Aktualisieren Sie Ihre Windows-Sicherheitszertifikate, bevor sie ablaufen: Ein umfassender Leitfaden

Für Nutzer von PCs, die älter als zwei Jahre sind, steht ein wichtiges Update bevor: Die Windows Secure Boot-Zertifikate laufen im Juni 2026 ab. Mit dem Ablauf Ihrer aktuellen Zertifikate verlieren Sie den Zugriff auf wichtige Secure Boot-Updates, was zu Startproblemen führen kann. Obwohl Microsoft neue Zertifikate schrittweise über Windows Update bereitstellt, können Sie die Unsicherheit dieses Rollouts umgehen, indem Sie unserer Anleitung folgen und Ihre Secure Boot-Zertifikate noch heute manuell aktualisieren.

Secure-Boot-Zertifikate verstehen

Secure Boot ist eine wesentliche Funktion der UEFI-Firmware, die sicherstellt, dass Ihr Computer nur mit Software startet, die von vertrauenswürdigen Herstellern digital signiert wurde. Diese Sicherheitsmaßnahme umfasst einen mehrstufigen Authentifizierungsprozess, der durch die Verwendung öffentlicher Zertifikate eingeleitet wird. Diese Zertifikate bestätigen die Herkunft der Software, bevor jeglicher Code ausgeführt wird.

Die UEFI-Firmware Ihres PCs speichert eine Liste von Herstellerzertifikaten, die ähnlich wie Ausweise funktionieren. Sie bestätigen, dass die Software von einer vertrauenswürdigen Quelle stammt und bieten somit einen wirksamen Schutz vor Schadsoftware wie Bootkits und Rootkits, die ohne Zertifikate anerkannter Hersteller nicht funktionieren.

Die Bedeutung der Aktualisierung von Secure-Boot-Zertifikaten

Wie viele digitale Zertifikate haben auch Secure-Boot-Zertifikate ein Ablaufdatum. Die meisten PCs, die vor 2024 hergestellt wurden, verwenden die Microsoft Corporation UEFI CA 2011 -Zertifikate, die im Juni 2026 ablaufen. Nach Ablauf dieser Zertifikate erhält Ihr Gerät keine Updates mehr für den Windows Boot Manager. Dadurch wird Ihr System anfällig für neue Bedrohungen und die Kompatibilität mit neuer Hardware, die aktuelle Signaturen benötigt, erschwert.

Es ist unbedingt erforderlich, auf die neuesten Windows UEFI CA 2023 -Zertifikate umzusteigen. Obwohl Microsoft mit OEMs zusammenarbeitet, um diesen Übergang über Windows-Updates zu erleichtern, bietet die manuelle Aktualisierung der Zertifikate vorab mehrere Vorteile:

Es gibt keine Garantie, dass Microsoft diese Zertifikate vor Ablaufdatum auf Ihrem spezifischen Gerät bereitstellt; die Priorisierung der Bereitstellung erfolgt nach Gerätepriorität, was dazu führen kann, dass Sie unbestimmte Zeit warten müssen.
Ältere Zertifikate aus dem Jahr 2011 weisen Sicherheitslücken wie das BlackLotus-Bootkit auf, das Secure Boot umgehen kann. Ein Update erhöht Ihre Sicherheit sofort.
Wenn Windows-Updates deaktiviert sind oder Sie die Verwaltung von Updates lieber selbst übernehmen möchten, ist eine manuelle Installation der Zertifikate erforderlich.
Durch die regelmäßige Aktualisierung Ihrer Zertifikate stellen Sie sicher, dass Ihr Wiederherstellungslaufwerk funktionsfähig bleibt und vermeiden so potenzielle Probleme in der Zukunft.

Das Ausbleiben eines sofortigen Zertifikatsupdates führt zwar nicht dazu, dass Sie von Ihrem PC ausgesperrt werden, erhöht aber die Sicherheitsrisiken und erschwert zukünftige Systemaktualisierungen.

Überprüfung der Secure-Boot-Zertifikate Ihres PCs

Es besteht die Möglichkeit, dass Microsoft die neuen Zertifikate auf Ihrem PC bereits voraktiviert hat. Dies können Sie ganz einfach mit PowerShell überprüfen.

Suchen Sie zunächst in der Windows-Suchleiste nach „PowerShell“, klicken Sie mit der rechten Maustaste auf Windows PowerShell und wählen Sie „Als Administrator ausführen“.

Geben Sie als Nächstes folgenden Befehl ein:

[System. Text. Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Befehl zum Überprüfen der Secure-Boot-Zertifikate ausführen

Wenn die Ausgabe „True“ zurückgibt, ist Ihr Zertifikat aktuell und es sind keine weiteren Maßnahmen erforderlich. Wenn die Ausgabe „False“ lautet, sollten Sie die Zertifikate aktualisieren.

Schritte zur Installation der Secure-Boot-Zertifikate 2023

Die Windows UEFI CA 2023-Zertifikate sind wahrscheinlich bereits auf Ihrem PC vorhanden. Sie wurden mit dem kumulativen Windows 11-Update vom Februar 2024 hinzugefügt, sind aber noch inaktiv. Wenn Ihr System nach der Veröffentlichung im Februar 2024 aktualisiert wurde, können Sie diese Zertifikate wie folgt aktivieren:

Starten Sie PowerShell erneut als Administrator und führen Sie folgenden Befehl aus:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Bereitstellung von Secure Boot 2023-Zertifikaten

Dieser Befehl ändert die Registrierung, um die Bereitstellung der Zertifikate von 2023 vorzubereiten. Die 0x5944Bitmaske im Befehl aktiviert sechs Anweisungen, die Ihren PC für die Installation der Windows UEFI CA 2023 vorbereiten.

Um die neu konfigurierten Anweisungen auszuführen, geben Sie folgenden Befehl in PowerShell ein:

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Dieser Befehl initiiert die notwendigen Schritte zur Installation der Zertifikate beim nächsten Systemstart, einschließlich Kompatibilitätsprüfungen und dem Verschieben neuer Zertifikate aus dem WinSxS-Ordner in den entsprechenden Zwischenspeicherbereich. Während der Ausführung dieses Befehls kann es zu kurzen Verzögerungen Ihres PCs kommen.

Wichtig: Starten Sie Windows zweimal neu. Ein Neustart des PCs ist unerlässlich und reicht nicht aus, ihn nur herunterzufahren und wieder einzuschalten. Wenn der Schnellstart aktiviert ist, wird der Speicher durch das Herunterfahren nicht vollständig gelöscht, was für die Wirksamkeit der Änderungen erforderlich ist.

Herzlichen Glückwunsch! Ihr PC verfügt nun über die neuesten Secure-Boot-Zertifikate, die bis 2038 gültig sind. Normalerweise sollten keine Probleme auftreten. Sollten dennoch Schwierigkeiten auftreten, konsultieren Sie bitte die Anleitungen zur Behebung von Windows-Startproblemen oder zur Vermeidung von Endlos-Bootschleifen.

Quellen & Bilder