cj_berlin 1.580 Geschrieben 18. März Melden Geschrieben 18. März vor 12 Stunden schrieb phatair: Wird der current store z.b. bei einer Neuinstallation von Windows neu aus dem default store erzeugt? Normalerweise nicht, aber Firmware wurde ja auch nur von Menschen* geschrieben. Es kann also passieren, dass irgendwas beschädigt wird. Manche UEFI-Varienten haben sogar ein Fallback-Verhalten für Secure Boot, wonach sie automatisch die Default Stores probieren, wenn die Verifizierung mit den Runtime Stores fehlschlägt. * heutzutage muss man ja sagen, "oder, schlimmer noch, NICHT von Menschen"
phatair 47 Geschrieben 18. März Autor Melden Geschrieben 18. März vor 4 Stunden schrieb cj_berlin: * heutzutage muss man ja sagen, "oder, schlimmer noch, NICHT von Menschen" Wohl wahr Ich habe aber doch noch mal eine Frage zum Ablauf der Zertifikate. Laut MS laufen die Zertifikate wie folgt ab Bedeutet das jetzt, das man bis Juni 2026 alle Clients aktualisiert haben muss, da das Zertifikat danach nicht mehr getauscht/installiert werden kann (da das alte Zertifikat abgelaufen ist und ihm nicht mehr vertraut wird) oder hat das mit dem Austausch/Installation des 2023er Zertifikats erstmal weniger zu tun? Wir haben zwar den Prozess definiert und er funktioniert, trotzdem ist es viel Arbeit und ich bezweifele gerade etwas, dass wir den Juni halten können. Stehen wir dann im Juli vor dem Problem, dass der Austausch der Zertifikate nicht mehr geht oder geht das auch nach dem Juni, nur sind die entsprechenden Geräte eben durch MS nicht mehr aktualisierbar (Boot Manager), wenn die Zertifikate zum tragen kommen. Danke euch schon mal.
cj_berlin 1.580 Geschrieben 18. März Melden Geschrieben 18. März Moin, nach allem, was bisher bekannt ist, und ich hatte auch schon versucht, die Uhr nach vorne zu stellen, kannst Du das Update auch in 2027 noch vornehmen. Im Bereich PK + KEK wird auf die Zeit eh nicht geachtet, denn zur Einschaltzeit ist die gute Uhr ja nicht garantiert, aber auch im weiteren Boot-Prozess wird nur das Vertrauen geprüft und nicht die Gültigkeit. Was halt nach Ablauf nicht mehr regulär geht, ist eine neue Signatur zu erzeugen. Aber auch das kann mit verdrehter Uhr umgangen werden. 1
spooner 11 Geschrieben 15. Mai Melden Geschrieben 15. Mai Hallo Zusammen, wir haben einige Server im Einsatz und leider musste ich mit Erschrecken feststellen, dass bei vielen Secureboot aktiv ist. Es sind sowohl physikalische wie auch auch Hyper-V VMs betroffen. Bisher finde ich keine wirklich gute Anleitung was zu tun ist. Bei Physischen-Systemen steht immer, das man zuerst ein BIOS Update installieren soll, sofern verfügbar. Und dann steht mal etwas von Registry Key die man setzen soll und anschließend PowerShell Befehle. Andere schreiben irgendein Github Script ausführen, aber davon bin ich kein Freund. Hab ihr eine gute Schritt für Schritt Anleitung was zu tun ist? In PowerShell (als Admin ausführen) Confirm-SecureBootUEFI und ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023') usw. Gruß Arthur
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden