Отнася се за
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Първоначална дата на публикуване: 14 октомври 2025 г.

ИД на КБ: 5068202

Тази статия има указания за:  

  • Организации с устройства и актуализации на Windows, управлявани от ИТ.

Наличност на тази поддръжка:  

AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut и ключовете от системния регистър MicrosoftUpdateManagedOptIn са включени в актуализациите, издадени на или след следните дати:

  • 14 октомври 2025 г.: Поддържаните версии включват Windows 10, версия 22H2 и по-нови версии (включително 21H2 LTSC), всички поддържани версии на Windows 11, както и Windows Server 2022 и по-нови.

  • 11 ноември 2025 г.: За версии на Windows, които все още се поддържат.

Промяна на датата

Промяна на описанието

4 ноември 2025 г.

  • Добавен е още един ключ от системния регистър към страницата.

  • Коригирана команда от "Например ако актуализирането на базата данни (база данни с надеждни подписи) е неуспешно поради проблем с фърмуера, този ключ от системния регистър може да покаже код на грешка, който може да бъде нанесен в регистрационен файл на събитията или документиран ИД на грешка в", за да каже "Например ако актуализирането на базата данни за надеждни подписи) е неуспешно поради проблем с фърмуера, този ключ от системния регистър може да показва код на грешка от фърмуера. Когато този ключ съществува и не е нула, ви препоръчваме да потърсите събития за защитено стартиране в регистрите на събитията на Windows – вижте (връзка) за повече подробности".

  • Добавихме два отделни пътя за ключове от системния регистър по-долу

11 ноември 2025 г.

  • Актуализиран е абзацът под Тестване на устройство с помощта на ключове от системния регистър с допълнителна информация: "Ключът от системния регистър трябва бързо да се промени на 0x4100. Рестартирането и повторното изпълнение на задачата ще доведе до актуализиране на диспечера за зареждане и 0x0100 НаличенUpdates. Вижте Отстраняване на неизправности за повече информация относно поведението на AvailableUpdates."

  • Актуализирайте текста в сивото поле под Тестване на устройство с помощта на ключове от системния регистър, за да имате две допълнителни команди на PowerShell

  • Под ключове от системния регистър стойността в системния регистър -MicrosoftUpdateManagedOptIn е променена от "1 – Включване" на "1 или всяка ненулева стойност – включване"

16 ноември 2025 г.

Актуализирано е съдържанието под "Тестване на устройства с помощта на ключове от системния регистър". Стойността за Налична актуализация е променена от "0x0100" на "0x4000".

В тази статия

Въведение

Този документ описва поддръжката за разполагане, управление и следене на актуализациите на сертификата за защитено стартиране с помощта на ключове от системния регистър на Windows. Клавишите се състоят от следното: 

  • Един ключ за активиране на разполагането на сертификатите и диспечера за зареждане на устройството.

  • Два ключа за следене на състоянието на разполагането.

  • Два ключа за управление на настройките за отписване/отписване за двете налични помощни разполагания.

Тези ключове от системния регистър могат да се зададат ръчно на устройството или отдалечено чрез наличен софтуер за управление на автопаркове. Други методи за разполагане, като например групови правила, Microsoft Intune и WinCS, са описани в статията Устройства с Windows за фирми и организации с актуализации, управлявани от ИТ.  

Ключове от системния регистър за защитено стартиране

В този раздел

Ключове от системния регистър

Всички ключове от системния регистър на защитеното стартиране, описани по-долу, се намират под този път на системния регистър: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Следващата таблица описва всяка от стойностите в системния регистър:

Стойност на системния регистър

Тип

Описание и използване

Наличниupdates

REG_DWORD (побитова маска)

Флагове за активиране на актуализация.

Контролира кои действия за актуализиране на защитеното стартиране да се извършват на устройството. Задаването на подходящото поле bitfield тук стартира разполагането на нови сертификати за защитено стартиране и свързаните с тях актуализации. За корпоративно разполагане това трябва да бъде настроено на 0x5944 (hex) – стойност, която позволява всички съответни актуализации (добавяне на новите сертификати на CA за 2023 г., актуализиране на KEK и инсталиране на новия диспечер за зареждане). 

Настройки

  • 0 или не е зададено – не се извършва актуализация на ключа за защитено стартиране.

