Kein Booten mit Secure Boot

[Schildkröte09]

Hallo,

da ich festgestellt habe, mit meinem ASUS TUF Gaming Laptop keinen USB Stick oder andere Bootmedien booten kann, wenn der SECURE BOOT aktiviert ist, mit meinem ASUS VIVO Book Laptop es aber keine Schwierigkeiten gibt, von USB oder anderen Bootmedien zu booten (trotz aktiviertem SECURE BOOT)

möchte ich versuchen, hierfür eine Erklärung zu finden.
Der ASUS TUF Gaming hat die neueste Prozessorfamilie von AMD Ryzen 7 und DDR5 Ram on Board.
Das ASUS ViVo Book hat die Vorgenerationen von AMD mit einem Ryzen 9 und DDR4 Ram on Board.

Aufgefallen sind mir im BIOS unter SECURE BOOT unterschiedliche Schlüssel. Ob es daran liegt?

ASUS TUF Gaming:
Plattformschlüssel [(PK) [877] 1 Werk

Key Exchange Schlüssel [4229] 3 Werk

Autorisierte Signaturen [7017] 5 Werk

Unzulässige Signaturen [18721] 372 Werk

Autorisierte Zeitstempel [1565] 1 Werk

ASUS ViVO Book:
Plattformschlüssel [(PK) [877] 1 Werk

Key Exchange Schlüssel [3564] 3 Werk

Autorisierte Signaturen [6054] 5 Werk

Unzulässige Signaturen [3724] 77 Werk

Autorisierte Signaturen [76] 1 Werk

Wer weiß was? Was kann man ändern, damit auch mit Secure Boot gebootet werden kann. Ständiges aus und einschalten von Secure Boot ist keine Option.

Viele Grüße

 

[cvzone]

Mit Secure Boot werden nur Systeme gebootet die einen signierten Bootloader haben. Je nachdem wo dein Boot Medium herkommt ist das nicht der Fall.

Was willst du den von USB booten?

PS: Kurze Nachfrage: Das gleiche Bootmedium lässt sich mit Secure Boot an deinem Laptop booten aber am anderen Laptop nicht? In dem Fall würde ich die Secure Boot Einstellungen mal zurücksetzen. Sind vermutlich im User Mode und du hast eine bestimmte Konfiguration nur freigegeben.

 

[dms]

Secureboot meint ja im Klartext andere Leute entschieden was für dein Gerät gut ist /ironie

A) was möchtest du denn booten - das gab letzten Schlüsseltauschprobleme via MS (UEFI)....

B) wenn du Ventoy benutzt muss eigentlich nur Ventoy aktzeptiert wwerden und der Rest sollte Pillepalle sein

Ich bitte um Gegenrede wenn B) zu kurz gedacht/falsch ist

 

[Motorrad]

Wie äußert sich das genau, wenn er dann nicht bootet? Was gibst du genau in der Bootauswahl zum Booten an?

Beim Umstellen von Secure Boot könnten sich bei einem der Geräte auch noch andere Einstellungen im BIOS mit umstellen. Z.B. CSM oder die Boot- Methode (UEFI only, UEFI + Legacy usw).
Hast du das mal kontrolliert?

 

[Schildkröte09]

Beim ASUS TUF erscheint folgende Fehlermeldung beim Booten von Windows 11 ISO oder Linux etc.



CSM kann ich bei dem Laptop schon gar nicht mehr aktivieren.
Nur Secure Boot an oder aus.

Schalte ich den Secure Boot aus, bootet der Stick als wäre nichts gewesen.
Wie geschrieben, das ASUS ViVo Book reagiert komplett anders.

 

[Opa Hermie]

Ich würde mal die Bios-Default-Einstellungen laden, dabei müsste bei einem modernen Gerät auch automatisch Secureboot aktiv werden.

Normalerweise wird bei Secureboot jede CSM- bzw. Legacy-Unterstützung im Bios automatisch abgeschaltet oder man wird wenigstens darauf hingewiesen, das vorher so einzustellen.

 

[Schildkröte09]

Alles schon durchgeführt @Opa Hermie! Keine Änderung.
Beim VIVO Book kann ich im BIOS auch die TPM resetten bzw. löschen. Beim TUF Gaming überhaupt keinen Eintrag zu TPM.

 

[dms]

@Schildkröte09 BEISPIELHAFT S: 44 FF

https://dlcdnets.asus.com/pub/ASUS/misc/Manual/PRIME_TUF_GAMING_B550_Series_BIOS_EM_WEB_EN.pdf

die neuen Keys müssen auf dein Gerät

 

[cvzone]

Kannst du mal nen Foto der verfügbaren Secure Boot Einstellungen machen?

Gibt es da ne Option Clear Keys und Enroll Default Keys? Wenn ja, das mal versuchen.

 

[Schildkröte09]

Den OS Typ kann ich im BIOS vom TUF gar nicht einstellen.
Die Schlüssel habe ich schon zigmal gelöscht und neu eingelesen, auch die Standardschlüssel.

 

[dms]

Die Schlüssel habe ich schon zigmal gelöscht und neu eingelesen, auch die Standardschlüssel.

du brauchst da die neuen, aktuellen - wo immer man die bekommt

 

[Schildkröte09]

Kannst du mal nen Foto der verfügbaren Secure Boot Einstellungen machen?

Mach ich nachher.

Gibt es da ne Option Clear Keys und Enroll Default Keys? Wenn ja, das mal versuchen.

Gelöscht habe ich sie bereits mehrfach. Stutzig bin ich nur mit den unterschiedlichen Kennzeichnungen der Schlüssel.

 

[cvzone]

Das Windows 11 ISO ist per Windows Media Creation Tool erstellt? Ich frage nur, damit wir sicher sind, dass das auch wirklich ne gültige Signatur hat und nicht der andere Laptop ggf. im Secure Boot SETUP Mode ist und eh alles durchlässt.

 

[kommdieter]

Liest sich ja beinahe so, als wenn bei dir unter Windows nur noch die Windows UEFI CA 2023 Zertifikate verwendet werden. Dann klappt ein Booten nur noch ohne Secure Boot

https://www.deskmodder.de/blog/2025...er-windows-adk-iso-dezember-schon-integriert/

https://www.deskmodder.de/blog/2024...lisiert-werden-wegen-secure-boot-aenderungen/

 

[Schildkröte09]

Daran habe ich auch schon gedacht. Hatte @Pentagon schon erwähnt.
Ich glaube fast auch daran @kommdieter.

Aber die gibt es ja schon etwa 1 Jahr ... da müßte doch Microsoft schon lange reagiert ...
... und entsprechende Schritte eingeleitet haben. Deren doch so wichtiges Sicherheitsgebahren.

 

[kommdieter]

Das geht nicht so schnell. Da braucht MS wegen der Firmenkunden viel Vorlauf.

 

[Schildkröte09]

In der Beschreibung der Windows UEFI CA 2023 Zertifikaten findet sich für Firmenkunden eine Anmerkung, die Registrierung des Schlüssels abzuändern. Habe ich auch schon gemacht, damit Windows Update die Zertifikate installieren kann ...

https://www.deskmodder.de/blog/2024...-uefi-ca-2023-zertifikats-ab-13-februar-2024/

Die Zertifikate sollten also schon lange da sein. 13. Februar 2024.

Und wie geschrieben, die Einstellungen sind schon gemacht ...
... damit die Zertifikate über Windows Update installiert werden können ...

 

[kommdieter]

Mit der Änderung hast du nur noch Windows UEFI CA 2023 Zertifikate zur Verfügung.
Ohne Änderung beide, also auch das 2011 Zertifikat, damit die alten ISOs booten können.

 

[Schildkröte09]

Ich reiche noch ein paar Bilder nach aus den jeweiligen BIOS Einstellungen der beiden Laptops.

ASUS TUF




und jetzt VIVO Book:

Ergänzung (12. Januar 2025)

Mit der Änderung hast du nur noch Windows UEFI CA 2023 Zertifikate zur Verfügung.
Ohne Änderung beide, also auch das 2011 Zertifikat, damit die alten ISOs booten können.

OH, aber ich habe die Änderung ja erst nach den ganzen Problemen mit dem Nichtbooten gemacht. Kann also bisher nicht im Zusammenhang stehen ...

Werde ich mal wieder rückgängig machen. Vergleiche die Einträge mit den Registryeinstellungen vom ViVo Book.

Die TPM Einstellungen im BIOS wie beim ViVo Book, sind beim TUF nicht zu finden.

Ergänzung (12. Januar 2025)

Registry Einstellung wieder rückgängig gemacht.

Ergänzung (12. Januar 2025)

Das Windows 11 ISO ist per Windows Media Creation Tool erstellt? Ich frage nur, damit wir sicher sind, dass das auch wirklich ne gültige Signatur hat und nicht der andere Laptop ggf. im Secure Boot SETUP Mode ist und eh alles durchlässt.

Ja unter anderem auch. Bootet aber auf dem TUF nicht. Kommt oben besagte Fehlermeldung.
Beide Laptops sind mit gleichen Sicherheitseinstellungen, wie von Microsoft vorgegeben für Windows 11.
Beide Geräte erfüllen die Anforderungen für erweiterte Hardwaresicherheit.

 

[kommdieter]

Registry Einstellung wieder rückgängig gemacht.

Wenn man die Einstellung gesetzt hat, lässt sie sich nicht rückgängig machen. Es wird dann nur noch das neue Zertifikat verwendet.