Ablauf der Secure Boot Zertifikate Juni 2026: Unterschied zwischen den Versionen
Aus ThinkPad-Wiki
Keine Bearbeitungszusammenfassung |
|||
| Zeile 35: | Zeile 35: | ||
Zur Prüfung, ob unter Windows die Zertifikate erkannt werden, geht man gem. [https://tech-support.koeln/de/blog/uefi-secure-boot-zertifikate-fuer-windows-laufen-ab dieser Anleitung] (bei tech-support.koeln) vor. | Zur Prüfung, ob unter Windows die Zertifikate erkannt werden, geht man gem. [https://tech-support.koeln/de/blog/uefi-secure-boot-zertifikate-fuer-windows-laufen-ab dieser Anleitung] (bei tech-support.koeln) vor. | ||
Das Ergebnis kann etwa so aussehen: | |||
[[Datei:Boot-Zertifikat-Check.jpg|300px|Testergebnis der Boot-Zertifikate]] | |||
Laut [https://thinkpad-forum.de/threads/t14-gen1-alte-secure-boot-zertifikate-lenovo-sagt-ja.246272/post-2467388 diesem Beitrag] (im Thinkpad-Forum) sind diese Fehlermeldungen "in Ordnung": | |||
Windows ist mit den Einstellungen zufrieden, die '''CA 2023 Einträge zum booten sind aktiv'''. Booten mit CA 2023 ist möglich. | |||
Microsoft Option ROM UEFI CA 2023: | |||
Lenovo fügte das Zertifikat nicht hinzu, da keine damit signierte Firmware vorhanden ist. | |||
Windows fügte das nicht zur Current DB hinzu, wird bei dem System nicht benötigt. | |||
==Zusätzliche Informationen== | ==Zusätzliche Informationen== | ||
Version vom 16. Februar 2026, 18:12 Uhr
Im Juni 2026 laufen die Secure Boot-Zertifikate für alle Computer ab.
Lenovo Dokumente zur Aktualisierung der Secure Boot Zertifikate
Lenovo hat hier zusätzliche Informationen veröffentlicht, wie man die neuen Zertifikate via BIOS-Update erhalten und aktivieren kann.
Die englische Original-Version der Seite enthält zusätzlich eine Liste aller Lenovo-Modelle, zu denen es ein entsprechendes BIOS-Update gibt. Aufgeführt sind nur solche, die seitens Lenovo offiziell mit Windows 11 unterstützt werden.
Unterstützte Modelle
- Bei ThinkPads sind die Modelle ab Generation T480.
- Bei den in der Liste angegebenen BIOS-Versionen handelt es sich um die älteste, die mit den neuen Secure Boot-Zertifikaten ausgeliefert wurden
- In der README zu den jeweiligen BIOS-Updates erkennt man im Abschnitt "Version History" am Eintrag
- [Important] Enhancement to address security vulnerability,..., CVE-2023-24932
- dass diese BIOS-Updates das betreffende Boot-Zertifikat enthalten. - Mehrfache Auflistungen bei unterschiedlichen BIOS-Versionen sind hierbei möglich (z.B. bei T16 Gen 1).
Vorgehensweise
Wurde das BIOS aktualisiert, werden im BIOS unter "Security" - "Secure Boot" - "Key Management" weiterhin ausschließlich die alten Zertifikate angezeigt:
Aktivierung der Zertifikate
Die neuen Zertifikate müssen erst manuell aktiviert werden.
Lenovo schreibt hierzu:
- Nach der Anwendung des Lenovo BIOS-Updates für die Zertifikate von 2023:
- Bitte beachten Sie, dass diese Maßnahmen ein BitLocker-Wiederherstellungsszenario verursachen können, und stellen Sie sicher, dass der BitLocker-Wiederherstellungsschlüssel verfügbar ist, wenn BitLocker aktiviert ist.
- Für weitere Informationen zu Ihrem BitLocker-Wiederherstellungsschlüssel lesen Sie bitte diesen Microsoft-Supportartikel: Finden Sie Ihren BitLocker-Wiederherstellungsschlüssel
- Führen Sie den Befehl "Auf Werkseinstellungen zurücksetzen" in der BIOS-Konfiguration aus
Daran denken: Vor Ausführen zuerst die Änderungen der BIOS-Einstellungen, die in der Vergangenheit vorgenommen worden waren, notieren und nach ausführen der nächsten Anweisung wieder vornehmen.
- Führen Sie den Befehl "Werksschlüssel wiederherstellen" im Secure Boot-Menü der BIOS-Konfiguration aus
- Das neue Secure Boot-Zertifikat ist nun aktiv.
Prüfung der Zertifikate unter Windows
Zur Prüfung, ob unter Windows die Zertifikate erkannt werden, geht man gem. dieser Anleitung (bei tech-support.koeln) vor.
Das Ergebnis kann etwa so aussehen:
Laut diesem Beitrag (im Thinkpad-Forum) sind diese Fehlermeldungen "in Ordnung":
Windows ist mit den Einstellungen zufrieden, die CA 2023 Einträge zum booten sind aktiv. Booten mit CA 2023 ist möglich. Microsoft Option ROM UEFI CA 2023: Lenovo fügte das Zertifikat nicht hinzu, da keine damit signierte Firmware vorhanden ist. Windows fügte das nicht zur Current DB hinzu, wird bei dem System nicht benötigt.
Zusätzliche Informationen
Für weitere Informationen besuchen Sie bitte die Support- und Blogbeiträge von Microsoft zu diesem Thema:
- Windows Ablauf von Secure Boot-Zertifikaten und CA-Updates - Microsoft Support
- Jetzt handeln: Secure Boot-Zertifikate laufen im Juni 2026 ab - Windows IT Pro Blog
- Windows Geräte für Heimanwender, Unternehmen und Schulen mit Microsoft-verwalteten Updates - Microsoft Support
- Windows Geräte für Unternehmen und Organisationen mit IT-verwalteten Updates - Microsoft Support
- Updates der Secure Boot-Zertifikate: Anleitung für IT-Profis und Organisationen - Microsoft Support
Weblinks
- Ablauf des Microsoft Secure Boot-Zertifikats 2011 – Lenovo Commercial PCs
- 2011 Microsoft Secure Boot Certificate Expiration – Lenovo Commercial PCs] (mit Liste der unterstützten Lenovo-Modelle und BIOS-Versionen)
- Diskussion im ThinkPad-Forum
- Wie kann ich testen, ob die Zertifikate erneuert wurden? (bei tech-support.koeln)
- cjee21/Check-UEFISecureBootVariables
- grub-Befehl auf Dual-Boot-System (im ThinkPad-Forum)
- Anleitung zu Secure Boot-Zertifikatsupdates für IT-Profis und Organisationen - Automatisierte Bereitstellungshilfen (bei Microsoft)
- Anleitung zu Secure Boot-Zertifikatsupdates für IT-Profis und Organisationen - Deployment-Methoden, die nicht abgedeckt sind (bei Microsoft)
