Ръководство за отстраняване на неизправности при защитено стартиране

Отнася се за
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Забележка

  • Първоначална дата на публикуване: 19 март 2026 г.
  • ИД на БЗ: 5085046

В тази статия

Общ преглед

Тази страница напътства администраторите и специалистите по поддръжка в диагностицирането и разрешаването на проблеми, свързани със защитеното стартиране, на устройства с Windows. Темите включват неуспешни актуализации на сертификати за защитено стартиране, некоректни състояния на защитено стартиране, неочаквани подкани за възстановяване на BitLocker и неуспешни стартирания след промени в конфигурацията на защитеното стартиране.

Указанията обясняват как да проверите обслужването и конфигурацията на Windows, да прегледате съответните стойности на системния регистър и регистрационните файлове за събития, както и да определите кога ограниченията на фърмуера или платформата изискват актуализация на OEM. Това съдържание е предназначено за диагностициране на проблеми на съществуващи устройства. Тя не е предназначена за планиране на нови разполагания. Този документ ще бъде актуализиран, когато бъдат идентифицирани нови сценарии и указания за отстраняване на неизправности.

обратно към началото

Как работи обслужването на сертификати за защитено стартиране

Обслужването на сертификата за защитено стартиране на Windows е координиран процес между операционната система и UEFI фърмуера на устройството. Целта е да се актуализират котвите за критично доверие, като същевременно се запази възможността за стартиране на всеки етап.

Процесът се управлява от планирана задача в Windows, базирана на системния регистър последователност от действия за актуализиране и вградено поведение на регистриране и повторен опит. Заедно тези компоненти гарантират, че сертификатите за защитено стартиране и диспечерът за зареждане на Windows се актуализират по контролиран, подреден начин и само след успех на предварителните стъпки.

обратно към началото

Откъде да започнете при отстраняване на неизправности

Когато изглежда, че дадено устройство не постига очаквания напредък при прилагане на актуализации на сертификати за защитено стартиране, започнете, като посочите категорията на проблема. Повечето проблеми попадат в една от четирите области: състояние на обслужване на Windows, механизъм за актуализиране на защитеното стартиране, поведение на фърмуера или платформа или OEM ограничения.

Започнете с проверките по-долу, в реда. В много случаи тези стъпки са достатъчни, за да обяснят наблюдаваното поведение и да определят следващите действия без по-задълбочено проучване.

  1. Потвърдете дали Windows обслужване и платформа отговарят на условията

    1. Уверете се, че устройството отговаря на основните изисквания за получаване на актуализации на сертификата за защитено стартиране:
    2. На устройството се изпълнява поддържана версия на Windows.
    3. Инсталирани са най-новите задължителни актуализации на защитата на Windows.
    4. Защитеното зареждане е разрешено във фърмуера на UEFI.
    5. Ако някое от тези условия не е изпълнено, отстранете го, преди да продължите с по-нататъшно отстраняване на неизправности.
  2. Проверка на състоянието на задачата Secure-Boot-Update

    1. Уверете се, че механизмът на Windows, отговорен за прилагането на актуализации на сертификати за защитено стартиране, е наличен и функционира:
    2. Планираната задача Secure-Boot-Update съществува.
    3. Задачата е разрешена и се изпълнява като локална система.
    4. Задачата е изпълнявана поне веднъж от инсталирането на най-новата актуализация на защитата на Windows.
    5. Ако задачата е дезактивирана, изтрита или не се изпълнява, актуализациите на сертификата за защитено стартиране не могат да бъдат приложени. Отстраняването на неизправности трябва да се фокусира върху възстановяване на задачата, преди да се проучат други причини.
  3. Проверете настройките на системния регистър за очаквано напредване
    Прегледайте състоянието на обслужване на защитеното стартиране на устройството в системния регистър:

    1. Прегледайте UEFICA2023Status, UEFICA2023Error и UEFICA2023ErrorEvent.
    2. Прегледайте наличните актуализации и ги сравнете с очакваното напредване (вж. "Справочни и вътрешни").

    Заедно тези стойности показват дали обслужването напредва нормално, дали опитва отново операция, или е спряло на определена стъпка.

  4. Корелиране на състоянието на системния регистър със събития за защитено стартиране
    Прегледайте събитията, свързани със защитеното стартиране, в регистъра на системните събития и ги съпоставете със състоянието на системния регистър. Данните за събитие обикновено потвърждават дали устройството напредва напред, опитва отново поради преходно състояние или е блокирано от проблем с фърмуер или платформа.
    Взети заедно, системният регистър и регистрационните файлове на събитията обикновено показват дали поведението е очаквано, временно или изисква коригиращи действия.

обратно към началото

Планирана задача за защитено стартиране-актуализиране

Обслужването на сертификата за защитено стартиране се осъществява чрез планирана задача на Windows, наречена Secure-Boot-Update. Задачата се регистрира на следния път:

Забележка

\Microsoft\Windows\PI\Secure-Boot-Update

Задачата се изпълнява като локална система. По подразбиране се изпълнява при стартиране на системата и на всеки 12 часа след това. Всеки път, когато се изпълни, той проверява дали действията за актуализиране на защитеното стартиране са чакащи и се опитва да ги приложи последователно.

Ако тази задача е забранена или липсва, актуализациите на сертификата за защитено стартиране не могат да бъдат приложени. Задачата Secure-Boot-Update трябва да остане разрешена, за да функционира обслужването на защитеното стартиране.

обратно към началото

Защо се използва планирана задача

Актуализациите на сертификати за защитено стартиране изискват координация между Windows и фърмуера на UEFI, включително записване на променливи на UEFI, които съхраняват ключове и сертификати за защитено стартиране. Планирана задача позволява на Windows да опита тези актуализации, когато системата е в състояние, при което променливите на фърмуера могат да бъдат променени.

Повтарящият се 12-часов график предоставя допълнителни възможности за повторен опит с актуализации, ако предишен опит е неуспешен или ако устройството е останало включено, без да се рестартира. Този дизайн помага да се гарантира напредъкът напред, без да е необходима ръчна намеса.

обратно към началото

Побитова маска на системния регистър AvailableUpdates

Задачата Secure-Boot-Update се управлява от стойността на системния регистър AvailableUpdates . Тази стойност е 32-битова побитова маска, разположена в:

Забележка

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Всеки бит в стойността представлява конкретно актуализиращо действие за защитено стартиране. Процесът на актуализиране започва, когато AvailableUpdates е настроено на ненулева стойност, автоматично от Windows или изрично от администратор. Например стойност като 0x5944 показва, че чакат множество действия за актуализиране.

Когато задачата Secure-Boot-Update се изпълнява, тя интерпретира зададените битове като чакаща работа и ги обработва в определен ред.

обратно към началото

Поведение на последователни актуализации, регистриране и повторно изпробване

Актуализациите на сертификата за защитено стартиране се прилагат в определен ред. Всяко действие за актуализация е проектирано така, че да бъде безопасно за повторен опит, и завършва независимо. Задачата за защитено стартиране и актуализиране не преминава към следващата стъпка, докато текущото действие не успее и съответният му бит не бъде изчистен от AvailableUpdates.

Всяка операция използва стандартни интерфейси на UEFI за актуализиране на променливите на защитеното стартиране, като например базата данни и KEK, или за инсталиране на актуализирания диспечер за зареждане на Windows. Windows записва резултата от всяка стъпка в регистъра на системните събития. Събитията за успех потвърждават напредъка напред, докато събитията за неуспех показват защо действието не може да бъде завършено.

Ако стъпка за актуализиране е неуспешна, задачата спира обработката, регистрира грешката и оставя свързания бит зададен. Операцията се повторява при следващото изпълнение на задачата. Това поведение на повторно изпробване позволява на устройствата да се възстановят автоматично от временни условия, като например липсваща поддръжка за фърмуер или забавени актуализации на OEM.

Администраторите могат да проследяват напредъка, като съпоставят състоянието на системния регистър със записите в регистъра на събитията. Стойности на системния регистър като UEFICA2023Status, UEFICA2023Error и UEFICA2023ErrorEvent, заедно с битова маска AvailableUpdates , показват коя стъпка е активна, завършена или блокирана.

Тази комбинация показва дали устройството напредва нормално, опитва отново операция, или е в спрялост.

обратно към началото

Интегриране с OEM фърмуер

Актуализациите на сертификата за защитено стартиране зависят от правилното поведение и поддръжка във фърмуера за UEFI на устройството. Докато Windows дирижира процеса на актуализиране, фърмуерът е отговорен за прилагането на правила за защитено стартиране и поддържането на базите данни за защитено стартиране.

OEM предоставят два критични елемента, които позволяват обслужването на сертификата за защитено стартиране:

  • Подписани с ключ за обмен на ключове за платформата (KEK), които разрешават инсталирането на нови сертификати за защитено стартиране.
  • Внедрявания на фърмуер, които правилно запазват, добавят и проверяват бази данни със защитено стартиране по време на актуализации.

Ако фърмуерът не поддържа напълно това поведение, актуализациите на защитеното стартиране може да забавят, да опитват отново за неопределено време или да доведат до неуспешни стартирания. В тези случаи Windows не може да завърши актуализацията без промяна на фърмуера.

Microsoft работи с OEM, за да идентифицира проблеми с фърмуера и да предоставя коригирани актуализации. Когато отстраняването на неизправности покаже ограничение или дефект на фърмуера, администраторите може да се наложи да инсталират най-новата актуализация на фърмуера на UEFI, предоставена от производителя на устройството, преди актуализациите на сертификата за защитено стартиране да могат да завършат успешно.

обратно към началото

Често срещани сценарии и решения за отказ

Актуализациите на защитеното стартиране се прилагат от планираната задача Secure-Boot-Update въз основа на състоянието на системния регистър AvailableUpdates .

При нормални условия тези стъпки възникват автоматично и записват събитията за успех при завършване на всеки етап. В някои случаи поведението на фърмуера, конфигурацията на платформата или предварителните изисквания за обслужване може да попречат на напредъка или да доведат до неочаквано поведение при стартиране.

Разделите по-долу описват най-често срещаните сценарии за отказ, как да ги разпознаете, защо възникват и подходящите следващи стъпки за възстановяване на нормалната работа. Сценариите са подредени от най-често срещаните до по-тежките случаи, засягащи стартирането.

Актуализациите на защитеното стартиране не се прилагат (няма напредък)

Когато актуализациите на защитеното стартиране не показват напредък, това обикновено означава, че процесът на актуализация никога не е стартиран. В резултат на това очакваните стойности в системния регистър и регистрите на събитията за защитеното стартиране липсват, защото механизмът за актуализиране никога не е бил задействан.

Какво се е случило

Процесът на актуализиране на защитеното стартиране не се стартира, така че към устройството не са приложени сертификати за защитено стартиране или актуализиран диспечер за зареждане.

Как да го разпознаете

  • Не са налични стойности в системния регистър за обслужване на защитеното стартиране, като например UEFICA2023Status.
  • Очакваните събития със защитено стартиране (например 1043, 1044, 1045, 1799, 1801) липсват от регистъра на събитията на системата.
  • Устройството продължава да използва по-стари сертификати за защитено стартиране и компоненти за стартиране.

Защо става така

Този сценарий обикновено възниква, когато едно или повече от следните условия са налице:

  • Планираната задача Secure-Boot-Update е забранена или липсва.
  • Защитеното стартиране е деактивирано във фърмуера на UEFI.
  • Устройството не отговаря на предварителните изисквания за обслужване на Windows, като например изпълнение на поддържана версия на Windows или инсталиране на задължителни актуализации.

Какво да направите след това

  • Уверете се, че устройството отговаря на изискванията за обслужване и отговаряне на условията за платформа на Windows.
  • Уверете се, че защитеното стартиране е разрешено във фърмуера.
  • Уверете се, че планираната задача SecureBootUpdate съществува и е разрешена.

Ако планираната задача е дезактивирана или липсва, следвайте указанията в " Планирана задача" за защитено стартиране е забранена или изтрита , за да я възстановите. След възстановяване на задачата рестартирайте устройството или изпълнете задачата ръчно, за да започнете обслужване на защитеното стартиране.

Устройството се стартира в BitLocker възстановяване след актуализация на защитеното стартиране

В някои случаи актуализациите, свързани със защитеното стартиране, могат да доведат до възстановяване на BitLocker на устройство. Поведението може да бъде преходно или продължително, в зависимост от основната причина.

