[Commercial PC] Ankündigung zum Update des Windows Secure Boot-Zertifikats

Abschnitt 1. Hintergrund

Microsoft plant, die „Secure Boot“-Zertifikate, die in Windows-Systemen verwendet werden, ab 2026 schrittweise zu ersetzen. Secure Boot-Zertifikate sind dafür konzipiert, bösartige Software—wie Bootkits—daran zu hindern, während des Startvorgangs Loader einzubetten und so die Integrität der Boot-Umgebung zu gewährleisten.

Die derzeit eingesetzten Zertifikate—„Microsoft Corporation KEK CA 2011“ und „Microsoft Windows Production PCA 2011“—laufen bald ab. Wenn sie nicht durch die neuen Zertifikate—„Microsoft Corporation KEK 2K CA 2023“ und „Windows UEFI CA 2023“—ersetzt werden, können Geräte keine Updates für den Windows Boot Manager und andere wichtige Sicherheitskomponenten mehr erhalten.

Um sicherzustellen, dass Ihr kommerzieller PC weiterhin vom Secure Boot-Schutz und laufenden Systemaktualisierungen profitiert, befolgen Sie bitte die nachstehenden Hinweise, um den Status Ihres Geräts zu überprüfen.

 

Abschnitt 2. Ist mein Gerät betroffen?

2.1 Nicht betroffen (Neues Zertifikat standardmäßig unterstützt)

Alle Business-PCs, die ab 2024 ausgeliefert wurden, sowie alle zukünftigen neuen Modelle verfügen bereits über das neue Secure Boot-Zertifikat. Ein manuelles Update ist nicht erforderlich.

Laptops (NB): Die folgenden Modelle sowie alle Serien, die nach 2024 eingeführt wurden.

Modellname
BM3406CGA
BM3606CGA
PM5406CGA
PM5606CGA
BM3406CHA
BM3606CHA
PM3406CHA
PM3606CHA
PM3406CKAZ
PM3406CKA
PM3606CKA
PM1403CDA
PM1503CDA
B5405CCA
B3405CCA
B5605CCA
B3605CCA
P3405CVA
P3605CVA
B5605CVA
B3605CVA
B5405CVA
B3405CVA
BR1204FTA
BR1204CTA
BR1104FTA
BR1104CTA
B1403CTA
B1503CTA
B3402FVA
BM1403CDA
BM1503CDA
B1403CVA
B1503CVA
P1403CVA
P1503CVA
P5405CSA

 

Desktops: Die folgenden Modelle sowie alle Serien, die nach 2024 erschienen sind.

Modellname
P500SV
V500SV
PM700MK
PM700SK
D900MF
D900SF
T701MF
D700MF
T500MV
P500MV
D700MER
D700ME
X500MA
D701MER
S701TER
D901MDR
D500TER
D700TER
D901SDR
S501MER
PD500TE
G15DS
D800MDR
G16CH
G13CH
S501ME
D500TE
D700TE
G35CA
D900MD
D500SD
D500MD
D700MD
D500TD
D700TD
G15CF
D900MC
D500SC
D700SC
D500TC
D700TC
PD500TC
G10CE
G35CG
GA35DX
D700SF
V500MV
D501MER
D701SER
D501SER
T501MV
D900MDR
D800SDR
D900SDR
S502ME
S502MER
D500MER
D500SER
D700SER
D900SC
D900SD
G35DX
S501MC
S502MD
S500TD
S501MD
S500TC
S500MC
S700SC
D700MC
S500MD
S500SC
S500SD
D701TC
D700SD
D500SE
D500ME
D700SE

 

All-in-One (AIO): Die folgenden Modelle sowie alle Serien, die nach 2024 auf den Markt gebracht wurden.

Modellname
PM640KA
PM670KA

 

2.2 Modelle, die ein Update benötigen

Wenn Ihr Modell oben nicht aufgeführt ist, bedeutet das, dass das Gerät derzeit das ältere Zertifikat verwendet und aktualisiert werden muss.

 

Wie erhalte ich das Update?

Für betroffene Modelle hat ASUS die Einreichung des neuen Zertifikats abgeschlossen. Das Update wird automatisch von Microsoft über Windows Update bereitgestellt.

 

Empfohlene Maßnahme: Gehen Sie zu Einstellungen > Windows Update und stellen Sie sicher, dass automatische Updates aktiviert sind.

Automatische Installation: Das System lädt und installiert das neueste Sicherheitszertifikat automatisch – keine manuellen Tools oder Downloads sind erforderlich.

 

Abschnitt 3. Microsoft Third-Party Secure Boot-Zertifikate: Funktionalität und Notwendigkeit

In diesem Abschnitt werden Microsoft Third-Party Secure Boot-Zertifikate erklärt. Wenn Ihr Gerät Nicht-Windows-Umgebungen (z. B. Linux) oder Drittanbieter-Hardware (z. B. externe GPUs) ausführen muss, lesen Sie bitte Folgendes.

3.1 Überblick über Microsoft Third-Party-Zertifikate

OriginalzertifikatAktualisiertes ZertifikatBeschreibung
Microsoft Corporation UEFI CA 2011Microsoft UEFI CA 2023

Dies ist ein optionales Zertifikat, das „während des Bootvorgangs“ verwendet wird, um Drittanbieter-Anwendungen oder Betriebssysteme (wie Linux), die außerhalb der Windows-Umgebung ausgeführt werden, zu signieren.

Es ist nicht erforderlich, wenn solche Anwendungsfälle nicht zutreffen.

Microsoft Option ROM UEFI CA 2023Dies ist ein optionales Zertifikat, das „während des Bootvorgangs“ verwendet wird, um die Option ROMs der externen Hardware zu signieren.   
Wenn die Drittanbieter-Hardware (wie eine externe GPU) während des Systemstarts nicht erforderlich ist, ist dieses Zertifikat nicht zutreffend.

 

3.2 Falls Microsoft-Zertifikate von Drittanbietern erforderlich sind, beachten Sie bitte die folgenden Anweisungen

Hinweis: Wenn auf Ihrem Firmencomputer Windows BitLocker aktiviert ist, setzen Sie ihn bitte vorher gemäß den untenstehenden Anweisungen aus, bevor Sie Secure Boot-Vorgänge durchführen.

 

Abschnitt 4. Überprüfung des BIOS-Zertifikatstatus und Bestimmung von Updates

Geräte, die im Jahr 2026 ausgeliefert werden, enthalten diese Zertifikate bereits. Sie können das BIOS-Setup aufrufen (drücken Sie F2 während des Startvorgangs), um Optionen für Drittanbieterzertifikate zu überprüfen oder zu konfigurieren.

 

Außerdem können Sie Abschnitt 8.3 zu Rate ziehen, um zu überprüfen, ob die Drittanbieterzertifikate vorhanden sind. Falls sie nicht enthalten sind, aktualisieren Sie bitte das BIOS auf die neueste Version und befolgen Sie Abschnitt 5. SOP 1: Sichere Boot-Zertifikate aktualisieren.

 

Wenn die erforderlichen Drittanbieterzertifikate weiterhin nicht erscheinen, fahren Sie bitte fort mit Abschnitt 6. SOP 2: Sichere Boot-Zertifikate hinzufügen.

 

Sollte das Zurücksetzen der Secure Boot-Schlüssel dazu führen, dass beim Starten von Windows der folgende Bildschirm erscheint, folgen Sie bitte Abschnitt 7. SOP 3: Sichere Boot-Zertifikate wiederherstellen.

 

Referenzen

  1. https://learn.microsoft.com/de-de/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11
  2. https://support.microsoft.com/de-de/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e

 

Abschnitt 5. SOP 1: Secure Boot-Zertifikate aktualisieren

Hinweise vor der Durchführung:

  1. Es wird dringend empfohlen, im Voraus alle Daten auf Ihrem Computer zu sichern, um möglichen Datenverlust während des manuellen Updates zu verhindern.
  2. Falls BitLocker aktiviert ist, stellen Sie bitte sicher, dass es vor Durchführung der folgenden Schritte ausgesetzt wird. Nach Abschluss des Vorgangs kann BitLocker wieder aktiviert werden.
  3. Wenn BitLocker nicht ausgesetzt wird, kann dies zu einer Sperre führen. Sollte BitLocker das verschlüsselte Windows-Laufwerk nicht automatisch entsperren können, wird ein Wiederherstellungsschlüssel benötigt. Dieser Schlüssel ist ein 48-stelliger numerischer Code, mit dem Sie wieder Zugriff auf Ihre Festplatte erhalten. Sollten Sie mit den unten beschriebenen Verfahren nicht vertraut sein, kontaktieren Sie uns bitte für Unterstützung.

Falls Sie Ihren BitLocker-Wiederherstellungsschlüssel abrufen müssen, lesen Sie bitte den Artikel: Wie Sie Ihren BitLocker-Wiederherstellungsschlüssel abrufen.

 

Verfahrensschritte

  1. Schalten Sie das System ein oder starten Sie es neu, dann drücken Sie F2, um das BIOS-Setup aufzurufen.   
    Drücken Sie F7, um in den Erweiterten Modus zu wechseln, und navigieren Sie dann zu Sicherheit > Secure Boot (oder direkt Sicherheit > Secure Boot).   
  2. Wählen Sie Schlüsselverwaltung.   
  3. Wählen Sie Autorisierte Signaturen (db).   
  4. Wählen Sie Aktualisieren.   
  5. Wählen Sie Ja.   
      
    Hinweis: Wenn Sie „Ja” auswählen, werden die entsprechenden Zertifikate auf die Werkseinstellungen zurückgesetzt. Alle zuvor vom System oder Benutzer hinzugefügten Zertifikate werden entfernt.
  6. Wählen Sie Details, um zu überprüfen, dass die Zertifikate der Autorisierten Signaturen (db) erfolgreich aktualisiert wurden.   
  7. Drücken Sie F10, um zu speichern & zu beenden.
  8. Falls BitLocker zuvor ausgesetzt wurde, stellen Sie bitte sicher, dass es wieder aktiviert ist.

 

Abschnitt 6. SOP 2: Secure Boot-Zertifikate hinzufügen
6.1 Microsoft UEFI CA 2023 hinzufügen
  1. Laden Sie die Microsoft UEFI CA 2023 herunter: https://go.microsoft.com/fwlink/?linkid=2239872, und speichern Sie sie im Stammverzeichnis eines USB-Laufwerks (z.B. „D:\microsoft uefi ca 2023.crt”).
  2. Schalten Sie das System ein oder starten Sie es neu, dann drücken Sie F2, um das BIOS-Setup zu öffnen.   
    Drücken Sie F7, um in den erweiterten Modus zu wechseln, und navigieren Sie zu Sicherheit > Secure Boot (oder direkt Sicherheit > Secure Boot).   
  3. Wählen Sie Schlüsselverwaltung.   
  4. Wählen Sie Autorisierte Signaturen (db) aus.   
  5. Wählen Sie Anhängen aus.   
  6. Wählen Sie Nein aus.   
  7. Wählen Sie das USB-Laufwerk aus.   
  8. Suchen und wählen Sie die Datei im Stammverzeichnis aus: „microsoft uefi ca 2023.crt”.
  9. Wählen Sie Public Key Zertifikate und drücken Sie dann Enter auf dem GUID-Bestätigungsbildschirm.   
  10. Wählen Sie Ja aus.   
  11. Überprüfen Sie, dass Microsoft UEFI CA 2023 unter Autorisierte Signaturen (db) aufgeführt ist.   
  12. Drücken Sie F10 zum Speichern & Beenden.
  13. Wenn BitLocker zuvor ausgesetzt wurde, stellen Sie bitte sicher, dass es wieder aktiviert ist.

 

6.2 Microsoft Option ROM UEFI CA 2023 hinzufügen
  1. Laden Sie Microsoft Option ROM UEFI CA 2023 herunter: https://go.microsoft.com/fwlink/?linkid=2284009 und speichern Sie die Datei im Stammverzeichnis eines USB-Laufwerks (z. B., „D:\microsoft option rom uefi ca 2023.crt”).
  2. Schalten Sie das System ein oder starten Sie es neu, und drücken Sie dann F2, um das BIOS-Setup aufzurufen.   
    Drücken Sie F7, um in den Erweiterten Modus zu wechseln und navigieren Sie dann zu Sicherheit > Secure Boot (oder direkt Sicherheit > Secure Boot).   
  3. Wählen Sie Schlüsselverwaltung aus.   
  4. Wählen Sie Autorisierte Signaturen (db) aus.   
  5. Wählen Sie Anhängen aus.   
  6. Wählen Sie Nein aus.  
  7. Wählen Sie das USB-Laufwerk aus.
  8. Suchen und wählen Sie die im Stammverzeichnis gespeicherte Datei aus: „microsoft option rom uefi ca 2023.crt”.
  9. Wählen Sie „Public Key Certificate“ (öffentlicher Schlüsselzertifikat) und drücken Sie dann Enter auf dem GUID-Bestätigungsbildschirm.    
  10. Wählen Sie Ja.    
  11. Überprüfen Sie, ob Microsoft Option ROM UEFI CA 2023 nun unter „Authorized Signatures (db)“ aufgeführt ist.    
  12. Drücken Sie F10, um zu speichern und zu beenden.
  13. Wenn BitLocker zuvor ausgesetzt war, stellen Sie bitte sicher, dass es wieder aktiviert wird.

 

Abschnitt 7. SOP 3: Wiederherstellung von Secure Boot-Zertifikaten
  1. Laden Sie Windows UEFI CA 2023 herunter: https://go.microsoft.com/fwlink/?linkid=2239776 und speichern Sie es im Stammverzeichnis eines USB-Laufwerks (z.B. „D:\windows uefi ca 2023.crt”).
  2. Schalten Sie das System ein oder starten Sie es neu, dann drücken Sie F2, um das BIOS-Setup aufzurufen.   
    Drücken Sie F7, um in den Erweiterten Modus zu wechseln, und navigieren Sie dann zu Sicherheit > Secure Boot (oder direkt Sicherheit > Secure Boot).   
  3. Wählen Sie Schlüsselverwaltung aus.   
  4. Wählen Sie Autorisierte Signaturen (db) aus.   
  5. Wählen Sie Anhänge aus.   
  6. Wählen Sie Nein aus.   
  7. Wählen Sie das USB-Laufwerk aus.
  8. Suchen und wählen Sie die Datei im Stammverzeichnis aus: „windows uefi ca 2023.crt”.
  9. Wählen Sie Public Key Certificate aus und drücken Sie dann Enter auf dem GUID-Bestätigungsbildschirm.   
  10. Wählen Sie Ja aus.   
  11. Überprüfen Sie, ob Windows UEFI CA 2023 nun unter Autorisierte Signaturen (db) aufgeführt ist.   
  12. Drücken Sie F10, um zu speichern & zu beenden.
  13. Falls BitLocker aktiviert ist, stellen Sie sicher, dass Ihr BitLocker-Wiederherstellungsschlüssel zur Hand ist.

 

Abschnitt 8. PowerShell-Zertifikatsüberprüfungsmethode

Wie überprüft man den Status des UEFI Secure Boot-Schlüssels? Die folgenden Verfahren beeinflussen nicht den Status vom Windows BitLocker.

8.1 Vorbereitende Schritte

Geben Sie PowerShell in die Windows-Suchleiste ein.

Klicken Sie in den Suchergebnissen mit der rechten Maustaste auf Windows PowerShell und wählen Sie Als Administrator ausführen.

 

8.2 Überprüfung der Microsoft Windows Secure Boot-Zertifikate

  1. Bestätigen Sie, dass der Key Exchange Key (KEK) \„Microsoft Corporation KEK 2K CA 2023” enthält.  
    Führen Sie aus: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'  
    Ein Ergebnis von Wahr zeigt an, dass das Zertifikat „Microsoft Corporation KEK 2K CA 2023“ vorhanden ist.  
  2. Bestätigen Sie, dass die Signaturdatenbanken (DB) „Windows UEFI CA 2023“ enthalten.  
    Führen Sie aus: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'  
    Ein Ergebnis von Wahr zeigt an, dass das Zertifikat „Windows UEFI CA 2023“ vorhanden ist.  

 

8.3 Überprüfung der Microsoft Secure Boot-Zertifikate von Drittanbietern

  1. Bestätigen Sie, dass die Signaturdatenbanken (DB) „Microsoft UEFI CA 2023“ enthalten.  
    Führen Sie aus: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'  
    Ein Ergebnis von Wahr zeigt an, dass das Zertifikat „Microsoft UEFI CA 2023“ vorhanden ist.  
  2. Bestätigen Sie, dass die Signaturdatenbanken (DB) „Microsoft Option ROM UEFI CA 2023“ enthalten.  
    Führen Sie aus: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Option ROM UEFI CA 2023'  
    Ein Ergebnis von Wahr zeigt an, dass das Zertifikat „Microsoft Option ROM UEFI CA 2023“ vorhanden ist.