So aktualisieren Sie das Secure-Boot-Zertifikat unter Windows manuell (erzwingen es).
Manchmal werden neue Secure-Boot-Zertifikate zwar über Windows Update bereitgestellt, landen aber nicht sofort in Ihrer Firmware. Ziemlich ärgerlich, oder? Besonders, wenn Sie Hardware oder Software testen, die auf die neuesten Zertifikate angewiesen ist, oder sich einfach nur Sorgen um Sicherheitslücken machen. Falls die Secure-Boot-Zertifikate Ihres Geräts noch nicht aktualisiert wurden, können Sie die Aktualisierung manuell erzwingen – ohne auf automatische Updates warten zu müssen. Wichtig: Deaktivieren Sie vorher BitLocker oder halten Sie Ihren Wiederherstellungsschlüssel bereit. Denn Änderungen an Secure Boot sind nicht ganz ungefährlich, und Sie wollen sich ja nicht aussperren.
Warum das helfen könnte
Dieser Vorgang veranlasst Ihr System, die Aktualisierung der UEFI-Secure-Boot-Zertifikate zu starten, insbesondere wenn Windows Update die neuesten Zertifikate nicht automatisch installiert. Er ist besonders nützlich bei älterer Hardware, virtuellen Maschinen oder Systemen mit veralteter Firmware. Ziel ist es, den Vorgang manuell anzustoßen, damit Ihr Gerät die neuen Windows UEFI CA 2023 -Zertifikate erkennt und installiert. Dadurch bleibt Secure Boot aktiv und Ihr PC ist besser vor Bootkits geschützt.
System vorbereiten und die Bühne schaffen
- Sichern Sie unbedingt Ihren BitLocker-Wiederherstellungsschlüssel, falls dieser aktiviert ist – man weiß ja nie, ob etwas schiefgeht. Vorsicht ist besser als Ausgesperrtsein.
- Führen Sie PowerShell als Administrator aus. Das ist zwar nicht besonders kompliziert, aber Sie benötigen erhöhte Berechtigungen, um Registrierungsschlüssel und geplante Aufgaben zu bearbeiten.
Zertifikatsaktualisierung erzwingen
- Als Erstes müssen Sie Windows mitteilen, dass Sie bereit für Updates sind. Geben Sie dazu folgenden Befehl in PowerShell ein:
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot' -Name 'AvailableUpdates' -Value 0x5944 - Bei manchen Systemen müssen Sie außerdem die Gruppenrichtlinieneinstellung „ Zertifikatbereitstellung für sicheren Systemstart aktivieren“ aktivieren. Sie finden diese unter Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → Sicherer Systemstart. Nicht alle Systeme verfügen über diese Option; falls Sie sie haben, aktivieren Sie sie.
Führe die geplante Aktualisierungsaufgabe aus
- Um den eigentlichen Aktualisierungsprozess zu starten, führen Sie nun folgenden Befehl aus:
Start-ScheduledTask -TaskName '\Microsoft\Windows\PI\Secure-Boot-Update' - Behalten Sie die Ereignisanzeige unter Windows-Protokolle → System im Auge. Ein Protokolleintrag mit der Ereignis-ID 1800 bedeutet in der Regel, dass ein Neustart aussteht, bevor der Vorgang abgeschlossen werden kann.
Weitere Tipps zur Fehlerbehebung
- Wenn Fehlermeldungen wie „KEK 2023 konnte nicht aktualisiert werden“ oder ähnliches angezeigt werden
TPM-WMI:1796, lehnt Ihre UEFI-Firmware die Zertifikate möglicherweise ab, insbesondere auf virtuellen Maschinen oder älteren Systemen. Dies ist gelegentlich normal – in diesem Fall sind manuelle Firmware-Updates oder die Registrierung neuer Zertifikate erforderlich. - Bei virtuellen Maschinen sollten Sie die Dokumentation von VMware oder Ihres Hypervisors konsultieren – manchmal müssen Sie die Hardwareversion der VM aktualisieren oder Schlüssel manuell in UEFI registrieren.
- Nach dem Neustart führen Sie die geplante Aufgabe gegebenenfalls erneut aus und überprüfen Sie das Ergebnis erneut. Der Registrierungsschlüssel UEFICA2023Status sollte sich in „Aktualisiert“ ändern.
Vergewissern Sie sich, dass Ihr System das neue Zertifikat erkennt.
- Führen Sie diesen PowerShell-Befehl aus, um zu überprüfen, ob die neuen Windows UEFI CA 2023 -Zertifikate tatsächlich in der Secure Boot-Datenbank vorhanden sind:
([System. Text. Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023') - Wenn Sie eine Übereinstimmung sehen, ist das eine gute Nachricht – Ihr System verwendet jetzt die neuesten Zertifikate.
Sobald alles erledigt ist, können Sie beruhigt sein, denn Ihr Secure Boot ist auf dem neuesten Stand und weniger anfällig für Pre-Boot-Angriffe. Warum es manchmal funktioniert und manchmal nicht, ist mir nicht ganz klar, aber bei manchen Konfigurationen wirkt ein Neustart und die erneute Ausführung des geplanten Tasks Wunder. Denn Firmware- und Betriebssystem-Updates können eben manchmal unberechenbar sein.