Secure Boot ist eine wichtige Sicherheitsfunktion auf den meisten Windows 11 Computern. Wenn Secure Boot aktiviert ist, wird ausschließlich vertrauenswürdige Software während des Startvorgangs Ihres Computers geladen. Damit verhindert Secure Boot, dass bösartige Software, wie Bootkits und Rootkits, geladen werden kann, bevor Windows startet.
Secure Boot verwendet Zertifikate. Diese Zertifikate müssen erneuert werden. Veraltete Zertifikate werden im Juni 2026 ablaufen. Aus diesem Grund ist es wichtig, dass Ihr Computer rechtzeitig auf die neuen Zertifikate aktualisiert wird. Wenn die Zertifikate nämlich nicht rechtzeitig erneuert werden, kann Secure Boot keine Signaturen mehr überprüfen.
In diesem Artikel erkläre ich, wie Sie überprüfen können, welche Zertifikate Ihr Computer verwendet und wie Sie Secure Boot-Zertifikate aktualisieren.
Lesen Sie auch diese Artikel
Wichtig: Führen Sie die folgenden Schritte nur aus, wenn Sie wissen, was Sie tun!
Secure Boot-Zertifikate in Windows 11 aktualisieren
Überprüfen, ob die neuen Secure Boot-Zertifikate vorhanden sind
Der erste Schritt ist, zu überprüfen, ob die neuen Secure Boot-Zertifikate vorhanden sind. Dies können Sie über einen Befehl überprüfen, den Sie im Terminal ausführen können.
Rechtsklicken Sie auf die Starttaste.
Klicken Sie auf Terminal (Administrator).
Geben Sie den folgenden Befehl ein:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).Bytes) -match "Windows UEFI CA 2023")
Sie sehen dann zwei mögliche Ergebnisse:
- False: Die Zertifikate sind noch nicht aktualisiert.
- True: Neue Secure Boot-Zertifikate sind aktualisiert.
Secure Boot-Zertifikate manuell aktualisieren
Secure Boot-Zertifikate werden über Windows Update angeboten. Überprüfen Sie also zuerst über Windows Update, ob neue Zertifikate verfügbar sind.
Hinweis: Ist Ihre Festplatte über BitLocker verschlüsselt? Deaktivieren Sie dann zunächst BitLocker.
Öffnen Sie ein Terminalfenster als Administrator und führen Sie aus:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Mit dem obigen Befehl stellen Sie ein, dass der Computer alle verfügbaren Zertifikate aktualisieren soll.
Führen Sie dann den folgenden Befehl ein, um die Zertifikate sofort zu aktualisieren. Die Aufgabe “Secure-Boot-Update” wird über den Taskplaner ausgeführt.
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Starten Sie anschließend Ihren Computer neu.
Wenn Sie jetzt erneut überprüfen, ob die Zertifikate aktualisiert wurden, sehen Sie “True”. Dies ist ein Hinweis darauf, dass das Aktualisieren der Secure Boot-Zertifikate erfolgreich war.
Die Zertifikataktualisierung erfordert in der Regel zwei Neustarts, um vollständig angewendet zu werden.
Nach dem ersten Neustart wird der Bootmanager aktualisiert und nach dem zweiten Neustart wird die Eintragung des Zertifikats in der UEFI-Datenbank endgültig abgeschlossen.
Wenn Sie BitLocker deaktiviert haben, aktivieren Sie BitLocker anschließend wieder.
Ich hoffe, ich konnte Ihnen damit helfen. Vielen Dank fürs Lesen!
Hallo,
als ich heute den CSL Unity F27-ALS, der mit Windows 11 ausgeliefert wurde, eingeschaltet habe, hat er mich mit der “Secure Boot Violation, Invalid signature detected, Check Secure Boot Policy in Setup” Meldung überrascht.
Wodurch ist die Signatur ungültig geworden?
Heißt ungültig dass sie beschädigt wurde oder ist sie zeitlich abgelaufen und muss z.B. durch ein Zertifikat erneuert werden?
Ich könnte im BIOS (Aptio Seup Utility von American Megatrends) Secure Boot ausschalten oder im Windows Boot Menü die “Erzwingung der digitalen Treibersignatur deaktivieren”, aber das ist nicht zielführend, da Windows dann nicht mehr geschützt wird.
Ohne dass ich etwas gemacht habe, startet Windows jetzt.
PS C:\WINDOWS\system32> [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’
True
Hallo,
Die Meldung „Secure Boot Violation – Invalid signature detected” bedeutet in der Regel nicht, dass eine Signatur beschädigt oder abgelaufen ist. Secure Boot überprüft beim Start, ob die Startdateien von Windows eine gültige digitale Signatur einer vertrauenswürdigen Stelle wie Microsoft aufweisen.
„Ungültige Signatur” bedeutet in diesem Fall nicht, dass das Zertifikat abgelaufen ist. Secure Boot-Zertifikate funktionieren nämlich nicht mit einem normalen Ablaufdatum wie beispielsweise SSL-Zertifikate. Es bedeutet in der Regel, dass das UEFI-System beim Start vorübergehend dachte, dass eine Datei nicht in der Secure Boot-Datenbank enthalten war oder die Signatur nicht sofort verifiziert werden konnte.
Da Windows danach normal startet, ist wahrscheinlich nichts passiert und es handelte sich um einen vorübergehenden Kontrollfehler während des Bootvorgangs. Das von Ihnen angezeigte PowerShell-Ergebnis (Windows UEFI CA 2023 = True) zeigt außerdem an, dass der neue Microsoft Secure Boot-Schlüssel vorhanden ist, was korrekt ist.
Es ist daher nicht notwendig, Secure Boot zu deaktivieren. Dies würde die Sicherheit sogar verringern.
Sollte die Meldung häufiger erscheinen, können Sie gegebenenfalls überprüfen, ob ein BIOS/UEFI-Update für das System verfügbar ist und ob beim Starten keine externen Startmedien (z. B. ein USB-Stick) angeschlossen sind.