close notice<\/p>\n
\n This article is also available in It was translated with technical assistance and editorially reviewed before publication.\n <\/p>\n \n Don\u2019t show this again.\n<\/p>\n Microsoft will im Enterprise-Umfeld helfen, die Maschinen mit ablaufenden Secure-Boot-Zertifikate aus dem Jahr 2011 zu identifizieren. Einige Hilfestellung f\u00fcr Netzwerke gab es bereits, nun soll auch der Microsoft Defender helfen, betroffene Ger\u00e4te aufzusp\u00fcren und auf den aktuellen Stand zu bringen.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n Im Message-Center der Windows-Release-Health-Notizen<\/a> hat Microsoft jetzt die neue Funktion f\u00fcr den Microsoft Defender angek\u00fcndigt. Es handelt sich um ein Dashboard, von dem aus IT-Verantwortliche in Netzen den Sicherheitsstatus ihrer betreuten Ger\u00e4te einsehen k\u00f6nnen. Jetzt k\u00f6nnen IT-Teams an zentraler Stelle die Verbreitung der Secure-Boot-Zertifikate aus dem Jahr 2023 in ihrem Ger\u00e4tepark einsehen, erkl\u00e4rt das Unternehmen. Ein Blog-Eintrag in der Techcommunity<\/a> geht etwas detaillierter darauf ein.<\/p>\n Auswirkungen abgelaufener Secure-Boot-Zertifikate<\/p>\n Microsoft erkl\u00e4rt dort, dass Secure Boot die Integrit\u00e4t des Boot-Prozesses eines Ger\u00e4ts sicherstellt, indem nur vertrauensw\u00fcrdige Software gestartet wird. Sofern Ger\u00e4te keine neuen Zertifikate erhalten, k\u00f6nnen sie nicht in den Genuss neuer Sicherheitsma\u00dfnahmen f\u00fcr den fr\u00fchen Startvorgang kommen. Die Ger\u00e4te starten weiterhin, k\u00f6nnen aber keine neueren Schutzma\u00dfnahmen in der fr\u00fchen Startphase des Systems mehr erzwingen. Im Verlauf der Zeit schw\u00e4che das die \u201eRoot of Trust\u201c des Ger\u00e4ts und setzt sie neuen Klassen von Angriffen aus, die vor dem Laden des Betriebssystems und der vollst\u00e4ndigen Sicherheitskontrollen aktiv werden.<\/p>\n Konkret k\u00f6nnten b\u00f6sartige oder manipulierte Boot-Komponenten nicht mehr zuverl\u00e4ssig blockiert werden, wenn sie nicht mit vertrauten Zertifikaten signiert sind. Ger\u00e4te k\u00f6nnten nicht in der Lage sein, neue Secure-Boot-Richtlinien zu \u00fcbernehmen, die vor neu entdeckten Bedrohungen beim Bootvorgang sch\u00fctzen sollen. Au\u00dferdem k\u00f6nnen Angreifer zur Startzeit Techniken zur Erlangung von Persistenz einsetzen, bevor traditionelle Sicherheitskontrollen greifen.<\/p>\n Um das zu verhindern, sollen IT-Verantwortliche einen \u00dcberblick erhalten, welche Ger\u00e4te bereits erfolgreich das Update absolviert haben und welche Ger\u00e4te noch Aufmerksamkeit diesbez\u00fcglich ben\u00f6tigen. Im Microsoft-Defender-Dashboard haben die Entwickler daher eine neue Empfehlung (Recommendations) eingebaut. Die unterteilt die Ger\u00e4te in drei Klassen: \u201eExposed Devices\u201c vertrauen noch den alten Secure-Boot-Zertifikaten, ohne Vertrauen in die neueren Zertifikate. \u201eCompliant Devices\u201c haben die neuen 2023er-Zertifikate und den signierten Boot-Manager. \u201eNot applicable Devices\u201c hingegen haben Secure Boot deaktiviert oder unterst\u00fctzen es nicht. <\/p>\n Aus dieser Empfehlungsansicht heraus k\u00f6nnen Admins sich \u201eExposed Devices\u201c genauer ansehen und herausfinden, welche Systeme noch Aufmerksamkeit ben\u00f6tigen. Filter lassen sich nach Betriebssystemplattform und Ger\u00e4tekontext anwenden, um die Gegenma\u00dfnahmen besser zu priorisieren. Die Ger\u00e4tedaten lassen sich zudem exportieren, um sie mit Infrastruktur- und Plattform-Teams zu teilen. Nat\u00fcrlich l\u00e4sst sich der Verteilungsprozess der Secure-Boot-Zertifikate damit \u00fcberwachen. Microsoft schreibt nichts dazu, ob das mit Zusatzkosten verbunden ist.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n Microsoft deckt damit nun unterschiedliche Netzwerkdimensionen ab. Auf den einzelnen Rechner hilft etwa die Windows-Sicherheits-App, den Status der Secure-Boot-Zertifikate<\/a> auf der konkreten Maschine einzusehen. IT-Verantwortliche m\u00fcssen insbesondere auf Windows-Servern jedoch selbst aktiv werden, dort verteilt Microsoft die neuen Zertifikate nicht mit automatischen Windows-Updates<\/a>. Dass die Zertifikate auslaufen, darauf hat Microsoft bereits seit Juni 2025 aufmerksam<\/a> gemacht. Die Vorbereitungen sollten Admins nun abschlie\u00dfen und z\u00fcgig an die Verteilung der neuen Secure-Boot-Zertifikate gehen.<\/p>\n
\n English<\/a>.<\/p>\n