EFI-Update in Proxmox VM

4.Februar 2025

In der sich ständig weiterentwickelnden IT-Welt ist es wichtig, unsere Systeme auf dem neuesten Stand zu halten, besonders wenn es um Sicherheitsfunktionen wie Secure Boot geht. Mit der Einführung der neuen “Windows UEFI CA 2023"-Signatur und dem bevorstehenden Ablauf der “Microsoft Windows Production PCA 2011"-Signatur im Jahr 2026 ist es ratsam, frühzeitig entsprechende Aktualisierungen vorzunehmen.

In diesem Beitrag zeige ich dir, wie du in einer Proxmox-Umgebung eine virtuelle Maschine (VM) mit Windows 2025 einrichtest und das EFI (Extensible Firmware Interface) so aktualisierst, dass es ausschließlich mit der neuen “Windows UEFI CA 2023"-Signatur arbeitet.

Ausgangssituation

Standardmäßig liefert Proxmox ein EFI (OVMF) aus, das mit der “Microsoft Windows Production PCA 2011"-Signatur versehen ist. Für Umgebungen, die ein EFI mit der “Windows UEFI CA 2023"-Signatur benötigen, kann das EFI über Windows aktualisiert werden, vorausgesetzt, das System verfügt über die neuesten Updates (z. B. Windows 2025).

Schritt-für-Schritt-Anleitung zur EFI-Aktualisierung

Der Aktualisierungsprozess erfolgt in drei Schritten. In jedem Schritt wird ein spezifischer Wert im Registrierungsschlüssel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

gesetzt, anschließend wird der Task

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

ausgeführt und danach das System neu gestartet.

Schritt 1: EFI-Signatur aktualisieren

  • Registry ändern: Setze den Wert auf 0x40:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x40

  • Task starten:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • Neustart durchführen: Nach dem Neustart ist das EFI mit der neuen Signatur “Windows UEFI CA 2023” versehen; die alte Signatur bleibt vorerst weiterhin gültig.

Schritt 2: Bootloader aktualisieren

  • Registry ändern: Setze den Wert auf 0x100:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x100

  • Task starten:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • Neustart durchführen: Nach diesem Neustart wird der Bootloader aktualisiert und entspricht nun den aktuellen Anforderungen.

Schritt 3: Alte Signatur widerrufen (Revokationsliste aktualisieren)

  • Registry ändern: Setze den Wert auf 0x80:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x80

  • Task starten:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • Neustart durchführen: Anschließend wird die alte Signatur (“Microsoft Windows Production PCA 2011”) in die Revokationsliste aufgenommen. Zukünftige Bootvorgänge – insbesondere über WinPE – verlangen nun zwingend den aktualisierten Bootloader.

Überprüfung der Aktualisierungen

Um sicherzustellen, dass die Aktualisierungen erfolgreich waren, kannst du folgende PowerShell-Befehle in einer erhöhten Sitzung verwenden:

  1. EFI-Signatur prüfen:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Liefert dieser Befehl True zurück, wurde die Signatur korrekt aktualisiert.

  2. Revokationsliste prüfen:

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

    Ein True-Ergebnis zeigt, dass der alte Schlüssel in der Revokationsliste steht.

  3. Bootloader testen:

    • Mounten der EFI-Partition: mountvol S: /S

    • Kopiere die Datei bootmgfw.efi auf C: und überprüfe im Explorer unter “Eigenschaften” > “Digitale Signaturen”, ob “Windows UEFI CA 2023” hinterlegt ist.

Alternativ:

Versuche, über ein WinPE-Medium zu booten, das auf den neuen Bootloader angewiesen ist. Gelingt dieser Start, bestätigt das ebenfalls die Aktualisierung.

Hinweis zu Proxmox

Wenn du in Proxmox-VMs ein EFI mit der neuen Signatur nutzen möchtest, bleibt theoretisch aktuell nur die Möglichkeit, entweder das mitgelieferte EFI (OVMF) auszutauschen, was jedoch Nachteile mit sich bringt, da z. B. Installer mit alter Signatur nicht mehr funktionieren, oder per CLI jeder VM ein entsprechendes EFI zuzuweisen. Beides habe ich jedoch noch nicht getestet.

Zusammenfassung

  • EFI-Signatur aktualisieren: Registry auf 0x40 setzen, Task ausführen, neu starten.
  • Bootloader aktualisieren: Registry auf 0x100 setzen, Task ausführen, neu starten.
  • Alte Signatur widerrufen: Registry auf 0x80 setzen, Task ausführen, neu starten.

Testmöglichkeiten:

  • Mit Get-SecureBootUEFI (db und dbx) direkt die Signaturen und Revokationsliste prüfen.
  • Bootloader über den Explorer überprüfen (nachdem die EFI-Partition gemountet wurde).
  • Alternativ: Boot-Test via WinPE.

Durch die Durchführung dieser Schritte stellst du sicher, dass deine Windows 2025 VM in Proxmox mit aktiviertem Secure Boot und der aktuellen “Windows UEFI CA 2023"-Signatur arbeitet, wodurch die Sicherheit und Kompatibilität deines Systems gewährleistet wird.

  • Proxmox Website: proxmox.com
  • Microsoft How to manage the Windows Boot Manager revocations for Secure Boot: Microsoft

Suche

Kategorien