Ein PowerShell Skript verifiziert den Microsoft CA 2023 Status dort, wo Secure Boot tatsächlich entscheidet: in der EFI Systempartition ESP und in der UEFI Secure Boot Datenbank DB. Es erkennt Abweichungen zwischen Bootdateien auf dem Datenträger und den Trust Einträgen der Firmware, die Windows Anzeigen nicht zuverlässig abbilden. Damit eignet es sich als schneller Nachweis für Administratoren, etwa nach Wartung, Imaging oder bei Startproblemen.
Die Secure Boot Zertifikatsumstellung von Microsoft im Jahr 2023 aktualisierte die Vertrauensanker, mit denen UEFI Firmware Windows Startkomponenten validiert. Updates zu installieren ist einfach. Nachzuweisen, dass Firmware und Datenträger dem Microsoft CA 2023 Status entsprechen, ist anspruchsvoller.
Ein Windows System kann „vollständig aktualisiert“ anzeigen und dennoch eine unvollständige Secure Boot Vertrauenskette verwenden. Der Grund: Windows aktualisiert das Betriebssystem, aber die UEFI Firmware verwaltet die Secure Boot Signaturdatenbanken. Diese Ebenen arbeiten unabhängig voneinander.
Ein von einem Leser namens Garak bereitgestelltes PowerShell Skript schließt diese Verifizierungslücke. Es prüft den CA 2023 Status dort, wo er entscheidend ist: in der EFI Systempartition ESP und in der firmwaregestützten Secure Boot Datenbank DB.
Warum die CA 2023 Überprüfung wichtig ist
Secure Boot erzwingt eine kryptografische Validierungskette. Die UEFI Firmware lädt signierte EFI Binärdateien aus der EFI Systempartition und prüft sie anhand vertrauenswürdiger Zertifikate in der Secure Boot DB.
Die Zertifikatsänderungen von Microsoft im Jahr 2023 erfordern sowohl aktualisierte Vertrauenseinträge in der Firmware als auch passende Startkomponenten auf der ESP. Wenn nur eine Seite aktualisiert wird, entsteht eine inkonsistente Vertrauenskette. Diese Inkonsistenz verursacht nicht zwingend sofortige Fehler, kann jedoch bei Firmware Updates, Wiederherstellungsprozessen oder zukünftigen Wartungsmaßnahmen sichtbar werden.
Secure Boot Integrität basiert auf Konsistenz, nicht auf Annahmen.
Was das Skript überprüft
Das Skript analysiert zwei maßgebliche Vertrauensquellen.
Erstens untersucht es die EFI Systempartition, die als FAT32 Partition Boot Dateien wie bootmgfw.efi und weitere Startkomponenten speichert. Diese Partition liegt außerhalb des normalen Windows Dateisystem Workflows und kann sich durch Imaging oder Recovery Prozesse verändern.
Zweitens fragt es die Secure Boot DB in der UEFI Firmware ab. Diese Datenbank bestimmt, welche Signaturen die Firmware während des frühen Startvorgangs akzeptiert. Windows Einstellungen allein bestätigen ihren Inhalt nicht.
Durch die kombinierte Prüfung beider Ebenen erkennt das Skript Abweichungen zwischen Datenträger und Firmware Vertrauensmaterial.
Warum das für Administratoren relevant ist
Diese Form der Validierung eignet sich nach Secure Boot Wartungsmaßnahmen, bei der Zertifizierung von Referenz Images oder bei der Analyse unerwarteter Startprobleme. Sie unterstützt zudem Compliance Prozesse, bei denen der Plattformstatus über mehrere Endpunkte hinweg nachgewiesen werden muss.
Das Skript verwendet farblich markierte Konsolenausgaben, um den erwarteten CA 2023 Status oder Abweichungen klar zu kennzeichnen. Es läuft unter Windows PowerShell 5.1 sowie unter PowerShell 7.5.x und eignet sich damit für gemischte Umgebungen.
Secure Boot ist keine einfache Firmware Option. Es ist eine kryptografische Vertrauensbeziehung zwischen UEFI Firmware, Secure Boot Datenbank und EFI Systempartition. Wenn Sie beide Seiten überprüfen, erhalten Sie belastbare Nachweise für die Vertrauenskonsistenz statt sich auf Update Historien oder Benutzeroberflächen zu verlassen.
Das referenzierte PowerShell-Skript finden Sie hier:
Hinweis: Sicherheit von Drittanbieter-Skripten
Wir prüfen, zertifizieren oder garantieren nicht die Sicherheit, Korrektheit oder Unbedenklichkeit von Skripten Dritter, die von Lesern oder unabhängigen Entwicklern bereitgestellt werden. Sie sollten den Code eigenständig überprüfen, in einer Nicht Produktivumgebung testen und Ihre internen Change Management Prozesse einhalten, bevor Sie ihn in verwalteten Umgebungen einsetzen. Wir veröffentlichen solche Hinweise, um unabhängige Entwickler zu unterstützen und Administratoren bei der Bewertung von Community Werkzeugen zu helfen.