Secure Boot CA 2023: Prüfen, verstehen und korrekt migrieren

André Stuhr
André Stuhr

IT-Experte und Microsoft-Spezialist

10. 04. 26 IT Blog 0 Kommentare 6 Min. Lesezeit

Warum die Secure-Boot-Migration jetzt relevant ist

Die Secure Boot CA 2023 Migration ist für Windows‑Systeme zwingend erforderlich, da die bisherige Secure‑Boot‑Vertrauenskette aus dem Jahr 2011 abläuft. Dieser Beitrag erklärt, wie Administratoren die Secure Boot CA 2023 korrekt prüfen, bewerten und in verwalteten On‑Premises‑Umgebungen sicher umsetzen.

Wichtig ist:
Dabei handelt es sich nicht um ein klassisches Windows-Update, sondern um eine firmware-nahe Migration, die bewusst geplant und bewertet werden sollte – insbesondere in Unternehmensumgebungen.

Wichtige Abgrenzung: Privatgeräte vs. Unternehmenssysteme

Nicht verwaltete Windows-Systeme (Privathaushalte)

Für private, nicht verwaltete Windows-Systeme besteht in der Regel kein Handlungsbedarf.
Microsoft verteilt die Secure-Boot-Migration für diese Geräte automatisch über Windows Update, gesteuert über ein kontrolliertes Rollout-Verfahren.

Der Nutzer muss in diesen Fällen:

  • keine Registry-Einträge setzen
  • keine Aufgaben manuell starten
  • keine Migration initiieren

Typisch ist dabei ein vollständig abgeschlossenes System ohne weitere Marker oder administrative Eingriffe. Das ist ein normaler und korrekter Zustand. Eine manuelle Prüfung ist optional, aber nicht zwingend erforderlich.

Verwaltete Windows-Systeme (Unternehmen, On-Premises)

In klassischen Unternehmensumgebungen sieht die Situation anders aus:

  • Windows Server
  • WSUS- oder SCCM-Infrastrukturen
  • Eingeschränkter Internetzugang
  • Bewusst gesteuerte Update-Freigaben

In diesen Szenarien sind die notwendigen Update-Bestandteile zwar meist vorhanden, die Secure-Boot-Migration wird jedoch häufig nicht automatisch gestartet. Hier liegt die Verantwortung beim Administrator.

Technische Grundlagen verstehen

Secure Boot und UEFI

Die Migration setzt voraus:

  • UEFI-Firmware (kein Legacy-BIOS)
  • UEFI Version 2.x oder höher
  • Secure Boot ist aktiv

Diese Prüfung erfolgt direkt im System:

Confirm-SecureBootUEFI

Ergebnis:

  • True bedeutet, Secure Boot ist aktiv
  • Ein Fehler oder False bedeutet, Secure Boot wird nicht genutzt

Ohne aktiven Secure Boot ist keine Migration notwendig.

Zentrale Prüfungen vor der Secure Boot CA 2023 Migration

1. Secure-Boot-Status prüfen:

Confirm-SecureBootUEFI

Nur Systeme mit aktivem Secure Boot sind migrationsrelevant.

2. Prüfen, ob die neue CA 2023 bereits in der Firmware vorhanden ist

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).Bytes) -match "UEFI CA 2023"
  • True: Firmware vertraut bereits der neuen CA
  • False: Firmware verwendet noch die alte Vertrauenskette

3. Boot-Manager-Signatur prüfen

Der Windows-Boot-Manager befindet sich auf der EFI-Systempartition und nicht im normalen Windows-Dateisystem. Entscheidend ist daher nicht nur, welcher Zertifikatskette die Firmware vertraut, sondern auch, womit der aktuell verwendete Boot-Manager signiert ist.

Da die EFI-Systempartition standardmäßig keinen Laufwerksbuchstaben besitzt, muss sie für die Prüfung temporär eingebunden werden.

EFI-Systempartition einbinden:

mountvol S: /s

Anschließend kann die Signatur des Windows-Boot-Managers geprüft werden:

$cert = Get-PfxCertificate -FilePath "S:\EFI\Microsoft\Boot\bootmgfw.efi"
$cert.Issuer

Relevant ist der Issuer des Zertifikats:

  • Windows UEFI CA 2023 bedeutet aktueller, migrierter Stand
  • Zertifikate mit Jahr 2011 deuten auf den alten Stand hin

Nach Abschluss der Prüfung sollte die EFI-Systempartition wieder getrennt werden:

mountvol S: /d

Diese Prüfung liefert den direkten Nachweis, womit das System tatsächlich bootet, unabhängig von Registry-Werten oder Windows-Update-Anzeigen.

Der entscheidende Status: UEFICA2023Status

Microsoft stellt einen offiziellen Statuswert bereit, der den Migrationsfortschritt abbildet:

Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | fl UEFICA2023Status

Der Wert UEFICA2023Status kann folgende Zustände annehmen:

  • NotStarted
  • InProgress
  • PendingReboot
  • Updated

Nur der Status Updated bedeutet eine vollständig abgeschlossene Migration.

Zwischenzustände sind normal und kein Fehler.

Was der Registry-Wert AvailableUpdates wirklich bedeutet

Ein häufig missverstandener Wert ist:

$val = (Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot").AvailableUpdates
"AvailableUpdates: 0x{0:X} ({0})" -f $val

Der Eintrag AvailableUpdates ist kein Fortschritts- oder Fehlerindikator, sondern ein Steuer- und Markerwert.

Typische Werte:

  • 0x0
  • 0x4000

Beide Werte sind gültige Endzustände, wenn der Migrationsstatus auf Updated steht. Der Unterschied beschreibt lediglich den verwendeten Übergangspfad, nicht Erfolg oder Misserfolg.

Wie die Migration in verwalteten Umgebungen initiiert wird

In On-Premises-Infrastrukturen erfolgt die Migration bewusst und kontrolliert.

Registry-Trigger setzen

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot"
-Name "AvailableUpdates" -Value 0x5944
-Type DWord

Dieser Wert signalisiert dem System, dass alle erforderlichen Secure-Boot-Updates ausgeführt werden sollen.

Secure-Boot-Servicing-Aufgabe starten

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Dabei werden keine Daten aus dem Internet geladen. Es wird ausschließlich mit lokal installierten Update-Komponenten gearbeitet.

Neustarts sind Teil des Prozesses

Die Migration erfolgt in mehreren Phasen. Zwei bis drei Neustarts sind normal und abhängig von:

  • Firmware-Implementierung
  • Hardware
  • Plattformtyp (physisch oder virtuell)

Zwischenzeitliche Status- oder Fehleranzeigen sind in dieser Phase nicht ungewöhnlich.

Wann ist die Migration wirklich abgeschlossen?

Ein System gilt als erfolgreich migriert, wenn:

  1. UEFICA2023Status = Updated
  2. Die Firmware-Datenbank die Windows UEFI CA 2023 enthält
  3. Der Boot-Manager mit der CA 2023 signiert ist

Der Wert AvailableUpdates darf dabei 0x0 oder 0x4000 sein.

Fazit

Die Secure-Boot-Migration auf Windows UEFI CA 2023 ist kein Sonderfall, sondern eine zwingende Sicherheitsmaßnahme mit klarer Trennung zwischen privaten und verwalteten Systemen.

Privatanwender können sich in der Regel auf Windows Update verlassen.

Für Unternehmen bedeutet die Secure Boot CA 2023 Migration vor allem eines:

  • den Ist‑Zustand sauber prüfen und die Umstellung kontrolliert durchführen.

Weitere detaillierte Informationen und offizielle Anleitungen zur Secure Boot CA 2023 Migration findest Du auf der Microsoft Dokumentationsseite:

Secure Boot Certificate updates: Guidance for IT professionals and organizations

organization

Wer den Prozess versteht und Schritt für Schritt vorgeht, erhält ein stabiles, zukunftssicheres Secure-Boot-System – ohne unnötige Risiken.

Benötigt ihr Unterstützung bei der Migration in eurer Umgebung? Kontaktiert mich gerne.

Häufig gestellte Fragen

Ihr System erhält ab 2026 keine sicherheitsrelevanten Boot-Updates mehr, was es anfälliger für Angriffe macht.

Ja, theoretisch, aber nicht empfohlen. Eine Rückkehr zur alten Zertifikatskette würde Sicherheitslücken öffnen.

Die Dauer hängt von der Firmware-Implementierung und der Hardware ab, typischerweise sind jedoch zwei bis drei Neustarts erforderlich.

Ja, über die in diesem Artikel beschriebenen PowerShell-Befehle und gängige Verwaltungstools wie SCCM.

Der Wert muss Updated sein, um eine vollständig abgeschlossene Migration anzuzeigen.

Schlagwörter

EFI-Systempartition Firmware Security IT‑Security Secure Boot CA 2023 Secure Boot Migration Secure Boot Prüfung Secure Boot Verwaltung Secure Boot Zertifikate UEFI CA 2023 UEFI Firmware UEFI Secure Boot Windows Boot Manager Windows Secure Boot Windows Sicherheit Windows UEFI
Das könnte Dich auch interessieren
Secure Boot nachträglich aktivieren: Voraussetzungen schaffen für moderne Server Hardware
Hyper‑V Launcher nach UEFI‑Konvertierung aktivieren
0 Kommentare

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Offline-RDP-Zertifikate nach Microsoft-Vorgaben – Template-Update ab Windows...Hyper‑V Launcher nach UEFI‑Konvertierung aktivieren