Neue Secure Boot Zertifikate Lenovo sagt JA ?

C

Chri5

New member
Themenstarter
Registriert
12 Feb. 2026
Beiträge
12
Hallo zusammen,

meine Hardware:

ThinkPad T14 Gen1 AMD
1x AMD Ryzen 7 PRO 4750U Processor(Ryzen 7 PRO 4750U)
1x AMD Radeon Graphics
16GB RAM
1x 256GBPCIeNVMeOP

Auf meinem T14 Gen 1 sind noch die alten Secure Boot Zertifikate.
Eine Suche auf der Hersteller Seite ergab, dass Lenovo jedoch auch die ältere Generation bis zu bestimmen Modellreihen mit den neuen Zertifikaten unterstützen möchte....zumindest lese ich das so heraus ;-)

Folgende Info von Lenovo:

Ablauf des Microsoft Secure Boot-Zertifikats 2011 – Lenovo Commercial PCs

Bitte die Seite auf englische darstellen lassen, da in der übersetzten deutschen Seite keine Liste der Modell Reihe angezeigt wird.

Wie man dort sehen kann, wird die T14 Gen1 Reihe für AMD und INTEL mit einem BIOS bedacht, welches die neuen Zertifikate für KEK CA 2011, PCA 2011 und CA 2011 einspielen soll.

In meinem Fall:

T14 Gen 1 AMD20UD, 20UER1BET85W (v1.54)

Kurioserweise zeigt der Link zur v1.54 jedoch nur alle Versionen bis 1.53 an:

Verlinkte BIOS Versionen für das Modell

Eine 1.54 wird auf der Produktseite nirgendwo erwähnt.

Die Frage ist nun, warum teilt Lenovo auf der Seite zum Thema Secure Boot Zertifikat, für die T14er Reihe eine BIOS in Version 1.54 mit, aber gibt für diese auf der verlinkten Produktseite keine genaueren Infos zum Stand?

Soll das nun noch etwas kommen oder bleibt die T14er Reihe hier außen vor ?

Was passiert eigentlich mit den Windows Installationen, die mit Secure Boot unter den alten Zertifikaten erstellt wurden ab Juli 26?


Habt ihr zum erwähnten 1.54 Update irgendwelche Infos?



Danke im Voraus.
 
Zuletzt bearbeitet von einem Moderator:
linrunner schrieb:
vor einem "Restore the Factory Keys" (in Security -> Secure Boot) erstmal im "Key Management" nachzuschauen. Ich habe vorgestern mein P14s Gen2 AMD auf 1.33 upgedatet und alle 2023er Keys sind ohne weitere Aktion da. Egal was Lenovo da (vorsichtigerweise) schreibt
Zum Vergrößern anklicken....
Die neuen Keys sollen mit 1.33 in den default Tabellen enthalten sein. https://support.lenovo.com/de/de/solutions/ht518129

So ganz verstehe ich den Ablauf vorgestern nicht. Kannst du das klarstellen?
Waren die 2023er Keys nach fwupdmgr ohne weitere Aktion in den aktiven Tabellen?
Waren die 2023er Keys nach "Restore the Factory Keys" (in Security -> Secure Boot) in den aktiven Tabellen?
 
bodu schrieb:
Waren die 2023er Keys nach fwupdmgr ohne weitere Aktion in den aktiven Tabellen?
Zum Vergrößern anklicken....
Ja. Streng genommen lagen natürlich zwei Reboots dazwischen. Der erste fürs Update selbst. Der zweite um aus dem neu gestarten System wieder ins BIOS zu gelangen um nachzuschauen.
 
Ich hab ein P16s Gen 1 AMD hier, das hatte noch nicht das Zertifikat, Windows 11 ohne Secure Boot installiert und BIOS Updates etc. mit deaktiviertem Secure Boot durchgeführt.

Im Anschluss ist mir aufgefallen, dass ich das noch ausgeschaltet hatte.
Windows 11 meldet seither, dass Secure Boot mit alten Zertifikat aktiv ist, aber noch Daten gesammelt werden müssen, bevor es das Zeritifkat tauscht.
Das 2023er Zertifikat war noch immer nicht im Store, trotz BIOS Update auf 1.62.
Ich hätte erwartet, dass es das Zertifikat mit reinpumpt, auch wenn Secure Boot deaktiviert ist, schade.

Habs mal manuell hinzugefügt...
 
linrunner schrieb:
Der erste fürs Update selbst. Der zweite um aus dem neu gestarten System wieder ins BIOS zu gelangen um nachzuschauen.
Zum Vergrößern anklicken....
Hier am T16 Gen2 zeigt das UEFI Key Management die aktiven Zertifikate an, die aus dem NVRAM.
Die default Tabelle (factory - die vom UEFI Update verteilten) sehe ich nicht im UEFI Key Management.

Wenn ich das richtig verstehe, schreibt fwupd auch Zertifikate.

FwupdPlugin: UEFI Secure Boot Certificates

Reference for FwupdPlugin-1.0: UEFI Secure Boot Certificates
fwupd.github.io

Beim genannten UEFI Update ist mir unklar, welche Zertifikate stammmen vom UEFI Update, welche Zertifikate wurden eventuell von fwupd aus der default Tablle zur aktuellen Tablle hinzugefügt? Oder von fwupd selbständig geschrieben.

Gibt es zufällig etwas in der Richtung?
/sys/firmware/efi/efivars/dbDefault-*
/sys/firmware/efi/efivars/db-*

Herr Moehre schrieb:
P16s Gen 1 AMD - Windows 11

Habs mal manuell hinzugefügt...
Zum Vergrößern anklicken....
Kannst du die aktuelle Situation zum P16s Gen1 AMD nennen?
Code: 
(Get-SecureBootUEFI -Name DB -Decode).Subject
(Get-SecureBootUEFI -Name DBdefault -Decode).Subject
 
@bodu Sicher doch:

PS C:\WINDOWS\system32> (Get-SecureBootUEFI -Name DB -Decode).Subject
CN=ThinkPad Product CA 2012, O=Lenovo Ltd., L=Yokohama, S=Kanagawa, C=JP
CN=Lenovo UEFI CA 2014, O=Lenovo, S=North Carolina, C=US
CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
CN=Windows UEFI CA 2023, O=Microsoft Corporation, C=US
Zum Vergrößern anklicken....


PS C:\WINDOWS\system32> (Get-SecureBootUEFI -Name DBdefault -Decode).Subject
CN=ThinkPad Product CA 2012, O=Lenovo Ltd., L=Yokohama, S=Kanagawa, C=JP
CN=Lenovo UEFI CA 2014, O=Lenovo, S=North Carolina, C=US
CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
CN=Windows UEFI CA 2023, O=Microsoft Corporation, C=US
CN=Microsoft UEFI CA 2023, O=Microsoft Corporation, C=US
Zum Vergrößern anklicken....

Ebenfalls zeigt das BIOS mir die 2023er Keys nun an, die kann ich auflisten.

Da das P16s nur kurzzeitig immer mal läuft, nehme ich an, ist das noch normal, auch die alten Keys sind noch hinterlegt.
Ich habe keine neuen Windows Updates seit Aktivierung von Secure Boot installiert, ggfls. schwenkt das zu den April Updates, die Dienstag kommen um:

1775888537501.png
 
bodu schrieb:
Beim genannten UEFI Update ist mir unklar, welche Zertifikate stammmen vom UEFI Update, welche Zertifikate wurden eventuell von fwupd aus der default Tablle zur aktuellen Tablle hinzugefügt? Oder von fwupd selbständig geschrieben.

Gibt es zufällig etwas in der Richtung?
/sys/firmware/efi/efivars/dbDefault-*
/sys/firmware/efi/efivars/db-*
Zum Vergrößern anklicken....
Ich hab mich mit dem Innenleben der Updates nicht beschäftigt.
sudo ls -l /sys/firmware/efi/efivars/dbDefault-* /sys/firmware/efi/efivars/db-*
ls: cannot access '/sys/firmware/efi/efivars/dbDefault-*': No such file or directory
-rw-r--r-- 1 root root 9150 10. Apr 16:24 /sys/firmware/efi/efivars/db-d719b2cb-3d3a-4596-a3bc-dad00e67656f
Zum Vergrößern anklicken....
 
Hab mit nem alten 24H2 Image ohne secure Boot das L14 installiert (Rufus Stick) und währenddessen beim 1. Neustart das Secure Boot aktiviert wieder im BIOS.

Mal gucken ob ich es wieder aktiviert bekomme wenn Windows 11 voll gepatched ist.

Vorher war 25H2 mit April 2026 Update und aktivem Secure Boot drauf.

Update: Neues Windows 11 voll aktualisiert und secure Boot kann wieder aktiviert werden
2023er CA ist auch da
 

Anhänge

  • 20260516_100127.jpg
    20260516_100127.jpg
    126 KB · Aufrufe: 11
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
  • ok2.de - Notebook Computer Server

Werbung

Zurück
Oben