phatair 46 Geschrieben 16. Januar Melden Geschrieben 16. Januar Hallo zusammen, Im Juni bzw. Oktober 2026 laufen ja die Secure Boot Zertifikate aus. Microsoft hat dazu ja einige Informationen bereitgestellt. Unter anderem hier, hier und hier. Das Vorgehen ist mir aber irgendwie immer noch nicht wirklich klar. Zum einen muss ich sicherstellen, dass der OEM Hersteller der Clients ein BIOS Update bereitstellt, in dem das notwendige Zertifikat enthalten ist, richtig? Zu anderen muss ich in Windows Zertifikate tauschen. Das kann entweder per Windows Update passieren (wenn die Diagnosedaten eingeschaltet sind) oder muss manuell (per GPO/RegKey) durchgeführt werden, richtig? Vielleicht habt ihr das Thema bei euch schon durch oder schon eigene Erfahrungen gemacht und könnt mir Tipps zum Vorgehen geben bzw. mein Vorgehen kurz bestätigen. Das wäre sehr hilfreich. Mein Vorgehen wäre jetzt erstmal, dass ich per Script auf allen Geräten prüfen lassen ob der Secure Boot eingeschaltet ist und ob das neue Zertifikat im BIOS/UEFI schon enthalten ist. Habt ihr da ein Script was mir z.B. in ein Log File diese Info schreibt? Ich habe folgendes Script gefunden, aber das schreibt kein Log. Oder wie könnte ich den Output des Scripts in ein File schreiben lassen? https://github.com/cjee21/Check-UEFISecureBootVariables Wenn das erledigt ist, muss ich doch nur noch in Windows die Zertifikate aktualisieren lassen. Dies kann ich mit diesen GPO Einstellungen regeln, richtig? Für Hilfe wäre ich sehr dankbar. Grüße
phatair 46 Geschrieben 20. Januar Autor Melden Geschrieben 20. Januar Ich hake hier noch mal ein, da ich den ersten Beitrag nicht mehr ändern kann. Kann es sein, dass es gar nicht zwingend notwendig ist, dass man die BIOS/UEFI Updates einspielen muss um das neue Zertifikat im UEFI zu erhalten? Ich habe auch gelesen, dass dies von MS (wenn genügend Telemetriedaten vorliegen) gemacht wird. Ich dachte das bezieht sich immer nur auf die Zertifikate in Windows. Hat niemand bisher Erfahrung mit dem Workflow bzw. den Prozess vielleicht etwas besser verstanden als ich?
phatair 46 Geschrieben vor 4 Stunden Autor Melden Geschrieben vor 4 Stunden Falls sich hier noch jemand mit dem Thema beschäftigt. Folgendes Vorgehen klappt nun bei uns problemlos. Wir setzen nur DELL Hardware ein und updaten die BIOS/Treiber automatisiert. Diagnose Daten sind bei uns deaktiviert und Clients erhalten Updates über den WSUS. 1. BIOS Update durchführen 2. Secure Boot Update über GPO aktivieren 3. Client installiert die notwendigen Zertifikate und nach 2 Reboots bzw. 2 Läufen des Schedule Tasks ist das Boot Manager Zertifikat und alle notwenigen anderen Zertifikate gesetzt. Alle wichtigen RegKeys sind hier zu finden HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot Der Schedule Task ist hier zu finden \Microsoft\Windows\PI -> Secure-Boot-Update Geholfen hat dieses Script zum auswerten und um mögliche DBX Aktualisierungen vorzunehmen. Check UEFI PK, KEK, DB and DBX.cmd Check Windows state.cmd Apply DBX update.cmd Infos zu den Reg Werte, GPOs und EventLogs Die Auswertung welche Clients alle erfolgreich aktualisiert sind erfolgt dann per Docusnap und über unser Client Management System, in dem wir die entsprechenden RegKeys auswerten. Viel Erfolg 2 2
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden