• Ablauf-von-UEFI-Zertifikaten-so-vermeiden-Sie-Boot-Probleme-1500x544

Ablauf von UEFI-Zertifikaten: So vermeiden Sie Boot-Probleme

Thomas Welslau
Autor: Thomas WelslauTeamleitung/ Senior Consultant SecurityAuf LinkedIn vernetzen

Im Oktober 2026 laufen Microsoft Certificate Authority (CA) Zertifikate aus, die für Secure Boot verwendet werden. Für Unternehmen, die auf diesen Sicherheitsmechanismus setzen, entsteht dadurch akuter Handlungsbedarf. In diesem Artikel erfahren Sie, welche Auswirkungen das CA-Auslaufen hat, und wie Sie mit Proactive Remediation in Microsoft Intune sowie einem PowerShell-Skript eine Übersicht über betroffene Endgeräte gewinnen.

Was bedeutet das Auslaufen der Microsoft CA im Secure Boot?

Secure Boot stellt sicher, dass beim Systemstart ausschließlich vertrauenswürdige Software geladen wird. Gerade bei Windows 11 ist Secure Boot sogar verpflichtend. Microsoft agiert hier als zentrale Vertrauensinstanz und stellt Zertifikate bereit, mit denen Bootloader signiert werden.

Wenn diese Zertifikate 2026 ablaufen, werden neue Zertifikate für die Signatur benötigt. Geräte, die diese neuen Zertifikate nicht installiert haben, können die Bootloader nicht überprüfen – im schlimmsten Fall startet das System nicht mehr.

Zeitplan: Wichtige Fristen im Blick behalten

Quelle: Microsoft

So verteilt Microsoft die neuen Zertifikate

Windows-Updates installieren die neuen Zertifikate direkt in den UEFI-Speicher, sofern Microsoft Ihr Gerät anhand der Telemetriedaten als geeignet einstuft. Dafür ist mindestens das Telemetrielevel „Required“ notwendig. Wenn diese Voraussetzungen erfüllt sind, werden die Zertifikate seit Juli 2024 automatisch verteilt. Gleichzeitig verfolgt Microsoft das Ziel, bekannte Schwachstellen wie „BlackLotus“ abzusichern. Deshalb soll das alte Zertifikat „Microsoft Windows Production PCA 2011“ ab Januar 2026 gesperrt werden.

Zertifikatsstatus prüfen und Handlungsbedarf erkennen

Microsoft stellt die neuen Zertifikate zwar über Updates bereit, allerdings erfüllen nicht alle Geräte die erforderlichen Voraussetzungen. Daher sollten Sie sich nicht allein auf die automatische Verteilung verlassen. Indem Sie den Status aktiv prüfen, erkennen Sie frühzeitig, ob Zertifikate fehlen. Dadurch stellen Sie sicher, dass Ihre Systeme rechtzeitig abgesichert sind und beim Booten zuverlässig starten.

Proactive Remediation mittels PowerShell & Microsoft Intune zur Statusüberwachung

Mit der Funktion Proactive Remediation in Microsoft Intune lassen sich PowerShell-Skripte gezielt verteilen. Diese prüfen den Secure Boot Status und die installierten Zertifikate. Die Ergebnisse werden zentral gesammelt, sodass Sie sofort sehen, welche Geräte abgesichert sind und wo Handlungsbedarf besteht.

  • Zentralisierte Erfassung aller relevanten Endgeräte

  • Automatisierte und wiederholbare Prüfung

  • Bei Bedarf sind auch direkte Gegenmaßnahmen möglich

PowerShell-Skript zur Erfassung des Secure Boot Status

Das folgende Beispielskript prüft die ZertifikatsspeicherDB“ und „Key Exchange Key (KEK)“ im UEFI. Es zeigt, ob die neuen Zertifikate bereits installiert sind. Das Skript lässt sich direkt als Detection Script in Microsoft Intune Proactive Remediation einbinden.

Try
{
    
    $return_db = [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI -Name db).bytes) -match "Windows UEFI CA 2023"

    $return_kek = [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match "Microsoft Corporation KEK 2K CA 2023"

    if ($return_db -eq $true -and $return_kek -eq $true){
        Write-Host "Microsoft CAs up to date!"
        exit 0

    }else{
        Write-Host "Windows UEFI CA 2023:" $return_db " Microsoft Corporation KEK 2K CA 2023:" $return_kek
        exit 1
    }
   
}
catch {
    $errMsg = $_.Exception.Message
    Write-Error $errMsg
    exit 1
}

Im Report des Skripts wird angezeigt, welche Geräte nächstes Jahr ein Problem im Secure Boot Prozess bekommen könnten und welche bereits die neuen CAs installiert haben. Da das Skript regelmäßig ausgeführt werden kann, erkennen Sie auch, ob Geräte das Update selbständig durchführen. Falls nicht, lässt sich mit dem Remediation-Teil von Microsoft Intune ein aktives Update anstoßen.

Ihr Nutzen im Überblick

  • Überblick über alle Geräte

  • Früherkennung von Risiken

  • Gezielte Gegenmaßnahmen

  • Vermeidung von Ausfällen

Fazit: Jetzt handeln und Risiken vermeiden

Das Auslaufen der Zertifizierungsstellen im UEFI sollte für Systeme, die regelmäßig Updates beziehen und Telemetriedaten senden, kein Problem darstellen. Wer jedoch aktiv den Bestand prüft und strukturiert erfasst, kann den Umstieg rechtzeitig und sicher gestalten. Mit Microsoft Intune Proactive Remediation und dem passenden PowerShell-Skript gewinnen Sie Transparenz und reduzieren Risiken für Ihr Unternehmen.

Zertifikatsablauf 2026: Jetzt absichern

Stellen Sie sicher, dass Ihre Geräte auch nach dem Ablauf der aktuellen UEFI-Zertifikate zuverlässig starten. Unsere Experten zeigen Ihnen, wie Sie mit Intune und PowerShell den Zertifikatsstatus überwachen und rechtzeitig handeln.
Buchen Sie jetzt Ihre kostenfreie Erstberatung und vermeiden Sie Ausfälle.

Weitere News zu diesem Thema