Ursprüngliches Veröffentlichungsdatum: 15. September 2025
KB-ID: 5068008
Allgemeine häufig gestellte Fragen zum sicheren Start
Es empfiehlt sich, Zertifikate für den sicheren Start weit vor dem Ablaufdatum juni 2026 zu aktualisieren.
Wenn Ihr Gerät von Microsoft verwaltet wird und Diagnosedaten für Microsoft freigegeben werden, versucht Microsoft in den meisten Fällen, die Zertifikate für den sicheren Start automatisch zu aktualisieren. Während Microsoft sein Bestes tut, um den sicheren Start zu aktualisieren, wird es in einigen Situationen geben, in denen das Update nicht garantiert ist und kundenseitig tätig werden muss. Der Kunde ist letztendlich für die Aktualisierung der Zertifikate für den sicheren Start verantwortlich.
Es folgen einige Beispielsituationen, in denen von Microsoft verwaltete Geräte mit freigegebenen Diagnosedaten nicht aktualisiert werden:
-
Microsoft Secure Boot-Updates funktionieren nur in einigen unterstützten Versionen von Windows.
-
Die auf Ihrem Gerät aktivierten Diagnosedaten können durch eine Firewall in Ihrem organization blockiert werden und Microsoft nicht erreichen.
-
Möglicherweise liegt ein Fehler mit der Firmware auf dem Gerät vor.
Hinweis Was bedeutet es, "Von Microsoft verwaltet" zu sein? Das System gibt Diagnosedaten frei und wird von Microsoft Cloud oder Intune verwaltet.
Wenn Ihr Gerät keine Diagnosedaten mit Microsoft teilt und von der IT-Abteilung Ihres organization oder vom Kunden verwaltet wird, kann die IT-Abteilung die Systeme gemäß den Anweisungen von Microsoft unter Ablauf des Windows Secure Boot-Zertifikats und Updates der Zertifizierungsstelle aktualisieren.
Wenn der Computer von Microsoft verwaltet wird, werden Zertifikate für den sicheren Start über Windows Update aktualisiert.
Wenn der Computer von Ihrem organization oder IT-Administrator ihres Unternehmens verwaltet wird, verfügt die IT-Abteilung über Methoden zum Aktualisieren des Systems mithilfe der Anleitungen unter Ablauf des Windows-Zertifikats für den sicheren Start und Updates der Zertifizierungsstelle.
Der Computer startet Windows weiterhin normal, auch wenn die Zertifikate für den sicheren Start nicht aktualisiert werden. Der Computer erhält schließlich nicht mehr bestimmte Windows-Sicherheitsupdates von Microsoft, einschließlich Sicherheitsupdates für Start-Manager und Komponente für den sicheren Start. Dies gefährdet das Gerät von BootKits, die die vollständige Kontrolle über den Computer übernehmen könnten.
Windows 10 Support endet am 14. Oktober 2025. Weitere Informationen finden Sie unter Windows 10 Support endet am 14. Oktober 2025.
Um nach diesem Datum weiterhin sicherheitsrelevante Updates zu erhalten, können sich Kunden, die auf Windows 10 verbleiben, für Folgendes registrieren:
-
Das Windows 10 ESU-Programm (Extended Security Updates) finden Sie unter Windows 10 ESU-Programm (Extended Security Updates)
-
Wenn Sie über eine unterstützte LTSC-Version von Windows 10 verfügen, erhalten Sie bis zum LTSC-Ablaufdatum weiterhin sicherheitsrelevante Updates. Weitere Informationen finden Sie beispielsweise unter EsU-Programm (Extended Security Updates) für Windows 10
Hinweis
-
Windows 10 Enterprise LTSC kann entweder als eigenständige SKU oder als Teil eines Windows Enterprise E3-Abonnements erworben werden.
-
Windows IoT Enterprise LTSC kann direkt von einem OEM oder über eine Anbieterlizenz als eigenständige SKU erworben werden.
Kunden-/IT-verwaltete Systeme– Häufig gestellte Fragen zum sicheren Start
Es gibt zwei mögliche Pfade:
-
Wenn der Computer von Microsoft mit freigegebenen Diagnosedaten verwaltet wird und das Betriebssystem unterstützt wird, versucht Microsoft, ein Update durchzuführen.
-
Wenn das Gerät vom Kunden verwaltet oder von einem IT-Administrator verwaltet wird, kann die IT-Abteilung die Updates auf die überprüfte Gruppe von Computern anwenden, die Updates gemäß Microsoft-Anleitung unter Ablauf des Windows Secure Boot-Zertifikats und Updates der Zertifizierungsstelle sicher übernehmen können.
Diese Schritte werden für die meisten Kunden erwartet, ohne dass ein Firmwareupdate von OEMs erforderlich ist. Es wird jedoch bestimmte Fälle geben, in denen die Updates aufgrund bekannter oder unbekannter Probleme in der Gerätefirmware nicht angewendet werden. Befolgen Sie in solchen Fällen die OEM-Anleitung zu Firmwareupdates.
Hinweis Der obige Prozess wendet die aktiven Variablen für den sicheren Start über das Betriebssystem an. Die Standardwerte für Firmware für den sicheren Start werden in der Firmware beibehalten, die vom OEM veröffentlicht wird. Es wird empfohlen, die Konfiguration für den sicheren Start nicht zu ändern oder zu aktualisieren, es sei denn, der OEM hat ein Update veröffentlicht, um die Firmwarestandardeinstellungen auf die neuen Zertifikate zu ändern.
Wenn die Zertifikate ablaufen, wird der Schutz für den sicheren Start beeinträchtigt. Wenn das System die Anforderungen für ein neueres Betriebssystem wie z. B. Windows 11 erfüllt, ist ein Upgrade auf eine neuere Betriebssystemversion von Windows 11 möglich.
Wenn der sichere Start auf Ihren Windows 10 LTSC-Geräten nicht aktiviert ist, sind sie nicht im aktuellen Rollout für die neuen Zertifikate für den sicheren Start enthalten. Wenn Sie mit dem Upgrade auf Windows 11 LTSC beginnen, müssen Sie bestimmte Migrationsschritte ausführen, die zu diesem Zeitpunkt relevant sind, um sicherzustellen, dass die neuen 2023-Zertifikate enthalten sind.
Nur unterstützte Windows-Betriebssystemversionen erhalten die Zertifikate.
Nachdem die Zertifikate abgelaufen sind, wird das Gerät ohne Änderung gestartet, das Gerät erhält jedoch keine Sicherheitsupdates für den Start-Manager und die Komponenten für den sicheren Start. Dies gefährdet das gesamte Gerät von "Bootkit"-Schadsoftware, die alle Aspekte der Sicherheit auf dem Gerät beeinträchtigen kann.
Für Windows, das in einer virtuellen Umgebung ausgeführt wird, gibt es zwei Methoden zum Hinzufügen der neuen Zertifikate zu den Firmwarevariablen für den sicheren Start:
-
Der Ersteller der virtuellen Umgebung (AWS, Azure, Hyper-V, VMware usw.) kann ein Update für die Umgebung bereitstellen und die neuen Zertifikate in die virtualisierte Firmware einschließen. Dies würde für neue virtualisierte Geräte funktionieren.
-
Wenn Windows langfristig auf einem virtuellen Computer ausgeführt wird, können die Updates über Windows wie alle anderen Geräte angewendet werden, wenn die virtualisierte Firmware Updates für den sicheren Start unterstützt.
In diesen vom Kunden/IT verwalteten Umgebungen fehlen häufig genügend Diagnosedaten, damit Microsoft neue Features sicher und sicher bereitstellen kann. Darüber hinaus bevorzugen IT-Abteilungen in der Regel die vollständige Kontrolle über den Zeitpunkt und den Inhalt von Updates, um Compliance, Stabilität und Kompatibilität mit internen Tools und Workflows sicherzustellen. Viele Unternehmensgeräte arbeiten auch in sensiblen oder eingeschränkten Umgebungen, in denen externer Zugriff oder externe Verwaltung – impliziert durch CFR – unerwünscht oder verboten sein kann.
Wenn Windows bereits den 2023-signierten Start-Manager verwendet, die Firmware jedoch auf Standardwerte zurückgesetzt wird, die das Windows UEFI CA 2023-Zertifikat nicht enthalten, blockiert der sichere Start den Startvorgang.
Um dieses Problem zu beheben, müssen Sie das 2023-Zertifikat mithilfe der Wiederherstellungsanwendung erneut auf die Datenbank der Firmware anwenden. Dazu wird ein WIEDERHERSTELLUNGS-USB erstellt und dann das betroffene Gerät von diesem USB gestartet, um das fehlende Zertifikat wiederherzustellen.
Schritt-für-Schritt-Anweisungen finden Sie in der offiziellen Anleitung von Microsoft zum Aktualisieren von Windows-Installationsmedien.
