Secure Boot ist eine wichtige Sicherheitsfunktion auf den meisten Windows 11 Computern. Wenn Secure Boot aktiviert ist, wird ausschließlich vertrauenswürdige Software während des Startvorgangs Ihres Computers geladen. Damit verhindert Secure Boot, dass bösartige Software, wie Bootkits und Rootkits, geladen werden kann, bevor Windows startet.
Secure Boot verwendet Zertifikate. Diese Zertifikate müssen erneuert werden. Veraltete Zertifikate werden im Juni 2026 ablaufen. Aus diesem Grund ist es wichtig, dass Ihr Computer rechtzeitig auf die neuen Zertifikate aktualisiert wird. Wenn die Zertifikate nämlich nicht rechtzeitig erneuert werden, kann Secure Boot keine Signaturen mehr überprüfen.
In diesem Artikel erkläre ich, wie Sie überprüfen können, welche Zertifikate Ihr Computer verwendet und wie Sie Secure Boot-Zertifikate aktualisieren.
Lesen Sie auch diese Artikel
Wichtig: Führen Sie die folgenden Schritte nur aus, wenn Sie wissen, was Sie tun!
Secure Boot-Zertifikate in Windows 11 aktualisieren
Überprüfen, ob die neuen Secure Boot-Zertifikate vorhanden sind
Der erste Schritt ist, zu überprüfen, ob die neuen Secure Boot-Zertifikate vorhanden sind. Dies können Sie über einen Befehl überprüfen, den Sie im Terminal ausführen können.
Rechtsklicken Sie auf die Starttaste.
Klicken Sie auf Terminal (Administrator).
Geben Sie den folgenden Befehl ein:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).Bytes) -match "Windows UEFI CA 2023")
Sie sehen dann zwei mögliche Ergebnisse:
- False: Die Zertifikate sind noch nicht aktualisiert.
- True: Neue Secure Boot-Zertifikate sind aktualisiert.
Secure Boot-Zertifikate manuell aktualisieren
Secure Boot-Zertifikate werden über Windows Update angeboten. Überprüfen Sie also zuerst über Windows Update, ob neue Zertifikate verfügbar sind.
Hinweis: Ist Ihre Festplatte über BitLocker verschlüsselt? Deaktivieren Sie dann zunächst BitLocker.
Öffnen Sie ein Terminalfenster als Administrator und führen Sie aus:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Mit dem obigen Befehl stellen Sie ein, dass der Computer alle verfügbaren Zertifikate aktualisieren soll.
Führen Sie dann den folgenden Befehl ein, um die Zertifikate sofort zu aktualisieren. Die Aufgabe “Secure-Boot-Update” wird über den Taskplaner ausgeführt.
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Starten Sie anschließend Ihren Computer neu.
Wenn Sie jetzt erneut überprüfen, ob die Zertifikate aktualisiert wurden, sehen Sie “True”. Dies ist ein Hinweis darauf, dass das Aktualisieren der Secure Boot-Zertifikate erfolgreich war.
Die Zertifikataktualisierung erfordert in der Regel zwei Neustarts, um vollständig angewendet zu werden.
Nach dem ersten Neustart wird der Bootmanager aktualisiert und nach dem zweiten Neustart wird die Eintragung des Zertifikats in der UEFI-Datenbank endgültig abgeschlossen.
Wenn Sie BitLocker deaktiviert haben, aktivieren Sie BitLocker anschließend wieder.
Ich hoffe, ich konnte Ihnen damit helfen. Vielen Dank fürs Lesen!