Häufig gestellte Fragen zum Updateprozess für den sicheren Start

Nachdem die Zertifikate für den sicheren Start abgelaufen sind, werden Geräte, die die neueren 2023-Zertifikate nicht erhalten haben, weiterhin normal gestartet und funktionieren normal, und Standardmäßige Windows-Updates werden weiterhin installiert. Diese Geräte können jedoch keinen neuen Sicherheitsschutz mehr für den frühen Startprozess erhalten, einschließlich Updates für Windows-Start-Manager, Datenbanken für den sicheren Start, Sperrlisten oder Risikominderungen für neu entdeckte Sicherheitsrisiken auf Startebene. 

Im Laufe der Zeit schränkt dies den Schutz des Geräts vor neuen Bedrohungen ein und kann sich auf Szenarien auswirken, die auf der Vertrauensstellung für den sicheren Start basieren, z. B. BitLocker-Härtung oder Bootloader von Drittanbietern. Die meisten Windows-Geräte erhalten die aktualisierten Zertifikate automatisch, und viele OEMs haben bei Bedarf Firmwareupdates bereitgestellt. Wenn Sie Ihr Gerät mit diesen Updates auf dem neuesten Stand halten, können Sie sicherstellen, dass es weiterhin den vollständigen Sicherheitsschutz erhält, den der sichere Start bieten soll.

Es empfiehlt sich, Zertifikate für den sicheren Start weit vor dem Ablaufdatum juni 2026 zu aktualisieren. 

Wenn Ihr Gerät von Microsoft verwaltet wird und Diagnosedaten für Microsoft freigegeben werden, versucht Microsoft in den meisten Fällen, die Zertifikate für den sicheren Start automatisch zu aktualisieren. Während Microsoft sein Bestes tun wird, um den sicheren Start zu aktualisieren, wird es in einigen Situationen geben, in denen das Update nicht garantiert ist und kundenrelevante Maßnahmen erforderlich sind. Der Kunde ist letztendlich für die Aktualisierung der Zertifikate für den sicheren Start verantwortlich. 

Beispiele für Situationen, in denen von Microsoft verwaltete Geräte mit aktivierten Diagnosedaten möglicherweise keine Updates erhalten:

• Microsoft Secure Boot-Updates gelten nur für einige unterstützte Versionen von Windows.

• Die auf Ihrem Gerät aktivierten Diagnosedaten können durch eine Firewall in Ihrem organization blockiert werden und Microsoft nicht erreichen.

• Möglicherweise stimmt etwas mit der Firmware auf dem Gerät nicht.

Hinweis Was bedeutet es, "Von Microsoft verwaltet" zu sein? Das System gibt Diagnosedaten gemeinsam und wird von Microsoft Cloud oder Intune verwaltet. 

Wenn Ihr Gerät keine Diagnosedaten mit Microsoft teilt und von der IT-Abteilung Ihres organization oder vom Kunden verwaltet wird, kann die IT-Abteilung die Systeme gemäß den Anweisungen von Microsoft unter Ablauf des Windows Secure Boot-Zertifikats und Updates der Zertifizierungsstelle aktualisieren.

Wenn der Computer von Microsoft verwaltet wird, werden Zertifikate für den sicheren Start über Windows Update aktualisiert.  

Wenn der Computer von Ihrem organization oder IT-Administrator ihres Unternehmens verwaltet wird, verfügt die IT-Abteilung über Methoden zum Aktualisieren des Systems mithilfe der Anleitungen unter Ablauf des Windows-Zertifikats für den sicheren Start und Updates der Zertifizierungsstelle. 

Windows 10 Support endet am 14. Oktober 2025. Weitere Informationen finden Sie unter Windows 10 Support endet am 14. Oktober 2025. 

