Neuer Secure-Boot-Ordner in Windows 11 entdeckt

Am 12. Mai 2026 hat Microsoft im Rahmen des Windows 11 Patchday-Updates (Windows 11 KB5089549, OS-Builds 26200.8457 / 26100.8457) einen neuen Ordner im Verzeichnis C:\Windows eingeführt. Der neu hinzugefügte Secure-Boot-Ordner hat bei Administratoren und Power-Usern Besorgnis ausgelöst, da unerwartete Systemverzeichnisse oft als potenzielle Sicherheitsrisiken wahrgenommen werden. In diesem Fall handelt es sich jedoch nicht um eine Malware-Infektion, sondern um eine offizielle Maßnahme zur Verbesserung der Systemsicherheit.

Der neue Secure-Boot-Ordner ist Teil einer umfassenden Sicherheitsinitiative von Microsoft, die darauf abzielt, die Integrität der Boot-Kette auf modernen UEFI-Systemen zu gewährleisten. Viele Geräte verwenden nach wie vor veraltete Secure-Boot-Zertifikate, die als potenziell kompromittiert gelten. Um Angriffe auf den Bootloader, wie Bootkits oder Rootkits, zu verhindern, hat Microsoft aktualisierte Signaturen entwickelt, die in den DB- und DBX-Datenbanken der UEFI-Firmware verankert werden müssen.

Technische Hintergründe und Skripte im Secure-Boot-Ordner

Der Secure-Boot-Ordner dient als lokales Staging-Verzeichnis für Werkzeuge, die den Migrations- und Validierungsprozess der neuen Zertifikate unterstützen. Ein Blick in das Verzeichnis zeigt, dass es eine Reihe von PowerShell-Skripten (.ps1) enthält, die für die Verwaltung und Überwachung des Secure-Boot-Status entwickelt wurden. Zu den Skripten gehören unter anderem Detect-SecureBootCertUpdateStatus.ps1, das den aktuellen Zertifikatsstand prüft, und Get-SecureBootRolloutStatus.ps1, das den Fortschritt des Rollouts abfragt.

Weitere Skripte im Ordner sind Aggregate-SecureBootData.ps1, das Telemetrie und Datensammlung ermöglicht, sowie Start-SecureBootRolloutOrchestrator.ps1, das die Update-Phasen steuert. Enable-SecureBootUpdateTask.ps1 aktiviert geplante Aufgaben, die für die Durchführung der Updates notwendig sind. Diese Skript-Infrastruktur zeigt den administrativen Fokus von Microsoft und bietet IT-Abteilungen eine wertvolle Unterstützung bei der zentralen Auswertung des Update-Status von Clients im Firmennetzwerk.

Wichtigkeit der Trennung von Ordnerstruktur und Firmware-Funktion

Es ist wichtig zu betonen, dass der physische Ordner auf dem NTFS-Volume nicht identisch mit der Secure-Boot-Funktion selbst ist. Letztere ist ein residuales Sicherheitsfeature der UEFI-Firmware auf dem Mainboard. Die Einführung des neuen Ordners ist Teil einer strategischen Initiative von Microsoft, um die Sicherheit der Boot-Prozesse zu erhöhen und potenzielle Sicherheitslücken zu schließen.

Für private Nutzer laufen die Prozesse in der Regel im Hintergrund ab, ohne dass ein manuelles Triggern der Skripte erforderlich ist. Dies ermöglicht eine nahtlose Integration der Sicherheitsupdates, während die Benutzer weiterhin ihre täglichen Aufgaben erledigen können. Die neue Struktur soll sicherstellen, dass die Geräte der Nutzer stets mit den neuesten Sicherheitszertifikaten ausgestattet sind.

Die Einführung des Secure-Boot-Ordners ist ein weiterer Schritt von Microsoft, um die Sicherheit von Windows 11 zu verbessern und die Nutzer vor potenziellen Bedrohungen zu schützen. Die regelmäßigen Updates und die Implementierung neuer Sicherheitsmaßnahmen sind Teil des kontinuierlichen Engagements des Unternehmens für die Sicherheit seiner Produkte.