Microsoft hatte zum Patchday Mai 2026 nicht nur das Problem mit der Fehlermeldung 0x800f0922 zu den Release Notes von Windows 11 25H2 und 24H2 hinzugefügt, sondern auch noch einen Hinweis zum Sicherheitsupdate Windows 10 22H2 und Windows 11 25H2.
Denn mit diesem Update wurde unter C:\Windows ein neuer Ordner mit dem Namen SecureBoot angelegt. In diesem Ordner geht es dann weiter mit ExampleRolloutScripts und dort liegen dann Beispielskripte, die für die Umstellung der Secure Boot Zertifikate integriert wurden.
Für uns „Normalos“ sind diese Skripte nicht gedacht, sondern eher für die ITler in den Unternehmen. Microsoft schreibt dazu: „Diese Skripte können verwendet werden, um den Status von Secure-Boot-Zertifikatsupdates zu ermitteln und die Bereitstellung über einen sicheren Rollout-Mechanismus in einer Active-Directory-Umgebung zu automatisieren. Weitere Informationen finden Sie im Leitfaden zur End-to-End-Automatisierung von Secure Boot.“
Also ähnlich wie die Check-UEFISecureBootVariables auf GitHub, oder mit grafischer Unterstützung der Sioni Secure Boot Zertifikat-Prüfer bei uns.
Da es sich hier um einen Ordner mit PowerShellscripten und gerade einmal ca. 450 KB handelt, sollte man ihn auch dort lassen. Ich gehe einmal davon aus, dass Microsoft ihn dann nach der Umstellung auf das neue Zertifikat UEFI CA 2023 dann wieder per Update löschen wird.
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 25H2 26200. Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 auch ohne TPM und Secure Boot installieren.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.

Wahnsinn.
Einen Monat vor Ablauf der ersten Zertifikate werden diese Skripte von Microsoft bereitgestellt. Was für ein Saftladen.
Die meisten ITler sollten mit der Umstellung schon fertig sein….
Gut, finde ich das auch nicht.
Es gibt die Gruppen, die nie Updates installiert, immer oder nur irgendwann sporadisch.
So kann Microsoft sagen, wir haben die Zertifikate noch pünktlich ausgetauscht.
Wer keine Updates installiert, muss damit rechnen, dass irgendwann nichts mehr geht.
Hier geht es aber nur um PowerShell-Skripte, um es zu überprüfen.
Selber schuld wer updates nicht Installierte.😁
schaut man sich all die Server an welche im Netz erreichbar sind und total veraltete Updatestand haben, bezweifle ich diese Aussage!
@NoName, der „Saftladen“ hat diese Skripte schon seit März auf der Webseite, die oben verlinkt ist platziert. Das ist offensichtlich nur eine Erinnerung.
Ich habe gerade das Problem, das ich 25H2 nicht installieren kann, weil sich secureboot im Bios nicht aktivieren läßt, da meine SSD`s noch im MBR – Format vorliegen. Wenn ich das richtig verstanden habe muß ich alle in GPT umwandeln. Installation blendet ein, das sicherer Start nicht unterstützt wird, und ich kann nur abbrechen. Muß ich nur die Windows – NVME in GPT umwandeln, und kann die anderen dann in MBR lassen, oder muß ich alle in GPT umwandeln? Meine Spiele und Ablage sind ja auch in MBR. Von Windows habe ich bereits ein System – image, die anderen ca. 1,8TB müßte ich erst sichern, um Datenverlust vorzubeugen. Oder kann ich mit RUFUS Arbeiten, um die Anforderung zu umgehen? Bin da noch nirgends fündig geworden.
Mit Rufus kannst du es umgehen, wenn du den Haken setzt
https://www.deskmodder.de/blog/2026/04/30/rufus-4-14-bekommt-eine-option-zur-unbeaufsichtigten-installation-die-entfernung-von-apps-und-mehr/
Ändern müsstest du nur die Platte mit C: . Eine Variante
https://www.deskmodder.de/wiki/index.php?title=MBR_zu_GPT_ändern_Festplatte_konvertieren_Windows_10
Läßt sich dann Secureboot aktivieren? Und läuft mein Windows dann? Ich habe die Vollversion von AOMEI Partitionsassistent zum umwandeln. Mein Asus – Mainbord ist ja aktuell, nur mein Laptop hat kein TPM2. Da in meinem Bekanntenkreis noch einige PC`s upgedatet werden müssen, brauche ich sowieso einen Stick mit Rufus.
Wenn GPT aktiviert ist, dann ja.
Entweder Rufus, oder die Zero Limit (Unbreaked) beides Möglich, wenn kein TPM 2 vorhanden ist.
https://www.deskmodder.de/phpBB3/viewtopic.php?t=26028
Erst einmal vielen Dank für die Hilfe. Umwandeln ging einwandfrei. 25H2 ist jetzt durchgelaufen und jetzt ist auch Secureboot eingeschaltet, ebenso fTPM. Um den Laptop kümmer ich mich der Tage; Rufus ist schon runtergeladen, Windows fehlt noch. Lade ich mir entweder hier oder bei MS selbst.
Wiso macht man immer so lange bei mir war unter win 8 schon alles gpt und volles ufi, ich aktiviere immer alles was die Hardware hergibt
ich habe das Problem, dass an 2 Rechnern Windows-Sicherheit (Windows 10) meldet, dass die secure boot zertifikate nicht aktualisiert werden können obwohl „[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match ‚Windows UEFI CA 2023′“ die Antwort „True“ ausgiebt. Eine Lösung würde ich gerne wissen.
ganz zu schweigen davon, wie viele Probleme wir schon mit PCs von der Stange hatten, insbesondere bei Lenovo und Wortmann. Wortmann ist aus Ostasien seine Reste und Lenovo gibt sich zwar Mühe aber anscheinend hat es nicht gereicht.
Seit Corona gilt nur noch Marke Eigenbau. Nie Ärger gehabt damit. viel mehr anschlüsse auf dem Mainboard.
https://www.deskmodder.de/blog/2026/04/28/sioni-secure-boot-zertifikat-pruefer-windows-uefi-ca-2023-mit-einem-tool-testen/
Gilt (apply)
https://github.com/cjee21/Check-UEFISecureBootVariables
Nachtrag: Mein PC läuft jetzt mit fTPM 2.0 und Secureboot jetzt auch. Der PC hat erst einmal über eine Stunde ! für das eine 25H2 Update gebraucht; danach erfolgten noch mehrere Updates in Folge. Es sind jetzt auch die neuen Zertifikate Installiert. Meine Laptop habe ich per Implace Upgedatet. Der ist jetzt auch aktuell. Mal sehen, was MS sich als nächstes einfalles läßt; Implantierter Chip im Oberarm, oder so.
Ich habe mir mein System vor 3 Jahren gebraucht zusammengekauft, damit ich auch später ( jetzt ) mit Windows arbeiten, Spielen usw, kann. Habe TPM 2, Secureboot ( und Bitlocker ist aus, nutze ich nicht ) bis zu diesem Update im März auch nicht genutzt. Wozu auch, solange alles läuft. Erst kam SSE 4.2, so das ich meine ganze alte ( FUNKTIONIERENDE ) Hardware nicht mehr nutzen kann, dann TPM, Secureboot, Bitlocker, ( was als nächstes kommt, darf man gespannt sein ) usw. Linux ist für mich jedoch keine echte Altanative, da laufen einfach zuwenig Programme drauf, leider.
Wieder mal die Nachfrage: Kann man diesen ganzen Kram vernachlässigen, wenn man Secure Boot im Uefi deaktiviert hat?
siehe oben. Bei mir lief das 25H2 update nicht. Es wurde eingeblendet, das ich TPM und Secureboot aktivieren MUSS, erst danach ging es, wie ja von mir auch beschrieben.
Ich hab heute das Update auf 26200.8457 mit deaktiviertem Secure Boot auf zwei PCs durchgeführt, lief auf beiden problemlos durch.