Vier unterstützte Deployment-Wege (Registry, GPO, WinCS, Intune), einheitliches Monitoring und ein klarer Zeitplan bis Mitte 2026: Dieser Beitrag zeigt, wie IT-Teams die neuen 2023-Zertifikate kontrolliert ausrollen, typische Firmware-Fallen vermeiden und den Update-Status zuverlässig überwachen.
Inklusive konkreter Registry-Werte, Event-IDs, Best Practices und eines praxiserprobten Rollout-Plans für Enterprise-Umgebungen.
Was ändert sich mit Secure Boot 2026?
Microsoft hat die Anleitungen für die Umstellung auf die 2023‑Zertifikate konkretisiert. Für IT‑Teams stehen jetzt vier praxistaugliche Wege bereit: Registry, Gruppenrichtlinien (GPO), WinCS (CLI) und Intune (MDM) – plus einheitliches Monitoring.
Hier die kompakte Aktualisierung für Ihr Rollout:
Korrektur zur Registry‑Zuordnung
Der Wert 0x5944 gehört zum Schlüssel AvailableUpdates (Deployment‑Trigger), nicht zu MicrosoftUpdateManagedOptIn. Opt‑in/Opt‑out werden als einfache DWORD‑Schalter gesetzt.
Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
// Deployment-Trigger (alle Schritte: neue Zertifikate + Boot Manager 2023)
Key: AvailableUpdates
Type: DWORD
Value: 0x5944
// Microsoft-gesteuertes Controlled Feature Rollout (CFR)
Key: MicrosoftUpdateManagedOptIn
Type: DWORD
Value: 1
// Opt-out für "High-Confidence"-Buckets
Key: HighConfidenceOptOut
Type: DWORD
Value: 1Deployment-Optionen für Secure Boot 2026
Option A (Registry)
- Alle Schritte anstoßen:
AvailableUpdates = 0x5944. - CFR‑Opt‑in:
MicrosoftUpdateManagedOptIn = 1(mindestens „required“ Diagnosedaten). - High‑Confidence Opt‑out:
HighConfidenceOptOut = 1.
Empfehlung: per Skript (z. B. PowerShell/Remediation) geräteweise konsistent umsetzen.
Option B (Gruppenrichtlinien)
Pfad:Computer Configuration > Administrative Templates > Windows Components > Secure Boot
Drei Richtlinien spiegeln die Registry‑Werte (Deployment, Opt‑in, Opt‑out):
- Enable SecureBoot Certificate Updates (Deployment anstoßen)
- Configure Microsoft Update Managed Opt‑In (CFR‑Opt‑in)
- Configure High‑Confidence Opt‑Out (Opt‑out)
Vor dem breiten Rollout: je Gerätemodell testen.
Option C (WinCS CLI)
Feature name: Feature_AllKeysAndBootMgrByWinCS
WinCS key value: F33E0C8E002
State: Enabled
WinCS setzt die Konfiguration; der geplante Secure‑Boot‑Update‑Task wendet die Aktionen an.
Option D (Intune)
- Enable SecureBoot Certificate Updates (Deployment anstoßen)
- Configure Microsoft Update Managed Opt‑In (CFR‑Opt‑in)
- Configure High‑Confidence Opt‑Out (Opt‑out)
Für MDM-/Cloud-Umgebungen die eleganteste zentrale Steuerung.
Best‑Practice: Eine Methode pro Gerät
Registry, GPO, WinCS und Intune steuern dieselben Bits. Pro Gerät nur eine Methode verwenden, um widersprüchliche Zustände zu vermeiden.
Monitoring und Statusüberwachung bei Secure Boot 2026
Der Status ist standardisiert und automatisierbar (Registry + Event Logs).
Registry‑Status
Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
UEFICA2023Status // "NotStarted", "InProgress", "Updated"
UEFICA2023Error // vorhanden => Fehlercode
Event‑IDs (System > Microsoft‑Windows‑TPM‑WMI)
- Event 1801: „CA/Keys müssen aktualisiert werden“ – ausstehend/inkonsistent.
- Event 1796: Fehler bei Secure‑Boot‑Variablen (z. B. Secure Boot deaktiviert).
- Event 1808: Informations‑Event bei erfolgreicher Anwendung/Update.
Geplanter Task:\Microsoft\Windows\PI\Secure‑Boot‑Update verarbeitet die AvailableUpdates‑Bitmaske in fester Reihenfolge und läuft periodisch.
OEM‑Firmware first
Viele Modelle akzeptieren OS‑seitige Zertifikats‑Writes erst nach BIOS/UEFI‑Updates.
Deshalb Firmware des Herstellers vorziehen und pro Gerätemodell testen.
Praxis‑Zeitplan
Phase 0 | Sofort (Dez 2025)
- Monitoring aktivieren: Registry‑Status (
UEFICA2023Status/UEFICA2023Error) & Events (1801/1796/1808) einrichten. - OEM‑Firmware prüfen: je Gerätemodell BIOS/UEFI‑Updates identifizieren und bereitstellen.
- Methode festlegen: Registry oder GPO oder WinCS oder Intune – pro Gerät konsistent bleiben.
- Pilotgruppe definieren: repräsentative Modelle inkl. „Exoten“; Zeitfenster mit Neustarts einplanen.
Phase 1 | Früher Rollout (Jan–Feb 2026)
- Pilot ausrollen: Zertifikate + Boot Manager auf Pilot anwenden; Status/Events überwachen.
- Fehler beheben: Firmware‑Blocker, BitLocker‑Flows, gescheiterte Variablen‑Writes.
- Runbook verfeinern: SOPs, Neustart‑Cadence, Kommunikations‑Templates.
- Erste Welle: 20–30 % der Flotte (Modelle mit guter Historie) produktiv umstellen.
Phase 2 | Breiter Rollout (März–April 2026)
- Skalieren: 50–80 % der Geräte aktualisieren; Wartungsfenster & Reboots planen.
- Boot‑Medien aktualisieren: ISOs/WinPE/Deployment‑Images auf 2023‑signierte Boot‑Manager bringen.
- Qualitätssicherung: Zielstatus „Updated“; Abweichungen in Tickets/Reports bündeln.
Phase 3 | Finalisierung (Mai–Juni 2026)
- Restanten bereinigen: Sondermodelle, Geräte mit Firmware‑Einschränkungen, VMs.
- Abschlussprüfung: Flottenweit
UEFICA2023Status = "Updated"; Fehler‑Events auf Null. - Go-/No-Go für DBX‑Revocations: je nach Policy vorbereiten (mit BitLocker‑Plan).
- Management‑Report: Abdeckung, Risikosicht, Lessons Learned.
Neustarts & Dauer: Mehrere Reboots und mindestens 1–2 Wartungszyklen einplanen, da der Secure‑Boot‑Update‑Task periodisch arbeitet.
Rollout‑Meilensteine & Checkliste
- Dez 2025: Monitoring aktiv, Firmware‑Roadmap je Modell vorhanden, Methode pro Zielgruppe festgelegt.
- Ende Jan 2026: Pilot abgeschlossen, SOPs stehen, mind. 20 % Geräte auf „Updated“.
- Ende März 2026: Breiter Rollout läuft stabil, 50 %+ Geräte „Updated“, Boot‑Medien aktualisiert.
- Ende Mai 2026: 90 %+ Geräte „Updated“, Sonderfälle im Backlog terminiert.
- Juni 2026: Flottenabschluss, Abdeckung bestätigt, DBX‑Revocations (falls Policy) vorbereitet.
Rollout‑Meilensteine & Checkliste
dez 2025
Monitoring aktiv, Firmware‑Roadmap je Modell vorhanden, Methode pro Zielgruppe festgelegt.
Jan 2026
Pilot abgeschlossen, SOPs stehen, mind. 20 % Geräte auf „Updated“.
Mar 2026
Breiter Rollout läuft stabil, 50 %+ Geräte „Updated“, Boot‑Medien aktualisiert.
Mai 2026
90%+ Geräte „Updated“, Sonderfälle im Backlog terminiert.
Jun 2026
Flottenabschluss, Abdeckung bestätigt, DBX‑Revocations (falls Policy) vorbereitet.
Fazit
Mit dem offiziellen Microsoft-Playbook stehen für Secure Boot 2026 erstmals klar definierte und unterstützte Deployment-Wege zur Verfügung. Registry, GPO, WinCS und Intune steuern dieselben Mechanismen und ermöglichen einen kontrollierten, schrittweisen Rollout mit einheitlichem Status-Monitoring.
Entscheidend für den Erfolg sind eine frühzeitige OEM-Firmware-Aktualisierung, ein sauber strukturierter Pilot sowie die konsequente Auswertung von Registry-Status und Events. Wer diese Punkte beachtet und den Rollout phasenweise plant, kann die Umstellung auf die 2023-Zertifikate stabil, nachvollziehbar und mit minimalem Betriebsrisiko umsetzen.
Mit Playbook, Registry/GPO, WinCS und Intune ist der Secure‑Boot‑Rollout sauber steuerbar und gut überwachbar.
Der Erfolg hängt vor allem von drei Punkten ab: OEM‑Firmware zuerst, Pilot strukturiert, Status/Events automatisiert auswerten.
Unterstützung für Planung und Umsetzung bei Secure Boot 2026
Der Secure-Boot-Rollout betrifft Betrieb, Security und Management gleichermaßen. Für die Planung und Steuerung haben wir ergänzende Hilfsmittel und Formate zusammengestellt:
Kostenlose Management-Checkliste
5 Fragen, die IT-Leiter jetzt klären sollten, um Secure Boot 2026 strukturiert und risikoarm umzusetzen.
Unterstützung bei Secure Boot 2026
Secure-Boot-Update-Check
Technische Einordnung, Best Practices und typische Fallstricke beim Secure-Boot-Rollout 2026.
Geeignet für IT-Teams, die Zertifikats-Updates strukturiert planen und umsetzen möchten.
Kostenloses Vorgespräch vereinbaren
Ergänzend: Security Awareness nach Maß
Technische Schutzmaßnahmen wie Secure Boot entfalten ihre Wirkung erst im Zusammenspiel mit geschulten Anwendern. Unsere Awareness-Programme unterstützen Unternehmen dabei, Sicherheitsrisiken nachhaltig zu reduzieren.