Häufig gestellte Fragen zur Umstellung auf Secure Boot

Betroffene Betriebssysteme:

• Windows

Inhaltsverzeichnis

• Allgemeine Informationen
• Dell Computer und Updates
• Kommunikation und Kundenberatung
• Auswirkungen und Erholung
• Kosten und Dauer

Allgemeine Informationen:

• Was ist der Übergang zum sicheren Startschlüssel?
  • Die aktuellen Secure Boot-Zertifikate von Microsoft 2011 laufen im Juni 2026 ab. Diese werden durch eine neue Zertifikatskette für 2023 ersetzt: KEK CA 2023, UEFI CA 2023, Windows UEFI CA 2023
• Sind die 2023-Zertifikate erforderlich, um Windows 11 25H2 zu installieren?
  • Nein. Geräte können 25H2 mit den 2011-Zertifikaten installieren.
• Was passiert, wenn das aktuelle Secure Boot-Zertifikat abläuft?
  • Der Computer kann weiterhin gestartet werden. Mit einem abgelaufenen Zertifikat kann der Computer jedoch keine zukünftigen Updates für den Bootloader oder Secure Boot abrufen.
• Wie sieht die Strategie von Dell für duale Zertifikate aus?
  • Um die Umstellung zu erleichtern, hat Dell Ende 2024 damit begonnen, Zertifikate für 2011 und 2023 auf neu eingeführten Plattformen und bis Ende 2025 für alle nachhaltigen Plattformen, die von Dell Werken ausgeliefert werden, auszuliefern. Dies ermöglicht es Enterprise-Kunden mit älteren Images, Images zu starten, die mit einem der beiden Zertifikate signiert sind.
• Was ist der Unterschied zwischen der aktiven und der standardmäßigen Secure Boot-Datenbank?
  • Die aktive Secure Boot-Datenbank ist diejenige, die Ihr Computer während des Systemstarts verwendet, um vertrauenswürdige Software zu überprüfen. Die standardmäßige Secure Boot-Datenbank ist ein Backupsatz ursprünglicher vertrauenswürdiger Schlüssel, die bei Bedarf wiederhergestellt werden können.
    Kurz gesagt:
    • Aktiv: Derzeit erzwungen (häufig über Windows Update aktualisiert)
    • Standardeinstellung: Auf Werkseinstellungen zurückgesetzte Version wird nicht verwendet, es sei denn, sie wurde wiederhergestellt (aktualisiert mit einem BIOS-Update)
    Hinweis: Es ist wichtig, dass die standardmäßige Secure Boot-Datenbank auf die Zertifikate von 2023 aktualisiert wird. Andernfalls, wenn der Expertentastenmodus umgeschaltet wird, werden möglicherweise die aktiven Variablen gelöscht, die von Windows Update stammen.
• Wie wird die aktive Datenbank aktualisiert?
  • Die aktive Datenbank kann mithilfe von Windows Update aktualisiert werden. Dadurch werden Unterbrechungen bei Sicherheitsfunktionen wie BitLocker vermieden. Wenn Windows Update jedoch keine Option ist und der Kunde ein erfahrener Nutzer ist, kann die aktive Datenbank mithilfe eines Befehls im BIOS überschrieben werden, um die Schlüssel zurückzusetzen. Weitere Informationen finden Sie unter Aktualisieren der aktiven Datenbank mit Secure Boot aus dem BIOS .
• Wie wird die Standarddatenbank aktualisiert?
  • Die Standarddatenbank wird mit einem BIOS-FLASH aktualisiert.
• Was passiert, wenn das aktuelle Secure Boot-Zertifikat abläuft?
  • Der Computer kann weiterhin gestartet werden. Mit einem abgelaufenen Zertifikat kann der Computer jedoch keine zukünftigen Updates für den Bootloader oder Secure Boot abrufen.

Zurück zum Anfang

Dell Computer und Updates:

• Welche Dell Computer erhalten BIOS-Updates?
  • Dell Updates:
    • Plattformen für Privatanwender und Unternehmen mit einem EOSL (EoSL) nach dem 31. Dezember 2025, Versand aus Dell Werken oder vor Ort
  • Dell führt keine Aktualisierung durch:
    • Plattformen mit einem EoSL vor dem 01. Januar 2026 Das bedeutet, dass Microsoft die neuen Zertifikate zwar zur Verfügung stellen kann, sie aber möglicherweise nicht vom BIOS auf diesen älteren Computern unterstützt oder beibehalten werden, insbesondere wenn Secure Boot umgeschaltet ist oder BIOS-Standardeinstellungen zurückgesetzt werden.
• Was unternimmt Dell, um die Auswirkungen für die Kunden zu minimieren?
  • Bereitstellung von BIOS-Updates für unterstützte Plattformen bis Ende 2025
  • Abstimmung mit Microsoft bezüglich Recovery-Tools
  • Veröffentlichen von Wissensdatenbank-Artikeln
  • Startfähige Datenträger aktualisieren
• Wie sieht es mit den Auswirkungen auf Grafikkarten von Drittanbietern und Linux-Computer aus?
  • Microsoft hat zwei neue Zertifizierungsstellen von Drittanbietern für 2023 erstellt, die die auslaufenden Zertifizierungsstellen von Drittanbietern von 2011 ersetzen sollen. Mit anderen Worten, die Microsoft Corporation UEFI CA 2011 wurde in die Microsoft UEFI CA 2023 (für Bootloader) und die Microsoft Option ROM UEFI CA 2023 (für Options-ROMs) aufgeteilt. Und das Hardware Device Center (HDC) von Microsoft wurde bereits aktualisiert, um die Signierung von Drittanbietertreibern zu unterstützen, die diese neuen CAs für 2023 benötigen. Obwohl Partner im Oktober 2025 mit der Unterzeichnung der neuen CAs für 2023 beginnen können, unterstützen Microsoft und OEMs weiterhin die vorhandene Microsoft Corporation UEFI CA 2011, bis die Umgebung genügend Zeit hatte, auf die neuen CAs 2023 zu migrieren.
• Wie erhält ein Enterprise-Kunde ein neues 2023-Zertifikat für seine aktuelle Geräteflotte?
  • Enterprise-Kunden haben die Möglichkeit, Microsoft zu erlauben, die Updates für ihre Geräte über Windows Update (WU) zu verwalten, oder alternativ die Updates manuell selbst auf Flottengeräte anzuwenden. Eine Anleitung für Letzteres finden Sie hier: Windows-Geräte mit IT-verwalteten UpdatesDarüber hinaus überträgt Dell BIOS-Updates auf In-Service-Geräte, mit denen die aktive Datenbank gefüllt werden kann. Anweisungen dazu finden Sie unter Aktualisieren der aktiven Datenbank für sicheren Start über das BIOS.
• Gibt es spezielle Hardwareanforderungen für den Erhalt dieses Zertifikats?
  • Die Geräte müssen Secure Boot unterstützen und mit UEFI-Firmwareupdates kompatibel sein. Dell validiert die Plattformen intern und hat eine Liste der unterstützten Computer im Dell Wissensdatenbank-Artikel Microsoft 2011 Secure Boot Certificate Expiration veröffentlicht.

Zurück zum Anfang

Kommunikation und Kundenberatung:

• Wie kommuniziert Dell dies an Kunden?
  • Dell hat den Ablauf des Secure Boot-Zertifikats für Microsoft 2011 veröffentlicht, der mit der Liste der von Dell bereitgestellten Plattformen aktualisiert wird. Dell stellt bei Bedarf zusätzliche Botschaften bereit, die an den öffentlichen Richtlinien von Microsoft ausgerichtet sind.
• Was sollten Enterprise-Kunden jetzt tun?
  • Planen Sie BIOS-Aktualisierungen vor dem Windows 25H2-Rollout anhand der Liste der Dell Geräte, die unter Microsoft 2011 Secure Boot-Zertifikatablauf verwaltet werden.
  • Wenn Unternehmen es vorziehen, Geräte intern (statt über WU) zu managen, können sie bereits mit der Aktualisierung von Geräten mit den neuen CAs 2023 beginnen, gemäß den hier aufgeführten Leitlinien: Windows-Geräte mit IT-verwalteten Updates.
  • Melden Sie alle Update-Probleme an Dell.
• Woher weiß ein Kunde, ob er ein Zertifikat für 2011 oder 2023 hat?
  • Microsoft plant, Benachrichtigungen für Endbenutzer zu Windows hinzuzufügen. Außerdem können Nutzer den folgenden PowerShell-Befehl ausführen, um festzustellen, ob sie über die Zertifizierungsstellen von 2011 oder 2023 verfügen (Methodik in einem zukünftigen Wissensdatenbank-Artikel).
• Woher weiß ein Kunde, ob sein Zertifikat abgelaufen ist oder bald abläuft?
  • Computer mit einem der drei Zertifikate (CAs), die im Jahr 2026 ablaufen:

    Zertifizierungsstellen 2011	Verfallsdatum
    Microsoft Corporation KEK CA 2011	24. Juni 2026
    Microsoft Windows Produktion PCA 2011	19. Oktober 2026
    Microsoft Corporation UEFI CA 2011	27. Juni 2026

• Muss ein Kunde handeln, der über ein Zertifikat für 2023 verfügt?
  • Nein. Wenn sowohl die Windows UEFI CA 2023- als auch die Microsoft Corporation KEK 2K CA 2023-Zertifikate vorhanden sind, sind keine weiteren Maßnahmen erforderlich.
• Kann ein Kunde zu einem 2023-Zertifikat wechseln, wenn auf seinen Geräten Windows 10 ausgeführt wird und ein erweitertes Sicherheitsupdate (ESU) vorhanden ist oder das Abschließen eines erweiterten Sicherheitsupdates (ESU) bevorsteht?
  • Ja, Microsoft aktualisiert aktive Zertifikate für Windows 11-Geräte vor Ort und aktualisiert Windows 10-Geräte, wenn das Gerät:
    • Unter Windows LTSC 2021
    • Verfügt über eine aktivierte ESU-Lizenz

Zurück zum Anfang

Auswirkungen und Erholung:

• Welche Auswirkungen hat ein abgelaufenes Zertifikat?
  • Sobald die Secure Boot-Zertifikate ablaufen (ab Juni 2026), fahren Computer weiter (mit aktiviertem Secure Boot). Der Computer empfängt jedoch keine Updates mehr für die Komponenten Windows Boot Manager und Secure Boot über Windows Update, wodurch sie in einen beeinträchtigten Sicherheitsstatus versetzt werden.
• Was passiert, wenn Secure Boot auf einem Gerät deaktiviert oder umgeschaltet wird?
  • Manchmal können durch die Deaktivierung von Secure Boot alle aktiven UEFI-Variablen gelöscht werden, was bedeutet, dass alle bereits auf dem Gerät verwendeten CAs von 2023 gelöscht (und später durch ältere CAs von 2011 ersetzt werden können, falls diese nie aktualisiert wurde). Auf Dell Geräten tritt dies auf, wenn ein Nutzer die Option "Expert Key Mode" im BIOS-Menü auswählt. In diesem Fall werden die aktiven Variablen von der Standardfirmware abgerufen.
    Hinweis: Wenn BitLocker auf dem Gerät aktiviert ist, werden Sie möglicherweise aufgefordert, den BitLocker-Wiederherstellungsschlüssel einzugeben.
• Welche Tools stehen für die Recovery zur Verfügung?
  • Microsoft hat ein manuelles Wiederherstellungstool veröffentlicht, das jedoch Einschränkungen aufweist. Automatisierte Tools zur Unterstützung von Kunden befinden sich noch in der Entwicklung.

Zurück zum Anfang

Kosten und Dauer:

• Sind mit den neuen Zertifikaten Kosten verbunden?
  • Für den Empfang der 2023-Zertifikate über Windows Update fallen keine direkten Kosten an, und die 2023-Zertifizierungsstellen sind bereits kostenlos unter Anleitung zur Erstellung und Verwaltung von Windows-Schlüsseln für den sicheren Start verfügbar. BIOS-Aktualisierungen für Geräte, die nicht mehr in Betrieb sind, erfordern jedoch möglicherweise manuelle Intervention oder Serviceeinbindung, die je nach Supportvereinbarung Kosten verursachen können.
• Welche Gültigkeitsdauer hat das neue Zertifikat?
  • Die Zertifikate 2023 haben eine Gültigkeit von 15 Jahren (2038).

Zurück zum Anfang