12.07.2025, aktualisiert 13.07.2025
1449
19
2Diskussion: im Juni 2026 ablaufende SecureBoot-Zertifikate von Microsoft
Hallo Fellow Admins,
im Juni 2026 werden die Microsoft-SecureBoot-Zertifikate aus 2011 nach 15 Jahren Laufzeit ungültig, sie müssen daher vorab ersetzt werden. secitoso hatte dieses Thema vor ein paar Tagen auch schon einmal angesprochen.
Die Informationen dazu sind aktuell leider noch etwas widersprüchlich - deswegen würde ich Euch gern einmal fragen, wie Ihr mit dem Thema umgeht.
Aussagen von Microsoft:
Aussagen von OEMs & Distributoren
a) "wir stellen nur sicher, dass genug Platz im FW-Zertifikatsspeicher ist, den Rest patcht Microsoft"
b) "bei Modellen <=2025 ist alles ok, ältere Maschinen klären wir noch ab"
c) "wir melden uns bei Ihnen"
Wir Admins bräuchten einfach nur verlässliche Aussagen darüber, wann was wo zu tun ist.
Da das Thema noch etwas undurchsichtig zu sein scheint, frage ich einfach mal freundlich in die Runde: hat hier jemand schon handfeste Infos oder best practices, die er mit uns teilen könnte. Welche Infos / Links dazu habt Ihr? Es wäre toll, wenn daraus eine lebhafte Diskussion entstünde und wir gemeinsam Informationen dazu sammeln,
Danke im Voraus!
Liebe Grüße,
Fritz
nützliche Links -----
borncity.com/blog/2025/06/30/microsofts-uefi-secure-boot-zertifi ...
borncity.com/blog/2025/02/05/windows-10-11-kb5053484-neues-ps-sc ...
heise.de/news/Vorbereiten-auf-Einschlag-Microsoft-warnt-vor-Secu ...
KB5036210
Updating MS Secure Boot Keys
im Juni 2026 werden die Microsoft-SecureBoot-Zertifikate aus 2011 nach 15 Jahren Laufzeit ungültig, sie müssen daher vorab ersetzt werden. secitoso hatte dieses Thema vor ein paar Tagen auch schon einmal angesprochen.
Die Informationen dazu sind aktuell leider noch etwas widersprüchlich - deswegen würde ich Euch gern einmal fragen, wie Ihr mit dem Thema umgeht.
Aussagen von Microsoft:
- Artikel mit der Überschrift "Act Now" => techcommunity.microsoft.com/blog/windows-itpro-blog/act-now-secu ...
- Artikel mit der Info "You may need to take action" => support.microsoft.com/de-de/topic/windows-secure-boot-certificat ...
- Artikel, die das manuelle Update der Keys beschreiben => techcommunity.microsoft.com/blog/windows-itpro-blog/updating-mic ...
- Artikel, in denen steht, dass man eigentlich nichts machen muss: "Wir bereiten das für Sie im Schulterschluss mit den OEMs für Sie vor und rollen das über die monatlichen Patches und Sec Hotfixes aus, machen Sie sich keine Sorgen". Das wird aber dann verwässert mit der Zusatzbemerkung, man müsse komplette Telemetriedaten übermitteln, damit es funktioniert.
Aussagen von OEMs & Distributoren
a) "wir stellen nur sicher, dass genug Platz im FW-Zertifikatsspeicher ist, den Rest patcht Microsoft"
b) "bei Modellen <=2025 ist alles ok, ältere Maschinen klären wir noch ab"
c) "wir melden uns bei Ihnen"
Wir Admins bräuchten einfach nur verlässliche Aussagen darüber, wann was wo zu tun ist.
Da das Thema noch etwas undurchsichtig zu sein scheint, frage ich einfach mal freundlich in die Runde: hat hier jemand schon handfeste Infos oder best practices, die er mit uns teilen könnte. Welche Infos / Links dazu habt Ihr? Es wäre toll, wenn daraus eine lebhafte Diskussion entstünde und wir gemeinsam Informationen dazu sammeln,
Danke im Voraus!
Liebe Grüße,
Fritz
nützliche Links -----
borncity.com/blog/2025/06/30/microsofts-uefi-secure-boot-zertifi ...
borncity.com/blog/2025/02/05/windows-10-11-kb5053484-neues-ps-sc ...
heise.de/news/Vorbereiten-auf-Einschlag-Microsoft-warnt-vor-Secu ...
KB5036210
Updating MS Secure Boot Keys
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673826
Url: https://administrator.de/forum/microsoft-secure-boot-zertifikate-2026-673826.html
Ausgedruckt am: 14.07.2025 um 09:07 Uhr
19 Kommentare
Neuester Kommentar
Korrigiert mich wenn ich falsch liege, aber ich habe das so verstanden.
Bereits laufende Systeme werden von MS demnächst via Update die neuen Zertifikate ins UEFI schreiben. Das ist aber nur so lange möglich wie die alten Zertifikate nicht abgelaufen sind. Zudem muss das jeweilige UEFI dies unterstützen.
Für PCs bei denen das nicht funktioniert, wird man selbst Hand anlegen müssen. Vermutlich UEFI-Update fahren, welches dann die neuen Zertifikate mitbringt. Ansonsten starten diese Geräte nicht mehr. Gleiches bei Neuinstallationen auf älteren Geräten die noch nicht die neuen Zertifikate haben.
Aber ja, da sind noch viele offene Fragen. Wie immer abwarten und Tee trinken.
Bereits laufende Systeme werden von MS demnächst via Update die neuen Zertifikate ins UEFI schreiben. Das ist aber nur so lange möglich wie die alten Zertifikate nicht abgelaufen sind. Zudem muss das jeweilige UEFI dies unterstützen.
Für PCs bei denen das nicht funktioniert, wird man selbst Hand anlegen müssen. Vermutlich UEFI-Update fahren, welches dann die neuen Zertifikate mitbringt. Ansonsten starten diese Geräte nicht mehr. Gleiches bei Neuinstallationen auf älteren Geräten die noch nicht die neuen Zertifikate haben.
Aber ja, da sind noch viele offene Fragen. Wie immer abwarten und Tee trinken.
4
cjee21 bietet auf Github Scripts + Reg-Imports für folgende Sachen an:
Der Support von u.a. HP verlinkt dieses Repository bei Anfragen.
github.com/cjee21/Check-UEFISecureBootVariables
Hier auf den grünen Code-Button klicken, das ZIP herunterladen, entpacken, eine Adminshell starten mit cd in das entpackte Verzeichnis wechseln. Startet die "Check UEFI KEK, DB and DBX.cmd", um die aktuell im UEFI enthaltenen SecureBoot-Variablen zu prüfen und anzeigen zu lassen.
Relevant sind die "CA 2023" - Einträge. Im hier hochgeladenen Screenshot der Ausgabe des Scripts kann man sehen, dass die Aktualisierungen noch nicht im UEFI enthalten sind:
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
Folgender Eintrag ist -so ich das richtig interpretiere- nur dann relevant, wenn Eure Maschine ein Option ROM aufweist:
x Option ROM UEFI CA 2023
Hier die Ausgabe des Tools, wenn Windows UEFI CA 2023 bereits eingespielt wurde und ohne Option ROM - also so, wie es ohne Option ROM aussehen sollte:
- die UEFI-Variablen für KEK, DB und DBX Secure Boot prüfen
- die Updates für DB und DBX triggern
- eine Liste der UEFI SecureBoot-Variablen anzeigen
- Update-Events für SecureBoot DB und DBX-Variablen anzeigen
Der Support von u.a. HP verlinkt dieses Repository bei Anfragen.
github.com/cjee21/Check-UEFISecureBootVariables
Hier auf den grünen Code-Button klicken, das ZIP herunterladen, entpacken, eine Adminshell starten mit cd in das entpackte Verzeichnis wechseln. Startet die "Check UEFI KEK, DB and DBX.cmd", um die aktuell im UEFI enthaltenen SecureBoot-Variablen zu prüfen und anzeigen zu lassen.
