Zertifikate für Secure Boot aktualisieren!
Die für Secure Boot erforderlichen Zertifikate laufen im Juni bzw. Oktober 2026 ab und erfordern daher ein Update. Außerdem müssen Boot-Manager, die mit den alten Zertifikaten signiert sind, ersetzt werden, weil Bootkits wie BlackLotus deren Schwachstellen ausnutzen könnten.
Das Update der Secure-Boot-Zertifikate ist ein relativ komplexer Vorgang, der von einer geplanten Aufgabe in mehreren Schritten erledigt wird. Sie kann allerdings die Zertifikate nicht einfach austauschen. Vielmehr ist eine Hierarchie von Zertifikaten involviert, mit denen die Firmware alle Änderungen auf der jeweils darunterliegenden Ebene kontrolliert.
Update selbst steuern oder Microsoft überlassen?
Nachdem nur noch relativ wenig Zeit bleibt, um diese Aufgabe zu erledigen, müssen sich Organisationen grundsätzlich überlegen, wie sie dabei vorgehen. In verwalteten Umgebungen müssen Admins grundsätzlich selbst Hand anlegen, weil Microsoft diese Geräte bis dato nicht automatisch aktualisiert. Die Gruppenrichtlinien für das Update der UEFI-Zertifikate bieten die Möglichkeit für ein Opt-in zu Microsofts Update-Fahrplan, wenn man den Vorgang nicht selbst steuern möchte.
Das hier verlinkte eBook (PDF 1,5 MB) behandelt auf 33 Seiten unter anderem folgende Themen:
- Welche Zertifikate müssen bis wann erneuert werden?
- Installation selbst steuern oder Windows Update überlassen?
- Welche Tools bietet Microsoft für das Update?
- Installationsmedien und WinPE aktualisieren
- Alte Zertifikate sperren
- usw.
Download:
https://1fichier.com/?rwyrvihzbpkseb2m7tqt
https://dl4free.com/?z6xuqj9uu0kn9d54z071
https://megadl.fr/?udni0037ivlbuij17yuc