Wichtige Sicherheitszertifikate in Windows laufen demnächst ab.
Doch Microsoft ist vorbereitet und hat mit den Updates vom Februar-Patchday neue Zertifikate parat.
Die bringen einen entscheidenden Vorteil.
Mit den Windows-Updates, die seit diesem Monat veröffentlicht werden, verteilt Microsoft auch
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Die werden aber noch nicht automatisch aktiviert, sondern schlummern bisher nur unter der Oberfläche, weil schon bekannt ist, dass einige Geräte damit in Kompatibilitätsprobleme laufen.
Konkret geht es um das Windows UEFI CA 2023-Zertifikat, das die UEFI Secure Boot Signaturdatenbank auffrischen soll.
Die Aktualisierung ermöglicht es Geräten, zukünftige Bootloader-Auffrischungen über die monatlichen Patchday-Updates zu kriegen.
Das ist wichtig, da die bestehenden Zertifikate 2026 ablaufen.
Microsoft rät vor allem Unternehmen, das neuen Zertifikate erst mit ausgewählten Geräten zu testen, bevor sie firmenweit ausgerollt werden.
Privatnutzer können entspannter mit dem Thema umgehen.
Sicherheitszertifikate für Secure Boot
Einige Windows Nutzer stehen Secure Boot wegen Problemen skeptisch gegenüber, die Idee ist aber gut.
Die UEFI-Funktion soll dafür sorgen, dass während des Boot-Prozesses nur vertrauenswürdige Software laufen darf.
Wie das genau abläuft, erklärt Microsoft in
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Herzstück der ganzen Sache ist die digitale Signatur jeder Software, die mit einer Reihe von vertrauenswürdigen digitalen Schlüsseln verglichen wird, die im UEFI gespeichert sind.
Diese Sicherheitsfunktion wurde bereits mit Windows 8 vor rund 12 Jahren eingeführt.
Im Kern wird darauf geachtet, dass es eine sichere Kette von Komponenten gibt, die nacheinander starten.
Im letzten Schritt des Secure-Boot-Prozesses überprüft die Firmware, ob der Windows-Bootloader vertrauenswürdig ist und übergibt dann die Kontrolle an die Windows-Startsequenz.
Das soll sicherstellen, dass nur verifizierter Code für Windows ausgeführt wird und Manipulationen, etwa durch Boot Kits, nicht mehr möglich sind.
Zertifikate testweise aktivieren
Die Konfiguration von Secure Boot Datenbank ist seit Windows 8 gleich geblieben.
Microsoft verlangt von jedem Gerätehersteller, drei Zertifikate einzubinden, darunter Microsoft UEFI CA 2011, die Betriebssystem und Hardwaretreiberkomponenten von Drittanbietern signiert.
Alle Zertifikate laufen 2026 ab und Microsoft bereitet Updates vor.
Wichtig:
Privatnutzer müssen das nicht aktivieren, Sie können es aber testweise machen.
Wer es aktivieren will, sollte vorbereitet sein und Daten-Backups sowie vorhandene Bitlocker-Verschlüsselungs-Keys gesichert haben.
Außerdem muss die verwendete UEFI-Firmware aktuell sein und Windows sollte mindestens die Patchday-Updates von Februar 2024 installiert haben.
Danach können Sie in einer PowerShell den Registry-Key mit Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x40 setzen.
Führen Sie danach das Kommando Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" aus.
Nach zweimaligem Neustart können Sie kontrollieren, ob die ganze Sache funktioniert hat.
Mit [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match "Windows UEFI CA 2023" sollte die PowerShell den Wert True zurückliefern.
Quelle: Chip Germany
