Ablauf des Windows Secure Boot-Zertifikats und Zertifikatsaktualisierungen
Seit Windows Secure Boot unterstützt, verwenden die meisten Windows-Geräte eine Reihe von Microsoft-Zertifikaten in der UEFI Secure Boot-Datenbank. Diese älteren Zertifikate werden ab 2026 schrittweise ablaufen. Um die Boot-Sicherheit und die Integrität der Vertrauenskette aufrechtzuerhalten, müssen die Systeme auf die Microsoft-Zertifikate von 2023 aktualisiert werden.
Wenn Ihr System derzeit Secure Boot aktiviert hat, stellen Sie bitte sicher, dass diese Zertifikate vor ihrem Ablauf in der Mitte 2026 aktualisiert werden.
Microsoft empfiehlt, das Update der Secure Boot-Zertifikate über Windows Update durchzuführen
Für die meisten Benutzer werden die erforderlichen Updates automatisch über Windows Updates bereitgestellt, ohne dass eine Benutzeraktion erforderlich ist.
Ob die Updates erfolgreich empfangen wurden, kann über die Windows Sicherheits-App überprüft werden, wie beschrieben unter Status des Secure Boot-Zertifikat-Updates in der Windows Sicherheits-App.
Wenn [Windows Update] aktiviert ist und das System Secure Boot aktiviert hat (bitte beachten Sie wie Sie Secure Boot aktivieren), laden unterstützte Windows-Geräte die neuen Secure Boot-Zertifikate und den neuen Boot Manager automatisch zur entsprechenden Zeit herunter und wenden sie an.
Das neue Secure Boot-Datenbank-Update wurde seit 2024 in Phasen für Geräte mit aktiviertem Secure Boot ausgerollt und wird das Geräte-Update automatisch vor Ablauf des Zertifikats im Juni 2026 abschließen.
[Aktiviere Windows Update, um neue Zertifikate zu erhalten]

Frage 1: Wie kann ich den Status von UEFI Secure Boot überprüfen?
Antwort 1: Bitte folge den nachstehenden Schritten:
- Gib in der Windows-Suchleiste Windows-Sicherheit ein.

- Wähle [Gerätesicherheit] im Menü auf der linken Seite. Unter [Secure boot] erscheint ein Statusindikator. Das Secure boot-Symbol ist mit einem grünen, gelben oder roten Abzeichen versehen, das den aktuellen Status von Secure boot auf deinem System anzeigt.

Frage 2: Was soll ich tun, wenn das Secure boot-Symbol gelb oder rot ist?
Antwort 2: Sieh dir bitte die im Artikel beschriebenen Lösungsschritte an: Fehlerbehebung - Secure Boot-Symbol wird mit gelbem oder rotem Abzeichen angezeigt.
Frage 3: Was passiert, wenn mein Gerät kein neues Secure Boot-Zertifikat erhält, bevor das alte Zertifikat abläuft?
Antwort 3: Nach Ablauf des Secure Boot-Zertifikats können Geräte, die das neue 2023-Zertifikat noch nicht erhalten haben, weiterhin normal starten und betrieben werden, und Standard-Windows-Updates werden weiterhin installiert. Allerdings können diese Geräte während des frühen Startvorgangs keinen neuen Sicherheitsschutz mehr erhalten, einschließlich Aktualisierung der Windows-Boot-Administratoren, der Secure Boot-Datenbanken, Widerrufslisten oder Maßnahmen zur Abwehr neu entdeckter Boot-Level-Schwachstellen.
Im Laufe der Zeit wird der Schutz des Geräts vor neuen Bedrohungen dadurch eingeschränkt und es kann Szenarien betreffen, die auf Secure Boot-Vertrauenswürdigkeit angewiesen sind, wie z. B. BitLocker-Härtung oder Bootloader von Drittanbietern. Die meisten Windows-Geräte erhalten automatisch aktualisierte Zugangsdaten und viele OEM-Hersteller stellen bei Bedarf auch Firmware-Updates zur Verfügung. Es ist wichtig, das Gerät immer auf dem neuesten Stand zu halten, damit der vollständige für Secure Boot vorgesehene Sicherheitsschutz weiterhin gewährleistet bleibt.
Frage 4: Welche Auswirkungen hat das Ausschalten des Secure Boot am Gerät?
Antwort 4: Geräte, bei denen Secure Boot deaktiviert ist, erhalten keine neuen Secure Boot-Zugangsdaten in der Firmware. Daher bleiben sie weiterhin anfällig für Schadsoftware auf Boot-Ebene (z. B. Bootkits), da der Secure Boot-Schutz nicht durchgesetzt wird.
Frage 5: Nach dem Zurücksetzen der Firmware auf die Standardeinstellungen startet das Gerät nicht mehr – was ist passiert? Wie kann ich das beheben?
Antwort 5: Wenn Windows bereits den 2023 signierten boot manager verwendet hat, aber die Firmware auf den Standardwert zurückgesetzt wird, der das Windows UEFI CA 2023 Zertifikat nicht enthält, blockiert secure boot den Startvorgang.
Sie können sich auf den FAQ beziehen:
[Notebook] Problemlösung – Secure Boot Violation Fehler beim Start
Frage 6: Wenn das Secure Boot Zertifikat meines Geräts abgelaufen ist, kann ich trotzdem ein aktualisiertes Zertifikat erhalten?
Antwort 6: Ja. Auch wenn die vorhandenen Anmeldeinformationen abgelaufen sind, können kumulative Updates mit neuen secure boot Anmeldeinformationen weiterhin angewendet werden. Wenn das Gerät Windows starten und Updates installieren kann, können die aktualisierten Anmeldeinformationen gemäß den veröffentlichten Bereitstellungsrichtlinien in die Firmware geschrieben werden. Die meisten Geräte erhalten diese Updates automatisch, aber einige Systeme benötigen möglicherweise zusätzliche Firmware-Updates.
Frage 7: Wie kann man den Status der UEFI Secure Boot Schlüssel überprüfen?
Antwort 7: Bitte beachten Sie die folgenden Schritte:
- Geben Sie PowerShell in das Windows System-Suchfeld ein.
In den Suchergebnissen klicken Sie auf das Windows PowerShell-Symbol und wählen Sie Als Administrator ausführen.
- Bestätigen Sie, dass der Key Exchange Key (KEK) „Microsoft Corporation KEK 2K CA 2023“ enthält.
Geben Sie ein: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
Wenn Wahr erscheint, bedeutet es, dass „Microsoft Corporation KEK 2K CA 2023“ enthalten ist.
- Bestätigen Sie, dass die Signaturdatenbanken (DB) „Windows UEFI CA 2023“ enthalten.
Geben Sie ein: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Wenn Wahr erscheint, bedeutet es, dass „Windows UEFI CA 2023“ enthalten ist.
- Bestätigen Sie, dass die Signaturdatenbanken (DB) „Microsoft UEFI CA 2023“ enthalten.
Geben Sie ein: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
Wenn Wahr erscheint, bedeutet es, dass „Microsoft UEFI CA 2023“ enthalten ist.
Frage 8: Was soll ich tun, wenn ich eine TPM WMI-Fehlermeldung (Ereignis-ID: 1801) im Ereignisanzeige finde?
Antwort 8: Der Grund für diese Fehlermeldung ist, dass die Secure Boot-Anmeldedaten aktualisiert wurden, aber noch nicht auf die Geräte-Firmware angewendet wurden.
Bitte führen Sie zuerst Windows Update aus, um sicherzustellen, dass der Betriebssystem-Build 26100.6725 oder höher ist, und fahren Sie dann mit den in Frage 2 beschriebenen Schritten fort.
Windows 11, Version 25H2 Updateverlauf.
Frage 9: Was soll ich tun, wenn ich eine TPM WMI-Fehlermeldung (Ereignis-ID: 1802) im Ereignisanzeige finde?
Antwort 9: Der Grund für diese Fehlermeldung ist, dass das Boot-Update absichtlich blockiert wird, weil das Gerät den bekannten Firmware- oder Hardwarebedingungen entspricht, was verhindert, dass das Update sicher abgeschlossen werden kann.
Bitte melden Sie das Problem über das ASUS Service-Center.
Frage 10: Was soll ich tun, wenn ich eine TPM WMI-Fehlermeldung (Ereignis-ID: 1803) im Ereignisanzeige finde?
Antwort 10: Der Grund für diese Fehlermeldung ist, dass das Gerät den Key Exchange Key (KEK), der von PK signiert wurde, nicht finden kann.
Bitte melden Sie das Problem über das ASUS Service-Center.
Referenz:
Ablauf des Windows Secure Boot-Zertifikats und CA-Aktualisierungen - Microsoft Support
Status der Secure Boot-Zertifikataktualisierung in der Windows-Sicherheits-App
Häufig gestellte Fragen zum Secure Boot-Aktualisierungsprozess - Microsoft Support
Secure Boot DB- und DBX-Variablenaktualisierungsereignisse - Microsoft Support
Updateverlauf von Windows 11, Version 25H2 - Microsoft Support