Актуализации на ключове от системния регистър за защитено стартиране: устройства с Windows с актуализации, управлявани от информационни технологии

Отнася се за
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Забележка

  • Първоначална дата на публикуване: 14 октомври 2025 г.
  • ИД на БЗ: 5068202

Тази статия има указания за:

  • Организации с устройства и актуализации, управлявани от информационни технологии на Windows.

Забележка

  • Наличност на тази поддръжка:

  • Ключовете от системния регистър са включени в актуализациите, издадени на или след следната дата:

  • 11 ноември 2025 г.: За версии на Windows, които все още се поддържат.

Регистър на промените
Промяна на датата Описание на промяната
20 март 2026 г.
  • Добавена е стойността на системния регистър AvailableUpdatesPolicy в първата таблица в секцията "Ключове от системния регистър".
  • Актуализирана е стойността на системния регистър WindowsUEFICA2023Capable "Описание и употреба" във втората таблица в секцията "Ключове от системния регистър".
20 февруари 2026 г.
  • Добавени 3 нови ключа от системния регистър в статията - "UEFICA2023ErrorEvent", " BucketHash" & " ConfidenceLevel".
  • Актуализиран раздел - "Наличност на тази поддръжка".
4 ноември 2025 г.
  • Добавен е още един ключ от системния регистър към страницата.
  • Коригирано е твърдение от "Например, ако актуализирането на базата данни (базата данни с надеждни подписи) е неуспешно поради проблем с фърмуера, този ключ от системния регистър може да показва код на грешка, който може да бъде свързан с регистър на събитията или документиран ИД на грешка в", за да каже "Например, ако актуализирането на базата данни (базата данни с надеждни подписи) е неуспешно поради проблем с фърмуера, Този ключ от системния регистър може да показва код на грешка от фърмуера. Когато този ключ съществува и не е нула, препоръчваме ви да търсите събития на защитено стартиране в регистрационните файлове на събитията в Windows – вижте (връзка) за повече подробности."
  • Добавихме два отделни пътя за ключовете от системния регистър по-долу
11 ноември 2025 г.
  • Актуализиран е параграфът под Тестване на устройства с помощта на ключове от системния регистър с допълнителна информация: "Ключът от системния регистър трябва бързо да се промени на 0x4100. Рестартирането и повторното изпълнение на задача ще доведе до актуализиране на диспечера за зареждане и до 0x0100 на AvailableUpdates станат . Вижте "Отстраняване на неизправности" за повече подробности относно поведението на AvailableUpdates."
  • Актуализирайте текста в сивото поле под "Тестване на устройството" чрез ключове от системния регистър , за да имате две допълнителни команди на PowerShell
  • Под "Ключове от системния регистър" стойността на системния регистър -MicrosoftUpdateManagedOptIn, е променена от "1 – Включване" на "1 или всяка ненулева стойност – Включване"
16 ноември 2025 г. Актуализирано е съдържанието под "Тестване на устройството с помощта на ключове от системния регистър". Стойността на наличната актуализация е променена от "0x0100" на "0x4000".

В тази статия

Въведение

Този документ описва поддръжката за разполагане, управление и наблюдение на актуализациите на сертификата за защитено стартиране чрез ключове от системния регистър на Windows. Ключовете се състоят от следното:

  • Един ключ за задействане на разполагането на сертификати и диспечера за зареждане на устройството.
  • Два бутона за наблюдение на състоянието на разполагането.
  • Два бутона за управление на настройките за включване/отказване за двете налични помощни средства за разполагане.

Тези ключове от системния регистър могат да бъдат зададени ръчно на устройството или дистанционно чрез наличния софтуер за управление на автопарка. Други методи за внедряване, като например групови правила, Microsoft Intune и WinCS, са описани в статията Устройства с Windows за фирми и организации с актуализации, управлявани от ИТ.

Ключове от системния регистър за защитено стартиране

В този раздел

Ключове от системния регистър

Всички ключове от системния регистър за защитено стартиране, описани по-долу, се намират под този път на системния регистър:

Забележка

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Следващата таблица описва всяка от стойностите в системния регистър:

Стойност на системния регистър Тип Описание и употреба
НаличниАктуализации REG_DWORD (побитова маска) Актуализиране на флагове за активиране.

Контролира кои действия за актуализиране на защитеното стартиране да се извършват на устройството. Задаването на съответното поле на двоичен обект тук инициира разполагането на нови сертификати за защитено стартиране и свързаните актуализации. За корпоративно разполагане това трябва да е настроено на 0x5944 (шестн.)– стойност, която позволява всички съответни актуализации (добавяне на новите CA сертификати от 2023 г., актуализиране на KEK и инсталиране на новия диспечер за зареждане).

Настройки:
  • 0 или не е зададено – не се извършва актуализация на ключа за защитено стартиране.
  • 0x5944 – Разположете всички необходими сертификати и надстройте до PCA2023 подписан диспечер за зареждане
HighConfidenceOptOut REG_DWORD Опция за изключване.

За предприятия, които искат да се отпишат от наборите с висока достоверност, които автоматично ще се прилагат като част от LCU.

Можете да зададете за този ключ ненулева стойност, за да се отпишете от наборите с висока достоверност.

Настройки
  • 0 или клавишът не съществува – Включване
  • 1 – Отпишете се
MicrosoftUpdateManagedOptIn REG_DWORD Опция за включване.

За предприятия, които искат да се включат за обслужване с контролирано внедряване на функции (CFR), известно също като Microsoft Managed.

Освен задаването на този ключ, разрешете изпращането на задължителни диагностични данни (вижте Конфигуриране на диагностични данни на Windows във вашата организация).

Настройки
  • 0 или ключът не съществува – Изключване
  • 1 или всяка ненулева стойност – Включване
НаличниАктуализацииПравила REG_DWORD (побитова маска) Само за справка – не актуализирайте този ключ чрез системния регистър.

Този ключ се използва от групови правила и Intune за предаване на Windows действия, свързани със защитеното стартиране. Представлява правилата, зададени от Intune или групови правила.

Всички ключове от системния регистър за защитено стартиране, описани по-долу, се намират под този път на системния регистър:

Забележка

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Следващата таблица описва всяка от стойностите в системния регистър:

Стойност на системния регистър Тип Описание и употреба
UEFICA2023Състояние REG_SZ (низ) Индикатор за състояние на разполагане.

Отразява текущото състояние на актуализацията на ключа за защитено стартиране на устройството. Той ще бъде настроен на една от следните текстови стойности:

  • Нестартирана: Актуализацията все още не е изпълнена.
  • В ход: Актуализацията е в активно ход.
  • Актуализирано: Актуализацията завърши успешно.
Първоначално състоянието е "НеЗапочната". Той се променя на InProgress , след като актуализацията започне, и накрая на Updated (Актуализиран ), когато са разположени всички нови ключове и новият диспечер за зареждане. Ако възникне грешка, стойността на системния регистър UEFICA2023Error е зададена на ненулев код.
UEFICA2023Грешка REG_DWORD (код) Код на грешка (ако има такава).
Тази стойност остава 0 при успех. Ако процесът на актуализиране срещне грешка, UEFICA2023Error е зададен на ненулев код на грешка, съответстващ на първата възникнала грешка. Грешка тук означава, че актуализацията на защитеното стартиране не е напълно успешна и може да се наложи разследване или отстраняване на проблеми на това устройство.
Например, ако актуализирането на базата данни (базата данни с надеждни подписи) е неуспешно поради проблем с фърмуера, този ключ от системния регистър може да покаже код на грешка от фърмуера. Когато този ключ съществува и не е нула, препоръчваме ви да търсите събития за защитено стартиране в регистрите на събитията в Windows – вижте събитията за актуализиране на променливи DB за защитено стартиране и DBX за повече подробности.
UEFICA2023ErrorEvent REG_DWORD (код) UEFICA2023ErrorEvent указва ИД на събитието, което Windows е използвал, за да съобщи за грешка, свързана с прилагането на актуализациите на защитеното стартиране на Windows UEFI CA 2023. Тази стойност е в корелация с ключа от системния регистър UEFICA2023Error и се попълва, когато този ключ е зададен, което показва, че Windows се е натъкнал на грешка при опит за прилагане на актуализацията на защитеното стартиране. Когато това се случи, Windows регистрира съответното събитие за защитено стартиране, документирано на публичната страница събития за актуализиране на база данни за защитено стартиране и променливи DBX, което предоставя допълнителни подробности защо актуализацията не е могла да бъде завършена и какви действия може да са необходими.
WindowsUEFICA2023Capable REG_DWORD (код) Само за справка – не използвайте този ключ, когато получавате състоянието на актуализации на защитеното стартиране. Вместо това използвайте ключа UEFICA2023Status.
Този ключ от системния регистър е предназначен за ограничени сценарии на внедряване и не се препоръчва за обща употреба.
Валидни стойности:
0 – или ключът не съществува – сертификатът "Windows UEFI CA 2023" не е в базата данни
1 – Сертификатът "Windows UEFI CA 2023" е в базата данни
2 – Сертификатът "Windows UEFI CA 2023" е в базата данни и системата започва от подписания през 2023 г. диспечер за зареждане
BucketHash REG_SZ (низ) BucketHash идентифицира набора за разполагане, към който е присвоено устройство като част от внедряването на сертификата за защитено стартиране. Стойността е хеширане, извлечено от характеристиките на устройството, и се използва за групиране на устройства със сходни атрибути за фърмуер и платформа за поетапно разполагане и управление на риска. Това е същият хеш на набора, който се появява в специфичните за устройството събития, документирани на страницата със събития за актуализиране на променливи на DB за защитено стартиране , което позволява на администраторите да съпоставят състоянието на системния регистър със записите в регистъра на събитията и да разберат как устройството е обект на целта по време на процеса на актуализиране на защитеното стартиране.
Ниво на достоверност REG_SZ (низ) ConfidenceLevel показва оценката на надеждността, свързана с набора за разполагане на защитено стартиране на устройството. Тази стойност съответства на BucketConfidenceLevel, който Windows присвоява на устройството въз основа на наблюдаваното поведение на актуализация в подобни хардуерни и фърмуерни конфигурации. Същото ниво на доверие е включено в специфичните за устройството събития, документирани на страницата за събития за актуализиране на променливи на база данни за защитено стартиране и DBX , което позволява на администраторите да съпоставят стойността в системния регистър със записите в регистъра на събитията. За повече подробности относно възможните стойности за този ключ вижте описанията на събития в регистрационния файл на събитията за конкретното устройство.

Как тези клавиши работят заедно

ИТ администраторите конфигурират стойността на системния регистър AvailableUpdatesна 0x5944, което сигнализира на Windows да изпълни актуализацията и инсталирането на ключа за защитено стартиране на устройството.

Докато процесът се изпълнява, системата актуализира UEFICA2023Status от NotStarted към InProgress и накрая до Updated при успех. Когато всеки бит в 0x5944 бъде обработен успешно, той се изчиства.

Ако някоя стъпка е неуспешна, в UEFICA2023Error се записва код за грешка (и състоянието остава "В ход").

Този механизъм предоставя на администраторите ясен начин за задействане и проследяване на внедряването за всяко устройство.

Разполагане с помощта на ключове от системния регистър

Разполагането в група устройства се състои от следните стъпки:

  1. Задайте стойността на системния регистър AvailableUpdates да 0x5944 на всяко от устройствата, които ще бъдат актуализирани.
  2. Наблюдавайте ключовете от системния регистър UEFICA2023Status и UEFICA2023Error , за да видите дали устройствата отбелязват напредък. Задачата, която обработва тези актуализации, се изпълнява на всеки 12 часа. Имайте предвид, че актуализацията на диспечера за зареждане може да не се случи, докато не се случи рестартиране.
  3. Проучете проблемите, ако възникнат. Ако UEFICA2023Error не е нула на дадено устройство, можете да проверите регистъра на събитията за събития, свързани с този проблем. Вижте събитията за актуализиране на променливи DB за защитено стартиране и DBX за пълен списък на събитията за защитено стартиране.

Бележка за рестартирания: Въпреки че може да е необходимо рестартиране, за да завърши процесът, инициирането на разполагането на актуализации на защитеното стартиране няма да доведе до рестартиране. Ако е необходимо рестартиране, разполагането на защитеното стартиране разчита на рестартирания, които ще се случат като нормален ход на използване на устройството.

Тестване на устройството чрез ключове от системния регистър

Когато тествате отделни устройства, за да се гарантира, че устройствата ще обработват актуализациите правилно, ключовете от системния регистър могат да бъдат лесен начин за тестване.

За да тествате, изпълнете всяка от следните команди отделно от подканата на администратора в PowerShell:

Забележка

  • reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
  • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  • Рестартирайте системата ръчно, когато AvailableUpdates стане 0x4100
  • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Първата команда инициира разполагането на диспечера за сертификати и зареждане на устройството. Втората команда кара задачата, която обработва ключа от системния регистър AvailableUpdates , да се изпълни незабавно. Обикновено задачата се изпълнява на всеки 12 часа. Ключът от системния регистър трябва бързо да се промени на 0x4100. Рестартирането и повторното изпълнение на задача ще доведе до актуализиране на диспечера за зареждане и до това AvailableUpdates да стане 0x4000. Вижте "Отстраняване на неизправности" за повече информация относно поведението на AvailableUpdates.

Можете да намерите резултатите, като наблюдавате ключовете от системния регистър UEFICA2023Status и UEFICA2023Error и регистрите на събитията, както е описано в събитията за актуализиране на променливи на база данни за защитено стартиране и DBX.

Включване и отказване от асистенции

Ключовете от системния регистър HighConfidenceOptOut и MicrosoftUpdateManagedOptIn могат да се използват за управление на двете "помощни системи" за разполагане, описани в устройства с Windows с актуализации, управлявани от информационни технологии.

  • Ключът от системния регистър HighConfidenceOptOut контролира автоматичната актуализация на устройствата чрез кумулативните актуализации. За устройства, на които Microsoft е забелязал успешно актуализиране на определени устройства, те ще се считат за устройства с "висока достоверност" и актуализациите на сертификата за защитено стартиране ще се извършват автоматично. Настройката по подразбиране е "Включване".
  • Ключът от системния регистър MicrosoftUpdateManagedOptIn позволява на ИТ отделите да се включат в автоматично разполагане, управлявано от Microsoft. Тази настройка е забранена по подразбиране и за нея е зададено 1 включване. Тази настройка също така изисква устройството да изпраща незадължителни диагностични данни.

Поддържани версии на Windows

Тази таблица допълнително разбива поддръжката въз основа на ключа от системния регистър.

Клавиш Поддържани версии на Windows
НаличниАктуализации
UEFICA2023Състояние
UEFICA2023Грешка
Всички версии на Windows, които поддържат защитено стартиране (Windows Server 2012 и по-нови версии на Windows).

Забележка: Въпреки че данните за вероятност се събират в Windows 10, версии LTSC, 22H2 и по-нови версии на Windows, те могат да бъдат приложени към устройства, работещи с по-стари версии на Windows.
  • Windows 10, версии LTSC и 22H2
  • Windows 11, версии 22H2 и 23H2
  • Windows 11, версия 24H2
  • Windows Server 2025
HighConfidenceOptOut
MicrosoftUpdateManagedOptIn

Събития с грешка при защитено стартиране

Събитията за грешка имат критична функция за отчитане, която информира за състоянието и напредъка на защитеното стартиране.  За информация относно събитията за грешка вж. събитията за актуализиране на променливи DB за защитено стартиране и DBX. Събитията за грешка се актуализират с допълнителна информация за събитие за защитено стартиране.