  • 0x5944 – Разполагане на всички необходими сертификати и актуализиране до диспечера за зареждане, подписан от PCA2023

HighConfidenceOptOut

REG_DWORD

Опция за отписване.

За предприятия, които искат да се отпишат от набори с висока достоверност, които автоматично ще се прилагат като част от LCU.

Можете да зададете този ключ на ненулева стойност, за да се отпишете от наборите с висока достоверност. 

Настройки 

  • 0 или клавиш не съществува – Включете се

  • 1 – Отписване

MicrosoftUpdateManagedOptIn

REG_DWORD

Опция за записване.

За предприятия, които искат да се включат в контролираното обслужване за внедряване на функции (CFR), известно още като Управлявано от Microsoft.

Освен да зададете този ключ, разрешете изпращането на задължителни диагностични данни (вижте Конфигуриране на диагностични данни на Windows във вашата организация). 

Настройки

  • 0 или ключът не съществува – отписване

  • 1 или ненулева стойност  – Включете се

Всички ключове от системния регистър на защитеното стартиране, описани по-долу, се намират под този път на системния регистър: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Следващата таблица описва всяка от стойностите в системния регистър:

Стойност на системния регистър

Тип

Описание и използване

UEFICA2023Status

REG_SZ (низ)

Индикатор на състоянието на разполагане.

Отразява текущото състояние на актуализацията на ключа за защитено стартиране на устройството. Той ще бъде зададен на една от следните текстови стойности:

  • NotStarted: Актуализацията все още не се е изпълнявала.

  • InProgress: Актуализацията е в ход активно.

  • Актуализирано: Актуализацията завърши успешно.

Първоначално състоянието е NotStarted. Тя се променя на InProgress, след като актуализацията започне, и накрая на Актуализирано, когато всички нови ключове и новият диспечер за зареждане са разположени. Ако възникне грешка, стойността в системния регистър UEFICA2023Error е зададена на ненулев код.

UEFICA2023Грешка

REG_DWORD (код)

Код на грешка (ако има такъв).

Тази стойност остава 0 при успех. Ако процесът на актуализиране се натъкне на грешка, UEFICA2023Error е зададен на ненулев код на грешка, съответстващ на първата грешка. Грешка тук предполага, че актуализацията на защитеното стартиране не е напълно успешна и може да изисква проучване или отстраняване на това устройство.  

Например, ако актуализирането на базата данни за надеждни подписи е неуспешно поради проблем с фърмуера, този ключ от системния регистър може да показва код на грешка от фърмуера. Когато този ключ съществува и не е нула, ви препоръчваме да потърсите събития на защитено стартиране в регистрите на събитията на Windows – вижте Събития за актуализация на защитено стартиране и DBX променливи за повече подробности.

WindowsUEFICA2023Capable

REG_DWORD (код)

Този ключ от системния регистър е предназначен за сценарии на ограничено разполагане и не се препоръчва за обща употреба. В повечето случаи вместо това използвайте ключа от системния регистър UEFICA2023Status.

Валидни стойности:

0 – или ключът не съществува – сертификатът "Windows UEFI CA 2023" не е в базата данни

1 – Сертификатът "Windows UEFI CA 2023" е в базата данни

2 – Сертификатът "Windows UEFI CA 2023" е в базата данни и системата започва от диспечера за зареждане, подписан от 2023 г.

Как тези клавиши работят заедно

ИТ администраторите конфигурират стойността на системния регистър AvailableUpdates за 0x5944, което сигнализира Windows да изпълни актуализацията и инсталирането на ключа на защитеното стартиране на устройството.

Докато процесът се изпълнява, системата актуализира UEFICA2023Status от NotStarted към InProgress и накрая актуализира при успех. Тъй като всеки бит в 0x5944 се обработва успешно, той се изчиства.

Ако някоя стъпка е неуспешна, в UEFICA2023Error се записва код на грешка (и състоянието остава InProgress).

Този механизъм дава на администраторите ясен начин за задействане и проследяване на внедряването за всяко устройство. 

Разполагане с помощта на ключове от системния регистър 

Разполагането на група устройства се състои от следните стъпки: 

  1. Задайте стойността в системния регистър AvailableUpdates , за да 0x5944 на всяко от устройствата, които да се актуализират.

  2. Наблюдавайте ключовете от системния регистър UEFICA2023Status и UEFICA2023Error , за да се уверите, че устройствата напредват. Задачата, която обработва тези актуализации, се изпълнява на всеки 12 часа. Имайте предвид, че актуализацията на диспечера за зареждане може да не се случи, докато не се появи рестартиране.

  3. Проучете проблемите, ако възникнат. Ако UEFICA2023Error не е нула на устройство, можете да проверите регистъра на събитията за събития, свързани с този проблем. Вижте събития за актуализиране на променливи на защитено стартиране на DB и DBX за пълен списък на събитията на защитеното стартиране.

Забележка за рестартиранията: Въпреки че може да се наложи рестартиране, за да завърши процесът, започването на разполагането на актуализациите на защитеното стартиране няма да доведе до рестартиране. Ако е необходимо рестартиране, разполагането на защитеното стартиране разчита на рестартирането, което се случва като нормален курс на използване на устройството. 

Тестване на устройства с помощта на ключове от системния регистър 

Когато тествате отделни устройства, за да сте сигурни, че устройствата ще обработват актуализациите правилно, ключовете от системния регистър могат да бъдат прост начин за тестване. 

За да тествате, изпълнете всяка от следните команди отделно от подканата на администратор на PowerShell: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Ръчно рестартиране на системата, когато AvailableUpdates стане 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Първата команда инициира разполагане на сертификата и диспечера за зареждане на устройството. Втората команда кара задачата, която обработва ключа от системния регистър AvailableUpdates , да се изпълни веднага. Обикновено задачата се изпълнява на всеки 12 часа. Ключът от системния регистър трябва бързо да се промени на 0x4100. Рестартирането и повторното изпълнение на задачата ще доведе до актуализиране на диспечера за зареждане и 0x4000 на AvailableUpdates. Вижте Отстраняване на неизправности за повече информация относно поведението на AvailableUpdates.

Можете да намерите резултатите, като наблюдавате ключовете от системния регистър UEFICA2023Status и UEFICA2023Error и регистрите на събитията, както е описано в събития за актуализация на защитено стартиране и DBX променливи

Отпишете се и се отпишете за "Помощ" 

Ключовете от системния регистър HighConfidenceOptOut и MicrosoftUpdateManagedOptIn могат да се използват за управление на двете "помощни" за разполагане, описани в устройства с Windows с актуализации, управлявани от ИТ

  • Ключът от системния регистър HighConfidenceOptOut управлява автоматичното актуализиране на устройствата чрез кумулативните актуализации. За устройствата, на които Microsoft наблюдава, че определени устройства се актуализират успешно, те ще се считат за устройства с висока достоверност и актуализациите на сертификата за защитено стартиране ще се извършват автоматично. Настройката по подразбиране е да се включите.

  • Ключът от системния регистър MicrosoftUpdateManagedOptIn позволява на ИТ отделите да се включат в автоматично разполагане, управлявано от Microsoft. Тази настройка е забранена по подразбиране и я зададете на 1 за включване. Тази настройка също така изисква устройството да изпраща опционални диагностични данни.

Поддържани версии на Windows

Тази таблица допълнително разделя поддръжката въз основа на ключа от системния регистър. 

Ключ 

Поддържани версии на Windows 

Наличниupdates 

UEFICA2023Status 

UEFICA2023Грешка 

Всички версии на Windows, които поддържат защитено стартиране (Windows Server 2012 и по-нови версии на Windows).  

Забележка: Докато данните за надеждност се събират на Windows 10, версии LTSC, 22H2 и по-нови версии на Windows, те могат да бъдат приложени към устройства, работещи с по-стари версии на Windows.    

  • Windows 10, версии LTSC и 22H2

  • Windows 11, версии 22H2 и 23H2

  • Windows 11, версия 24H2

  • Windows Server 2025 г.

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Събития за грешка при защитено стартиране

​​​​​​​​​​​​​​Събитията за грешки имат функция за критично отчитане, която информира за състоянието и напредъка на защитеното зареждане.  За информация относно събитията за грешки вижте Събития за актуализиране на DB и DBX променливи. Събитията за грешка се актуализират с допълнителна информация за събития за защитено стартиране. 

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност