Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsPatchday für Windows 11: Microsoft verteilt neue Secure-Boot-Zertifikate
Wenn SB deaktiviert ist, werden über die MS-Updates keine SB-Zertifikate aktualisiert.
Solltest du irgendwann SB aktivieren während die alten Zertifikate längst ausgelaufen sind, wirst du über die kumulativen Updates automatisch die neuen Zertifikate erhalten. Ausnahme: BIOS Firmware spielt irgendwie nicht mit. Aber dann hättest du auch keine Zertifikatsupdates bekommen, wenn SB auch vor dem Auslaufen aktiv wäre.
... oder sowas wie hier, wozu solche updates, niemand hat sowas benötigt in den letzten 30 jahren mit boot updates.... keine ahnung was man da für einen mist rein programmieren muss aber MS muss es ja wissen...
UEFI Secure Boot ist nichts Microsoft oder Windows-eigenes, sondern wird auch von den anderen Betriebssystem-Ökosystemen eingesetzt. UEFI Secure Boot hast du auch im Mac und in so ziemlich allen Linux-OSsen kannst du es auch nutzen. Nur bekommst du es da halt nicht mit, wenn es da keine CB-News über RootZertifikatswechel gibt? Und wie Zertifikate und Rootzertifikate funktionieren, gilt ebenfalls für alle gleich.
Das es das vor 30 Jahren noch nicht gab, liegt einfach daran, dass es vor 30 Jahren noch kein UEFI gab und es damals noch nicht als größeres Problem angesehen wurde, dass Schadsoftware und Rootkits in den Bootprozess eingreifen bzw das BIOS eben da keine Abhilfe schaffen konnte.
Nach Info von MS muss der Sichere Start aktiv sein, nur aus diesem Grund habe ich es aktiv bis Juni Juli sobald das Update da war/ist wird es wieder deaktiviert.
Das Ding daran ist ja nicht, das irgendwelche Keys und Zertifikate ausgetauscht werden.
Das Problem ist, das es offenbar so einfach möglich ist.
Denn das heißt ja, das dann auch eine beliebige Schadsoftware das ebenfalls austauschen könnte.
Jetzt könnte man natürlich einwenden, das Du eh verloren hast wenn Dein System infiziert ist.
Das ist natürlich richtig. Allerdings hat jetzt die Malware zusätzlich noch die Möglichkeit sich quasi im Kernel einzunisten, weil alle vorhergehenden Prüfungen das dann aufgrund eines gültigen Schlüssels durchwinken und die Malware dann schon im frühen Bootstadium aktiv werden kann.
Und ist sie erst mal da, dann hat sie auch sehr gute Möglichkeiten Gegenmaßnahmen zu unterlaufen und sich zum Beispiel vor Virenscanner zu verstecken.
Während das System einem gleichzeitig vor gaukelt das alles ok ist, weil ja sämtliche Signaturen stimmen.
Microsoft kann Zertifikate installieren, weil sie bereits ein gültiges Zertifikat im UEFI haben. Wenn das in Juni Oktober abläuft, dürfte es nicht mehr möglich sein. Wenn du ein Schlüssel zu der Wohnung hast, ist es ein leichtes das Schloss auszutauschen.
Aktuelle Microsoft Secure Boot-Zertifikate (Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, Microsoft Corporation UEFI CA 2011) laufen ab Juni 2026 ab und laufen bis Oktober 2026 ab.
Neue 2023-Zertifikate werden eingeführt, um die Sicherheit und Kontinuität des sicheren Starts zu gewährleisten. Geräte müssen auf die 2023-Zertifikate aktualisiert werden, bevor die Zertifikate von 2011 ablaufen. Andernfalls sind sie nicht mehr konform und gefährdet.
Früher hast du den Rechner eingeschaltet und gehofft, dass er hochfährt. Wenn nicht, war entweder ein Virus drauf, irgendein dubioser Bootloader hat sich eingenistet. Seit Secure Boot ist das Geschichte.
Bei mir auch! Ich hab schon lange keines dieser ewig verbreiteten Updateprobleme gehabt, mein Rechner läuft sauber und zickt nicht rum.
Die wirklichen Updateprobleme treten nämlich immer nur bei einer Minderheit auf, die besonders hochgezüchtete Rechner mit teilweise auch exotischer Hardware einsetzt. Und die wettern dann auch direkt. Beim Mainstream treten solche Probleme meist gar nicht auf, aber die Masse hat halt besseres zu tun, als sich in den Foren mit den Berufsbetroffenen zu melden und zu vermelden, dass das letzte Update bei ihnen zu keinem der furchtbaren und weltweiten Updateprobleme geführt hat.
Auch deshalb, weil man dann von überheblichen Berufsbetroffenen direkt gesagt bekommt, dass man lügt, obwohl die gar nicht in der Lage sind das zu beurteilen.
nur liest? ich habe hier 2 laptops von verwandten gehabt wo die pin abfrage obwohl der richtige pin eingegeben wurde nicht mehr ging, ich musste beide laptops komplett neu installieren!!! drecks win11..
Acer hat für meinen Laptop ein Secureboot BIOS update, schreibt aber das man wenn das System stabil läuft keine BIOS Updates einspielen sollte da es das Gerät dauerhaft beschädigen kann.
Ja kann man. Gibt Powershell-Befehle die den Regeintrag setzen und den Task von Windows triggern....
Wenn der PC aber immer verwendet wird, würde ich abwarten und schauen ob MS das selber regelt.
Ich habe meine schon geupdatet bzw um es mal zu testen.
Ja kann man. Gibt Powershell-Befehle die den Regeintrag setzen und den Task von Windows triggern....
Wenn der PC aber immer verwendet wird, würde ich abwarten und schauen ob MS das selber regelt.
Ich frage mal nach. Danke Ich machte mit Z790 vor 2 Jahren die ersten BIOS Update die 3 vorigen Systeme liefen immer mit dem BIOS im Auslieferungszustand mir war das Thema immer viel zu heiß.
Da man da ja auch die Hardware total schrotten könnte.
Ok anscheinend haben sie den Text geändert oder entschärft jetzt steht dort folgendes.
Fehlerhaftes Aktualisieren Ihres System-BIOS kann Ihrem Acer-Produkt schaden. Bitte gehen Sie mit Vorsicht vor.
Microsoft kann Zertifikate installieren, weil sie bereits ein gültiges Zertifikat im UEFI haben. Wenn das in Juni Oktober abläuft, dürfte es nicht mehr möglich sein. Wenn du ein Schlüssel zu der Wohnung hast, ist es ein leichtes das Schloss auszutauschen.
Die OEMs erhalten die Zertifikate ebenfalls und können das per UEFI Update installieren. Das wird und wurde an vielen Stellen bereits getan bzw. muss der User natürlich das UEFI Update dann auch installieren.
@ShiftC Das ist richtig, aber bekommt man vom jeden Hersteller für jedes "alte" Board das Bios Update?
Mein NB von MSI hat das letzte Bios von 2023. Ich habe zwar per Hand geupdatet und alle Zertifikate installiert. Aber mit fehlt eben das PK Zertifikat vom Hersteller selber. Stört mich aber jetzt auch nicht so, weil das neue KEK ja schon in der DB ist.
nur liest? ich habe hier 2 laptops von verwandten gehabt wo die pin abfrage obwohl der richtige pin eingegeben wurde nicht mehr ging, ich musste beide laptops komplett neu installieren!!! drecks win11..
