{"id":2494,"date":"2025-10-20T23:40:13","date_gmt":"2025-10-20T21:40:13","guid":{"rendered":"https:\/\/hitco.at\/blog\/?p=2494"},"modified":"2026-02-13T07:46:40","modified_gmt":"2026-02-13T06:46:40","slug":"uefi-secureboot-db-update-installieren","status":"publish","type":"post","link":"https:\/\/hitco.at\/blog\/uefi-secureboot-db-update-installieren\/","title":{"rendered":"UEFI SecureBoot DB Update: Microsoft 2023er CAs installieren"},"content":{"rendered":"\n<p>Die SecureBoot-Zertifikate (KEK und DB) von Microsoft stammen aus dem Jahr 2011 und laufen im Jahr 2026 ab.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/SecureBootCerts-Diagram-v2.png\"><img loading=\"lazy\" decoding=\"async\" width=\"984\" height=\"324\" src=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/SecureBootCerts-Diagram-v2.png\" alt=\"UEFI SecureBoot Zertifikate PlatformKey PK, Key-Exchange-Key KEK, Database DB, Erg\u00e4nzen, Ersetzen\" class=\"wp-image-2591\" srcset=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/SecureBootCerts-Diagram-v2.png 984w, https:\/\/hitco.at\/blog\/wp-content\/uploads\/SecureBootCerts-Diagram-v2-300x99.png 300w, https:\/\/hitco.at\/blog\/wp-content\/uploads\/SecureBootCerts-Diagram-v2-768x253.png 768w, https:\/\/hitco.at\/blog\/wp-content\/uploads\/SecureBootCerts-Diagram-v2-80x26.png 80w\" sizes=\"auto, (max-width: 984px) 100vw, 984px\" \/><\/a><\/figure>\n\n\n\n<div class=\"wp-block-group\"><div class=\"wp-block-group__inner-container is-layout-constrained wp-block-group-is-layout-constrained\">\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Bisheriges Zertifikat<\/th><th>Neues Zertifikat<\/th><\/tr><\/thead><tbody><tr><td><strong>Microsoft Corporation KEK CA 2011<\/strong><br>Ablauf: Juni 2026<br>Key Exchange Key<br>Hiermit werden DB und DBX Updates signiert<\/td><td><strong>Microsoft Corporation KEK&nbsp;2K&nbsp;CA 2023<\/strong><br><br><br><\/td><\/tr><tr><td><strong>Microsoft Windows Production PCA 2011<\/strong><br>Ablauf: Oktober 2026<br>Signature Database (DB)<br>Hiermit wird der Windows Boot-Loader signiert<\/td><td><strong>Windows UEFI CA 2023<\/strong><br><br><br><\/td><\/tr><tr><td><strong>Microsoft UEFI CA 2011<\/strong><br>Ablauf: Juni 2026<br>Signature Database (DB)<br>Hiermit werden 3rd Party Bootloader signiert<\/td><td><strong>Microsoft UEFI CA 2023<\/strong><br><br><br><\/td><\/tr><tr><td>Option-ROMs wurden bisher ebenfalls mit der Microsoft UEFI CA 2011 signiert<\/td><td><strong>Microsoft Option ROM&nbsp;UEFI&nbsp;CA 2023<\/strong><br><\/td><\/tr><\/tbody><\/table><\/figure>\n<\/div><\/div>\n\n\n\n<p>Nachfolgendes How-To erl\u00e4utert in Kurzfassung, wie diese mittels PowerShell gepr\u00fcft und mittels in Windows 11 enthaltener Update-Funktionalit\u00e4t gezielt appliziert werden k\u00f6nnen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Pr\u00fcfen der SecureBoot DB und KEK Zertifikate<\/h3>\n\n\n\n<p>Das PowerShell-Modul <a href=\"https:\/\/www.powershellgallery.com\/packages\/UEFIv2\" target=\"_blank\" rel=\"noreferrer noopener\">UEFIv2<\/a> von <a href=\"https:\/\/oofhours.com\/\" target=\"_blank\" rel=\"noreferrer noopener\">Mike Niehaus<\/a> installieren und die Ausf\u00fchrung von RemoteSigned Scripts zulassen:<\/p>\n\n\n<div class=\"wp-block-syntaxhighlighter-code \"><pre class=\"brush: powershell; highlight: [1,2,3]; title: ; notranslate\" title=\"\">\nSet-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force\nInstall-PackageProvider -Name NuGet -Force -Confirm:$False\nInstall-Module -Name UEFIv2 -Force -Confirm:$False\n<\/pre><\/div>\n\n\n<p>Alternativ auf Ger\u00e4ten ohne Internet-Zugang das <a href=\"https:\/\/www.powershellgallery.com\/packages\/UEFIv2\" target=\"_blank\" rel=\"noreferrer noopener\">UEFIv2 PowerShell-Modul<\/a> unter &#8222;Manual Download&#8220; das &#8222;raw nupgk File&#8220; herunterladen, es handelt sich um eine Datei im ZIP-Format, diese extrahieren. Darin findet sich das zu ladende Modul das wie folgt importiert wird:<\/p>\n\n\n<div class=\"wp-block-syntaxhighlighter-code \"><pre class=\"brush: powershell; highlight: [1,2]; title: ; notranslate\" title=\"\">\nSet-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force\nImport-Module .\\UEFIv2.psm1\n<\/pre><\/div>\n\n\n<p>Damit nun den aktuellen Zustand der SecureBoot-Zertifikate abfragen:<\/p>\n\n\n<div class=\"wp-block-syntaxhighlighter-code \"><pre class=\"brush: powershell; highlight: [1,5]; title: ; notranslate\" title=\"\">\nGet-UEFISecureBootCerts -Variable kek | Format-List -Property SignatureSubject\n\nSignatureSubject : CN=Microsoft Corporation KEK CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US\n\nGet-UEFISecureBootCerts -Variable db | Format-List -Property SignatureSubject\n\nSignatureSubject : CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US\n<\/pre><\/div>\n\n\n<p>Dieses typische Beispiel zeigt, dass am System lediglich ein SecureBoot DB-Zertifikat von Microsoft aus 2011 vorhanden ist, welches im Jahr 2026 abl\u00e4uft.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Welche Updates sind in Windows 11 enthalten?<\/h3>\n\n\n\n<p>Die mittels Windows-Updates gepflegten SecureBootUpdates finden sich hier:<\/p>\n\n\n<div class=\"wp-block-syntaxhighlighter-code \"><pre class=\"brush: powershell; highlight: [1]; title: ; notranslate\" title=\"\">\ndir C:\\Windows\\system32\\SecureBootUpdates\n\nMode                 LastWriteTime         Length Name\n----                 -------------         ------ ----\n-a----        14.10.2025     20:25          10542 BucketConfidenceData.cab\n-a----        07.12.2019     10:09              3 dbupdate.bin\n-a----        05.05.2025     22:41           4832 dbupdate2024.bin\n-a----        13.10.2025     22:08           4829 DBUpdate3P2023.bin\n-a----        13.10.2025     22:08           4840 DBUpdateOROM2023.bin\n-a----        14.10.2025     20:25          24053 dbxupdate.bin\n-a----        05.05.2025     22:41           5052 DBXUpdate2024.bin\n-a----        13.10.2025     22:08           3509 DBXUpdateSVN.bin\n-a----        13.10.2025     22:08         716120 KEKUpdateCombined.bin\n-a----        05.05.2025     22:41             45 SbatLevel.txt\n-a----        14.10.2025     20:25           6544 SKUSiPolicy.P7b\n<\/pre><\/div>\n\n\n<h3 class=\"wp-block-heading\">Auswahl: Welche Updates m\u00f6chten wir applizieren<\/h3>\n\n\n\n<p>Wir pr\u00fcfen vor dem Update, ob ein Update nicht bereits angesto\u00dfen wurde (Ergebnis &gt;0):<\/p>\n\n\n<div class=\"wp-block-syntaxhighlighter-code \"><pre class=\"brush: powershell; highlight: [1,2]; title: ; notranslate\" title=\"\">\n$RegSecureBoot = Get-ItemProperty -Path &quot;HKLM:\\SYSTEM\\CurrentControlSet\\Control\\SecureBoot&quot;\nWrite-Host &quot;AvailableUpdates hat derzeit den Wert: 0x$($RegSecureBoot.AvailableUpdates.ToString(&quot;X&quot;))&quot;\n\nAvailableUpdates hat derzeit den Wert: 0x0\n<\/pre><\/div>\n\n\n<p>Nun konfigurieren wir, welche Updates konkret umgesetzt werden sollen gem\u00e4\u00df <a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/secure-boot-certificate-updates-guidance-for-it-professionals-and-organizations-e2b43f9f-b424-42df-bc6a-8476db65ab2f\" target=\"_blank\" rel=\"noreferrer noopener\">dieser Dokumentation<\/a>.<\/p>\n\n\n<div class=\"wp-block-syntaxhighlighter-code \"><pre class=\"brush: powershell; highlight: [1,2,3,4,5,6]; title: ; notranslate\" title=\"\">\n$RegValue = 0x0\n$RegValue += 0x0040 # add the Windows UEFI CA 2023 certificate to the Secure Boot DB.\n$RegValue += 0x0800 # apply the Microsoft Option ROM UEFI CA 2023 to the DB\n$RegValue += 0x1000 # apply the Microsoft UEFI CA 2023 to the DB\n$RegValue += 0x0004 # look for a Key Exchange Key signed by the device\u2019s Platform Key (PK)\nWrite-Host &quot;Setze AvailableUpdates auf: 0x$($RegValue.ToString(&quot;X&quot;))&quot;\n\nSetze AvailableUpdates auf: 0x1844\n<\/pre><\/div>\n\n\n<p>Hinweis: 0x4000 nutze ich in diesem Fall nicht, w\u00fcrde bedeuten: <em>only apply the Microsoft UEFI CA 2023 and Microsoft Option ROM CA 2023 if the DB already has the Microsoft Corporation UEFI CA 2011<\/em>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Starten des SecureBoot Zertifikats-Updates<\/h3>\n\n\n\n<p>Nun die Durchf\u00fchrung starten, zuvor allerdings den Start-Zeitstempel merken um danach alle seit diesem Zeitpunkt aufgetretenen TPM-WMI Events abzufragen:<\/p>\n\n\n<div class=\"wp-block-syntaxhighlighter-code \"><pre class=\"brush: powershell; highlight: [1,3,4,5,7]; title: ; notranslate\" title=\"\">\nSet-ItemProperty -Path &quot;HKLM:\\SYSTEM\\CurrentControlSet\\Control\\SecureBoot&quot; -Name &quot;AvailableUpdates&quot; -Value $RegValue\n\n$StartTimeStamp = (Get-Date).AddSeconds(-1)\nStart-ScheduledTask -TaskName &quot;\\Microsoft\\Windows\\PI\\Secure-Boot-Update&quot;\nStart-Sleep -Seconds 10\n\nGet-WinEvent -FilterHashtable @{ProviderName=&#039;microsoft-windows-tpm-wmi&#039;; StartTime=$StartTimeStamp } -ErrorAction SilentlyContinue | Format-Table -Wrap -AutoSize\n\n   ProviderName: Microsoft-Windows-TPM-WMI\n\nTimeCreated           Id LevelDisplayName Message\n-----------           -- ---------------- -------\n20.10.2025 22:23:18 1795 Fehler           Die Systemfirmware hat beim Versuch, eine Variable f\u00fcr den sicheren Start 4 zu aktualisieren, den Fehler Das Medium ist schreibgesch\u00fctzt.\n                                          zur\u00fcckgegeben. Diese Ger\u00e4tesignaturinformationen sind hier enthalten.\n                                          DeviceAttributes: FirmwareManufacturer:Microsoft Corporation;FirmwareVersion:Hyper-V UEFI Release v4.1;OEMModelNumber:Virtual\n                                          Machine;OEMManufacturerName:Microsoft Corporation;OSArchitecture:amd64;\n                                          BucketId: 4e22d051e8c143d2875b9d16ef2241c7ec548985a21e5073126d3c1f9bf53bb2\n                                          BucketConfidenceLevel: .\n                                          Weitere Informationen finden Sie unter https:\/\/go.microsoft.com\/fwlink\/?linkid=2169931\n20.10.2025 22:20:25 1045 Informationen    Update der Datenbank f\u00fcr sicheres Starten zur Installation des Microsoft UEFI CA 2023-Zertifikats wurde erfolgreich angewendet\n20.10.2025 22:19:58 1044 Informationen    Update der Datenbank f\u00fcr sicheres Starten zur Installation des Microsoft Option ROM-UEFI CA 2023-Zertifikats wurde erfolgreich angewendet\n20.10.2025 22:15:57 1036 Informationen    Das Update f\u00fcr den sicheren Start von Db wurde erfolgreich angewendet\n20.10.2025 22:15:57 1801 Fehler           Die Zertifizierungsstelle\/Schl\u00fcssel f\u00fcr den sicheren Start m\u00fcssen aktualisiert werden. Diese Ger\u00e4tesignaturinformationen sind hier enthalten.\n                                          DeviceAttributes: FirmwareManufacturer:Microsoft Corporation;FirmwareVersion:Hyper-V UEFI Release v4.1;OEMModelNumber:Virtual\n                                          Machine;OEMManufacturerName:Microsoft Corporation;OSArchitecture:amd64;\n                                          BucketId: 4e22d051e8c143d2875b9d16ef2241c7ec548985a21e5073126d3c1f9bf53bb2\n                                          BucketConfidenceLevel:\n                                          UpdateType: 0\n                                          HResult: Der Vorgang wurde erfolgreich beendet.\n<\/pre><\/div>\n\n\n<p>Der Scheduled-Task wird \u00fcber den COM-Server {5014B7C8-934E-4262-9816-887FA745A6C4} ausgef\u00fchrt, nennt sich &#8222;TPM Maintenance Task Handler&#8220; und wird implementiert in %systemroot%\\system32\\TpmTasks.dll<\/p>\n\n\n\n<p>Der Fehler betreffend &#8222;<em>&#8230; Das Medium ist schreibgesch\u00fctzt.<\/em>&#8220; bezieht sich in diesem Fall auf den KEK welcher sich auf dieser Hardware nicht tauschen lie\u00df (entweder, weil seitens Firmware nicht vorgesehen oder weil kein mittels Platform-Key PK signierter neuer 2023er KEK im Windows-Update f\u00fcr diese Plattform hinterlegt wurde).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Pr\u00fcfung nach der Update-Durchf\u00fchrung<\/h3>\n\n\n\n<p>Der KEK ist somit unver\u00e4ndert, kein neuer 2023er KEK (Key-Exchange-Key) hinzugekommen:<\/p>\n\n\n<div class=\"wp-block-syntaxhighlighter-code \"><pre class=\"brush: powershell; highlight: [1]; title: ; notranslate\" title=\"\">\nGet-UEFISecureBootCerts -Variable kek | Format-List -Property SignatureSubject\n\nSignatureSubject : CN=Microsoft Corporation KEK CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US\n<\/pre><\/div>\n\n\n<p>Die drei neuen 2023er SecureBoot-Zertifikate sind nun aber verf\u00fcgbar:<\/p>\n\n\n<div class=\"wp-block-syntaxhighlighter-code \"><pre class=\"brush: powershell; highlight: [1]; title: ; notranslate\" title=\"\">\nGet-UEFISecureBootCerts -Variable db | Format-List -Property SignatureSubject\n\nSignatureSubject : CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US\n\nSignatureSubject : CN=Windows UEFI CA 2023, O=Microsoft Corporation, C=US\n\nSignatureSubject : CN=Microsoft Option ROM UEFI CA 2023, O=Microsoft Corporation, C=US\n\nSignatureSubject : CN=Microsoft UEFI CA 2023, O=Microsoft Corporation, C=US\n<\/pre><\/div>\n\n\n<p>Das System zum Abschluss neu starten!