Wie Sie sicherstellen, dass Ihre Secure-Boot-Zertifikate vor Juni 2026 auf dem neuesten Stand sind
Wer sich länger mit Windows auskennt, weiß, dass Secure-Boot-Zertifikate für die Sicherheit unerlässlich sind, aber auch lästig werden können, wenn sie ablaufen. Sind die Zertifikate Ihres Geräts veraltet oder wurden sie nicht aktualisiert, riskieren Sie Sicherheitslücken wie Bootkits oder Schadsoftware. Außerdem berichten einige Nutzer von Startproblemen oder Warnmeldungen. Die gute Nachricht: Microsoft bietet einen Fahrplan und Tools, um alles aktuell zu halten. Bei älteren Geräten (vor allem Modellen vor 2024) ist der Prozess jedoch etwas aufwendiger. Dieser Leitfaden erklärt Ihnen die wichtigsten Schritte: Überprüfung des aktuellen Status, Sicherstellung der Firmware-Kompatibilität und gegebenenfalls manuelle Bereitstellung der Zertifikate. Windows macht es einem natürlich gerne unnötig schwer, aber mit etwas Geduld bleibt Ihr Gerät sicher.
So aktualisieren Sie Windows Secure Boot-Zertifikate
Die meisten neueren PCs (ab 2024) haben das dank automatischer Updates bereits erledigt. Bei älteren Geräten ist jedoch etwas mehr Aufwand nötig. Microsoft empfiehlt Folgendes: – Verschaffen Sie sich einen Überblick über Ihre Systemkonfiguration.– Prüfen Sie den Status von Secure Boot.– Stellen Sie sicher, dass Ihre BIOS/UEFI-Firmware aktuell ist.– Installieren oder bestätigen Sie anschließend die neuesten Zertifikate. Im Detail:
Inventarisieren und bereiten Sie Ihre Umgebung vor
In diesem Schritt geht es darum, den aktuellen Status zu ermitteln. Bei allen Geräten, insbesondere älteren, ist es ratsam, zu überprüfen, welche Zertifikate installiert sind und welche nicht. Viele Unternehmen verlassen sich auf Windows Update, um die neuesten Zertifikate automatisch zu installieren – das ist der einfachste Weg. Bei Geräten, die sich nicht automatisch aktualisieren, oder bei der Fehlersuche ist es jedoch besser, den genauen Status zu kennen. Auf manchen Rechnern schlug das Update früher beim ersten Versuch fehl – ein Neustart half manchmal seltsamerweise. Sie können PowerShell oder die Eingabeaufforderung mit Administratorrechten verwenden, um Befehle auszuführen und den aktuellen Zertifikatsstatus zu überprüfen. Vermeiden Sie es, direkt mit dem BIOS-Flashing zu beginnen, es sei denn, Sie wissen genau, was Sie tun. Firmware-Updates sind sicherer, wenn sie über die offiziellen Tools oder Updates des Herstellers durchgeführt werden.
Überwachen und prüfen Sie Ihre Geräte auf den Secure-Boot-Status.
Microsoft bietet verschiedene Möglichkeiten, um zu prüfen, ob auf Ihrem Gerät die neuesten Zertifikate installiert sind. Eine praktische Methode ist die Überprüfung über die Windows-Ereignisanzeige: – Starten Sie die Ereignisanzeige (`eventvwr.msc`).– Erweitern Sie Windows-Protokolle > System.– Filtern Sie nach der Ereignis-ID 1808. Diese zeigt an, dass das neue Secure-Boot-Zertifikat erfolgreich angewendet wurde. Falls diese ID nicht vorhanden ist, suchen Sie nach der Ereignis-ID 1801. Diese signalisiert, dass das Update nicht durchgeführt wurde. Alternativ können Sie die Registrierung überprüfen: – Navigieren Sie zu ` HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot`.– Suchen Sie nach dem Schlüssel `UEFICA2023`.Dieser sollte den Status „Aktualisiert“ anzeigen. Das Fehlen von `UEFICA2023Error` bedeutet, dass keine Fehler aufgetreten sind. Bei manchen Konfigurationen hilft folgender PowerShell-Befehl: `powershell [System. Text. Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match ‚Windows UEFI CA 2023’`.Gibt er `True` zurück, ist wahrscheinlich alles in Ordnung. Andernfalls verwendet Ihr System noch alte Zertifikate. Unter „Windows Update“ (Einstellungen > Windows Update > Updateverlauf) lässt sich der Zeitpunkt der Zertifikatsinstallation ermitteln, insbesondere wenn der Eintrag „SEK-Update (Secure Boot Allowed Key)“ angezeigt wird.
Installieren Sie OEM-Firmware-Updates vor Microsoft-Updates.
Das kann man nicht oft genug betonen: Firmware-Updates beheben häufig Kompatibilitätsprobleme, insbesondere mit Secure Boot. Besuchen Sie die Support-Website Ihres Geräteherstellers oder nutzen Sie Ihre Geräteverwaltungssoftware, um die neueste BIOS/UEFI-Firmware herunterzuladen. Firmware-Updates können manchmal etwas knifflig sein – manche Hersteller empfehlen, sie direkt über ihre Update-Tools durchzuführen oder sogar das BIOS neu zu flashen. Das klingt zwar kompliziert, ist aber in der Regel unkompliziert, wenn Sie die Anweisungen genau befolgen. Bevor Sie Windows-Patches installieren, sollten Sie die Firmware aktualisieren. Das erspart Ihnen später viel Ärger, insbesondere wenn Ihr Gerät neue Secure-Boot-Zertifikate nicht erkennt.
Sichere Startzertifikate bereitstellen
Wenn Ihr Gerät Zertifikate nicht automatisch aktualisiert – beispielsweise, weil Sie die automatische Aktualisierung deaktiviert haben oder Ihre Organisation die Bereitstellung steuert – können Sie die Aktualisierung manuell mit verschiedenen Methoden durchführen.Mit Microsoft Intune: – Navigieren Sie im Endpoint Manager-Portal zu „ Geräte“ > „Geräte verwalten“.– Erstellen Sie ein neues Gerätekonfigurationsprofil. Wählen Sie als Plattform „Windows 10 und höher“ und als Typ „Konfigurationsprofil“.– Wählen Sie „Einstellungskatalog“ und fügen Sie anschließend Einstellungen für „Sicherer Start“ hinzu.– Aktivieren Sie „Zertifikataktualisierungen für sicheren Start“ und konfigurieren Sie bei Bedarf weitere Optionen wie „Microsoft Update Managed Opt-in“ oder „Hohes Vertrauen Opt-out“.– Weisen Sie dieses Profil Ihren Gerätegruppen zu.Über Registrierungsschlüssel – Öffnen Sie den Registrierungs-Editor (`regedit`).– Navigieren Sie zu ` HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot`.– Setzen Sie den DWORD-Wert von AvailableUpdates auf `0x5944`, um die Bereitstellung der neuesten Zertifikate zu erzwingen (dies ist eine Abkürzung, funktioniert aber auf vielen Systemen).Über das Windows-Konfigurationssystem (WinCS) – Microsoft bietet jetzt Befehlszeilentools und PowerShell-Module zum Abfragen und Anwenden von Secure-Boot-Konfigurationen an. Skripte finden Sie in der offiziellen Dokumentation oder unter https://github.com/memstechtips/Winhance.Gruppenrichtlinie – Öffnen Sie den Gruppenrichtlinien-Editor (`gpedit.msc`).– Navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Secure Boot.– Aktivieren Sie „Bereitstellung von Secure-Boot-Zertifikaten aktivieren“. Dadurch wird Windows angewiesen, die Zertifikatsverwaltung automatisch durchzuführen. Microsoft bietet auf dieser Seite auch Schritte zur Fehlerbehebung an: https://techcommunity.microsoft.com/blog/windows-itpro-blog/secure-boot-playbook-for-certificates-expiring-in-2026/4469235
Voraussetzungen für den Bezug der neuesten Zertifikate über Windows Updates
Stellen Sie sicher, dass die Diagnosedaten aktiviert sind – so kann Windows die neuesten Zertifikate direkt abrufen. Bei älteren Windows 10-Versionen oder wenn Sie nicht am ESU-Programm (Erweiterte Sicherheitsupdates) teilnehmen, könnten Sie diese Updates verpassen. Melden Sie sich gegebenenfalls an.
So überprüfen Sie den Secure-Boot-Status unter Windows 11 Home
Mit dem PowerShell-Befehl `powershell [System. Text. Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match ‚Windows UEFI CA 2023’` lässt sich schnell feststellen, ob Ihre Zertifikate aktuell sind. Die Ausgabe lautet `True`, wenn dies der Fall ist. Alternativ finden Sie unter `Einstellungen > Windows Update > Updateverlauf > Andere Updates Einträge wie das „SEK-Update (Secure Boot Allowed Key)“.Ist dieser Eintrag vorhanden, verfügen Sie über die neueste Version.
Was passiert, wenn das System meldet: „Aktualisierte Secure-Boot-Zertifikate sind verfügbar, wurden aber noch nicht angewendet“?
Das bedeutet, die Zertifikate sind bereit zur Installation, aber ein Neustart ist erforderlich. Ein vollständiger Neustart, nicht nur ein Herunterfahren, ist entscheidend – manchmal sogar zweimal, um sicherzugehen. Prüfen Sie Windows Update auf ausstehende Installationsaufforderungen und installieren Sie die Updates. Wenn die Meldung nach einem Neustart weiterhin angezeigt wird, überprüfen Sie Ihre BIOS-/Firmware-Version. Manchmal hilft ein erneutes Flashen oder Aktualisieren des BIOS, den Vorgang abzuschließen. Die älteren Zertifikate laufen im Juni 2026 ab. Wenn Ihr Gerät also vor 2024 hergestellt wurde, sollten Sie die Zertifikate unbedingt vorher aktualisieren. Halten Sie Ihr System auf dem neuesten Stand: Windows und Firmware müssen aktuell sein, und überprüfen Sie regelmäßig den Status des sicheren Starts Ihres Geräts.
Zusammenfassung
Die Aktualisierung der Secure-Boot-Zertifikate ist zwar nicht ganz einfach, aber unerlässlich für die Sicherheit. Die meisten neueren Geräte erledigen das automatisch, ältere Systeme benötigen jedoch etwas manuelle Pflege, um geschützt zu bleiben. Regelmäßige Statusprüfungen, Firmware-Updates und die Bereitstellung von Zertifikaten über Intune, die Registry oder Gruppenrichtlinien können helfen, Startprobleme oder Sicherheitslücken zu vermeiden. Hoffentlich erspart dies jemandem später viel Ärger – eine korrekte Einrichtung kann später viel Ärger ersparen.