Windows 11: Neue Secure-Boot-Zertifikate sorgen teils für ernste Bugs


Microsoft setzt die Verteilung neuer Secure-Boot-Zertifikate für bestimmte Windows-PCs vorerst aus. Kompatibilitätsprobleme mit der Firmware können den Startvorgang blockieren. Nutzer müssen auf Updates der Mainboard-Hersteller warten.

Zertifikate blockieren Windows

Schon vor gut einem Jahr hatte Microsoft damit begonnen, vor auslaufenden Secure-Boot-Zertifikaten unter Windows zu warnen. Vor einigen Wochen startete dann der Rollout der neuen Zertifikate. Doch schon damals erhielten aufgrund verschiedener Umstände nicht alle Geräte die aktualisierten Dateien. Jetzt setzt der Softwarekonzern aus Redmond die automatische Aktualisierung für weitere Computer aus triftigen Gründen vorerst aus.

So kommt es bei einigen Systemen mit Windows 11 und älteren Versionen zu schwerwiegenden Kompatibilitätsproblemen mit der System-Firmware. Das Einspielen der neuen Zertifikate schlägt bei den betroffenen Geräten fehl oder verhindert komplett den Start.


Gefahr durch fehlerhafte Firmware

Wie Microsoft in seinem aktualisierten Support-Dokument bestätigt, arbeitet das Unternehmen mit den Hardware-Herstellern an einer Lösung. Bei manchen Firmware-Versionen wird die bestehende Datenbank beim Update komplett überschrieben, anstatt den neuen Schlüssel ordnungsgemäß anzuhängen. Fehlt das alte Zertifikat, lehnt das System den Bootmanager ab und der Rechner startet nicht mehr.

Bei anderen Geräten bleiben Nutzer während des Updates in einem Bildschirm für die BitLocker-Verschlüsselung hängen. Das Problem verdeutlicht, wie tiefgreifend die Sicherheitsmechanismen greifen. Ohne die aktualisierten Zertifikate können Computer künftig keine Sperrlisten für kompromittierte Bootloader verarbeiten. Dadurch bleibt ein Einfallstor für moderne Schadsoftware auf Hardware-Ebene geöffnet.

In den Systemeinstellungen unter "Datenschutz und Sicherheit" > "Windows-Sicherheit" > "Gerätesicherheit" werden Anwender unter dem Punkt "Sicherer Start" detailliert darüber informiert, ob ihr System zu der betroffenen Gruppe gehört. Ist das der Fall, pausiert das Betriebssystem die Zertifikatsumstellung automatisch. Manuelle Eingriffe in die Registry sollten vermieden werden. Nutzer müssen auf ein fehlerbereinigtes Update ihres Mainboard-Herstellers warten und sehen die folgende Mitteilung:

Geräte in dieser Gruppe sind von einem bekannten Problem betroffen. Um das Risiko zu verringern, werden Zertifikatupdates für den sicheren Start vorübergehend angehalten, während Microsoft und Partner auf eine unterstützte Lösung hinarbeiten. Wenden Sie sich an den Gerätehersteller, um Unterstützung zu erhalten.

Ältere Hardware bleibt auf der Strecke

Besitzer älterer Computer stehen generell vor einem ungelösten Problem. Wenn die Hardware-Hersteller den Support für ein Mainboard bereits eingestellt haben, wird es keine korrigierte Firmware geben. Windows verbleibt auf diesen Rechnern dauerhaft auf dem alten Zertifikatsstand. Das führt nicht zu Ausfällen, verringert aber den zukünftigen Schutz.

Sicherheitsexperten raten dringend davon ab, die Kontrollfunktion im UEFI manuell zu deaktivieren, nur weil das Update ausbleibt. Ein veralteter, aber aktiver Schutzmechanismus bietet eine deutlich höhere Sicherheit als ein komplett abgeschaltetes System. Solange der Rechner normal startet, besteht für Anwender kein akuter Handlungsbedarf.

Habt ihr die neuen Zertifikate bereits erhalten oder pausiert euer System das Update? Teilt eure Erfahrungen mit der Secure-Boot-Aktualisierung gerne in den Kommentaren

Zusammenfassung

Siehe auch: