Gilt für
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Ursprüngliches Veröffentlichungsdatum: 30. Oktober 2025

KB-ID: 5068198

Dieser Artikel enthält Anleitungen für: 

  • Organisationen, die über eine eigene IT-Abteilung verfügen, die Windows-Geräte und -Updates verwaltet.

Hinweis: Wenn Sie eine Person sind, die ein persönliches Windows-Gerät besitzt, lesen Sie den Artikel Windows-Geräte für Private Benutzer, Unternehmen und Schulen mit von Microsoft verwalteten Updates

Verfügbarkeit dieser Unterstützung

  • 14. Oktober 2025: Unterstützte Versionen sind Windows 10, Version 22H2 und neuere Versionen (einschließlich 21H2 LTSC), alle unterstützten Versionen von Windows 11 sowie Windows Server 2022 und höher.

  • 11. November 2025: Für Versionen von Windows, die noch unterstützt werden.

Datum ändern

Beschreibung ändern

11. November 2025

  • Der Clientlink wurde unter "Ressourcen" von "https://www.microsoft.com/download/details.aspx?id=108394" auf "www.microsoft.com/en-us/download/details.aspx?id=108428" aktualisiert.

  • Veröffentlichungsdatum wurde vom 29.09.2025 in den 27.10.2025 geändert

26. November 2025

  • Unter "Automatische Zertifikatbereitstellung über Updates" wurde eine neue Notiz hinzugefügt.

  • Die Definitionen von Aktiviert und Deaktiviert unter "Automatische Zertifikatbereitstellung über Updates" wurden ausgetauscht.

In diesem Artikel:

Einführung

In diesem Dokument wird die Unterstützung für die Bereitstellung, Verwaltung und Überwachung der Zertifikatupdates für den sicheren Start mithilfe des Gruppenrichtlinie-Objekts beschrieben. Die Einstellungen bestehen aus: 

  • Die Möglichkeit, die Bereitstellung auf einem Gerät auszulösen

  • Eine Einstellung zum Abonnieren/Deaktivieren von Buckets mit hoher Zuverlässigkeit

  • Eine Einstellung zum Abonnieren/Deaktivieren der Verwaltung von Updates durch Microsoft

konfigurationsmethode für Gruppenrichtlinie Object (GPO)

Diese Methode bietet eine einfache Einstellung für den sicheren Start Gruppenrichtlinie, die Domänenadministratoren festlegen können, um Updates für den sicheren Start auf allen in die Domäne eingebundenen Windows-Clients und -Servern bereitzustellen. Darüber hinaus können zwei Unterstützungsassistenten für den sicheren Start mit Den Einstellungen zum Aktivieren/Deaktivieren verwaltet werden. 

Informationen zu den Updates, die die Richtlinie für die Bereitstellung von Zertifikatupdates für den sicheren Start enthalten, finden Sie weiter unten im Abschnitt Ressourcen.

Diese Richtlinie finden Sie unter dem folgenden Pfad in der benutzeroberfläche Gruppenrichtlinie: 

           Computerkonfiguration >Administrative Vorlagen >Windows-Komponenten >sicherer Start 

Wichtig: Updates für den sicheren Start hängen von der Gerätefirmware ab, und bei einigen Geräten treten möglicherweise Kompatibilitätsprobleme auf. So stellen Sie einen sicheren Rollout sicher:

  1. Überprüfen Sie die Updaterichtlinie auf mindestens einem repräsentativen Gerät für jeden Gerätetyp in Ihrem organization.

  2. Vergewissern Sie sich, dass Zertifikate für den sicheren Start erfolgreich auf die UEFI-Datenbank und den KEK angewendet wurden. Ausführliche Schritte finden Sie unter Updates des Zertifikats für den sicheren Start: Leitfaden für IT-Experten und Organisationen.

  3. Gruppieren Sie nach der Überprüfung Geräte nach Buckethash, und wenden Sie die Richtlinie für einen kontrollierten Rollout auf diese Geräte an.

Verfügbare Konfigurationseinstellungen 

Image

Die drei verfügbaren Einstellungen für die Bereitstellung von Zertifikaten für den sicheren Start werden hier beschrieben. Diese Einstellungen entsprechen den Registrierungsschlüsseln, die unter Registrierungsschlüsselupdates für den sicheren Start: Windows-Geräte mit von der IT verwalteten Updates beschrieben werden. 

Aktivieren der Zertifikatbereitstellung für den sicheren Start 

Gruppenrichtlinie Einstellungsname: Aktivieren der Zertifikatbereitstellung für den sicheren Start 

images

Beschreibung: Diese Richtlinie steuert, ob Windows den Zertifikatbereitstellungsprozess für den sicheren Start auf Geräten initiiert. 

  • Aktiviert: Windows beginnt automatisch mit der Bereitstellung aktualisierter Zertifikate für den sicheren Start, sobald der Task "Sicherer Start" ausgeführt wird.

  • Deaktiviert: Windows stellt Zertifikate nicht automatisch bereit.

  • Nicht konfiguriert: Es gilt das Standardverhalten (keine automatische Bereitstellung).

Hinweise: 

  • Die Aufgabe, die diese Einstellung verarbeitet, wird alle 12 Stunden ausgeführt. Einige Updates erfordern möglicherweise einen Neustart, um sicher abgeschlossen zu werden.

  • Sobald Zertifikate auf Firmware angewendet wurden, können sie nicht aus Windows entfernt werden. Das Löschen von Zertifikaten muss über die Firmwareschnittstelle erfolgen.

  • Diese Einstellung wird als Präferenz betrachtet. Wenn das Gruppenrichtlinienobjekt entfernt wird, bleibt der Registrierungswert erhalten.

  • Entspricht dem Registrierungsschlüssel AvailableUpdates.

Automatische Zertifikatbereitstellung über Updates 

Gruppenrichtlinie Einstellungsname: Automatische Zertifikatbereitstellung über Updates 

Bilder.

Beschreibung: Diese Richtlinie steuert, ob Zertifikatupdates für den sicheren Start automatisch über monatliche Windows-Sicherheitsupdates und nicht sicherheitsrelevante Updates angewendet werden. Geräte, die von Microsoft für die Verarbeitung von Variablenupdates für den sicheren Start überprüft wurden, erhalten diese Updates im Rahmen der kumulativen Wartung und wenden sie automatisch an. 

Hinweis: Wenn Sie diese Richtlinie aktivieren, wird die automatische Zertifikatbereitstellung über Updates deaktiviert. Dies entspricht dem Festlegen des Registrierungsschlüssels HighConfidenceOptOut auf 1.Wenn Sie diese Richtlinie deaktivieren, wird die automatische Zertifikatbereitstellung über Updates aktiviert. Dies entspricht dem Festlegen von HighConfidenceOptOut auf 0.

  • Aktiviert: Die automatische Bereitstellung ist blockiert. Updates müssen manuell verwaltet werden.

  • Deaktiviert: Geräte mit überprüften Updateergebnissen erhalten während der Wartung automatisch Zertifikatupdates.

  • Nicht konfiguriert: Die automatische Bereitstellung erfolgt standardmäßig.

Hinweise: 

  • Die beabsichtigten Geräte haben bestätigt, dass Updates erfolgreich verarbeitet werden.

  • Konfigurieren Sie diese Richtlinie, um sich für die automatische Bereitstellung zu entscheiden.

  • Entspricht dem Registrierungsschlüssel HighConfidenceOptOut.

Zertifikatbereitstellung über kontrolliertes Featurerollout 

Gruppenrichtlinie Einstellungsname: Zertifikatbereitstellung über kontrolliertes Featurerollout 

Bild

Beschreibung: Diese Richtlinie ermöglicht Es Unternehmen, an einem kontrollierten Featurerollout des Von Microsoft verwalteten Zertifikatupdates für den sicheren Start teilzunehmen.

  • Aktiviert: Microsoft unterstützt Sie bei der Bereitstellung von Zertifikaten auf Geräten, die für den Rollout registriert sind.

  • Deaktiviert oder Nicht konfiguriert: Keine Teilnahme am kontrollierten Rollout.

Anforderungen

Ressourcen

Weitere Informationen zu den Registrierungsschlüsseln UEFICA2023Status und UEFICA2023Fehler zum Überwachen der Geräteergebnisse finden Sie unter Registrierungsschlüsselupdates für den sicheren Start: Windows-Geräte mit IT-verwalteten Updates

Informationen zu Ereignissen, die hilfreich sind, um die status von Geräten, Geräteattributen und Gerätebucket-IDs zu verstehen, finden Sie unter Updateereignisse für Sichere Startdatenbanken und DBX-Variablen. Achten Sie besonders auf die Ereignisse 1801 und 1808, die auf der Ereignisseite beschrieben sind. 

Verwenden Sie für die Gruppenrichtlinie MSIs und die Referenztabelle für GP-Einstellungen die folgenden Links, oder stellen Sie sicher, dass die von Ihnen verwendeten administrativen Vorlagen zu oder nach den in der Tabelle aufgeführten Datumsangaben veröffentlicht werden. 

Plattform

Veröffentlichte MSI

Referenztabelle für veröffentlichte GP-Einstellungen

Client

Laden Sie administrative Vorlagen (.admx) für Windows 11 2025 Update (25H2) – V2.0 von der offiziellen Microsoft-Website herunter.

Veröffentlicht: 27.10.2025

Laden Sie Gruppenrichtlinie Referenztabelle für Windows 11 2025 Update (25H2) – V2.0 von der offiziellen Microsoft-Website herunter.

Veröffentlicht: 02.10.2025

Server

Laden Sie administrative Vorlagen (.admx) für Windows Server 2025 (Release vom 25. Oktober) von der offiziellen Microsoft-Website herunter.

Veröffentlicht: 27.10.2025

Laden Sie Gruppenrichtlinie Referenztabelle für einstellungen für Windows Server 2025 (Version vom 25. Oktober) von der offiziellen Microsoft-Website herunter.

Veröffentlicht: 27.10.2025
Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter