Secure Boot lädt vor dem Bootloader des Betriebssystems und soll auf diese Weise hochprivilegierte Schadsoftware abwehren, sogenannte UEFI-Bootkits wie BlackLotus, FinSpy und MoonBounce. Richard Hicks, Präsident von Richard M. Hicks Consulting im kalifornischen Rancho Santa Margarita, beschreibt die Funktionsweise so: Secure Boot prüfe die kryptografischen Signaturen der Boot-Komponenten gegen eine Datenbank autorisierter Schlüssel und blockiere nicht autorisierte oder manipulierte Software, um die Systemintegrität von den frühesten Phasen des Startvorgangs an zu schützen.

Alle für Windows 10 und Windows 11 ausgelegten PCs unterstützen Secure Boot. Diese Geräte wurden ursprünglich mit den Microsoft-Zertifikaten von 2011 ausgeliefert, während neuere Hardware aus den letzten beiden Jahren die Zertifikate von 2023 enthält. Ältere Systeme mit automatischer Update-Konfiguration – typischerweise privat genutzte oder von kleinen Unternehmen betriebene Rechner – verfügen am ehesten bereits über die aktualisierten Zertifikate.

In Unternehmensumgebungen laufen Windows-Updates dagegen meist nicht automatisch ab, sondern werden gestaffelt eingespielt, um die Stabilität von System und Anwendungen zu wahren. Die neuen Zertifikate bringen laut Microsoft keine größeren Funktionsänderungen, verbessern aber den Vertrauensanker, verteilen Aufgaben effizienter und nutzen kryptografische Werkzeuge mit längerer Laufzeit. Damit will Microsoft eine bessere Segmentierung der Zertifizierungsstellen erreichen, sodass Hersteller und Microsoft den Boot-Vorgang weiterhin sicher aktualisieren und überwachen können.

Nuno Costa, Programm-Manager im Windows-Service-Delivery-Team von Microsoft, bezeichnete die Umstellung als eine der größten koordinierten Wartungsaktionen im gesamten Windows-Ökosystem. Das Zertifikats-Update markiere eine Generationenerneuerung des Vertrauensfundaments, auf das moderne PCs beim Start angewiesen seien, schrieb Costa in einem Blogbeitrag.

Microsoft empfiehlt, die Aktualisierung vor dem Ablaufdatum am 24. Juni vorzuziehen. Hicks warnt: Läuft das UEFI-Secure-Boot-Zertifikat ab, seien Endgeräte potenziellen künftigen Bedrohungen ausgesetzt, weil Aktualisierungen der UEFI-Datenbanken DB und DBX fehlschlagen würden.

Zur Erleichterung der Umstellung hat Microsoft in diesem Monat eine neue Anzeige in der App „Windows-Sicherheit" eingeführt, die den Status des Secure-Boot-Zertifikats eines Geräts darstellt. Nutzer mit Administratorrechten finden den Status unter „Gerätesicherheit > Sicherer Start". Im kommenden Monat will Microsoft zudem Benachrichtigungen und Anleitungen ergänzen. Hicks hält das vor allem für Privatanwender und kleine Unternehmen für hilfreich, da bislang viel Verwirrung darüber herrschte, welche Systeme aktuell seien und welche nicht; bisher seien dafür Registry-Schlüssel oder Werkzeuge wie sein PowerShell-Skript Get-UEFICertificate nötig gewesen.

Geräte mit Windows 10 erhalten die neuen Secure-Boot-Zertifikate weiterhin, sofern sie am kostenpflichtigen Programm Extended Security Update (ESU) teilnehmen, das Sicherheitsupdates für nicht mehr unterstützte Versionen bietet. Der reguläre Support für Windows 10 endete bereits im vergangenen Herbst. PCs außerhalb des ESU-Programms bekommen die Zertifikate nicht automatisch und verlieren mit dem Ablauf der alten 2011er-Zertifikate schrittweise die Möglichkeit, Secure Boot zu nutzen.