Windows 11: Microsoft erklärt den neuen SecureBoot-Ordner in C:\Windows
Neuer SecureBoot-Ordner in Windows 11: Kein Bug, sondern Vorbereitung auf ablaufende Zertifikate
Betroffenes Update: Windows 11 KB5089549 (Mai 2026 Cumulative Update)
Speicherort: C:\Windows\SecureBoot
Inhalt: 7 PowerShell-Skripte für IT-Admins
Handlungsbedarf: Keiner - Ordner nicht löschen
Deadline: Secure-Boot-Zertifikate von 2011 laufen im Juni 2026 ab
Was steckt hinter dem SecureBoot-Ordner?
Der Hintergrund ist konkret: Secure-Boot-Zertifikate, die 2011 oder früher ausgestellt wurden, laufen im Juni 2026 automatisch ab. Microsoft rollt deshalb die Secure Boot 2023-Zertifikate über Windows Update aus - das passiert im Normalfall vollautomatisch nach der Installation monatlicher Cumulative Updates und ein bis zwei Neustarts.
Der neue Ordner ist Teil dieser Umstellung. Microsoft hat die Release Notes zu KB5089549 nachträglich aktualisiert, nachdem Nutzer auf den unangekündigten Ordner aufmerksam gemacht hatten.
"This update adds a new SecureBoot folder under C:\Windows on eligible devices. The folder contains example scripts intended for organizations with IT professionals who actively manage updates across their device fleet." - Microsoft, Support-Dokument zu KB5089549
Im Ordner liegen sieben PowerShell-Skripte, die Microsoft primär für IT-Admins in Unternehmensumgebungen gebaut hat. Keines davon verändert eigenständig etwas an deiner System-Konfiguration. Zwei der Skripte sind besonders relevant: Detect-SecureBootCertUpdateStatus.ps1 prüft, ob die 2023er-Zertifikate bereits installiert sind und speichert das Ergebnis als JSON-Datei. Enable-SecureBootUpdateTask.ps1 stellt sicher, dass der integrierte Windows-Scheduled-Task für die Zertifikatsaktualisierung aktiv ist.
Technisch landet der Ordner auf allen Systemen - auch auf Home-Editionen und virtuellen Maschinen, auf denen die 2023er-Zertifikate bereits installiert sind. Das ist etwas schluderig für ein Release, das eigentlich nur Enterprise-Admins adressiert, aber kein echtes Problem.
So prüfst du deinen Secure-Boot-Status
Ob dein System die neuen Zertifikate bereits erhalten hat, siehst du direkt in der Windows Security App. Unter Gerätesicherheit - Sicherer Start zeigt dir ein grüner Status, dass Secure Boot korrekt läuft und das Zertifikat angewendet wurde. Gelb bedeutet, du musst möglicherweise ein Firmware-Update einspielen, um die neuen Zertifikate zu erhalten. Rot heißt, dein Gerät wird das Zertifikat womöglich nie bekommen.
Das ist der kritische Punkt für Selbstbauer mit älteren Mainboards: Nicht jede Firmware wird mit den neuen Zertifikaten kompatibel sein. Microsoft gibt dazu keine konkreten Zahlen, aber Recherchen zeigen, dass Secure-Boot-Zertifikats-Updates auf tausenden PCs bereits still scheitern - meist wegen veralteter UEFI-Firmware.
Den Ordner selbst kannst du getrost ignorieren. Nicht anfassen, nicht löschen - ein zukünftiges Update wird ihn entweder nutzen oder selbst wieder entfernen. KB5089549 hat übrigens abseits davon bereits für Schlagzeilen gesorgt: Das Update verursacht auf Systemen mit zu kleiner EFI-Partition Boot-Loops - ein deutlich handfesteres Problem als ein ungeplanter Ordner.
Wer regelmäßig Windows-Updates auf Build-Aktualität prüft, dem sei außerdem ein Blick auf die jüngste Enthüllung empfohlen: Microsoft hat eingeräumt, dass Windows 11 jahrelang Akku und Performance heimlich sabotiert hat - da macht ein dokumentierter PowerShell-Ordner noch den besten Eindruck.
Quelle(n)