<br>Nach dem Neustart: Eventuell zuvor deaktivierten BitLocker mit TPM wieder aktivieren!<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/SecureBootCerts.png\"><img loading=\"lazy\" decoding=\"async\" width=\"858\" height=\"218\" src=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/SecureBootCerts.png\" alt=\"SecureBootCerts\" class=\"wp-image-2528\" srcset=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/SecureBootCerts.png 858w, https:\/\/hitco.at\/blog\/wp-content\/uploads\/SecureBootCerts-300x76.png 300w, https:\/\/hitco.at\/blog\/wp-content\/uploads\/SecureBootCerts-768x195.png 768w, https:\/\/hitco.at\/blog\/wp-content\/uploads\/SecureBootCerts-80x20.png 80w\" sizes=\"auto, (max-width: 858px) 100vw, 858px\" \/><\/a><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Fehlgeschlagene Update-Jobs deaktivieren<\/h3>\n\n\n\n<p>Da das KEK Update fehlgeschlagen ist, bleibt der Zustand von AvailableUpdates im Zustand 0x4 = <em>look for a Key Exchange Key signed by the device\u2019s Platform Key (PK)<\/em> zur\u00fcck:<\/p>\n\n\n<div class=\"wp-block-syntaxhighlighter-code \"><pre class=\"brush: powershell; highlight: [1,2]; title: ; notranslate\" title=\"\">\n$RegSecureBoot = Get-ItemProperty -Path &quot;HKLM:\\SYSTEM\\CurrentControlSet\\Control\\SecureBoot&quot;\nWrite-Host &quot;AvailableUpdates hat derzeit den Wert: 0x$($RegSecureBoot.AvailableUpdates.ToString(&quot;X&quot;))&quot;\n\nAvailableUpdates hat derzeit den Wert: 0x4\n<\/pre><\/div>\n\n\n<p>Der Taskplaner-Job l\u00e4uft periodisch und versucht dieses Update erneut, so lange sich an den Rahmenbedingungen aber nichts \u00e4ndert, wird dieses Update auch weiterhin nicht gelingen. Es empfiehlt sich daher dies zu beenden, indem wieder 0x0 konfiguriert wird:<\/p>\n\n\n<div class=\"wp-block-syntaxhighlighter-code \"><pre class=\"brush: powershell; highlight: [1]; title: ; notranslate\" title=\"\">\nSet-ItemProperty -Path &quot;HKLM:\\SYSTEM\\CurrentControlSet\\Control\\SecureBoot&quot; -Name &quot;AvailableUpdates&quot; -Value 0x0\n<\/pre><\/div>\n\n\n<h2 class=\"wp-block-heading\">Pr\u00fcfung ob ein OEM-signed KEK f\u00fcr das Ger\u00e4t verf\u00fcgbar ist<\/h2>\n\n\n\n<p>Zum Suchen, ob f\u00fcr den Platform-Key ein mit diesem signierter KEK verf\u00fcgbar ist wie folgt vorgehen:<\/p>\n\n\n<div class=\"wp-block-syntaxhighlighter-code \"><pre class=\"brush: powershell; highlight: [1,2,4,6]; title: ; notranslate\" title=\"\">\n$PK_Sig=(Get-UEFISecureBootCerts -Variable pk).Signature\nWrite-Host &quot;issued_to: $($PK_Sig.Subject) \/ issued_by: $($PK_Sig.Issuer)&quot;\nissued_to: CN=Ideapad Products \/ issued_by: CN=Trust - Lenovo Certificate\nWrite-Host &quot;serial_number: HEX $($PK_Sig.SerialNumber) = Dezimal: $(&#x5B;System.Numerics.BigInteger]::Parse(&quot;0$($PK_Sig.SerialNumber)&quot;, &#039;HexNumber&#039;))&quot;\nserial_number: HEX 994F8B12DB0C8DB2496ED70FFB2DD913 = Dezimal: 203784895555750606179079273201565292819\n<\/pre><\/div>\n\n\n<p>Die an Microsoft \u00fcbermittelten OEM-signierten KEK-Zertifikats-Updates sind hier einsehbar (JSON): <a href=\"https:\/\/github.com\/microsoft\/secureboot_objects\/blob\/main\/PostSignedObjects\/KEK\/kek_update_map.json\">https:\/\/github.com\/microsoft\/secureboot_objects\/blob\/main\/PostSignedObjects\/KEK\/kek_update_map.json<\/a> =&gt; Mit