Отнася се за
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Първоначална дата на публикуване: 14 октомври 2025 г.

ИД на КБ: 5068202

Тази статия има указания за:  

  • Организации с устройства и актуализации на Windows, управлявани от ИТ.

Наличност на тази поддръжка:  

  • AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut и ключовете от системния регистър MicrosoftUpdateManagedOptIn са включени в актуализациите, издадени на или след следните дати:

    • 14 октомври 2025 г.: Поддържаните версии включват Windows 10, версия 22H2 и по-нови версии (включително 21H2 LTSC), всички поддържани версии на Windows 11, както и Windows Server 2022 и по-нови.

    • 11 ноември 2025 г.: За версии на Windows, които все още се поддържат.

В тази статия

Въведение

Този документ описва поддръжката за разполагане, управление и следене на актуализациите на сертификата за защитено стартиране с помощта на ключове от системния регистър на Windows. Клавишите се състоят от следното: 

  • Един ключ за активиране на разполагането на сертификатите и диспечера за зареждане на устройството.

  • Два ключа за следене на състоянието на разполагането.

  • Два ключа за управление на настройките за отписване/отписване за двете налични помощни възможности за разполагане.

Тези ключове от системния регистър могат да се зададат ръчно на устройството или отдалечено чрез наличен софтуер за управление на автопаркове. Други методи за разполагане, като например групови правила, Intune и WinCS, са описани в статията Устройства с Windows за фирми и организации с актуализации, управлявани от ИТ.  

Ключове от системния регистър за защитено стартиране

В този раздел

Ключове от системния регистър

Всички ключове от системния регистър на защитеното стартиране, описани в този документ, се намират под този път на системния регистър: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Таблицата по-долу описва всяка от стойностите в системния регистър. 

Стойност на системния регистър

Тип

Описание & използване

Наличниupdates

REG_DWORD (побитова маска)

Флагове за активиране на актуализация.

Контролира кои действия за актуализиране на защитеното стартиране да се извършват на устройството. Задаването на подходящото поле bitfield тук стартира разполагането на нови сертификати за защитено стартиране и свързаните с тях актуализации. За корпоративно разполагане това трябва да бъде настроено на 0x5944 (hex) – стойност, която позволява всички подходящи актуализации (добавяне на новите сертификати на 2023 CA, актуализиране на KEK и инсталиране на новия диспечер за зареждане). 

„Настройки“: 

  • 0 или не е зададено – не се извършва актуализация на ключа за защитено стартиране.

  • 0x5944 – Разполагане на всички необходими сертификати и актуализиране до диспечера за зареждане PCA2023 подписан

UEFICA2023Status

REG_SZ (низ)

Индикатор на състоянието на разполагане.

Отразява текущото състояние на актуализацията на ключа за защитено стартиране на устройството. Той ще бъде зададен на една от следните текстови стойности:

  • Без стартиране:Актуализацията все още не е изпълнена.

  • InProgress:Актуализацията е в ход активно.

  • Актуализирано: Актуализацията завърши успешно.

Първоначално състоянието е NotStarted. Тя се променя на InProgress, след като актуализацията започне, и накрая на Актуализирано, когато всички нови ключове и новият диспечер за зареждане са разположени. Ако възникне грешка, стойността в системния регистър UEFICA2023Error е зададена на ненулев код.

UEFICA2023Грешка

REG_DWORD (код)

Код на грешка (ако има такъв).

Тази стойност остава 0 при успех. Ако процесът на актуализиране се натъкне на грешка, UEFICA2023Error е зададен на ненулев код на грешка, съответстващ на първата грешка. Грешка тук предполага, че актуализацията на защитеното стартиране не е напълно успешна и може да изисква проучване или отстраняване на това устройство.  

Например ако актуализирането на базата данни (базата данни с надеждни подписи) е неуспешно поради проблем с фърмуера, този ключ от системния регистър може да покаже код на грешка, който може да бъде нанесен в регистър на събитията или документиран ИД на грешка в събития за актуализация на защитено стартиране и DBX променливи

HighConfidenceOptOut

REG_DWORD

Опция за отписване.

