Windows Secure Boot Certificate Update Guide
Notebooks
I. Einführung: Secure Boot und warum ein Update erforderlich ist
Secure Boot ist eine wichtige Sicherheitsfunktion, die verhindern soll, dass nicht autorisierte Software während des Systemstarts ausgeführt wird. Da Microsofts ursprüngliches Secure Boot-Zertifikat aus dem Jahr 2011 im Juni 2026 abläuft, muss es durch das neuere Zertifikat aus dem Jahr 2023 ersetzt werden. So wird sichergestellt, dass Systeme weiterhin Sicherheitsupdates für Windows-Boot-Komponenten erhalten können.
Offizielle Referenz: : Jetzt handeln: Secure Boot-Zertifikate laufen im Juni 2026 ab
II. Auswirkungen des Zertifikatsablaufs
Auch nach Ablauf des ursprünglichen Zertifikats kann das System weiterhin normal in Windows starten. Es können jedoch folgende Auswirkungen auftreten:
- Blockierte Sicherheitsupdates: Das System kann keine Sicherheitsupdates mehr erhalten, die speziell den Windows-Bootloader betreffen.
- Reduzierte Startsicherheit: Die Startphase des Systems kann anfälliger für Low-Level-Bedrohungen werden, zum Beispiel Bootkits oder andere Pre-OS-Malware.
- Eingeschränkte Wiederherstellung: Falls bootbezogene Dateien in Zukunft beschädigt werden, können neuere Wiederherstellungsmedien möglicherweise nicht starten, da das BIOS Abweichungen bei den Secure Boot-Zertifikaten erkennt.
III. So aktualisierst du Secure Boot-Zertifikate auf MSI Laptops
Für die meisten Nutzer können die erforderlichen Updates automatisch über Windows Update bereitgestellt werden, ohne dass zusätzliche Schritte notwendig sind. Die konkrete Methode hängt von der Prozessorgeneration ab.
1. Modelle mit Intel Prozessoren der 7. bis 11. Generation / AMD Ryzen 3000H bis 5000U Prozessoren
Bei diesen Modellen erfolgt die Zertifikatsumstellung hauptsächlich über systemseitige Sicherheitsupdates.
- Empfohlene Methode: Warte, bis Windows Update die aktualisierten Zertifikate automatisch bereitstellt. Microsoft geht davon aus, diesen Prozess ab 2026 automatisch über monatliche kumulative Updates abzuschließen.
- Hinweis:Diese Methode setzt voraus, dass dein Betriebssystem Windows 11 nutzt oder im Windows 10 Consumer Extended Security Updates (ESU)-Programm registriert ist.
- Frühzeitiges Update: Falls ein früheres Update erforderlich ist, kannst du dich auch an der offiziellen Anleitung von Microsoft orientieren, um das Zertifikatsupdate manuell anzuwenden. Siehe dazu Punkt 3 unten.
2. Modelle mit Intel Prozessoren der 12. Generation / AMD Ryzen 5000H und neueren Prozessoren
MSI veröffentlicht für Modelle dieser Generation und neuer schrittweise BIOS-Versionen, die die neuen Zertifikate enthalten.
- BIOS aktualisieren: Rufe die offizielle MSI Support-Seite auf, lade die neueste BIOS-Version herunter und installiere sie. Achte dabei auf die Beschreibung: „Update Secure Boot Key: Windows UEFI CA 2023 & Microsoft UEFI CA 2023“.
- Hinweis: Vor dem BIOS-Update sollte zuerst der BitLocker-Wiederherstellungsschlüssel gesichert werden.
- Zertifikatsaktivierung: Nach dem BIOS-Update wird empfohlen, darauf zu warten, dass Windows Update die Zertifikate automatisch aktiviert. Falls eine frühzeitige Aktivierung erforderlich ist, kannst du dich an den Microsoft-Richtlinien zur manuellen Aktivierung orientieren. Siehe dazu Punkt 3 unten.
3. Manuelles Registry-Update für fortgeschrittene Nutzer / IT-Administratoren
Für frühe Tests oder eine einheitliche IT-Verwaltung kann die von Microsoft beschriebene Methode zur Aktualisierung über die Registry verwendet werden.
IV. Überprüfung: So prüfst du den Update-Status
Du kannst über das Windows-Sicherheitscenter prüfen, ob das Update erfolgreich empfangen wurde. Weitere Details findest du unter Secure Startup Credential Update Status in der Windows-Sicherheitscenter-App.
Alternativ kannst du den aktuellen Zertifikatsstatus in der Ereignisanzeige prüfen:
Windows-Protokolle → System → Quelle: „TPM-WMI“
Windows-Protokolle → System → Quelle: „TPM-WMI“
- Status: Vollständig aktualisiert und aktiv (Ereignis-ID 1808)
Meldung: „This device has updated Secure Boot CA/keys“
Dies weist darauf hin, dass das neue Secure Boot-Zertifikat erfolgreich angewendet wurde. - Status: BIOS aktualisiert, Zertifikat nicht angewendet (Ereignis-ID 1801)
Meldung: „Updated Secure Boot certificates are available on this device but have not yet been applied to the firmware. Review the published guidance to complete the update and maintain full protection.“
Maßnahme: Öffne Windows Update, damit die monatlichen kumulativen Updates von Microsoft das neue Zertifikat automatisch aktivieren können. Um die Ereignis-ID 1801 sofort zu beheben, siehe Update-Methode 3. - Status: BIOS-Version enthält kein neues Zertifikat (Ereignis-ID 1801)
Meldung: “Need to update Secure Boot CA/keys.”
Maßnahme: Öffne Windows Update und warte, bis die monatlichen kumulativen Updates von Microsoft das neue Zertifikat automatisch installieren.
