Gilt für
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Ursprüngliches Veröffentlichungsdatum: 26. Juni 2025

KB-ID: 5062713

Dieser Artikel enthält Anleitungen für:

Organisationen (Unternehmen, Kleine Unternehmen und Bildungseinrichtungen) mit IT-verwalteten Windows-Geräten und -Updates.

Hinweis: Wenn Sie eine Person sind, die ein persönliches Windows-Gerät besitzt, lesen Sie den Artikel Windows-Geräte für Private Benutzer, Unternehmen und Schulen mit von Microsoft verwalteten Updates.

Datum ändern

Beschreibung ändern

5. Mai 2026

30. März 2026

  • Es wurde das bekannte Problem behoben: "Fehler bei Zertifikatupdates für den sicheren Start mit der Ereignis-ID 1795 auf virtuellen Hyper-V-Computern"

24. März 2026

  • Das bekannte Problem "Secure Boot Certificate Updates might fail with Event ID 1795 on Hyper-V virtual machines" (Fehler bei Zertifikatupdates für den sicheren Start mit der Ereignis-ID 1795 auf virtuellen Hyper-V-Computern) aktualisiert.

16. März 2026

  • Der Abschnitt "Sample confidence data" unter "Sample Secure Boot Inventory Data Collection script" wurde entfernt, da er veraltet ist.

3. März 2026

  • Die Beispielausgabe im Abschnitt "Vorbereitung" wurde neu formatiert, damit sie innerhalb des Felds bleibt.

24. Februar 2026

  • Der Inhalt für "Beispielskript für die Sammlung von Daten für den sicheren Startbestand" wurde im Abschnitt "Vorbereitung" aktualisiert. 

  • Der neue Abschnitt "Beispielausgabe" wurde unter dem Abschnitt "Vorbereitung" hinzugefügt.

23. Februar 2026

  • Der Inhalt für "Beispielskript für die Sammlung von Daten für den sicheren Startbestand" wurde im Abschnitt "Vorbereitung" aktualisiert.

13. Februar 2026

  • Die Elemente "Beispielzuvertrauungsdaten" wurden dem Abschnitt "Vorbereitung" hinzugefügt. 

  • Das "Auflistungsskript für ausstehende Ereignisse 1801 und 1808" wurde aus dem Abschnitt "Vorbereitung" entfernt, da es nicht mehr benötigt wird. 

3. Februar 2026

  • Häufige Probleme wurden im Abschnitt Problembehandlung verschoben und neu formatiert.

  • Es wurde ein neues häufiges Problem hinzugefügt: "Bei Zertifikatupdates für den sicheren Start können Fehler mit der Ereignis-ID 1795 auf virtuellen Hyper-V-Computern auftreten".

26. Januar 2026

  • Der Text unter "Assistent für die automatische Bereitstellung" wurde von "Beide Unterstützungen erfordern Diagnosedaten" auf "Nur der Assistent für den kontrollierten Featurerollout erfordert Diagnosedaten.

11. November 2025

Zwei Tippfehler unter "Unterstützung der Zertifikatbereitstellung für den sicheren Start" wurden korrigiert.

  • 0x0800 - Der Zertifikatname wurde von "Microsoft UEFI CA 2023" in "Microsoft Option ROM UEFI CA 2023" geändert.​​​​​​​

  • 0x1000 : "Microsoft Option ROM CA 2023" in "Microsoft UEFI CA 2023" geändert.

10. November 2025

  • Zwei Tippfehler unter "Neues Zertifikat" wurden korrigiert: von "Microsoft Corporation KEK CA 2023" zu "Microsoft Corporation KEK 2K CA 2023" und von "Microsoft Option ROM CA 2023" zu "Microsoft Option ROM UEFI CA 2023".

  • Neue PowerShell-Skripts wurden unter den Headern "Verifying Secure Boot status across your fleet: Is Secure Boot enabled?" und "Preparation" hinzugefügt.

In diesem Artikel:

Übersicht

Dieser Artikel richtet sich an Organisationen mit dedizierten IT-Experten, die Updates in ihrer geräteübergreifenden Flotte aktiv verwalten. Der Großteil dieses Artikels konzentriert sich auf die Aktivitäten, die erforderlich sind, damit die IT-Abteilung eines organization die neuen Zertifikate für den sicheren Start erfolgreich bereitstellen kann. Zu diesen Aktivitäten gehören das Testen der Firmware, das Überwachen von Geräteupdates, das Initiieren der Bereitstellung und die Diagnose von Auftretenden Problemen. Es werden mehrere Bereitstellungs- und Überwachungsmethoden vorgestellt. Zusätzlich zu diesen Kernaktivitäten bieten wir mehrere Bereitstellungshilfen an, einschließlich der Option, Clientgeräte für die Teilnahme an einem kontrollierten Featurerollout (Controlled Feature Rollout, CFR) speziell für die Zertifikatbereitstellung zu aktivieren.

Bereitstellungsplaybook für IT-Experten 

Planen und Durchführen von Zertifikatupdates für den sicheren Start in Ihrer geräteflotte durch Vorbereitung, Überwachung, Bereitstellung und Wartung.

Überprüfen des sicheren Start-status in Ihrer gesamten Flotte: Ist sicherer Start aktiviert? 

Die meisten Geräte, die seit 2012 hergestellt werden, unterstützen den sicheren Start und sind mit aktiviertem sicheren Start ausgeliefert. Führen Sie einen der folgenden Schritte aus, um zu überprüfen, ob der sichere Start auf einem Gerät aktiviert ist: 

  • GUI-Methode: Wechseln Sie zu Start > Einstellungen > Datenschutz & Sicherheit > Windows-Sicherheit > Gerätesicherheit. Unter Gerätesicherheit sollte im Abschnitt Sicherer Start angegeben werden, dass der sichere Start aktiviert ist.

  • Befehlszeilenmethode: Geben Sie an einer Eingabeaufforderung mit erhöhten Rechten in PowerShell Confirm-SecureBootUEFI ein, und drücken Sie dann die EINGABETASTE. Der Befehl sollte True zurückgeben, was angibt, dass der sichere Start aktiviert ist.

Bei umfangreichen Bereitstellungen für eine Flotte von Geräten muss die von IT-Experten verwendete Verwaltungssoftware eine Überprüfung auf die Aktivierung des sicheren Starts bereitstellen. 

Die Methode zum Überprüfen des Status "Sicherer Start" auf microsoft Intune verwalteten Geräten besteht beispielsweise darin, ein Intune benutzerdefiniertes Complianceskript zu erstellen und bereitzustellen. Intune Konformitätseinstellungen werden unter Verwenden von benutzerdefinierten Konformitätseinstellungen für Linux- und Windows-Geräte mit Microsoft Intune behandelt.  

PowerShell-Beispielskript zum Überprüfen, ob sicherer Start aktiviert ist:  

# Initialize result object in preparation for checking Secure Boot state 

$result = [PSCustomObject]@{ 

   SecureBootEnabled = $null 

  

try { 

   $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 

   Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 

} catch { 

   $result.SecureBootEnabled = $null 

   Write-Warning "Unable to determine Secure Boot status: $_" 

Wenn der sichere Start nicht aktiviert ist, können Sie die folgenden Updateschritte überspringen, da sie nicht anwendbar sind.

Bereitstellung von Updates

Es gibt mehrere Möglichkeiten, Geräte als Ziel für die Zertifikatupdates für den sicheren Start zu verwenden. Details zur Bereitstellung, einschließlich Einstellungen und Ereignissen, werden weiter unten in diesem Dokument erläutert. Wenn Sie ein Gerät für Updates als Ziel verwenden, wird auf dem Gerät eine Einstellung festgelegt, die angibt, dass das Gerät mit dem Anwenden der neuen Zertifikate beginnen soll. Ein geplanter Task wird alle 12 Stunden auf dem Gerät ausgeführt und erkennt, dass das Gerät für die Updates bestimmt wurde. Die Aufgaben der Aufgabe werden wie folgt beschrieben:

  1. Windows UEFI CA 2023 wird auf die Datenbank angewendet.

  2. Wenn das Gerät die Microsoft Corporation UEFI CA 2011 in der Datenbank enthält, wendet die Aufgabe die Microsoft Option ROM UEFI CA 2023 und die Microsoft UEFI CA 2023 auf die Datenbank an.

  3. Die Aufgabe fügt dann die Microsoft Corporation KEK 2K CA 2023 hinzu.

  4. Schließlich aktualisiert die geplante Aufgabe den Windows-Start-Manager auf den von Windows UEFI CA 2023 signierten. Windows erkennt, dass ein Neustart erforderlich ist, bevor der Start-Manager angewendet werden kann. Das Start-Manager-Update wird verzögert, bis der Neustart auf natürliche Weise erfolgt (z. B. wenn monatliche Updates angewendet werden), und Windows versucht dann erneut, das Boot-Manager-Update anzuwenden.

Jeder der oben genannten Schritte muss erfolgreich abgeschlossen werden, bevor der geplante Vorgang mit dem nächsten Schritt übergeht. Während dieses Prozesses stehen Ereignisprotokolle und andere status zur Verfügung, um die Überwachung der Bereitstellung zu unterstützen. Weitere Informationen zu Überwachungs- und Ereignisprotokollen finden Sie unten.  

Durch das Aktualisieren der Zertifikate für den sicheren Start wird ein zukünftiges Update für den 2023-Start-Manager ermöglicht, der sicherer ist. Bestimmte Updates für den Start-Manager werden in zukünftigen Versionen verfügbar sein.

Bereitstellungsschritte 

  • Vorbereitung: Inventarisieren und Testen von Geräten.

  • Überlegungen zur Firmware

  • Überwachung: Überprüfen Sie, ob die Überwachung funktioniert, und planen Sie Ihre Flotte.

  • Bereitstellung: Zielgeräte für Updates, beginnend mit kleinen Teilmengen und Erweiterung basierend auf erfolgreichen Tests.

  • Wartung: Untersuchen und beheben Sie alle Probleme mithilfe von Protokollen und Anbietersupport.

Vorbereitung 

Inventarisieren von Hardware und Firmware. Erstellen Sie ein repräsentatives Beispiel von Geräten basierend auf Systemhersteller, Systemmodell, BIOS-Version/-Datum, BaseBoard-Produktversion usw., und testen Sie Updates auf diesen Geräten vor der umfassenden Bereitstellung.  Diese Parameter sind häufig in Systeminformationen (MSINFO32) verfügbar. Verwenden Sie die enthaltenen PowerShell-Beispielbefehle, um nach secure boot update status zu suchen und Geräte in Ihrem organization zu inventarisieren.

Hinweise: 

  • Diese Befehle gelten, wenn der Status "Sicherer Start" aktiviert ist.

  • Viele dieser Befehle benötigen Administratorrechte, um zu funktionieren.

Beispielskript für die Sammlung von Daten für den sicheren Startbestand

Kopieren Sie dieses Beispielskript, fügen Sie es ein, und ändern Sie es nach Bedarf für Ihre Umgebung: Das Beispielskript für die Sammlung von Daten für den sicheren Startbestand.

Beispielausgabe:

{"UEFICA2023Status":"Updated","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null, "AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS", "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true, "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName": "Microsoft Corporation","OEMModelSystemFamily":"Surface","OEMModelNumber": "Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"11/03/2025", "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId": 1808,"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f", "Confidence":"UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null, "Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null, "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false, "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion": "10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer": "Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true, "SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}

Zuverlässigkeitsstufen für sicheren Start

Konfidenzniveau

Bedeutung

Aktion erforderlich

Hohe Zuverlässigkeit

Microsoft hat überprüft, dass diese Geräteklasse für Updates sicher ist.

Sichere Bereitstellung von Zertifikatupdates

Unter Beobachtung : Weitere Daten erforderlich

Microsoft sammelt weiterhin Diagnosedaten für das sichere Startrollout zu diesen Geräten.

Warten auf Microsoft-Klassifizierung

Keine Daten beobachtet – Aktion erforderlich

Die Geräteklasse ist Microsoft nicht bekannt

Unternehmen muss den Rollout testen und planen

Vorübergehend angehalten

Bekannte Kompatibilitätsprobleme

Suchen Sie nach OEM-BIOS-Update. Warten Sie, bis Microsoft aufgelöst wurde.

Nicht unterstützt – Bekannte Einschränkung

Plattform- oder Hardwarebeschränkungen

Dokument als Ausnahme

Der erste Schritt, wenn sicherer Start aktiviert ist, besteht darin, zu überprüfen, ob ausstehende Ereignisse vorhanden sind, die kürzlich aktualisiert wurden, oder die Zertifikate für den sicheren Start werden aktualisiert. Von besonderem Interesse sind die jüngsten Ereignisse in den Jahren 1801 und 1808. Diese Ereignisse werden ausführlich unter Updateereignisse für sichere Startdatenbank und DBX-Variablen beschrieben. Lesen Sie auch den Abschnitt Überwachung und Bereitstellung, um zu erfahren, wie die Ereignisse den Status ausstehender Updates anzeigen können.  

Der nächste Schritt besteht darin, Geräte in Ihrem organization zu inventarisieren. Sammeln Sie die folgenden Details mit PowerShell-Befehlen, um ein repräsentatives Beispiel zu erstellen: 

Grundlegende Bezeichner (2 Werte)

      1. HostName – $env: COMPUTERNAME 

      2. CollectionTime – Get-Date 

Registrierung: Hauptschlüssel für den sicheren Start (3 Werte) 

     3. SecureBootEnabled– Confirm-SecureBootUEFI Cmdlet oder HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     4. HighConfidenceOptOut – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     5. AvailableUpdates – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Registrierung: Wartungsschlüssel (3 Werte) 

     6. UEFICA2023Status -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     7. WindowsUEFICA2023Capable – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     8. UEFICA2023Fehler – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Registrierung: Geräteattribute (7 Werte) 

      9. OEMManufacturerName – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     10. OEMModelSystemFamily - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     11. OEMModelNumber – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     12. FirmwareVersion – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     13. FirmwareReleaseDate – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     14. OSArchitecture – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     15. CanAttemptUpdateAfter – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

Ereignisprotokolle: Systemprotokoll (5 Werte) 

     16. LatestEventId – Neuestes Sicheres Startereignis 

     17. BucketID : Extrahiert aus Ereignis 1801/1808 

     18. Konfidenz – Extrahiert aus Ereignis 1801/1808 

     19. Event1801Count - Anzahl der Ereignisse 

     20. Event1808Count - Anzahl der Ereignisse 

WMI/CIM-Abfragen (4 Werte) 

     21. OSVersion – Get-CimInstance Win32_OperatingSystem 

     22. LastBootTime – Get-CimInstance Win32_OperatingSystem 

     23. BaseBoardManufacturer - Get-CimInstance Win32_BaseBoard 

     24. BaseBoardProduct – Get-CimInstance Win32_BaseBoard 

     25. (Get-CIMInstance Win32_ComputerSystem). Hersteller  

     26. (Get-CIMInstance Win32_ComputerSystem). Modell  

    27. (Get-CIMInstance Win32_BIOS). Beschreibung + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString("MM/tt/yyyy")  

    28. (Get-CIMInstance Win32_BaseBoard). Produkt  

Überlegungen zur Firmware

Die Bereitstellung der neuen Zertifikate für den sicheren Start für Ihre Geräteflotte erfordert, dass die Gerätefirmware eine Rolle bei der Durchführung des Updates spielt. Microsoft geht zwar davon aus, dass die meisten Gerätefirmware wie erwartet funktionieren, vor der Bereitstellung der neuen Zertifikate sind jedoch sorgfältige Tests erforderlich.

Untersuchen Sie Ihre Hardwareinventur, und erstellen Sie eine kleine, repräsentative Stichprobe von Geräten basierend auf den folgenden eindeutigen Kriterien, z. B.: 

  • Manufacturer

  • Modellnummer

  • Firmwareversion

  • OEM Baseboard-Version usw.

Vor der allgemeinen Bereitstellung auf Geräten in Ihrer Flotte empfehlen wir, die Zertifikatupdates auf repräsentativen Beispielgeräten (wie durch Faktoren wie Hersteller, Modell, Firmwareversion definiert) zu testen, um sicherzustellen, dass die Updates erfolgreich verarbeitet werden. Empfohlener Leitfaden zur Anzahl von Beispielgeräten, die für jede eindeutige Kategorie getestet werden sollen, ist 4 oder mehr.

Dies trägt dazu bei, Vertrauen in Ihren Bereitstellungsprozess zu schaffen und unerwartete Auswirkungen auf Ihre breitere Flotte zu vermeiden. 

In einigen Fällen ist möglicherweise ein Firmwareupdate erforderlich, um die Zertifikate für den sicheren Start erfolgreich zu aktualisieren. In diesen Fällen empfiehlt es sich, den OEM Ihres Geräts zu überprüfen, um festzustellen, ob aktualisierte Firmware verfügbar ist.

Windows in virtualisierten Umgebungen

Für Windows, das in einer virtuellen Umgebung ausgeführt wird, gibt es zwei Methoden zum Hinzufügen der neuen Zertifikate zu den Firmwarevariablen für den sicheren Start:  

  • Der Ersteller der virtuellen Umgebung (AWS, Azure, Hyper-V, VMware usw.) kann ein Update für die Umgebung bereitstellen und die neuen Zertifikate in die virtualisierte Firmware einschließen. Dies würde für neue virtualisierte Geräte funktionieren.

  • Wenn Windows langfristig auf einem virtuellen Computer ausgeführt wird, können die Updates über Windows wie alle anderen Geräte angewendet werden, wenn die virtualisierte Firmware Updates für den sicheren Start unterstützt.

Überwachung und Bereitstellung 

Es wird empfohlen, dass Sie vor der Bereitstellung mit der Geräteüberwachung beginnen, um sicherzustellen, dass die Überwachung ordnungsgemäß funktioniert und Sie im Voraus ein gutes Verständnis für den Zustand der Flotte haben. Überwachungsoptionen werden unten erläutert. 

Microsoft bietet mehrere Methoden zum Bereitstellen und Überwachen der Zertifikatupdates für den sicheren Start.

Automatisierte Bereitstellungsunterstützung 

Microsoft stellt zwei Bereitstellungsassistenten bereit. Diese Hilfen können sich bei der Bereitstellung der neuen Zertifikate für Ihre Flotte als nützlich erweisen. Nur die Unterstützung für den Rollout von kontrollierten Features erfordert Diagnosedaten.

  • Option für kumulative Updates mit Konfidenzbuckets: Microsoft kann automatisch hochzuvertrauliche Gerätegruppen in monatliche Updates aufnehmen, die auf den bisher freigegebenen Diagnosedaten basieren, um Systemen und Organisationen zugute zu kommen, die keine Diagnosedaten freigeben können. Für diesen Schritt müssen keine Diagnosedaten aktiviert sein.

    • Organisationen und Systeme, die Diagnosedaten gemeinsam nutzen können, bietet Microsoft die Transparenz und Die Gewissheit, dass Geräte die Zertifikate erfolgreich bereitstellen können. Weitere Informationen zum Aktivieren von Diagnosedaten finden Sie unter Konfigurieren von Windows-Diagnosedaten in Ihrem organization. Wir erstellen "Buckets" für jedes eindeutige Gerät (wie durch Attribute definiert, die Hersteller, Hauptplatinenversion, Firmwarehersteller, Firmwareversion und zusätzliche Datenpunkte enthalten). Für jeden Bucket überwachen wir Erfolgsbeweis über mehrere Geräte. Sobald wir genügend erfolgreiche Updates und keine Fehler gesehen haben, betrachten wir den Bucket "high-confidence" und beziehen diese Daten in die monatlichen kumulativen Updates ein. Wenn monatliche Updates auf ein Gerät in einem Bucket mit hoher Zuverlässigkeit angewendet werden, wendet Windows die Zertifikate automatisch auf die UEFI-Variablen für den sicheren Start in der Firmware an.

    • Buckets mit hoher Zuverlässigkeit umfassen Geräte, die die Updates ordnungsgemäß verarbeiten. Natürlich stellen nicht alle Geräte Diagnosedaten bereit, und dies kann das Vertrauen von Microsoft in die Fähigkeit eines Geräts, die Updates ordnungsgemäß zu verarbeiten, einschränken.

    • Diese Unterstützung ist standardmäßig für Geräte mit hoher Zuverlässigkeit aktiviert und kann mit einer gerätespezifischen Einstellung deaktiviert werden. Weitere Informationen werden in zukünftigen Windows-Versionen freigegeben.

  • Kontrollierter Featurerollout (CFR):  Aktivieren Sie Geräte für die von Microsoft verwaltete Bereitstellung, wenn Diagnosedaten aktiviert sind.

    • Der kontrollierte Funktionsrollout (Controlled Feature Rollout, CFR) kann mit Clientgeräten in organization Flotten verwendet werden. Dies erfordert, dass Geräte die erforderlichen Diagnosedaten an Microsoft senden und signalisiert haben, dass das Gerät cfR auf dem Gerät zulässt. Details zur Anmeldung sind unten beschrieben.

    • Microsoft verwaltet den Aktualisierungsprozess für diese neuen Zertifikate auf Windows-Geräten, auf denen Diagnosedaten verfügbar sind und die Geräte am kontrollierten Featurerollout (Controlled Feature Rollout, CFR) teilnehmen. Obwohl CFR bei der Bereitstellung der neuen Zertifikate helfen kann, können sich Organisationen nicht auf CFR verlassen, um ihre Flotten zu korrigieren. Es ist erforderlich, die in diesem Dokument im Abschnitt zu Bereitstellungsmethoden beschriebenen Schritte auszuführen, die nicht von automatisierten Unterstützungen abgedeckt werden.

    • Einschränkungen: Es gibt einige Gründe, warum CFR in Ihrer Umgebung möglicherweise nicht funktioniert. Beispiel:

      • Es sind keine Diagnosedaten verfügbar, oder die Diagnosedaten können nicht als Teil der CFR-Bereitstellung verwendet werden.

      • Geräte verfügen nicht über unterstützte Clientversionen von Windows 11 und Windows 10 mit erweiterten Sicherheitsupdates (ESU).

Bereitstellungsmethoden, die nicht von automatisierten Hilfen abgedeckt werden

Wählen Sie die Methode aus, die zu Ihrer Umgebung passt. Vermeiden Sie Mischmethoden auf demselben Gerät: 

  • Registrierungsschlüssel: Steuern Sie die Bereitstellung und überwachen Sie die Ergebnisse.Es stehen mehrere Registrierungsschlüssel zur Verfügung, um das Verhalten der Bereitstellung der Zertifikate zu steuern und die Ergebnisse zu überwachen. Darüber hinaus gibt es zwei Schlüssel zum Aktivieren und Deaktivieren der oben beschriebenen Bereitstellungshilfen. Weitere Informationen zu den Registrierungsschlüsseln finden Sie unter Registrierungsschlüssel Updates für sicheren Start – Windows-Geräte mit IT-verwalteten Updates.

  • Gruppenrichtlinie Objects (GPO): Verwalten von Einstellungen; Überwachen über Registrierungs- und Ereignisprotokolle.Microsoft bietet Unterstützung für die Verwaltung der Updates für den sicheren Start mithilfe von Gruppenrichtlinie in einem zukünftigen Update. Beachten Sie, dass Gruppenrichtlinie für Einstellungen gilt, die Überwachung des status des Geräts mithilfe alternativer Methoden erfolgen muss, einschließlich der Überwachung von Registrierungsschlüsseln und Ereignisprotokolleinträgen.

  • WinCS-CLI (Windows-Konfigurationssystem): Verwenden Sie Befehlszeilentools für in die Domäne eingebundene Clients.Domänenadministratoren können alternativ das Windows-Konfigurationssystem (Windows Configuration System, WinCS) verwenden, das in Windows-Betriebssystemupdates enthalten ist, um die Updates für den sicheren Start auf allen in die Domäne eingebundenen Windows-Clients und -Servern bereitzustellen. Es besteht aus einer Reihe von Befehlszeilenhilfsprogrammen (sowohl eine herkömmliche ausführbare Datei als auch ein PowerShell-Modul), um Konfigurationen für den sicheren Start abzufragen und lokal auf einen Computer anzuwenden. Weitere Informationen finden Sie in den folgenden Artikeln:

  • Microsoft Intune/Configuration Manager: Bereitstellen von PowerShell-Skripts Ein Konfigurationsdienstanbieter (Configuration Service Provider, CSP) wird in einem zukünftigen Update bereitgestellt, um die Bereitstellung mithilfe von Intune zu ermöglichen.

Überwachen von Ereignisprotokollen

Zwei neue Ereignisse werden bereitgestellt, um die Bereitstellung der Zertifikatupdates für den sicheren Start zu unterstützen. Diese Ereignisse werden unter Updateereignisse für sichere Startdatenbank und DBX-Variablen ausführlich beschrieben: 

  • Ereignis-ID: 1801 Dieses Ereignis ist ein Fehlerereignis, das angibt, dass die aktualisierten Zertifikate nicht auf das Gerät angewendet wurden. Dieses Ereignis enthält einige gerätespezifische Details, einschließlich Geräteattributen, die bei der Korrelation helfen, welche Geräte noch aktualisiert werden müssen.

  • Ereignis-ID: 1808 Dieses Ereignis ist ein Informationsereignis, das angibt, dass auf dem Gerät die erforderlichen neuen Zertifikate für den sicheren Start auf die Firmware des Geräts angewendet wurden.

Bereitstellungsstrategien 

Um risiken zu minimieren, stellen Sie Updates für den sicheren Start stufenweise und nicht alle gleichzeitig bereit. Beginnen Sie mit einer kleinen Teilmenge von Geräten, überprüfen Sie die Ergebnisse, und erweitern Sie dann weitere Gruppen. Es wird empfohlen, dass Sie mit Teilmengen von Geräten beginnen und, wenn Sie Vertrauen in diese Bereitstellungen gewinnen, zusätzliche Teilmengen von Geräten hinzufügen. Es können mehrere Faktoren verwendet werden, um zu bestimmen, was in eine Teilmenge fließt, einschließlich Testergebnissen auf Beispielgeräten, organization Struktur usw. 

Die Entscheidung darüber, welche Geräte Sie bereitstellen, liegt bei Ihnen. Hier sind einige mögliche Strategien aufgeführt. 

  • Große Geräteflotte: Verwenden Sie zunächst die oben beschriebenen Hilfen für die gängigsten Geräte, die Sie verwalten. Konzentrieren Sie sich parallel auf die weniger häufigen Geräte, die von Ihrem organization verwaltet werden. Testen Sie kleine Beispielgeräte, und stellen Sie, wenn der Test erfolgreich ist, auf den restlichen Geräten desselben Typs bereit. Wenn beim Testen Probleme auftreten, untersuchen Sie die Ursache des Problems, und bestimmen Sie die Schritte zur Behebung. Sie sollten auch Klassen von Geräten in Betracht ziehen, die einen höheren Wert in Ihrer Flotte haben, und mit dem Testen und Bereitstellen beginnen, um sicherzustellen, dass diese Geräte frühzeitig über aktualisierten Schutz verfügen.

  • Kleine Flotte, große Vielfalt: Wenn die von Ihnen verwaltete Flotte eine Vielzahl von Computern enthält, bei denen das Testen einzelner Geräte unerschwinglich wäre, sollten Sie sich stark auf die beiden oben beschriebenen Hilfsmittel verlassen, insbesondere bei Geräten, die wahrscheinlich gängige Geräte auf dem Markt sind. Konzentrieren Sie sich zunächst auf Geräte, die für den täglichen Betrieb wichtig sind, testen Und stellen Sie sie dann bereit. Fahren Sie weiter in der Liste der Geräte mit hoher Priorität nach unten, testen und bereitstellen, während Sie die Flotte überwachen, um zu bestätigen, dass die Assistenten bei den restlichen Geräten helfen.

Notizen 

  • Achten Sie auf ältere Geräte, insbesondere auf Geräte, die vom Hersteller nicht mehr unterstützt werden. Während die Firmware die Updatevorgänge ordnungsgemäß ausführen sollte, kann es sein, dass einige nicht. In Fällen, in denen die Firmware nicht ordnungsgemäß funktioniert und das Gerät nicht mehr unterstützt wird, sollten Sie erwägen, das Gerät zu ersetzen, um den Sicheren Startschutz in Ihrer gesamten Flotte sicherzustellen.

  • Neue Geräte, die in den letzten 1-2 Jahren hergestellt wurden, verfügen möglicherweise bereits über die aktualisierten Zertifikate, aber möglicherweise nicht, dass der Windows UEFI CA 2023 signierte Start-Manager auf das System angewendet wurde. Das Anwenden dieses Start-Managers ist ein wichtiger letzter Schritt in der Bereitstellung für jedes Gerät.

  • Nachdem ein Gerät für Updates ausgewählt wurde, kann es einige Zeit dauern, bis die Updates abgeschlossen sind. Schätzen Sie 48 Stunden und einen oder mehrere Neustarts für die anzuwendenden Zertifikate.

Häufig gestellte Fragen (FAQ)

Häufig gestellte Fragen finden Sie im Artikel Häufig gestellte Fragen zum sicheren Start .

Problembehandlung

Weitere Informationen finden Sie im Dokument zur Problembehandlung .

Zusätzliche Ressourcen

Tipp: Lesezeichen für diese zusätzlichen Ressourcen.

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter