Windows 11 teilt Ihnen jetzt mit, ob Ihre Secure Boot-Zertifikate Aufmerksamkeit erfordern

/de/images/Windows-11-now-shows-Secure-Boot-certificate-status-in-the-Windows-Security-app-with-clear-alerts.jpg

Microsoft aktualisiert die Windows-Sicherheits-App, um detaillierte Informationen zu den Aktualisierungen des Secure Boot-Zertifikats bereitzustellen, sodass Benutzer vor dem Ablauf des Zertifikats im Jahr 2026 einen klareren Überblick über den Startsicherheitsstatus ihres Geräts erhalten.

Parallel zur Einführung hat Microsoft zwei separate Leitfäden veröffentlicht, eines für Benutzer von Windows Home und Pro und eines für IT-Administratoren, die Unternehmensgeräte verwalten. Das Update zeigt den Secure Boot-Status unter Windows-Sicherheit > Gerätesicherheit > Secure Boot an. Dort können Sie überprüfen, ob Ihr PC die neueren 2023-Zertifikate erhalten hat, ob er noch ältere verwendet oder aufgrund von Kompatibilitätsbeschränkungen Aufmerksamkeit erfordert.

/de/images/The-Windows-Security-dashboard-provides-a-quick-and-user-friendly-way-to-confirm-if-your-hardware-security-features-are-active-at-the-OS-level.png

Diese ursprünglich im Jahr 2011 ausgestellten Zertifikate laufen im Jahr 2026 aus und Updates werden automatisch über Windows Update bereitgestellt.

Die Einführung von Statusanzeigen beginnt im April 2026. Im Mai kommen zusätzliche Benachrichtigungen und Kontrollen, um den Benutzern klarer zu zeigen, ob oder wann ein Eingreifen erforderlich ist.

Bei einigen Systemen traten aufgrund von Firmware-Einschränkungen bereits Probleme bei der Anwendung der neueren Secure Boot-Zertifikate auf, und bisher waren für die Überprüfung manuelle Überprüfungen oder Befehlszeilenmethoden erforderlich. Glücklicherweise zeigt die Windows-Sicherheits-App diese Informationen jetzt direkt an.

Das Erlebnis ist jedoch nicht auf allen Geräten identisch, da Home- und Pro-Benutzer diese Sichtbarkeit standardmäßig erhalten, während unternehmensverwaltete Systeme den Secure Boot-Status unter der Kontrolle der IT unterschiedlich handhaben.

Was Benutzer von Windows Home und Pro jetzt in der Windows-Sicherheit sehen

Microsoft fügt den Status des Secure Boot-Zertifikats direkt in der Windows-Sicherheits-App unter Gerätesicherheit > Secure Boot hinzu. Der Abschnitt zeigt jetzt ein klares Statusabzeichen zusammen mit einer kurzen Erklärung, was auf Ihrem Gerät passiert.

Verschiedene Indikatoren für den aktuellen Aktualisierungsstatus des Secure Boot-Zertifikats:

  • Grün bedeutet, dass alles auf dem neuesten Stand ist
  • Gelb bedeutet, dass eine Einschränkung oder Empfehlung vorliegt
  • Rot bedeutet, dass Maßnahmen erforderlich sind

Derselbe Status wird auch auf dem Windows-Sicherheitssymbol in der Taskleiste angezeigt, basierend auf dem allgemeinen Sicherheitsstatus des Geräts.

Wer ist betroffen und wann wird es eingeführt?

Diese Änderungen gelten standardmäßig für Windows Home- und Pro-Geräte. Der Rollout beginnt im April 2026, wenn Benutzern der Secure Boot-Status in der App angezeigt wird.

Ab Mai 2026 fügt Microsoft der Windows-Sicherheits-App Benachrichtigungen auf Systemebene und klarere Anleitungen hinzu, insbesondere für Geräte, die Aufmerksamkeit benötigen oder keine Updates erhalten können.

Was jeder Secure Boot-Status bedeutet

Ein grünes Häkchensymbol bestätigt, dass das Gerät alle erforderlichen Secure Boot-Zertifikataktualisierungen zusammen mit dem aktualisierten Boot Manager erhalten hat. Es besteht kein Handlungsbedarf.

/de/images/The-Secure-Boot-section-showing-the-fully-updated-status-with-a-green-checkmark-icon.png

Ein gelbes Warnsymbol bedeutet normalerweise eine Einschränkung. In den meisten Fällen werden auf dem Gerät noch ältere Zertifikate ausgeführt und Windows geht davon aus, dass diese automatisch aktualisiert werden. Wenn das Update aufgrund von Firmware- oder Hardwareeinschränkungen blockiert wird, bleibt die Warnung bestehen, bis die Einschränkung behoben ist.

/de/images/The-Secure-Boot-section-showing-the-Not-yet-updated-status-with-a-yellow-warning-icon.png

Ein rotes Stoppsymbol weist auf ein schwerwiegenderes Problem hin. Das Gerät kann die erforderlichen Secure Boot-Updates für den Windows-Startvorgang nicht erhalten. Dies wird umso relevanter, je älter die Zertifikate ablaufen und Systeme ohne Updates möglicherweise Sicherheits- und Kompatibilitätsrisiken ausgesetzt sind.

/de/images/The-Secure-Boot-section-showing-the-Requires-action-status-with-a-red-stop-icon.png

Was Sie tun müssen (basierend auf Ihrer Situation)

  • Wenn die App anzeigt, dass Secure Boot eine ältere Konfiguration verwendet, wird das Problem normalerweise durch die Installation der neuesten Windows-Updates und einen Neustart des Geräts behoben.
  • Wenn Updates aufgrund von Kompatibilitätsproblemen vorübergehend pausiert werden, gibt es nichts zu tun. Microsoft setzt das Update automatisch fort, sobald das Problem behoben ist.
  • Wenn die Meldung auf Hardware- oder Firmware-Einschränkungen hinweist, kann das Update nicht automatisch angewendet werden und die einzige Möglichkeit besteht darin, sich beim Gerätehersteller zu erkundigen.
  • Wenn sich das Gerät bereits in einem Zustand befindet, in dem es die erforderlichen Updates nicht mehr empfangen kann, bedeutet dies, dass Ihr Gerät auch nach dem Ablaufdatum immer noch ein altes Zertifikat verwendet, und Sie müssen dies zur Orientierung überprüfen.

Benachrichtigungen, Warnungen und Systemverhalten

Der Status „Sicherer Start“ wirkt sich jetzt auf die Sicherheitsprobleme von Windows Insights im gesamten System aus. Wenn sich der Status auf Gelb oder Rot ändert, kann dies die allgemeine Sicherheitswarnung verstärken, die im Taskleistensymbol angezeigt wird.

/de/images/Windows-Security-icon-on-the-System-Tray-shows-Green-check-mark.png

Ab Mai 2026 werden die Benachrichtigungen auch über die App hinaus ausgeweitet, um sicherzustellen, dass Benutzer wissen, wann Aufmerksamkeit erforderlich ist.

Ablehnen von Warnungen (und was das bewirkt)

Warnungen können abgewiesen werden, die Warnung wird dadurch jedoch nur ausgeblendet.

  • Bei gelben Staaten werden Benachrichtigungen durch Auswahl von „Verwerfen“ vorübergehend entfernt, während das Problem in der App sichtbar bleibt.
  • Für rote Staaten erfordert die Entlassung die Genehmigung des Administrators über die Option „Risiko akzeptieren“. Auch dann läuft das System ohne die erforderlichen Updates weiter und die Einschränkung bleibt bestehen.

Geräte, die in diesem Zustand verbleiben, verlieren möglicherweise möglicherweise den Zugriff auf zukünftige bootbezogene Sicherheitsupdates.

Was die meisten Benutzer erwarten sollten

Die meisten Geräte werden automatisch über Windows Update aktualisiert, und Benutzer müssen nichts tun. Ein grüner Status bestätigt, dass alles wie erwartet funktioniert.

Gelbe Warnungen weisen typischerweise auf Kompatibilitätseinschränkungen hin, während rote Warnungen auf eine Sicherheitslücke hinweisen, die nicht automatisch behoben werden kann.

Systeme, die nie die aktualisierten Zertifikate erhalten, funktionieren noch einige Zeit, es können jedoch Probleme mit zukünftigen Updates, Firmware oder Secure Boot-abhängigen Funktionen auftreten.

Unternehmensgeräte verfolgen jedoch einen anderen Weg, bei dem diese Indikatoren und Benachrichtigungen durch IT-Richtlinien gesteuert werden, anstatt den Benutzern direkt angezeigt zu werden.

Was IT-Administratoren über den Aktualisierungsstatus des Secure Boot-Zertifikats wissen müssen

Auf unternehmensverwalteten Windows-Geräten und Windows Server sind die Statusindikatoren für Secure Boot-Zertifikate standardmäßig deaktiviert.

Administratoren verwalten Updates zentral, sodass Microsoft vermeidet, benutzerbezogene Warnungen hinzuzufügen, die Verwirrung stiften könnten. Es wird erwartet, dass die Einführung, Validierung und Überwachung von Zertifikaten über IT-Workflows erfolgen und nicht über Warnungen, die Endbenutzern angezeigt werden.

Wie es sich auf Server- und Unternehmens-PCs unterscheidet

Windows Server handhabt dies ganz anders. Die Windows-Sicherheits-App ist verfügbar, der Benachrichtigungsdienst wird jedoch nicht automatisch ausgeführt. Das bedeutet, dass die Überprüfung des Secure Boot-Status nicht im Hintergrund erfolgt und nichts angezeigt wird, es sei denn, jemand öffnet die App manuell.

Auf vom Unternehmen verwalteten Windows 10- und Windows 11-Geräten werden die App und die Dienste normal ausgeführt und es werden weiterhin Statusdaten generiert. Indikatoren, Abzeichen und Benachrichtigungen bleiben jedoch verborgen, sofern sie nicht ausdrücklich aktiviert werden.

So aktivieren Sie die Sichtbarkeit des Secure Boot-Status

Administratoren können dieses Erlebnis mithilfe einer Registrierungsrichtlinie aktivieren:

Pfad:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Security Center\Gerätesicherheit

Schlüssel:

HideSecureBootStates

  • 0 – Secure Boot-Status anzeigen
  • 1 – Secure Boot-Status ausblenden

Nicht vorhanden – Für Home/Pro standardmäßig aktiviert, für Enterprise/Server standardmäßig deaktiviert

Nach der Aktivierung werden dieselben Indikatoren, Nachrichten und Benachrichtigungen für Benutzer sichtbar, ähnlich wie bei Verbrauchergeräten.

Rollout-Phasen und unterstützte Versionen

Der Rollout folgt demselben zweiphasigen Ansatz, die Verfügbarkeit hängt jedoch von den Betriebssystemversionen ab.

Phase 1 (April 2026):

Der Status „Sicherer Start“ wird in der Windows-Sicherheit mit grünen und gelben Abzeichen sowie Anleitungslinks angezeigt.

Phase 2 (Mai 2026):

Benachrichtigungen, Entlassungsoptionen und rote (kritische) Zustände werden eingeführt, zusammen mit einer strengeren Handhabung für nicht unterstützte Systeme.

Diese Änderungen gelten für Windows 11, Windows 10 und unterstützte Windows Server-Versionen, wobei der Zeitpunkt an App-Updates und kumulative Updates gebunden ist.

Wie Microsoft von Unternehmen erwartet, damit umzugehen

Von Unternehmensumgebungen wird erwartet, dass sie die Einführung von Secure Boot-Zertifikaten zentral verfolgen. Microsoft weist Administratoren auf strukturierte Bereitstellungs- und Überwachungsansätze hin, einschließlich Secure Boot Playbooks zur Validierung und Compliance.

Der Schwerpunkt liegt auf der richtliniengesteuerten Einführung und nicht auf der Sensibilisierung der Benutzer oder manuellen Eingriffen.

Was das in der Praxis für Organisationen bedeutet

Ohne ordnungsgemäße Überwachung können Geräte ohne sichtbare Warnung für Endbenutzer auf älteren Zertifikaten verbleiben, wodurch eine Lücke entsteht, in der Systeme zwar in Ordnung zu sein scheinen, aber zukünftige Sicherheitsanforderungen nicht erfüllen.

Administratoren müssen die Firmware-Kompatibilität validieren, den Status der Zertifikatsbereitstellung verfolgen und sicherstellen, dass Updates tatsächlich in der gesamten Flotte angewendet werden. Andernfalls treten Probleme erst später auf, wenn Systeme keine bootbezogenen Updates erhalten oder auf Kompatibilitätsprobleme stoßen.

Secure Boot-Warnungen mögen alarmierend erscheinen, insbesondere wenn sie mit einem roten oder gelben Abzeichen angezeigt werden, es handelt sich jedoch nicht um zufällige Warnungen. Sie existieren, weil Microsoft versucht, Geräte auf eine echte Frist vorzubereiten, da ältere Zertifikate bald ablaufen.

Wenn Sie eine dieser Benachrichtigungen sehen, ist das kein Grund zur Frustration. Windows sagt Ihnen genau, wo sich Ihr Gerät befindet und worauf Sie achten müssen, bevor es zu einem echten Problem wird.

Zuhause

Teilen

Newsletter

WL-Newsletter

/de/images/WL-logo-new.svg

WL-Newsletter!

Bleiben Sie mit den neuesten Windows-, IT- und KI-Updates auf dem Laufenden. Mehr als 50.000 Abonnenten vertrauen darauf.

Name

E-Mail

Kostenlos beitreten

*️⃣ Quelllink:

Benutzer von Windows Home und Pro, IT-Administratoren, die Unternehmensgeräte verwalten , Einige Systeme hatten bereits Probleme bei der Anwendung der neueren Secure Boot-Zertifikate, Home , Newsletter ,