![\"Windows\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" "\\"Windows\\"")
Noch ein kleiner Artikel zum Thema Secure Boot-Zertifikate, die Administratoren seit vielen Monaten besch\u00e4ftigen. Microsoft hat ein Dokument \"Sample Secure Boot E2E Automation Guide\" ver\u00f6ffentlicht, was Hilfestellung beim Ausrollen der Aktualisierungen f\u00fcr\u00a0 Secure Boot-Zertifikate gibt.<\/p>\n
<\/p>\n
Betroffene Windows-Maschinen werden auch nach dem Ablauf der Secure Boot-Zertifikate starten – sagt zumindest Microsoft. Aber diese Maschinen bekommen dann keine Sicherheitsfixes mehr, die sich auf den Secure Boot-Vorgang beziehen. Das ist die Quintessenz aus nachfolgendem Tweet<\/a> vom 26. Mai 2026, der sich mit dem Thema befasst hat.<\/p>\n Windows Latest hatte dies zum 26. Mai 2026 im Beitrag\u00a0Microsoft reveals what happens to Windows 11 PCs if you ignore the Secure Boot deadline in June 2026<\/a> aufgegriffen.<\/p>\n Pers\u00f6nlich gehe ich dem Juni 2026 noch entspannt entgegen. Aber mich hat zum 20. Mai 2026 eine E-Mail mit dem Betreff \"Windows 10 und Secure Boot, ein Desaster f\u00fcr Nutzer im Juni 2026?\" aus der Leserschaft erreicht, die eine ziemlich krasse Erfahrung (neudeutsch von Microsoft gerne als Experience klassifiziert) beschreibt. Der Leser fragte sich, ob den Windows-Nutzern ein Desaster im Juni 2026, zumindest f\u00fcr Windows 10 – Nutzer bevorsteht?<\/p>\n Der Hintergrund der Frage ist der Umstand, dass der Nutzer\u00a0einen ASUS-PC (genaues Modell ist ungenannt geblieben) mit Windows 10, und ohne Secure Boot, betreibt. Soweit so normal. Das Problem, schreibt der Leser, ist, dass der Rechner mit vorhandener Internetverbindung praktisch unbenutzbar ist. Der Leser gibt an, dass der Rechner wohl keine g\u00fcltigen Zertifikate findet. Trennt der Leser die Maschine vom Internet und l\u00e4sst das Ger\u00e4t f\u00fcr 24 Stunden ausgeschaltet, startet die Maschine mit Windows 10 normal und ist zumindest etliche Stunden wieder zu gebrauchen.<\/p>\n Ist etwas vage, die obige Beschreibung, weshalb ich nachgefragt habe. Der Leser schreibt selbst, dass es \"ein \u00fcberraschendes und komisches Problem\" sei, das eventuell mit dem Zertifikatablauf zu tun hat. Hier die gerafften Symptome:<\/p>\n Kann passieren, irgend etwas ist wohl kaputt. Krude wird das Ganze aber, weil der Leser dann die\u00a0Internetverbindung gekappt und den PC dann ausgeschaltet hat (wohl hartes Ausschalten).\u00a0 Am n\u00e4chsten Tag gab es die \u00dcberraschung, der Rechner zeigte die erwartete Anmeldseite und die Anmeldung war m\u00f6glich. Alles funktionierte wieder normal.<\/p>\n Der Leser hat dann erneut die Internetverbindung beim ASUS-PC zugelassen und das Ger\u00e4t funktionierte weiterhin. Spontane Wunderheilung? Leider nein, denn das System war nach etlichen Stunden am Internet wieder nicht zu gebrauchen. Das Spiel lie\u00dfe sich wiederholen – ohne Internet l\u00e4uft das System, mit Internet kommt es zu Problemen.<\/p>\n Es k\u00f6nnte sein, dass eine Software da bei bestehender Internetverbindung Probleme macht und die Ressourcen des Systems frisst. Der Leser vermutet aber, dass Windows w\u00e4hrend des Betriebs eine Art\u00a0Zertifikatspr\u00fcfung vornimmt, die dann schief geht. Generell halte ich die obige Beobachtung f\u00fcr einen Einzelfall, der verschiedene Ursachen haben kann – es sei denn, es melden sich weitere Leser mit \u00e4hnlichen Erfahrungen.<\/p>\n Pers\u00f6nlich ist mit so ein Verhalten noch nicht untergekommen oder aus der Leserschaft berichtet worden. Ich hatte mich mit Mark Heitbrink diesbez\u00fcglich ausgetauscht. Dessen R\u00fcckmeldung war, dass ihm ein solcher Fall auch noch nicht untergekommen ist.<\/p>\n Der Leser hat einen weiteren Acer-PC mit Windows 10 und aktiviertem Secure Boot. Aber dieses System von Acer bekommt kein neues BIOS mehr, also auch keine Secure Boot-Zertifikate. Denn Windows Update ist deshalb nicht in der Lage neue Zertifikate zu installieren. Der Leser schrieb, dass er versuchen m\u00f6chte,\u00a0deshalb Secure Boot zu deaktivieren. Er frage sich aber, ob der PC nachher noch brauchbar zu nutzen ist?<\/p>\n Ich hatte beim Austausch mit Mark Heitbrink auch die obige Frage aufgeworfen. Dessen R\u00fcckmeldung war, dass man offiziell Secure Boot nachtr\u00e4glich ausschalten kann. Der Rechner l\u00e4uft, ist aber eventuell \"unpatchbar\", wenn es Updates zum Thema Bootvorgang oder \u00e4hnliches gibt.<\/p>\n Mark merkte an, dass das nachtr\u00e4gliche Wiederanschalten des Secure Boot ist mit Basteln verbunden sei. Er habe das aber nie komplett durchgespielt, sondern nur virtuell bei zwei Installationen Secure Boot, nachdem sie mit Secure Boot installiert wurden, zum Test nachtr\u00e4gliche rausgenommen. Beide virtuelle Maschinen konnten mit Windows booten.<\/p>\n Microsoft versucht daher, seit dem Jahr 2023 die Zertifikate zu aktualisieren. Und seit dieser Zeit gibt es Probleme, die ich teilweise im Blog behandelt habe (siehe Artikel am Beitragsende). Und Redmond versucht Administratoren mit zus\u00e4tzlicher Dokumentation zu unterst\u00fctzen.<\/p>\n Microsoft hatte bereits zum 2. Februar 2026 das Playbook mit dem Titel Secure Boot playbook for certificates expiring in 2026<\/a> in der Techcommunity ver\u00f6ffentlicht. Dort fasst Microsoft nochmals alles Wissenswerte zum Zertifikatsablauf zusammen. Dabei werden auch die Schritte zur Vorbereitung des Zertifikatswechsels skizziert, wie sich die Zertifikate \u00fcber verschiedene Wege aktualisieren lassen und wie man den Boot-Status der Ger\u00e4te \u00fcberwachen und pr\u00fcfen k\u00f6nne.\u00a0Problem in meinen Augen ist, dass das nur auf einzelnen Ger\u00e4ten funktioniert.<\/p>\n In Secure Boot-Zertifikatswechsel: Es gibt H\u00fcrden beim Austausch<\/a> \u2013 Teil 2 hatte ich zwei Szenarien skizziert, wo es nicht m\u00f6glich war, die UEFI-Zertifikate zum Secure Boot per Microsoft Update zu aktualisieren. Inzwischen hat sich die Situation aber wohl gebessert. Und Microsoft hat mit weiteren Ma\u00dfnahmen nachgelegt. Dazu geh\u00f6rt auch eine Hilfestellung f\u00fcr Administratoren, die Secure Boot-Zertifikate austauschen m\u00fcssen. Eine \u00dcbersicht, wie Administratoren vorgehen k\u00f6nnten, hat ein MVP Ende April 2026 in diesem Beitrag<\/a> zusammen gefasst.<\/p>\n Mark Heitbrink hatte mich vor einigen Tagen bereits per E-Mail daran erinnert, dass Microsoft zum 15. Mai 2026 das Sample Secure Boot E2E Automation Guide<\/a> online gestellt habe (danke daf\u00fcr). In diesem Leitfaden wird das automatisierte Bereitstellungssystem f\u00fcr Windows Secure Boot-DB-Zertifikatsaktualisierungen unter Verwendung von Gruppenrichtlinien und schrittweisen Rollout-Phasen beschrieben.<\/p>\n Die \"Secure Boot Certificate Rollout Automation\" ist ein PowerShell-basiertes System, das Windows Secure Boot-DB-Zertifikatsaktualisierungen kontrolliert und schrittweise auf dom\u00e4nengebundene Computer bereitstellt.<\/p>\n Bei administrator.de ist mir zudem dieser Thread<\/a> untergekommen, der das Ganze ebenfalls anspricht. Dort wird darauf hingewiesen, dass Microsoft zwei PowerShell-Scripte bereitstellt, die unter:<\/p>\n bereitgestellt werden. Obiger Screenshot stammt von meinem Windows 10 2019 Enterprise LTSC-System. Die PowerShell-Scripte sind mit den Windows Updates vom Mai 2026 auf die Maschine gekommen. Die Scripte werden ebenfalls im Sample Secure Boot E2E Automation Guide<\/a> beschrieben. Vielleicht hilft es dem einen oder anderen Leser noch. Wie ist bei euch der Status bez\u00fcglich Secure Boot? Ist alles umgestellt, oder hakt es noch?<\/p>\n \u00c4hnliche Artikel:<\/strong> Noch ein kleiner Artikel zum Thema Secure Boot-Zertifikate, die Administratoren seit vielen Monaten besch\u00e4ftigen. Microsoft hat ein Dokument \"Sample Secure Boot E2E Automation Guide\" ver\u00f6ffentlicht, was Hilfestellung beim Ausrollen der Aktualisierungen f\u00fcr\u00a0 Secure Boot-Zertifikate gibt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[1463,4328,3288],"class_list":["post-325601","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-secure-boot","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325601","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=325601"}],"version-history":[{"count":6,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325601\/revisions"}],"predecessor-version":[{"id":325609,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325601\/revisions\/325609"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=325601"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=325601"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=325601"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Im Juni 2026 laufen erste Secure Boot-Zertifikate, die vor 15 Jahren (2011) f\u00fcr Windows 8-Maschinen ausgestellt wurden, aus.\u00a0Microsoft hat im Techcommunity-Beitrag\u00a0Act now: Secure Boot certificates expire in June 2026<\/a>\u00a0folgende Tabelle mit der Liste der ablaufenden Zertifikate ver\u00f6ffentlich.<\/p>\n
![\"Windows](\"https:\/\/i.postimg.cc\/FHf8wS5d\/image.png\")
<\/p>\nEigentlich sollte im Juni 2026 nichts passieren<\/h3>\n
![\"Windows](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/05\/Win-SecureBoot.jpg\")
<\/a><\/p>\nEine krasse Experience aus der Blog-Leserschaft<\/h3>\n
\n
Secure Boot einfach ausschalten?<\/h3>\n
Microsoft patcht seit 2023 …<\/h3>\n
Microsoft Sample Secure Boot E2E Automation Guide<\/h2>\n
![\"Windows](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/05\/Win-SecureBoot-Scripte.jpg\")
<\/p>\nC:\\Windows\\SecureBoot\\ExampleRolloutScripts<\/pre>\n
\nMicrosofts UEFI Secure Boot-Zertifikat l\u00e4uft im Juni 2026 ab<\/a>
\nAchtung: Microsofts UEFI Zertifikat l\u00e4uft am 19. Okt. 2026 aus \u2013 Secure Boot betroffen<\/a>
\nWindows 10: Chaos beim Austausch neuer Secure Boot-Keys?<\/a>
\nWindows Januar 2026 Update tauscht Secure Boot Zertifikate<\/a>
\nFAQ und Script zur Secure Boot-Absicherung gegen CVE-2023-24932 (Black Lotus)<\/a>
\nWindows und das (BlackLotus) Secure Boot-Desaster: Wie ist bei euch der Status?<\/a>
\nWas passiert, wenn im Juni 2026 Windows Secure Boot-Zertifikate auslaufen?<\/a>
\nWindows Server f\u00fcr Secure Boot-Zertifikat-Updates vorbereiten<\/a>
\nWindows Secure Boot und der Zertifikatswechsel: Microsoft Video-Session<\/a>
\nSecure Boot-Zertifikatswechsel: Ein Playbook von Microsoft<\/a>\u00a0\u2013 Teil 1
\nSecure Boot-Zertifikatswechsel: Es gibt H\u00fcrden beim Austausch<\/a>\u00a0\u2013 Teil 2<\/p>\n","protected":false},"excerpt":{"rendered":"