Nach einem Windows-Update entdeckst du plötzlich den Ordner C:\Windows\SecureBoot und fragst dich, woher er kommt? Besonders auffällig wird es, wenn darin mehrere PowerShell-Skripte liegen. Da der Ordner direkt zum Windows-Systemverzeichnis gehört, ist die Sorge vor Schadsoftware oder einem fehlerhaften Update verständlich.
In den meisten Fällen kannst du jedoch beruhigt sein: C:\Windows\SecureBoot ist ein legitimer Windows-Ordner. Microsoft stellt dort seit den Windows-Updates vom Mai 2026 Beispielskripte bereit, die mit der Aktualisierung der Secure-Boot-Zertifikate zusammenhängen.
Als privater Windows-Nutzer musst du diese Skripte normalerweise weder öffnen noch ausführen. Auch das Löschen des Ordners ist nicht sinnvoll. In diesem Artikel erkläre ich dir, warum der Ordner plötzlich auftaucht, welche Aufgabe seine Dateien haben und wie du kontrollierst, ob Secure Boot auf deinem PC richtig funktioniert.
Das Wichtigste in Kürze
Der Ordner C:\Windows\SecureBoot ist normalerweise kein Virus und kein Hinweis auf eine beschädigte Windows-Installation.
Im Unterordner ExampleRolloutScripts befinden sich Beispielskripte, die hauptsächlich für Administratoren und größere Unternehmensnetzwerke gedacht sind. Sie helfen dabei, den Stand der Secure-Boot-Zertifikate zu prüfen und deren Aktualisierung auf vielen Computern zu steuern.
Für deinen privaten PC gilt daher:
- Lösche den Ordner nicht.
- Führe die enthaltenen Skripte nicht auf eigene Faust aus.
- Installiere weiterhin alle verfügbaren Windows-Updates.
- Kontrolliere den Secure-Boot-Status über die Windows-Sicherheits-App.
Allein das Vorhandensein des Ordners bedeutet übrigens nicht, dass die neuen Zertifikate bereits vollständig installiert wurden.
Was ist der Ordner C:\Windows\SecureBoot?
C:\Windows\SecureBoot ist ein von Windows angelegter Systemordner. Auf den meisten PCs befindet sich darin der Unterordner:
C:\Windows\SecureBoot\ExampleRolloutScriptsDer Platzhalter %systemroot%, den Microsoft in seinen Anleitungen verwendet, bezeichnet das Windows-Verzeichnis. Bei einer gewöhnlichen Installation ist damit C:\Windows gemeint.
Microsoft stellt in diesem Verzeichnis mehrere PowerShell-Skripte bereit. Diese Dateien sind keine Bestandteile, die bei jedem Start des Computers automatisch ausgeführt werden. Es handelt sich vielmehr um Hilfsmittel für Administratoren.
Damit lassen sich beispielsweise Informationen über die Secure-Boot-Konfiguration mehrerer Geräte sammeln, Berichte erstellen oder Zertifikatsupdates schrittweise verteilen.
Seit den Windows-Updates, die am oder nach dem 12. Mai 2026 veröffentlicht wurden, legt Microsoft diese Beispielskripte direkt auf dem Gerät ab. Zuvor wurden sie über einzelne Supportseiten bereitgestellt.
Microsoft beschreibt die enthaltenen Dateien und ihren vorgesehenen Einsatzzweck ausführlich im offiziellen Leitfaden zur Secure-Boot-Automatisierung.
Der Ordner selbst aktiviert oder deaktiviert Secure Boot nicht. Er enthält lediglich Werkzeuge, die bei der Verwaltung der Funktion helfen können.
Warum erscheint der SecureBoot-Ordner plötzlich?
Der Ordner erscheint in der Regel nach der Installation eines aktuellen Windows-Updates. Deshalb fällt er vielen Nutzern erst jetzt auf, obwohl Secure Boot schon seit vielen Jahren Bestandteil moderner Windows-PCs ist.
Hintergrund sind die Secure-Boot-Zertifikate, die Microsoft ursprünglich im Jahr 2011 eingeführt hat. Einige dieser Zertifikate laufen ab Juni 2026 aus und werden deshalb durch neuere Versionen aus dem Jahr 2023 ergänzt beziehungsweise ersetzt.
Microsoft verteilt die benötigten Aktualisierungen auf privaten Computern weitgehend automatisch über Windows Update. Die Skripte im Ordner ExampleRolloutScripts sind dagegen vor allem für Unternehmen gedacht, die viele unterschiedliche Computer kontrolliert aktualisieren müssen.
Wenn du den Ordner kurz nach einem monatlichen Windows-Update entdeckst, ist das daher normalerweise kein ungewöhnlicher Vorgang.
Was ist Secure Boot und warum ist die Funktion wichtig?
Secure Boot, auf Deutsch „Sicherer Start“, ist eine Sicherheitsfunktion der UEFI-Firmware deines Computers. Sie setzt bereits ein, bevor Windows vollständig geladen wird.
Was UEFI vom klassischen BIOS unterscheidet, erkläre ich dir im Ratgeber UEFI vs. BIOS: Unterschiede, Vorteile und Nachteile.
Beim Einschalten prüft die Firmware die digitalen Signaturen wichtiger Startkomponenten. Dazu gehören beispielsweise der Windows Boot Manager, UEFI-Treiber und andere Programme, die am Startvorgang beteiligt sind.
Nur wenn diese Bestandteile als vertrauenswürdig erkannt werden, wird der Start fortgesetzt. Dadurch soll verhindert werden, dass manipulierte Bootloader oder sogenannte Bootkits bereits vor dem eigentlichen Betriebssystem aktiv werden.
Ein normales Antivirenprogramm kann solche frühen Angriffe nur schwer erkennen, weil die Schadsoftware möglicherweise schon läuft, bevor Windows und der Virenschutz vollständig gestartet sind.
Secure Boot ist damit ein Teil einer ganzen Sicherheitskette. Auch UEFI, TPM, BitLocker und die Windows-Sicherheit spielen dabei eine Rolle. Der Ordner C:\Windows\SecureBoot ist jedoch nicht die eigentliche Schutzfunktion, sondern lediglich ein Windows-Verzeichnis mit ergänzenden Verwaltungsskripten.
Welche Dateien befinden sich im SecureBoot-Ordner?
Der genaue Inhalt kann sich durch spätere Windows-Updates ändern. Typischerweise findest du im Unterordner ExampleRolloutScripts mehrere PowerShell-Dateien mit der Endung .ps1.
Dazu können unter anderem folgende Dateien gehören:
| Skript | Aufgabe |
|---|---|
Detect-SecureBootCertUpdateStatus.ps1 | Erfasst den Zertifikatsstatus eines Computers |
Aggregate-SecureBootData.ps1 | Fasst gesammelte Statusdaten zusammen |
Deploy-GPO-SecureBootCollection.ps1 | Unterstützt die Verteilung einer Prüfung über Gruppenrichtlinien |
Enable-SecureBootUpdateTask.ps1 | Aktiviert eine Aufgabe für das Zertifikatsupdate |
Start-SecureBootRolloutOrchestrator.ps1 | Steuert einen geplanten Rollout |
Get-SecureBootRolloutStatus.ps1 | Fragt den aktuellen Stand einer Bereitstellung ab |
Deploy-OrchestratorTask.ps1 | Richtet eine zentrale Verwaltungsaufgabe ein |
Bereits die Dateinamen zeigen, dass diese Werkzeuge hauptsächlich für größere IT-Umgebungen gedacht sind. Begriffe wie GPO, Rollout oder Orchestrator spielen auf einem einzelnen privaten PC normalerweise keine Rolle.
Microsoft beschreibt die Skripte als Hilfsmittel für eine Bestandsaufnahme und eine schrittweise Bereitstellung der Zertifikatsupdates. Einige Skripte werden auf den einzelnen Computern ausgeführt, andere auf einer Administrator-Arbeitsstation oder einem Domänencontroller.
Du musst diese Dateien daher nicht testen, nur weil sie auf deinem Computer vorhanden sind.
Ist C:\Windows\SecureBoot ein Virus?
Der Ordner C:\Windows\SecureBoot ist normalerweise kein Virus. Wenn er sich direkt im Windows-Verzeichnis befindet und im Zusammenhang mit einem aktuellen Windows-Update angelegt wurde, handelt es sich sehr wahrscheinlich um den legitimen Microsoft-Ordner.
Aus meiner langjährigen Windows-Praxis weiß ich allerdings, dass ein unbekannter Ordner mit PowerShell-Dateien schnell Misstrauen auslöst. Eine kurze Kontrolle ist deshalb völlig in Ordnung.
Achte zunächst auf den vollständigen Pfad:
C:\Windows\SecureBootEin ähnlich benannter Ordner in deinem Download-Verzeichnis, im Benutzerprofil oder auf einem anderen Laufwerk sollte nicht automatisch als Windows-Bestandteil angesehen werden.
Bei Unsicherheit kannst du den Ordner zusätzlich mit Microsoft Defender überprüfen:
- Klicke mit der rechten Maustaste auf den Ordner.
- Wähle unter Windows 11 gegebenenfalls Weitere Optionen anzeigen.
- Starte die Überprüfung mit Microsoft Defender.
Eine fehlende Virenwarnung allein beweist zwar nicht die Herkunft jeder Datei. Zusammen mit dem korrekten Speicherort und einem passenden Windows-Update ist sie aber ein weiteres beruhigendes Zeichen.
Darf ich den Ordner C:\Windows\SecureBoot löschen?
Du solltest den Ordner nicht löschen. Er benötigt nur sehr wenig Speicherplatz und bringt dir daher keinen messbaren Vorteil, wenn du ihn entfernst.
Gleichzeitig gehört er zum Windows-Systemverzeichnis. Microsoft oder ein Administrator könnte die enthaltenen Dateien später für eine Prüfung oder Aktualisierung benötigen. Außerdem ist es möglich, dass Windows den Ordner bei einem späteren Update erneut anlegt.
Wichtig ist allerdings eine genaue Einordnung: Das Löschen des Ordners deaktiviert nicht automatisch Secure Boot. Die eigentlichen Zertifikate und Einstellungen befinden sich in der UEFI-Firmware und nicht als einfache Dateien in diesem Verzeichnis.
Trotzdem solltest du Systemdateien nicht ohne konkreten Grund entfernen. Der Ordner stellt weder ein Platzproblem dar noch bremst er den Computer aus.
Auch sogenannte Reinigungstools sollten solche aktuellen Windows-Ordner nicht entfernen. Falls ein Programm den SecureBoot-Ordner als überflüssig einstuft, würde ich die Löschung nicht bestätigen.
Muss ich die PowerShell-Skripte ausführen?
Auf einem privaten PC musst du die Skripte normalerweise nicht ausführen. Microsoft liefert die eigentlichen Secure-Boot-Zertifikatsupdates über Windows Update aus.
Die Dateien im Ordner sind Beispiele für Administratoren, die viele Computer verwalten. Sie können Registry-Werte auslesen, geplante Aufgaben anlegen, Statusdaten sammeln oder eine Aktualisierung gezielt steuern.
Solche Eingriffe sind nicht grundsätzlich gefährlich, wenn ein erfahrener Administrator sie kontrolliert einsetzt. Ohne genaue Kenntnisse solltest du sie jedoch nicht auf eigene Faust starten.
Besondere Vorsicht ist bei Anleitungen geboten, die zusätzlich Änderungen an folgenden Bereichen verlangen:
- Windows-Registry
- UEFI-Einstellungen
- Secure-Boot-Datenbanken
- geplante Aufgaben
- BitLocker-Konfiguration
- Startumgebung von Windows
Ein falscher Eingriff kann im ungünstigen Fall dazu führen, dass BitLocker den Wiederherstellungsschlüssel verlangt oder Windows nicht mehr wie erwartet startet.
Für private Nutzer ist die Windows-Sicherheits-App die deutlich einfachere und sicherere Prüfmöglichkeit.
Secure-Boot-Status über Windows-Sicherheit prüfen
Seit April 2026 zeigt die Windows-Sicherheits-App zusätzliche Informationen zum Stand der Secure-Boot-Zertifikate an. Diese Anzeige wird schrittweise über Windows-Updates bereitgestellt.
So rufst du den Status auf:
- Öffne das Startmenü.
- Suche nach Windows-Sicherheit.
- Öffne den Bereich Gerätesicherheit.
- Klicke auf Sicherer Start.
- Lies die angezeigte Statusmeldung.
Je nach Zustand kann Windows ein grünes, gelbes oder rotes Symbol anzeigen.
Einen Überblick über Microsoft Defender, Firewall, Gerätesicherheit und weitere Schutzfunktionen findest du in meinem Ratgeber zur Windows-Sicherheit.
Grünes Symbol
Ein grünes Häkchen bedeutet grundsätzlich, dass Windows aktuell kein dringendes Problem erkennt.
Achte jedoch zusätzlich auf den eingeblendeten Text. Die vollständige Aktualisierung wird sinngemäß mit folgender Meldung bestätigt:
Sicherer Start ist aktiviert und alle erforderlichen Zertifikatupdates wurden angewendet.
Microsoft weist ausdrücklich darauf hin, dass ein grünes Symbol allein nicht immer bestätigt, dass die Zertifikatsumstellung bereits vollständig abgeschlossen ist. Entscheidend ist die zusätzliche Statusmeldung.
Gelbes Symbol
Eine gelbe Warnung bedeutet, dass eine Empfehlung vorliegt. Häufig verwendet das Gerät noch eine ältere Startvertrauenskonfiguration.
Installiere in diesem Fall zunächst alle verfügbaren Windows-Updates und führe die geforderten Neustarts durch. Wird die Aktualisierung durch die Hardware oder Firmware blockiert, kann ein BIOS- beziehungsweise UEFI-Update des Geräteherstellers notwendig sein.
Rotes Symbol
Ein rotes Symbol verlangt deine Aufmerksamkeit. Es kann bedeuten, dass ein benötigtes Sicherheitsupdate für die Windows-Startumgebung mit der vorhandenen Konfiguration nicht installiert werden kann.
Eine genaue Erklärung der möglichen Meldungen findest du auf der Microsoft-Supportseite zum Secure-Boot-Zertifikatsstatus in Windows-Sicherheit.
Befolge in diesem Fall die Hinweise der Windows-Sicherheits-App. Bei einem älteren Computer solltest du außerdem auf der Supportseite des PC-, Notebook- oder Mainboard-Herstellers nach Informationen zu Secure Boot suchen.
Secure Boot zusätzlich mit PowerShell prüfen
Du kannst mit PowerShell kontrollieren, ob Secure Boot grundsätzlich aktiviert ist.
Klicke dazu mit der rechten Maustaste auf das Startsymbol und öffne Terminal (Administrator). Gib anschließend folgenden Befehl ein:
Confirm-SecureBootUEFIDas Ergebnis lässt sich einfach auswerten:
True: Secure Boot ist aktiviert.False: Der PC unterstützt Secure Boot, die Funktion ist aber deaktiviert.Cmdlet not supported on this platform: Der Computer unterstützt die Abfrage nicht oder Windows wurde im klassischen BIOS-Modus gestartet.- Eine Meldung über verweigerten Zugriff: Das Terminal wurde nicht mit Administratorrechten geöffnet.
Microsoft bestätigt, dass dieser Befehl lediglich überprüft, ob Secure Boot auf einem UEFI-System aktiviert ist.
Der Befehl zeigt dagegen nicht, ob alle neuen Secure-Boot-Zertifikate aus dem Jahr 2023 vollständig installiert wurden. Dafür solltest du die ausführliche Meldung in der Windows-Sicherheits-App verwenden.
Was tun, wenn Secure Boot deaktiviert ist?
Ein Ergebnis von False bedeutet nicht automatisch, dass du Secure Boot sofort im UEFI aktivieren solltest.
Prüfe zunächst, ob Windows tatsächlich im UEFI-Modus läuft:
- Drücke
Windows-Taste + R. - Gib
msinfo32ein. - Bestätige mit der Eingabetaste.
- Suche in der Systemübersicht nach BIOS-Modus.
Steht dort UEFI, kann der Computer Secure Boot normalerweise verwenden. Bei Vorgängerversion oder Legacy wurde Windows dagegen im älteren BIOS-Modus gestartet.
Auch der Partitionsstil des Systemlaufwerks spielt bei der Umstellung eine Rolle. Die Unterschiede und Zusammenhänge erkläre ich dir im Artikel MBR oder GPT: Welche Variante ist die richtige?.
Die nachträgliche Umstellung von Legacy auf UEFI ist nicht immer mit einem einfachen Schalter erledigt. Festplattenaufteilung, Bootmodus und Windows-Installation müssen dazu passen.
Prüfe außerdem vor Änderungen, ob BitLocker oder die Windows-Geräteverschlüsselung aktiv ist. Halte den Wiederherstellungsschlüssel bereit, bevor du Einstellungen im UEFI veränderst.
Was tun bei einer Warnung zum Zertifikatsupdate?
Zeigt Windows eine gelbe oder rote Warnung an, solltest du nicht sofort Registry-Befehle oder Skripte aus dem Internet ausprobieren.
Gehe stattdessen in dieser Reihenfolge vor:
- Installiere alle angebotenen Windows-Updates.
- Starte den Computer vollständig neu.
- Rufe Windows Update erneut auf.
- Kontrolliere den Status in der Windows-Sicherheit.
- Suche nach einem BIOS- oder UEFI-Update des Geräteherstellers.
- Befolge die Hinweise, die Windows direkt beim Secure-Boot-Status anzeigt.
Bei manchen Geräten verzögert Microsoft die Zertifikatsaktualisierung vorübergehend, weil noch ein bekanntes Kompatibilitätsproblem untersucht wird. In diesem Fall kann die Windows-Sicherheit anzeigen, dass momentan keine Aktion erforderlich ist und das Update später automatisch fortgesetzt wird.
Meldet Windows dagegen ausdrücklich eine Hardware- oder Firmwarebeschränkung, ist der Gerätehersteller der richtige Ansprechpartner.
Bevor du eine neue Firmware installierst, solltest du dich mit dem genauen Ablauf und den möglichen Risiken beschäftigen. Dabei hilft dir meine Anleitung zum BIOS-Update.
Was bedeutet es, wenn der SecureBoot-Ordner fehlt?
Nicht jeder Nutzer sieht den Ordner sofort. Mögliche Gründe sind ein unterschiedlicher Windows-Update-Stand, eine abweichende Windows-Installation oder die Tatsache, dass die entsprechenden Update-Dateien noch nicht eingespielt wurden.
Das Fehlen des Ordners bedeutet nicht automatisch, dass Secure Boot deaktiviert ist oder die Zertifikatsaktualisierung fehlgeschlagen ist.
Auch umgekehrt gilt: Ein vorhandener Ordner beweist nicht, dass alle Zertifikate erfolgreich aktualisiert wurden.
Für den tatsächlichen Sicherheitsstatus sind diese Punkte wichtiger:
- Secure Boot ist im UEFI aktiviert.
- Windows ist auf dem aktuellen Stand.
- Die Windows-Sicherheits-App meldet keine Probleme.
- Die benötigten Zertifikatupdates wurden laut Statusmeldung angewendet.
- Für das Gerät stehen keine ausstehenden Firmware-Updates bereit.
Der Ordner ist daher nur ein sichtbarer Bestandteil der aktuellen Windows-Updates, aber keine zuverlässige Statusanzeige.
Was passiert beim Ablauf der alten Zertifikate?
Das Ablaufdatum bedeutet nicht, dass dein Computer an einem bestimmten Tag plötzlich nicht mehr startet.
Microsoft erklärt, dass Geräte mit älteren Zertifikaten zunächst weiterhin funktionieren und normale Windows-Updates erhalten können. Langfristig kann der Schutz des Startvorgangs jedoch eingeschränkt sein.
Ohne die aktualisierten Zertifikate können möglicherweise keine neuen Sicherheitsverbesserungen für den Windows Boot Manager und andere frühe Startkomponenten mehr installiert werden. Außerdem sind spätere Kompatibilitätsprobleme mit neuer Firmware, Hardware oder Software möglich.
Deshalb solltest du Windows Update nicht dauerhaft deaktivieren und Warnungen zum Secure-Boot-Status nicht einfach ausblenden.
Für die meisten privaten Computer wird die Umstellung automatisch erledigt. Nur bei bestimmten älteren Geräten oder Firmwareproblemen kann zusätzliche Unterstützung durch den Hersteller notwendig werden.
Was solltest du als privater Windows-Nutzer tun?
Findest du den Ordner C:\Windows\SecureBoot, musst du normalerweise keine komplizierten Maßnahmen ergreifen.
Lasse den Ordner bestehen und führe die enthaltenen Skripte nicht manuell aus. Installiere alle Windows-Updates und kontrolliere anschließend den Bereich Gerätesicherheit > Sicherer Start in der Windows-Sicherheits-App.
Wird dort bestätigt, dass Secure Boot aktiviert ist und alle erforderlichen Zertifikatupdates angewendet wurden, besteht kein weiterer Handlungsbedarf.
Zeigt Windows noch eine ältere Startvertrauenskonfiguration an, solltest du dem System zunächst Zeit für die automatische Aktualisierung geben. Achte außerdem auf verfügbare Firmware-Updates deines Geräteherstellers.
Registry-Änderungen, manuelle Zertifikatsinstallationen oder die Ausführung der Rollout-Skripte sind auf einem gewöhnlichen privaten PC nicht erforderlich.
FAQ: Häufige Fragen zu C:\Windows\SecureBoot
Ist C:\Windows\SecureBoot ein offizieller Windows-Ordner?
Ja. Der Ordner wird durch aktuelle Windows-Updates angelegt und kann im Unterordner ExampleRolloutScripts offizielle Microsoft-Skripte für die Verwaltung von Secure-Boot-Zertifikaten enthalten.
Kann ich den SecureBoot-Ordner löschen?
Du solltest den Ordner nicht löschen. Er benötigt kaum Speicherplatz und gehört zum Windows-Systemverzeichnis. Ein sinnvoller Vorteil entsteht durch die Löschung nicht.
Muss ich die PowerShell-Skripte ausführen?
Nein. Die Skripte sind hauptsächlich für Administratoren und größere Unternehmensnetzwerke vorgesehen. Auf einem privaten PC werden die Zertifikatsupdates normalerweise automatisch über Windows Update verteilt.
Beweist der Ordner, dass die neuen Zertifikate installiert sind?
Nein. Der Ordner zeigt nur, dass Windows die Beispielskripte bereitgestellt hat. Ob die Zertifikatsaktualisierung abgeschlossen ist, erfährst du in der Windows-Sicherheits-App unter Gerätesicherheit > Sicherer Start.
Ist mein Computer gefährdet, wenn der Ordner fehlt?
Nicht automatisch. Die Existenz des Ordners ist keine Voraussetzung dafür, dass Secure Boot funktioniert. Entscheidend sind der Update-Stand, die UEFI-Konfiguration und die angezeigte Statusmeldung.
Was bedeutet True bei Confirm-SecureBootUEFI?
True bestätigt, dass Secure Boot aktiviert ist. Der Befehl bestätigt aber nicht, dass bereits alle neuen Zertifikate von 2023 installiert wurden.
Warum zeigt Windows eine gelbe Warnung an?
Eine gelbe Warnung weist auf eine Empfehlung oder ein Problem hin, das die automatische Aktualisierung behindern kann. Installiere zunächst alle Windows-Updates und prüfe, ob ein Firmware-Update des Herstellers verfügbar ist.
Wird Windows nach Ablauf der alten Zertifikate nicht mehr starten?
Ein Computer hört nicht automatisch auf zu funktionieren. Ohne neue Zertifikate kann er langfristig jedoch wichtige Sicherheitsverbesserungen für den Startvorgang nicht mehr erhalten.
Fazit: Den SecureBoot-Ordner einfach bestehen lassen
Der Ordner C:\Windows\SecureBoot sieht zunächst ungewöhnlich aus, ist aber normalerweise ein legitimer Bestandteil aktueller Windows-Updates. Im Unterordner ExampleRolloutScripts stellt Microsoft verschiedene PowerShell-Skripte für die Prüfung und Verwaltung der Secure-Boot-Zertifikate bereit.
Diese Werkzeuge richten sich hauptsächlich an Administratoren. Als privater Nutzer musst du sie weder öffnen noch ausführen. Auch das Löschen des Ordners ist nicht notwendig.
Wichtiger ist der tatsächliche Status deines Computers. Öffne dazu die Windows-Sicherheits-App und kontrolliere unter Gerätesicherheit > Sicherer Start, ob Secure Boot aktiviert ist und alle erforderlichen Zertifikatupdates angewendet wurden.
Zeigt Windows dort keine Warnung an, kannst du den neuen Ordner einfach ignorieren.