За предприятия, които искат да се отпишат от набори с висока достоверност, които автоматично ще се прилагат като част от LCU.

Можете да зададете този ключ на ненулева стойност, за да се отпишете от наборите с висока достоверност. 

Настройки 

  • 0 или ключът не съществува – Включете се

  • 1 – Записване

MicrosoftUpdateManagedOptIn

REG_DWORD

Опция за записване.

За предприятия, които искат да се включат в контролираното обслужване за внедряване на функции (CFR), известно още като Управлявано от Microsoft.

Освен да зададете този ключ, разрешете изпращането на задължителни диагностични данни (вижте Конфигуриране на диагностични данни на Windows във вашата организация). 

Настройки

  • 0 или ключът не съществува – отписване

  • 1 – Записване

Как тези клавиши работят заедно

ИТ администраторът конфигурира стойността на системния регистър AvailableUpdates за 0x5944, което сигнализира Windows да изпълни актуализацията и инсталирането на ключа на защитеното стартиране на устройството.

Докато процесът се изпълнява, системата актуализира UEFICA2023Status от NotStarted към InProgress и накрая актуализира при успех. Тъй като всеки бит в 0x5944 се обработва успешно, той се изчиства.

Ако някоя стъпка е неуспешна, в UEFICA2023Error се записва код на грешка (и състоянието остава InProgress).

Този механизъм дава на администраторите ясен начин за задействане и проследяване на внедряването за всяко устройство. 

Разполагане с помощта на ключове от системния регистър 

Разполагането на група устройства се състои от следните стъпки: 

  1. Задайте стойността в системния регистър AvailableUpdates , за да 0x5944 на всяко от устройствата, които да се актуализират.

  2. Наблюдавайте ключовете от системния регистър UEFICA2023Status и UEFICA2023Error , за да се уверите, че устройствата напредват. Не забравяйте, че задачата, която обработва тези актуализации, се изпълнява веднъж на всеки 12 часа. Имайте предвид, че актуализацията на диспечера за зареждане може да не се случи, докато не се появи рестартиране.

  3. Проучете проблемите, ако възникнат. Ако UEFICA2023Error не е нула на устройство, можете да проверите регистъра на събитията за събития, свързани с този проблем. Вижте събития за актуализиране на променливи на защитено стартиране на DB и DBX за пълен списък на събитията на защитеното стартиране.

Забележка за рестартиранията: Въпреки че може да се наложи рестартиране, за да завърши процесът, започването на разполагането на актуализациите на защитеното стартиране няма да доведе до рестартиране. Ако е необходимо рестартиране, разполагането на защитеното стартиране разчита на рестартирането, което се случва като нормален курс на използване на устройството. 

Тестване на устройства с помощта на ключове от системния регистър 

Когато тествате отделни устройства, за да сте сигурни, че устройствата ще обработват актуализациите правилно, ключовете от системния регистър могат да бъдат прост начин за тестване. 

За да тествате, изпълнете всяка от следните команди отделно от подканата на администратор на PowerShell: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Първата команда инициира разполагане на сертификата и диспечера за зареждане на устройството. Втората команда кара задачата, която обработва ключа от системния регистър AvailableUpdates , да се изпълни веднага. Обикновено задачата се изпълнява на всеки 12 часа. 

Можете да намерите резултатите, като наблюдавате ключовете от системния регистър UEFICA2023Status и UEFICA2023Error и регистрите на събитията, както е описано в събития за актуализация на защитено стартиране и DBX променливи

Отписване и отписване от "Помощ" 

Ключовете от системния регистър HighConfidenceOptOut и MicrosoftUpdateManagedOptIn могат да се използват за управление на двете "помощни" за разполагане, описани в устройства с Windows с актуализации, управлявани от ИТ

  • Ключът от системния регистър HighConfidenceOptOut управлява автоматичното актуализиране на устройствата чрез кумулативните актуализации. За устройствата, на които Microsoft наблюдава, че определени устройства се актуализират успешно, те ще се считат за устройства с висока достоверност и актуализациите на сертификата за защитено стартиране ще се извършват автоматично. Настройката по подразбиране за това е записана.

