Microsoft hat ein Skriptpaket bereitgestellt, das Administratoren bei der flächendeckenden Aktualisierung von Secure-Boot-Zertifikaten in Windows-Umgebungen unterstützen soll. Der Leitfaden befasst sich mit der End-to-End-Automatisierung für das anstehende Zertifikatsupdate (unter anderem des Windows UEFI CA 2023), das bei älteren Signaturen aufgrund von Ablaufdaten ansteht. Das Paket landete im Zuge aktueller Sicherheitsupdates auch direkt in lokalen Systemverzeichnissen unter Windows. 

Status der Zertifikate über das Netzwerk abfragen

Die bereitgestellte Methode teilt den Migrationsprozess in mehrere Phasen. Zunächst sieht die Infrastruktur die Einrichtung einer versteckten SMB-Netzwerkfreigabe vor. Auf diese Freigabe übertragen die im Netzwerk befindlichen Domänencomputer ihre individuellen Telemetriedaten zum aktuellen Secure-Boot-Zertifikatsstatus.

Microsoft stellt hierfür das PowerShell-Skript "Detect-SecureBootCertUpdateStatus.ps1" bereit. Dieses liest die lokalen UEFI-Variablen aus und stellt fest, ob das System für die Aktualisierung bereit ist oder ob Firmware-Inkompatibilitäten vorliegen. Die Verteilung dieses Sammelskripts erfolgt automatisiert über Gruppenrichtlinienobjekte (GPO) und dem Hilfsskript "Deploy-GPO-SecureBootCollection.ps1".

Phasenbasierter Rollout zur Risikominimierung

Um eine Überlastung der Netzwerkinfrastruktur sowie unvorhergesehene Boot-Fehler auf inkompatiblen Systemen zu verhindern, sieht das Werkzeug eine gestaffelte Verteilung vor. Über das Skript "Aggregate-SecureBootData.ps1" werten IT-Verantwortliche die zurückgemeldeten JSON-Dateien der Endgeräte aus. Ein weiteres Werkzeug namens "Get-SecureBootRolloutStatus.ps1" dient als interaktive Komponente, um den Fortschritt der Rollout-Wellen und eventuelle Fehler zu überwachen.

Die Verteilung der eigentlichen Zertifikatsaktualisierung erfolgt progressiv über Active-Directory-Sicherheitsgruppen. Dabei werden die GPOs schrittweise für immer größere Gruppen freigeschaltet. Der Leitfaden empfiehlt je nach Größe der Computerflotte spezifische Zeitfenster (wie vier Stunden bei bis zu 10.000 Geräten und bis zu 24 Stunden bei über 50.000 Systemen), um die Last auf die Dateiserver zu verteilen.

Technische Absicherung und Berechtigungen

Für IT-Admins ist bei der Umsetzung die Konfiguration der NTFS- und Freigabeberechtigungen relevant. Das Skript sieht vor, dass die Gruppe "Domänencomputer" modifizierenden Zugriff erhält, während "Domänenadministratoren" Vollzugriff für die Aggregationsphase behalten.

Da es sich bei dem Leitfaden und den Skripten um eine Beispielvorlage handelt, weisen erste Praxistests aus der Fachwelt darauf hin, dass einige PowerShell-Codezeilen im Detail anzupassen sind, um Ausnahmefehler bei lokalen Pfadangaben abzufangen. Das Ziel der Bereitstellung bleibt jedoch die beschleunigte Identifikation von bereiten und nicht-bereiten Systemen vor dem endgültigen Erzwingen der neuen Richtlinien.
 

Wie Sie Secure-Boot-Zertifikate Schritt für Schritt erneuern, lesen Sie in Ausgabe 06/26

IT-Administrator Juni 2026: Migration & Transformation

Darin werfen wir außerdem einen Blick auf die Umwälzungen, die uns die KI in der Arbeitswelt beschert. Außerdem schauen wir uns die IPv6-Migration an und wie Sie Hyper-V-Hosts auf Windows Server 2025 umziehen.

Bestellen Sie hier das Einzelheft. Abonnenten finden alle Artikel außerdem im Heftarchiv.