Secure Boot aktivieren: So geht’s in Windows 11 und 10

Secure Boot aktivieren in Windows 11 und 10: Erfahren Sie, wie Sie die Funktion im UEFI-BIOS Ihres PCs oder Laptops einfach aktivieren und einrichten.

Secure Boot lässt sich in wenigen Schritten über die UEFI-Firmware aktivieren – und zwar unabhängig davon, ob Sie Windows 11 oder Windows 10 nutzen. Dafür rufen Sie beim PC-Start das BIOS/UEFI auf, wechseln in die Sicherheits- oder Boot-Einstellungen und aktivieren die Option „Secure Boot“. Voraussetzung ist jedoch, dass Ihr System im UEFI-Modus läuft.

Diese Anleitung zeigt Ihnen alle nötigen Schritte – für Desktop-PCs, Laptops und gängige Hersteller wie Dell, ASUS, HP, Lenovo, MSI, Acer und Gigabyte.

Was ist Secure Boot – und warum ist es 2026 wichtiger denn je?

Secure Boot ist eine Sicherheitsfunktion der UEFI-Firmware, die sicherstellt, dass beim Starten Ihres Computers ausschließlich vertrauenswürdige, digital signierte Software geladen wird. Konkret prüft die Firmware dabei die kryptografischen Signaturen aller Bootloader und Treiber, bevor diese ausgeführt werden. Stimmt eine Signatur nicht, verweigert das System den Start.

Dieser Mechanismus schützt Sie besonders wirksam vor sogenannten Bootkits und Rootkits – also Schadsoftware, die sich tief im System versteckt und sogar vor dem Laden des Betriebssystems aktiv wird. Herkömmliche Antivirenprogramme können solche Bedrohungen häufig nicht erkennen, da sie erst nach dem Booten anlaufen. Secure Boot hingegen greift bereits davor ein.

Zusätzlich ist Secure Boot eine der zentralen Mindestanforderungen für Windows 11. Ohne aktiviertes Secure Boot lässt sich das aktuelle Betriebssystem von Microsoft offiziell nicht installieren. Deshalb stellt sich die Frage nach der Aktivierung besonders häufig, wenn Nutzer von Windows 10 auf Windows 11 upgraden möchten.

Besonders aktuell ist das Thema außerdem wegen eines wichtigen Zertifikatswechsels: Microsoft aktualisiert Zertifikate für den sicheren Start, die ursprünglich im Jahr 2011 ausgestellt wurden und ab Juni 2026 ablaufen. Für das neue Microsoft Corporation KEK CA 2023-Zertifikat müssen alle Hersteller entsprechende Updates bereitstellen, damit Systeme auch nach 2026 weiterhin Sicherheitsupdates erhalten. Wer Secure Boot also aktiv hat, profitiert von diesem automatischen Update – wer es deaktiviert hat, sollte jetzt handeln.

Voraussetzungen prüfen: Was Sie vor der Aktivierung wissen müssen

Bevor Sie Secure Boot aktivieren, sollten Sie zunächst prüfen, ob Ihr System überhaupt die nötigen Voraussetzungen erfüllt. Anderenfalls scheitert die Aktivierung oder der PC startet anschließend nicht mehr korrekt.

UEFI statt Legacy-BIOS

Secure Boot wird nur von UEFI-Firmware unterstützt und ist auf PCs, die ein älteres BIOS verwenden, nicht verfügbar. Viele ältere Systeme laufen jedoch noch im sogenannten Legacy-BIOS-Modus oder im CSM-Modus (Compatibility Support Module). In diesem Fall muss zunächst auf den UEFI-Modus gewechselt werden – was allerdings in manchen Fällen eine Neuinstallation von Windows erfordert.

GPT statt MBR

Eng damit verbunden ist die Partitionierung Ihrer Systemfestplatte. UEFI benötigt das neuere GPT-Partitionsformat (GUID Partition Table). Das ältere MBR-Format (Master Boot Record) ist dagegen mit dem UEFI-Secure-Boot-Betrieb nicht kompatibel. Falls Ihre Festplatte noch mit MBR formatiert ist, muss sie zunächst konvertiert werden – dazu bietet Windows das integrierte Tool MBR2GPT.exe an.

TPM 2.0 (für Windows 11)

Für Windows 11 ist zusätzlich ein TPM-Chip in Version 2.0 (Trusted Platform Module) erforderlich. Dieser Sicherheitschip arbeitet eng mit Secure Boot zusammen und sorgt für eine sichere Schlüsselverwaltung. Auf modernen Geräten ab etwa 2016 ist TPM 2.0 in der Regel bereits vorhanden – häufig jedoch im BIOS deaktiviert und muss dort erst eingeschaltet werden.

BitLocker-Warnung beachten

BitLocker-Nutzer sollten den Wiederherstellungsschlüssel bereithalten – Änderungen im UEFI können ihn auslösen. Notieren Sie daher den BitLocker-Wiederherstellungsschlüssel aus Ihrem Microsoft-Konto oder aus der lokalen Sicherungsdatei, bevor Sie Änderungen im BIOS vornehmen. Andernfalls droht im schlimmsten Fall ein gesperrtes System.

Secure Boot Status prüfen: So sehen Sie, ob es bereits aktiv ist

Bevor Sie Einstellungen ändern, lohnt es sich, den aktuellen Status zu kontrollieren. Dafür nutzen Sie am einfachsten das integrierte Windows-Werkzeug msinfo32 – und das funktioniert sowohl unter Windows 10 als auch unter Windows 11.

Schritt-für-Schritt-Anleitung:

1. Drücken Sie gleichzeitig die Tasten Windows + R, um den Ausführen-Dialog zu öffnen.
2. Geben Sie msinfo32 ein und bestätigen Sie mit der Eingabetaste.
3. Im Fenster „Systeminformationen“ wählen Sie links Systemübersicht aus.
4. Suchen Sie auf der rechten Seite nach den Einträgen BIOS-Modus und Sicherer Startstatus.

Wenn Secure Boot aktiviert ist, zeigt der BIOS-Modus „UEFI“ und der Secure Boot-Status „Ein“ an. Steht dort dagegen „Aus“ oder „Nicht unterstützt“, ist weiterer Handlungsbedarf erforderlich. Der Eintrag „Nicht unterstützt“ bedeutet dabei in der Regel, dass der Legacy-Modus aktiv ist oder Ihre Hardware Secure Boot prinzipiell nicht unterstützt.

Ins UEFI-BIOS gelangen: So rufen Sie die Firmware auf

Das eigentliche Aktivieren von Secure Boot erfolgt nicht innerhalb von Windows, sondern in der UEFI-Firmware-Oberfläche Ihres Computers. Der Zugriff auf diese Einrichtungsschnittstelle erfolgt in der Regel durch Drücken einer bestimmten Taste auf Ihrer Tastatur, während er hochfährt – in der Regel eine der Tasten Entf, Esc, F1, F2, F10 oder F12.

Die genaue Taste hängt dabei vom Hersteller ab:

• Dell: F2 beim Start drücken (Dell-Logo erscheint)
• ASUS: F2 oder Entf beim Start gedrückt halten
• HP: Esc oder F10 beim Start drücken
• Lenovo: F1, F2 oder Entf beim Start drücken
• MSI: Entf beim Start drücken
• Acer: F2 oder Entf beim Start drücken
• Gigabyte: Entf beim Start drücken

Wer den richtigen Moment verpasst und Windows bereits lädt, hat außerdem eine zweite Möglichkeit: den erweiterten Start über Windows selbst. Diese Methode funktioniert zuverlässig, auch wenn der PC zu schnell startet.

