Ab 2026 sollen ja die Zertifikate abgelaufen sein, und Rechner mit Secure Boot nicht mehr hochfahren. Jetzt habe ich im UEFI-Bios nachgesehen und stelle fest, dass dort noch die "alten" Zertifikate mit Angabe "2011" sind. Die Prozedur zur Aktualisierung ist für mich derart undurchschaubar, dass ich hier einmal nachfragen möchte, was wohl das Beste wäre. Also: Microsoft schlägt vor: Erst einmal BIOS UEFI updaten. Möchte ich machen, aber dann verlangt die Herstellerseiteninfo ein vollständiges Motherboard Firmware Update. Geht da irgendetwas durch Fehleingabe schief, läßt sich das Motherboard nicht mehr ansprechen -> Schrott. Dann heißt es bei Microsoft: Updates für das BIOS und die Zertifikate werden schrittweise mit den monatlichen Updates und Patches ausgerollt. Man müsse nur ein Update von Februar 2024 schon besitzen, dann würde die BIOS-Updatefunktion automatisch laufen. Letzte Möglichkeit wäre natürlich Secure boot zu disablen. Microsoft sagt: Dann bekommt man keine Sicherheitsupdates mehr. Also. Was soll man tun? Abwarten und Tee trinken ist wohl keine Option. ciao gustav P.S.: Momentan steht in Ereignisanzeige zwar noch "...Der Softwareschutzdienst hat die Überprüfung des Lizenzierungsstatus abgeschlossen..." Aber spätestens ab 2026 kommt der große Crash, dem ich meinerseits vorbeugen möchte.
:
Bearbeitet durch User
Karl B. schrieb: > Aber spätestens ab 2026 kommt der große Crash, dem ich meinerseits > vorbeugen möchte. Ich kenne mich damit zwar nicht aus, aber für dich könnte Linux eine Alternative sein.
Mein Win10 sagt, dein Zeug ist zu alt für Win11! Ich nutze weiter meinen Verbrenner ;-)
Karl B. schrieb: > Man müsse nur ein Update von > Februar 2024 schon besitzen, dann würde die BIOS-Updatefunktion > automatisch laufen. Hast Du das gemacht?
Christian M. schrieb: > Mein Win10 sagt, dein Zeug ist zu alt für Win11! Ich nutze weiter meinen > Verbrenner ;-) Klar. Neues Motherboard Pro Z690-A DDR4 AMI BIOS 1.10.13.12.2021 viel zu alt, klar. Win 11 24H2 Build:26100.4946 Update: (KB5063878) (26100.4946) Alles in den Müll. https://learn.microsoft.com/de-de/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11 ciao gustav
Angehängte Dateien:
-
Secure_boot_Certs.jpg
79 KB -
Auf_Aus_Setzen.jpg
20 KB
Und weg mit dem neumodischen Schickschnack. ciao gustav
:
Bearbeitet durch User
Also, die Angst vor einem Bios-Update-Fehlschlag ist ein Risiko, das man eingehen kann. Wenn es einen gibt sollte man den einspielen, alleine schon für Sicherheitslückenaktualität und Microcodeupdates bzgl. Energieverbrauch und teilweise auch Brandgefahr. Das geht normal nicht schief, außer man hat Stromausfall in dem Moment, und moderne Boards haben eh ein Reservebios, das im Fehlerfall einspringt. Den Secureboot abzuschalten ist die beste Wahl wenn man Angst vor dem Fail des Signaturupdates hat, der ist dann nämlich egal. Allerdings gibt es mittlerweile Software die nur auf Securebootgeräten läuft... Das solche PCs allerdings keine Updates mehr bekämen wäre mir neu. Ich hab das auf allen Rechnern deaktiviert (schließlich soll auch Windows nicht am PC oder BIOS rumpfuschen) und habe die aktuellste Variante laufen.
Karl B. schrieb: > Ab 2026 sollen ja die Zertifikate abgelaufen sein, und Rechner mit > Secure Boot nicht mehr hochfahren. Hast Du dafür eine Quelle?
https://www.borncity.com/blog/2025/06/30/microsofts-uefi-secure-boot-zertifikat-laeuft-im-juni-2026-ab/ "... der Versuch Microsofts, das im Oktober 2026 auslaufende Zertifikat über Windows Update zu aktualisieren, ist gründlich schief gegangen" https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e
:
Bearbeitet durch User
Karl B. schrieb: > Letzte Möglichkeit wäre natürlich Secure boot zu disablen. > Microsoft sagt: Dann bekommt man keine Sicherheitsupdates mehr. Da bin ich mal gespannt. Ob Microsoft wohl vorhat, die digitale Autonomie weltweit zu fördern, indem unzählige Ämter völlig überraschend die Fähigkeit zu Windows-Updates verlieren? :)
:
Bearbeitet durch User
(prx) A. K. schrieb: > https://www.borncity.com/blog/2025/06/30/microsofts-uefi-secure-boot-zertifikat-laeuft-im-juni-2026-ab/ > > "... der Versuch Microsofts, das im Oktober 2026 auslaufende Zertifikat > über Windows Update zu aktualisieren, ist gründlich schief gegangen" Danke Dir! Naja, bis Oktober 2026 fließt noch sehr viel Wasser den Rhein herunter. Kein Grund, schon jetzt paranoid zu werden.
Jens M. schrieb: > Den Secureboot abzuschalten ist die beste Wahl wenn man Angst vor dem > Fail des Signaturupdates hat. der ist dann nämlich egal. Zweimal nein. Das Update kommt (bzw. kam schon) automatisch, und dann funktioniert es eben oder nicht. Das Abschalten von Secure Boot hat überhaupt keinen Einfluss auf irgendwelche Updates. Und nein, es ist nicht egal, wenn der BIOS-Inhalt wg. einem schiefgegangenem Update fehlerhaft ist.
:
Bearbeitet durch User
Rainer Z. schrieb: > Kein Grund, schon jetzt paranoid zu werden. Du erinnerst dich, wie überraschend für Ämter, Bundestage und wohl auch einige Unternehmen das sehr lange angekündigte Ende von Windows 7 kam? Mit heftigen Zusatzkosten für Verlängerung des Supports.
Rolf schrieb: > Das Abschalten von Secure Boot hat > überhaupt keinen Einfluss auf irgendwelche Updates. Das ist korrekt. Aber Windows schert sich nicht um das abgelaufene Zert wenn SB aus ist. Rolf schrieb: > Das Update kommt (bzw. kam schon) automatisch, und dann > funktioniert es eben oder nicht. Da war ja auch noch was mit "es ist kein Platz mehr im Flash, ach scheiß drauf, dann hat jeder Rechner halt zufällig andere Schlüssel drin, was solls". Ja, da gings um zurückgezogene/gesperrte Bootloader, aber das Windows einfach so die Schlüssel tauscht wird nicht überall funktionieren. Wäre das erste Mal das MS Software schreibt, die überall 100% klappt.
(prx) A. K. schrieb: > dann würde die BIOS-Updatefunktion > automatisch laufen. Ich würd niemals irgend einer Software erlauben, an meinem Bios rum zu pfuschen... Oder haftet Microsoft, wenn der Rechner im Anschluss daran nicht mehr hoch fährt?
Kurt schrieb: > Ich würd niemals irgend einer Software erlauben, an meinem Bios rum zu > pfuschen... Windows bittet nicht um Erlaubnis
Kurt schrieb: > (prx) A. K. schrieb: >> dann würde die BIOS-Updatefunktion >> automatisch laufen. Der Text stammt nicht von mir.
Kurt schrieb: > Oder haftet Microsoft, wenn der Rechner im Anschluss daran nicht mehr > hoch fährt? Durch Updates gebrickte Rechner kommen gelegentlich vor. Mir spukt in diesem Zusammenhang Fujitsu im Kopf herum. Kann vorkommen, dass der Hersteller oder Händler konziliant wird, wenn nicht Oma Müller vor der Tür steht, sondern ein grösseres Unternehmen. Wie Händler, Hersteller und Microsoft das dann untereinander klären, kriegt man üblicherweise nicht mit.
:
Bearbeitet durch User
Kurt schrieb: > Oder haftet Microsoft, wenn der Rechner im Anschluss daran nicht mehr > hoch fährt? Könnte schwierig sein, sich aus der Haftung rauszuwinden, wenn man den Update selbst erzwungen hat. Wie es bei Microsoft ja mittlerweile Usus ist.
:
Bearbeitet durch User
Jens M. schrieb: > Das geht normal nicht schief, außer man hat Stromausfall in dem Moment, > und moderne Boards haben eh ein Reservebios, das im Fehlerfall > einspringt. Ist das so? Auch wenn ich nicht mehr die Hand am Puls habe, so lese ich doch immer noch, aber dass die Rechner quasi ein "Basis-Bios" haben, ist mir neu.
Frank O. schrieb: > Ist das so? Wie verbreitet das ist weiss ich nicht, aber es gibt Geräte - mit 2 Banks für das Zeug, alternierend, - oder einem reduzierten Notfallsystem, das im Boot quasi blind auf bestimmte USB-Sticks reagiert.
:
Bearbeitet durch User
Würde, falls irgendwas wegen abgelaufenem Zertifikat nicht mehr funktioniert, helfen, die Uhrzeit (RTC) vorübergehend zur Reparatur zurückzustellen?
F. P. schrieb: > Würde, falls irgendwas wegen abgelaufenem Zertifikat nicht mehr > funktioniert, helfen, die Uhrzeit (RTC) vorübergehend zur Reparatur > zurückzustellen? Theoretisch vielleicht, nur darf die Kiste dann natürlich kein Netzwerk sehen.
(prx) A. K. schrieb: > das im Boot quasi blind auf > bestimmte USB-Sticks reagiert. Das wäre heute sinnvoll. Immerhin kannst du den Käfer nicht mehr ausbauen und in einen Programmer stopfen. Danke für diesen Hinweis!
(prx) A. K. schrieb: > Frank O. schrieb: >> Ist das so? > > Wie verbreitet das ist weiss ich nicht, aber es gibt Geräte > - mit 2 Banks für das Zeug, alternierend, > - oder einem reduzierten Notfallsystem, das im Boot quasi blind auf > bestimmte USB-Sticks reagiert. Es gibt auch welche mit Flash-Taste an der Rückseite, womit das Flashen von USB-Laufwerk gestartet wird (der Code dafür wird nicht überschrieben).
(prx) A. K. schrieb: > Rainer Z. schrieb: >> Kein Grund, schon jetzt paranoid zu werden. > > Du erinnerst dich, wie überraschend für Ämter, Bundestage und wohl auch > einige Unternehmen das sehr lange angekündigte Ende von Windows 7 kam? > Mit heftigen Zusatzkosten für Verlängerung des Supports. Aber ja. Und ich verstand auch nicht, weshalb "Ämter, Bundestage und wohl auch einige Unternehmen" es nicht geschafft haben, rechtzeitig auf eine neue Version umzusteigen. Tja, wer weiß, vielleicht ist der verlängerte Support sogar ökonomischer als eine Neuanschaffung und Aktualisierung des Systems? Aber um eine veraltete Windows-Version geht es hier nicht.
Rainer Z. schrieb: > Aber um eine veraltete Windows-Version geht es hier nicht. Sondern um Termine, die so lange ignoriert werden, bis dies akut in den Hintern kneift. Ob es dabei um die Version von Windows geht, oder die Version der Boot-Zertifikate, ist sekundär. Und in beiden Fällen geht es um Systeme, die nicht mehr aktualisiert werden können. Aber vielleicht ist es diesmal nur ein laues Lüftchen, das in der Breite keine Rolle spielt.
:
Bearbeitet durch User
Frank O. schrieb: > Ist das so? Ja ist mittlerweile üblich, mein Laptop hat auch ein Recovery Bios. T14 Gen 1 mit Ryzen 5 von Lenovo, geht das Update schief startet automatisch das Recovery und nach wenigen Minuten ist man bereits wieder mit der älteren Version arbeitsbereit.
(prx) A. K. schrieb: > Aber vielleicht ist es diesmal nur ein laues Lüftchen, das in der Breite > keine Rolle spielt. Wenn die im Hintergrund laufenden Update-Prozesse die neuen Keys nicht ins Rechner-Flash bekommt, ist der Rechner nach dem Ablaufdatum gebrickt, falls Secure Boot aktiv ist. Da das Thema aber seit Monaten durch alle einschlägigen Medien incl. Youtube geistert, sollte jeder einigermaßen helle Admin das auf dem Schirm haben. Oliver
:
Bearbeitet durch User
Jens K. schrieb: > Ich kenne mich damit zwar nicht aus, aber für dich könnte Linux eine > Alternative sein. Falls dein Linux auf einem Rechner mit Secure Boot läuft, wirst du im Fall des Falles eine böse Überraschung erleben. Microsoft bedeutet in dem Fall nicht Windows. Oliver
Jens K. schrieb: > Ich kenne mich damit zwar nicht aus, aber für dich könnte Linux eine > Alternative sein. Microsoft stellt auch Zertfikate für Fremd-OS wie Linux zur Verfügung. Ohne Zertifikate kein sicherer Boot.
Udo K. schrieb: > Jens K. schrieb: >> Ich kenne mich damit zwar nicht aus, aber für dich könnte Linux eine >> Alternative sein. > > Microsoft stellt auch Zertfikate für Fremd-OS wie Linux zur Verfügung. > Ohne Zertifikate kein sicherer Boot. Hier kann man den Status der Zertifikate überprüfen und updaten (habe ich nicht getestet): https://github.com/cjee21/Check-UEFISecureBootVariables#viewing-all-the-uefi-secure-boot-variables
Angehängte Dateien:
-
Update_failed.jpg
47 KB
(prx) A. K. schrieb: > Durch Updates gebrickte Rechner kommen gelegentlich vor. Mir spukt in > diesem Zusammenhang Fujitsu im Kopf herum. Yep. Gestern bei mir auch. Das Fuji Notebook reagiert mit: Hatte dreimal versucht "wiederholen": Gelblich unterlegtes PopUp: "Neuinstallation des Windows nötig..." Komisch: sfc scannow hat keine Fehler gefunden. Was ist da dann an Systemkomponenten kaputt? Und ja, Secure Boot ist enabled. Und, der Rechner läuft ja noch. Dasselbe Update klappte aber beim "großen" Desktop PC. Der Win 10 Rechner ließ sich gestern auch (noch) problemlos updaten. ciao gustav
:
Bearbeitet durch User
Oliver S. schrieb: > Wenn die im Hintergrund laufenden Update-Prozesse die neuen Keys nicht > ins Rechner-Flash bekommt, ist der Rechner nach dem Ablaufdatum > gebrickt, falls Secure Boot aktiv ist. So? "Gebrickt" bedeutet in diesen Kontext, dass der Rechner wie ein Ziegelstein (brick) ist: Ein handliches, totes Stück Material, mit dem man praktisch nichts mehr anfangen kann, außer es in die Hand zu nehmen und wegzuwerfen. AFAIK wurde dieser Begriff ursprünglich für Handys benutzt, bei denen das Rooten nicht geklappt hat. In unserem Fall schaltet man einfach Secure Boot ab, dann läuft der Rechner wieder. Er wird also nicht zum Brick.
Mainboards sind inzwischen wirklich sicher, was Bios-Updates angeht. Diese tief verwurzelte Urangst aus 486er-Zeiten kann man hinter sich lassen. Bei manchen Boards lässt sich das Bios sogar ohne CPU, ohne gesteckten RAM und mit ausgeschaltetem Netzteil (Also nur 5Vsb) flashen. USB-Stick in den richtigen Port, Knöpfchen drücken, warten bis das Blinken aufhört, fertig.
Frank O. schrieb: > Auch wenn ich nicht mehr die Hand am Puls habe, so lese ich > doch immer noch, aber dass die Rechner quasi ein "Basis-Bios" haben, ist > mir neu. Gibt verschiedenes, schon seit Jahrzehnten. Automatisches Dualboot, manuelles (mit Brücke, mit 5x Abwürgen, und und und), Hilfsbiosdings mit "Stick mit bestimmter Datei in bestimmten Port stecken". Und normalerweise sind Biosupdates heute a) Windowsprogramme und b) beinahe tägliches Geschäft, nicht wie früher Boot-irgendwasse mit Kommandozeile. Lenovo updated das BIOS über den normalen Lenovo-Updater, beinah jeden Monat. Karl B. schrieb: > Gelblich unterlegtes PopUp: > "Neuinstallation des Windows nötig..." Evtl. musst du den Patch nur manuell installieren.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.