Häufig gestellte Fragen zur Umstellung auf Secure Boot

Betroffene Betriebssysteme:

• Windows

Inhaltsverzeichnis

• Allgemeine Informationen
• Dell Computer und Updates
• Kommunikation und Kundenberatung
• Auswirkungen und Recovery
• Kosten und Dauer

Allgemeine Informationen:

• Was bedeutet die Umstellung auf Secure-Boot-Schlüssel?
  • Die aktuellen Microsoft-2011-Secure-Boot-Zertifikate laufen im Juni 2026 ab. Sie werden durch eine neue 2023-Zertifikatkette ersetzt: KEK CA 2023, UEFI CA 2023, Windows UEFI CA 2023
• Sind die 2023-Zertifikate für die Installation von Windows 11 25H2 erforderlich?
  • Nein. 25H2 kann auf Geräten mit den 2011-Zertifikaten installiert werden.
• Was passiert, wenn das aktuelle Secure-Boot-Zertifikat abläuft?
  • Der Computer kann weiterhin gestartet werden. Mit einem abgelaufenen Zertifikat erhält der Computer jedoch keine zukünftigen Updates für den Bootloader oder Secure Boot.
• Wie sieht die Strategie von Dell für die beiden Zertifikate aus?
  • Um die Umstellung zu erleichtern, hat Dell Ende 2024 damit begonnen, auf neu eingeführten Plattformen sowohl 2011- als auch 2023-Zertifikate auszuliefern, und bis Ende 2025 werden alle Plattformen ab Dell Werk mit diesen Zertifikaten ausgestattet. Damit können Enterprise-KundInnen mit älteren Images, Images starten, die mit einem der beiden Zertifikate signiert sind.
• Was ist der Unterschied zwischen der aktiven und der standardmäßigen Secure-Boot-Datenbank?
  • Die aktive Secure-Boot-Datenbank wird von Ihrem Computer während des Systemstarts verwendet, um vertrauenswürdige Software zu überprüfen. Die standardmäßige Secure-Boot-Datenbank ist ein Backupsatz der ursprünglichen vertrauenswürdigen Schlüssel, die bei Bedarf wiederhergestellt werden können.
    Kurz gesagt:
    • Aktiv: derzeit erzwungen (häufig über Windows Update aktualisiert)
    • Standard: Version mit Werkseinstellungen, wird erst nach einer Wiederherstellung verwendet (über BIOS-Update aktualisiert)
    Hinweis: Es ist wichtig, die standardmäßige Secure-Boot-Datenbank auf die 2023-Zertifikate zu aktualisieren. Andernfalls werden, wenn der Expert Key Mode eingeschaltet wird, die aktiven Variablen, die aus Windows Updates stammen, möglicherweise gelöscht.
• Wie wird die aktive Datenbank aktualisiert?
  • Die aktive Datenbank kann über Windows Update aktualisiert werden. Dadurch werden Unterbrechungen bei Sicherheitsfunktionen wie BitLocker vermieden. Wenn Windows Update jedoch keine Option ist und der/die KundIn ein/e erfahrene/r NutzerIn ist, kann die aktive Datenbank mithilfe eines Befehls im BIOS überschrieben werden, um die Schlüssel zurückzusetzen. Weitere Informationen finden Sie unter Aktualisieren der aktiven Secure-Boot-Datenbank im BIOS.
• Wie wird die standardmäßige Datenbank aktualisiert?
  • Die standardmäßige Datenbank wird mit einem BIOS-FLASH aktualisiert.
• Was passiert, wenn das aktuelle Secure-Boot-Zertifikat abläuft?
  • Der Computer kann weiterhin gestartet werden. Mit einem abgelaufenen Zertifikat erhält der Computer jedoch keine zukünftigen Updates für den Bootloader oder Secure Boot.

Zurück zum Anfang

Dell Computer und Updates:

• Welche Dell Computer erhalten BIOS-Updates?
  • Dell bietet Updates für:
    • Plattformen für PrivatanwenderInnen und gewerbliche NutzerInnen mit einem EOSL nach dem 31. Dezember 2025, die von Dell Werken ausgeliefert werden.
  • Dell bietet keine Updates für:
    • Plattformen mit einem EOSL vor dem 01. Januar 2026. Das bedeutet, dass, auch wenn Microsoft die neuen Zertifikate zur Verfügung stellt, diese vom BIOS auf älteren Computern möglicherweise nicht unterstützt oder gespeichert werden, insbesondere wenn Secure Boot eingeschaltet wird oder die BIOS-Standardeinstellungen zurückgesetzt werden.
• Was unternimmt Dell, um die Auswirkungen auf KundInnen zu minimieren?
  • Bereitstellung von BIOS-Updates für unterstützte Plattformen bis Ende 2025
  • Abstimmung mit Microsoft bezüglich Recovery-Tools
  • Artikel in der Dell Wissensdatenbank
  • Update für startfähige Datenträger
• Welche Auswirkungen gibt es für Grafikkarten von Drittanbietern und Linux-Computer?
  • Microsoft hat zwei neue 2023-Drittanbieter-Zertifizierungsstellen erstellt, die die ablaufende 2011-Drittanbieter-Zertifizierungsstelle ersetzen. Mit anderen Worten wurde die Microsoft Corporation UEFI CA 2011 in die Microsoft UEFI CA 2023 (für Bootloader) und die Microsoft Option ROM UEFI CA 2023 (für Options-ROMs) aufgeteilt. Das Hardware Device Center (HDC) von Microsoft wurde bereits für die Signierung von Drittanbietertreibern, die diese neuen 2023-CAs benötigen, aktualisiert. Auch wenn PartnerInnen ab Oktober 2025 mit den neuen 2023-CAs signieren können, unterstützen Microsoft und OEMs weiterhin die vorhandene Microsoft Corporation UEFI CA 2011, bis das Ökosystem genügend Zeit hatte, auf die neuen 2023-CAs zu migrieren.
• Wie erhalten Enterprise-KundInnen ein neues 2023-Zertifikat für die aktuelle Geräteflotte?
  • Enterprise-KundInnen haben die Möglichkeit, Microsoft die Verwaltung der Updates für ihre Geräte über Windows Update (WU) zu erlauben, oder alternativ die Updates selbst manuell auf die Flottengeräte anzuwenden. Details zu manuellen Updates finden Sie hier: Windows-Geräte mit IT-verwalteten UpdatesDarüber hinaus überträgt Dell BIOS-Updates auf Geräte mit Servicevertrag, mit denen die aktive Datenbank gefüllt werden kann. Anweisungen dazu finden Sie unter Aktualisieren der aktiven Secure-Boot-Datenbank im BIOS.
• Gibt es spezielle Hardwareanforderungen für den Erhalt dieses Zertifikats?
  • Die Geräte müssen Secure Boot unterstützen und mit UEFI-Firmwareupdates kompatibel sein. Dell validiert Plattformen intern und hat eine Liste der unterstützten Computer im Dell Wissensdatenbank-Artikel Microsoft-2011-Secure Boot-Zertifikatablauf veröffentlicht.

Zurück zum Anfang

Kommunikation und Kundenberatung:

• Wie kommuniziert Dell dies an KundInnen?
  • Dell hat den Artikel Microsoft-2011-Secure-Boot-Zertifikatablauf veröffentlicht, der eine Liste der von Dell validierten Plattformen enthält, die aktualisiert werden können. Dell veröffentlicht bei Bedarf weitere Informationen auf Basis der öffentlichen Richtlinien von Microsoft.
• Was sollten Enterprise-KundInnen jetzt tun?
  • Planen Sie BIOS-Updates vor dem Windows-25H2-Rollout für die Dell Geräte im Artikel Microsoft-2011-Secure-Boot-Zertifikatablauf.
  • Wenn Unternehmen ihre Geräte lieber intern (statt über WU) managen möchten, können sie dies bereits mit den neuen 2023-CAs tun. Befolgen Sie hierfür die Anleitung unter: Windows-Geräte mit IT-verwalteten Updates
  • Melden Sie alle Updateprobleme an Dell.
• Woher wissen KundInnen, ob sie ein 2011- oder 2023-Zertifikat verwenden?
  • Microsoft plant, Endnutzerbenachrichtigungen zu Windows hinzuzufügen. Außerdem können NutzerInnen mit dem folgenden PowerShell-Befehl herausfinden, ob sie 2011- oder 2023-CAs verwenden (Die Methodik wird in einem zukünftigen Wissensdatenbank-Artikel beschrieben).
• Wie finden KundInnen heraus, ob ihr Zertifikat abgelaufen ist oder bald abläuft?
  • Computer mit einem der drei Zertifikate (CAs), die im Jahr 2026 ablaufen:

    2011-CAs	Ablaufdatum
    Microsoft Corporation KEK CA 2011	24.06.2026
    Microsoft Windows Production PCA 2011	19.10.2026
    Microsoft Corporation UEFI CA 2011	27.06.2026

• Müssen KundInnen mit einem 2023-Zertifikat irgendetwas tun?
  • Nein. Wenn sowohl die Windows UEFI CA 2023 als auch die Microsoft Corporation KEK 2K CA 2023 vorhanden sind, sind keine weiteren Maßnahmen erforderlich.
• Können KundInnen ein 2023-Zertifikat verwenden, wenn auf dem Gerät Windows 10 ausgeführt wird und ein erweitertes Sicherheitsupdate (ESU) vorhanden ist oder bevorsteht?
  • Ja, Microsoft aktualisiert aktive Zertifikate für Windows-11-Geräte und aktualisiert Windows-10-Geräte, wenn das Gerät:
    • Windows LTSC 2021 ausführt.
    • über eine aktivierte ESU-Lizenz verfügt.

Zurück zum Anfang

Auswirkungen und Recovery:

• Welche Auswirkungen hat ein abgelaufenes Zertifikat?
  • Wenn Secure-Boot-Zertifikate abgelaufen sind (ab Juni 2026), werden Computer weiterhin gestartet (mit aktiviertem Secure Boot). Der Computer erhält jedoch keine Updates mehr für die Windows-Boot-Manager- und Secure-Boot-Komponenten über Windows Update, wodurch der Sicherheitsstatus beeinträchtigt wird.
• Was passiert, wenn Secure Boot auf einem Gerät deaktiviert oder ausgeschaltet wird?
  • In manchen Fällen werden durch das Deaktivieren von Secure Boot alle aktiven UEFI-Variablen gelöscht. Dadurch werden möglicherweise alle bereits auf dem Gerät verwendeten 2023-CAs gelöscht (und später von der Standardfirmware durch ältere 2011-CAs ersetzt, falls die Firmware nie aktualisiert wurde). Auf Dell Geräten passiert dies, wenn NutzerInnen die Option „Expert Key Mode“ im BIOS-Menü auswählen. In diesem Fall werden die aktiven Variablen aus der Standardfirmware abgerufen.
    Hinweis: Wenn BitLocker auf dem Gerät aktiviert ist, werden Sie möglicherweise aufgefordert, den BitLocker-Wiederherstellungsschlüssel einzugeben.
• Welche Tools stehen für die Recovery zur Verfügung?
  • Microsoft hat ein manuelles Recovery-Tool veröffentlicht, das jedoch Einschränkungen unterliegt. Automatisierte Tools zur Unterstützung von KundInnen befinden sich noch in der Entwicklung.

Zurück zum Anfang

Kosten und Dauer:

• Sind mit den neuen Zertifikaten Kosten verbunden?
  • Für den Erhalt der 2023-Zertifikate über Windows Update fallen keine direkten Kosten an. Die 2023-CAs sind bereits kostenlos unter Leitfaden zur Erstellung und Verwaltung von Schlüsseln für Windows Sicherer Start verfügbar. Für BIOS-Updates für Geräte außerhalb des Service ist jedoch möglicherweise eine manuelle Intervention oder ein Serviceauftrag erforderlich, was je nach Supportvereinbarung Kosten verursachen kann.
• Welche Gültigkeitsdauer hat das neue Zertifikat?
  • Die 2023-Zertifikate haben eine Gültigkeit von 15 Jahren (2038).

Zurück zum Anfang