In den kommenden Monaten aktualisiert Microsoft die Zertifikate für den sogenannten Secure Boot (sicherer Start) von Windows 11. Viele Anwender haben dazu Fragen:
- Was bedeutet das Update?
- Muss ich etwas unternehmen?
- Und was passiert, wenn die Zertifikate nicht aktualisiert werden?
Wir haben die wichtigsten Informationen sowie eine Empfehlung für das Vorgehen zusammengestellt.
Was ist Secure Microsoft Secure Boot?
Secure Boot ist eine Sicherheitsfunktion von Windows 11 und moderner UEFI-Firmware. Sie sorgt dafür, dass beim Starten des Computers nur vertrauenswürdige Software geladen wird. Dadurch wird verhindert, dass Schadsoftware oder manipulierte Bootloader bereits vor dem Start von Windows aktiv werden.
Durch Secure Boot werden PC Systeme auch zusätzlich von physischer Manipulation an der Hardware geschützt. Dieser Schutz ist insbesondere bei Notebooks und mobilen Geräten sinnvoll, da diese häufiger transportiert werden und ein höheres Risiko für unbefugten physischen Zugriff besteht.
Was muss ich tun?
Die gute Nachricht: In den meisten Fällen muss nichts unternommen werden. Wenn Secure Boot auf Ihrem PC oder der Workstation aktiviert ist (was bei brentford PCs standardmässig der Fall ist), reicht es aus, die Windows-Updates regelmässig zu installieren. Microsoft verteilt die neuen Secure-Boot-Zertifikate automatisch über Windows Updates.
Unsere Empfehlung lautet daher: Halten Sie Ihr Windows-11-System aktuell und installieren Sie verfügbare Updates zeitnah.
Was passiert, wenn Secure Boot nicht aktualisiert wird?
Falls die Secure-Boot-Zertifikate nicht aktualisiert werden, ist das zunächst kein kritisches Problem. Der Computer wird auch weiterhin normal starten und Windows 11 bleibt grundsätzlich nutzbar.
Allerdings können sich daraus einige Einschränkungen ergeben:
- Bestimmte Sicherheitsupdates werden möglicherweise nicht mehr installiert.
- Der Schutz vor Manipulationen an Hardware oder Bootloader ist reduziert.
- Systeme mit veralteten Zertifikaten bieten weniger Sicherheit gegen Angriffe, die bereits vor dem Start von Windows ansetzen.
Für den alltäglichen Betrieb ist Secure Boot nicht zwingend erforderlich. Ob dieser zusätzliche Schutz im individuellen Einsatz notwendig ist, hängt vom jeweiligen Anwendungsfall ab. Microsoft empfiehlt selbstverständlich, Secure Boot und die dazugehörigen Zertifikate stets aktuell zu halten.
Wann braucht es Secure Boot wirklich?
Wer BitLocker-Laufwerksverschlüsselung verwendet, sollte besonders darauf achten, dass Secure Boot aktiviert und aktuell ist. BitLocker arbeitet eng mit den Sicherheitsfunktionen des Systems zusammen und profitiert von einem korrekt konfigurierten Secure Boot.
Auch einige Anwendungen und moderne Anti-Cheat-Systeme setzen Secure Boot voraus. Dazu gehören beispielsweise:
- Battlefield 6
- Vanguard (RIOT Games)
Sind die Secure-Boot-Zertifikate abgelaufen oder ist Secure Boot deaktiviert, kann es sein, dass solche Programme oder Spiele nicht mehr ordnungsgemäss funktionieren.
Wie überprüfe ich, ob Secure Boot aktiviert ist?
Alle von brentford ausgelieferten Windows-11-Systeme werden standardmässig mit aktiviertem Secure Boot eingerichtet. Bei der Installation von Windows 11 sind sowohl TPM 2.0 als auch Secure Boot im Installationsprozess grundsätzlich vorgesehen. Bei Systemen ohne Betriebssystem oder bei Linux-Installationen ist Secure Boot hingegen deaktiviert. Auch bei Dual-Boot-Systemen mit Windows und Linux wird Secure Boot nicht aktiviert, da einige Linux-Distributionen oder Konfigurationen damit Schwierigkeiten haben können.
Ob Secure Boot auf einem Windows-11-System aktiv ist und die aktuellen Zertifikate verwendet werden, kann direkt in den Windows-Sicherheitseinstellungen überprüft werden:
- Windows-Sicherheit öffnen.
- Zum Bereich Gerätesicherheit wechseln.
- Nach dem Eintrag „Sicherer Start“ suchen.
Wird der Punkt „Sicherer Start“ angezeigt, ist Secure Boot aktiviert. Wenn dieser Eintrag fehlt, ist Secure Boot auf dem Computer womöglich deaktiviert.
Secure Boot aktivieren – so geht's
Wenn Secure Boot nachträglich aktiviert werden soll, kann dies im UEFI- bzw. BIOS-Menü des Computers gemacht werden. Je nach Hersteller können die Bezeichnungen leicht variieren.
Dies die empfohlenen Einstellungen:
- Secure Boot: Enabled oder Windows UEFI Mode
- Secure Boot Mode: Standard
- CSM / Launch CSM: Disabled
Nach dem Speichern der Einstellungen und einem Neustart ist Secure Boot aktiv.
Detaillierte Anleitungen zum Aktivieren von Secure Boot von den jeweiligen Mainboard-Hersteller sind hier zu finden:
Unser Fazit
Das aktuelle Secure-Boot-Update von Microsoft ist in erster Linie eine routinemässige Sicherheitsmassnahme. Wer seinen Windows-11-PC / Workstation regelmässig aktualisiert, muss sich in der Regel um nichts kümmern.
Besonders wichtig ist ein aktueller Secure Boot jedoch für Anwender, die BitLocker, moderne Sicherheitsfunktionen oder bestimmte Spiele und Anwendungen nutzen.
Falls Sie unsicher sind, ob Secure Boot auf Ihrem brentford Computer aktiviert ist oder Unterstützung bei der Konfiguration benötigen, helfen wir Ihnen gerne weiter.
