Auswirkungen des Ablaufs des Microsoft Secure Boot 2011-Zertifikats auf Dell PowerEdge-Server

Secure Boot-Zertifikate werden als Teil des Secure Boot-Prozesses verwendet, der zum Schutz von Systemen vor Bootkits beiträgt. Ein Bootkit ist eine Art von Malware, die entwickelt wurde, um einen Bootloader oder Bootprozess zu infizieren und die Ausführung von bösartigem Code auf dem System zu ermöglichen.

Abgelaufene Zertifikate haben keine Auswirkungen auf bereits installierte Betriebssysteme – Systeme werden weiterhin gestartet.

Bei Systemen mit abgelaufenen Zertifikaten kann es zu Folgendem kommen:

• Unfähigkeit, Updates im Zusammenhang mit Secure Boot zu erhalten
• Potenzielle Startfehler, wenn Secure Boot deaktiviert ist oder BIOS-Standardeinstellungen zurückgesetzt werden
• Erhöhte Anfälligkeit für Bootkit-Malware

Betroffene Produkte:

• Dell PowerEdge-Server mit Windows Server 2012 und höher
• Zu den betroffenen Plattformen gehören Serverplattformen der 14., 15. und 16. Generation.
• Serverplattformen der 17. Generation enthalten bereits die neuen Zertifikate

Microsoft stellt die 2011 Secure Boot-Zertifikatkette (KEK CA 2011, UEFI CA 2011, Windows UEFI CA 2011) ein. Diese Zertifikate laufen im Juni 2026 ab und erfordern eine Umstellung auf die Zertifikatkette von 2023.

Neueste offizielle Microsoft-Blog-Ankündigung: Handeln Sie jetzt: Secure Boot-Zertifikate laufen im Juni 2026 ab

• Dell plant die Veröffentlichung von BIOS-Updates für Serverplattformen der 14., 15. und 16. Generation bis Ende 2025
• BIOS-Updates enthalten die Secure Boot-Zertifikate 2023
• Microsoft überträgt Updates mithilfe von Windows Update auf die aktive Secure Boot-Datenbank.
• Vermeiden Sie es, die BIOS-Standardeinstellungen zurückzusetzen oder Secure Boot zu deaktivieren.
• Serverplattformen der 12. und 13. Generation erhalten aufgrund des Serviceendestatus keine Updates

Weitere Details von Microsoft finden Sie im Microsoft KB-Artikel hier, einschließlich der Zertifikatsdetails: Ablauf des Windows Secure Boot-Zertifikats und CA-Aktualisierungen

Beginnen Sie mit der Überprüfung interner Ressourcen und Prozesse, um sicherzustellen, dass sie für die bevorstehende Änderung des Microsoft-Zertifikats bereit sind. Microsoft bietet hier einige Anleitungen, wie Sie sich auf die bevorstehende Änderung vorbereiten können: Windows-Geräte für Unternehmen und Organisationen mit IT-verwalteten Updates

Azure- und Enterprise-Umgebungen:
Für Enterprise- und Cloud-gehostete Systeme bietet Microsoft zusätzliche Tools und Anleitungen zur Unterstützung der Umstellung auf das Secure Boot-Zertifikat:

• Updates für bootfähige Datenträger: Aktualisieren von startfähigen Windows-Datenträgern zur Verwendung des PCA2023 signierten Boot-Managers - Microsoft Support
  Verwenden Sie das PowerShell-Skript Make2023BootableMedia.ps1, um 2023 Secure Boot-Zertifikate in WinPE-, ISO- oder USB-Medien zu injizieren.
• Azure Trusted-Start-VMs: UEFI-Schlüssel für sicheren Start – Azure Virtual Machines | Microsoft Learn
  Azure unterstützt die nutzerdefinierte UEFI Secure Boot-Schlüsselinjektion mithilfe der Azure Compute Gallery und ARM-Vorlagen. Dies ist nützlich für Unternehmen, die nutzerdefinierte PK-, KEK-, DB- oder DBX-Schlüssel benötigen.
• Manuelle UEFI-Updates: Set – SecureBootUEFI (SecureBoot) | Microsoft Learn
  Advanced-NutzerInnen können das PowerShell-Cmdlet Set-SecureBootUEFI verwenden, um Variablen für den sicheren Start manuell zu aktualisieren. Dies erfordert signierte Pakete und Administratorrechte.

Diese Tools sind für IT-verwaltete Umgebungen vorgesehen und sollten mit Vorsicht verwendet werden. Dell Technologies empfiehlt, die offizielle Dokumentation von Microsoft zu lesen, bevor Sie manuelle oder skriptbasierte Änderungen vornehmen.