diesen ermittelten Angaben im JSON-String auf GitHub suchen, im vorliegenden Beispiel wird man f\u00fcndig:<\/p>\n\n\n<div class=\"wp-block-syntaxhighlighter-code \"><pre class=\"brush: plain; title: ; notranslate\" title=\"\">\n    &quot;5f11eeccb10336e653088cba0abc62f2533271a6&quot;: {\n        &quot;KEKUpdate&quot;: &quot;Lenovo\\\\KEKUpdate_Lenovo_PK255.bin&quot;,\n        &quot;Certificate&quot;: {\n            &quot;serial_number&quot;: 203784895555750606179079273201565292819,\n            &quot;issued_to&quot;: &quot;CN=Ideapad Products&quot;,\n            &quot;issued_by&quot;: &quot;CN=Trust - Lenovo Certificate&quot;\n        }\n    },\n<\/pre><\/div>\n\n\n<h2 class=\"wp-block-heading\">Weitere Informationen &amp; Follow-Up<\/h2>\n\n\n\n<p>Wertvolle Grundlagen-Informationen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/uefi.org\/sites\/default\/files\/resources\/Evolving%20the%20Secure%20Boot%20Ecosystem_Flick%20and%20Sutherland.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">UEFI Fall 2023 Developers Conference &amp; Plugfest: Evolving the Secure Boot Ecosystem (Slides)<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/manufacture\/desktop\/windows-secure-boot-key-creation-and-management-guidance?view=windows-11\" target=\"_blank\" rel=\"noreferrer noopener\">Microsoft: Windows Secure Boot Key Creation and Management Guidance<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e\" target=\"_blank\" rel=\"noreferrer noopener\">Microsoft: Windows Secure Boot certificate expiration and CA updates<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/frequently-asked-questions-about-the-secure-boot-update-process-b34bf675-b03a-4d34-b689-98ec117c7818\" target=\"_blank\" rel=\"noreferrer noopener\">Microsoft: Frequently asked questions about the Secure Boot update process<\/a><\/li>\n<\/ul>\n\n\n\n<p>Nachfolgende Informationen sind erst nach Erstellung meines How-To&#8217;s erschienen, waren zum Zeitpunkt der Erstellung meines Blog-Posts daher noch nicht verf\u00fcgbar. Ich verweise als Follow-Up nun darauf, da sich dort sehr hilfreiche Informationen finden:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/techcommunity.microsoft.com\/blog\/Windows-ITPro-blog\/secure-boot-playbook-for-certificates-expiring-in-2026\/4469235\" target=\"_blank\" rel=\"noreferrer noopener\">Offizieller techcommunity.microsoft.com Blogpost &#8222;Secure Boot Playbook&#8220; vom 13.11.2025<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe\" target=\"_blank\" rel=\"noreferrer noopener\">Nutzung von WinCsFlags.exe (ist ab Win11 Patchstand 2025\/11 verf\u00fcgbar)<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/group-policy-objects-gpo-method-of-secure-boot-for-windows-devices-with-it-managed-updates-65f716aa-2109-4c78-8b1f-036198dd5ce7\" target=\"_blank\" rel=\"noreferrer noopener\">Nutzung von GroupPolicies (ist ab Win11 Patchstand 2025\/11 verf\u00fcgbar)<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.msxfaq.de\/windows\/sicherheit\/uefi_secure_boot_blacklotus.htm\" target=\"_blank\" rel=\"noreferrer noopener\">Sehr umfangreiche Informationssammlung zu UEFI Secure Boot \/ BlackLotus &amp; PKFail auf msxfaq.de<\/a><\/li>\n<\/ul>\n\n\n\n<p>Und hier noch eine kleine, feine Auswahl an tiefgehender technischer Information:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/auscitte.github.io\/posts\/Dbxupdate-Parse\" data-type=\"link\" data-id=\"https:\/\/auscitte.github.io\/posts\/Dbxupdate-Parse\" target=\"_blank\" rel=\"noreferrer noopener\">Inner Workings of UEFI Secure Boot Signature Revocation List (DBX) Updates<\/a> erkl\u00e4rt detailliert, wie Windows\u2011Updates die UEFI\u2011Secure\u2011Boot\u2011Sperrliste (DBX) mit Hilfe von differenziellen Update\u2011Mechanismen aktualisieren.<\/li>\n\n\n\n<li><a href=\"https:\/\/neodyme.io\/en\/blog\/bitlocker_screwed_without_a_screwdriver\/\" data-type=\"link\" data-id=\"https:\/\/neodyme.io\/en\/blog\/bitlocker_screwed_without_a_screwdriver\/\" target=\"_blank\" rel=\"noreferrer noopener\">Windows BitLocker &#8211; Screwed without a Screwdriver<\/a> erl\u00e4utert im Detail, wie ein Bitlocker TPM-only-Protector Angriff unter Nutzung des Bitpixie-Exploits durchgef\u00fchrt werden kann. Geht hierbei im Detail auf Funktionsweise von Bitlocker, SecureBoot und TPM ein und demonstriert die Notwendigkeit SecureBoot-Zertifikate und Sperrlisten aktuell zu halten.<\/li>\n\n\n\n<li><a href=\"https:\/\/neodyme.io\/en\/blog\/bitlocker_why_no_fix\/\" data-type=\"link\" data-id=\"https:\/\/neodyme.io\/en\/blog\/bitlocker_why_no_fix\/\" target=\"_blank\" rel=\"noreferrer noopener\">On Secure Boot, TPMs, SBAT, and downgrades &#8211; Why Microsoft hasn&#8217;t fixed BitLocker yet<\/a> erl\u00e4utert im Detail, wie SecureBoot mit TPM funktioniert, welche PCR welche Eigenschaften misst und welche hierbei sinnvollerweise f\u00fcr BitLocker verwendet werden.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Die SecureBoot-Zertifikate (KEK und DB) von Microsoft stammen aus dem Jahr 2011 und laufen im Jahr 2026 ab. Bisheriges Zertifikat Neues Zertifikat Microsoft Corporation KEK CA 2011Ablauf: Juni 2026Key Exchange KeyHiermit werden DB und DBX Updates signiert Microsoft Corporation KEK&nbsp;2K&nbsp;CA 2023 Microsoft Windows Production PCA 2011Ablauf: Oktober 2026Signature Database (DB)Hiermit wird der Windows Boot-Loader signiert Windows UEFI CA 2023 Microsoft&#8230; <\/p>\n","protected":false},"author":1,"featured_media":2591,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[3,4,23],"tags":[609,608,59,606,139,607],"class_list":["post-2494","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it","category-security","category-windows","tag-2023er-cas","tag-anzeige","tag-microsoft","tag-secureboot","tag-uefi","tag-zertifikate"],"_links":{"self":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/2494","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/comments?post=2494"}],"version-history":[{"count":47,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/2494\/revisions"}],"predecessor-version":[{"id":2603,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/2494\/revisions\/2603"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/media\/2591"}],"wp:attachment":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/media?parent=2494"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/categories?post=2494"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/tags?post=2494"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}