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
Folgender Eintrag ist -so ich das richtig interpretiere- nur dann relevant, wenn Eure Maschine ein Option ROM aufweist:
x Option ROM UEFI CA 2023
Hier die Ausgabe des Tools, wenn Windows UEFI CA 2023 bereits eingespielt wurde und ohne Option ROM - also so, wie es ohne Option ROM aussehen sollte:
@anteNope - danke!
Zitat von @anteNope:
Bereits laufende Systeme werden von MS demnächst via Update die neuen Zertifikate ins UEFI schreiben. Das ist aber nur so lange möglich wie die alten Zertifikate nicht abgelaufen sind. Zudem muss das jeweilige UEFI dies unterstützen.
Ja, so habe ich es auch verstanden. Also sollte man vor Juni 2026 über die Distributoren / OEMs abklären lassen, ob alle Maschinen / Modelle das können.Bereits laufende Systeme werden von MS demnächst via Update die neuen Zertifikate ins UEFI schreiben. Das ist aber nur so lange möglich wie die alten Zertifikate nicht abgelaufen sind. Zudem muss das jeweilige UEFI dies unterstützen.
Für PCs bei denen das nicht funktioniert, wird man selbst Hand anlegen müssen. Vermutlich UEFI-Update fahren, welches dann die neuen Zertifikate mitbringt.
Das kann dann vermutlich entweder über ein BIOS-Update oder einen separaten Patch passieren oder man spielt die Certs selbst ein, wenn ich es richtig verstanden habe. Bleibt zu hoffen, dass man es automatisieren kann (Softwarepaket, Script, etc).Ansonsten starten diese Geräte nicht mehr.
Hm.. ich würde vermuten doch - es sei denn, sie haben 3rdParty-Certs in der Kette, die dann so ungültig werden
@anteNope
Ich trinke Tee, kläre das aber lieber frühzeitig ab, allein schon deswegen, weil wir auch schon Supportanfragen dazu erhalten, auf die ich gern Antworten hätte ☺️
Aber ja, da sind noch viele offene Fragen. Wie immer abwarten und Tee trinken.
Ich trinke Tee, kläre das aber lieber frühzeitig ab, allein schon deswegen, weil wir auch schon Supportanfragen dazu erhalten, auf die ich gern Antworten hätte ☺️
*bump*
Wir brauchen hier noch andere Meinungen-
*bump*
Wir brauchen hier noch andere Meinungen-
*bump*
Moin,
für mich ist das alles ein sehr undurchsichtiger dunkler und tiefer Teich.
Habe mich tatsächlich mit diesem Thema nicht ausführlich beschäftigt, da es zu viele verschiedene Meinungen gibt.
Im privaten Bereich heißt es: Solange das Gerät Windows 11 installiert hat, regelmäßig Windows Updates gefahren werden und secure boot aktiv ist, ist alles schick.
Im Businessbereich ließt sich dazu etwas völlig anderes. Das MS wahrscheinlich mit den jeweiligen Herstellern in Kontakt ist, das die wiederum für die Gerätschaften zeitnah ein UEFI / BIOS Update zur Verfügung stellen werden, damit gewährleistet ist, dass wenn ein Gerät X-Jahr dabei ist, die Certs von Windows bekommen kann.
Dann lese ich von anderen, dass die Certs unabhängig vom BIOS / UEFI Status sind, dass wiederum wie im privaten Bereich nur die drei Punkte gegeben sein müssen.
Bei Gerätschaften die aktuell nicht für Windows 11 freigegeben sind und über Umwege Windows 11 bekommen haben, die muessen wohl händisch die Certs "einflashen" / updaten.
Ob das alles Hand und Fuß hat; Ich weiß es nicht.
Was ich gänzlich nicht verstehe, dass ich augenscheinlich KB5036210 installieren kann / darf. KB5036210: Bereitstellung des Windows UEFI CA 2023-Zertifikats ab 13. Februar 2024 Mein Laptop (geschäftlich und privat) hat das nicht erhalten.
Auch hier ein Hinweiß, dass Geräte unbootbar werden können -> Testgerät wird empfohlen, zumindest bei Firmen.
Ich warte noch ein halbes Jahr ab und schaue spätestens im Frühjahr 26. Beruflich wird mich das Thema vorher erfassen. Gibt wie bei @fritzo bereits Fragen auf die Antworten gesucht werden.
Grüße
Imperator
für mich ist das alles ein sehr undurchsichtiger dunkler und tiefer Teich.
Habe mich tatsächlich mit diesem Thema nicht ausführlich beschäftigt, da es zu viele verschiedene Meinungen gibt.
Im privaten Bereich heißt es: Solange das Gerät Windows 11 installiert hat, regelmäßig Windows Updates gefahren werden und secure boot aktiv ist, ist alles schick.
Im Businessbereich ließt sich dazu etwas völlig anderes. Das MS wahrscheinlich mit den jeweiligen Herstellern in Kontakt ist, das die wiederum für die Gerätschaften zeitnah ein UEFI / BIOS Update zur Verfügung stellen werden, damit gewährleistet ist, dass wenn ein Gerät X-Jahr dabei ist, die Certs von Windows bekommen kann.
Dann lese ich von anderen, dass die Certs unabhängig vom BIOS / UEFI Status sind, dass wiederum wie im privaten Bereich nur die drei Punkte gegeben sein müssen.
Bei Gerätschaften die aktuell nicht für Windows 11 freigegeben sind und über Umwege Windows 11 bekommen haben, die muessen wohl händisch die Certs "einflashen" / updaten.
Ob das alles Hand und Fuß hat; Ich weiß es nicht.
Was ich gänzlich nicht verstehe, dass ich augenscheinlich KB5036210 installieren kann / darf. KB5036210: Bereitstellung des Windows UEFI CA 2023-Zertifikats ab 13. Februar 2024 Mein Laptop (geschäftlich und privat) hat das nicht erhalten.
Auch hier ein Hinweiß, dass Geräte unbootbar werden können -> Testgerät wird empfohlen, zumindest bei Firmen.
Ich warte noch ein halbes Jahr ab und schaue spätestens im Frühjahr 26. Beruflich wird mich das Thema vorher erfassen. Gibt wie bei @fritzo bereits Fragen auf die Antworten gesucht werden.
Grüße
Imperator
1
Moin,
Ich folge hier mal.
Spannend wird es im übrigen für jene Systeme, die in irgendwelchen Produktionsmaschinen verbaut sind und keine Netzwerkanbindung o.Ä. Haben. Da kommen eben nicht zyklisch irgendwelche Updates vorbei. Und manchmal haben die ITler, in deren Unternehmen die Maschinen laufen, keinen Plan davon. Da sind dann die Hersteller gefragt und die Ansprechpartner in den Firmen….
Ich folge hier mal.
Spannend wird es im übrigen für jene Systeme, die in irgendwelchen Produktionsmaschinen verbaut sind und keine Netzwerkanbindung o.Ä. Haben. Da kommen eben nicht zyklisch irgendwelche Updates vorbei. Und manchmal haben die ITler, in deren Unternehmen die Maschinen laufen, keinen Plan davon. Da sind dann die Hersteller gefragt und die Ansprechpartner in den Firmen….
Auch geil wird die Aktion in Verbindung mit Bitlocker. Freue mich schon auf unzählige Anrufe, weil plötzlich der Bitlocker-Recovery-Key angefragt wird (Änderungen am SecureBoot ...).
Ggf. sind auch einfach die TPMs nach einem UEFI-Update gelöscht. Das wird ein wahres Fest. Da werden ggf. viele ihre Daten verlieren, weil kein Recovery-Key gesichert oder anschließend "verlegt" wurde.
Ggf. sind auch einfach die TPMs nach einem UEFI-Update gelöscht. Das wird ein wahres Fest. Da werden ggf. viele ihre Daten verlieren, weil kein Recovery-Key gesichert oder anschließend "verlegt" wurde.
weil kein Recovery-Key gesichert
Eher das. Oder es werden solche Aussagen kommen wie "habe ich nie gehört" oder "mein passwort funktioniert nicht" oder oder.
Zitat von @em-pie:
... Systeme, die in irgendwelchen Produktionsmaschinen verbaut sind und keine Netzwerkanbindung o.Ä. Haben.
Bei IoT-Standalone-Boxen ohne Netz ist SecureBoot in der Regel deaktiviert. Ansonsten würde Windows die unsignierten Uralt-Treiber für das angeschlossene Geraffel auch nicht installieren und laden.... Systeme, die in irgendwelchen Produktionsmaschinen verbaut sind und keine Netzwerkanbindung o.Ä. Haben.
Zitat von @AbstrackterSystemimperator:
[...] Dass MS wahrscheinlich mit den jeweiligen Herstellern in Kontakt ist, das die wiederum für die Gerätschaften zeitnah ein UEFI / BIOS Update zur Verfügung stellen werden. [...]
Die OEM prüfen afaik nur, ob in der Firmware ausreichend Platz für die Zertifikatsaktualisierungen ist. Der Platform Key (PK) bleibt, wie er ist. Es wird allgemein dazu geraten, das EFI der Maschinen auf dem aktuellen Stand zu halten, damit evtl. vorab benötigte Änderungen am EFI auch präsent sind (vermutlich sind das dann Änderungen im Zertifikatsspeicher)[...] Dass MS wahrscheinlich mit den jeweiligen Herstellern in Kontakt ist, das die wiederum für die Gerätschaften zeitnah ein UEFI / BIOS Update zur Verfügung stellen werden. [...]
Dann lese ich von anderen, dass die Certs unabhängig vom BIOS / UEFI Status sind, dass wiederum wie im privaten Bereich nur die drei Punkte gegeben sein müssen.
Wenn Du Telemetrie voll aktiviert hast, Intune nutzt und die Maschinen alle aktuell sind, brauchst Du Dich vermutlich im besten Fall gar nicht kümmern. Theoretisch...Bei Gerätschaften die aktuell nicht für Windows 11 freigegeben sind und über Umwege Windows 11 bekommen haben, die muessen wohl händisch die Certs "einflashen" / updaten.
Microsoft kümmert sich -abgesehen von Boxen mit ESU-Lizenz- nicht mehr um Maschinen, die nicht kompatibel zu Win11 sind. Ja, sehe ich auch so.KB5036210
Schau mal inKB5036210
Updating MS Secure Boot Keys
Updating Microsoft Secure Boot keys
Verwendete Links:
- Voraussetzung: Cumulative Update 02/2024 muss installiert sein (passiert über Windows Update automatisch)
- Powershell-Script ausführen:
if(!([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match "Windows UEFI CA 2023")){
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x40
}
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" - PC zweimal neu starten
- Powershell-Script ausführen:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' - Powershell sollte nun ein "True" als Ergebnis ausgeben
Verwendete Links:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\WindowsUEFICA2023Capable
0 – or key does not exist – "Windows UEFI CA 2023" certificate is not in the DB
1 – "Windows UEFI CA 2023" certificate is in the DB
2 – "Windows UEFI CA 2023" certificate is in the DB and the system is starting from the 2023 signed boot manager.
0 – or key does not exist – "Windows UEFI CA 2023" certificate is not in the DB
1 – "Windows UEFI CA 2023" certificate is in the DB
2 – "Windows UEFI CA 2023" certificate is in the DB and the system is starting from the 2023 signed boot manager.
Wird sicherlich spannend werden. Consumergeräte mit Windows 11 werden da eher unproblematisch sein aber es gibt viele Maschinen / Geräte mit irgendwelchen Custom Windows Images ohne Internetzugang, ohne Updates etc. wo Secureboot aktiv ist und in den allermeisten Fällen auch Bitlocker. Wer da in der Dokumentation nachlässig war wird kräftig gegen eine Wand knallen.
@maulwurf222:
Meine Einschätzung wäre -ohne das getestet zu haben-
Ich sag mal, in normalen, modernen Umgebungen ist sowas verkraftbar bzw. würde gar nicht erst passieren - wenn Du ein automatisiertes OSD / SW-Deployment hast, bist Du je nach Softwarestand mit der Neuinstallation inkl. Software + Updates in 1 bis 4 Stunden durch.
Datenhaltung auf lokalen Drives ohne die automatische Sicherung, die eine Fileablage bietet, macht heute ja auch niemand mehr.
Hat man allerdings richtig viele Maschinen im Netz, kann das so richtig unangenehm werden. Deswegen plant man halt vorher und genau deswegen sind wir hier, überlegen gemeinsam und tragen Infos zusammen. 😉
[...] es gibt viele Maschinen / Geräte mit irgendwelchen Custom Windows Images ohne Internetzugang, ohne Updates etc. wo Secureboot aktiv ist und in den allermeisten Fällen auch Bitlocker. Wer da in der Dokumentation nachlässig war wird kräftig gegen eine Wand knallen.
Ah ah ah. Das wird in dem Fall auch kein GAU, das sind ja in diesen Fällen meist nur einzelne bis wenige Maschinen.Meine Einschätzung wäre -ohne das getestet zu haben-
- mild case: Wanrmeldung über abgelaufenen Key, Windows 11 bootet
- middle bad case: Windows bootet nicht. Reparaturinstallation, optional mit Legacy Boot, evtl. Neuinstallation
- bad case: Windows bootet nicht. Neuinstallation
- baddest case: TCG Opal SED verbaut + ATA Key ist weg. Neue Platte einbauen, Neuinstallation
- baddest case 2: es waren kritische Daten auf der Platte und man kommt nicht mehr dran und hat kein Backup => weinen, ein bisschen rumbrüllen (die testosterongesteuerte, männliche Kollegschaft braucht das dann dringend, um Stress abzubauen) , planen, neu aufbauen, weitermachen
Ich sag mal, in normalen, modernen Umgebungen ist sowas verkraftbar bzw. würde gar nicht erst passieren - wenn Du ein automatisiertes OSD / SW-Deployment hast, bist Du je nach Softwarestand mit der Neuinstallation inkl. Software + Updates in 1 bis 4 Stunden durch.
Datenhaltung auf lokalen Drives ohne die automatische Sicherung, die eine Fileablage bietet, macht heute ja auch niemand mehr.
Hat man allerdings richtig viele Maschinen im Netz, kann das so richtig unangenehm werden. Deswegen plant man halt vorher und genau deswegen sind wir hier, überlegen gemeinsam und tragen Infos zusammen. 😉
bump
Hat jemand weitere Infos, Links, Gedanken, Einschätzungen?
bump
Hat jemand weitere Infos, Links, Gedanken, Einschätzungen?
bump
Zitat von @fritzo:
Ah ah ah. Das wird in dem Fall auch kein GAU, das sind ja in diesen Fällen meist nur einzelne bis wenige Maschinen.
Meine Einschätzung wäre -ohne das getestet zu haben-
Ah ah ah. Das wird in dem Fall auch kein GAU, das sind ja in diesen Fällen meist nur einzelne bis wenige Maschinen.
Meine Einschätzung wäre -ohne das getestet zu haben-
Ich wünsche viel Erfolg bei deinem Plan ;)
Ich habe mich bisweilen auch nicht wirklich um Secure Boot geschert, eventuell muss ich mal ein paar Notebooks prüfen. Zwei Fragen beschäftigen mich grade:
1) Unter welche WSUS-Kategorie fallen die Updates mit den Zertifikaten?
2) Wenn ich das richtig verstehe, und darauf hoffe ich, dann wäre bei nicht rechtzeitigem handeln und ohne Zertifikatstausch im schlimmsten Fall das OS neu zu machen oder kann das Zertifikat gar nicht mehr erneuert werden, wenn einmal abgelaufen? - Ich habe noch eine ganze Batterie alter Clients die eigentlich nur Reserve sind...
1) Unter welche WSUS-Kategorie fallen die Updates mit den Zertifikaten?
2) Wenn ich das richtig verstehe, und darauf hoffe ich, dann wäre bei nicht rechtzeitigem handeln und ohne Zertifikatstausch im schlimmsten Fall das OS neu zu machen oder kann das Zertifikat gar nicht mehr erneuert werden, wenn einmal abgelaufen? - Ich habe noch eine ganze Batterie alter Clients die eigentlich nur Reserve sind...
