Sind Sie vorbereitet für den Ablauf der Windows Secure Boot UEFI 2011 CA? 

Viele Systemadministratoren haben es vielleicht noch nicht auf dem Schirm, dass in Kürze die Certificate Authority (CA), mit dem der Windows Secure Boot Loader und die Secure Boot Datenbanken signiert sind, abläuft und durch eine neue ersetzt werden muss. Im Netz kursieren viele Informationen zu diesem Thema, aber zumeist nur Teilstücke. Daher möchten wir dieses Thema ganzheitlich aus der Sicht eines Systemadministrators betrachten. 

- KEK (key enrollement key): Die darin gespeicherte CA wird verwendet, um Aktualisierungen der Active DB und DBX zu signieren. Die hierin gespeicherte Microsoft CA von 2011 läuft im Juni 2026 ab. Nach Ablauf der CA können in der DB und DBX keine Änderungen mehr signiert werden. 
- Default DB: Viele Markenhersteller aktualisieren die darin enthaltene CA mit der Microsoft 2023 CA. Jedoch wird diese Default DB nicht beim Booten verwendet, es sei denn man setzt das BIOS auf Factory Default zurück. 
- Active DB (Secure Boot Signature Database): Hier sitzt die CA, die für den Secure Boot verwendet wird. Die Microsoft 2011 CA für den Windows Bootloader läuft im Oktober 2026, die für 3rd-Party Bootloader im Juni 2026 ab.  
- DBX (Secure Boot Revoked Signature Database): Zurückgerufene Zertifikate/Bootloader 

Laut Microsoft funktioniert der Secure Boot der bestehenden Windows Installationen nach wie vor. Jedoch können keine Änderungen der Secure Boot Konfiguration vorgenommen werden und der Store für zurückgerufenen Bootloader wird nicht mehr aktualisert. Dies ist ein Sicherheitsrisiko. 

Für Systemadministratoren bedeutet das aber auch, dass Deployment Tools, die zum Beispiel PXE-Boot oder USB-Boot verwenden, nicht mehr funktionieren, da die alte CA abgelaufen ist und die neue CA nicht akzeptiert wird. 

Im Prinzip kann es automatisch passieren, aber in der Realität muss man doch eingreifen. Die Default DB wird zwar über BIOS Updates aktualisiert, sofern der Hersteller für das Modell noch BIOS Updates liefert. Maßgeblich ist allerdings die Active DB. Diese soll zwar durch Windows Update die neue UEFI 2023 CA bekommen, aber in der Standardeinstellung ist dies deaktiviert. Im Windows Aufgabenplanner ist ein Task konfiguriert, der alle 12 Stunden läuft und die UEFI 2023 CA in KEK und Active DB schreiben soll. Dies kann er aber zumeist nicht, weil eine Einstellung in der Registry dies blockiert. Daher kommen im Windows System Log die Fehlermeldungen 1801 von TPM-WMI. 

Laut unseren Informationen muss Secure Boot dafür eingeschaltet sein. 

Microsoft hat eine administrative Vorlage in den Grruppenrichtlinien-Vorlagen von Windows 11 25H2 (v2) dafür vorgesehen. Die Bezeichnung der 3 vorhandenen Vorlagen für Secure Boot ist allerdings missverständlich, daher sollte man sich genau informieren, welche davon man aktiviert. Meistens wird man "Enable Secure Boot Certificate Deployment" aktivieren. 

Einmal angewendet, kann der Hintergrundjob im Aufgabenplaner das Zertifikat in KEK und Active DB schreiben und nach 2 Reboots ist die Sache erledigt.  

Es empfiehlt sich jedoch, den Vorgang und den Status zu überwachen. Mit 2 einfachen Inventarregeln in KACE oder Action1 kann man auslesen, ob das Deployment tatsächlich aktiviert ist und wie der Status der UEFI2023CA ist (NotStarted, InProgress oder Updated). 

Die Gruppenrichtline erlaubt zwar das Update der CA, aber erst mit den Inventarregeln und zugehörigen Berichten bekommt man den Überblick, welche Geräte sicher sind und wo händisch eingegriffen werden muss. 

Wenn Sie unsicher sind, ob Ihre Umgebung bereits auf das bevorstehende Ablaufdatum der Secure-Boot-Zertifizierungsstelle vorbereitet ist, oder wenn Sie Betriebsunterbrechungen und Sicherheitslücken vermeiden möchten, stehen wir Ihnen gerne zur Seite. Wir unterstützen Sie bei der Planung und Durchführung des UEFI-2023-CA-Rollouts, bei der Konfiguration der erforderlichen Gruppenrichtlinien sowie bei der Validierung, dass die Bereitstellung erfolgreich auf allen Endgeräten umgesetzt wurde. Darüber hinaus helfen wir Ihnen beim Aufbau eines geeigneten Monitorings und Reportings, sodass Sie jederzeit einen klaren Überblick darüber haben, welche Geräte konform sind und wo noch manuelle Maßnahmen erforderlich sind. Kontaktieren Sie uns für eine Beratung und stellen Sie sicher, dass Ihre Infrastruktur sicher und zukunftsfähig bleibt – ohne unnötige Risiken oder kurzfristigen Handlungsdruck.