Mit dem Ablauf der bisherigen Secure-Boot-Zertifikate im Juni 2026 müssen viele Windows-Systeme auf die neuen UEFI CA 2023 Zertifikate aktualisiert werden. Dieses Update ist erforderlich, damit Secure Boot weiterhin zuverlässig funktioniert und Windows-Systeme vor Manipulationen im Bootprozess geschützt bleiben.
Die eigentliche Herausforderung liegt dabei nicht im Update selbst, sondern in der Transparenz:
- Welche Geräte sind betroffen?
- Wo ist das Update bereits erfolgreich installiert?
- Auf welchen Systemen tauchen Fehler auf?
Gerade in größeren IT-Umgebungen ist eine manuelle Prüfung nicht praktikabel. Ohne zentrale Auswertung bleibt oft unklar, welche Systeme bereits abgesichert sind und wo Risiken bestehen. Mit LOGINventory lässt sich der Secure-Boot-Status automatisiert erfassen und zentral auswerten – ohne jeden einzelnen Rechner prüfen zu müssen. Erfahren Sie mehr zur IT-Inventarisierung mit LOGINventory.
Was ist das UEFI Secure Boot Update (UEFI CA 2023)?
Das UEFI Secure Boot Update (UEFI CA 2023) ersetzt bestehende Secure-Boot-Zertifikate durch eine aktualisierte Zertifikatskette. Hintergrund ist das Ablaufdatum der bisherigen Zertifikate im Jahr 2026. Ohne dieses Update kann Secure Boot seine Schutzfunktion nicht mehr zuverlässig gewährleisten.
Warum das Secure Boot Update (2026) relevant ist
Secure Boot ist ein zentraler Bestandteil der Windows-Sicherheitsarchitektur. Fehlen aktuelle Zertifikate, kann das verschiedene Auswirkungen haben:
- Systeme starten nicht mehr zuverlässig
- Secure Boot ist deaktiviert oder wirkungslos
- Sicherheitsanforderungen (z. B. Compliance-Vorgaben) werden nicht erfüllt
- zukünftige Windows-Updates können fehlschlagen
Gerade in größeren Umgebungen ist es daher entscheidend, den Secure-Boot-Status aller Geräte zentral auszuwerten.
Zentrale Auswertung: Welche Geräte benötigen das Secure Boot Update?
Mit LOGINventory lässt sich der Status automatisiert über alle Systeme hinweg erfassen. So erkennen Sie auf einen Blick:
- welche Geräte das UEFI Secure Boot Update unterstützen
- welche Systeme noch nicht aktualisiert wurden
- wo Updates fehlgeschlagen sind
- welche Geräte grundsätzlich nicht kompatibel sind
Damit schaffen Sie die Grundlage für ein gezieltes und kontrolliertes Vorgehen beim Rollout.
Secure Boot Update Fehler erkennen (Eventlog & Event ID 1801)
Ein wichtiger Indikator für Probleme beim Zertifikatsupdate ist das Windows Eventlog.
Relevant ist insbesondere:
Event ID 1801
Diese Einträge weisen darauf hin, dass das Secure-Boot-Zertifikatsupdate nicht erfolgreich durchgeführt wurde. Navigieren Sie in LOGINventory zur Abfrage “Konfiguration -> Abfrage-Listen -> Events” und filtern Sie nach der Event ID 1801!
Um ein aktuelles Bild zu erhalten, empfiehlt es sich, nur kürzlich gescannte Systeme zu betrachten, z. B. mit einem Filter wie:
Device.LastInventory.Timestamp = HeuteDevice.LastInventory.Timestamp = Gestern
So vermeiden Sie, dass veraltete Scan-Ergebnisse die Auswertung verfälschen.
Jetzt sehen Sie auf einen Blick, auf welchen Geräten in den letzten Tagen (relativ zum letzten Scan) das Event 1801: “Secure Boot Update Fehler erkannt” aufgetreten ist.
Secure Boot Status automatisiert über die Registry auslesen
Wie in diesem Microsoft-Artikel beschrieben, gibt es darüber hinaus Registry Keys, die es erlauben, den Update-Status der UEFI Secure Boot Zertifikate abzufragen. Die Werte dieser Registry Keys lassen sich durch die automatische Erfassung von LOGINventory (ganz egal, ob Sie dabei agentenlos scannen, per Logon-Skript die Geräte sich selbst erfassen lassen oder mit unserem Offline Agenten) mit einsammeln. Dadurch muss nicht jeder Rechner einzeln betrachtet werden, sondern Sie erhalten komfortabel automatisiert von all Ihren Windows Geräten auf einen Blick eine Übersicht über den Update Status der Zertifikate.
Wir empfehlen, folgende drei Zeilen in die Datei LOGINfo.script zur Anpassung der Erfassung einzufügen:
custom.UEFICA2023Status={reg:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing,UEFICA2023Status}
custom.UEFICA2023Capable={reg:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing,WindowsUEFICA2023Capable}
custom.UEFICA2023Error={reg:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing,UEFICA2023Error}Jetzt muss die Erfassung der Geräte erneut ausgeführt werden, z.B. indem Sie im Remote Scanner den entsprechenden Job starten. Falls der Offline Agent verwendet wird, muss die angepasste LOGINfo.script-Datei noch per Selfupdate zur Verfügung gestellt werden. Verwenden Sie dafür die Option “loginfo_script.zip für Selbstupdate erstellen” (siehe Update des Offline Agenten).
UEFI Secure Boot Update prüfen – aber keine zentrale Übersicht?
Prüfen Sie automatisch, welche Systeme betroffen sind, wo Updates fehlen und welche Geräte Fehler melden – zentral mit LOGINventory.
Auswertung der Ergebnisse
Wenn nach der Anpassung der LOGINfo.script-Datei die Erfassung erneut durchgeführt wurde, sind die ermittelten Werte einerseits durch einen Doppelklick auf ein Gerät und andererseits über das Wiget “Eigene Eigenschaften” sichtbar.
Natürlich kann aber auch Geräte-übergreifend jetzt ganze einfach ausgewertet werden. So können Sie sich eine beispielsweise eine Abfrage oder ein Dashboard erstellen, welches visualisiert, welche Geräte aktuell welchen Wert für jedes dieser Custom Properties hat. Einen entsprechenden Ordner mit passenden Abfragen und einen Dashboard haben wir auch hier für Sie zum Download erstellt. Importieren Sie nach dem Entpacken die ndef-Datei in Ihre LOGINventory Baumstruktur und passen Sie die Auswertungen gerne nach Ihren Bedürfnissen weiter an!
Bedeutung der wichtigsten Statuswerte
UEFICA2023Status
Zeigt den Fortschritt des Updates:
NotStarted→ Update noch nicht gestartetInProgress→ Update läuft (bleibt oft bis zum Neustart bestehen)Updated→ Update erfolgreich abgeschlossen
WindowsUEFICA2023Capable
Gibt an, ob ein System technisch in der Lage ist, das Update durchzuführen:
0→ Windows UEFI CA 2023 Zertifikat ist nicht in der DB1→ Windows UEFI CA 2023 Zertifikat ist bereits in der DB2→ Zertifikat wurde installiert und System ist mit diesem Zertifikat gestartet worden
Typische Gründe für fehlende Kompatibilität:
- Legacy BIOS statt UEFI
- deaktiviertes Secure Boot
- veraltete Firmware
UEFICA2023Error
Zeigt an, ob während des Updates ein Fehler aufgetreten ist:
0 oder (nicht vorhanden)→ kein Fehler≠ 0→ Fehler vorhanden
Hinweis: Wenn kein Fehler auftritt, ist häufig dieser Registry Key nicht vorhanden. Daher wird er dann auch trotz Anpassung der LOGINfo.script-Datei nicht gelesen. Die von uns mitgelieferten Auswertungen enthalten daher diesen Wert standardmäßig nicht. Sollte dieser Wert in Ihrer Datenbank existieren, passen Sie die Auswertungen gerne an, sodass Sie auch dessen Status in der Abfrage / im Dashboard sehen können!
Weitere Details lassen sich im Falle eines Fehlers im Eventlog unter Microsoft-Windows-SecureBoot/Operational nachvollziehen.
Wann gilt ein System als korrekt aktualisiert?
Ein Gerät ist vollständig aktualisiert und Secure Boot funktioniert korrekt, wenn:
WindowsUEFICA2023Capable = 2UEFICA2023Status = UpdatedUEFICA2023Error = 0 (oder nicht vorhanden)
Diese Kombination eignet sich gut als Grundlage für Auswertungen, Berichte oder interne Prüfungen.
Fazit: Überblick schaffen und gezielt handeln
Die Umstellung auf UEFI CA 2023 ist für viele Unternehmen zwingend erforderlich. Ohne zentrale Auswertung fehlt jedoch die Transparenz, um Risiken frühzeitig zu erkennen.
Mit LOGINventory können Sie:
- den Secure-Boot-Status automatisiert erfassen
- problematische Systeme schnell identifizieren
- Updates strukturiert und kontrolliert ausrollen
Damit reduzieren Sie Risiken und stellen sicher, dass Ihre Systeme auch nach 2026 weiterhin sicher und zuverlässig starten.