Gilt für
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Ursprüngliches Veröffentlichungsdatum: 14. Oktober 2025

KB-ID: 5068197

Dieser Artikel enthält Anleitungen für: 

  • Organisationen, die über eine eigene IT-Abteilung verfügen, die Windows-Geräte und -Updates verwaltet.

Hinweis: Wenn Sie eine Person sind, die ein persönliches Windows-Gerät besitzt, lesen Sie den Artikel Windows-Geräte für Private Benutzer, Unternehmen und Schulen mit von Microsoft verwalteten Updates

Verfügbarkeit dieser Unterstützung:  

  • Enthalten in Windows-Updates, die am und nach dem 28. Oktober 2025 für Windows 11, Version 24H2 und Windows 11, Version 23H2 veröffentlicht wurden.

  • Enthalten in Updates, die am und nach dem 11. November 2025 für Windows 10, Version 21H2, Windows 10, Version 22H2 und Windows Server 2022 veröffentlicht wurden.

  • Enthalten in Updates, die im ersten Quartal 2026 für andere Versionen von Windows veröffentlicht wurden.

Datum ändern

Beschreibung ändern

20. Februar 2026

  • Der neue Abschnitt "Überprüfen Sie zuerst, ob Zertifikate für den sicheren Start auf Ihrer Plattform aktualisiert werden" hinzugefügt.

Montag, 16. Dezember 2025

  • Die Befehlszeile im Abschnitt "Anwenden der Konfiguration für den sicheren Start" wurde korrigiert, da sie falsche Zeichen enthielt.To: WinCsFlags.exe /apply –-key "F33E0C8E002"

  • Die Befehlszeile im Abschnitt "Überwachen der Konfiguration für den sicheren Start" wurde korrigiert, da sie ein Leerzeichen am Ende der Zeile enthielt.To: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • Im Abschnitt "Verfügbarkeit dieser Unterstützung" wurde hinzugefügt, dass Windows 10, Die Versionen 21H2 und 22H2 und Windows Server 2022 in den Versionen vom und nach dem 11. November 2025 hinzugefügt werden. Darüber hinaus wird unterstützung für andere Versionen von Windows in Updates enthalten sein, die im ersten Quartal 2026 veröffentlicht wurden.

Montag, 11. Dezember 2025

  • Schritt 3 des Abschnitts "Überwachen der Konfiguration für den sicheren Start" geändert:Von: Öffnen Sie eine PowerShell-Eingabeaufforderung als Administrator, und führen Sie dann den folgenden Befehl aus: Um schnell zu überprüfen, ob das Update für die Datenbank für den sicheren Start erfolgreich war, öffnen Sie eine PowerShell-Eingabeaufforderung als Administrator, und führen Sie dann den folgenden Befehl aus:

  • Schritt 4 zum Abschnitt "Überwachen der Konfiguration für den sicheren Start" hinzugefügt: Um zu überprüfen, ob alle Zertifikate aktualisiert wurden, lesen Sie die Informationen unter Secure Boot Certificate Updates: Leitfaden für IT-Experten und Organisationen, und befolgen Sie die Anleitung im Abschnitt "Überwachungsereignisprotokolle". In diesem Abschnitt werden die Ereignis-ID 1801 und die Ereignis-ID 1808 aufgelistet. Dies ist eine vollständige Möglichkeit, die Aktualisierung der Zertifikate zu überwachen.

Secure Boot CLI mit Windows Configuration System (WinCS)

Ziel: Domänenadministratoren können alternativ das Windows-Konfigurationssystem (Windows Configuration System, WinCS) verwenden, das mit Windows-Betriebssystemupdates veröffentlicht wurde, um die Updates für den sicheren Start auf allen in die Domäne eingebundenen Windows-Clients und -Servern bereitzustellen. Es besteht aus einem Befehlszeilenschnittstellen-Hilfsprogramm (CLI) zum lokalen Abfragen und Anwenden von Konfigurationen für den sicheren Start auf einem Computer.  

WinCS arbeitet mit einem Konfigurationsschlüssel, der mit dem Befehlszeilenprogramm verwendet werden kann, um den Konfigurationsstatus für den sicheren Start auf dem Computer zu ändern. Nach der Anwendung führt der nächste geplante sichere Start Aktionen gemäß dem Schlüssel aus. 

Überprüfen Sie zunächst, ob Zertifikate für den sicheren Start auf Ihrer Plattform aktualisiert werden. 

Sie können die status des sicheren Starts mithilfe des PowerShell-Befehls überprüfen:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status

Wenn der Status "Aktualisiert" anzeigt, müssen Sie WinCS nicht ausführen und können die folgenden Schritte überspringen.

Wenn die Zertifikate nicht auf 2023-Versionen aktualisiert werden, gelten die folgenden zusätzlichen Schritte.

Von WinCS unterstützte Plattformen

Das WinCS-Befehlszeilenprogramm wird in Windows 10, Version 21H2, Windows 10, Version 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, unterstützt. Windows 11, Version 23H2, Windows 11, Version 24H2, Windows 11, Version 25H2.

Dieses Hilfsprogramm ist in den Windows-Updates verfügbar, die am und nach dem 28. Oktober 2025 für Windows 11 Version 24H2 und Windows 11 Version 23H2 veröffentlicht wurden.

Dieses Hilfsprogramm ist auch in den Windows-Updates verfügbar, die am und nach dem 11. November 2025 für Windows 10, Version 21H2, Windows 10, Version 22H2 und Windows Server 2022 veröffentlicht wurden.

Für Windows Server 2019 wird dieses Hilfsprogramm in den Windows-Updates ausgeliefert, die am und nach dem 13. Januar 2026 veröffentlicht wurden. 

Und für Windows Server 2016, Windows 10 1607, wird dieses Hilfsprogramm in den Windows-Updates ausgeliefert, die am und nach dem 10. Februar 2026 veröffentlicht wurden.

Hinweis: Wir arbeiten daran, diese WinCS-Unterstützung auf Windows 10 Plattformen zu bringen. Wir werden diesen Artikel aktualisieren, sobald der Support aktiviert ist. 

Hier ist der Featureschlüssel für die Konfiguration des sicheren Starts, den Domänenadministratoren abfragen und über WinCS auf Geräte anwenden. 

Featurename

WinCS-Taste

Beschreibung

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Die Aktivierung dieses Schlüssels ermöglicht die Installation der folgenden von Microsoft bereitgestellten neuen Zertifikate für den sicheren Start auf Ihrem Gerät. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

WinCS-Schlüsselwert: 

  • F33E0C8E002 – Konfigurationsstatus "Sicherer Start" = Aktiviert

Abfragen der Konfiguration für den sicheren Start 

Die Konfiguration des sicheren Starts kann abgefragt werden, indem Sie eine Eingabeaufforderung als Administrator öffnen und den folgenden Befehl ausführen:

WinCsFlags.exe /query --key F33E0C8E002

Dadurch werden die folgenden Informationen (auf einem sauber Computer) zurückgegeben: 

Flag: F33E0C8E 

  Aktuelle Konfiguration: F33E0C8E001

  Status: Deaktiviert

  Ausstehende Konfiguration: Keine 

  Ausstehende Aktion: Keine  

  FwLink: https://aka.ms/getsecureboot 

  Verfügbare Konfigurationen: 

    F33E0C8E002 

    F33E0C8E001 

Beachten Sie, dass die aktuelle Konfiguration auf einem Gerät F33E0C8E001 ist, was bedeutet, dass sich der Schlüssel für den sicheren Start im Zustand Deaktiviert befindet.  

Anwenden der Konfiguration für den sicheren Start  

Die Konfiguration für den sicheren Start kann angewendet werden, indem Sie eine Eingabeaufforderung als Administrator öffnen und diesen Befehl ausführen:

WinCsFlags.exe /apply --key "F33E0C8E002"

Eine erfolgreiche Anwendung des Schlüssels sollte die folgenden Informationen zurückgeben: 

Flag: F33E0C8E 

  Aktuelle Konfiguration: F33E0C8E002

  Status: Aktiviert

  Ausstehende Konfiguration: Keine 

  Ausstehende Aktion: Keine

  FwLink: https://aka.ms/getsecureboot 

 Verfügbare Konfigurationen: 

    F33E0C8E002 

    F33E0C8E001  

Überwachen der Konfiguration für den sicheren Start  

Um den Status der Konfiguration für den sicheren Start später zu ermitteln, können Sie den ersten Abfragebefehl erneut ausführen, indem Sie eine Eingabeaufforderung als Administrator öffnen:

WinCsFlags.exe /query --key F33E0C8E002

Die zurückgegebenen Informationen ähneln den folgenden, je nach Status des Flags: 

Flag: F33E0C8E 

  Aktuelle Konfiguration: F33E0C8E002

  Status: Aktiviert

  Ausstehende Konfiguration: Keine 

  Ausstehende Aktion: Keine

  FwLink: https://aka.ms/getsecureboot 

  Verfügbare Konfigurationen: 

    F33E0C8E002 

    F33E0C8E001  

Beachten Sie, dass der Status des Schlüssels jetzt Aktiviert ist und die aktuelle Konfiguration F33E0C8E002 ist. 

Hinweis: Das Anwenden des Schlüssels für den sicheren Start über WinCS bedeutet nicht, dass der Installationsvorgang des Zertifikats für den sicheren Start gestartet oder abgeschlossen wurde.  Es gibt lediglich an, dass der Computer mit Updates für den sicheren Start fortfährt, wenn der Wartungstask für den sicheren Start (TPMTasks) bei der nächsten verfügbaren Gelegenheit auf diesem Computer ausgeführt wird. Wenn TPMTasks auf diesem Computer ausgeführt wird, erkennt es 0x5944 und führt das Update aus. Standardmäßig wird der geplante Task Secure-Boot-Update alle 12 Stunden ausgeführt, um solche Secure Boot-Updateflags zu verarbeiten. Administratoren können auch beschleunigen, indem sie die Aufgabe manuell ausführen oder bei Bedarf neu starten.  

Sie können den Wartungstask für den sicheren Start auch manuell auslösen, indem Sie die folgenden Schritte ausführen: 

  1. Öffnen Sie eine PowerShell-Eingabeaufforderung als Administrator, und führen Sie dann den folgenden Befehl aus:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Starten Sie das Gerät zweimal neu, nachdem Sie den Befehl ausgeführt haben, um zu bestätigen, dass das Gerät mit der aktualisierten Datenbank der vertrauenswürdigen Signaturen (DB) gestartet wird.

  3. Um schnell zu überprüfen, ob das Update für die Datenbank für den sicheren Start erfolgreich war, öffnen Sie eine PowerShell-Eingabeaufforderung als Administrator, und führen Sie dann den folgenden Befehl aus: 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Sicheres Starten

    Wenn der Befehl True zurückgibt, war das Update erfolgreich.Bei Fehlern beim Anwenden des Datenbankupdates finden Sie weitere Informationen im Artikel KB5016061: Behandeln von anfälligen und widerrufenen Start-Managern.

    Hinweis: Dadurch werden nur eine Zertifizierungsstelle und nicht alle Zertifizierungsstellen überprüft.

  4. Um zu überprüfen, ob alle Zertifikate aktualisiert wurden, lesen Sie die Informationen unter Secure Boot Certificate Updates: Leitfaden für IT-Experten und Organisationen, und befolgen Sie die Anleitung im Abschnitt "Überwachungsereignisprotokolle". In diesem Abschnitt werden die Ereignis-ID: 1801 und die Ereignis-ID 1808 aufgelistet. Dies ist eine umfassendere Möglichkeit, die Aktualisierung der Zertifikate zu überwachen.

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter