Gilt für
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Ursprüngliches Veröffentlichungsdatum: 14. Oktober 2025

KB-ID: 5068202

Dieser Artikel enthält Anleitungen für:  

  • Organisationen mit IT-verwalteten Windows-Geräten und -Updates.

Verfügbarkeit dieser Unterstützung:  

  • Die Registrierungsschlüssel AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut und MicrosoftUpdateManagedOptIn sind in Updates enthalten, die an oder nach den folgenden Terminen veröffentlicht werden:

    • 14. Oktober 2025: Unterstützte Versionen sind Windows 10, Version 22H2 und neuere Versionen (einschließlich 21H2 LTSC), alle unterstützten Versionen von Windows 11 sowie Windows Server 2022 und höher.

    • 11. November 2025: Für Versionen von Windows, die noch unterstützt werden.

Inhalt

Einführung

In diesem Dokument wird die Unterstützung für die Bereitstellung, Verwaltung und Überwachung der Zertifikatupdates für den sicheren Start mithilfe von Windows-Registrierungsschlüsseln beschrieben. Die Schlüssel bestehen aus folgenden Elementen: 

  • Ein Schlüssel, um die Bereitstellung der Zertifikate und des Start-Managers auf dem Gerät auszulösen.

  • Zwei Schlüssel zum Überwachen status der Bereitstellung.

  • Zwei Schlüssel zum Verwalten der Anmelde-/Abmeldeeinstellungen für die beiden verfügbaren Bereitstellungsassistenten.

Diese Registrierungsschlüssel können manuell auf dem Gerät oder remote über die verfügbare Flottenverwaltungssoftware festgelegt werden. Andere Bereitstellungsmethoden wie Gruppenrichtlinie, Intune und WinCS werden im Artikel Windows-Geräte für Unternehmen und Organisationen mit IT-verwalteten Updates beschrieben.  

Registrierungsschlüssel für den sicheren Start

In diesem Abschnitt

Registrierungsschlüssel

Alle in diesem Dokument beschriebenen Registrierungsschlüssel für den sicheren Start befinden sich unter diesem Registrierungspfad: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

In der folgenden Tabelle werden die einzelnen Registrierungswerte beschrieben. 

Registrierungswert

Typ

Beschreibung & Verwendung

AvailableUpdates

REG_DWORD (Bitmaske)

Aktualisieren von Triggerflags.

Steuert, welche Updateaktionen für den sicheren Start auf dem Gerät ausgeführt werden sollen. Wenn Sie hier das entsprechende Bitfeld festlegen, wird die Bereitstellung neuer Zertifikate für den sicheren Start und zugehöriger Updates initiiert. Für die Unternehmensbereitstellung sollte dies auf 0x5944 (hexadezimiert) festgelegt werden– ein Wert, der alle relevanten Updates ermöglicht (Hinzufügen der neuen 2023-Zertifizierungsstellenzertifikate, Aktualisieren des KEK und Installieren des neuen Start-Managers). 

Einstellungen 

  • 0 oder nicht festgelegt: Es wird keine Aktualisierung des Schlüssels für den sicheren Start ausgeführt.

  • 0x5944 : Stellen Sie alle erforderlichen Zertifikate bereit, und aktualisieren Sie den PCA2023 signierten Start-Manager.

UEFICA2023Status

REG_SZ (Zeichenfolge)

Bereitstellungs-status-Indikator.

Gibt den aktuellen Status des Schlüsselupdates für den sicheren Start auf dem Gerät an. Es wird auf einen der folgenden Textwerte festgelegt:

  • NotStarted:Das Update wurde noch nicht ausgeführt.

  • InProgress:Das Update wird aktiv ausgeführt.

  • Aktualisierte: Das Update wurde erfolgreich abgeschlossen.

Anfänglich lautet die status NotStarted. Es ändert sich in InProgress, sobald das Update beginnt, und schließlich in Aktualisiert, wenn alle neuen Schlüssel und der neue Start-Manager bereitgestellt wurden. Wenn ein Fehler auftritt, wird der Registrierungswert UEFICA2023Error auf einen Code ungleich Null festgelegt.

UEFICA2023Fehler

REG_DWORD (Code)

Fehlercode (falls vorhanden).

Dieser Wert bleibt bei Erfolg 0 . Wenn beim Updatevorgang ein Fehler auftritt, wird UEFICA2023Error auf einen Fehlercode ungleich Null festgelegt, der dem ersten aufgetretenen Fehler entspricht. Ein Fehler hier deutet darauf hin, dass das Update für den sicheren Start nicht vollständig erfolgreich war und möglicherweise eine Untersuchung oder Korrektur auf diesem Gerät erforderlich ist.  

Wenn beispielsweise beim Aktualisieren der Datenbank (Datenbank mit vertrauenswürdigen Signaturen) aufgrund eines Firmwareproblems ein Fehler aufgetreten ist, zeigt dieser Registrierungsschlüssel möglicherweise einen Fehlercode an, der einem Ereignisprotokoll oder einer dokumentierten Fehler-ID in Updateereignissen für sichere Startdatenbank und DBX-Variablen zugeordnet werden kann. 

HighConfidenceOptOut

REG_DWORD

Eine Deaktivierungsoption.

Für Unternehmen, die Buckets mit hoher Zuverlässigkeit deaktivieren möchten, die automatisch als Teil der LCU angewendet werden.

Sie können diesen Schlüssel auf einen Wert ungleich 0 festlegen, um die Buckets mit hoher Zuverlässigkeit zu deaktivieren. 

Einstellungen 

  • 0 oder schlüssel ist nicht vorhanden – Opt-in

  • 1 – Anmeldung

MicrosoftUpdateManagedOptIn

REG_DWORD

Eine Opt-In-Option.

Für Unternehmen, die sich für die Wartung des kontrollierten Featurerollouts (Controlled Feature Rollout, CFR) entscheiden möchten, auch bekannt als Von Microsoft verwaltet.

Zusätzlich zum Festlegen dieses Schlüssels können Sie das Senden der erforderlichen Diagnosedaten zulassen (siehe Konfigurieren von Windows-Diagnosedaten in Ihrem organization). 

Einstellungen

  • 0 oder Schlüssel ist nicht vorhanden – Abmelden

  • 1 – Anmeldung

Wie diese Schlüssel zusammenarbeiten

Der IT-Administrator konfiguriert den Registrierungswert AvailableUpdates auf 0x5944, wodurch Windows signalisiert wird, das Update und die Installation des Schlüssels für den sicheren Start auf dem Gerät auszuführen.

Während der Prozess ausgeführt wird, aktualisiert das System UEFICA2023Status von NotStarted in InProgress und schließlich bei Erfolg auf Aktualisiert . Da jedes Bit in 0x5944 erfolgreich verarbeitet wird, wird es gelöscht.

Wenn ein Schritt fehlschlägt, wird ein Fehlercode in UEFICA2023Error aufgezeichnet (und die status bleibt InProgress).

Dieser Mechanismus bietet Administratoren eine klare Möglichkeit, den Rollout pro Gerät auszulösen und nachzuverfolgen. 

Bereitstellung mithilfe von Registrierungsschlüsseln 

Die Bereitstellung in einer Gruppe von Geräten umfasst die folgenden Schritte: 

  1. Legen Sie den Registrierungswert AvailableUpdates auf 0x5944 auf jedem der zu aktualisierenden Geräte fest.

  2. Überwachen Sie die Registrierungsschlüssel UEFICA2023Status und UEFICA2023Error , um festzustellen, dass die Geräte Fortschritte machen. Denken Sie daran, dass die Aufgabe, die diese Updates verarbeitet, einmal alle 12 Stunden ausgeführt wird. Beachten Sie, dass das Start-Manager-Update möglicherweise erst nach einem Neustart erfolgt.

  3. Untersuchen Sie Probleme, wenn sie auftreten. Wenn UEFICA2023Error auf einem Gerät ungleich Null ist, können Sie das Ereignisprotokoll auf Ereignisse im Zusammenhang mit diesem Problem überprüfen. Eine vollständige Liste der Ereignisse für den sicheren Start finden Sie unter Updateereignisse für DB- und DBX-Variablen für den sicheren Start.

Hinweis zu Neustarts: Es kann zwar ein Neustart erforderlich sein, um den Vorgang abzuschließen, das Initiieren der Bereitstellung der Updates für den sicheren Start führt jedoch nicht zu einem Neustart. Wenn ein Neustart erforderlich ist, basiert die Bereitstellung für den sicheren Start auf Neustarts, die im normalen Verlauf der Verwendung des Geräts ausgeführt werden. 

Gerätetests mithilfe von Registrierungsschlüsseln 

Beim Testen einzelner Geräte, um sicherzustellen, dass die Geräte die Updates ordnungsgemäß verarbeiten, können die Registrierungsschlüssel eine einfache Möglichkeit zum Testen sein. 

Führen Sie zum Testen jeden der folgenden Befehle getrennt von einer PowerShell-Administratoreingabeaufforderung aus: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Der erste Befehl initiiert die Zertifikat- und Start-Manager-Bereitstellung auf dem Gerät. Der zweite Befehl bewirkt, dass die Aufgabe, die den Registrierungsschlüssel AvailableUpdates verarbeitet, sofort ausgeführt wird. Normalerweise wird der Task alle 12 Stunden ausgeführt. 

Sie können die Ergebnisse ermitteln, indem Sie die Registrierungsschlüssel UEFICA2023Status und UEFICA2023Error sowie die Ereignisprotokolle beobachten, wie unter Updateereignisse für sichere Startdatenbank und DBX-Variablen beschrieben. 

Abmelden und Abmelden für Hilfen 

Die Registrierungsschlüssel HighConfidenceOptOut und MicrosoftUpdateManagedOptIn können verwendet werden, um die beiden Bereitstellungshilfen zu verwalten, die unter Windows-Geräte mit IT-verwalteten Updates beschrieben sind. 

  • Der Registrierungsschlüssel HighConfidenceOptOut steuert das automatische Update von Geräten über die kumulativen Updates. Für Die Geräte, auf denen Microsoft beobachtet hat, dass bestimmte Geräte erfolgreich aktualisiert wurden, werden sie als Geräte mit hoher Zuverlässigkeit betrachtet, und die Updates des Zertifikats für den sicheren Start werden automatisch durchgeführt. Die Standardeinstellung für diese aktiviert.

  • Der Registrierungsschlüssel MicrosoftUpdateManagedOptIn ermöglicht ES IT-Abteilungen, sich für die automatische Bereitstellung zu entscheiden, die von Microsoft verwaltet wird. Diese Einstellung ist standardmäßig deaktiviert und wird auf 1 opts-in festgelegt. Diese Einstellung erfordert auch, dass das Gerät optionale Diagnosedaten sendet.

Unterstützte Versionen von Windows

In dieser Tabelle wird die Unterstützung anhand des Registrierungsschlüssels weiter erläutert. 

Key 

Unterstützte Versionen von Windows 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Fehler 

Alle Versionen von Windows, die den sicheren Start unterstützen (Windows Server 2012 und höhere Windows-Versionen).  

Anmerkung: Obwohl die Zuverlässigkeitsdaten auf Windows 10 Versionen LTSC, 22H2 und höher von Windows gesammelt werden, können sie auf Geräte angewendet werden, die unter früheren Versionen von Windows ausgeführt werden.    

  • Windows 10, Versionen LTSC und 22H2

  • Windows 11, Versionen 22H2 und 23H2

  • Windows 11, Version 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Fehlerereignisse beim sicheren Start

​​​​​​​​​​​​​​Fehlerereignisse verfügen über eine wichtige Berichtsfunktion, um über den Status des sicheren Starts und den Fortschritt zu informieren.  Informationen zu den Fehlerereignissen finden Sie unter Updateereignisse für sichere Startdatenbank und DBX-Variablen. Die Fehlerereignisse werden mit zusätzlichen Ereignisinformationen für den sicheren Start aktualisiert. 

Zusätzliche Komponentenänderungen für den sicheren Start 

In diesem Abschnitt

TPMTasks-Änderungen 

Ändern Sie TPMTasks, um zu bestimmen, ob der Zustand des Geräts über die aktualisierten Zertifikate für den sicheren Start verfügt. Derzeit kann diese Bestimmung jedoch nur dann vorgenommen werden, wenn CFR einen Computer für die Aktualisierung auswählt. Diese Bestimmung und nachfolgende Protokollierung sollten unabhängig von der CFR in jeder Startsitzung erfolgen. Wenn die Zertifikate für den sicheren Start nicht vollständig auf dem neuesten Stand sind, geben sie die beiden oben beschriebenen Fehlerereignisse aus. Wenn die Zertifikate auf dem neuesten Stand sind, geben sie das Informationsereignis aus. Die Zertifikate für den sicheren Start, die überprüft werden, sind:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 und Microsoft Option ROM UEFI CA 2023: Diese beiden Zertifizierungsstellen dürfen nur vorhanden sein, wenn die Microsoft UEFI CA 2011 vorhanden ist. Wenn die Microsoft UEFI CA 2011 nicht vorhanden ist, ist keine Überprüfung erforderlich.

  • Microsoft Corporation KEK 2K CA 2023

Computermetadatenereignis 

Dieses Ereignis erfasst die Computermetadaten und gibt das folgende Ereignis aus:

  • BucketId + Konfidenzbewertungsereignis   

Dieses Ereignis verwendet die Metadaten des Computers, um den entsprechenden Eintrag in der Datenbank der Computer (Bucketeintrag) zu finden. Der Computer formatiert und gibt ein Ereignis mit diesen Daten zusammen mit allen Konfidenzinformationen zum Bucket aus. ​​​​​​​ 

Hochsichere Geräteunterstützung 

Für Geräte in Buckets mit hoher Zuverlässigkeit werden die Zertifikate für den sicheren Start und der 2023 signierte Start-Manager automatisch angewendet.   

Das Update wird zur gleichen Zeit ausgelöst, zu der die beiden Fehlerereignisse generiert werden, und das BucketId + Confidence Rating-Ereignis enthält eine hohe Zuverlässigkeitsstufe.   

Abmelden

Für Kunden, die sich abmelden möchten, ist ein neuer Registrierungsschlüssel wie folgt verfügbar:   

Registrierungspfad

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Tastenname

HighConfidenceOptOut

Schlüsseltyp

DWORD

DWORD-Wert

0 oder der Schlüssel ist nicht vorhanden– Die Unterstützung für hohe Vertrauenswürdigkeit ist aktiviert.    

1 – Unterstützung für hohe Zuverlässigkeit ist deaktiviert   

Jeder andere Wert ist nicht definiert.   

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter