Neue Secure Boot Zertifikate Lenovo sagt JA ?

[Chri5]

Hallo zusammen,

meine Hardware:

ThinkPad T14 Gen1 AMD
1x AMD Ryzen 7 PRO 4750U Processor(Ryzen 7 PRO 4750U)
1x AMD Radeon Graphics
16GB RAM
1x 256GBPCIeNVMeOP

Auf meinem T14 Gen 1 sind noch die alten Secure Boot Zertifikate.
Eine Suche auf der Hersteller Seite ergab, dass Lenovo jedoch auch die ältere Generation bis zu bestimmen Modellreihen mit den neuen Zertifikaten unterstützen möchte....zumindest lese ich das so heraus ;-)

Folgende Info von Lenovo:

Ablauf des Microsoft Secure Boot-Zertifikats 2011 – Lenovo Commercial PCs

Bitte die Seite auf englische darstellen lassen, da in der übersetzten deutschen Seite keine Liste der Modell Reihe angezeigt wird.

Wie man dort sehen kann, wird die T14 Gen1 Reihe für AMD und INTEL mit einem BIOS bedacht, welches die neuen Zertifikate für KEK CA 2011, PCA 2011 und CA 2011 einspielen soll.

In meinem Fall:

T14 Gen 1 AMD 20UD, 20UE R1BET85W (v1.54)

Kurioserweise zeigt der Link zur v1.54 jedoch nur alle Versionen bis 1.53 an:

Verlinkte BIOS Versionen für das Modell

Eine 1.54 wird auf der Produktseite nirgendwo erwähnt.

Die Frage ist nun, warum teilt Lenovo auf der Seite zum Thema Secure Boot Zertifikat, für die T14er Reihe eine BIOS in Version 1.54 mit, aber gibt für diese auf der verlinkten Produktseite keine genaueren Infos zum Stand?

Soll das nun noch etwas kommen oder bleibt die T14er Reihe hier außen vor ?

Was passiert eigentlich mit den Windows Installationen, die mit Secure Boot unter den alten Zertifikaten erstellt wurden ab Juli 26?


Habt ihr zum erwähnten 1.54 Update irgendwelche Infos?



Danke im Voraus.

 

[bodu]

Auf welche Zertifikate bezieht diese sich ?

Das sollten die dbx Tabelle sein.

Im Übrigen hatte ich heute auch wieder das gleiche Problem im BIOS:

Sobald ich auf Security--> Secure Boot --> Key Management gehe, friert mir das BIOS ein.
Ich muss das System neu booten, das BIOS auf Default setzen und Restore Factory Keys ausführen.
Danach kann ich ganz normal in Pfad Security--> Secure Boot --> Key Management einsteigen.

Das ist kein vertrauenswürdiger Zustand. Ein einfacher Reset ist damit in Zukunft auf dem Laptop nicht möglich (Reset CA 2011 und CA 2023 aktiv, von da wieder konfigurierbar). Das führt zu unnötigem Streß.
An der Stelle würde ich abbrechen, und auf ein neues BIOS Update von Lenovo warten.

Wenn man manuell den Reg Wert " HYLMA\SYSTEM\CurrentControlSet\Control\SecureBoot\AvailableUpdates 0x5944 "
gesetzut hat. Einmal das System neu booten und dann per PowerShell den Force Befehl absetzen?

Dann lange warten oder auf der IT-managed Seite bei 'Device testing using registry keys' - sprich zum testen eines Gerätes.

Registry key updates for Secure Boot: Windows devices with IT-managed updates - Microsoft Support

support.microsoft.com

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Manually reboot the system when the AvailableUpdates becomes 0x4100
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

 

[Chri5]

Das ist kein vertrauenswürdiger Zustand. Ein einfacher Reset ist damit in Zukunft auf dem Laptop nicht möglich (Reset CA 2011 und CA 2023 aktiv, von da wieder konfigurierbar). Das führt zu unnötigem Streß.
An der Stelle würde ich abbrechen, und auf ein neues BIOS Update von Lenovo warten.

Ich hatte vorhin diesbezüglich extra ein Downgrade auf 1.52 durchgeführt ( und dabei bemerkt das Lenovo das Bios Update enorm verkompliziert...auf BOOT CD Basis ).
Der beschriebene Fehler war sogar unter 1.52 vorhanden. Scheint also nichts Neues zu sein.

Mich hatte dann nur gewundert, dass nach dem ersten Start ins Windows und einen drauffolgenden Reboot, das System ein BIOS Health durchgeführt und wieder 1.53 installiert hat.
Das System und der Rest läuft wie gesagt bisher stabil aber der erste Start ins Bios zum Key-Management ....da hängt sich das BIOS auf und ich muss mit BIOS default wieder neu rein...dann geht es.
Mir ist da auch kein technischer Auslöser bekannt !?!?!
Im Netz war dazu leider auch nichts zu finden.


"Falls hier noch jemand ein ThinkPad T14 Gen1 AMD hat ...bitte einmal synchron testen"


Du meisnt also der Reg Eintrag bringt hier auch kein schnelleres Ergebnis und ich soll aud das nächste BIOS warten ?

 

[Mornsgrans]

Der beschriebene Fehler war sogar unter 1.52 vorhanden. Scheint also nichts Neues zu sein.

Dann gehe eher davon aus, dass da etwas gewaltig schief gelaufen ist. Entweder das CMOS RAM oder BIOS EEPROM, wenn es nicht an der EFI-Partition liegt - das müssen aber andere diagnostizieren, die sich damit besser auskennen.

 

[bodu]

Du meisnt also der Reg Eintrag bringt hier auch kein schnelleres Ergebnis und ich soll aud das nächste BIOS warten ?

Ist das dein Hauptrechner? Ist das ein unwichtiger Zweit-Drittrechner? Gibt es ein Datenbackup, und falls Bitloccker venwendet wird, ist dier Wiederherstellungschlüssel greifbar?

Wie Experimentierfreudig bist du? Im Bereich secure boot verhält sich das UEFI aktuell seltsam, und in dem Bereich sollen Änderungen gemacht werden. Das Ergebnis ist offen, im Bereich bis zu Laptop nicht mehr startbar.
Ein Ansatz: versuche den Reg Eintrag mit .den Tasks start.
Bei besonderen Problemen kannst du hoffentlich Secure Boot (temporär) ausschalten und booten. Von da geht es dann wieder weiter.
Mit dem Reg Eintrag werden Änderungswünsche an das UEFI gegeben, was das UEFI mit den Anfragen macht wird spannend.

 

[stetze88]

Bei uns sind leider einige der alten ThinkCentre etwas widerspenstig.
Es scheint jedoch zu helfen, an den Geräten die Keys auf Standard zurückzusetzen. Schade das das nicht Remote geht.
Sofern jemand auch das Problem hat...

 

[bodu]

Bei uns sind leider einige der alten ThinkCentre etwas widerspenstig.

Ich bin gespannt, wie die durchschnittliche automatische Umsetzung bis Ende des Jahres aussieht.
Ja, leider sind manuelle Eingriffe notwendig, falls etwas klemmt.

Bei noch älteren ThinkCentre gab es historisch eine Unachtsamkeit/Vereinfachung, ein Test PK Platform Key wurde verteilt.
2016 wurde das mit BIOS Update gefixt, Rechner in der Liste mit noch älteren BIOS bekommen automatisch kein CA 2023.

https://support.lenovo.com/de/de/product_security/ps500067-certain-bios-versions-may-include-an-ami-test-key-that-could-compromise-secure-boot-protections

Falls ein SVN Secure Version Number auftritt (SVN 7 im UEFI und SVN 2 auf der Festplatte, der Fehler saß vor dem Rechner):
Von aktuellem Windows ISO booten (die .esd Dateien werden aktuell monatlich aktualisiert)

mountvol S: /S
copy s:\efi\microsoft\boot\bcd bcd.%random%.bak
bcdboot X:\windows /s S: /f UEFI  /bootex /offline

'/bootex /offline' überschreibt nicht die bcd Datei, ein Backup ist immer nett.

 

[johnnyra]

Kein lenovo gerät, trotzdem ist mir so ein update wie heute rein kam, zuvor noch nie aufgefallen, hab vielleicht auch nie drauf geachtet. Mal sehen was morgen beim starten passiert...

 

[bodu]

Mit dem Windows 11 März 2026 Update wurde 'Get-SecureBootUEFI -decode' ergänzt, die Ausgabe wird im Klartext dargestellt.
Für einen Eindruck sind keine externe scripte notwendig.

Get-SecureBootUEFI -name KEK -decode
Get-SecureBootUEFI -name DB -decode

Die CA 2023 Umsetzung ist weiter im Gange, es werden kleine Schritte gemacht.

Hier Infos zur HighConfidenceBucket Einstufung.

Ein genauerer Blick auf die Datenbank mit hoher Zuverlässigkeit - Microsoft-Support

support.microsoft.com

secureboot_objects/HighConfidenceBuckets/README.md at main · microsoft/secureboot_objects

Secure boot objects recommended by Microsoft. Contribute to microsoft/secureboot_objects development by creating an account on GitHub.

github.com

26821 'Thinkpad' Einträge in den HighConfidenceBuckets_*.csv Dateien, 16 Einträge für 'Thinkpad T530'.
Und 0 Einträge für 'Thinkpad T520', o.k. das passt, damals gab es SecureBoot noch nicht.
Es spricht viel dafür, dass Thinkpads KEK und DB updates automatisch über Windows Update erhalten.

 

[Mornsgrans]

Im Wiki ergänzt (zweite Hälfte des Abschnitts).

 

[ThomasOe]

https://www.heise.de/news/Update-St...ikate-in-Windows-Sicherheit-App-11246648.html

https://www.deskmodder.de/blog/2026...b-8-april-den-status-des-boot-zertifikats-an/

 

[stetze88]

Was passiert eigentlich mit Geräten, welche nicht rechtzeitig aktualisiert werden bzw. wenn Ich im Juli z.B. ein gebrauchtes ThinkPad kaufe wo sich der Vorbesitzer nicht um ein Update gekümmert hat? Kann man die Zertifikate dann nachträglich noch aktualisieren?

 

[Mornsgrans]

Die Zertifikate befinden sich in den Update-Ketten von Lenovo (BIOS) und MS.

 

[johnnyra]

Ich glaube die Frage war dahingehend, ob das gerät überhaupt bootet

 

[stetze88]

Booten tun die Geräte laut Microsoft ja weiterhin, soweit Ich es verstanden habe.
Wie sieht es aber beispielsweise mit einer Neuinstallation von Windows 11 aus? Wir kaufen jetzt beispielsweise ein T480 mit Windows 10 oder einem Linux. Der Verkäufer hat das Gerät seit Jahren nicht mehr angehabt. Nun kaufe Ich es und möchte mit einem neuen Windows 11 Boot Stick, Windows 11 installieren. Die neuen Zertifikate sind dann ja auch nicht vorhanden / aktiviert.

 

[Mornsgrans]

Erst das neueste BIOS einspielen, das enthält die neuen Zertifikate. - Je nach Methode vom USB-Stick oder aus dem frisch installierten Windows heraus.

 

[stetze88]

Ok, danke für die schnelle Rückmeldung. Dann ist das ja alles nicht weiter schlimm. Selbst nach dem Ablauf der Zertifikate ist der Aufwand minimal höher aber stellt eigentlich kein Problem dar.

 

[bodu]

Ein T460p markierte ich: Finger weg, nicht manuell konfigurieren, nur Windows Update.
Das Gerät wird von Lenovo kein CA 2023 Zertiikat bekommen.

Es gab auf dem T460p von meiner Seite keine manuelle Einstellung Richtung CA 2023.

Als Endanwender bekam ich von einer Umstellung nichts mit.
Es gab mal eine Rückfrage zu einem KEK Neustart, die Meldung verstehe ich auf Endanwenderniveau nicht, startete den Lapto neu und alles war wieder gut.

Technisch aktivierte Windows Update in den letzten Tagen CA 2023 Boot.
Ereignisanzeige 1808
Dieses Gerät hat die Zertifizierungsstelle/Schlüssel für den sicheren Start aktualisiert.
UpdateType: Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023, Boot Manager (2023)

Der T460p bootet vom Windows UEFI CA 2023 signierten Boot Manager.

Schlecht: auf Endanwenderniveau bekam ich keinen Hinweis, die Bootmedien auf CA 2023 zu aktualisieren. o.k. die Meldung hätte ich eh nicht verstanden.


PCA 2011 wurde noch nicht in die DBX aufgenommen, das ist unter der Erzwingungsphase KB5025885 dokumentiert.
Es gibt noch keinen Termin, ab dem sechs Monate später die PCA 2011 automatisiert in die DBX aufgenommen wird und SVN gesetzt.

Verwalten der Windows-Start-Manager-Sperrungen für Änderungen des sicheren Starts im Zusammenhang mit CVE-2023-24932 - Microsoft-Support

support.microsoft.com

 

[linrunner]

Linux Usern, die ihr BIOS per LVFS (fwupdmgr) updaten, empfehle ich vor einem "Restore the Factory Keys" (in Security -> Secure Boot) erstmal im "Key Management" nachzuschauen. Ich habe vorgestern mein P14s Gen2 AMD auf 1.33 upgedatet und alle 2023er Keys sind ohne weitere Aktion da. Egal was Lenovo da (vorsichtigerweise) schreibt. Beim X1 Gen9 BIOS 1.76 hab ich die vorherige Prüfung leider verpasst und den Key-Restore einfach gemacht.

Von "Reset to Factory Defaults" bei BIOS Updates rate ich Linux-Usern generell ab. Es sei denn, ihr habt Spass daran, jedesmal sämtliche Linux-Boot-Einträge per Livesystem+chroot wiederherzustellen.

 

[fakiauso]

Ich habe vorgestern mein P14s Gen2 AMD auf 1.33 upgedatet und alle 2023er Keys sind ohne weitere Aktion da.

Dito - m.E. wird da aber sogar im Terminal angezeigt, dass die Key-Datenbank aktualisiert wird. Hat jedenfalls bei mir unter Manjaro auf einem P15 G2 und dem X13 irgendwas unter EndeauvourOS problemlos funktioniert. Ich halte das Ganze nach wie vor für ein eher künstlich aufgebauschtes Thema, welches sich gut für Clickbait eignet.

 

[Mornsgrans]

Man muss halt schauen, wie es im T480 aussieht. laut BIOS-Simulator gibt es die beiden Punkte

"Restore the Factory Keys" (in Security -> Secure Boot) ... "Key Management"

nicht.