Aktualisierung der SecureBoot Zertifikate bis Juni 2026

Ab Juni 2026 laufen die SecureBoot-Zertifikate für Windows-Betriebssysteme ab und müssen teilweise manuell erneuert werden. Was das für Ihre Systeme bedeutet und weitere wichtige Fragen Rund um das Thema, beantworten wir in diesem Beitrag.

Was ist SecureBoot?

SecureBoot ist eine Sicherheitsfunktion in modernen Computern und Servern, die schon beim Hochfahren aktiv wird. SecureBoot stellt sicher, dass nur vertrauenswürdige Software wie das Betriebssystem oder Treiber geladen werden, und zwar nur, wenn sie mit einem gültigen digitalen Zertifikat signiert ist. So können manipulierte oder böswillige Programme, die sich beim Start einschleusen wollen (z. B. Rootkits oder Viren) blockiert werden.

Warum müssen die Zertifikate aktualisiert werden?

Zertifikate haben eine Gültigkeitsdauer und somit ein Ablaufdatum. In diesem Fall waren die von Microsoft ausgelieferten Zertifikate 15 Jahre gültig und laufen im Juni 2026 ab, anschließend gelten sie nicht mehr als vertrauenswürdig.

Welche Systeme sind betroffen?

Betroffen sind alle Windows Server- und Computerbetriebssysteme, unabhängig vom Hersteller.

• Windows Server 2012, 2012 R2, 2016, 2019, 2022 (Essentials, Standard, Datacenter)

• Windows 10, 11

Windows Server 2025 wird bereits mit den erneuerten Zertifikaten ausgeliefert.

Windows 11 Systeme können von Microsoft per Windows Update aktualisiert werden, sofern die Firmware auf einem aktuellen Stand ist.

Für alle übrigen Betriebssysteme ist ein manueller Eingriff notwendig.

Was passiert, wenn die Zertifikate nicht rechtzeitig getauscht werden?

• Sicherheitsstatus sinkt: Server mit veralten Zertifikaten können nach Juni 2026 nicht mehr sicher prüfen, ob die beim Start geladene Software vertrauenswürdig ist. Das erhöht das Risiko für Angriffe, z. B. durch manipulierte Bootloader oder Malware

• Keine SecureBoot-Updates mehr: Ohne gültige Zertifikate können keine neuen Sicherheitsupdates für SecureBoot installiert werden. Der Server bleibt verwundbar

• Mögliche Startprobleme: In seltenen Fällen könnte der Server gar nicht mehr starten oder nur noch im „unsicheren Modus“ (ohne SecureBoot) hochfahren

• Das Update für Zertifikate wird unter Umständen aufwendiger

Vorgehensweise zur Aktualisierung

Je nach Hersteller und Art der Installation (Hardware vs. Virtualisierung) sind unterschiedliche Schritte notwendig.

Einige Hersteller integrieren die aktualisierten Microsoft-Zertifikate bereits in den Firmware-Updates, somit reicht die Installation der aktuellen Firmware aus. Informationen dazu liefern die Hersteller in den Release-Informationen.

Dies gilt jedoch nicht für Virtualisierungsplattformen, wie Hyper-V, VMWare oder Proxmox.

VMWare und Proxmox bieten Möglichkeiten die Zertifikate über das Hostsystem ("von außen") zu installieren. Anleitungen wurden von den Herstellern bereits veröffentlicht.

Für Windows-Systeme die per Hyper-V virtualisiert sind oder keine Firmware-Updates mehr erhalten, müssen die Schritte auf den betroffenen Systemen durchgeführt werden.

Wir gehen in diesem Beispiel von einzelnen Servern aus. Bei Flotten können die Einstellungen auch über ein zentrales Management-System festgelegt werden.

1. Betroffene Systeme identifizieren

   1. SecureBoot aktiviert?

   2. Betroffenes Betriebssystem?

2. Firmware-Updates prüfen und ggfs. aktualisieren

   Auch wenn die neuen Zertifikate nicht in den Firmware-Updates vom Hersteller integriert wurden, lohnt es sich vorher ein Update zu machen

3. Status der Aktualisierung prüfen

   Microsoft hat hierzu neue Registrykeys angelegt, die den Status festhalten. Der Status sollte aktuell auf "Not started" stehen.

   
   

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\UEFICA2023Status

   1. Not started

   2. In Progress

   3. Updated

4. Aktualisierung starten

   Um das Update zu starten muss der Registrykey "AvailableUpdates" auf den Wert 0x5944 gesetzt werden. Der Key ist zu finden unter:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
   

   Die Aktualisierung startet nicht sofort und ist in ca. 12 Stunden abgeschlossen. Ein Neustart ist notwendig.

   
   

5. Update prüfen

   Der Wert aus Schritt 3 sollte nach einem Neustart nun "Updated" anzeigen. Falls das nicht der Fall ist, ist ein Troubleshooting sowie weitere Schritte notwendig.

Fazit

Sofern die Hardware von Hersteller noch mit Firmware-Updates versorgt wird, reicht es in den meisten Fällen aus, die aktuelle Firmware-Version einzuspielen. Für Virtualisierte Windows-Server-Systeme ist immer ein manueller Eingriff erforderlich.

Falls Sie unsicher sind oder Unterstützung bei der Prüfung und Aktualisierung Ihrer Systeme benötigen, melde Sie sich gerne bei uns, wir helfen ihnen weiter und sorgen dafür, dass Ihre Infrastruktur auch nach Juni 2026 sicher bleibt!