Hinweis
- Ursprüngliches Veröffentlichungsdatum: 15. September 2025
- KB-ID: 5068008
Änderungsprotokoll
| Datum ändern | Beschreibung ändern |
|---|---|
| 23. Februar 2026 |
|
| Dienstag, 9. Februar 2026 |
|
| 3. Februar 2026 |
|
| 12. Januar 2026 |
|
Allgemeine häufig gestellte Fragen zum sicheren Start
F1: Was geschieht, wenn mein Gerät die neuen Zertifikate für den sicheren Start nicht erhält, bevor die alten ablaufen?
Nachdem die Zertifikate für den sicheren Start abgelaufen sind, werden Geräte, die die neueren 2023-Zertifikate nicht erhalten haben, weiterhin normal gestartet und funktionieren normal, und Standardmäßige Windows-Updates werden weiterhin installiert. Diese Geräte können jedoch keinen neuen Sicherheitsschutz mehr für den frühen Startprozess erhalten, einschließlich Updates für Windows-Start-Manager, Datenbanken für den sicheren Start, Sperrlisten oder Risikominderungen für neu entdeckte Sicherheitsrisiken auf Startebene.
Im Laufe der Zeit schränkt dies den Schutz des Geräts vor neuen Bedrohungen ein und kann sich auf Szenarien auswirken, die auf der Vertrauensstellung für den sicheren Start basieren, z. B. BitLocker-Härtung oder Bootloader von Drittanbietern. Die meisten Windows-Geräte erhalten die aktualisierten Zertifikate automatisch, und viele OEMs haben bei Bedarf Firmwareupdates bereitgestellt. Wenn Sie Ihr Gerät mit diesen Updates auf dem neuesten Stand halten, können Sie sicherstellen, dass es weiterhin den vollständigen Sicherheitsschutz erhält, den der sichere Start bieten soll.
F2: Wann sollten Zertifikate für den sicheren Start aktualisiert werden?
Es empfiehlt sich, Zertifikate für den sicheren Start weit vor dem Ablaufdatum juni 2026 zu aktualisieren.
Wenn Ihr Gerät von Microsoft verwaltet wird und Diagnosedaten für Microsoft freigegeben werden, versucht Microsoft in den meisten Fällen, die Zertifikate für den sicheren Start automatisch zu aktualisieren. Während Microsoft sein Bestes tun wird, um den sicheren Start zu aktualisieren, wird es in einigen Situationen geben, in denen das Update nicht garantiert ist und kundenrelevante Maßnahmen erforderlich sind. Der Kunde ist letztendlich für die Aktualisierung der Zertifikate für den sicheren Start verantwortlich.
Beispiele für Situationen, in denen von Microsoft verwaltete Geräte mit aktivierten Diagnosedaten möglicherweise keine Updates erhalten:
- Microsoft Secure Boot-Updates gelten nur für einige unterstützte Versionen von Windows.
- Die auf Ihrem Gerät aktivierten Diagnosedaten können durch eine Firewall in Ihrem organization blockiert werden und Microsoft nicht erreichen.
- Möglicherweise stimmt etwas mit der Firmware auf dem Gerät nicht.
Hinweis Was bedeutet es, "Von Microsoft verwaltet" zu sein? Das System gibt Diagnosedaten gemeinsam und wird von Microsoft Cloud oder Intune verwaltet.
Wenn Ihr Gerät keine Diagnosedaten mit Microsoft teilt und von der IT-Abteilung Ihres organization oder vom Kunden verwaltet wird, kann die IT-Abteilung die Systeme gemäß den Anweisungen von Microsoft unter Ablauf des Windows Secure Boot-Zertifikats und Updates der Zertifizierungsstelle aktualisieren.
F3: Wie werden Zertifikate für den sicheren Start aktualisiert?
Wenn der Computer von Microsoft verwaltet wird, werden Zertifikate für den sicheren Start über Windows Update aktualisiert.
Wenn der Computer von Ihrem organization oder IT-Administrator ihres Unternehmens verwaltet wird, verfügt die IT-Abteilung über Methoden zum Aktualisieren des Systems mithilfe der Anleitungen unter Ablauf des Windows-Zertifikats für den sicheren Start und Updates der Zertifizierungsstelle.
F4: Was geschieht mit Windows 10 Systemen nach dem erweiterten Sicherheitsupdate (ESU) vom 14. Oktober 2025?
Windows 10 Support endet am 14. Oktober 2025. Weitere Informationen finden Sie unter Windows 10 Support endet am 14. Oktober 2025.
Um nach diesem Datum weiterhin sicherheitsrelevante Updates zu erhalten, können sich Kunden, die auf Windows 10 verbleiben, für Folgendes registrieren:
- Das Windows 10 ESU-Programm (Extended Security Updates) finden Sie unter Windows 10 ESU-Programm (Extended Security Updates)
- Wenn Sie über eine unterstützte LTSC-Version von Windows 10 verfügen, erhalten Sie bis zum LTSC-Ablaufdatum weiterhin sicherheitsrelevante Updates. Weitere Informationen finden Sie beispielsweise unter EsU-Programm (Extended Security Updates) für Windows 10
Hinweis
- Windows 10 Enterprise LTSC kann entweder als eigenständige SKU oder als Teil eines Windows Enterprise E3-Abonnements erworben werden.
- Windows IoT Enterprise LTSC kann direkt von einem OEM oder über eine Anbieterlizenz als eigenständige SKU erworben werden.
F5: Wie werden Zertifikate für den sicheren Start verwendet?
Mit Zertifikaten für den sicheren Start kann die Firmware überprüfen, ob kritische Komponenten wie Start-Manager, Options-ROMs (Firmwaretreiber) und andere firmwarebasierte Software vertrauenswürdig sind und nicht manipuliert wurden. Microsoft verwendet diese Zertifikate, um Start-Manager und andere Komponenten zu signieren, die vertrauenswürdig sein sollten, sowie Updates für den sicheren Start. Wenn ältere Zertifikate ablaufen, können sie nicht mehr zum Signieren neuer Komponenten oder Updates verwendet werden.
F6: Welche Auswirkungen hat dies auf Geräte mit deaktiviertem sicheren Start?
Geräte mit deaktiviertem sicheren Start erhalten die neuen Zertifikate für den sicheren Start nicht in der Firmware. Daher bleiben sie anfällig für Schadsoftware auf Startebene, z. B. Bootkits, da der Schutz für den sicheren Start nicht erzwungen wird.
F7: Aktualisiert Microsoft alle Zertifikate für den sicheren Start, einschließlich der Zertifikate im KEK und der Datenbank?
Für berechtigte Geräte , z. B. geräte, die kumulative Updates über eine konfidenzbasierte Bereitstellung erhalten oder für den Rollout von kontrollierten Features (Controlled Feature Rollout, CFR) mit aktivierten Diagnosedaten registriert sind, versucht Microsoft, alle anwendbaren Zertifikate zu aktualisieren. Diese Updates werden jedoch als Hilfe und nicht als Garantie bereitgestellt. IT-Administratoren sind weiterhin dafür verantwortlich, sicherzustellen, dass ihre gesamte Flotte aktualisiert wird, indem sie die automatisierte CFR von Microsoft und andere dokumentierte Bereitstellungsmethoden verwenden.
F8: Wann wurden die aktualisierten 2023 Secure Boot Certificates ausgeliefert?
Die Zertifikate waren in den kumulativen Updates (LCU) vom 13. Mai 2025 und höher enthalten. Sie werden jedoch nicht automatisch angewendet, zusätzliche Schritte sind erforderlich. Anleitungen zur Bereitstellung finden Sie unter https://aka.ms/getsecureboot.
F9: Was ist der Unterschied zwischen Firmwareupdates und Windows-Updates beim Anwenden von Zertifikaten für den sicheren Start?
Sie dienen unterschiedlichen Zwecken.
