Einloggen Anmelden
0 Aufzeichnungen)
Wir haben Ergebnisse passend zu "0" in 0 ms gefunden
  2. Nachrichten
  3. Software-Nachrichten
  4. Windows 11
Inhalt
Microsoft beantwortet wichtige Fragen, da die Secure Boot-Frist näher rückt
Was ändert sich am 24. Juni 2026?
Das Juni-Update erweitert die hochzuverlässige Abdeckung
Geräte mit dem Status "Vorübergehend pausiert"
Anleitung für manuelle Rollouts
Geräte mit deaktiviertem Secure Boot
Kriterien für hochzuverlässige Klassifikationen
PXE-Boot-Umgebungen erfordern sorgfältige Verwaltung
Windows 10 und ältere Betriebssystemversionen
Diagnosetools und Ressourcen
Microsoft gibt Antworten, was Sie tun müssen, wenn die Secure Boot-Frist für Windows 11 in wenigen Tagen abläuft
Zeit: Jun, 8, 2026

Microsoft beantwortet wichtige Fragen, während die Secure Boot-Frist näher rückt

Da das ursprüngliche Microsoft Secure Boot KEK-Zertifikat am 24. Juni 2026 abläuft, führte Microsoft am 4. Juni die zweite Live-Sitzung „Ask Microsoft Anything“ (AMA) durch, um die verbleibenden Bedenken von IT-Administratoren und Unternehmenskunden zu klären. Diese Sitzung bot tiefere Einblicke in die Secure Boot-Updates und behandelte Themen wie unternehmensweite Rollouts, Kompatibilität virtueller Maschinen, PXE-Boot-Szenarien und mehr.

Was ändert sich am 24. Juni 2026?

Die drängendste Frage war, ob der 24. Juni eine endgültige Frist für das Secure Boot KEK CA 2011-Zertifikat darstellt. Laut Scott Shell ist das Ablaufdatum keine harte Frist, die alle Funktionen stoppt. Das Ablaufen des KEK-Schlüssels hat keine sofortigen Auswirkungen auf den manuellen Rollout-Prozess auf Basis des Registrierungseditors oder vorhandene Update-Payloads, die weiterhin wie gewohnt funktionieren.

Nach dem 24. Juni wird Microsoft jedoch nicht mehr in der Lage sein, neue DBX-Payloads zu signieren, die entscheidend für das Zurückziehen kompromittierter Bootloader sind. Geräte ohne das aktualisierte KEK-Zertifikat könnten zukünftige Widerrufe verpassen und im Laufe der Zeit potenziell weniger sicher werden. Das DB-Zertifikat bleibt jedoch bis Oktober gültig, sodass Microsoft in dieser Zwischenzeit zusätzliche Boot-Manager signieren kann.

Das Juni-Update erweitert die Hochvertrauensabdeckung

Das Patch-Tuesday-Update im Juni wird die überwiegende Mehrheit der Mainstream-Geräte basierend auf Microsoft-Diagnosedaten als hochvertrauenswürdig einstufen. Kevin Sullivan stellte klar, dass die Geräteklassifizierung über Hersteller- und Modellnamen hinausgeht und auch Firmware-Version und -Datum umfasst. Das bedeutet, dass selbst identische Modelle je nach Firmware unterschiedlich eingestuft werden können.

Um IT-Administratoren zu unterstützen, bietet der Intune-Überwachungsbericht eine detaillierte Ansicht des Gerätestatus, einschließlich Hochvertrauensklassifikation, Update-Status und Geräten, die manuelle Eingriffe erfordern. Der Bericht wird durch ein PowerShell-Skript zur Fehlerbehebung ergänzt, um zusätzliche Flexibilität zu bieten.

Geräte im Status „Vorübergehend pausiert“

Einige Unternehmenskunden berichteten von Geräten, die im Status „vorübergehend pausiert“ feststeckten. Microsoft erklärte, dass dies auftritt, wenn Kompatibilitätsprobleme auf Firmware-Ebene Updates riskant machen. In solchen Fällen ist ein Firmware-Update des OEM erforderlich, um das Problem zu lösen. Sobald die Firmware aktualisiert ist, wird das Gerät in eine neue Klassifikationskategorie verschoben.

Administratoren sollten Live-Daten von Intune oder die CSV-Datei von GitHub verwenden, um den Gerätestatus genau zu verfolgen, da pausierte Kategorien nicht rückwirkend aktualisiert werden. Auf Microsofts Secure Boot-Landingpage finden sich Links zu OEM-Supportseiten, um Firmware-Updates zu finden.

Anleitung für manuelle Rollouts

Für Geräte, die nicht in der Hochvertrauens-Kategorie sind, rät Microsoft davon ab, auf eine automatische Klassifikation zu warten. Administratoren sollten manuelle Rollouts starten, indem sie Registrierungswerte setzen oder Intune-Richtlinieneinstellungen verwenden. Der empfohlene Workflow umfasst:

  1. Den Intune-Überwachungsbericht abrufen, um nicht aktualisierte Geräte zu identifizieren.
  2. Den Update-Prozess an repräsentativen Geräten für jedes Modell oder jede Firmware-Variante testen.
  3. Den Rollout schrittweise nach erfolgreichen Tests erweitern.

Microsoft betonte, dass manuelle Updates Telemetriedaten liefern, die das System für andere Organisationen mit ähnlichen Geräten verbessern.

Geräte mit deaktiviertem Secure Boot

Bei Geräten mit deaktiviertem Secure Boot können keine Zertifikat-Updates angewendet werden. Wird Secure Boot später wieder aktiviert, können Unterschiede zwischen Firmware-Vertrauensdatenbanken und Boot-Manager-Signaturen zu Boot-Fehlern führen. Die Wiederherstellung erfordert eine manuelle Installation des 2023-Zertifikats in der Firmware.

Azure Gen 2 VMs mit aktiviertem Secure oder Trusted Launch verfügen bereits über das 2023-Zertifikat, während Gen 1 VMs nicht mit Secure Boot kompatibel sind.

Kriterien für Hochvertrauensklassifikation

Ältere Geräte erreichen oft schneller eine Hochvertrauensklassifikation als neuere, da ihre kleinere Population eine schnellere statistische Validierung ermöglicht. Für weit verbreitete neuere Modelle wird erwartet, dass das Juni-Update die Hochvertrauens-Kategorie erheblich erweitert.

PXE-Boot-Umgebungen erfordern sorgfältiges Management

Für PXE-Boot-Umgebungen werden Geräte mit dem 2011-Zertifikat weiterhin booten, solange das Zertifikat nicht in der DBX-Liste widerrufen wird. Der Übergang zu Bootloadern, die mit dem 2023-Zertifikat signiert sind, erfordert jedoch sicherzustellen, dass alle Geräte in der Umgebung dem neuen Zertifikat vertrauen. Während der Übergangszeit wird empfohlen, Bootmedien zu verwenden, die mit beiden Zertifikaten signiert sind.

Windows 10 und ältere Betriebssystemversionen

Der Secure Boot-Update-Mechanismus ist bei Windows 10 (unter ESU), Windows 11 und älteren Serverversionen identisch. Ältere Geräte verfügen jedoch möglicherweise nicht über Telemetriedaten, was manuelle Updates erforderlich macht.

Diagnosetools und Ressourcen

Ereignisprotokolle, insbesondere das TPM-WMI-Ereignisprotokoll, sind entscheidend für die Diagnose von Secure Boot-Problemen. Wichtige Indikatoren umfassen:

  • Fehler 1803 für ungültige oder unsignierte Plattformschlüssel.
  • Überprüfung sowohl des KEK- als auch des DB-Zertifikats auf die 2023-Versionen.

Microsofts zentrale Ressource, aka.ms/GetSecureBoot, bietet ein umfassendes Playbook, Diagnoseskripte und Links zu OEM-Firmware. Administratoren werden ermutigt, Microsofts Rat „erst testen, dann umsetzen“ zu folgen, um reibungslose Updates zu gewährleisten.

Zusammenfassend sind Microsofts gestaffelter Rollout und Diagnosewerkzeuge darauf ausgelegt, Störungen zu minimieren und gleichzeitig die Secure Boot-Konformität sicherzustellen. IT-Administratoren werden ermutigt, rechtzeitig zu handeln, um potenzielle Sicherheitsrisiken zu vermeiden, da die KEK-Ablauffrist näher rückt.

Empfohlene Produkte
Windows 11 Enterprise LTSC 2024 CD Key Global
Windows 11 Enterprise LTSC 2024 CD Key Global
Zum Thema passende ArtikelMehr
Getestet: Der neue CPU-Boost von Windows 11 beschädigt weder Ihre CPU, entlädt den Akku oder verursacht HitzeWhatsApp ist die schlechteste App auf Ihrem Windows 11-PC und verbraucht 1,2 GB RAM im LeerlaufMicrosoft veröffentlicht größtes Windows 11-Update 2026: Die 5 besten FunktionenMicrosoft hat die langsamen Downloads im Microsoft Store unter Windows 11 nach Jahren beendetWindows 11 KB5094126 veröffentlicht mit CPU-Boost für Leistung, direkte Download-Links für Offline-Installer (.msu)Ich habe die Windows 11-Updates vom Juni 2026 getestet: Alles Neue, Verbesserte und BehobeneMicrosoft enthüllt: Windows 11 löscht Dateien mindestens 30 % schneller – und das ist erst der AnfangNicht Microsoft, sondern OEMs machen heimlich Windows 11-PCs unbrauchbar - das müssen Sie wissenEs liegt nicht nur an Ihnen: Microsoft sagt, dass das Rechtsklick-Menü von Windows 11 seit Jahren stillschweigend langsam istMicrosoft gibt zu, dass das Kontextmenü von Windows 11 chaotisch ist, und wird es nach Jahren der Beschwerden anpassbar machen

SchließenWillkommen bei whokeys Anmelden.

Noch nicht angemeldet?   Jetzt registrieren

Melden Sie sich mit einem Drittanbieter-Konto an:

  • google
  • Twitch
  • Youtube

SchließenWillkommen bei whokeys.

  • E-Mail-Addresse *(Used To Receive Key)

    Bitte geben Sie eine gültige Email-Adresse ein.

  • Passwort*

    6 bis 16 Buchstaben, Zahlen und Sonderzeichen.

  • Passwort bestätigen*

  • Vorname* Nachname*

  • Ich habe das gelesen und bin damit einverstanden 
    Nutzungsbedingungen & Datenschutz-Bestimmungen
    Abonnieren Sie den whokeys Offers, Contests Newsletter.

Haben Sie bereits ein whokeys-Konto?   Jetzt einschreiben

Melden Sie sich mit einem Drittanbieter-Konto an

  • google
  • Twitch
  • Youtube

Schließen

Prompt:

Das Programm wurde erfolgreich an das System gesendet

Schließen

Prompt:

Das Programm wurde erfolgreich an das System gesendet

Schließen

Prompt:

Das System ist beschäftigt. Bitte warten Sie und versuchen Sie es erneut.

SchließenErfolgreiche Registrierung

Geh zurück User Center

SchließenSicherheitscheck

Ein neuer Artikel wurde Ihrem Warenkorb hinzugefügt.

SchließenVersandart

Ausliefern:
Versandgebühr * Geschätzte Lieferzeit Verfolgbar Träger
*Geschätzte Gebühr, der tatsächliche Betrag wird beim Bezahlvorgang berechnet.
0
Live-Chat