UEFI über Windows 11 erreichen

1. Öffnen Sie Einstellungen (Win + I).
2. Klicken Sie auf System → Wiederherstellung.
3. Wählen Sie unter „Erweiterter Start“ die Option Jetzt neu starten.
4. Nach dem Neustart navigieren Sie zu Problembehandlung → Erweiterte Optionen → UEFI-Firmwareeinstellungen.
5. Klicken Sie auf Neu starten – der PC bootet nun direkt ins UEFI.

UEFI über Windows 10 erreichen

1. Öffnen Sie Einstellungen → Update und Sicherheit → Wiederherstellung.
2. Klicken Sie unter „Erweiterter Start“ auf Jetzt neu starten.
3. Navigieren Sie danach zu Problembehandlung → Erweiterte Optionen → UEFI-Firmwareeinstellungen.
4. Klicken Sie auf Neu starten.

Secure Boot aktivieren: Die allgemeine Schritt-für-Schritt-Anleitung

Sobald Sie sich im UEFI befinden, ist die eigentliche Aktivierung unkompliziert. Allerdings unterscheiden sich die Bezeichnungen und Menüstrukturen je nach Hersteller und Modell. Die folgenden Schritte gelten deshalb allgemein – im nächsten Abschnitt finden Sie außerdem herstellerspezifische Hinweise.

1. Rufen Sie das UEFI-BIOS Ihres PCs auf (wie oben beschrieben).
2. Navigieren Sie zum Reiter Boot, Security oder Sicherheit – je nach Hersteller.
3. Suchen Sie dort den Eintrag Secure Boot oder Sicherer Start.
4. Ändern Sie den Wert von Disabled auf Enabled (bzw. von „Deaktiviert“ auf „Aktiviert“).
5. Falls vorhanden, stellen Sie den Secure Boot Mode auf Standard (nicht auf „Custom/Benutzerdefiniert“).
6. Speichern Sie die Änderungen – meistens über den Reiter Exit → Save Changes and Reset oder durch Drücken von F10.
7. Bestätigen Sie den Neustart mit OK oder Ja.

Nachdem Sicherer Start aktiviert ist, sollten Sie in Zukunft keine Warnungen mehr erhalten, in denen Sie zu einer Aktivierung aufgefordert werden. Zur Kontrolle empfiehlt es sich außerdem, erneut msinfo32 zu öffnen und zu prüfen, ob der Secure Boot-Status nun auf „Ein“ steht.

Herstellerspezifische Anleitungen im Detail

Da die BIOS-Oberflächen stark variieren, lohnt ein Blick auf die Besonderheiten der gängigsten Hersteller.

Secure Boot bei Dell aktivieren

Starten Sie den Computer und drücken Sie die Taste F2, während das Dell-Logo auf dem Bildschirm angezeigt wird, um das BIOS aufzurufen. Suchen Sie nach der Option Secure Boot, ändern Sie Secure Boot auf „Aktiviert“ und wählen Sie „Anwenden“ oder „Speichern und beenden“. Bei neueren Dell-Geräten finden Sie Secure Boot in der Regel unter Boot → Secure Boot.

Secure Boot bei ASUS aktivieren

Halten Sie beim Einschalten die Taste F2 auf der Tastatur gedrückt und drücken Sie gleichzeitig die Ein-/Aus-Taste, um das Gerät zu starten. Sobald der BIOS-Bildschirm erscheint, können Sie die Taste F2 loslassen. Navigieren Sie anschließend zum Reiter Boot und aktivieren Sie dort Secure Boot Control. Stellen Sie den Modus auf Standard und speichern Sie mit F10.

Bei ASUS-Desktops mit dem erweiterten BIOS navigieren Sie stattdessen über den Reiter Security zur Option Secure Boot. Die Schlüsselverwaltung ist grau, wenn der Secure Boot-Modus auf „Standard“ eingestellt ist – das ist der empfohlene Zustand.

Secure Boot bei HP aktivieren

Drücken Sie beim Start Esc und dann F10, um in die UEFI-Einstellungen zu gelangen. Navigieren Sie dort zu Advanced → Secure Boot Configuration und aktivieren Sie Secure Boot. Speichern Sie anschließend mit F10 und bestätigen Sie den Neustart.

Secure Boot bei Lenovo aktivieren

Rufen Sie das BIOS über F1 oder F2 beim Start auf. Bei ThinkPad-Modellen navigieren Sie zu Security → Secure Boot und ändern den Status auf Enabled. Bei IdeaPad-Geräten finden Sie die Einstellung häufig unter dem Reiter Boot.

Secure Boot bei MSI aktivieren

Drücken Sie beim Start die Taste Entf. Wechseln Sie dann in den Advanced Mode (falls noch nicht aktiv, meist über F7). Navigieren Sie dort zu Settings → Security → Secure Boot und aktivieren Sie die Option. Speichern Sie mit F10.

Secure Boot bei Gigabyte aktivieren

Drücken Sie beim Start ebenfalls die Taste Entf. Navigieren Sie im BIOS-Menü zu Settings → Miscellaneous → Secure Boot und stellen Sie die Option auf Enabled. Speichern und beenden Sie mit F10.

Secure Boot bei Acer aktivieren

Drücken Sie beim Start F2 oder Entf. Wechseln Sie zum Reiter Boot, aktivieren Sie Secure Boot und stellen Sie sicher, dass der BIOS-Modus auf UEFI eingestellt ist. Speichern Sie über Exit → Save Changes and Exit.

Legacy-BIOS auf UEFI umstellen: So gehen Sie vor

Zeigt msinfo32 unter „BIOS-Modus“ den Wert Legacy, ist Secure Boot zunächst nicht aktivierbar. In diesem Fall müssen Sie den PC-Startmodus von einem als „Legacy“-BIOS aktivierten zu UEFI/BIOS wechseln. Das erfordert jedoch meistens auch eine Konvertierung der Systemfestplatte von MBR auf GPT.

MBR zu GPT konvertieren mit MBR2GPT

Windows bietet dafür das integrierte Kommandozeilen-Tool MBR2GPT.exe an, das die Konvertierung ohne Datenverlust ermöglicht – jedoch nur unter bestimmten Bedingungen:

• Das System läuft unter Windows 10 Version 1703 oder neuer (64-Bit).
• Die Festplatte hat höchstens drei primäre Partitionen.
• Es ist ausreichend Speicherplatz vorhanden.

Schritt-für-Schritt-Anleitung (MBR2GPT):

1. Öffnen Sie die Eingabeaufforderung als Administrator (Rechtsklick auf Start → „Terminal (Administrator)“ oder „Eingabeaufforderung (Administrator)“).
2. Geben Sie folgenden Befehl ein, um zunächst zu prüfen: MBR2GPT /validate /disk:0 /allowFullOS
3. Erscheint die Meldung „MBR2GPT: Validation completed successfully“, führen Sie die Konvertierung durch: MBR2GPT /convert /disk:0 /allowFullOS
4. Nach der Konvertierung starten Sie ins UEFI und stellen den Boot-Modus auf UEFI um.
5. Aktivieren Sie anschließend Secure Boot wie oben beschrieben.

Wichtiger Hinweis: Erstellen Sie unbedingt vorher eine vollständige Datensicherung aller wichtigen Daten. Durch das Wechseln des Startmodus von Legacy zu UEFI kann die aktuelle Windows-Installation nicht mehr gestartet werden und Windows muss neu installiert werden – falls die Konvertierung ohne MBR2GPT erfolgt oder das Tool fehlschlägt.

Secure Boot und Windows 11: Was Sie beim Upgrade beachten müssen

Wer von Windows 10 auf Windows 11 upgraden möchte, kommt an Secure Boot kaum vorbei. Microsoft schreibt die Funktion offiziell als Systemvoraussetzung vor. Zusätzlich prüft das Upgrade-Tool PC-Integritätsprüfung (PC Health Check), ob alle Anforderungen erfüllt sind.

Die Anforderung, ein Windows 10-Gerät auf Windows 11 zu aktualisieren, besteht zwar nur darin, dass der PC sicher gestartet werden kann, indem UEFI/BIOS aktiviert ist. Sie können jedoch auch erwägen, den sicheren Start zu aktivieren oder zu aktivieren, um die Sicherheit zu erhöhen.

Kurz gesagt: Technisch reicht für das Upgrade die UEFI-Unterstützung aus – Secure Boot muss dabei nicht zwingend eingeschaltet sein. Dennoch empfehlen wir die vollständige Aktivierung, da sie die Systemsicherheit erheblich verbessert und zudem für die automatischen Secure-Boot-Zertifikatsupdates im Jahr 2026 erforderlich ist.

Häufige Probleme und Fehlerbehebung

Manchmal klappt die Aktivierung von Secure Boot nicht auf Anhieb. Deshalb folgen die häufigsten Probleme mit den dazugehörigen Lösungen.

Secure Boot lässt sich nicht einschalten – Option ist ausgegraut

Das kommt vor, wenn der CSM-Modus (Compatibility Support Module) noch aktiv ist. Deaktivieren Sie zuerst CSM im BIOS, um Secure Boot freizuschalten. Beachten Sie dabei jedoch: Ist Windows noch im Legacy-Modus installiert, startet es nach dem Deaktivieren von CSM möglicherweise nicht mehr.

„Nicht unterstützt“ in msinfo32

Wenn der Sicherer Startzustand als „Nicht unterstützt“ angezeigt wird, sehen Sie im Spezifikationsblatt oder im Handbuch Ihres Motherboard-Herstellers nach, ob Sicherer Start überhaupt unterstützt wird. Ältere Hardware vor 2012 unterstützt Secure Boot häufig nicht.

PC startet nach Aktivierung nicht mehr

Falls Windows nach dem Aktivieren von Secure Boot nicht mehr startet, ist die Ursache meistens eine inkompatible Software oder ein nicht signierter Bootloader. Rufen Sie erneut das UEFI auf und deaktivieren Sie Secure Boot vorübergehend. Deinstallieren Sie anschließend nicht kompatible Software – zum Beispiel inkompatible Linux-Installationen oder veraltete Dual-Boot-Konfigurationen – und versuchen Sie es erneut.

Deinstallieren Sie Software, die mit Secure Boot nicht kompatibel ist, einschließlich Linux OS oder anderer Betriebssysteme, bevor Sie Secure Boot aktivieren.

BitLocker fragt nach Wiederherstellungsschlüssel

Das ist normal und kein Fehler. Wenn Ihr Festplattenlaufwerk mit einer Geräteverschlüsselung oder BitLocker verschlüsselt ist, müssen Sie beim Ändern der BIOS-Einstellungen möglicherweise den BitLocker-Schlüssel eingeben, um das Laufwerk zu entsperren. Den Wiederherstellungsschlüssel finden Sie in Ihrem Microsoft-Konto unter „Geräte“ → „Wiederherstellungsschlüssel anzeigen“.

Secure Boot Keys zurücksetzen

Sollte die Secure-Boot-Funktion nach einer Änderung inkonsistent wirken oder Probleme mit Signaturen auftreten, hilft meistens das Zurücksetzen auf die Werkseinstellungen der Secure-Boot-Keys. Diese Option finden Sie im BIOS-Menü unter „Secure Boot“ → „Restore Factory Keys“ oder „Install Default Secure Boot Keys“.

Secure Boot im Unternehmensumfeld: Zentrale Verwaltung

Für IT-Administratoren, die eine größere Anzahl von Geräten verwalten, ist die manuelle Aktivierung von Secure Boot auf jedem einzelnen PC natürlich unpraktikabel. Für IT-Teams empfiehlt sich eine zentrale Verwaltung über RMM-Tools. Lösungen wie Microsoft Intune, Microsoft Endpoint Configuration Manager (MECM) oder auch NinjaOne ermöglichen die Überwachung und Verwaltung von Secure-Boot-Einstellungen über eine zentrale Oberfläche – für Windows 10 und Windows 11 gleichermaßen.

Zusätzlich lassen sich über Gruppenrichtlinien (GPO) und UEFI-Konfigurationsprofile firmenweit Standards für Secure Boot durchsetzen. Das empfiehlt sich besonders im Rahmen einer Zero-Trust-Sicherheitsarchitektur, bei der die Integrität jedes Geräts von Anfang an sichergestellt sein muss.

Secure Boot und Dual-Boot mit Linux: Was Sie wissen sollten

Wer neben Windows auch Linux auf demselben System betreibt, muss beim Aktivieren von Secure Boot einiges beachten. Viele moderne Linux-Distributionen wie Ubuntu, Fedora und Debian unterstützen Secure Boot inzwischen offiziell über den sogenannten Shim-Bootloader, der von Microsoft signiert ist.

Allerdings funktionieren nicht alle Linux-Distributionen reibungslos mit aktiviertem Secure Boot. Ebenso können selbst kompilierte Kernel oder bestimmte Treiber – etwa proprietäre Grafiktreiber – Probleme verursachen, da sie keine gültige Signatur tragen. Prüfen Sie deshalb vor der Aktivierung, ob Ihre Linux-Distribution Secure Boot offiziell unterstützt.

Empfohlene Vorgehensweisen für mehr Sicherheit

Secure Boot ist ein wichtiger Baustein – aber kein vollständiger Schutz für sich allein. Kombinieren Sie die Funktion deshalb mit weiteren Sicherheitsmaßnahmen:

• TPM 2.0 aktivieren: Gemeinsam mit Secure Boot bildet TPM die Grundlage für Windows Hello und BitLocker.
• BitLocker aktivieren: Verschlüsselt die gesamte Systemfestplatte und schützt Daten bei physischem Zugriff auf den PC.
• Windows Defender und regelmäßige Updates: Halten Sie das Betriebssystem und die Virensignaturen stets aktuell.
• BIOS-Passwort setzen: Verhindert, dass Unbefugte Ihre UEFI-Einstellungen – einschließlich Secure Boot – einfach deaktivieren können.
• UEFI/BIOS-Firmware aktuell halten: Hersteller veröffentlichen regelmäßig Firmware-Updates, die auch Secure-Boot-Zertifikate aktualisieren. Das ist besonders mit Blick auf den Zertifikatswechsel im Jahr 2026 relevant.

Häufige Fragen zu Secure Boot

Muss ich Secure Boot aktivieren, um Windows 11 zu nutzen?

Technisch gesehen reicht es für das Upgrade, wenn der UEFI-Modus aktiv ist. Microsoft empfiehlt jedoch dringend, Secure Boot auch tatsächlich einzuschalten, da es ein zentrales Sicherheitsmerkmal von Windows 11 darstellt und zudem für künftige Sicherheitszertifikate notwendig ist.

Kann Secure Boot meinen PC beschädigen oder Daten löschen?

Nein. Das Aktivieren von Secure Boot verändert keine Dateien auf Ihrer Festplatte und löscht keine Daten. Allerdings kann es beim Umschalten von Legacy auf UEFI dazu kommen, dass Windows nicht mehr startet – deshalb ist eine Datensicherung im Vorfeld empfehlenswert.

Was passiert, wenn Secure Boot deaktiviert ist?

Ist Secure Boot deaktiviert, kann theoretisch jede Software beim Booten geladen werden – einschließlich Schadsoftware wie Bootkits und Rootkits. Außerdem erhalten Sie ab Juni 2026 möglicherweise keine Secure-Boot-Zertifikatsupdates mehr, was langfristig die Systemsicherheit beeinträchtigen kann.

Wie erkenne ich, ob mein PC UEFI unterstützt?

Öffnen Sie msinfo32 (Windows + R → msinfo32 eingeben). Steht unter „BIOS-Modus“ der Wert UEFI, unterstützt Ihr System den UEFI-Modus. Steht dort „Legacy“, nutzt Ihr PC noch das ältere BIOS-System.

Funktioniert Secure Boot auch auf älteren PCs?

Secure Boot ist ab etwa 2012 auf den meisten PCs verfügbar, da es seit Windows 8 eine Anforderung für das Windows-Zertifizierungsprogramm ist. Sehr alte Hardware vor 2012 unterstützt die Funktion jedoch häufig nicht.

Kann ich Secure Boot auch wieder deaktivieren?

Ja. Sie können Secure Boot jederzeit erneut im UEFI deaktivieren, indem Sie denselben Weg wie bei der Aktivierung gehen und die Option auf „Disabled“ setzen. Das kann beispielsweise nötig sein, wenn Sie ein älteres Betriebssystem oder eine Linux-Distribution ohne Secure-Boot-Unterstützung installieren möchten.

Warum ist die Secure-Boot-Option in meinem BIOS ausgegraut?

Das liegt meistens daran, dass der CSM-Modus noch aktiviert ist. Deaktivieren Sie CSM in den Boot-Einstellungen Ihres BIOS, um Secure Boot freizuschalten. Beachten Sie dabei, dass das Deaktivieren von CSM den Start eines im Legacy-Modus installierten Windows verhindert.

Brauche ich Secure Boot, wenn ich ein gutes Antivirenprogramm nutze?

Beides ergänzt sich, ersetzt sich jedoch nicht gegenseitig. Antivirenprogramme arbeiten innerhalb des Betriebssystems und erkennen Bedrohungen dort. Secure Boot hingegen schützt die Phase vor dem Start des Betriebssystems – also genau die Stelle, an der Antivirenprogramme noch nicht aktiv sind.

Was ist der Unterschied zwischen Secure Boot im Standard- und im benutzerdefinierten Modus?

Im Standardmodus verwendet Secure Boot die vorinstallierten Microsoft-Zertifikate und -Schlüssel – das ist die empfohlene Einstellung für die meisten Nutzer. Der benutzerdefinierte Modus erlaubt dagegen das manuelle Verwalten eigener Zertifikate und Schlüssel, was vor allem für spezialisierte IT-Umgebungen relevant ist.

Lässt sich Secure Boot über die Eingabeaufforderung oder PowerShell aktivieren?

Nein. Das Aktivieren oder Deaktivieren von Secure Boot muss über die UEFI-Einrichtungsoberfläche erfolgen – nicht über Windows 10 oder Windows 11. Es gibt keinen Windows-Befehl, der Secure Boot direkt einschalten kann – die Änderung ist ausschließlich über das UEFI möglich.

Fazit

Secure Boot lässt sich auf den meisten modernen PCs mit Windows 10 und Windows 11 in wenigen Minuten aktivieren – vorausgesetzt, das System läuft bereits im UEFI-Modus. Der Weg führt stets über das BIOS/UEFI Ihres jeweiligen Herstellers, wo Sie die Option unter „Boot“ oder „Security“ finden.

Besonders jetzt, 2026, lohnt sich die Aktivierung doppelt: Zum einen schützt Secure Boot zuverlässig vor Bootkits und tief verankerte Schadsoftware. Zum anderen stellt nur ein aktives Secure Boot sicher, dass Ihr System die wichtigen Zertifikatsupdates von Microsoft automatisch erhält.