Secureboot Zertifikate update

Nicklas91 · 15. Januar 2026 um 20:40

Hallo zusammen,

ich frag hier mal in die Runde. Wie geht ihr mit dem Thema um? Verlasst ihr euch auf Windows Update? Wie macht ihr das beim Einsatz von SCCM/WSUS oder dem Patchmanagement von Empirum?

@neo42 habt ihr da evtl was für eure Kunden? Ich hab im Internet folgendes gefunden:

Gruß

Nicklas

Endpoint-Administrator bei der Stadt Hagen

MDN.neo42 · 19. Januar 2026 um 12:55

Hallo @Nicklas91 ,
das ist derzeit auch bei uns ein aktuelles Thema und wir stehen unseren Kunden gerne beratend zur Verfügung.

Man muss meines erachtens unterschiedliche Dinge berücksichtigen:

Welche Rechner sind überhaupt betroffen. Mit der Empirum Version 25.4 kam hierfür eine neue Inventoryerweiterung, die den aktuellen Zertifikatsstand ausließt und im Inventory anzeigt. Dies hilft einem nach den noch zu aktualisierenden Rechnern zu filtern.
Aktuelle Windows Versionen lassen sich mit den aktuellen Updates (ab Oktober 2025) aktualisieren. Durch die kumulativen Updates werden die Zertifikate auf der Maschine abgelegt und per GPO lässt sich ein geplanter Task aktivieren, der die Zertifikate ins UEFI einspielt. Hierfür sind allerdings einige Reboots notwendig, weswegen es sich empfiehlt zeitig mit der Konfiguration zu beginnen.
Alte Rechner die nicht mehr auf einer aktuellen Windows Version laufen. Hierfür bieten im Rahmen von Dienstleistung Softwarepakete an. Da es einige Punkte zu beachten gibt, haben wir uns dagegen entschieden, diese Pakete im APD bereitzustellen, sondern es bei Projektlösungen zu lassen.

Bei Fragen können Sie uns gerne nochmal gezielt über neosupport@neo42.de ansprechen.

Viele Grüße
Michael Deitermann

Nicklas91 · 19. Januar 2026 um 15:13

Hallo,

diese Dinge haben wir so auch betrachtet. Was für uns wahrscheinlich am kompliziertesten wird, ist die Kombination aus BIOS-Update und Update des Zertifikats. Ich werde das ganze diese Woche mal an ein paar Testclients Tests unternehmen.

LG

Nicklas

rolandBB · 22. Januar 2026 um 06:11

Guten Morgen,

gibt es von euch auch eine Dokumentation was ihr in eurem ProjektTool macht so wie bei Innomea?

Da wir aktuell auch mal mit den Updates anfangen wollen wäre da die Frage der Entscheidung von wem wir das beziehen oder doch selbst durchführen.

Danke

Mike · 10. April 2026 um 08:06

Hallo zusammen,

ich würde gerne das Thema nochmal aufgreifen, gerade den Punkt mit dem Inventory in Empirum.
Wir sind ebenfalls gerade an diesen Thema dran und bereit gerade die Rechner vor (Bios UPdates)

Was uns jetzt aufgefallen ist wir haben Systemen von im Inventroy nur Windows UEFI CA 2023 auf 1 steht aber auch Systemen wo Mircosoft UEFI CA 2023 auf 1 steht.

Ich kann mir das leider nicht erklären, da laut internet die Mircosoft UEFI CA 2023 für andere BootLoader sein sollen.

Hat da jemand evtl. noch infos? Reicht es wenn bei Windows UEFI CA 2023 eine 1 steht oder müssen beide auf 1 stehen.

Viele Grüße und Danke

Mike

Paketbote · 15. April 2026 um 05:31

Morgen,

den Fall hatte ich bisher noch nicht, aber ich zitiere mal die KI:
”Wenn du „nur“ Windows nutzt, reicht Windows UEFI CA 2023 für dich aus; Microsoft UEFI CA 2023 brauchst du nur, wenn du auch Drittsystem‑Bootloader gemeinsam mit Secure Boot nutzen willst.”

Soweit ich es verstanden habe reicht das Windows Zertifikat. Das andere ist wohl für Linux oder sonstige Drittanbieter Bootloader (laut Internet dann bspw. für Diagnosetools, Dualboot o.ä.)
Die würden dann nicht mehr laufen/starten.
Für alles andere sollte das Windowszertifikat reichen

P.S: Das 2011er Zertifikat hat Microsoft wohl getrennt in zwei eigenständige aus Sicherheitsgründen.

Siehe auch hier: Ablauf des Windows Secure Boot-Zertifikats und Updates der Zertifizierungsstelle - Microsoft-Support
hier unter 1.4: Leitfaden zur Erstellung und Verwaltung von Schlüsseln für Windows Sicherer Start | Microsoft Learn

und hier vielleicht wichtig für dich/euch:

dort steht in der Mitte unter “Zertifikate” folgendes:

Das trifft dann vermutlich auf das 0/1er Gerät zu.

Grüße,
Paketbote