Auszüge aus einem Artikel von IT-Administrator:
Secure Boot ist die erste Verteidigungslinie gegenüber Rootkits und anderen böswilligen Veränderungen, die innerhalb oder sogar unterhalb des Betriebssystem-Kernels agieren und somit jeglichen Endpunktschutz aushebeln. Doch die drei wichtigsten Zertifikate dieses Schutzmechanismus laufen in diesem Jahr ab – die ersten bereits im Juni. Admins müssen diese unter Windows Server händisch und für Clients automatisiert ersetzen. Andernfalls droht ein Verlust der Secure-Boot-Vertrauenskette.
Einige Notebookhersteller liefern seit Ende 2023 Firmware aus, die die neuen und alten Microsoft-CAs parallel enthält. Für andere Systeme hat Microsoft das Update der UEFI-Zertifikatsspeicher in Windows integriert. Der geplante Task „Secure-Boot-Update“ im Ordner „\Microsoft\Windows\PI“ übernimmt die Durchführung. Dieser Task existiert auf allen Secure-Boot-fähigen Windows-Versionen und läuft ab Systemstart alle 12 Stunden. Dabei gelten zwei Einschränkungen:
- Der schreibende Zugriff von Windows auf UEFI-Variablen erfordert, dass Secure Boot im nativen UEFI-Modus aktiv ist. Admins können dies in der PowerShell mit Confirm-SecureBootUefi prüfen. „True“ bestätigt den Start durch Secure Boot, „False“ signalisiert ein aktives UEFI bei deaktiviertem Secure Boot. Im BIOS-Modus liefert das Cmdlet eine Fehlermeldung.
- Der Firmwarehersteller muss ein Updatepaket bereitstellen, das den 2023er Microsoft-KEK-Key mit dem gültigen Platform Key signiert.
Damit der Task aktiv wird, müssen Sie im Registrierungsschlüssel „HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecureBoot“ den DWORD-Wert „AvailableUpdates“ setzen. Ein komplettes Update der Zertifikate erreichen Sie mit dem Wert „0x5944“. Danach können Sie den Task manuell starten oder den nächsten Durchlauf abwarten.
Prüfung in Windows 11
Aus pcwelt: Microsoft hat im April 2026 eine neue Anzeige eingebaut, die über den Status von Secure Boot aufklärt. Damit sehen Sie auf einen Blick, ob wichtige Zertifikate aktualisiert wurden und der PC sicher starten kann.
Geben Sie in der Suchleiste Windows Sicherheit ein und klicken Sie darauf. Wählen Sie dann den Punkt Gerätesicherheit und scrollen Sie runter zum Punkt Sicherer Start.
Hier sehen Sie direkt den aktuellen Status von Secure Boot. In unserem Fall lautet dieser “Der sichere Start ist aktiviert und verhindert das Laden von Schadsoftware beim Starten Ihres Geräts”. Das ist der ideale Zustand, der PC hat also alle benötigten Zertifikate und kann Secure Boot auch über Juni hinaus nutzen.
c’t
Secure Boot – Bootloader – Zertifikate
Mein Fazit:
- Sicherstellen, dass die Microsoft-Updates laufen (macht u.a. der roc-k-IT daily-Job)
- Prüfung in Windows 11 (siehe oben)
- Katastrophen wie das komplette Nicht-Funktionieren von Rechnern lassen sich durch Abschalten des Secure-Boots im BIOS umgehen.
Stand: 2026-05-24