Update-Status der Secure-Boot-Zertifikate in Windows-Sicherheit-App
Mitte des Jahres laufen die alten Secure-Boot-Zertifikate von Microsoft ab. Die Windows-Sicherheit-App zeigt den Update-Status an.
Die Rubrik „Sicherer Start“ der Windows-Sicherheit-App zeigt den Update-Status der Secure-Boot-Zertifikate an.
(Bild: heise medien)
Die Zeit drängt, die ersten Secure-Boot-Zertifikate von Microsoft laufen ab Juni 2026 ab. Die Verteilung der aktualisierten Zertifikate erfolgt schrittweise für Desktop-Systeme, bei Servern und in Unternehmensumgebungen müssen Admins dazu aktiv werden. Ab dieser Woche will Microsoft Updates für die Windows-Sicherheit-App verteilen, die danach den Status des Secure-Boot-Zertifikatsupdates auf Maschinen anzeigt.
Microsoft hat das kommende App-Update im Message-Center der Windows-Release-Health-Notizen angekündigt. Eine grüne, gelbe oder rote Markierung soll dann am Symbol von „Sicherer Start“ anzeigen, ob Maßnahmen nötig sind. Weitere Details liefert ein Support-Beitrag von Microsoft dazu. Auf verwalteten Maschinen deaktiviert Microsoft die Erweiterungen für Secure-Boot-Zertifikate standardmäßig. Auf Servern startet der Windows-Sicherheitsbenachrichtigungsdienst nicht automatisch. Wenn Admins hier Infos angezeigt bekommen möchten, müssen sie das erst aktivieren. Das gelingt durch das Anlegen des Registry-Schlüssels „HideSecureBootStates“ unter dem Zweig „HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Security Center\Device security“. Bei „0“ zeigt die App den Secure-Boot-Zertifikat-Status, „1“ deaktiviert die Anzeige. Ist der Eintrag nicht vorhanden, wählt Windows demnach die Standardvorgabe.
Mehrphasige Warnstufen
Die erste Phase zeigt den Status lediglich unter der Gerätesicherheitsseite an, zudem lediglich als grün oder gelb, was für „Achtung“ stehen soll und sich von Nutzern durch Wegklicken in den grünen Status versetzen lässt. Das kommt für Windows 11 ab 23H2 und Windows Server 2025 ab dem 8. April 2026 als App-Update, für Windows 10 ab 22H2 und Windows Server 2019 und 2022 ab dem 14. April als kumulatives Update, offensichtlich zum Microsoft-Patchday.
Die Phase 2 bringt App-Benachrichtigungen für den Fall, dass Aktionen seitens der Nutzer oder Admins nötig werden oder wenn der Secure-Boot-Status nicht funktionsfähig ist. Der gelbe Status erlaubt weiterhin das Verwerfen als Option. Hinzu kommt für den kritischen Status „rot“ die Auswahl „Ich akzeptiere die Risiken, erinnere mich nicht erneut“. Das App-Update für die zweite Phase für Windows 11 und Server 2025 plant Microsoft am 16. Mai 2026, für Windows 10 und Server 2019 und 2022 visiert das Unternehmen das kumulative Patchday-Update am 13. Mai 2026 an.
Die Windows-Sicherheit-App lässt sich durch Eingabe des Namens im Startmenü oder über die Windows-Einstellungen, dort unter „Datenschutz und Sicherheit“ – „Windows-Sicherheit“ mit einem Klick auf die Schaltfläche „Windows-Sicherheit öffnen“ starten. Sie liefert einen umfassenden Überblick über den Status diverser Sicherheitskomponenten und -subsysteme von Windows. Unter „Gerätesicherheit“ ist der Bereich „Sicherer Start“ zu finden, wo die Markierung künftig zu finden ist.
Videos by heise
Lange Vorbereitung
Microsoft hat Ende Juni 2025 angefangen, IT-Verantwortliche ebenso wie Windows-Nutzer und -Nutzerinnen auf den notwendigen Zertifikatsaustausch für Secure-Boot vorzubereiten. „Bereite dich auf das erste globale, großflächige Secure-Boot-Zertifikat-Update vor“, warnte Microsoft da. Die aktualisierten Secure-Boot-Zertifikate landen inzwischen mit eigenen Windows-Updates sowie seit den Windows-Update-Vorschauen aus dem Februar als Bestandteil von Windows-Updates zum regulären Microsoft-Patchday auf Windows-Rechnern.
(dmk)