Um nach diesem Datum weiterhin sicherheitsrelevante Updates zu erhalten, können sich Kunden, die auf Windows 10 verbleiben, für Folgendes registrieren: 

• Das Windows 10 ESU-Programm (Extended Security Updates) finden Sie unter Windows 10 ESU-Programm (Extended Security Updates)

• Wenn Sie über eine unterstützte LTSC-Version von Windows 10 verfügen, erhalten Sie bis zum LTSC-Ablaufdatum weiterhin sicherheitsrelevante Updates. Weitere Informationen finden Sie beispielsweise unter EsU-Programm (Extended Security Updates) für Windows 10

Hinweis

• Windows 10 Enterprise LTSC kann entweder als eigenständige SKU oder als Teil eines Windows Enterprise E3-Abonnements erworben werden.

• Windows IoT Enterprise LTSC kann direkt von einem OEM oder über eine Anbieterlizenz als eigenständige SKU erworben werden.

Mit Zertifikaten für den sicheren Start kann die Firmware überprüfen, ob kritische Komponenten wie Start-Manager, Options-ROMs (Firmwaretreiber) und andere firmwarebasierte Software vertrauenswürdig sind und nicht manipuliert wurden. Microsoft verwendet diese Zertifikate, um Start-Manager und andere Komponenten zu signieren, die vertrauenswürdig sein sollten, sowie Updates für den sicheren Start. Wenn ältere Zertifikate ablaufen, können sie nicht mehr zum Signieren neuer Komponenten oder Updates verwendet werden.

Geräte mit deaktiviertem sicheren Start erhalten die neuen Zertifikate für den sicheren Start nicht in der Firmware. Daher bleiben sie anfällig für Schadsoftware auf Startebene, z. B. Bootkits, da der Schutz für den sicheren Start nicht erzwungen wird. 

Für berechtigte Geräte , z. B. geräte, die kumulative Updates über eine konfidenzbasierte Bereitstellung erhalten oder für den Rollout von kontrollierten Features (Controlled Feature Rollout, CFR) mit aktivierten Diagnosedaten registriert sind, versucht Microsoft, alle anwendbaren Zertifikate zu aktualisieren. Diese Updates werden jedoch als Hilfe und nicht als Garantie bereitgestellt. IT-Administratoren sind weiterhin dafür verantwortlich, sicherzustellen, dass ihre gesamte Flotte aktualisiert wird, indem sie die automatisierte CFR von Microsoft und andere dokumentierte Bereitstellungsmethoden verwenden.

Die Zertifikate waren in den kumulativen Updates (LCU) vom 13. Mai 2025 und höher enthalten. Sie werden jedoch nicht automatisch angewendet, zusätzliche Schritte sind erforderlich. Anleitungen zur Bereitstellung finden Sie unter https://aka.ms/getsecureboot.

Es gibt zwei mögliche Pfade: 

• Wenn der Computer von Microsoft mit freigegebenen Diagnosedaten verwaltet wird und das Betriebssystem unterstützt wird, versucht Microsoft, ein Update durchzuführen.

• Wenn das Gerät vom Kunden verwaltet oder von einem IT-Administrator verwaltet wird, kann die IT-Abteilung die Updates auf die überprüfte Gruppe von Computern anwenden, die Updates gemäß Microsoft-Anleitung unter Ablauf des Windows Secure Boot-Zertifikats und Updates der Zertifizierungsstelle sicher übernehmen können.

Diese Schritte werden für die meisten Kunden erwartet, ohne dass ein Firmwareupdate von OEMs erforderlich ist. Es wird jedoch bestimmte Fälle geben, in denen die Updates aufgrund bekannter oder unbekannter Probleme in der Gerätefirmware nicht angewendet werden. Befolgen Sie in solchen Fällen die OEM-Anleitung zu Firmwareupdates. 