Сценарий 1: Еднократно възстановяване на BitLocker след актуализация на защитеното стартиране

Какво се случва

Устройството влиза в режим на възстановяване на BitLocker при първото стартиране след актуализацията на защитеното стартиране, но се зарежда нормално при следващи рестартирания.

Защо става така

По време на първото стартиране след актуализацията фърмуерът все още не отчита актуализираните стойности на защитеното стартиране, когато Windows се опита да запечата отново BitLocker. Това причинява временно несъответствие в измерените стойности при стартиране и активира възстановяване. При следващото стартиране фърмуерът отчита актуализираните стойности правилно, BitLocker се запечатва успешно и проблемът не се повтаря.

Как да го разпознаете

  • Възстановяването на BitLocker се случва веднъж.
  • След въвеждане на ключа за възстановяване следващите стартирания не предизвикват възстановяване.
  • Няма текуща поръчка за стартиране или участие в PXE.

Какво да направите след това

  • Въведете ключа за възстановяване на BitLocker, за да възобновите Windows.
  • Проверете за актуализации на фърмуера.

Сценарий 2: Повторно възстановяване на BitLocker поради конфигурацията на първото стартиране на PXE

Какво се случва

Устройството влиза в BitLocker възстановяване при всяко стартиране.

Защо става така

Устройството е конфигурирано да се опита първо да стартира PXE (мрежа). Опитът за стартиране на PXE е неуспешен и фърмуерът след това се връща в диспечера за зареждане на Windows на диска.

Това води до измерване на два различни органа за подписване по време на един цикъл на стартиране:

  • Пътят за зареждане на PXE е подписан от Microsoft UEFI CA 2011.
  • Диспечерът за зареждане на Windows на диска е подписан от Windows UEFI CA 2023.

Тъй като BitLocker наблюдава различни вериги на сигурност на защитеното стартиране при стартиране, той не може да установи стабилен набор от TPM измервания, с които да се запечата повторно. В резултат на това BitLocker влиза в режим на възстановяване при всяко стартиране.

Как да го разпознаете

  • Възстановяването на BitLocker се активира при всяко рестартиране.
  • Въвеждането на ключа за възстановяване позволява на Windows да стартира, но подканата се връща при следващото стартиране.
  • PXE или мрежовото стартиране се конфигурира преди локалния диск в реда на стартиране на фърмуера.

Какво да направите след това

  • Конфигурирайте реда за зареждане на фърмуера, така че диспечерът за зареждане на Windows на диска да бъде първи.
  • Забранете PXE стартирането, ако не е задължително.
  • Ако се изисква PXE, уверете се, че инфраструктурата за PXE използва подписан в 2023 г. зареждащ служебен товарач на Windows.
Устройството не успява да се стартира след нулиране на защитеното стартиране

Какво се е случило

Това отразява промяна на ниво фърмуер, а не проблем с Windows. Актуализацията на защитеното стартиране е завършена успешно, но след по-късно рестартиране устройството вече не се стартира в Windows.

Как да го разпознаете

  • Устройството не успява да стартира Windows и може да покаже съобщение за фърмуер или BIOS, показващо нарушение на защитеното стартиране.
  • Грешката възниква , след като настройките на защитеното стартиране се нулират до настройките по подразбиране на фърмуера.
  • Забраняването на защитеното стартиране може да позволи на устройството да се стартира отново.

Защо става така

Нулирането на защитеното стартиране до настройките по подразбиране на фърмуера изчиства базите данни за защитено стартиране, съхранени във фърмуера. На устройства, които вече са преминали към подписан диспечер за зареждане на Windows UEFI CA 2023, това нулиране премахва сертификатите, необходими, за да се доверим на този диспечер за зареждане.

В резултат на това фърмуерът вече не разпознава инсталирания диспечер за зареждане на Windows като надежден и блокира процеса на зареждане.

Този сценарий не е причинен от самата актуализация на защитеното стартиране, а от последващо действие на фърмуера, което премахва актуализираните котви за сигурност.

Какво да направите след това

  • Използвайте помощната програма за възстановяване на защитено стартиране, за да възстановите необходимия сертификат, така че устройството да може да се стартира отново.
  • След възстановяване се уверете, че устройството разполага с най-новия наличен фърмуер, инсталиран от производителя на устройството.
  • Избягвайте нулирането на защитеното стартиране до настройките по подразбиране на фърмуера, освен ако OEM фърмуерът не включва актуализирани настройки по подразбиране за защитено стартиране, които се доверяват на сертификатите от 2023.

Помощна програма за възстановяване на защитено стартиране

За възстановяване на системата:

  1. На втори компютър с Windows с инсталирана актуализация на Windows от юли 2024 г. или по-нова, копирайте SecureBootRecovery.efi от C:\Windows\Boot\EFI\.
  2. Поставете файла на USB устройство във формат FAT32 под \EFI\BOOT\ и го преименувайте на bootx64.efi.
  3. Стартирайте засегнатото устройство от USB устройството и оставете помощната програма за възстановяване да се изпълнява. Помощната програма ще добави Windows UEFI CA 2023 към базата данни.

След като сертификатът бъде възстановен и системата се рестартира, Windows трябва да стартира нормално.

Важно: При този процес ще се приложи повторно само един от новите сертификати. След като устройството бъде възстановено, уверете се, че са приложени отново най-новите сертификати и помислете за актуализиране на BIOS/UEFI на системата до най-новата налична версия. Това може да помогне да се предотврати повторение на проблема с нулирането на защитеното стартиране, тъй като много OEM са издали корекции на фърмуера за този конкретен проблем.

Устройството не успява да стартира след актуализация на защитеното стартиране поради презаписване на базата данни от фърмуера.

Какво се е случило

След като се приложи актуализацията на сертификата за защитено стартиране и се рестартира, устройството не успява да се стартира и не достига до Windows.

Как да го разпознаете

  • Устройството не работи веднага след рестартирането, изисквано от актуализацията на защитеното стартиране.
  • Възможно е да се покаже грешка при фърмуер или защитено стартиране или системата да спре, преди да се зареди Windows.
  • Забраняването на защитеното стартиране може да позволи на устройството да се стартира.

Защо става така

Този проблем може да е причинен от неизправност във внедряването на UEFI фърмуера на устройството.

Когато Windows прилага актуализации на сертификати за защитено стартиране, фърмуерът се очаква да добавя нови сертификати към съществуващата база данни за подписи (DB) с разрешено защитено стартиране. Някои внедрявания на фърмуера неправилно презаписват базата данни, вместо да се добавят към нея.

Когато това се случи,

  • Досега надеждните сертификати, включително сертификатът за стартиране на Microsoft 2011, се премахват.
  • Ако към този момент системата все още използва диспечер за зареждане, подписан със сертификата 2011, фърмуерът вече не му се доверява.
  • Фърмуерът отхвърля диспечера за зареждане и блокира процеса на стартиране.

В някои случаи базата данни може също да се повреди, а не да се презапише чисто, което води до същия резултат. Това поведение се наблюдава при определени внедрявания на фърмуера и не се очаква при съвместим фърмуер.

Какво да направите след това

  • Влезте в менютата за настройка на фърмуера и се опитайте да нулирате настройките на защитеното стартиране.
  • Ако устройството се стартира след нулирането, проверете сайта за поддръжка на производителя на устройството за актуализация на фърмуера, която коригира обработката на базата данни за защитено стартиране.
  • Ако е налична актуализация на фърмуера, инсталирайте я, преди да активирате отново защитеното стартиране и да приложите повторно актуализациите на сертификата за защитено стартиране.

Ако нулирането на защитеното стартиране не възстанови функционалността на зареждане, по-нататъшното възстановяване вероятно изисква указания, специфични за OEM.

Актуализацията на защитеното стартиране е блокирана поради липсващ подписан от OEM KEK

Какво се е случило

Актуализацията на сертификата за защитено стартиране не е завършена и остава блокирана на етапа на актуализиране на ключ за обмен на ключ (KEK).

Как да го разпознаете

  • Стойността на системния регистър AvailableUpdates остава зададена с бита KEK (0x0004) и не се изчиства.
  • UEFICA2023Status не прогресира до завършено състояние.
  • Регистърът на събитията на системата многократно записва ИД на събитие 1803, което показва, че актуализацията на KEK не може да бъде приложена.
  • Устройството продължава да опитва актуализацията, без да напредва.

Защо става така

Актуализирането на KEK за защитено стартиране изисква удостоверяване от ключа за платформата (PK) на устройството, който е собственост на OEM.

За да успее актуализацията, производителят на устройството трябва да предостави на Microsoft подписан с PK KEK за тази конкретна платформа. Този подписан от OEM KEK е включен в актуализациите на Windows и позволява на Windows да актуализира променливата KEK на фърмуера.

Ако OEM не е предоставил подписан с PK KEK за устройството, Windows не може да завърши актуализацията на KEK. В това състояние:

  • Актуализациите на защитеното стартиране са блокирани нарочно.
  • Windows не може да заобиколи липсващото удостоверяване.
  • Устройството може да остане постоянно неспособно да завърши обслужването на сертификата за защитено стартиране.

Това може да се случи на по-стари устройства или устройства, които не се поддържат, където OEM вече не предоставя актуализации на фърмуера или ключове. Няма поддържан път за ръчно възстановяване за това състояние.

обратно към началото

Събития за актуализиране на сертификат за защитено стартиране и индикатори за отказ

Когато актуализациите на сертификата за защитено стартиране не успеят да се приложат, Windows записва диагностични събития, които обясняват защо напредъкът е блокиран. Тези събития се записват, когато актуализирането на базата данни за подписи на защитеното стартиране (DB) или ключ за обмен на ключ (KEK) не може да бъде завършено безопасно поради фърмуер, състояние на платформата или условия на конфигурацията. Сценариите в този раздел се позовават на тези събития, за да идентифицират често срещани модели на грешки и да определят подходящото отстраняване. Този раздел е предназначен за подпомагане на диагностиката и тълкуването на проблеми, описани по-горе, а не за въвеждане на нови сценарии за отказ.

За пълен списък на ИД на събития, описания и примерни записи вж. събитията за актуализиране на променливи на DB със защитено стартиране и DBX (KB5016061).

Неуспешна актуализация на KEK (актуализациите на базата данни са успешни, KEK – не)

Дадено устройство може успешно да актуализира сертификати в базата данни за защитено стартиране, но да не успее по време на актуализацията на KEK. Когато това възникне, процесът на актуализиране на защитеното стартиране не може да бъде завършен.

Симптоми

  • Събитията за сертификат от DB показват напредък, но етапът на KEK не е завършен.
  • AvailableUpdates остава зададено на 0x4004 и битът за 0x0004 не се изчиства след няколко изпълнения на задачи.
  • Възможно е да има събитие 1795 или 1803 .

Тълкуване

  • 1795 обикновено показва неизправност на фърмуера при опит за актуализиране на променлива на защитеното стартиране.
  • 1803 показва, че актуализацията на KEK не може да бъде разрешена, тъй като не е наличен необходим полезен обем на KEK, подписан от OEM PK.

Следващи стъпки

  • За 1795, проверете за актуализации на OEM фърмуера и потвърдете поддръжката на фърмуера за актуализации на променливи за защитено стартиране.
  • За 1803 потвърдете дали OEM е предоставил на Microsoft подписан с PK KEK, необходим за модела на устройството.

Грешка при актуализиране на KEK на гост виртуални машини, хоствани на Hyper-V

На виртуални машини на Hyper-V актуализациите на сертификата за защитено стартиране изискват актуализациите на Windows от март 2026 г. да бъдат инсталирани както на хоста на Hyper-V, така и на вторичната операционна система.

Неуспешните актуализации се съобщават от госта, но събитието посочва къде е необходимо лечение:

  • Събитие 1795 (например "Мултимедията е защитена от записване"), докладвано в госта , показва, че хостът на Hyper-V липсва актуализацията от март 2026 г. и трябва да бъде актуализиран.
  • Събитие 1803 , докладвано в госта , показва, че самата виртуална машина на госта няма актуализацията от март 2026 г. и трябва да бъде актуализирана.

обратно към началото

Справочни и вътрешни

Този раздел съдържа разширена справочна информация, предназначена за отстраняване на неизправности и поддръжка. Той не е предназначен за планиране на разполагане. Той разширява механиката на обслужване на защитеното стартиране, обобщена по-рано, и предоставя подробен справочен материал за интерпретиране на състоянието на системния регистър и регистрационните файлове за събития.

Забележка (управлявани от ИТ разполагания): Когато сте конфигурирани чрез групови правила или Microsoft Intune, две подобни настройки не трябва да се бъркат. Стойността AvailableUpdatesPolicy представя конфигурираното състояние на правилата. Междувременно AvailableUpdates отразява текущото състояние на работата по изчистване на битове. И двете могат да доведат до един и същ резултат, но се държат по различен начин, тъй като политиката се прилага отново с течение на времето.

обратно към началото

НаличниАктуализира битове, използвани за обслужване на сертификати

Битовете по-долу се използват за действията на диспечера за сертификата и зареждането, описани в този документ. Колоната "Ред" отразява последователността, в която задачата за защитено стартиране-актуализиране обработва всеки бит.

"ред" Битова настройка Използване
1 0x0040 Този бит казва на планираната задача да добави сертификата на Windows UEFI CA 2023 към базата данни за защитено стартиране. Това позволява на Windows да се доверява на диспечерите за стартиране, подписани с този сертификат.
2 0x0800 Този бит казва на планираната задача да приложи Microsoft Option ROM UEFI CA 2023 към базата данни.
Условно поведение: Когато е зададен флагът за 0x4000 , планираната задача първо ще провери базата данни за сертификата на Microsoft Corporation UEFI CA 2011 . Той ще прилага сертификата Microsoft Option ROM UEFI CA 2023само ако е наличен сертификат от 2011 г.
3 0x1000 Този бит казва на планираната задача да приложи Microsoft UEFI CA 2023 към базата данни.
Условно поведение: Когато е зададен флагът за 0x4000 , планираната задача първо ще провери базата данни за сертификата на Microsoft Corporation UEFI CA 2011 . Той ще прилага сертификата Microsoft UEFI CA 2023само ако е наличен сертификат от 2011 г.
Модификатор (флаг за поведение) 0x4000 Този бит променя поведението на битовете на 0x0800 и 0x1000, така че Microsoft UEFI CA 2023 и Microsoft Option ROM UEFI CA 2023 се прилагат само ако базата данни вече съдържа Microsoft Corporation UEFI CA 2011.

За да се гарантира, че профилът за защита на устройството остава същият, този бит прилага тези нови сертификати само ако устройството се доверява на сертификата на Microsoft Corporation UEFI CA 2011. Не всички устройства с Windows се доверяват на този сертификат.
4 0x0004 Този бит казва на планираната задача да търси ключ за Exchange Key, подписан с ключа на платформата (PK) на устройството. PK се управлява от OEM. OEM подписват Microsoft KEK със своя PK и го доставят на Microsoft, където е включен в месечните кумулативни актуализации.
5 0x0100 Този бит казва на планираната задача да приложи диспечера за зареждане, подписан от Windows UEFI CA 2023, към дяла с рестартиране. Това ще замени подписания диспечер за зареждане на Microsoft Windows Production PCA 2011 .

Бележки:

  • Битът за 0x4000 ще остане зададен след обработката на всички други битове.
  • Всеки бит се обработва от планираната задача Secure-Boot-Update в реда, показан по-горе.
  • Ако битът за 0x0004 не може да бъде обработен поради липсващ подписан ПК KEK, планираната задача все още ще приложи актуализацията на диспечера за зареждане, посочена с бит 0x0100.

обратно към началото

Очаквана прогресия (AvailableUpdates)

Когато дадена операция завърши успешно, Windows изчиства свързания бит от AvailableUpdates. Ако дадена операция е неуспешна, Windows регистрира събитие и опитва отново, когато задачата се изпълни отново.

Таблицата по-долу показва очакваното прогресиране на стойностите на AvailableUpdates при завършване на всяко действие за актуализиране на защитеното стартиране.

Стъпка Бит обработен Налични Актуализации Описание Регистрирано събитие за успех Възможни кодове на събития за грешки
Start 0x5944 Първоначално състояние преди да започне обслужването на сертификата за защитено стартиране. - -
1 0x0040 0x5944 → 0x5904 Windows UEFI CA 2023 се добавя към базата данни за защитено стартиране. 1036 1032, 1795, 1796, 1802
2 0x0800 0x5904 → 0x5104 Добавете Microsoft Option ROM UEFI CA 2023 към базата данни, ако устройството преди това се е доверявало на Microsoft UEFI CA 2011. 1044 1032, 1795, 1796, 1802
3 0x1000 0x5104 → 0x4104 Microsoft UEFI CA 2023 се добавя към базата данни, ако устройството преди това е се е доверявало на Microsoft UEFI CA 2011. 1045 1032, 1795, 1796, 1802
4 0x0004 0x4104 → 0x4100 Прилага се новият Microsoft KEK 2K CA 2023, подписан с ключа за платформата OEM. 1043 1032, 1795, 1796, 1802, 1803
5 0x0100 0x4100 → 0x4000 Диспечерът за зареждане, подписан от Windows UEFI CA 2023 е инсталиран. 1799 1797

Забележки

  • След като операцията, свързана с бит, завърши успешно, този бит се изчиства от AvailableUpdates.
  • Ако някоя от тези операции е неуспешна, се регистрира събитие и операцията се повторява при следващото изпълнение на планираната задача.
  • Битът за 0x4000 е модификатор и не се изчиства. Окончателна стойност на AvailableUpdates 0x4000 показва успешното завършване на всички приложими действия за актуализация.
  • Събития 1032, 1795, 1796, 1802 обикновено показват ограничения на фърмуера или платформата.
  • Събитие 1803 показва липсващ подписан от OEM PK KEK.

обратно към началото

Процедури за отстраняване

Този раздел предоставя подробни процедури за отстраняване на конкретни проблеми със защитеното стартиране. Обхватът на всяка процедура е добре дефинирано условие и е предназначена да се следва само след като първоначалната диагностика потвърди, че проблемът е налице. Използвайте тези процедури, за да възстановите очакваното поведение на защитеното стартиране и да позволите актуализациите на сертификата да протичат безопасно. Не прилагайте тези процедури широко или изпреварващо.

обратно към началото

Разрешаване на защитено стартиране във фърмуера

Ако защитеното стартиране е деактивирано във фърмуера на устройството, вижте Windows 11 и защитеното стартиране за информация относно разрешаването на защитеното стартиране.

обратно към началото

Планираната задача на защитеното стартиране е дезактивирана или изтрита

Планираната задача за защитено стартиране и актуализиране е нужна на Windows да приложи актуализациите на сертификата за защитено стартиране. Ако задачата е забранена или липсва, обслужването на сертификата на защитеното стартиране няма да продължи.

Подробности за задачата

Име на задача Защитено стартиране-актуализиране
Последователност за задача \Microsoft\Windows\PI\
Пълен път \Microsoft\Windows\PI\Secure-Boot-Update
Изпълнява се като СИСТЕМА (локална система)
Превключватели При стартиране и на всеки 12 часа
Задължително състояние Разрешен

Как да проверите състоянието на задача

Стартиране от администраторски PowerShell команден ред:
schtasks.exe /query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Потърсете полето "Състояние ":

Състояние Значение
Готов Задачата съществува и е разрешена.
Споделяне Задачата съществува, но трябва да бъде разрешена.
Грешка / не е намерена Задачата липсва и трябва да бъде създадена наново.

Как да разрешите или да създадете отново задачата

Ако полето за състояние за защитено стартиране-актуализиране е забранено, грешка или не е намерено, използвайте примерния скрипт, за да разрешите задачата: Примерен Enable-SecureBootUpdateTask.ps1

Забележка: Това е примерен скрипт и не се поддържа от Microsoft. Администраторите трябва да го прегледат и адаптират към своята среда.

Пример:

Забележка

.\Enable-SecureBootUpdateTask.ps1 -Тих

Изпълнение на указания

  • Ако виждате отказан достъп, изпълнете отново PowerShell като администратор.
  • Ако скриптът няма да се изпълни поради правилата за изпълнение, използвайте заобикаляне на обхвата на процеса:

Забележка

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass

обратно към началото