  • Ключът от системния регистър MicrosoftUpdateManagedOptIn позволява на ИТ отделите да се включат в автоматично разполагане, управлявано от Microsoft. Тази настройка е забранена по подразбиране и я зададете на 1 за включване. Тази настройка също така изисква устройството да изпраща опционални диагностични данни.

Поддържани версии на Windows

Тази таблица допълнително разделя поддръжката въз основа на ключа от системния регистър. 

Ключ 

Поддържани версии на Windows 

Наличниupdates 

UEFICA2023Status 

UEFICA2023Грешка 

Всички версии на Windows, които поддържат защитено стартиране (Windows Server 2012 и по-нови версии на Windows).  

Бележка: Докато данните за надеждност се събират на Windows 10, версии LTSC, 22H2 и по-нови версии на Windows, те могат да бъдат приложени към устройства, работещи с по-стари версии на Windows.    

  • Windows 10, версии LTSC и 22H2

  • Windows 11, версии 22H2 и 23H2

  • Windows 11, версия 24H2

  • Windows Server 2025 г.

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Събития за грешка при защитено стартиране

​​​​​​​​​​​​​​Събитията за грешки имат функция за критично отчитане, която информира за състоянието и напредъка на защитеното зареждане.  За информация относно събитията за грешки вижте Събития за актуализиране на DB и DBX променливи. Събитията за грешка се актуализират с допълнителна информация за събития за защитено стартиране. 

Допълнителни промени в компонентите за защитено стартиране 

В този раздел

Промени в TPMзадачите 

Модифицирайте TPMTasks, за да определите дали състоянието на устройството има актуализираните сертификати за защитено стартиране. В момента тя може да направи това определяне, но само ако CFR избере машина за актуализиране. Това определяне и последващо регистриране трябва да се случи във всяка сесия на стартиране, независимо от CFR. Ако сертификатите за защитено стартиране не са напълно актуализирани, те ще излъчи двете събития за грешка, описани по-горе. Ако сертификатите са актуализирани, те ще излъчи събитието "Информация". Сертификатите за защитено стартиране, които ще бъдат проверени, са:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 и Microsoft Option ROM UEFI CA 2023 – тези два CAs трябва да присъстват само ако Microsoft UEFI CA 2011 присъства. Ако Microsoft UEFI CA 2011 не е наличен, не е необходима проверка.

  • Microsoft Corporation KEK 2K CA 2023

Събитие за метаданни на машина 

Това събитие ще събере машинните мета-данни и ще издаде следното събитие:

  • BucketId + събитие с доверителна оценка   

Това събитие ще използва метаданните на машината, за да намери съответния запис в базата данни на машините (запис в набор). Машината ще форматира и излъчва събитие с тези данни заедно с всякаква доверителна информация относно набора. ​​​​​​​ 

Помощ за устройства с висока степен на самоуправност 

За устройства с набори с висока достоверност сертификатите за защитено стартиране и диспечерът за зареждане, подписани с 2023, автоматично ще бъдат приложени.   

Актуализацията ще бъде задействана едновременно с генерирането на двете събития за грешка, а събитието BucketId + доверителна оценка включва оценка с висока достоверност.   

Отписване

За клиенти, които искат да се отпишат, нов ключ от системния регистър ще бъде наличен по следния начин:   

Местоположение на системния регистър

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Име на клавиша

HighConfidenceOptOut

Тип ключ

DWORD

DWORD стойност

0 или ключът не съществува – разрешена е помощта с висока достоверност.    

1 – Помощта с висока достоверност е дезактивирана   

Всяка друга стойност не е дефинирана   

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност