Ab Juni 2026 laufen die Windows 2011 Secure Boot-Zertifikate ab. Um den Schutz vor neuen Boot-Level-Bedrohungen aufrechtzuerhalten, müssen Geräte auf die im Jahr 2023 ausgestellten neuen Zertifikate aktualisiert werden.
Wie dies Ihre Organisation betrifft:
Wenn die Secure Boot-Zertifikate ohne Aktualisierung ablaufen, startet und läuft das Gerät zwar weiterhin normal und erhält Standard-Windows-Updates, doch können keine neuen Sicherheitsmaßnahmen für den frühen Boot-Prozess mehr angewendet werden, sobald die Zertifikate abgelaufen sind.
Sie können Intune verwenden, um auf verwalteten Windows-Clients Updates bereitzustellen, sich von High-Confidence-Buckets abzumelden und Microsoft die Verwaltung dieser Updates zu ermöglichen, indem Sie folgende Einstellungen im Intune-Einstellungen-Katalog aktivieren:
- Microsoft Update Managed Opt In konfigurieren
- High Confidence Opt Out konfigurieren
- Secureboot-Zertifikatsupdates aktivieren
Was Sie tun müssen, um sich vorzubereiten:
Um Secure Boot-Zertifikatsupdates zu verwalten, aktivieren Sie die Secure Boot-Einstellungen in Ihrem vorhandenen Gerätekonfigurationsprofil oder erstellen Sie ein neues Profil, indem Sie folgende Schritte ausführen:
- Im Intune Admin Center Geräte > unter Geräte verwalten wählen Sie Konfiguration.
- Wählen Sie Erstellen und dann Neue Richtlinie.
- Wählen Sie unter Plattform „Windows 10 und höher“ und als Profiltyp „Einstellungen-Katalog“.
- Unter Konfigurationseinstellungen wählen Sie Einstellungen hinzufügen. Suchen Sie im Einstellungen-Auswahldialog nach Secure Boot.
- Wählen Sie die für Ihre Organisation gewünschten Einstellungen aus: Microsoft Update Managed Opt In konfigurieren, High Confidence Opt Out konfigurieren und Secureboot-Zertifikatsupdates aktivieren.
- Schließen Sie die Erstellung des Profils für die Geräte ab, die diese Einstellungen erhalten sollen.
Für detaillierte Anleitungen lesen Sie: Microsoft Intune Methode für Secure Boot bei Windows-Geräten mit IT-verwalteten Updates
Zusätzliche Informationen:
- Windows Message Center: Wie Sie Microsoft Intune zum Aktualisieren ablaufender Secure Boot-Zertifikate nutzen
- Secure Boot Playbook für Zertifikate, die 2026 ablaufen | Windows IT Pro Blog
- Häufig gestellte Fragen zum Secure Boot Update-Prozess | Microsoft Support
- Secure Boot Zertifikatsupdates: Leitfaden für IT-Fachleute und Organisationen | Microsoft Support
- Wann Secure Boot-Zertifikate bei Windows-Geräten ablaufen | Microsoft Support
- Überwachung des Secure Boot-Zertifikatsstatus mit Microsoft Intune-Remediations | Microsoft Support
- Secure Boot Statusbericht in Windows Autopatch | Microsoft Learn
