Blog

Secure Boot Zertifikate

Secure Boot Certificates sind digitale Zertifikate, die im Rahmen von UEFI Secure Boot verwendet werden, um die Integrität des Systemstarts sicherzustellen. Sie stellen sicher, dass beim Bootvorgang ausschließlich vertrauenswürdige und signierte Software (z. B. Bootloader, Firmware oder Betriebssystemkomponenten) ausgeführt wird. Dadurch wird verhindert, dass Schadsoftware noch vor dem Laden des Betriebssystems aktiv wird und Sicherheitsmechanismen umgeht.

In der Praxis werden diese Zertifikate von vertrauenswürdigen Zertifizierungsstellen bereitgestellt und in der Firmware oder im Betriebssystem hinterlegt. Sie bilden die Grundlage für eine vertrauenswürdige Startkette („Chain of Trust“) und sind ein wichtiger Bestandteil moderner Gerätesicherheit, insbesondere zum Schutz vor sogenannten Bootkits oder Rootkits.

 

Ablauf der Zertifikate

Die Zertifikate von Microsoft laufen ab 24.06.2026 ab. Was ein Ablauf der Zertifikate bedeutet, kann leider noch keiner genau sagen, es ist das erste Mal, dass diese Zertifikate seit Einführung von Secure Boot auslaufen. Ich würde sagen, es hat vibes vom Milenium Bug. 

 

Grundlagen der Secure Boot Zertifikaten

Es gibt verschieden Speicher im BIOS, die die Zertifikate speichern. Jeder Part hat seine eigene Aufgabe und werden auch von unterschiedlichen Updates aktuallisiert. Wichtig ist dabei, nicht nur Microsoft, sondern auch der Hersteller aktuallisiert Zertifikate per BIOS Update. Die 3 wichtigsten Speicher sind:

  • KEK
    KEK bestimmt, wer darf Änderungen an der activen Datenbank vornehmen. Wichtig auch, wer darf die Zertifikate aktuallisieren. (Updates von MS)
  • db
    Die active Datenbank, die zur Prüfung bei Secure Boot genutzt wird. (Updates von MS)
  • dbdefault
    Die factory Datenbank der Zertifikate. Diese wird geladen, sobald man im BIOS die Werkseinstellung wieder aufruft. (Updates vom Hersteller)

Sobald Microsoft die neuen Zertifikate auf dem System hat, benötigt Windows 2 Neustarts, um die Zertifikate auch im BIOS zu hinterlegen. Zwischen den Neustarts muss ebenfalls genug Zeit liegen, damit die Zertifikate auch installiert werden. In meinen Tests waren es mindestens 10 Minuten zwischen den Reboots.

 

Prüfung und Updates

Die Updates von Microsoft werden mit den Sicherheitsupdates über Windows Update seit Februar 2026 auf die Clients verteilt und sollten automatisch und ohne Eingriff ausgerollt werden. Bei den Privaten Geräten funktionierte das sehr gut, in der Enterprise Umgebung gab es einige Probleme, die ein manuelles Handeln erforderten. Auch die Hersteller liefern die neuen Zertifikate per BIOS Updates aus.

Um den eigenen Rechner zu prüfen, gibt es 3 kleiner Powershell Commands. Ein komplettes Script mit Log Ausgabe habe ich bereitgestellt: SecureBootCerts_CheckAll.ps1

  • KEK
    ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft.*KEK.*2023')
  • db
    ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
  • dbdefault
     
    ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')

Alle drei Kommandos liefern entweder True oder False zurück, True, wenn die neuen Zertifikate vorhanden sind, False, wenn sie noch fehlen.

Sollten die Zertifikate noch fehlen, kann man das Update auch erzwingen. Dazu sind folgende Schritte nötig.

  1. Prüfung der aktuellen Windows Updates (erst ab 02.2026 werden die Zertifikate ausgeliefert)
  2. Windows zwingen, ein Secure Boot Update durchzuführen. Dazu wird ein Regestry Key gesetzt und der geplante Task gestartet
    Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot' -Name 'AvailableUpdates' -Value 0x5944;
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update";
  3. 2 Neustarts mit genügend Zeit dazwischen sind erforderlich.

Im Eventlog System werden bei dem Prozess folgende IDs geloggt und können geprüft werden:

  • 1808: Erfolg
  • 1801: Bereitgestellt, es wird auf dem 2. Neustart gewartet
  • 1800: Neustart erforderlich
  • 1795, 1796, 1802: Fehler, meist blockiert das BIOS und erlaubt keinen Schreibvorgänge, KEK Zertifikat fehlt

Ebenfalls lassen sich mit den oben angegeben Kommandos die Zertifikate prüfen und sollten nun True zurück geben.

Das Windows 10 Extended Security Update (ESU) Programm stellt Microsoft kostenlos für Privatkunden zur Verfügung. Damit erhalten die teilnehmenden Personen ein weiteres Jahr Updates für Windows 10 und die neue Deadline ist der 14.10.2026. Für Geschäftskunden stellt Microsoft den Service nicht kostenlos zur Verfügung.

Damit man das ESU Programm joinen kann, ist ein eigenes Microsoft Konto erforderlich und das Gerät darf nicht in einer Domäne oder Intune registriert sein. Mit dem KB5066791 Update erscheint auch der Button "Jetzt registrieren" in den Windows Updates. Mit einem Klick darauf und der Anmeldung am Microsoft Konto lässt sich sehr schnell und einfach die Extended Security Updates aktivieren.

Diese Methode empfiehlt sich für ältere Rechner und Laptops, die nicht Windows 11 ready sind. Nach dem 14.10.2026 wird ein Austausch des Gerätes empfohlen. Es gibt jedoch auch die Möglichkeit Windows 11 auf älteren Geräten zu installieren und die Systemvorraussetzungsprüfung zu überspringen. Meine Empfehlung ist, der Laptop sollte UEFI, SecureBoot und TPM 2.0 besitzen, bei der CPU kann man ein paar Generation voher sein, damit wird auch Windows 11 funktionieren. Hiermit können wir Sie gerne unterstützen.

Warum ein Paketmanager?

Als Administrator hat man die Möglichkeit seiner User gewisse Softwarepakete zur Verfügung zu stellen. Diese Software kann sich der User einfach auf seinem PC installieren. Der Vorteil, der User benötigt keine Adminrechte.

Als weiteren Vorteil bietet es dem Administrator die Möglichkeit gewisse Versionen zu verteilen, sowie manche Software zwangszuverteilen.

 

Chocolatey

Chocolatey (https://community.chocolatey.org/) bietet eine kostengünstige Variante eines Paketmanagers an. Die Anzahl der vorhanden Pakete der Community ist beachtlich und kommt jedem Admin sehr gelegen. Auch das Aufsetzten eines eigenen kleinen Servers für die ausgewählten Packages ist einfach zu installieren und ist dokumentiert.

 

Benutzung auf dem Client

Für den User kann eine graphische Oberfläche angeboten werden, an dem der User seine Software mit ein paar Klicks installieren kann.

Chocolatey GUI

Für den Administrator bietet sich die Powershell besonders gut an. Mit einem Befehl kann die gewünschte Software auf dem Client installiert werden:

> choco install <app> -y
> choco upgrade <app> -y

Solche Codezeilen lassen sich perfekt in Startup Scripts integrieren. Neben dem install-Befehl kann mit dem upgrade-Befehl ein Update bzw. wenn die Software noch nicht installiert ist, die Installation durchführen.

Vier junge Amateurfunker haben sich entschieden eine DXpedition nach Guyana 2024 durchzuführen. Die vier Amateurfunker sind Jamie Williams (M0SDV), Philipp Springer (DK6SP), Sven Lovric (DJ4MX) und Tomi Varro (HA8RT). Um das Team zu unterstützen haben wir uns entschieden, die notwendige IT Infrastruktur zur Verfügung zu stellen.

HE IT-Service Übergabe 8R

Von links nach Rechts: Philipp Springer (DK6SP), Patrick Henkelmann, HE IT-Service (DC9PA), Sven Lovric (DJ4MX)

Weiter Infos: https://8r-2024.com

Funktion

WLAN Gastbenutzer bekommen zeitlich begrenzte Zugangsdaten. Diese müssen auf einer Vorschaltseite im Browser eingegeben werden. In der freigeschalteten Zeit können die Benutzer das WLAN im vollen Umfang benutzen.

Um diese Zugangsdaten auszustellen, empfiehlt es sich eine Automatisierung zu verwenden, wie auch einen Ausdruck der Zugangsdaten. Für mein kleines Projekt benutze ich den Epson TM-m30 POS Thermodrucker für den Ausdruck der Tickets. Für die Erstellung der Zugangsdaten auf dem WLAN Controller wird SNMP verwendet.

 

Einstellungen am Cisco WLAN Controller

Der SNMP-Community String wird unter Management > SNMP > Communities gesetzt. Dieser bekommt die Read-Write Rechte und wird später vom Programm genutzt.

Cisco vWLC SNMP Settings

 

Zudem wird die WLAN ID des Gast WLANs benötigt. Diese findet man unter WLANs. Bei uns die 4.

Cisco vWLC WLAN Overview

 

Das Programm

https://github.com/Stiles96/CiscoWLANGuestUsers

Das Programm benötigt nach der Installation ein paar Einstellungen, diese werden unter File > Settings eingestellt:

  • Die Adresse oder DNS Namen vom Drucker
  • Drucker Port, standard: 9100
  • Den SNMP Community String vom WLAN Controller (read-write)
  • Die WLAN Controller Adresse mit WLAN ID
  • Userprefix wird für die automatische Benutzernamen Generierung verwendet
  • WLAN Name: Die SSID, die später auf das Ticket gedruckt wird

https://user-images.githubusercontent.com/51234422/229303254-0816f942-cff3-413d-b7ae-1e05a5c9284e.png

 

Automatische Tickets

Nun lassen sich die WLAN Tickets bereits erstellen. Der einfachste und schnellste Modus ist die Verwendung des automatischen Modes. Dazu wird ein Benutzer mit Passwort generiert und die Daten ausgedruckt. Diese Einstellungen werden verwendet:

  • Benutzername: Userprefix + fortlaufende Zahl
  • Passwort: random
  • Lifetime: 24h
  • Ausdruck auf dem Thermodrucker

Cisco WLAN Guest Users Ticket Print

 

Manuelle Tickets

Bei der manuellen Erstellung können die Benutzerdaten eingegeben werden und auch die Laufzeit bestimmt werden. Die Erstellung kann mit oder ohne Ausdruck des Tickets geschehen.

https://user-images.githubusercontent.com/51234422/229303396-3cd5d5da-648c-496d-8741-48ae9d8ce5e8.png

Was ist WPA3?

Lese dazu unseren Artikel über WPA3.

 

Können meine Geräte WPA3?

Das hängt von der Software und Hardware des Gerätes ab. Sofern die Hardware WPA3 unterstützt, benötigt man die mindestens folgenden Softwareversionen:

  • Windows 10 1903
  • Android 10
  • macOS 10.15
  • iOS/iPadOS 13

Bei vielen Smarthome Geräten wie Google Home, Alexa, Smart Life und andere ist eine Unterstützung von WPA3 noch nicht eingebaut, diese benötigen noch WPA2.

 

Kombibetrieb mit WPA2 und WPA3

Viele Router bieten einen Kombibetrieb von WPA2 und WPA3 an. Mit dieser Funktion lässt sich eine gute Kombination aus Sicherheit und Kompatibilität bilden. Dabei ist jedoch vorsicht geboten, einige Geräte kommen damit nicht zurecht und verbinden sich nicht mehr, wie z.B. das Microsoft Surface 3. Auch einige Smart TVs haben Probleme sich zu verbinden oder verlieren ihre Verbindung in regelmäßigen Abständen wieder.

Treten solche Probleme auf, sollte man prüfen ob es Updates gibt. Im Fall des Surfaces gab es ein Update für den WLAN Treiber, diesen musste man sich aber manuel aus dem Treiberpaket für das Surface 4 nehmen. Alternativ ist ein Schritt zurück auf WPA2 die bessere Lösung. Den Schritt auf WPA3 sollte man erst dann ausführen, wenn auch die problematischen Geräte ausgetauscht oder mit neuer Software ausgestattet sind.

Installation von Arduino IDE

Die Software kann von der offiziellen Seite heruntergeladen werden: https://www.arduino.cc/en/software

Nach dem Download wird die Software installiert, es sind keine Besonderheiten zu beachten.

 

Hinzufügen des ESP32 Boards

ESP32 EntwicklerboardESP 32 Board

Nach dem Start der Software die Voreinstellungen und Datei öffen

  • Unter zusätzliche Boardverwaltungs-URLs "https://dl.espressif.com/dl/package_esp32_index.json" hinzufügen (Die Liste ist Komma (,) getrennt).

 

Arduino IDE Settings

 

  • Unter Werkzeuge > Board > Boardverwalter den Boardverwalter öffnen
  • Im Boardverwalter kann nun nach dem ESP32 gesucht und installiert werden

 

Arduino IDE Boardverwalter

 

  • Nun kann der ESP32 unter Werkzeuge > Board ausgewählt werden

Teams Switch Accounts

Microsoft TeamsMicrosoft hat seine Meeting und Chatplattform nun mit einem Account Switcher ausgestattet. Nun kann man Teams nicht nur mit einem Account nutzen, sondern über sein Profilbild einfach umschalten. Der aktuelle Account und die Organisation wird neben dem Profilbild angezeigt.

Die neue Version von Teams kann aktuell nur manuell installiert werden. Dazu muss die aktuelle Version über die Systemsteuerung deinstalliert werden und der Ordner "%appdata%\Microsoft\Teams" gelöscht werden. Danach kann man Teams wie gewohnt wieder installieren. Downloadlink für Teams.

 

In einem Teams Meeting ist es nun möglich sogenennte Räume zu erstellen. Jeder Raum ist ein eigenes Meeting, in dem die Teilnehmer eingeteilt werden können oder freiwillig eintreten können. Die Räume sind Bestandteil des Hauptmeetings. Der Organisator kann die Teilnehmer einteilen, aber auch zurück in das Hauptmeeting holen. Solche Räume sind z.B. ideal um kleine Gruppenarbeiten in Workshops durchführen zu können.

Microsoft Teams Räume
Microsoft Teams Räume erstellen

Die Raumverwaltung wird in den Steuerelementen des Teams Meetings angezeigt. Im Zuge des Anlegens kann ausgewählt werden, wie viele Räume angelegt werden sollen, das erleichtet dem Organisator das schnelle anlegen mehrerer Räume.

 

  1. Sichere Passwörter
  2. DNS Ad-Blocker mit einem Raspberry Pi
  3. Windows 10 20H2 Update
  4. WPA 3 WLAN Verschlüsselung

Navigation