Secure Boot Violation

Question

Hallo,

als ich heute den CSL Unity F27-ALS, der mit Windows 11 ausgeliefert wurde, eingeschaltet habe, hat er mich mit der "Secure Boot Violation, Invalid signature detected, Check Secure Boot Policy in Setup" Meldung überrascht.

Wodurch ist die Signatur ungültig geworden?

Heißt ungültig dass sie beschädigt wurde oder ist sie zeitlich abgelaufen und muss z.B. durch ein Zertifikat erneuert werden?

Ich könnte im BIOS (Aptio Seup Utility von American Megatrends) Secure Boot ausschalten oder im Windows Boot Menü die "Erzwingung der digitalen Treibersignatur deaktivieren", aber das ist nicht zielführend, da Windows dann nicht mehr geschützt wird.

Ohne dass ich etwas gemacht habe, startet Windows jetzt.

Vielleicht hat mein Fall mit dem "Secure Boot Allowed Key Exchange Key Update", kurz KEK zu tun?

PS C:\WINDOWS\system32> [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
True

Vielen Dank im Voraus.

Externe Links zum Thema Secure Boot Allowed Key Exchange Key Update", kurz KEK

• Ablauf des Windows Secure Boot-Zertifikats und Updates der Zertifizierungsstelle - Microsoft-Support
• Windows Secure Boot-Zertifikate: Microsoft erklärt Austauschprozess
• Secure Boot Startzertifikate in Windows 11 aktualisieren
• Windows Secure Boot: Zertifikate erneuern - COMPUTER BILD

Answer 1

Diese Antwort wurde automatisch übersetzt. Daher können grammatikalische Fehler oder ungewöhnliche Formulierungen vorkommen.

---

Hallo Christian Haller,

Ich verstehe, wie beunruhigend es ist, plötzlich eine Secure-Boot-Verletzungsmeldung auf einem vorkonfigurierten Windows-11-System zu sehen, insbesondere da Sie unsichere Workarounds vermeiden möchten. Um Ihre Fragen direkt zu beantworten:

Die Signatur war nicht beschädigt und auch nicht abgelaufen, sodass sie nicht wie ein normales Zertifikat erneuert werden musste. Unter Windows 11 erscheint diese Meldung meist, wenn die UEFI-Secure-Boot-Schlüssel vorübergehend nicht synchronisiert sind.

Wahrscheinlich wurde der Secure-Boot-Schlüssel (PK/KEK/DB) aktualisiert, entweder durch ein Firmware-Update oder durch Windows Update. Während solcher Übergänge kann die Firmware die Bootloader-Signatur kurzzeitig nicht validieren, obwohl sie noch gültig ist.

In diesem Zusammenhang bedeutet „ungültig“ nicht beschädigt oder kompromittiert. Es bedeutet lediglich, dass die Firmware die Signatur in diesem Moment nicht mit den geladenen Schlüsseln verifizieren konnte.

Dies deckt sich mit Ihrer Annahme bezüglich KEK-Updates. Microsoft hat die Windows-Startsignatur auf Windows UEFI CA 2023 umgestellt. Während dieser Migration kann die Firmware die Signatur ablehnen, bis die Schlüsseldatenbanken vollständig abgeglichen sind.

Ihre PowerShell-Ausgabe, die Windows UEFI CA 2023 bestätigt, zeigt an, dass die korrekte Vertrauenskette nun vorhanden ist. Dies erklärt auch, warum Windows wieder normal startet. Solange Secure Boot im UEFI aktiviert ist und das System nun normal startet, sind keine weiteren Maßnahmen erforderlich.

Nur wenn dieser Fehler bei jedem Start auftritt und Windows nicht startet, wäre das Zurücksetzen der Secure-Boot-Schlüssel auf die Werkseinstellungen im UEFI der nächste empfohlene Schritt.

Ich weiß, dass diese Meldung beunruhigend ist, aber Ihrer Beschreibung zufolge gibt es keine Hinweise auf Beschädigung, Ablauf oder eine Sicherheitslücke.

---

Wenn Ihnen die Antwort geholfen hat, klicken Sie bitte auf „Antwort akzeptieren“ und geben Sie ihr ein positives Feedback. Bei weiteren Fragen zu dieser Antwort klicken Sie bitte auf „Kommentar“.

Hinweis: Folgen Sie den Schritten in unserer Dokumentation, um E-Mail-Benachrichtigungen zu aktivieren, falls Sie die zugehörige E-Mail-Benachrichtigung für diesen Thread erhalten möchten.