ينطبق على
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

تاريخ النشر الأصلي: 19 مارس 2026

معرف KB: 5085046

في هذه المقالة

نظرة عامة

ترشد هذه الصفحة المسؤولين ومحترفي الدعم في تشخيص وحل المشكلات المتعلقة بالتمهيد الآمن على أجهزة Windows. تتضمن الموضوعات حالات فشل تحديث شهادة التمهيد الآمن وحالات التمهيد الآمن غير الصحيحة ومطالبات استرداد BitLocker غير المتوقعة وفشل التمهيد بعد تغييرات تكوين التمهيد الآمن.

تشرح الإرشادات كيفية التحقق من خدمة Windows وتكوينها، ومراجعة قيم التسجيل ذات الصلة وسجلات الأحداث، وتحديد متى تتطلب قيود البرامج الثابتة أو النظام الأساسي تحديث OEM. هذا المحتوى مخصص لتشخيص المشكلات على الأجهزة الموجودة. لا يقصد به التخطيط لعمليات نشر جديدة. سيتم تحديث هذا المستند مع تحديد سيناريوهات وإرشادات جديدة لاستكشاف الأخطاء وإصلاحها.

الرجوع لأعلى

كيفية عمل خدمة شهادة التمهيد الآمن

خدمة شهادة التمهيد الآمن على Windows هي عملية منسقة بين نظام التشغيل والبرامج الثابتة UEFI للجهاز. الهدف هو تحديث نقاط ارتساء الثقة الهامة مع الحفاظ على القدرة على التمهيد في كل مرحلة.

تعتمد العملية على مهمة مجدولة من Windows، وتسلسل يستند إلى السجل لإجراءات التحديث، وسلوك التسجيل وإعادة المحاولة المضمن. تضمن هذه المكونات معا تحديث شهادات التمهيد الآمن ومدير تمهيد Windows بطريقة يتم التحكم فيها وترتيبها، وفقط بعد نجاح خطوات المتطلبات الأساسية.

الرجوع لأعلى

من أين تبدأ عند استكشاف الأخطاء وإصلاحها

عندما لا يبدو أن الجهاز يحرز تقدما متوقعا في تطبيق تحديثات شهادة التمهيد الآمن، ابدأ بتحديد فئة المشكلة. تقع معظم المشاكل في أحد المجالات الأربعة: حالة خدمة Windows أو آلية تحديث التمهيد الآمن أو سلوك البرنامج الثابت أو قيود النظام الأساسي أو الشركة المصنعة للمعدات الأصلية.

ابدأ بالفحوصات أدناه، بالترتيب. في كثير من الحالات، تكون هذه الخطوات كافية لشرح السلوك الذي تمت ملاحظته وتحديد الإجراءات التالية دون تحقيق أعمق.

  1. تأكيد خدمة Windows وأهلية النظام الأساسي

    1. ​​​​​​​تحقق من أن الجهاز يفي بالمتطلبات الأساسية لتلقي تحديثات شهادة التمهيد الآمن:

    2. يقوم الجهاز بتشغيل إصدار مدعوم من Windows.

    3. تم تثبيت آخر تحديثات أمان Windows المطلوبة.

    4. يتم تمكين التمهيد الآمن في البرنامج الثابت UEFI.

    5. إذا لم يتم استيفاء أي من هذه الشروط، فعالجها قبل متابعة المزيد من استكشاف الأخطاء وإصلاحها.

  2. تحقق من حالة مهمة Secure-Boot-Update

    1. تأكد من أن آلية Windows المسؤولة عن تطبيق تحديثات شهادة التمهيد الآمن موجودة وتعمل:

    2. توجد المهمة المجدولة Secure-Boot-Update.

    3. يتم تمكين المهمة وتشغيلها كنظام محلي.

    4. تم تشغيل المهمة مرة واحدة على الأقل منذ تثبيت آخر تحديث لأمان Windows.

    5. إذا تم تعطيل المهمة أو حذفها أو عدم تشغيلها، فلا يمكن تطبيق تحديثات شهادة التمهيد الآمن. يجب أن يركز استكشاف الأخطاء وإصلاحها على استعادة المهمة قبل التحقيق في الأسباب الأخرى.

  3. تحقق من إعدادات التسجيل للحصول على التقدم المتوقع

    راجع حالة خدمة التمهيد الآمن للجهاز في السجل:

    1. افحص UEFICA2023StatusوUEFICA2023ErrorوUEFICA2023ErrorEvent.

    2. فحص AvailableUpdates ومقارنتها بالتطور المتوقع (راجع المرجع والداخليات).

    تشير هذه القيم معا إلى ما إذا كانت الخدمة تتقدم بشكل طبيعي، أو تعيد محاولة عملية، أو يتم تثبيتها في خطوة معينة.

  4. ربط حالة التسجيل بأحداث التمهيد الآمن

    راجع الأحداث المتعلقة بالتمهيد الآمن في سجل أحداث النظام وربطها بحالة التسجيل. تؤكد بيانات الحدث عادة ما إذا كان الجهاز يحرز تقدما للأمام، أو إعادة المحاولة بسبب حالة عابرة، أو محظورا بسبب مشكلة في البرنامج الثابت أو النظام الأساسي.

    معا، تشير سجلات السجل والأحداث عادة إلى ما إذا كان السلوك متوقع أو مؤقتا أو يتطلب إجراء تصحيحيا.

الرجوع لأعلى

مهمة مجدولة ل Secure-Boot-Update

يتم تنفيذ خدمة شهادة التمهيد الآمن من خلال مهمة Windows مجدولة تسمى Secure-Boot-Update. يتم تسجيل المهمة في المسار التالي:

\Microsoft\Windows\PI\Secure-Boot-Update

يتم تشغيل المهمة كنظام محلي. بشكل افتراضي، يتم تشغيله عند بدء تشغيل النظام وكل 12 ساعة بعد ذلك. في كل مرة يتم تشغيلها، يتحقق من ما إذا كانت إجراءات تحديث التمهيد الآمن معلقة ويحاول تطبيقها بالتسلسل.

إذا تم تعطيل هذه المهمة أو فقدانها، فلا يمكن تطبيق تحديثات شهادة التمهيد الآمن. يجب أن تظل مهمة Secure-Boot-Update ممكنة لكي تعمل خدمة التمهيد الآمن.

الرجوع لأعلى

سبب استخدام مهمة مجدولة

تتطلب تحديثات شهادة التمهيد الآمن التنسيق بين البرامج الثابتة ل Windows وUEFI، بما في ذلك كتابة متغيرات UEFI التي تخزن مفاتيح وشهادات التمهيد الآمن. تسمح المهمة المجدولة ل Windows بمحاولة هذه التحديثات عندما يكون النظام في حالة حيث يمكن تعديل متغيرات البرامج الثابتة.

يوفر الجدول المتكرر لمدة 12 ساعة فرصا إضافية لإعادة محاولة التحديثات إذا فشلت محاولة سابقة أو إذا ظل الجهاز قيد التشغيل دون إعادة التشغيل. يساعد هذا التصميم على ضمان التقدم للأمام دون الحاجة إلى تدخل يدوي.

الرجوع لأعلى

خريطة بت السجل AvailableUpdates

يتم تشغيل مهمة Secure-Boot-Update بواسطة قيمة التسجيل AvailableUpdates . هذه القيمة هي قناع بت 32 بت موجود في:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

يمثل كل بت في القيمة إجراء محدد لتحديث التمهيد الآمن. تبدأ عملية التحديث عند تعيين AvailableUpdates إلى قيمة غير صفرية، إما تلقائيا بواسطة Windows أو بشكل صريح من قبل مسؤول. على سبيل المثال، تشير قيمة مثل 0x5944 إلى أن إجراءات التحديث المتعددة معلقة.

عند تشغيل المهمة Secure-Boot-Update، فإنها تفسر البتات المعينة على أنها عمل معلق وتعالجها بترتيب محدد.

الرجوع لأعلى

التحديثات المتسلسلة والتسجيل وسلوك إعادة المحاكمة

يتم تطبيق تحديثات شهادة التمهيد الآمن بترتيب ثابت. تم تصميم كل إجراء تحديث ليكون آمنا لإعادة المحاولة وإكماله بشكل مستقل. لا تتقدم مهمة Secure-Boot-Update إلى الخطوة التالية حتى ينجح الإجراء الحالي، ويتم مسح البت المقابل لها من AvailableUpdates.

تستخدم كل عملية واجهات UEFI القياسية لتحديث متغيرات التمهيد الآمن مثل DB وKEK، أو لتثبيت مدير تمهيد Windows المحدث. يسجل Windows نتيجة كل خطوة في سجل أحداث النظام. تؤكد أحداث النجاح التقدم للأمام، بينما تشير أحداث الفشل إلى سبب تعذر إكمال إجراء.

إذا فشلت خطوة تحديث، تتوقف المهمة عن المعالجة، وتسجل الخطأ، وتترك مجموعة البت المقترنة. تتم إعادة محاولة العملية في المرة التالية التي يتم فيها تشغيل المهمة. يسمح سلوك إعادة المحاكمة هذا للأجهزة بالتعافي تلقائيا من الظروف المؤقتة، مثل دعم البرامج الثابتة المفقودة أو تحديثات الشركة المصنعة للمعدات الأصلية المتأخرة.

يمكن للمسؤولين تتبع التقدم عن طريق ربط حالة السجل بإدخالات سجل الأحداث. تشير قيم التسجيل مثل UEFICA2023StatusوUEFICA2023ErrorوUEFICA2023ErrorEvent، جنبا إلى جنب مع قناع البت AvailableUpdates ، إلى الخطوة النشطة أو المكتملة أو المحظورة.

توضح هذه المجموعة ما إذا كان الجهاز يتقدم بشكل طبيعي، أو يعيد محاولة عملية، أو متوقفا.

الرجوع لأعلى

التكامل مع البرامج الثابتة للشركة المصنعة للمعدات الأصلية

تعتمد تحديثات شهادة التمهيد الآمن على السلوك الصحيح والدعم في البرنامج الثابت UEFI للجهاز. بينما ينسق Windows عملية التحديث، يكون البرنامج الثابت مسؤولا عن فرض نهج التمهيد الآمن والحفاظ على قواعد بيانات التمهيد الآمن.

توفر OEMs عنصرين مهمين يمكنان خدمة شهادة التمهيد الآمن:

  • مفاتيح تبادل المفاتيح الموقعة من مفتاح النظام الأساسي (KEKs) التي تخول تثبيت شهادات التمهيد الآمن الجديدة.

  • تطبيقات البرامج الثابتة التي تحافظ بشكل صحيح على قواعد بيانات Secure Boot وإلحاقها والتحقق من صحتها أثناء التحديثات.

إذا لم يدعم البرنامج الثابت هذه السلوكيات بشكل كامل، يمكن أن تتوقف تحديثات التمهيد الآمن أو تعيد المحاولة إلى أجل غير مسمى أو تؤدي إلى فشل التمهيد. في هذه الحالات، يتعذر على Windows إكمال التحديث دون إجراء تغييرات على البرنامج الثابت.

تعمل Microsoft مع OEMs لتحديد مشكلات البرامج الثابتة وإتاحة التحديثات المصححة. عندما يشير استكشاف الأخطاء وإصلاحها إلى وجود قيود أو عيب في البرنامج الثابت، قد يحتاج المسؤولون إلى تثبيت أحدث تحديث للبرنامج الثابت UEFI الذي توفره الشركة المصنعة للجهاز قبل اكتمال تحديثات شهادة التمهيد الآمن بنجاح.

الرجوع لأعلى

سيناريوهات الفشل الشائعة وحلولها

يتم تطبيق تحديثات التمهيد الآمن بواسطة المهمة المجدولة Secure-Boot-Update استنادا إلى حالة سجل AvailableUpdates .

في ظل الظروف العادية، تحدث هذه الخطوات تلقائيا وتسجل أحداث النجاح مع اكتمال كل مرحلة. في بعض الحالات، يمكن أن يمنع سلوك البرنامج الثابت أو تكوين النظام الأساسي أو متطلبات الخدمة التقدم أو يؤدي إلى سلوك تمهيد غير متوقع.

تصف الأقسام أدناه سيناريوهات الفشل الأكثر شيوعا، وكيفية التعرف عليها، وسبب حدوثها، والخطوات التالية المناسبة لاستعادة العملية العادية. يتم ترتيب السيناريوهات من أكثر الحالات شيوعا التي تتم مواجهتها إلى حالات أكثر شدة للتأثير على التمهيد.

عندما لا تظهر تحديثات التمهيد الآمن أي تقدم، فهذا يعني عادة أن عملية التحديث لم تبدأ أبدا. ونتيجة لذلك، تكون قيم سجل Secure Boot المتوقعة وسجلات الأحداث مفقودة لأن آلية التحديث لم يتم تشغيلها أبدا.

ماذا حدث

لم تبدأ عملية تحديث التمهيد الآمن، لذلك لم يتم تطبيق شهادات التمهيد الآمن أو مدير التمهيد المحدث على الجهاز.

كيفية التعرف عليه

  • لا توجد قيم سجل خدمة التمهيد الآمن، مثل UEFICA2023Status.

  • أحداث التمهيد الآمن المتوقعة (على سبيل المثال، 1043، 1044، 1045، 1799، 1801) مفقودة من سجل أحداث النظام.

  • يستمر الجهاز في استخدام شهادات التمهيد الآمن القديمة ومكونات التمهيد.

لماذا يحدث ذلك

يحدث هذا السيناريو عادة عندما يكون واحد أو أكثر من الشروط التالية صحيحا:

  • تم تعطيل المهمة المجدولة Secure-Boot-Update أو فقدانها.

  • تم تعطيل التمهيد الآمن في البرنامج الثابت UEFI.

  • لا يفي الجهاز بالمتطلبات الأساسية لخدمة Windows، مثل تشغيل إصدار Windows مدعوم أو تثبيت التحديثات المطلوبة.

ما يجب فعله بعد ذلك

  • تحقق من أن الجهاز يفي بمتطلبات خدمة Windows وأهلية النظام الأساسي.

  • تأكد من تمكين Secure Boot في البرامج الثابتة.

  • تأكد من وجود مهمة SecureBootUpdate المجدولة وتمكينها.

إذا تم تعطيل المهمة المجدولة أو فقدانها، فاتبع الإرشادات الواردة في مهمة التمهيد الآمن المجدولة معطلة أو محذوفة لاستعادتها. بعد استعادة المهمة، أعد تشغيل الجهاز أو قم بتشغيل المهمة يدويا لبدء خدمة التمهيد الآمن.

في بعض الحالات، يمكن أن تتسبب التحديثات المتعلقة بالتمهيد الآمن في إدخال جهاز استرداد BitLocker. يمكن أن يكون السلوك عابرا أو ثابتا، اعتمادا على السبب الأساسي.

السيناريو 1: استرداد BitLocker مرة واحدة بعد تحديث التمهيد الآمن

ماذا يحدث

يدخل الجهاز استرداد BitLocker في التمهيد الأول بعد تحديث التمهيد الآمن، ولكن يتم التمهيد عادة عند إعادة التشغيل اللاحقة.

لماذا يحدث ذلك

أثناء التمهيد الأول بعد التحديث، لا يقوم البرنامج الثابت بعد بالإبلاغ عن قيم التمهيد الآمن المحدثة عندما يحاول Windows إعادة تنسيق BitLocker. يؤدي هذا إلى عدم تطابق مؤقت في قيم التمهيد المقاسة ويشغل الاسترداد. في التمهيد التالي، يقوم البرنامج الثابت بالإبلاغ عن القيم المحدثة بشكل صحيح، وإعادة تنسيق BitLocker بنجاح، ولا تتكرر المشكلة.

كيفية التعرف عليه

  • يحدث استرداد BitLocker مرة واحدة.

  • بعد إدخال مفتاح الاسترداد، لا تطالب التمهيدات اللاحقة باسترداد البيانات.

  • لا يوجد أمر تمهيد مستمر أو مشاركة PXE.

ما يجب فعله بعد ذلك

  • أدخل مفتاح استرداد BitLocker لاستئناف Windows.

  • تحقق من تحديثات البرامج الثابتة.

السيناريو 2: استرداد BitLocker المتكرر بسبب تكوين التمهيد الأول ل PXE

ماذا يحدث

يدخل الجهاز استرداد BitLocker على كل تمهيد.

لماذا يحدث ذلك

تم تكوين الجهاز لمحاولة تمهيد PXE (الشبكة) أولا. تفشل محاولة تمهيد PXE، ثم يعود البرنامج الثابت إلى مدير تمهيد Windows على القرص.

يؤدي هذا إلى قياس سلطتي توقيع مختلفتين أثناء دورة تمهيد واحدة:

  • تم توقيع مسار تمهيد PXE بواسطة Microsoft UEFI CA 2011.

  • تم توقيع مدير تمهيد Windows على القرص بواسطة Windows UEFI CA 2023.

نظرا لأن BitLocker يراقب سلاسل ثقة Secure Boot مختلفة أثناء بدء التشغيل، فإنه لا يمكنه إنشاء مجموعة مستقرة من قياسات TPM لإعادة الترسيخ مقابلها. ونتيجة لذلك، يدخل BitLocker في الاسترداد على كل تمهيد.

كيفية التعرف عليه

  • يتم تشغيل استرداد BitLocker في كل إعادة تشغيل.

  • يسمح إدخال مفتاح الاسترداد ل Windows بالبدء، ولكن تعود المطالبة على التمهيد التالي.

  • يتم تكوين PXE أو تمهيد الشبكة قبل القرص المحلي بترتيب تمهيد البرنامج الثابت.

ما يجب فعله بعد ذلك

  • قم بتكوين ترتيب تمهيد البرنامج الثابت، بحيث يكون مدير تمهيد Windows على القرص أولا.

  • قم بتعطيل تمهيد PXE إذا لم يكن مطلوبا.

  • إذا كانت PXE مطلوبة، فتأكد من أن البنية الأساسية ل PXE تستخدم محمل تمهيد Windows موقع 2023.

ماذا حدث

وهذا يعكس تغييرا على مستوى البرنامج الثابت بدلا من مشكلة Windows. تم إكمال تحديث التمهيد الآمن بنجاح، ولكن بعد إعادة التشغيل لاحقا، لم يعد الجهاز يعمل في Windows.

كيفية التعرف عليه

  • يفشل الجهاز في بدء تشغيل Windows وقد يعرض رسالة برنامج ثابت أو BIOS تشير إلى انتهاك التمهيد الآمن.

  • يحدث الفشل بعد إعادة تعيين إعدادات التمهيد الآمن إلى الإعدادات الافتراضية للبرامج الثابتة.

  • قد يسمح تعطيل التمهيد الآمن للجهاز بالتمهيد مرة أخرى.

لماذا يحدث ذلك

تؤدي إعادة تعيين التمهيد الآمن إلى الإعدادات الافتراضية للبرامج الثابتة إلى مسح قواعد بيانات التمهيد الآمن المخزنة في البرامج الثابتة. على الأجهزة التي انتقلت بالفعل إلى مدير التمهيد الموقع من Windows UEFI CA 2023، تزيل إعادة التعيين هذه الشهادات المطلوبة للثقة في مدير التمهيد هذا.

ونتيجة لذلك، لم يعد البرنامج الثابت يتعرف على مدير تمهيد Windows المثبت كموثوق به ويحظر عملية التمهيد.

لا يحدث هذا السيناريو بسبب تحديث التمهيد الآمن نفسه ولكن بسبب إجراء البرنامج الثابت اللاحق الذي يزيل نقاط ارتساء الثقة المحدثة.

ما يجب فعله بعد ذلك

  • استخدم الأداة المساعدة استرداد التمهيد الآمن لاستعادة الشهادة المطلوبة، حتى يتمكن الجهاز من التمهيد مرة أخرى.

  • بعد الاسترداد، تأكد من أن الجهاز لديه أحدث البرامج الثابتة المتوفرة المثبتة من الشركة المصنعة للجهاز.

  • تجنب إعادة تعيين التمهيد الآمن إلى الإعدادات الافتراضية للبرامج الثابتة ما لم يتضمن البرنامج الثابت للشركة المصنعة للمعدات الأصلية الإعدادات الافتراضية للتمهيد الآمن المحدثة التي تثق في شهادات 2023.

الأداة المساعدة لاسترداد التمهيد الآمن

لاسترداد النظام:

  1. على كمبيوتر Windows ثان مثبت عليه تحديث Windows في يوليو 2024 أو أحدث، انسخ SecureBootRecovery.efi من C:\Windows\Boot\EFI\.

  2. ضع الملف على محرك أقراص USB بتنسيق FAT32 ضمن \EFI\BOOT\ وأعد تسميته إلى bootx64.efi.

  3. قم بتمهيد الجهاز المتأثر من محرك أقراص USB واسمح بتشغيل الأداة المساعدة للاسترداد. ستضيف الأداة المساعدة Windows UEFI CA 2023 إلى DB.

بعد استعادة الشهادة وإعادة تشغيل النظام، يجب أن يبدأ Windows بشكل طبيعي.

الهامه: ستقوم هذه العملية بإعادة تطبيق إحدى الشهادات الجديدة فقط. بمجرد استرداد الجهاز، تأكد من أنه يحتوي على أحدث الشهادات التي تمت إعادة تطبيقها، وفكر في تحديث BIOS/UEFI للنظام إلى أحدث إصدار متوفر. يمكن أن يساعد هذا في منع تكرار مشكلة إعادة تعيين التمهيد الآمن، حيث أصدرت العديد من الشركات المصنعة للمشغلات إصلاحات للبرامج الثابتة لهذه المشكلة المحددة.

ماذا حدث

بعد تطبيق تحديث شهادة التمهيد الآمن وإعادة التشغيل، يفشل الجهاز في التمهيد ولا يصل إلى Windows.

كيفية التعرف عليه

  • يفشل الجهاز مباشرة بعد إعادة التشغيل المطلوبة بواسطة تحديث التمهيد الآمن.

  • قد يتم عرض خطأ في البرنامج الثابت أو التمهيد الآمن، أو يمكن أن يتوقف النظام قبل تحميل Windows.

  • قد يسمح تعطيل التمهيد الآمن للجهاز بالتمهيد.

لماذا يحدث ذلك

قد تكون هذه المشكلة ناتجة عن عيب في تنفيذ البرنامج الثابت UEFI للجهاز.

عندما يطبق Windows تحديثات شهادة التمهيد الآمن، من المتوقع أن يقوم البرنامج الثابت بإلحاق شهادات جديدة بقاعدة بيانات التوقيع المسموح بها ل Secure Boot الحالية (DB). تقوم بعض تطبيقات البرامج الثابتة بالكتابة فوق قاعدة البيانات بشكل غير صحيح بدلا من إلحاقها به.

عند حدوث ذلك،

  • تتم إزالة الشهادات الموثوق بها سابقا، بما في ذلك شهادة bootloader Microsoft 2011.

  • إذا كان النظام لا يزال يستخدم مدير تمهيد موقع مع شهادة 2011 في تلك المرحلة، فلن يثق البرنامج الثابت به.

  • يرفض البرنامج الثابت مدير التمهيد ويحظر عملية التمهيد.

في بعض الحالات، قد تصبح قاعدة البيانات أيضا تالفة بدلا من الكتابة فوقها بشكل نظيف، مما يؤدي إلى نفس النتيجة. تمت ملاحظة هذا السلوك على تطبيقات برامج ثابتة محددة ولا يتوقع وجوده على البرامج الثابتة المتوافقة.

ما يجب فعله بعد ذلك

  • أدخل قوائم إعداد البرنامج الثابت وحاول إعادة تعيين إعدادات التمهيد الآمن.

  • إذا تم تمهيد الجهاز بعد إعادة التعيين، فتحقق من موقع دعم الشركة المصنعة للجهاز للحصول على تحديث البرنامج الثابت الذي يصحح معالجة Secure Boot DB.

  • إذا كان تحديث البرنامج الثابت متوفرا، فقم بتثبيته قبل إعادة تمكين التمهيد الآمن وإعادة تطبيق تحديثات شهادة التمهيد الآمن.

إذا لم تقم إعادة تعيين التمهيد الآمن باستعادة وظائف التمهيد، من المحتمل أن يتطلب مزيد من الاسترداد إرشادات خاصة ب OEM.

ماذا حدث

لم يكتمل تحديث شهادة التمهيد الآمن ويظل محظورا في مرحلة تحديث مفتاح Exchange (KEK).

كيفية التعرف عليه

  • تظل قيمة التسجيل AvailableUpdates معينة بت KEK (0x0004) ولا يتم مسحها.

  • لا يتقدم UEFICA2023Status إلى حالة مكتملة.

  • يسجل سجل أحداث النظام معرف الحدث 1803 بشكل متكرر، مما يشير إلى أنه تعذر تطبيق تحديث KEK.

  • يستمر الجهاز في إعادة محاولة التحديث دون إحراز تقدم للأمام.

لماذا يحدث ذلك

يتطلب تحديث Secure Boot KEK تخويلا من مفتاح النظام الأساسي (PK) الخاص بالجهاز، والذي تملكه الشركة المصنعة للمعدات الأصلية.

لكي ينجح التحديث، يجب على الشركة المصنعة للجهاز تزويد Microsoft ب KEK موقع من قبل PK لهذا النظام الأساسي المحدد. يتم تضمين KEK الموقع من قبل الشركة المصنعة للمعدات الأصلية (OEM) في تحديثات Windows ويسمح ل Windows بتحديث متغير KEK للبرامج الثابتة.

إذا لم توفر الشركة المصنعة للمعدات الأصلية KEK موقعة من قبل PK للجهاز، فلن يتمكن Windows من إكمال تحديث KEK. في هذه الحالة:

  • يتم حظر تحديثات التمهيد الآمن حسب التصميم.

  • يتعذر على Windows حل التخويل المفقود.

  • يمكن أن يظل الجهاز غير قادر بشكل دائم على إكمال خدمة شهادة التمهيد الآمن.

يمكن أن يحدث هذا على الأجهزة القديمة أو خارج الدعم حيث لم تعد الشركة المصنعة للمعدات الأصلية توفر البرامج الثابتة أو التحديثات الرئيسية. لا يوجد مسار استرداد يدوي مدعوم لهذا الشرط.

الرجوع لأعلى

عند فشل تطبيق تحديثات شهادة التمهيد الآمن، يسجل Windows الأحداث التشخيصية التي تشرح سبب حظر التقدم. تتم كتابة هذه الأحداث عند تحديث قاعدة بيانات توقيع التمهيد الآمن (DB) أو مفتاح Exchange الرئيسي (KEK) لا يمكن إكمالها بأمان بسبب البرامج الثابتة أو حالة النظام الأساسي أو شروط التكوين. تشير السيناريوهات الموجودة في هذا القسم إلى هذه الأحداث لتحديد أنماط الفشل الشائعة وتحديد المعالجة المناسبة. يهدف هذا القسم إلى دعم تشخيص وتفسير المشكلات الموضحة سابقا، وليس لتقديم سيناريوهات فشل جديدة.

للحصول على قائمة كاملة بمعرفات الأحداث والأوصاف وإدخالات المثال، راجع أحداث تحديث متغير التمهيد الآمن DB وDBX (KB5016061).

فشل تحديث KEK (تنجح تحديثات DB، KEK لا)

يمكن للجهاز تحديث الشهادات بنجاح في قاعدة بيانات التمهيد الآمن ولكنه يفشل أثناء تحديث KEK. عند حدوث ذلك، لا يمكن إكمال عملية تحديث التمهيد الآمن.

الأعراض

  • تشير أحداث شهادة DB إلى التقدم، ولكن لم تكتمل مرحلة KEK.

  • تظل AvailableUpdates معينة إلى 0x4004 ولا يتم مسح بت 0x0004 بعد تشغيل مهام متعددة.

  • قد يكون الحدث 1795 أو 1803 موجودا.

تفسير

  • يشير 1795 عادة إلى فشل البرنامج الثابت أثناء محاولة تحديث متغير التمهيد الآمن.

  • يشير 1803 إلى أنه لا يمكن تخويل تحديث KEK لأن حمولة KEK المطلوبة الموقعة من قبل الشركة المصنعة للمعدات الأصلية (PK) غير متوفرة للنظام الأساسي.

الخطوات التالية

  • بالنسبة إلى 1795، تحقق من تحديثات البرامج الثابتة لشركة OEM وتحقق من صحة دعم البرامج الثابتة لتحديثات متغير التمهيد الآمن.

  • بالنسبة إلى 1803، تأكد من أن الشركة المصنعة للمعدات الأصلية قد زودت Microsoft ب KEK الموقع من قبل PK المطلوب لنموذج الجهاز.

فشل تحديث KEK على الأجهزة الظاهرية الضيف المستضافة على Hyper-V 

على الأجهزة الظاهرية Hyper-V، تتطلب تحديثات شهادة التمهيد الآمن تثبيت تحديثات Windows لشهر مارس 2026 على كل من مضيف Hyper-V ونظام التشغيل الضيف.

يتم الإبلاغ عن حالات فشل التحديث من داخل الضيف، ولكن الحدث يشير إلى مكان الحاجة إلى المعالجة:

  • يشير الحدث 1795 (على سبيل المثال، "الوسائط محمية بالكتابة") الذي تم الإبلاغ عنه في الضيف إلى أن مضيف Hyper-V يفتقد تحديث مارس 2026 ويجب تحديثه.

  • يشير الحدث 1803 الذي تم الإبلاغ عنه في الضيف إلى أن الجهاز الظاهري الضيف نفسه يفتقد تحديث مارس 2026 ويجب تحديثه.

الرجوع لأعلى 

المراجع والداخليات

يحتوي هذا القسم على معلومات مرجعية متقدمة مخصصة لاستكشاف الأخطاء وإصلاحها والدعم. ليس مخصصا لتخطيط التوزيع. وهو يتوسع في آليات خدمة التمهيد الآمن التي تم تلخيصها سابقا ويوفر مواد مرجعية مفصلة لتفسير حالة السجل وسجلات الأحداث.

ملاحظة (عمليات النشر المدارة بواسطة تكنولوجيا المعلومات):عند تكوينها عبر نهج المجموعة أو Microsoft Intune، يجب عدم الخلط بين إعدادين متشابهين. تمثل قيمة AvailableUpdatesPolicy حالة النهج المكونة. وفي الوقت نفسه، تعكس AvailableUpdates حالة العمل قيد التقدم ومقاصة البت. يمكن أن يؤدي كلاهما إلى نفس النتيجة، ولكنهما يتصرفان بشكل مختلف لأن النهج يعيد تطبيقه بمرور الوقت.

الرجوع لأعلى 

وحدات بت AvailableUpdates المستخدمة لخدمة الشهادات

يتم استخدام البتات أدناه لإجراءات الشهادة وإدارة التمهيد الموضحة في هذا المستند. يعكس عمود Order التسلسل الذي تعالج فيه مهمة Secure-Boot-Update كل بت.

الطلب

إعداد البت

الاستخدام

1

0x0040

يخبر هذا البت المهمة المجدولة بإضافة شهادة Windows UEFI CA 2023 إلى قاعدة بيانات التمهيد الآمن. يسمح هذا ل Windows بالثقة في مديري التمهيد الموقعين من قبل هذه الشهادة.

2

0x0800

يخبر هذا البت المهمة المجدولة بتطبيق Microsoft Option ROM UEFI CA 2023 على DB.  

السلوك الشرطي: عند تعيين علامة 0x4000، ستتحقق المهمة المجدولة أولا من قاعدة البيانات لشهادة Microsoft Corporation UEFI CA 2011. سيطبق شهادة Microsoft Option ROM UEFI CA 2023فقط إذا كانت شهادة 2011 موجودة.

3

0x1000

يخبر هذا البت المهمة المجدولة بتطبيق Microsoft UEFI CA 2023 على DB.

السلوك الشرطي: عند تعيين علامة 0x4000 ، ستتحقق المهمة المجدولة أولا من قاعدة البيانات لشهادة Microsoft Corporation UEFI CA 2011 . سيتم تطبيق شهادة Microsoft UEFI CA 2023فقط إذا كانت شهادة 2011 موجودة.

معدل (علامة السلوك)

0x4000

يعدل هذا البت سلوك 0x0800 ووحدات البت 0x1000 بحيث يتم تطبيق Microsoft UEFI CA 2023وMicrosoft Option ROM UEFI CA 2023 فقط إذا كان DB يحتوي بالفعل على Microsoft Corporation UEFI CA 2011  للمساعدة في التأكد من أن ملف تعريف أمان الجهاز يظل كما هو، يطبق هذا البت هذه الشهادات الجديدة فقط إذا كان الجهاز يثق في شهادة Microsoft Corporation UEFI CA 2011. لا تثق جميع أجهزة Windows بهذه الشهادة.

4

0x0004

يخبر هذا البت المهمة المجدولة بالبحث عن مفتاح Exchange مفتاح موقع بواسطة مفتاح النظام الأساسي (PK) الخاص بالجهاز. تتم إدارة PK بواسطة الشركة المصنعة للمعدات الأصلية. توقع الشركات OEMs Microsoft KEK باستخدام PK الخاص بها وتسلمها إلى Microsoft حيث يتم تضمينها في التحديثات التراكمية الشهرية.

5

0x0100

يخبر هذا البت المهمة المجدولة بتطبيق مدير التمهيد، الموقع من قبل Windows UEFI CA 2023، على قسم التمهيد. سيؤدي ذلك إلى استبدال مدير التمهيد الموقع Microsoft Windows Production PCA 2011.

ملاحظات:

  • سيبقى 0x4000 بت معينا بعد معالجة جميع البتات الأخرى.

  • تتم معالجة كل بت بواسطة المهمة المجدولة Secure-Boot-Update بالترتيب الموضح أعلاه.

  • إذا تعذرت معالجة بت 0x0004 بسبب KEK موقع على PK مفقود، فستظل المهمة المجدولة تطبق تحديث مدير التمهيد المشار إليه بواسطة 0x0100 بت.

الرجوع لأعلى 

التقدم المتوقع (AvailableUpdates)

عند اكتمال عملية بنجاح، يقوم Windows بمسح البت المقترن من AvailableUpdates. إذا فشلت عملية ما، يسجل Windows حدثا ويعيد المحاولة عند تشغيل المهمة مرة أخرى.

يوضح الجدول أدناه التقدم المتوقع لقيم AvailableUpdates مع اكتمال كل إجراء تحديث التمهيد الآمن.

الخطوة

بت تمت معالجته

التحديثات المتوفرة

الوصف

تم تسجيل حدث النجاح

رموز أحداث الخطأ المحتملة

Start

0x5944

الحالة الأولية قبل بدء خدمة شهادة التمهيد الآمن.

-

-

1

0x0040

0x5944 → 0x5904

تتم إضافة Windows UEFI CA 2023 إلى قاعدة بيانات التمهيد الآمن.

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

أضف Microsoft Option ROM UEFI CA 2023 إلى DB إذا كان الجهاز موثوقا به مسبقا في Microsoft UEFI CA 2011.

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

تتم إضافة Microsoft UEFI CA 2023 إلى DB إذا كان الجهاز موثوقا به مسبقا في Microsoft UEFI CA 2011.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

يتم تطبيق Microsoft KEK 2K CA 2023 الجديد الموقع من قبل مفتاح النظام الأساسي لشركة OEM.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

تم تثبيت مدير التمهيد الموقع من قبل Windows UEFI CA 2023.

1799

1797

الملاحظات

  • بمجرد اكتمال العملية المقترنة بت بنجاح، يتم مسح هذا البت من AvailableUpdates.

  • إذا فشلت إحدى هذه العمليات، يتم تسجيل حدث، ويتم إعادة محاولة العملية في المرة التالية التي يتم فيها تشغيل المهمة المجدولة.

  • البت 0x4000 هو معدل ولا يتم مسحه. تشير قيمة AvailableUpdates النهائية 0x4000 إلى إكمال جميع إجراءات التحديث القابلة للتطبيق بنجاح.

  • تشير الأحداث 1032، 1795، 1796، 1802 عادة إلى قيود البرامج الثابتة أو النظام الأساسي.

  • يشير الحدث 1803 إلى KEK المفقود الذي تم توقيعه من قبل OEM PK.

الرجوع لأعلى 

إجراءات المعالجة

يوفر هذا القسم إجراءات خطوة بخطوة لمعالجة مشكلات معينة في Secure Boot. يتم تحديد نطاق كل إجراء لحالة محددة جيدا ويهدف إلى اتباعه فقط بعد أن يؤكد التشخيص الأولي أن المشكلة تنطبق. استخدم هذه الإجراءات لاستعادة سلوك التمهيد الآمن المتوقع والسماح بتحديثات الشهادة بالمتابعة بأمان. لا تطبق هذه الإجراءات على نطاق واسع أو وقائي.

الرجوع لأعلى

تمكين التمهيد الآمن في البرامج الثابتة

إذا تم تعطيل التمهيد الآمن في البرنامج الثابت للجهاز، فشاهد Windows 11 والتمهيد الآمن للحصول على تفاصيل حول تمكين التمهيد الآمن.

الرجوع لأعلى

تم تعطيل مهمة التمهيد المجدول الآمن أو حذفها

المهمة المجدولة Secure-Boot-Update مطلوبة ل Windows لتطبيق تحديثات شهادة التمهيد الآمن. إذا تم تعطيل المهمة أو فقدانها، فلن تتقدم خدمة شهادة التمهيد الآمن.

تفاصيل المهمة

اسم المهمة

تحديث التمهيد الآمن

مسار المهمة

\Microsoft\Windows\PI\

المسار الكامل

\Microsoft\Windows\PI\Secure-Boot-Update

يعمل ك

SYSTEM (النظام المحلي)

المشغلات

عند بدء التشغيل وكل 12 ساعة

الحالة المطلوبة

تمكين

كيفية التحقق من حالة المهمة

تشغيل من موجه PowerShell غير مقيد: schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

ابحث عن حقل الحالة:

الحالة

معني

جاهزة

المهمة موجودة وممكنة.

مُعطَّل

المهمة موجودة ولكن يجب تمكينها.

خطأ / لم يتم العثور عليه

المهمة مفقودة ويجب إعادة إنشائها.

كيفية تمكين المهمة أو إعادة إنشائها

إذا كان حقل الحالة Secure-Boot-Update معطلا أو خطأ أو غير موجود، فاستخدم نموذج البرنامج النصي لتمكين المهمة: عينة Enable-SecureBootUpdateTask.ps1

ملاحظة: هذا نموذج برنامج نصي ولا تدعمه Microsoft. يجب على المسؤولين مراجعته وتكييفه مع بيئتهم.

المثال:

.\Enable-SecureBootUpdateTask.ps1 -Quiet

تشغيل الإرشادات

  • إذا رأيت Access مرفوضا، فقم بإعادة تشغيل PowerShell كمسؤول.

  • إذا لم يتم تشغيل البرنامج النصي بسبب نهج التنفيذ، فاستخدم تجاوز نطاق العملية:

Set-ExecutionPolicy -عملية النطاق -تجاوز نهج التنفيذ

الرجوع لأعلى 

Facebook LinkedIn بريد إلكتروني
الاشتراك في موجز ويب لـ RSS

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة