Gilt für
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Ursprüngliches Veröffentlichungsdatum: 14. Oktober 2025

KB-ID: 5068202

Dieser Artikel enthält Anleitungen für:  

  • Organisationen mit IT-verwalteten Windows-Geräten und -Updates.

Verfügbarkeit dieser Unterstützung:  

Die Registrierungsschlüssel AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut und MicrosoftUpdateManagedOptIn sind in Updates enthalten, die an oder nach den folgenden Terminen veröffentlicht werden:

  • 14. Oktober 2025: Unterstützte Versionen sind Windows 10, Version 22H2 und neuere Versionen (einschließlich 21H2 LTSC), alle unterstützten Versionen von Windows 11 sowie Windows Server 2022 und höher.

  • 11. November 2025: Für Versionen von Windows, die noch unterstützt werden.

Datum ändern

Beschreibung ändern

4. November 2025

  • Der Seite wurde ein weiterer Registrierungsschlüssel hinzugefügt.

  • Eine Anweisung von "Wenn beispielsweise das Aktualisieren der Datenbank (Datenbank der vertrauenswürdigen Signaturen) aufgrund eines Firmwareproblems fehlgeschlagen ist, kann dieser Registrierungsschlüssel einen Fehlercode anzeigen, der einem Ereignisprotokoll oder einer dokumentierten Fehler-ID in zugeordnet werden kann", um zu sagen: "Wenn beispielsweise das Aktualisieren der Datenbank (Datenbank mit vertrauenswürdigen Signaturen) aufgrund eines Firmwareproblems fehlgeschlagen ist, wurde korrigiert. Dieser Registrierungsschlüssel zeigt möglicherweise einen Fehlercode aus der Firmware an. Wenn dieser Schlüssel vorhanden ist und ungleich 0 (null) ist, empfiehlt es sich, in den Windows-Ereignisprotokollen nach Ereignissen für den sicheren Start zu suchen. Weitere Informationen finden Sie unter (Link).

  • Unten wurden zwei separate Pfade für Registrierungsschlüssel hinzugefügt.

11. November 2025

  • Der Absatz unter Gerätetests mit Registrierungsschlüsseln wurde mit zusätzlichen Informationen aktualisiert: "Der Registrierungsschlüssel sollte schnell in 0x4100 geändert werden. Wenn Sie die Aufgabe erneut neu starten und ausführen, wird der Start-Manager aktualisiert, und die AvailableUpdates werden 0x0100. Weitere Informationen zum Verhalten von AvailableUpdates finden Sie unter Problembehandlung."

  • Aktualisieren Sie den Text im grauen Feld unter Gerätetests mithilfe von Registrierungsschlüsseln, um zwei zusätzliche PowerShell-Befehle zu erhalten.

  • Unter Registrierungsschlüsseln wurde der Registrierungswert -MicrosoftUpdateManagedOptIn von "1 - Opt in" in "1 or any non-zero value – Opt in" geändert.

16. November 2025

Der Inhalt unter "Gerätetests mit Registrierungsschlüsseln" wurde aktualisiert. Der Wert verfügbares Update wurde von "0x0100" in "0x4000" geändert.

Inhalt

Einführung

In diesem Dokument wird die Unterstützung für die Bereitstellung, Verwaltung und Überwachung der Zertifikatupdates für den sicheren Start mithilfe von Windows-Registrierungsschlüsseln beschrieben. Die Schlüssel bestehen aus folgenden Elementen: 

  • Ein Schlüssel, um die Bereitstellung der Zertifikate und des Start-Managers auf dem Gerät auszulösen.

  • Zwei Schlüssel zum Überwachen status der Bereitstellung.

  • Zwei Schlüssel zum Verwalten der Einstellungen für das Aktivieren/Abmelden für die beiden verfügbaren Bereitstellungsassistenten.

Diese Registrierungsschlüssel können manuell auf dem Gerät oder remote über die verfügbare Flottenverwaltungssoftware festgelegt werden. Andere Bereitstellungsmethoden wie Gruppenrichtlinie, Microsoft Intune und WinCS werden im Artikel Windows-Geräte für Unternehmen und Organisationen mit IT-verwalteten Updates beschrieben.  

Registrierungsschlüssel für den sicheren Start

In diesem Abschnitt

Registrierungsschlüssel

Alle unten beschriebenen Registrierungsschlüssel für den sicheren Start befinden sich unter diesem Registrierungspfad: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

In der folgenden Tabelle werden die einzelnen Registrierungswerte beschrieben:

Registrierungswert

Typ

Beschreibung und Verwendung

AvailableUpdates

REG_DWORD (Bitmaske)

Aktualisieren von Triggerflags.

Steuert, welche Updateaktionen für den sicheren Start auf dem Gerät ausgeführt werden sollen. Wenn Sie hier das entsprechende Bitfeld festlegen, wird die Bereitstellung neuer Zertifikate für den sicheren Start und zugehöriger Updates initiiert. Für die Unternehmensbereitstellung sollte dieser Wert auf 0x5944 (hexadezimiert) festgelegt werden– ein Wert, der alle relevanten Updates ermöglicht (Hinzufügen der neuen 2023-Zertifizierungsstellenzertifikate, Aktualisieren des KEK und Installieren des neuen Start-Managers). 

Einstellungen

  • 0 oder nicht festgelegt: Es wird keine Aktualisierung des Schlüssels für den sicheren Start ausgeführt.

  • 0x5944 : Stellen Sie alle erforderlichen Zertifikate bereit, und aktualisieren Sie den PCA2023 signierten Start-Manager.

HighConfidenceOptOut

REG_DWORD

Eine Option zum Abmelden.

Für Unternehmen, die Buckets mit hoher Zuverlässigkeit deaktivieren möchten, die automatisch als Teil der LCU angewendet werden.

Sie können diesen Schlüssel auf einen Wert ungleich 0 festlegen, um die Buckets mit hoher Zuverlässigkeit zu deaktivieren. 

Einstellungen 

  • 0 oder Der Schlüssel ist nicht vorhanden – Anmelden

  • 1 – Abmelden

MicrosoftUpdateManagedOptIn

REG_DWORD

Eine Opt-In-Option.

Für Unternehmen, die sich für die Wartung des kontrollierten Featurerollouts (Controlled Feature Rollout, CFR) entscheiden möchten, auch bekannt als Von Microsoft verwaltet.

Zusätzlich zum Festlegen dieses Schlüssels können Sie das Senden der erforderlichen Diagnosedaten zulassen (siehe Konfigurieren von Windows-Diagnosedaten in Ihrem organization). 

Einstellungen

  • 0 oder Der Schlüssel ist nicht vorhanden – Abmelden

  • 1 oder ein beliebiger Wert   ungleich 0– Anmelden

Alle unten beschriebenen Registrierungsschlüssel für den sicheren Start befinden sich unter diesem Registrierungspfad: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

In der folgenden Tabelle werden die einzelnen Registrierungswerte beschrieben:

Registrierungswert

Typ

Beschreibung und Verwendung

UEFICA2023Status

REG_SZ (Zeichenfolge)

Bereitstellungs-status-Indikator.

Gibt den aktuellen Status des Schlüsselupdates für den sicheren Start auf dem Gerät an. Es wird auf einen der folgenden Textwerte festgelegt:

  • NotStarted: Das Update wurde noch nicht ausgeführt.

  • InProgress: Das Update wird aktiv ausgeführt.

  • Aktualisiert: Das Update wurde erfolgreich abgeschlossen.

Anfänglich lautet die status NotStarted. Es ändert sich in InProgress, sobald das Update beginnt, und schließlich in Aktualisiert, wenn alle neuen Schlüssel und der neue Start-Manager bereitgestellt wurden. Wenn ein Fehler auftritt, wird der Registrierungswert UEFICA2023Error auf einen Code ungleich Null festgelegt.

UEFICA2023Fehler

REG_DWORD (Code)

Fehlercode (falls vorhanden).

Dieser Wert bleibt bei Erfolg 0 . Wenn beim Updatevorgang ein Fehler auftritt, wird UEFICA2023Error auf einen Fehlercode ungleich Null festgelegt, der dem ersten aufgetretenen Fehler entspricht. Ein Fehler hier deutet darauf hin, dass das Update für den sicheren Start nicht vollständig erfolgreich war und möglicherweise eine Untersuchung oder Korrektur auf diesem Gerät erforderlich ist.  

Wenn beispielsweise das Aktualisieren der Datenbank (Datenbank mit vertrauenswürdigen Signaturen) aufgrund eines Firmwareproblems fehlgeschlagen ist, zeigt dieser Registrierungsschlüssel möglicherweise einen Fehlercode aus der Firmware an. Wenn dieser Schlüssel vorhanden ist und ungleich 0 (null) ist, empfiehlt es sich, in den Windows-Ereignisprotokollen nach Ereignissen für den sicheren Start zu suchen. Weitere Informationen finden Sie unter Updateereignisse für sichere Startdatenbank und DBX-Variablen.

WindowsUEFICA2023Capable

REG_DWORD (Code)

Dieser Registrierungsschlüssel ist für eingeschränkte Bereitstellungsszenarien vorgesehen und wird nicht für die allgemeine Verwendung empfohlen. Verwenden Sie in den meisten Fällen stattdessen den Registrierungsschlüssel UEFICA2023Status.

Gültige Werte:

0 – oder der Schlüssel ist nicht vorhanden: Das Zertifikat "Windows UEFI CA 2023" befindet sich nicht in der Datenbank.

1 – Das Zertifikat "Windows UEFI CA 2023" befindet sich in der Datenbank.

2 – Das Zertifikat "Windows UEFI CA 2023" befindet sich in der Datenbank, und das System beginnt mit dem signierten Start-Manager 2023.

Wie diese Schlüssel zusammenarbeiten

IT-Administratoren konfigurieren den Registrierungswert AvailableUpdates für 0x5944, der Windows signalisiert, das Update und die Installation des Schlüssels für den sicheren Start auf dem Gerät auszuführen.

Während der Prozess ausgeführt wird, aktualisiert das System UEFICA2023Status von NotStarted in InProgress und schließlich bei Erfolg auf Aktualisiert . Da jedes Bit in 0x5944 erfolgreich verarbeitet wird, wird es gelöscht.

Wenn ein Schritt fehlschlägt, wird ein Fehlercode in UEFICA2023Error aufgezeichnet (und die status bleibt InProgress).

Dieser Mechanismus bietet Administratoren eine klare Möglichkeit, den Rollout pro Gerät auszulösen und nachzuverfolgen. 

Bereitstellung mithilfe von Registrierungsschlüsseln 

Die Bereitstellung in einer Gruppe von Geräten umfasst die folgenden Schritte: 

  1. Legen Sie den Registrierungswert AvailableUpdates auf 0x5944 auf jedem der zu aktualisierenden Geräte fest.

  2. Überwachen Sie die Registrierungsschlüssel UEFICA2023Status und UEFICA2023Error , um festzustellen, dass die Geräte Fortschritte machen. Die Aufgabe, die diese Updates verarbeitet, wird alle 12 Stunden ausgeführt. Beachten Sie, dass das Start-Manager-Update möglicherweise erst nach einem Neustart erfolgt.

  3. Untersuchen Sie Probleme, wenn sie auftreten. Wenn UEFICA2023Error auf einem Gerät ungleich Null ist, können Sie das Ereignisprotokoll auf Ereignisse im Zusammenhang mit diesem Problem überprüfen. Eine vollständige Liste der Ereignisse für den sicheren Start finden Sie unter Updateereignisse für DB- und DBX-Variablen für den sicheren Start.

Hinweis zu Neustarts: Es kann zwar ein Neustart erforderlich sein, um den Vorgang abzuschließen, das Initiieren der Bereitstellung der Updates für den sicheren Start führt jedoch nicht zu einem Neustart. Wenn ein Neustart erforderlich ist, basiert die Bereitstellung für den sicheren Start auf Neustarts, die im normalen Verlauf der Verwendung des Geräts ausgeführt werden. 

Gerätetests mithilfe von Registrierungsschlüsseln 

Beim Testen einzelner Geräte, um sicherzustellen, dass die Geräte die Updates ordnungsgemäß verarbeiten, können die Registrierungsschlüssel eine einfache Möglichkeit zum Testen sein. 

Führen Sie zum Testen jeden der folgenden Befehle getrennt von einer PowerShell-Administratoreingabeaufforderung aus: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Starten Sie das System manuell neu, wenn AvailableUpdates 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Der erste Befehl initiiert die Zertifikat- und Start-Manager-Bereitstellung auf dem Gerät. Der zweite Befehl bewirkt, dass die Aufgabe, die den Registrierungsschlüssel AvailableUpdates verarbeitet, sofort ausgeführt wird. Normalerweise wird der Task alle 12 Stunden ausgeführt. Der Registrierungsschlüssel sollte schnell in 0x4100 geändert werden. Wenn Sie den Task erneut neu starten und ausführen, wird der Start-Manager aktualisiert, und die AvailableUpdates werden 0x4000. Weitere Informationen zum Verhalten von AvailableUpdates finden Sie unter Problembehandlung.

Sie können die Ergebnisse ermitteln, indem Sie die Registrierungsschlüssel UEFICA2023Status und UEFICA2023Error sowie die Ereignisprotokolle beobachten, wie unter Updateereignisse für sichere Startdatenbank und DBX-Variablen beschrieben. 

Melden Sie sich an, und melden Sie sich für Hilfen ab. 

Die Registrierungsschlüssel HighConfidenceOptOut und MicrosoftUpdateManagedOptIn können verwendet werden, um die beiden Bereitstellungshilfen zu verwalten, die unter Windows-Geräte mit IT-verwalteten Updates beschrieben sind. 

  • Der Registrierungsschlüssel HighConfidenceOptOut steuert das automatische Update von Geräten über die kumulativen Updates. Für Die Geräte, auf denen Microsoft beobachtet hat, dass bestimmte Geräte erfolgreich aktualisiert wurden, werden sie als Geräte mit hoher Zuverlässigkeit betrachtet, und die Updates des Zertifikats für den sicheren Start werden automatisch durchgeführt. Die Standardeinstellung ist "Opt in".

  • Der Registrierungsschlüssel MicrosoftUpdateManagedOptIn ermöglicht ES IT-Abteilungen, sich für die automatische Bereitstellung zu entscheiden, die von Microsoft verwaltet wird. Diese Einstellung ist standardmäßig deaktiviert und wird auf 1 opts-in festgelegt. Diese Einstellung erfordert auch, dass das Gerät optionale Diagnosedaten sendet.

Unterstützte Versionen von Windows

In dieser Tabelle wird die Unterstützung anhand des Registrierungsschlüssels weiter erläutert. 

Key 

Unterstützte Versionen von Windows 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Fehler 

Alle Versionen von Windows, die den sicheren Start unterstützen (Windows Server 2012 und höhere Windows-Versionen).  

Anmerkung: Obwohl die Zuverlässigkeitsdaten auf Windows 10 Versionen LTSC, 22H2 und höher von Windows gesammelt werden, können sie auf Geräte angewendet werden, die unter früheren Versionen von Windows ausgeführt werden.    

  • Windows 10, Versionen LTSC und 22H2

  • Windows 11, Versionen 22H2 und 23H2

  • Windows 11, Version 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Fehlerereignisse beim sicheren Start

​​​​​​​​​​​​​​Fehlerereignisse verfügen über eine wichtige Berichtsfunktion, um über den Status des sicheren Starts und den Fortschritt zu informieren.  Informationen zu den Fehlerereignissen finden Sie unter Updateereignisse für sichere Startdatenbank und DBX-Variablen. Die Fehlerereignisse werden mit zusätzlichen Ereignisinformationen für den sicheren Start aktualisiert. 

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter