Ursprüngliches Veröffentlichungsdatum: 26. Juni 2025
KB-ID: 5062710
Was ist sicherer Start?
Sicherer Start ist ein Sicherheitsfeature in der UEFI-basierten Firmware (Unified Extensible Firmware Interface), die sicherstellt, dass nur vertrauenswürdige Software während der Startsequenz eines Geräts ausgeführt wird. Dies funktioniert, indem die digitale Signatur der Vorabstartsoftware mit einer Reihe von vertrauenswürdigen digitalen Zertifikaten (auch als Zertifizierungsstelle oder Zertifizierungsstelle bezeichnet) überprüft wird, die in der Firmware des Geräts gespeichert sind. Als Industriestandard definiert UEFI Secure Boot, wie Plattformfirmware die Zertifikate verwaltet, Firmware authentifiziert und wie das Betriebssystem (Os) mit diesem Prozess zusammenarbeitet. Weitere Informationen zu UEFI und sicherem Start finden Sie unter Sicherer Start.
Der sichere Start wurde zum ersten Mal in Windows 8 eingeführt, um sich vor der neu auftretenden Schadsoftware (auch als Bootkit bezeichnet) zu dieser Zeit zu schützen. Im Rahmen der Plattforminitialisierung authentifiziert der sichere Start Firmwaremodule vor der Ausführung. Zu diesen Modulen gehören UEFI-Firmwaretreiber (z. B. Options-ROMs), Startladeprogramme und Anwendungen. Im letzten Schritt des Prozesses für den sicheren Start überprüft die Firmware, ob der sichere Start dem Startladeprogramm vertraut. Anschließend übergibt die Firmware die Steuerung an den Startladeprogramm, der wiederum überprüft, in den Arbeitsspeicher lädt und das Windows-Betriebssystem startet.
Sicherer Start definiert vertrauenswürdigen Code über eine Firmwarerichtlinie, die während der Fertigung festgelegt wurde. Änderungen an dieser Richtlinie, z. B. das Hinzufügen oder Widerrufen von Zertifikaten, werden durch eine Hierarchie von Schlüsseln gesteuert. Diese Hierarchie beginnt mit dem Plattformschlüssel (PK), der sich in der Regel im Besitz des Hardwareherstellers befindet, gefolgt vom Schlüsselregistrierungsschlüssel (Key Enrollment Key, KEK) (auch als Schlüsselaustauschschlüssel bezeichnet), der ein Microsoft KEK und andere OEM-KEKs enthalten kann. Die Zulässige Signaturdatenbank (Allowed Signature Database, DB) und die Datenbank für unzulässige Signaturen (DBX) bestimmen, welcher Code in der UEFI-Umgebung ausgeführt werden kann, bevor das Betriebssystem gestartet wird. Die Datenbank enthält Zertifikate, die von Microsoft und dem OEM verwaltet werden, während dbX von Microsoft mit den neuesten Sperrungen aktualisiert wird. Jede Entität mit einem KEK kann die Datenbank und DBX aktualisieren.
Windows Secure Boot-Zertifikate laufen 2026 ab
Seit Windows die Unterstützung für den sicheren Start eingeführt hat, verfügen alle Windows-basierten Geräte über denselben Satz von Microsoft-Zertifikaten im KEK und in der Datenbank. Diese ursprünglichen Zertifikate nähern sich ihrem Ablaufdatum, und Ihr Gerät ist betroffen, wenn es über eine der aufgeführten Zertifikatversionen verfügt. Um Windows weiterhin auszuführen und regelmäßige Updates für Ihre Konfiguration für den sicheren Start zu erhalten, müssen Sie diese Zertifikate aktualisieren.
Begriff
-
KEK: Schlüsselregistrierungsschlüssel
-
CA: Zertifizierungsstelle
-
DB: Signaturdatenbank für sicheren Start
-
DBX: Datenbank für widerrufene Signaturen für den sicheren Start
|
Ablaufendes Zertifikat |
Ablaufdatum |
Neues Zertifikat |
Speicherort |
Funktion |
|
Schlüsselaustauschschlüssel-ZS 2011 der Microsoft Corporation |
Juni 2026 |
Microsoft Corporation KEK CA 2023 |
Im KEK gespeichert |
Signiert Updates für DB und DBX. |
|
Microsoft Windows Production PCA 2011 |
Oktober 2026 |
Windows UEFI CA 2023 |
In datenbank gespeichert |
Wird zum Signieren des Windows-Startladeprogramms verwendet. |
|
Microsoft UEFI CA 2011* |
Juni 2026 |
Microsoft UEFI CA 2023 |
In datenbank gespeichert |
Signiert Startladeprogramme von Drittanbietern und EFI-Anwendungen. |
|
Microsoft UEFI CA 2011* |
Juni 2026 |
Microsoft Option ROM CA 2023 |
In datenbank gespeichert |
Signiert Options-ROMs von Drittanbietern |
*Während der Verlängerung des Microsoft Corporation UEFI CA 2011-Zertifikats trennen zwei Zertifikate die Bootloadersignatur von der Option-ROM-Signatur. Dies ermöglicht eine präzisere Kontrolle über die Systemvertrauensstellung. Systeme, die Options-ROMs vertrauen müssen, können z. B. die Microsoft Option ROM UEFI CA 2023 hinzufügen, ohne dass für Startladeprogramme von Drittanbietern Eine Vertrauensstellung hinzugefügt wird.
Microsoft hat aktualisierte Zertifikate ausgestellt, um die Kontinuität des Schutzes für den sicheren Start auf Windows-Geräten sicherzustellen. Microsoft verwaltet den Updateprozess für diese neuen Zertifikate auf einem erheblichen Teil der Windows-Geräte. Darüber hinaus bieten wir detaillierte Anleitungen für Organisationen, die ihre eigenen Geräteupdates verwalten.
Wichtig Wenn die 2011-Zertifizierungsstellen ablaufen, können Windows-Geräte, die nicht über neue 2023-Zertifikate verfügen, keine Sicherheitskorrekturen mehr für Komponenten vor dem Start erhalten, die die Startsicherheit von Windows beeinträchtigen.
Handlungsbedarf
Möglicherweise müssen Sie Maßnahmen ergreifen, um sicherzustellen, dass Ihr Windows-Gerät sicher bleibt, wenn die Zertifikate im Jahr 2026 ablaufen. Sowohl UEFI Secure Boot DB als auch KEK müssen mit den entsprechenden neuen 2023-Zertifikatversionen aktualisiert werden. Weitere Informationen zu den neuen Zertifikaten finden Sie unter Windows Secure Boot Key Creation and Management Guidance .For more information about the new certificates, see Windows Secure Boot Key Creation and Management Guidance.For more information about the new certificates, see Windows Secure Boot Key Creation and Management Guidance.
Wichtig Ohne Updates riskieren die Windows-Geräte mit aktiviertem sicheren Start, keine Sicherheitsupdates zu erhalten oder neuen Startladeprogrammen zu vertrauen, was sowohl die Wartungsfähigkeit als auch die Sicherheit beeinträchtigt.
Ihre Aktionen variieren je nach Windows-Gerättyp. Wählen Sie im Menü auf der linken Seite den Gerätetyp und die spezifische Aktion aus, die Sie ausführen müssen.
