Windows Vorbereiten auf Einschlag: Microsoft warnt vor Secure-Boot-Zertifikat-Update

Windows Betriebssystem
Mornsgrans

Mornsgrans

Help-Desk
Teammitglied
Themenstarter
Registriert
20 Apr. 2007
Beiträge
78.257
Wenn jemand vor sich selbst warnt, muss man offenbar mit allem rechnen, nur nicht, dass es funktioniert - oder wie soll man das verstehen?

Heute bei Heise:
www.heise.de

Vorbereiten auf Einschlag: Microsoft warnt vor Secure-Boot-Zertifikat-Update

"Bereite dich auf das erste globale, großflächige Secure-Boot-Zertifikat-Update vor", warnt Microsoft. Nicht nur Windows ist betroffen.
www.heise.de www.heise.de

Microsofts erste Secure-Boot-Zertifikate laufen ab Juni 2026 ab.
Zum Vergrößern anklicken....
...
"Bereite dich auf das erste globale, großflächige Secure-Boot-Zertifikat-Update vor", warnt Microsoft daher nun. Das betrifft nicht nur Windows-Systeme, sondern auch solche mit anderen Betriebssystemen wie Linux oder macOS.
Zum Vergrößern anklicken....

Betroffen sind physische und virtuelle Maschinen mit unterstützten Versionen von Windows 10, Windows 11 und Windows Server 2025, 2022, 2019, 2016, 2012 sowie 2012 R2, mithin alle Systeme, die seit 2012 veröffentlicht wurden, einschließlich der Long-Term-Servicing-Channels (LTSC). Neuere Copilot+-PCs, die seit 2025 herausgekommen sind, haben bereits neuere Zertifikate.
Zum Vergrößern anklicken....

Windows 10 Nutzer und die Benutzer nicht offiziell unterstützer Hardware müssen aufpassen:
Im sicheren Bootvorgang seien die Firmware-Updates der OEMs Voraussetzung für korrekt angewendete Windows-Secure-Boot-Updates. Microsoft unterstützt dafür lediglich Systeme, die noch im Support-Zyklus sind – nach Oktober 2025 sollen Windows-10-Nutzer daher über die Beschaffung von Extended Security Updates (ESU) nachdenken.
Zum Vergrößern anklicken....
Für ältere Rechner dürfte es kaum noch Firmware-Updates geben.

Mal sehen, was in den nächsten Tagen/Wochen an zusätzliche Infos über den genauen Ablauf noch kommt.
 
Mornsgrans schrieb:
Wenn jemand vor sich selbst warnt, muss man offenbar mit allem rechnen, nur nicht, dass es funktioniert - oder wie soll man das verstehen?
Zum Vergrößern anklicken....

Das ist Heise. Es ist Freitag. Natürlich warnt Microsoft nicht davor, das hat Heise daraus formuliert.


Mornsgrans schrieb:
Mal sehen, was in den nächsten Tagen/Wochen an zusätzliche Infos über den genauen Ablauf noch kommt.
Zum Vergrößern anklicken....

Alles wichtige steht in der bei Heise verlinkten Originalquelle:

- Wer ganz normal Windows Updates über Microsoft bekommt, muss gar nichts machen.
- Ein BIOS-Update ist überhaupt nicht notwendig, nur der empfohlene Weg, um an die Zertifikate zu kommen, so dass sie auch nicht wieder entfernt werden können.

Und wer z.B. Linux mit aktivem SecureBoot nutzt, sollte entsprechende Updates z.B. über fwupdmgr bekommen, falls installiert.

Schon wieder Sturm im Wasserglas...
 
So sollte es doch eigtl. schon mit dem 24h2 Update kommen. Und die nötigen Files fürs NVRAM und die EFI Partition und neuer Bootloader wurden Anfang 24 ausgerollt und im Windows-Ordner zwischengelagert.

Das scheint aber ein Update light gewesen zu sein.

Problem ist, daß vorher und evtl bis jetzt nicht definiert ist wieviel Platz im NVRAM für Secure Boot reserviert werden muss. Bei zuwenig passen die Einträge für hunderte gesperrte alte Bootloader nicht alle rein. Und wenn es am Ende geklappt hat kann es ein großes Problem mit Windows geben, wenn Secure Boot auf Defaults zurück gesetzt wird. Außer die Firmware ist aktuell genug. Oder SB bleibt einfach aus.

Auf dem Desktop möchte ich SB nicht missen, weil man es irrsinnigerweise für nötig hielt, das mit rBAR/SAM zu verknüpfen, was definitiv Leistung bringt bei neueren GPUs, so ist SB direkt mit Gaming verbunden.

Bitlocker auf dem älteren Notebook könnte auch ohne SB funzen, aber was weiß ich schon.
 
Zusätzlich läuft der Lenvo PK (Plattformschlüssel) "Lenovo Ltd. PK CA 2012" am 24.06.2032 aus.
Für ein heutiges Thinkpad ist das ein realistischer Zeitraum.
Wenn ich das richtig verstehe, signierte Lenovo den neuen KEK mit dem alten "Lenovo Ltd. PK CA 2012" PK.
Was passiert dann 2032?

PK, KEK und DB, DBx sind bis 2032 anzupassen.
Passt Lenovo dieses/nächstes Jahr den PK an? Oder kommt eine Änderung später? Dann kann Lenovo einen neuen KEK auch 2032 signieren. So ab 2027 ist der tagesaktuelle Stand von Zeit zu Zeit zu prüfen.
 
Das müsste sich eigtl aktualisieren lassen. Der größte Brocken ist die Liste gesperrter alter Bootloader.

Und nach Cmos Clear oder Rückstellung von Secure Boot funzt das bei nem alten UEFI nicht mehr und man müsste während SB aus ist die Files ins NVRAM flashen, wie sonst nur beim Windows Setup. Aber wie und ob, kA.
 
Da ist er schon der Salat:

- auf dem T14 G4 mit neustem Bios startet mein Debian-Stick nicht mehr

Toll!
 
Steht das evtl. im Setup einfach bei den SecureBoot Einstellungen auf "Windows"? Falls ja, einfach mal auf "Microsoft UEFI 2023 CA" oder so abändern.
 
  • Like
Reaktionen: mcb
der_ingo schrieb:
Steht das evtl. im Setup einfach bei den SecureBoot Einstellungen auf "Windows"? Falls ja, einfach mal auf "Microsoft UEFI 2023 CA" oder so abändern.
Zum Vergrößern anklicken....
Ich werde nochmal ins Bios schauen. Mein installiertes Debian tut ja noch. Muß Secureboot eben für älter Installationsmedien aus. :sick:
 
Ob das schon damit zusammenhängt? - Glauben will ich es noch nicht so recht. Vielleicht ist Dein Stick zu alt?

Hier habe ich noch einen etwas ausführlicheren Artikel von Günter Born zum Thema des Startbeitrags gefunden.
 
  • Like
Reaktionen: mcb
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben