Secure-Boot-Zertifikate: Microsoft Defender verschafft Ăśberblick
Die Zeit wird knapp: Die Secure-Boot-Zertifikate aus 2011 laufen ab Juni dieses Jahres ab. Microsoft Defender hilft im Enterprise-Umfeld.
(Bild: Maksim Kabakou / Shutterstock.com)
Microsoft will im Enterprise-Umfeld helfen, die Maschinen mit ablaufenden Secure-Boot-Zertifikate aus dem Jahr 2011 zu identifizieren. Einige Hilfestellung für Netzwerke gab es bereits, nun soll auch der Microsoft Defender helfen, betroffene Geräte aufzuspüren und auf den aktuellen Stand zu bringen.
Im Message-Center der Windows-Release-Health-Notizen hat Microsoft jetzt die neue Funktion für den Microsoft Defender angekündigt. Es handelt sich um ein Dashboard, von dem aus IT-Verantwortliche in Netzen den Sicherheitsstatus ihrer betreuten Geräte einsehen können. Jetzt können IT-Teams an zentraler Stelle die Verbreitung der Secure-Boot-Zertifikate aus dem Jahr 2023 in ihrem Gerätepark einsehen, erklärt das Unternehmen. Ein Blog-Eintrag in der Techcommunity geht etwas detaillierter darauf ein.
Auswirkungen abgelaufener Secure-Boot-Zertifikate
Microsoft erklärt dort, dass Secure Boot die Integrität des Boot-Prozesses eines Geräts sicherstellt, indem nur vertrauenswürdige Software gestartet wird. Sofern Geräte keine neuen Zertifikate erhalten, können sie nicht in den Genuss neuer Sicherheitsmaßnahmen für den frühen Startvorgang kommen. Die Geräte starten weiterhin, können aber keine neueren Schutzmaßnahmen in der frühen Startphase des Systems mehr erzwingen. Im Verlauf der Zeit schwäche das die „Root of Trust“ des Geräts und setzt sie neuen Klassen von Angriffen aus, die vor dem Laden des Betriebssystems und der vollständigen Sicherheitskontrollen aktiv werden.
Konkret könnten bösartige oder manipulierte Boot-Komponenten nicht mehr zuverlässig blockiert werden, wenn sie nicht mit vertrauten Zertifikaten signiert sind. Geräte könnten nicht in der Lage sein, neue Secure-Boot-Richtlinien zu übernehmen, die vor neu entdeckten Bedrohungen beim Bootvorgang schützen sollen. Außerdem können Angreifer zur Startzeit Techniken zur Erlangung von Persistenz einsetzen, bevor traditionelle Sicherheitskontrollen greifen.
Videos by heise
Um das zu verhindern, sollen IT-Verantwortliche einen Überblick erhalten, welche Geräte bereits erfolgreich das Update absolviert haben und welche Geräte noch Aufmerksamkeit diesbezüglich benötigen. Im Microsoft-Defender-Dashboard haben die Entwickler daher eine neue Empfehlung (Recommendations) eingebaut. Die unterteilt die Geräte in drei Klassen: „Exposed Devices“ vertrauen noch den alten Secure-Boot-Zertifikaten, ohne Vertrauen in die neueren Zertifikate. „Compliant Devices“ haben die neuen 2023er-Zertifikate und den signierten Boot-Manager. „Not applicable Devices“ hingegen haben Secure Boot deaktiviert oder unterstützen es nicht.
Aus dieser Empfehlungsansicht heraus können Admins sich „Exposed Devices“ genauer ansehen und herausfinden, welche Systeme noch Aufmerksamkeit benötigen. Filter lassen sich nach Betriebssystemplattform und Gerätekontext anwenden, um die Gegenmaßnahmen besser zu priorisieren. Die Gerätedaten lassen sich zudem exportieren, um sie mit Infrastruktur- und Plattform-Teams zu teilen. Natürlich lässt sich der Verteilungsprozess der Secure-Boot-Zertifikate damit überwachen. Microsoft schreibt nichts dazu, ob das mit Zusatzkosten verbunden ist.
Microsoft deckt damit nun unterschiedliche Netzwerkdimensionen ab. Auf den einzelnen Rechner hilft etwa die Windows-Sicherheits-App, den Status der Secure-Boot-Zertifikate auf der konkreten Maschine einzusehen. IT-Verantwortliche mĂĽssen insbesondere auf Windows-Servern jedoch selbst aktiv werden, dort verteilt Microsoft die neuen Zertifikate nicht mit automatischen Windows-Updates. Dass die Zertifikate auslaufen, darauf hat Microsoft bereits seit Juni 2025 aufmerksam gemacht. Die Vorbereitungen sollten Admins nun abschlieĂźen und zĂĽgig an die Verteilung der neuen Secure-Boot-Zertifikate gehen.
(dmk)
