Unter Windows 11 und Windows 10 validiert und aktualisiert Microsoft die Secure-Boot-Zertifikate schrittweise über reguläre Systemupdates. In den meisten Fällen genügt es, die monatlichen Sicherheitsupdates zu installieren, um sicherzustellen, dass Ihr Gerät vor dem Stichtag im Juni 2026 bereit ist.
Wenn Sie die neueren Secure-Boot-Zertifikate von 2023 jedoch selbst überprüfen oder anwenden möchten, können Sie den Vorgang manuell durchführen. Diese Anleitung führt Sie durch die einzelnen Schritte.
Secure Boot ist eine in die Unified Extensible Firmware Interface (UEFI) integrierte Sicherheitsfunktion auf Firmware-Ebene. Sie stellt sicher, dass ein Gerät nur mit digital signierter und von anerkannten Zertifizierungsstellen als vertrauenswürdig eingestufter Software startet. Durch die Validierung von Bootloadern und Firmware-Komponenten vor dem Laden des Betriebssystems verhindert Secure Boot, dass Rootkits und andere Schadsoftware den Startvorgang beeinträchtigen.
Um diesen Schutz zu gewährleisten, verwendet Secure Boot kryptografische Schlüssel, sogenannte Zertifizierungsstellen (CAs). Diese Schlüssel stellen eine Vertrauenskette zwischen der Firmware und dem Betriebssystem her und blockieren unsignierten oder manipulierten Code während des frühen Startvorgangs.
Wie alle digitalen Zertifikate haben auch Secure-Boot-Zertifizierungsstellen ein Ablaufdatum. Die ursprünglichen Zertifikate von 2011 laufen im Juni 2026 ab. Systeme müssen vor diesem Datum die aktualisierten Zertifikate von 2023 installiert haben, um Vertrauensvalidierungsfehler, Startprobleme oder mögliche Unterbrechungen beim Empfang zukünftiger Updates zu vermeiden.
Computer, die ab 2024 hergestellt werden, werden in der Regel bereits mit den Zertifikaten von 2023 ausgeliefert. Für ältere Hardware stellt Microsoft die aktualisierten Zertifikate im Rahmen der laufenden Sicherheitswartung über Windows Update bereit. Alternativ können Sie die neuen Zertifikate auch manuell installieren und ersetzen.
In diesem Leitfaden beschreibe ich die einfachen Schritte zum Überprüfen und manuellen Aktualisieren der Secure-Boot-Zertifikate auf Ihrem Windows 11-Gerät.
Wichtig: Obwohl es sich um einen nicht-destruktiven Vorgang handelt, wird dennoch dringend empfohlen, vor dem Fortfahren eine vollständige Datensicherung Ihres Computers zu erstellen . Sie wurden gewarnt.
Installieren Sie die Secure-Boot-Zertifikate von 2023 unter Windows 11
Wenn BitLocker aktiviert ist, müssen Sie die Verschlüsselung vorübergehend in PowerShell deaktivieren Suspend-BitLocker -MountPoint "C:" -RebootCount 2, bevor die Firmware die neuen Schlüssel erfolgreich auf das Gerät schreiben kann. Stellen Sie außerdem vor dem Fortfahren sicher, dass Ihr Computer vollständig auf das Sicherheitsupdate vom Februar 2026 (KB5077181) oder eine neuere Version aktualisiert ist .
Um die Secure-Boot-Zertifikate vor ihrem Ablauf im Jahr 2026 zu aktualisieren, befolgen Sie diese Schritte:
Öffnen Start .
Suchen Sie nach PowerShell (oder Terminal ), klicken Sie mit der rechten Maustaste auf das oberste Ergebnis und wählen Sie die Option „Als Administrator ausführen“ .
Geben Sie diesen Befehl ein, um zu bestätigen, dass das Gerät UEFI mit aktiviertem Secure Boot verwendet, und drücken Sie die Eingabetaste :
Confirm-SecureBootUEFI
Kurzer Hinweis: Lautet die Ausgabe „True“, können Sie mit den folgenden Schritten fortfahren. Andernfalls müssen Sie Secure Boot aktivieren . Unter Windows 10 ist möglicherweise sogar ein Wechsel vom Legacy-BIOS zum UEFI erforderlich .
Geben Sie diesen Befehl ein, um das Ablaufdatum der Secure-Boot-Zertifikate zu überprüfen, und drücken Sie die Eingabetaste :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
(Ausgabe 1) Wenn die Ausgabe „True“ lautet, besitzen Sie das neue Zertifikat (gültig bis 2053). Beenden Sie den Vorgang und fahren Sie nicht fort.
(Ausgabe 2) Lautet die Ausgabe „Falsch“, verwenden Sie wahrscheinlich noch das Zertifikat von 2011 (gültig bis 2026). Fahren Sie mit den folgenden Schritten fort.
Geben Sie diesen Befehl ein, um den Registrierungsschlüssel so festzulegen, dass alle erforderlichen Zertifikate bereitgestellt werden, und drücken Sie die Eingabetaste :
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Geben Sie diesen Befehl ein, um die Zertifikatsänderungen manuell auszulösen, und drücken Sie die Eingabetaste :
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Starten Sie den Computer einmal neu.
Starten Sie das Gerät ein zweites Mal neu und fahren Sie mit dem Vorgang zur Überprüfung der Zertifikate fort.
Kurzer Hinweis: Für das Update sind in der Regel zwei Neustarts erforderlich, um vollständig wirksam zu werden. Nach dem ersten Neustart aktualisiert das System den Bootmanager. Nach dem zweiten Neustart wird die Zertifikatregistrierung in der UEFI-Datenbank abgeschlossen.
Öffnen Start .
Suchen Sie nach PowerShell (oder Terminal ), klicken Sie mit der rechten Maustaste auf das oberste Ergebnis und wählen Sie die Option „Als Administrator ausführen“.
Geben Sie diesen Befehl ein, um zu überprüfen, ob das Update erfolgreich abgeschlossen wurde, und drücken Sie die Eingabetaste :
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Nach Abschluss der Schritte und der Ausgabe „True“ wurden die neuen Zertifikate (gültig bis 2053) erfolgreich auf Ihrem Computer installiert. Lautet die Ausgabe „False“, wurden die Zertifikate nicht korrekt installiert.
Es ist wichtig zu beachten, dass „True“ zwar die Registrierung der Zertifizierungsstelle von 2023 bestätigt, das Zertifikat von 2011 aber nicht in allen Fällen sofort entfernt. Auf manchen Systemen werden möglicherweise vorübergehend beide Zertifikate angezeigt.
Wenn die Ausgabe nach dem Vorgang weiterhin „Falsch“ lautet, überprüfen Sie die Ereignisanzeige unter „Anwendungs- und Dienstprotokolle“ > „Microsoft“ > „Windows“ > „SecureBoot-Update“ auf Fehler. Prüfen Sie außerdem, ob die geplante Aufgabe vorhanden ist , indem Sie den Get-ScheduledTask -TaskName "Secure-Boot-Update"entsprechenden Befehl ausführen.
Nach dem Update können Sie die Verschlüsselung wieder aufnehmen, falls Sie BitLocker deaktivieren mussten, indem Sie den Resume-BitLocker -MountPoint "C:"entsprechenden Befehl ausführen, obwohl die -RebootCount 2Verschlüsselung nach zwei Neustarts automatisch wiederhergestellt wird.
Wichtig ist, dass die Secure-Boot-Zertifikate von 2023 nicht einfach so entstehen. Microsoft integriert die neuen Zertifikate in Windows-Wartungsupdates, üblicherweise als Teil eines kumulativen Updates oder Sicherheitsupdates für Windows 11 und unterstützte Windows-10-Geräte.
Tatsächlich integriert das Unternehmen die neuen Secure-Boot-Zertifikate bereits seit der Veröffentlichung des Sicherheitsupdates vom Februar 2026 (und höherer Versionen).
Diese Zertifikate, bekannt als Windows UEFI CA 2023, sind digital von Microsoft signiert und werden von Secure Boot als vertrauenswürdig eingestuft.
Falls die Zertifikate bereits auf Ihrem Computer vorhanden sind, helfen Ihnen diese Anweisungen dabei, sie sofort anzuwenden, ohne auf die automatische Aktualisierung durch das System warten zu müssen.
Um mit Rufus einen Windows 11 24H2 USB-Stick zu erstellen, öffnen Sie das Tool, wählen Sie „Vorhandene ISO-Datei öffnen“ oder laden Sie die ISO-Datei herunter und wählen Sie die Option „Benutzerdefiniert“. Anleitung hier.
Zum Herunterladen der Windows 11 ISO-Datei können Sie die Microsoft-Website, das Media Creation Tool, Rufus oder UUP Dump verwenden. So geht's.
Microsoft veröffentlicht das Patch-Tuesday-Update vom August 2025 mit Änderungen und Fehlerbehebungen für Windows 10.
WhyNotWin11 ist besser als die Microsoft PC Health Check-App, um Ihnen zu sagen, warum Ihr PC Windows 11 nicht ausführen kann, einschließlich TPM 2.0 und CPU-Unterstützung.
Vor der Installation von Windows 11 sollten Sie die Kompatibilität prüfen, TPM 2.0 und Secure Boot aktivieren, eine Datensicherung erstellen, Apps entfernen, Dateien reparieren und...
Recall für Windows 11 ist eine KI-Funktion, die alle Ihre Aktivitäten am Computer protokolliert und durchsuchbar macht. Hier finden Sie alle wichtigen Informationen.
Um Windows 11 neu zu installieren, öffnen Sie Einstellungen > System > Wiederherstellung, klicken Sie auf Jetzt neu installieren und OK, oder verwenden Sie die Option Diesen PC zurücksetzen, wobei die Dateien beibehalten werden.
Um Copilot Vision unter Windows 11 zu verwenden, öffnen Sie die Copilot-App, klicken Sie auf das Symbol für die Vision-Brille, wählen Sie die App aus und klicken Sie auf Teilen.
Die PC Manager-App für Windows 11 ist auf der Microsoft-Website erschienen. Es handelt sich um eine App, die dabei hilft, die Systemleistung zu steigern und das Gerät zu schützen.
Steigern Sie die Leistung von Windows 11 kostenlos mit bewährten Tipps – ganz ohne zusätzliche Hardware oder Software. Lernen Sie, Ihren PC mithilfe integrierter Tools zu beschleunigen.
