Surface Secure-Boot-Zertifikate
Sicherer Start ist ein Sicherheitsfeature in der UEFI-basierten Firmware (Unified Extensible Firmware Interface), die sicherstellt, dass nur vertrauenswürdige Software während der Startsequenz eines Geräts ausgeführt wird. Dies funktioniert, indem die digitale Signatur der Vorabstartsoftware mit einer Reihe von vertrauenswürdigen digitalen Zertifikaten (auch als Zertifizierungsstelle oder Zertifizierungsstelle bezeichnet) überprüft wird, die in der Firmware des Geräts gespeichert sind. Als Industriestandard definiert UEFI Secure Boot, wie Plattformfirmware die Zertifikate verwaltet, Firmware authentifiziert und wie das Betriebssystem (Os) mit diesem Prozess zusammenarbeitet.
Windows Secure Boot-Zertifikate laufen 2026 ab
Um Die Sicherheit Ihres Windows-Geräts zu gewährleisten, aktualisiert Microsoft die zertifikate, die vom sicheren Start verwendet werden– ein Sicherheitsfeature, das Ihre Geräte beim Start vor Schadsoftware schützt. Diese Zertifikate, die ursprünglich im Jahr 2011 ausgestellt wurden, laufen ab Juni 2026 ab. Um geschützt zu bleiben, muss Ihr Gerät vor diesem Vorgang einen neueren Satz von 2023-Zertifikaten für den sicheren Start erhalten. Für die meisten Benutzer werden die erforderlichen Updates automatisch über Windows Updates bereitgestellt, ohne dass eine Benutzeraktion erforderlich ist.
Ob die Updates erfolgreich angewendet wurden, kann über die Windows-Sicherheit-App überprüft werden, wie unter Aktualisieren des Zertifikats für den sicheren Start status in der Windows-Sicherheit-App beschrieben. IT-Experten in einem organization können auch status für verwaltete Geräte über ein PowerShell-Erkennungsskript überprüfen.
Wie wirkt sich dies auf Surface-Geräte aus?
Alle Surface-Geräte, die ab 2024 veröffentlicht wurden , verfügen über eine aktualisierte UEFI Secure Boot Signature Database (DB), die die neueren Zertifikate für den sicheren Start 2023 enthält. Wenn Sie bei früheren Surface-Geräten nicht warten möchten, bis die erforderlichen Updates automatisch über Windows Update übermittelt werden, und diese Geräte bereits über IT-verwaltete Updates verfügen, stehen mehrere Bereitstellungsmethoden zur Verfügung:
· Registrierungsschlüsselmethode
· Gruppenrichtlinie Objects-Methode (GPO)
Einige Surface-Geräte können diese Updates für den sicheren Start auch über ihre UEFI bereitstellen, dies erfordert jedoch zusätzliche Schritte und Benutzereingriffe. Die folgende Tabelle zeigt, auf welchen Geräten diese Updates für die manuelle Bereitstellung bereit sind. Dies löst jedoch ein BitLocker-Wiederherstellungsszenario aus. Stellen Sie daher sicher, dass Ihr BitLocker-Wiederherstellungsschlüssel verfügbar ist, wenn Sie die folgenden Schritte ausführen:
1. Starten Sie im Menü mit den UEFI-Firmwareeinstellungen, indem Sie die Lautstärke gedrückt halten und einschalten.
2. Wechseln Sie zum Abschnitt Sicherheit , und klicken Sie unter Sicherer Start auf die Schaltfläche "Konfiguration ändern".
3. Wählen Sie im Dropdownmenü "Nur Microsoft" aus, und wählen Sie OK aus.
4. Wählen Sie auf der linken Seite des Einstellungsmenüs die Option Beenden und dann "Jetzt neu starten" aus.
Unabhängig von der Methode, die zum Aktualisieren von Zertifikaten für den sicheren Start verwendet wird, verfügen alle Surface-Geräte in der folgenden Tabelle (und die in 2024 und höher veröffentlichten) über aktualisierte Wiederherstellungsimages von Microsoft, die diese Zertifikate erfordern.
| Produktname | UEFI-Mindestversion mit verfügbaren Updates für den sicheren Start |
|---|---|
| Surface Hub 31 | 6.104.143.0 |
| Surface Go 4 | 8.200.143.0 |
| Surface Laptop Go 3 | 10.200.143.0 |
| Surface Laptop Studio 2 | 16.200.143.0 |
| Surface Laptop 5 | 9.200.143.0 |
| Surface Pro 9 | 12.200.143.0 |
| Surface Pro 9 mit 5G | 18.7.235.0 |
| Windows Dev Kit 2023 | 12.6.235.0 |
| Surface Studio 2+ | 20.101.143.0 |
| Surface Laptop Go 2 | 26.102.143.0 |
| Surface Laptop SE | 7.9.139.0 |
| Surface Pro X WiFi | 10.703.140.0 |
| Surface Go 3 | 11.200.143.0 |
| Surface Pro 8 | 23.200.143.0 |
| Surface Laptop Studio | 23.200.143.0 |
| Surface Laptop 4 (Intel) | 23.200.143.0 |
| Surface Laptop 4 (AMD) | 4.200.140.0 |
| Surface Pro 7+ | 23.200.143.0 |
| Surface Pro 7 | 17.200.140.0 |
| Surface Book 3 | 17.200.140.0 |
1Surface Hub 3-Wiederherstellungsimages können mit Hub 2S-Geräten verwendet werden, die zu Windows 11 migriert wurden.
Zusätzliche Optionen für IT-Experten und Organisationen
Das Windows Assessment and Deployment Kit (ADK) hat Unterstützung für die 2023-Zertifizierungsstelle in Version 10.1.26100.2454 (Dezember 2024) hinzugefügt, und neue WinPE-Images (Windows Preinstallation Environment) können mit dem aktualisierten Zertifikat erstellt werden. Bereits vorhandene Images können anhand der folgenden Anleitung aktualisiert werden: Aktualisieren von startbaren Windows-Medien zur Verwendung des PCA2023 signierten Start-Managers.