Windows Secure Boot

## Begriffe
UEFI    Unified Extensible Firmware Interface, der Nachfolger des BIOS
PK        Plattformschlüssel in der Computer-Firmware im UEFI, das Root-Zertifikat, vom Hersteller
KEK     Schlüssel im UEFI-Speicher, stellt die Verbindung zwischen PK und DB, dbx dar
DB        im UEFI-Speicher, gültige Zertifikate
DBX     im UEFI-Speicher, widerrufene Zertifikate

# ist SecureBoot aktiv ?
Confirm-SecureBootUEFI

# Secure Boot Zertifikate mit der Powershell prüfen
# Powershell als Admin
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match "Microsoft Corporation KEK 2K CA 2023")
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')

# https://www.dell.com/support/kbdoc/de-de/000385747/anleitung-zum-%C3%BCberpr%C3%BCfen-von-secure-boot-zertifikaten
# Powershell als Admin
Install-Module -Name UEFIv2
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
Import-Module -Name UEFIv2
(Get-UEFISecureBootCerts db).signature

# Powershell als Admin
# mit welchem Zertifikat ist der Bootloader signiert
mountvol S: /s
Get-PfxCertificate -FilePath "S:\EFI\Microsoft\Boot\bootmgfw.efi" | Format-List Issuer, Subject, NotBefore, NotAfter
mountvol S: /d

# Microsoft: Sicherer Start
# https://learn.microsoft.com/de-de/windows-hardware/design/device-experiences/oem-secure-boot

# Tuxedo Computers: Was Sie schon immer über SecureBoot wissen wollten
# https://www.tuxedocomputers.com/de/Was-Sie-schon-immer-ueber-Secure-Boot-wissen-wollten.tuxedo

# Microsoft: Leitfaden zur Erstellung und Verwaltung von Schlüsseln für Windows Sicherer Start
# https://learn.microsoft.com/de-de/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11

# Gunnar Hasslinger UEFI SecureBoot DB Update: Microsoft 2023er CAs installieren
# https://hitco.at/blog/uefi-secureboot-db-update-installieren/

# Der Windows Papst: Secure Boot Zertifikate: Was sind DB, DBX, KEK und PK?
# https://www.der-windows-papst.de/2026/04/08/secure-boot-zertifikate-was-sind-db-dbx-kek-und-pk/

# Microsoft: Ablauf des Windows Secure Boot-Zertifikats und Updates der Zertifizierungsstelle
# https://support.microsoft.com/de-de/topic/ablauf-des-windows-secure-boot-zertifikats-und-updates-der-zertifizierungsstelle-7ff40d33-95dc-4c3c-8725-a9b95457578e

# IT-Adminisrtator: Ablauf der Windows-Zertifikate für Secure Boot
# https://www.it-administrator.de/secure-boot-zertifikate-ablauf-update-windows-server-clients

# Deskmodder: Windows Secure Boot-Zertifikate laufen 2026 ab, alte Zertifikate werden ersetzt [3. Update: Bekannte Probleme]
# https://www.deskmodder.de/blog/2026/03/24/windows-secure-boot-zertifikate-laufen-2026-ab-alte-zertifikate-werden-ersetzt/

# Microsoft: Ein genauerer Blick auf die Datenbank mit hoher Zuverlässigkeit
# https://support.microsoft.com/de-de/topic/ein-genauerer-blick-auf-die-datenbank-mit-hoher-zuverl%C3%A4ssigkeit-32382469-4505-4ed4-915b-982eff09b5d2
mkdir %ProgramData%\Microsoft\Windows\SecureBootUpdates
copy %SystemRoot%\System32\SecureBootUpdates\BucketConfidenceData.cab %ProgramData%\Microsoft\Windows\SecureBootUpdates

# Registrierungsschlüsselupdates für den sicheren Start: Windows-Geräte mit IT-verwalteten Updates
# https://support.microsoft.com/de-de/topic/registrierungsschl%C3%BCsselupdates-f%C3%BCr-den-sicheren-start-windows-ger%C3%A4te-mit-it-verwalteten-updates-a7be69c9-4634-42e1-9ca1-df06f43f360d
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
reboot
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

# Microsoft-Anleitung für Secure-Boot-Zertifikate von Windows Servern
# https://www.heise.de/news/Microsoft-Anleitung-fuer-Secure-Boot-Zertifikate-von-Windows-Servern-11187588.html

# Vorbereiten auf Einschlag: Microsoft warnt vor Secure-Boot-Zertifikat-Update
# https://www.heise.de/news/Vorbereiten-auf-Einschlag-Microsoft-warnt-vor-Secure-Boot-Zertifikat-Update-10461866.html

# Windows Server Secure Boot playbook for certificates expiring in 2026
# https://techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789

# Github: Check-UEFISecureBootVariables
# https://github.com/cjee21/Check-UEFISecureBootVariables

# Was passiert, wenn im Juni 2026 Windows Secure Boot-Zertifikate auslaufen?
# https://borncity.com/blog/2026/02/12/was-passiert-wenn-im-juni-2026-windows-secure-boot-zertifikate-auslaufen/

# Windows Secure Boot UEFI Certificates Expiring June 2026
# download Get-UEFICertificate.ps1
# https://directaccess.richardhicks.com/2025/12/04/windows-secure-boot-uefi-certificates-expiring-june-2026/