    Da stimmt die Anzeige mit dem Test-Tool überein. :)


    Mein neuerer PC (mit BIOS Update) erhält das April-Update erst Mitte der nächsten Woche. Dieser PC hat aber auch das Update mit den Zertifikaten noch nicht erhalten.

    • Neu

    Da ich nirgends Bitlocker im Einsatz habe - der ist regelmäßig für Probleme gut - sehe ich dem Ganzen mit und ohne Zertifikat entspannt entgegen. Die letzten BIOS Updates sind auf allen Geräten installiert. Was will man mehr machen, außer noch abwarten.

    Zitat von Becker2020

    erhält das April-Update erst Mitte der nächsten Woche.

    Wie kannst Du dies so genau vorhersagen? Installierst Du da manuell noch was?

    • Neu
    Zitat von Mavalok2

    Wie kannst Du dies so genau vorhersagen?

    Der Patchday war am 14.04. Ich habe mein Windows am Haupt-PC so eingestellt, dass die Updates mit einem Versatz von 14 Tagen installiert werden. :)

    Die 2 Wochen haben bisher immer ausgereicht, um Patch-Probleme beim Haupt-PC zu verhindern.

    • Neu

    Auch so. Dann hast Du den April-Patch noch nicht installiert und hoffst, dass es danach funktioniert. Also die Microsoft-Methode: Hoffen und beten.

    Habe den April-Patch auf allen Desktop-Geräten privat und in der Firma schon installiert. Bis jetzt keine Verluste oder Probleme zu vermelden. Auf den Servern warte ich lieber noch etwas zu. Da ist hoffen und beten zu wenig. :D