Firmwareupdates können die in der Firmware gespeicherten Standardvariablen für den sicheren Start aktualisieren. Dies ist in erster Linie nützlich, wenn die Einstellungen für den sicheren Start später auf die Standardwerte zurückgesetzt werden, da die Firmwarestandards bestimmen, welche Zertifikate in diesem Szenario wiederhergestellt werden.
Windows wendet Änderungen an den aktiven Variablen für den sicheren Start an, die beim normalen Start erzwungen werden. Diese aktiven Variablen sind das, was die Firmware verwendet, um Startkomponenten zu überprüfen, und worauf Windows angewiesen ist, um zukünftige Schutzfunktionen für den sicheren Start bereitzustellen.
In der Praxis ist Windows dafür verantwortlich, die aktive Konfiguration für den sicheren Start auf dem neuesten Stand zu halten. Firmwareupdates tragen dazu bei, dass auch die Standardwerte aktualisiert werden, wodurch das Risiko reduziert wird, wenn der sichere Start in Zukunft zurückgesetzt oder erneut initialisiert wird.
Administratoren sollten sicherstellen, dass die aktiven Variablen für den sicheren Start aktualisiert werden, und die Bereitstellung status überwachen, unabhängig davon, ob Firmwareupdates verfügbar sind.
Kunden-/IT-verwaltete Systeme– Häufig gestellte Fragen zum sicheren Start
F1: Was kann getan werden, um die Funktion für den sicheren Start auf älteren computern mit Kunden-/IT-Verwaltung beizubehalten, die möglicherweise keine Firmwareupdates vom OEM erhalten?
Es gibt zwei mögliche Pfade:
- Wenn der Computer von Microsoft mit freigegebenen Diagnosedaten verwaltet wird und das Betriebssystem unterstützt wird, versucht Microsoft, ein Update durchzuführen.
- Wenn das Gerät vom Kunden verwaltet oder von einem IT-Administrator verwaltet wird, kann die IT-Abteilung die Updates auf die überprüfte Gruppe von Computern anwenden, die Updates gemäß Microsoft-Anleitung unter Ablauf des Windows Secure Boot-Zertifikats und Updates der Zertifizierungsstelle sicher übernehmen können.
Diese Schritte werden für die meisten Kunden erwartet, ohne dass ein Firmwareupdate von OEMs erforderlich ist. Es wird jedoch bestimmte Fälle geben, in denen die Updates aufgrund bekannter oder unbekannter Probleme in der Gerätefirmware nicht angewendet werden. Befolgen Sie in solchen Fällen die OEM-Anleitung zu Firmwareupdates.
Hinweis Der obige Prozess wendet die aktiven Variablen für den sicheren Start über das Betriebssystem an. Die Standardwerte für Firmware für den sicheren Start werden in der Firmware beibehalten, die vom OEM veröffentlicht wird. Es wird empfohlen, die Konfiguration für den sicheren Start nicht zu ändern oder zu aktualisieren, es sei denn, der OEM hat ein Update veröffentlicht, um die Firmwarestandardeinstellungen auf die neuen Zertifikate zu ändern.
F2: Wenn ein Computer über abgelaufene Zertifikate für den sicheren Start verfügt, ist es möglich, eine neue Version von Windows zu installieren?
Wenn die Zertifikate ablaufen, wird der Schutz für den sicheren Start beeinträchtigt. Wenn das System die Anforderungen für ein neueres Betriebssystem wie z. B. Windows 11 erfüllt, ist ein Upgrade auf eine neuere Betriebssystemversion von Windows 11 möglich.
F3: Was geschieht beim Upgrade eines Windows 10 LTSC-Computers ohne aktivierten sicheren Start für Windows 11 LTSC nach dem Ablaufdatum des Zertifikats?
Wenn der sichere Start auf Ihren Windows 10 LTSC-Geräten nicht aktiviert ist, sind sie nicht im aktuellen Rollout für die neuen Zertifikate für den sicheren Start enthalten. Wenn Sie mit dem Upgrade auf Windows 11 LTSC beginnen, müssen Sie bestimmte Migrationsschritte ausführen, die zu diesem Zeitpunkt relevant sind, um sicherzustellen, dass die neuen 2023-Zertifikate enthalten sind.
F4: Erhalten Versionen von Windows, die nicht mehr unterstützt werden, die aktualisierten Zertifikate?
Nur unterstützte Windows-Betriebssystemversionen erhalten die Zertifikate.
F5: Wie funktionieren virtualisierte Umgebungen mit den Zertifikatupdates für den sicheren Start?
Für Windows, das in einer virtuellen Umgebung ausgeführt wird, gibt es zwei Methoden zum Hinzufügen der neuen Zertifikate zu den Firmwarevariablen für den sicheren Start:
- Der Ersteller der virtuellen Umgebung (AWS, Azure, Hyper-V, VMware usw.) kann ein Update für die Umgebung bereitstellen und die neuen Zertifikate in die virtualisierte Firmware einschließen. Dies würde für neue virtualisierte Geräte funktionieren.
- Wenn Windows langfristig auf einem virtuellen Computer ausgeführt wird, können die Updates über Windows wie alle anderen Geräte angewendet werden, wenn die virtualisierte Firmware Updates für den sicheren Start unterstützt.
F6: Warum kann Microsoft keine Bereitstellung für meine unternehmens-/IT-verwaltete Flotte mithilfe des kontrollierten Featurerollouts (Controlled Feature Rollout, CFR) durchführen, der in von Microsoft verwalteten Systemen verwendet wird?
In diesen vom Kunden/IT verwalteten Umgebungen fehlen häufig genügend Diagnosedaten, damit Microsoft neue Features sicher und sicher bereitstellen kann. Darüber hinaus bevorzugen IT-Abteilungen in der Regel die vollständige Kontrolle über den Zeitpunkt und den Inhalt von Updates, um Compliance, Stabilität und Kompatibilität mit internen Tools und Workflows sicherzustellen. Viele Unternehmensgeräte arbeiten auch in sensiblen oder eingeschränkten Umgebungen, in denen externer Zugriff oder externe Verwaltung – impliziert durch CFR – unerwünscht oder verboten sein kann.
F7: Mein Gerät konnte nicht mehr gestartet werden, nachdem ich die Firmware auf die Standardeinstellungen zurückgesetzt habe – was ist passiert und wie kann ich es beheben?
Wenn Windows bereits den 2023-signierten Start-Manager verwendet, die Firmware jedoch auf Standardwerte zurückgesetzt wird, die das Windows UEFI CA 2023-Zertifikat nicht enthalten, blockiert der sichere Start den Startvorgang.
Um dieses Problem zu beheben, müssen Sie das 2023-Zertifikat mithilfe der Wiederherstellungsanwendung erneut auf die Datenbank der Firmware anwenden. Dazu wird ein WIEDERHERSTELLUNGS-USB erstellt und dann das betroffene Gerät von diesem USB gestartet, um das fehlende Zertifikat wiederherzustellen.
Schritt-für-Schritt-Anweisungen finden Sie in der offiziellen Anleitung von Microsoft zum Aktualisieren von Windows-Installationsmedien.
F8: Kann ich weiterhin aktualisierte Zertifikate erhalten, wenn die Zertifikate für den sicheren Start auf meinem Gerät bereits abgelaufen sind?
Ja. Die kumulativen Updates, die die neuen Zertifikate für den sicheren Start enthalten, können auch dann angewendet werden, wenn die vorhandenen Zertifikate abgelaufen sind. Wenn das Gerät Windows starten und Updates installieren kann, können die aktualisierten Zertifikate gemäß den veröffentlichten Bereitstellungsanleitungen in die Firmware geschrieben werden. Die meisten Geräte erhalten diese Updates automatisch, aber einige Systeme erfordern möglicherweise zusätzliche Firmwareupdates.