Hinweis Der obige Prozess wendet die aktiven Variablen für den sicheren Start über das Betriebssystem an. Die Standardwerte für Firmware für den sicheren Start werden in der Firmware beibehalten, die vom OEM veröffentlicht wird. Es wird empfohlen, die Konfiguration für den sicheren Start nicht zu ändern oder zu aktualisieren, es sei denn, der OEM hat ein Update veröffentlicht, um die Firmwarestandardeinstellungen auf die neuen Zertifikate zu ändern.

 Wenn die Zertifikate ablaufen, wird der Schutz für den sicheren Start beeinträchtigt. Wenn das System die Anforderungen für ein neueres Betriebssystem wie z. B. Windows 11 erfüllt, ist ein Upgrade auf eine neuere Betriebssystemversion von Windows 11 möglich.  

Wenn der sichere Start auf Ihren Windows 10 LTSC-Geräten nicht aktiviert ist, sind sie nicht im aktuellen Rollout für die neuen Zertifikate für den sicheren Start enthalten. Wenn Sie mit dem Upgrade auf Windows 11 LTSC beginnen, müssen Sie bestimmte Migrationsschritte ausführen, die zu diesem Zeitpunkt relevant sind, um sicherzustellen, dass die neuen 2023-Zertifikate enthalten sind.

Nur unterstützte Windows-Betriebssystemversionen erhalten die Zertifikate. 

Für Windows, das in einer virtuellen Umgebung ausgeführt wird, gibt es zwei Methoden zum Hinzufügen der neuen Zertifikate zu den Firmwarevariablen für den sicheren Start: 

• Der Ersteller der virtuellen Umgebung (AWS, Azure, Hyper-V, VMware usw.) kann ein Update für die Umgebung bereitstellen und die neuen Zertifikate in die virtualisierte Firmware einschließen. Dies würde für neue virtualisierte Geräte funktionieren.

• Wenn Windows langfristig auf einem virtuellen Computer ausgeführt wird, können die Updates über Windows wie alle anderen Geräte angewendet werden, wenn die virtualisierte Firmware Updates für den sicheren Start unterstützt.

In diesen vom Kunden/IT verwalteten Umgebungen fehlen häufig genügend Diagnosedaten, damit Microsoft neue Features sicher und sicher bereitstellen kann. Darüber hinaus bevorzugen IT-Abteilungen in der Regel die vollständige Kontrolle über den Zeitpunkt und den Inhalt von Updates, um Compliance, Stabilität und Kompatibilität mit internen Tools und Workflows sicherzustellen. Viele Unternehmensgeräte arbeiten auch in sensiblen oder eingeschränkten Umgebungen, in denen externer Zugriff oder externe Verwaltung – impliziert durch CFR – unerwünscht oder verboten sein kann.

Wenn Windows bereits den 2023-signierten Start-Manager verwendet, die Firmware jedoch auf Standardwerte zurückgesetzt wird, die das Windows UEFI CA 2023-Zertifikat nicht enthalten, blockiert der sichere Start den Startvorgang. 

Um dieses Problem zu beheben, müssen Sie das 2023-Zertifikat mithilfe der Wiederherstellungsanwendung erneut auf die Datenbank der Firmware anwenden. Dazu wird ein WIEDERHERSTELLUNGS-USB erstellt und dann das betroffene Gerät von diesem USB gestartet, um das fehlende Zertifikat wiederherzustellen. 

Schritt-für-Schritt-Anweisungen finden Sie in der offiziellen Anleitung von Microsoft zum Aktualisieren von Windows-Installationsmedien. 

​​​​​​​Ja. Die kumulativen Updates, die die neuen Zertifikate für den sicheren Start enthalten, können auch dann angewendet werden, wenn die vorhandenen Zertifikate abgelaufen sind. Wenn das Gerät Windows starten und Updates installieren kann, können die aktualisierten Zertifikate gemäß den veröffentlichten Bereitstellungsanleitungen in die Firmware geschrieben werden. Die meisten Geräte erhalten diese Updates automatisch, aber einige Systeme erfordern möglicherweise zusätzliche Firmwareupdates.