Datenschutz & Sicherheit

Microsoft-Anleitung für Secure-Boot-Zertifikate von Windows Servern


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Microsoft hat ein „Playbook“ für den Umgang mit den im Juni 2026 auslaufenden Secure-Boot-Zertifikaten von Windows Servern herausgegeben. Es soll IT-Verantwortlichen in Organisationen helfen, die Zertifikate unter Windows-Server-Versionen auszutauschen, bevor sie im Juni ablaufen.

Weiterlesen nach der Anzeige

Ein aktueller Blog-Beitrag in Microsofts Techcommunity erklärt verfügbare Werkzeuge und Optionen. Die Autoren schränken ein, dass die Anleitung nicht auf Azure Local-Hosts, Windows-PCs oder Hyper-V-VMs der ersten Generation anwendbar ist.

Ablaufende Zertifikate: Manuelle Eingriffe nötig

Microsoft erklärt, dass die Secure-Boot-Zertifikate mit einer vordefinierten Laufzeit versehen sind, wie andere kryptografische Objekte auch. Der periodische Austausch helfe, aktuelle Sicherheitsanforderungen zu erfüllen. Daher müssen Organisationen sicherstellen, dass die Secure-Boot-CAs aus 2023 auf den Windows-Server-Systemen vorhanden sind, bevor die alten CAs aus dem Jahr 2011 ablaufen. „Systeme mit den CAs von 2011 laufen nach Juni 2026 Gefahr, mit einem geringeren Sicherheitsstatus zu arbeiten“, führen die Autoren aus.

Windows Server 2025 auf zertifizierten Server-Plattformen bringt bereits die 2023er-Zertifikate in der Firmware mit. Auf Servern, bei denen das nicht der Fall ist, müssen IT-Verantwortliche die Zertifikate manuell aktualisieren, da Windows Server sie nicht automatisch erhält. Anders als Windows-PCs, die die Secure-Boot-Zertifikatsupdates als Teil des Controlled Feature Rollout (CFR) im Rahmen der monatlichen Updates erhalten, erfordern Windows Server manuelle Eingriffe.

Microsoft liefert dann eine schrittweise, nachvollziehbare Anleitung. Sie beginnt mit Inventur und Vorbereitung der Umgebung. Anschließend geht sie weiter zur Überwachung und Prüfung des Secure-Boot-Status der Geräte und darauffolgend hin zur Anwendung benötigter OEM-Firmware-Updates vor den Zertifikatsaktualisierungen. Daran schließt sich die Planung und Begleitung der Secure-Boot-Zertifikatsverteilung an und schließlich endet sie mit Problemlösungen und dem Beheben üblicher Probleme.

Admins mit Windows-Servern im Netzwerk sollten die Anleitung studieren und deren Umsetzung in absehbarer Zeit in Angriff nehmen. Für Windows-Desktop-Systeme hat Microsoft bereits Ende Januar mit der Verteilung von aktualisierten Secure-Boot-Zertifikaten begonnen. Mit der Sensibilisierung für den anstehenden Zertifikatsaustausch hat Microsoft zudem bereits im Juni vergangenen Jahres angefangen.

Weiterlesen nach der Anzeige


(dmk)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen