Aktualisierung über Windows-Updates

Im Vorfeld müssen Sie ein Windows-Update mit den aktuellen Keys (ab Mai 2023) installieren.

Windows-Updates aktualisieren die Secure-Boot-Keys in den meisten Fällen nicht automatisch, selbst wenn Secure Boot aktiviert ist. Microsoft führt eine „HighConfidenceBucket“-Liste, in der bestimmte Geräte von Herstellern hinterlegt sind (z. B. C6030-0060, 1.0, Beckhoff Automation GmbH & Co. KG, Bxx64 - 1.37, 01/31/2020). Geräte auf dieser Liste erhalten Key-Updates automatisch über Windows-Updates. In die Liste werden Systeme erst aufgenommen, wenn sie mehrfach erfolgreich Secure-Boot-Key-Updates durchgeführt haben. Bei den Geräten, die nicht in der Liste enthalten sind, können Sie den Secure-Boot-Update-Task direkt ansteuern, damit die Secure-Boot-Keys in die UEFI-Firmware importiert werden:

1. „AvailableUpdates” Key in der registry erstellen:
   reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
2. Secure-Boot-Update-Task ansteuern:
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
3. Manueller Reboot des Systems wenn „AvailableUpdates“ 0x4100
4. Secure-Boot-Update-Task ansteuern:
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Nach der Installation der Updates sollten Sie den Windows-Update-Dienst wieder deaktivieren, wenn zukünftig keine automatisierten Updates vorgenommen werden sollen.