Unter Windows 11 und Windows 10 validiert und aktualisiert Microsoft die Secure-Boot-Zertifikate schrittweise über reguläre Systemupdates. In den meisten Fällen genügt es, die monatlichen Sicherheitsupdates zu installieren, um sicherzustellen, dass Ihr Gerät vor dem Stichtag im Juni 2026 bereit ist.
Wenn Sie die neueren Secure-Boot-Zertifikate von 2023 jedoch selbst überprüfen oder anwenden möchten, können Sie den Vorgang manuell durchführen. Diese Anleitung führt Sie durch die einzelnen Schritte.
Secure Boot ist eine in die Unified Extensible Firmware Interface (UEFI) integrierte Sicherheitsfunktion auf Firmware-Ebene. Sie stellt sicher, dass ein Gerät nur mit digital signierter und von anerkannten Zertifizierungsstellen als vertrauenswürdig eingestufter Software startet. Durch die Validierung von Bootloadern und Firmware-Komponenten vor dem Laden des Betriebssystems verhindert Secure Boot, dass Rootkits und andere Schadsoftware den Startvorgang beeinträchtigen.
Um diesen Schutz zu gewährleisten, verwendet Secure Boot kryptografische Schlüssel, sogenannte Zertifizierungsstellen (CAs). Diese Schlüssel stellen eine Vertrauenskette zwischen der Firmware und dem Betriebssystem her und blockieren unsignierten oder manipulierten Code während des frühen Startvorgangs.
Wie alle digitalen Zertifikate haben auch Secure-Boot-Zertifizierungsstellen ein Ablaufdatum. Die ursprünglichen Zertifikate von 2011 laufen im Juni 2026 ab. Systeme müssen vor diesem Datum die aktualisierten Zertifikate von 2023 installiert haben, um Vertrauensvalidierungsfehler, Startprobleme oder mögliche Unterbrechungen beim Empfang zukünftiger Updates zu vermeiden.
Computer, die ab 2024 hergestellt werden, werden in der Regel bereits mit den Zertifikaten von 2023 ausgeliefert. Für ältere Hardware stellt Microsoft die aktualisierten Zertifikate im Rahmen der laufenden Sicherheitswartung über Windows Update bereit. Alternativ können Sie die neuen Zertifikate auch manuell installieren und ersetzen.
In diesem Leitfaden beschreibe ich die einfachen Schritte zum Überprüfen und manuellen Aktualisieren der Secure-Boot-Zertifikate auf Ihrem Windows 11-Gerät.
Wichtig: Obwohl es sich um einen nicht-destruktiven Vorgang handelt, wird dennoch dringend empfohlen, vor dem Fortfahren eine vollständige Datensicherung Ihres Computers zu erstellen . Sie wurden gewarnt.
Installieren Sie die Secure-Boot-Zertifikate von 2023 unter Windows 11
Wenn BitLocker aktiviert ist, müssen Sie die Verschlüsselung vorübergehend in PowerShell deaktivieren Suspend-BitLocker -MountPoint "C:" -RebootCount 2, bevor die Firmware die neuen Schlüssel erfolgreich auf das Gerät schreiben kann. Stellen Sie außerdem vor dem Fortfahren sicher, dass Ihr Computer vollständig auf das Sicherheitsupdate vom Februar 2026 (KB5077181) oder eine neuere Version aktualisiert ist .
Um die Secure-Boot-Zertifikate vor ihrem Ablauf im Jahr 2026 zu aktualisieren, befolgen Sie diese Schritte:
Öffnen Start .
Suchen Sie nach PowerShell (oder Terminal ), klicken Sie mit der rechten Maustaste auf das oberste Ergebnis und wählen Sie die Option „Als Administrator ausführen“ .
Geben Sie diesen Befehl ein, um zu bestätigen, dass das Gerät UEFI mit aktiviertem Secure Boot verwendet, und drücken Sie die Eingabetaste :
Confirm-SecureBootUEFI
Kurzer Hinweis: Lautet die Ausgabe „True“, können Sie mit den folgenden Schritten fortfahren. Andernfalls müssen Sie Secure Boot aktivieren . Unter Windows 10 ist möglicherweise sogar ein Wechsel vom Legacy-BIOS zum UEFI erforderlich .
Geben Sie diesen Befehl ein, um das Ablaufdatum der Secure-Boot-Zertifikate zu überprüfen, und drücken Sie die Eingabetaste :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
(Ausgabe 1) Wenn die Ausgabe „True“ lautet, besitzen Sie das neue Zertifikat (gültig bis 2053). Beenden Sie den Vorgang und fahren Sie nicht fort.
(Ausgabe 2) Lautet die Ausgabe „Falsch“, verwenden Sie wahrscheinlich noch das Zertifikat von 2011 (gültig bis 2026). Fahren Sie mit den folgenden Schritten fort.
Geben Sie diesen Befehl ein, um den Registrierungsschlüssel so festzulegen, dass alle erforderlichen Zertifikate bereitgestellt werden, und drücken Sie die Eingabetaste :
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Geben Sie diesen Befehl ein, um die Zertifikatsänderungen manuell auszulösen, und drücken Sie die Eingabetaste :
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Starten Sie den Computer einmal neu.
Starten Sie das Gerät ein zweites Mal neu und fahren Sie mit dem Vorgang zur Überprüfung der Zertifikate fort.
Kurzer Hinweis: Für das Update sind in der Regel zwei Neustarts erforderlich, um vollständig wirksam zu werden. Nach dem ersten Neustart aktualisiert das System den Bootmanager. Nach dem zweiten Neustart wird die Zertifikatregistrierung in der UEFI-Datenbank abgeschlossen.
Öffnen Start .
Suchen Sie nach PowerShell (oder Terminal ), klicken Sie mit der rechten Maustaste auf das oberste Ergebnis und wählen Sie die Option „Als Administrator ausführen“.
Geben Sie diesen Befehl ein, um zu überprüfen, ob das Update erfolgreich abgeschlossen wurde, und drücken Sie die Eingabetaste :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Nach Abschluss der Schritte und der Ausgabe „True“ wurden die neuen Zertifikate (gültig bis 2053) erfolgreich auf Ihrem Computer installiert. Lautet die Ausgabe „False“, wurden die Zertifikate nicht korrekt installiert.
Es ist wichtig zu beachten, dass „True“ zwar die Registrierung der Zertifizierungsstelle von 2023 bestätigt, das Zertifikat von 2011 aber nicht in allen Fällen sofort entfernt. Auf manchen Systemen werden möglicherweise vorübergehend beide Zertifikate angezeigt.
Wenn die Ausgabe nach dem Vorgang weiterhin „Falsch“ lautet, überprüfen Sie die Ereignisanzeige unter „Anwendungs- und Dienstprotokolle“ > „Microsoft“ > „Windows“ > „SecureBoot-Update“ auf Fehler. Prüfen Sie außerdem, ob die geplante Aufgabe vorhanden ist , indem Sie den Get-ScheduledTask -TaskName "Secure-Boot-Update"entsprechenden Befehl ausführen.
Nach dem Update können Sie die Verschlüsselung wieder aufnehmen, falls Sie BitLocker deaktivieren mussten, indem Sie den Resume-BitLocker -MountPoint "C:"entsprechenden Befehl ausführen, obwohl die -RebootCount 2Verschlüsselung nach zwei Neustarts automatisch wiederhergestellt wird.
Wichtig ist, dass die Secure-Boot-Zertifikate von 2023 nicht einfach so entstehen. Microsoft integriert die neuen Zertifikate in Windows-Wartungsupdates, üblicherweise als Teil eines kumulativen Updates oder Sicherheitsupdates für Windows 11 und unterstützte Windows-10-Geräte.
Tatsächlich integriert das Unternehmen die neuen Secure-Boot-Zertifikate bereits seit der Veröffentlichung des Sicherheitsupdates vom Februar 2026 (und höherer Versionen).
Diese Zertifikate, bekannt als Windows UEFI CA 2023, sind digital von Microsoft signiert und werden von Secure Boot als vertrauenswürdig eingestuft.
Falls die Zertifikate bereits auf Ihrem Computer vorhanden sind, helfen Ihnen diese Anweisungen dabei, sie sofort anzuwenden, ohne auf die automatische Aktualisierung durch das System warten zu müssen.
Um versteckte Funktionen unter Windows 11 (Insider-Vorschau) zu aktivieren, öffnen Sie die Eingabeaufforderung (als Administrator) und führen Sie den Befehl `vivetool /enable /id:ENABLE-FEATURE-ID` aus.
Microsoft bestätigt einen Fehler, der das Media Creation Tool unter Windows 10 blockiert. Hier erfahren Sie, wie Sie die Windows 11 ISO-Datei herunterladen können, um ein sicheres Upgrade durchzuführen.
Es gibt mehrere Möglichkeiten zu überprüfen, ob Windows 11 auf einem PC installiert ist. Achten Sie auf die neue blaue Startschaltfläche, die zentrierte Taskleiste, die Anzeige der Windows-Version (winver) und die Einstellungen unter „Über Windows“.
Um Windows 11 24H2 ISO nach der Veröffentlichung von 25H2 herunterzuladen, verwenden Sie UUP Dump, um ein benutzerdefiniertes ISO zu erstellen, und anschließend Rufus, um einen bootfähigen USB-Installer zu erstellen.
Mit RyTuneX können Sie die Telemetrie-, Tracking- und Hintergrunddatenerfassungsdienste von Windows 11 deaktivieren, ohne die Registrierung bearbeiten zu müssen.
Verhindern Sie, dass Windows 11 unnötige Daten an Microsoft sendet. Beschränken Sie die Telemetrie und schützen Sie Ihre Privatsphäre mit diesen einfachen Schritten.
Nach der Erstellung einer VM müssen Sie die VirtualBox-Gasterweiterungen unter Windows 10 installieren, um eine bessere Benutzerfreundlichkeit und Leistung zu erzielen – so geht's.
Neue Funktionen des Windows 11 24H2 Juli 2025 Updates (Build 26100.4652, KB5062553) können manuell mit ViVeTool für den Vorabzugriff aktiviert werden.
Sie können Remote Desktop und Firewall unter Windows 10 schnell über die Eingabeaufforderung oder PowerShell aktivieren oder deaktivieren. So geht's.
Sie können in VirtualBox einen freigegebenen Ordner erstellen, um Dateien mit einem Windows 10 (oder 11)-Computer zu teilen. Hier sind die Schritte, um diese Aufgabe zu erledigen.
