Frage - Notwendige Schritte beim Thema "Windows Secure Boot Certificate Expiring 2026"

[phatair 47]

Hallo zusammen,

 

Im Juni bzw. Oktober 2026 laufen ja die Secure Boot Zertifikate aus.

Microsoft hat dazu ja einige Informationen bereitgestellt. Unter anderem hier, hier und hier.

 

Das Vorgehen ist mir aber irgendwie immer noch nicht wirklich klar.

Zum einen muss ich sicherstellen, dass der OEM Hersteller der Clients ein BIOS Update bereitstellt, in dem das notwendige Zertifikat enthalten ist, richtig?

Zu anderen muss ich in Windows Zertifikate tauschen. Das kann entweder per Windows Update passieren (wenn die Diagnosedaten eingeschaltet sind) oder muss manuell (per GPO/RegKey) durchgeführt werden, richtig?

 

Vielleicht habt ihr das Thema bei euch schon durch oder schon eigene Erfahrungen gemacht und könnt mir Tipps zum Vorgehen geben bzw. mein Vorgehen kurz bestätigen. Das wäre sehr hilfreich.

 

Mein Vorgehen wäre jetzt erstmal, dass ich per Script auf allen Geräten prüfen lassen ob der Secure Boot eingeschaltet ist und ob das neue Zertifikat im BIOS/UEFI schon enthalten ist.

Habt ihr da ein Script was mir z.B. in ein Log File diese Info schreibt?

Ich habe folgendes Script gefunden, aber das schreibt kein Log. Oder wie könnte ich den Output des Scripts in ein File schreiben lassen?

https://github.com/cjee21/Check-UEFISecureBootVariables

 

Wenn das erledigt ist, muss ich doch nur noch in Windows die Zertifikate aktualisieren lassen. Dies kann ich mit diesen GPO Einstellungen regeln, richtig?

 

Für Hilfe wäre ich sehr dankbar.

Grüße

 

[phatair 47]

Ich hake hier noch mal ein, da ich den ersten Beitrag nicht mehr ändern kann.

 

Kann es sein, dass es gar nicht zwingend notwendig ist, dass man die BIOS/UEFI Updates einspielen muss um das neue Zertifikat im UEFI zu erhalten?

Ich habe auch gelesen, dass dies von MS (wenn genügend Telemetriedaten vorliegen) gemacht wird. Ich dachte das bezieht sich immer nur auf die Zertifikate in Windows.

 

Hat niemand bisher Erfahrung mit dem Workflow bzw. den Prozess vielleicht etwas besser verstanden als ich? 

[phatair 47]

Falls sich hier noch jemand mit dem Thema beschäftigt. 

Folgendes Vorgehen klappt nun bei uns problemlos. Wir setzen nur DELL Hardware ein und updaten die BIOS/Treiber automatisiert.

Diagnose Daten sind bei uns deaktiviert und Clients erhalten Updates über den WSUS.

 

1. BIOS Update durchführen

2. Secure Boot Update über GPO aktivieren 

3. Client installiert die notwendigen Zertifikate und nach 2 Reboots bzw. 2 Läufen des Schedule Tasks ist das Boot Manager Zertifikat und alle notwenigen anderen Zertifikate gesetzt.

 

Alle wichtigen RegKeys sind hier zu finden HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Der Schedule Task ist hier zu finden \Microsoft\Windows\PI -> Secure-Boot-Update

 

Geholfen hat dieses Script zum auswerten und um mögliche DBX Aktualisierungen vorzunehmen.

•  
• Check UEFI PK, KEK, DB and DBX.cmd
• Check Windows state.cmd
• Apply DBX update.cmd 

Infos zu den Reg Werte, GPOs und EventLogs 

 

Die Auswertung welche Clients alle erfolgreich aktualisiert sind erfolgt dann per Docusnap und über unser Client Management System, in dem wir die entsprechenden RegKeys auswerten.

 

Viel Erfolg 

 

[Marco31 37]

Darf ich fragen wie du das über Docusnap auswertest? Hört sich nach ner guten Idee an😉

[phatair 47]

Geht über einen vorgefertigten Bericht. 

Siehe hier

 

wir inventarisieren die clients mit docusnap script oder mit windows discovery wie es jetzt heißt. 

 

Hier muss man noch den Parameter mitgeben, damit die Zertifikate inventarisiert werden. 

 

Wenn man es über die "integrierte" Inventarisierung macht, kann man das wohl im Assistenten auswählen. 

 

Soweit ich das aber verstehe, wird hier nur geprüft ob die Zertifikate vorhanden sind und nicht ob der boot manager auch das neue Zertifikaten gebunden hat. Deshalb werten wir noch zusätzlich den regkey aus. 

[Sunny61 846]

@phatair

Danke für die Infos. ;)

BIOS-Updates enthalten immer wieder sehr viele Fehlerkorrekturen und es werden auch Sicherheitslücken gepatcht. Grundsätzlich ist es also eine gute Idee die von den Herstellern angebotenen BIOS-Updates regelmäßig zu installieren.

 

EDIT: Die Discovery Services von Docusnap sind IMHO der DocusnapScript.exe vorzuziehen, da die Möglichkeiten an der Stelle der Discovery Services einfach viel umfangreicher sind. ;)

bearbeitet 30. Januar von Sunny61

[Marco31 37]

Was glaube ich den wenigsten bekannt ist, in verwalteten Umgebungen ohne Windows Update läuft da gar nichts automatisch wenn ich das ganze richtig Verstehe... Microsoft entscheidet wohl anhand von Telemetriedaten, ob und wann Maschinen den Updateprozess für die Zertifikate anstoßen. Hat man die Telemetriedaten blockiert (vielleicht reicht auch Beschränkung) wird da vermutlich nix passieren... Die Windows Updates bringen wohl nur die notwendigen Daten mit, installieren aber NICHT die Zertifikate.

Daher muss mal wohl selbst tätig werden und die entsprechenden GPO's konfigurieren und dann überwachen, ob die Zertifikatsupdates durchlaufen. Hyper-V-VM's sollen da angeblich auch Probleme machen, hatte da ein paar Sachen gefunden bei Google, habe aber da noch nicht angegriffen da ich mich erstmal den Clients gewidmet hatte und noch eine Möglichkeit suche, das ganze vernünftig zu überwachen.

 

Hier ein ganz guter Artikel zum Thema: Update der UEFI-Zertifikate für Secure Boot: Microsoft bringt 3 neue Gruppenrichtlinien | WindowsPro

Und hier ein paar Skripte: GitHub - cjee21/Check-UEFISecureBootVariables: PowerShell scripts to check the UEFI KEK, DB and DBX Secure Boot variables as well as scripts for other Secure Boot related items. (ob man da fremde Skripte benutzen möchte bleibt jedem selbst überlassen  )

 

Wundert mich dass man so wenig drüber liest, könnte sein dass da die nächste "plötzliche" Katastrophe zurollt