Problem / Hintergrund
Microsoft Secure-Boot-Zertifikate aus dem Jahr 2011 laufen ab 2026 aus. Damit Windows-Geräte weiterhin korrekt und sicher starten können, müssen die neuen Secure-Boot-Zertifikate von 2023 in der UEFI-Datenbank aktualisiert werden, insbesondere KEK und DB.
Microsoft beschreibt dafür einen verwalteten Update-Prozess über Windows Update, Registry-Flags und die geplante Aufgabe \Microsoft\Windows\PI\Secure-Boot-Update. Für IT-verwaltete Geräte empfiehlt Microsoft unter anderem den Registry-Wert AvailableUpdates = 0x5944, um die relevanten Secure-Boot-Updates anzustossen; der Fortschritt wird über UEFICA2023Status, UEFICA2023Error und Ereignisprotokolle geprüft.
Weitere Informationen
- Microsoft: Windows Secure Boot certificate expiration and CA updates
- Microsoft: Registry key updates for Secure Boot: Windows devices with IT-managed updates
- Microsoft: Secure Boot certificate update status in the Windows Security app
- Microsoft: Verwalten der Windows-Start-Manager-Sperrungen im Zusammenhang mit CVE-2023-24932 / KB5025885
- Microsoft: Zertifikatupdates für den sicheren Start: Leitfaden für IT-Experten und Organisationen
Update Zertifikat mit Script
Das beiliegende Skript Auto_fix_uefi2023.ps1 muss in einer administrativen PowerShell auf einem UEFI-System mit aktiviertem Secure Boot ausgeführt werden. Es prüft zuerst, ob Secure Boot unterstützt und aktiv ist, ob die 2023-Zertifikate bereits vorhanden sind und ob frühere Fehler bestehen; falls nötig setzt es AvailableUpdates auf 0x5944, aktiviert die geplante Aufgabe Secure-Boot-Update und startet sie.
Nach der ersten Ausführung ist in der Regel ein Neustart erforderlich, damit das UEFI-Zertifikatsupdate vollständig angewendet werden kann. Nach dem Reboot muss das Skript erneut ausgeführt werden; wenn alles korrekt aktualisiert wurde, sollte der Output bei Gesamtstatus lauten: OK - Secure-Boot-2023-Update ist bereits vorhanden oder abgeschlossen.
Falls das Skript meldet, dass Secure Boot deaktiviert ist, muss Secure Boot zuerst im UEFI/BIOS aktiviert und danach das Skript erneut ausgeführt werden. Falls ein Fehlercode in UEFICA2023Error vorhanden ist, sollten vor einer erneuten breiten Ausführung die Ereignisprotokolle und Microsoft-Hinweise geprüft werden.
Wenn es nötig wird, muss das Skript evtl. wie folgt gestartet werden (da es nicht Digital Signiert ist). Muss nur gemacht werden, wenn beim direkten Starten ein Fehler kommt das es blockiert wurde weil nicht signiert:
Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass -Force
.\Auto_fix_uefi2023.ps1Nach der erfolgreichen Ausführung des Scripts sollte dies wie folgt aussehen:
