Забележка
- Първоначална дата на публикуване: 14 октомври 2025 г.
- ИД на БЗ: 5068202
Тази статия има указания за:
- Организации с устройства и актуализации, управлявани от информационни технологии на Windows.
Забележка
Наличност на тази поддръжка:
Ключовете от системния регистър са включени в актуализациите, издадени на или след следната дата:
11 ноември 2025 г.: За версии на Windows, които все още се поддържат.
Регистър на промените
| Промяна на датата | Описание на промяната |
|---|---|
| 20 март 2026 г. |
|
| 20 февруари 2026 г. |
|
| 4 ноември 2025 г. |
|
| 11 ноември 2025 г. |
|
| 16 ноември 2025 г. | Актуализирано е съдържанието под "Тестване на устройството с помощта на ключове от системния регистър". Стойността на наличната актуализация е променена от "0x0100" на "0x4000". |
В тази статия
- Въведение
- Ключове от системния регистър за защитено стартиране
- Събития с грешка при защитено стартиране
Въведение
Този документ описва поддръжката за разполагане, управление и наблюдение на актуализациите на сертификата за защитено стартиране чрез ключове от системния регистър на Windows. Ключовете се състоят от следното:
- Един ключ за задействане на разполагането на сертификати и диспечера за зареждане на устройството.
- Два бутона за наблюдение на състоянието на разполагането.
- Два бутона за управление на настройките за включване/отказване за двете налични помощни средства за разполагане.
Тези ключове от системния регистър могат да бъдат зададени ръчно на устройството или дистанционно чрез наличния софтуер за управление на автопарка. Други методи за внедряване, като например групови правила, Microsoft Intune и WinCS, са описани в статията Устройства с Windows за фирми и организации с актуализации, управлявани от ИТ.
Ключове от системния регистър за защитено стартиране
В този раздел
- Ключове от системния регистър
- Как тези клавиши работят заедно
- Разполагане с помощта на ключове от системния регистър
- Тестване на устройството чрез ключове от системния регистър
- Включване и отписване за помощни действия
- Поддържани версии на Windows
Ключове от системния регистър
Всички ключове от системния регистър за защитено стартиране, описани по-долу, се намират под този път на системния регистър:
Забележка
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Следващата таблица описва всяка от стойностите в системния регистър:
| Стойност на системния регистър | Тип | Описание и употреба |
|---|---|---|
| НаличниАктуализации | REG_DWORD (побитова маска) | Актуализиране на флагове за активиране. Контролира кои действия за актуализиране на защитеното стартиране да се извършват на устройството. Задаването на съответното поле на двоичен обект тук инициира разполагането на нови сертификати за защитено стартиране и свързаните актуализации. За корпоративно разполагане това трябва да е настроено на 0x5944 (шестн.)– стойност, която позволява всички съответни актуализации (добавяне на новите CA сертификати от 2023 г., актуализиране на KEK и инсталиране на новия диспечер за зареждане). Настройки:
|
| HighConfidenceOptOut | REG_DWORD | Опция за изключване. За предприятия, които искат да се отпишат от наборите с висока достоверност, които автоматично ще се прилагат като част от LCU. Можете да зададете за този ключ ненулева стойност, за да се отпишете от наборите с висока достоверност. Настройки
|
| MicrosoftUpdateManagedOptIn | REG_DWORD | Опция за включване. За предприятия, които искат да се включат за обслужване с контролирано внедряване на функции (CFR), известно също като Microsoft Managed. Освен задаването на този ключ, разрешете изпращането на задължителни диагностични данни (вижте Конфигуриране на диагностични данни на Windows във вашата организация). Настройки
|
| НаличниАктуализацииПравила | REG_DWORD (побитова маска) |
Само за справка – не актуализирайте този ключ чрез системния регистър. Този ключ се използва от групови правила и Intune за предаване на Windows действия, свързани със защитеното стартиране. Представлява правилата, зададени от Intune или групови правила. |
Всички ключове от системния регистър за защитено стартиране, описани по-долу, се намират под този път на системния регистър:
Забележка
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Следващата таблица описва всяка от стойностите в системния регистър:
| Стойност на системния регистър | Тип | Описание и употреба |
|---|---|---|
| UEFICA2023Състояние | REG_SZ (низ) | Индикатор за състояние на разполагане. Отразява текущото състояние на актуализацията на ключа за защитено стартиране на устройството. Той ще бъде настроен на една от следните текстови стойности:
|
| UEFICA2023Грешка | REG_DWORD (код) | Код на грешка (ако има такава). Тази стойност остава 0 при успех. Ако процесът на актуализиране срещне грешка, UEFICA2023Error е зададен на ненулев код на грешка, съответстващ на първата възникнала грешка. Грешка тук означава, че актуализацията на защитеното стартиране не е напълно успешна и може да се наложи разследване или отстраняване на проблеми на това устройство. Например, ако актуализирането на базата данни (базата данни с надеждни подписи) е неуспешно поради проблем с фърмуера, този ключ от системния регистър може да покаже код на грешка от фърмуера. Когато този ключ съществува и не е нула, препоръчваме ви да търсите събития за защитено стартиране в регистрите на събитията в Windows – вижте събитията за актуализиране на променливи DB за защитено стартиране и DBX за повече подробности. |
| UEFICA2023ErrorEvent | REG_DWORD (код) | UEFICA2023ErrorEvent указва ИД на събитието, което Windows е използвал, за да съобщи за грешка, свързана с прилагането на актуализациите на защитеното стартиране на Windows UEFI CA 2023. Тази стойност е в корелация с ключа от системния регистър UEFICA2023Error и се попълва, когато този ключ е зададен, което показва, че Windows се е натъкнал на грешка при опит за прилагане на актуализацията на защитеното стартиране. Когато това се случи, Windows регистрира съответното събитие за защитено стартиране, документирано на публичната страница събития за актуализиране на база данни за защитено стартиране и променливи DBX, което предоставя допълнителни подробности защо актуализацията не е могла да бъде завършена и какви действия може да са необходими. |
| WindowsUEFICA2023Capable | REG_DWORD (код) | Само за справка – не използвайте този ключ, когато получавате състоянието на актуализации на защитеното стартиране. Вместо това използвайте ключа UEFICA2023Status. Този ключ от системния регистър е предназначен за ограничени сценарии на внедряване и не се препоръчва за обща употреба. Валидни стойности: 0 – или ключът не съществува – сертификатът "Windows UEFI CA 2023" не е в базата данни 1 – Сертификатът "Windows UEFI CA 2023" е в базата данни 2 – Сертификатът "Windows UEFI CA 2023" е в базата данни и системата започва от подписания през 2023 г. диспечер за зареждане |
| BucketHash | REG_SZ (низ) | BucketHash идентифицира набора за разполагане, към който е присвоено устройство като част от внедряването на сертификата за защитено стартиране. Стойността е хеширане, извлечено от характеристиките на устройството, и се използва за групиране на устройства със сходни атрибути за фърмуер и платформа за поетапно разполагане и управление на риска. Това е същият хеш на набора, който се появява в специфичните за устройството събития, документирани на страницата със събития за актуализиране на променливи на DB за защитено стартиране , което позволява на администраторите да съпоставят състоянието на системния регистър със записите в регистъра на събитията и да разберат как устройството е обект на целта по време на процеса на актуализиране на защитеното стартиране. |
| Ниво на достоверност | REG_SZ (низ) | ConfidenceLevel показва оценката на надеждността, свързана с набора за разполагане на защитено стартиране на устройството. Тази стойност съответства на BucketConfidenceLevel, който Windows присвоява на устройството въз основа на наблюдаваното поведение на актуализация в подобни хардуерни и фърмуерни конфигурации. Същото ниво на доверие е включено в специфичните за устройството събития, документирани на страницата за събития за актуализиране на променливи на база данни за защитено стартиране и DBX , което позволява на администраторите да съпоставят стойността в системния регистър със записите в регистъра на събитията. За повече подробности относно възможните стойности за този ключ вижте описанията на събития в регистрационния файл на събитията за конкретното устройство. |
Как тези клавиши работят заедно
ИТ администраторите конфигурират стойността на системния регистър AvailableUpdatesна 0x5944, което сигнализира на Windows да изпълни актуализацията и инсталирането на ключа за защитено стартиране на устройството.
Докато процесът се изпълнява, системата актуализира UEFICA2023Status от NotStarted към InProgress и накрая до Updated при успех. Когато всеки бит в 0x5944 бъде обработен успешно, той се изчиства.
Ако някоя стъпка е неуспешна, в UEFICA2023Error се записва код за грешка (и състоянието остава "В ход").
Този механизъм предоставя на администраторите ясен начин за задействане и проследяване на внедряването за всяко устройство.
Разполагане с помощта на ключове от системния регистър
Разполагането в група устройства се състои от следните стъпки:
- Задайте стойността на системния регистър AvailableUpdates да 0x5944 на всяко от устройствата, които ще бъдат актуализирани.
- Наблюдавайте ключовете от системния регистър UEFICA2023Status и UEFICA2023Error , за да видите дали устройствата отбелязват напредък. Задачата, която обработва тези актуализации, се изпълнява на всеки 12 часа. Имайте предвид, че актуализацията на диспечера за зареждане може да не се случи, докато не се случи рестартиране.
- Проучете проблемите, ако възникнат. Ако UEFICA2023Error не е нула на дадено устройство, можете да проверите регистъра на събитията за събития, свързани с този проблем. Вижте събитията за актуализиране на променливи DB за защитено стартиране и DBX за пълен списък на събитията за защитено стартиране.
Бележка за рестартирания: Въпреки че може да е необходимо рестартиране, за да завърши процесът, инициирането на разполагането на актуализации на защитеното стартиране няма да доведе до рестартиране. Ако е необходимо рестартиране, разполагането на защитеното стартиране разчита на рестартирания, които ще се случат като нормален ход на използване на устройството.
Тестване на устройството чрез ключове от системния регистър
Когато тествате отделни устройства, за да се гарантира, че устройствата ще обработват актуализациите правилно, ключовете от системния регистър могат да бъдат лесен начин за тестване.
За да тествате, изпълнете всяка от следните команди отделно от подканата на администратора в PowerShell:
Забележка
- reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
- Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
- Рестартирайте системата ръчно, когато AvailableUpdates стане 0x4100
- Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Първата команда инициира разполагането на диспечера за сертификати и зареждане на устройството. Втората команда кара задачата, която обработва ключа от системния регистър AvailableUpdates , да се изпълни незабавно. Обикновено задачата се изпълнява на всеки 12 часа. Ключът от системния регистър трябва бързо да се промени на 0x4100. Рестартирането и повторното изпълнение на задача ще доведе до актуализиране на диспечера за зареждане и до това AvailableUpdates да стане 0x4000. Вижте "Отстраняване на неизправности" за повече информация относно поведението на AvailableUpdates.
Можете да намерите резултатите, като наблюдавате ключовете от системния регистър UEFICA2023Status и UEFICA2023Error и регистрите на събитията, както е описано в събитията за актуализиране на променливи на база данни за защитено стартиране и DBX.
Включване и отказване от асистенции
Ключовете от системния регистър HighConfidenceOptOut и MicrosoftUpdateManagedOptIn могат да се използват за управление на двете "помощни системи" за разполагане, описани в устройства с Windows с актуализации, управлявани от информационни технологии.
- Ключът от системния регистър HighConfidenceOptOut контролира автоматичната актуализация на устройствата чрез кумулативните актуализации. За устройства, на които Microsoft е забелязал успешно актуализиране на определени устройства, те ще се считат за устройства с "висока достоверност" и актуализациите на сертификата за защитено стартиране ще се извършват автоматично. Настройката по подразбиране е "Включване".
- Ключът от системния регистър MicrosoftUpdateManagedOptIn позволява на ИТ отделите да се включат в автоматично разполагане, управлявано от Microsoft. Тази настройка е забранена по подразбиране и за нея е зададено 1 включване. Тази настройка също така изисква устройството да изпраща незадължителни диагностични данни.
Поддържани версии на Windows
Тази таблица допълнително разбива поддръжката въз основа на ключа от системния регистър.
| Клавиш | Поддържани версии на Windows |
|---|---|
|
НаличниАктуализации UEFICA2023Състояние UEFICA2023Грешка |
Всички версии на Windows, които поддържат защитено стартиране (Windows Server 2012 и по-нови версии на Windows). Забележка: Въпреки че данните за вероятност се събират в Windows 10, версии LTSC, 22H2 и по-нови версии на Windows, те могат да бъдат приложени към устройства, работещи с по-стари версии на Windows.
|
| HighConfidenceOptOut | |
| MicrosoftUpdateManagedOptIn |
Събития с грешка при защитено стартиране
Събитията за грешка имат критична функция за отчитане, която информира за състоянието и напредъка на защитеното стартиране. За информация относно събитията за грешка вж. събитията за актуализиране на променливи DB за защитено стартиране и DBX. Събитията за грешка се актуализират с допълнителна информация за събитие за защитено стартиране.