Отнася се за
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Първоначална дата на публикуване: 14 октомври 2025 г.

ИД на КБ: 5068202

Тази статия има указания за:  

  • Организации с устройства и актуализации на Windows, управлявани от ИТ.

Наличност на тази поддръжка:  

Ключовете от системния регистър са включени в актуализациите, издадени на или след следната дата:

  • 11 ноември 2025 г.: За версии на Windows, които все още се поддържат.

Промяна на датата

Промяна на описанието

20 март 2026 г.

  • Добавена е стойността в системния регистър AvailableUpdatesPolicy в първата таблица в раздела "Ключове от системния регистър".

  • Актуализиран е стойността "Описание и използване" на системния регистър WindowsUEFICA2023Capable във втората таблица в секцията "Ключове от системния регистър".

20 февруари 2026 г.

  • Добавихме 3 нови ключа от системния регистър в статията – "UEFICA2023ErrorEvent", "BucketHash" & "ConfidenceLevel".

  • Актуализиран е разделът – "Наличност на тази поддръжка".

4 ноември 2025 г.

  • Добавен е още един ключ от системния регистър към страницата.

  • Коригирана команда от "Например ако актуализирането на базата данни (база данни с надеждни подписи) е неуспешно поради проблем с фърмуера, този ключ от системния регистър може да покаже код на грешка, който може да бъде нанесен в регистрационен файл на събитията или документиран ИД на грешка в", за да каже "Например ако актуализирането на базата данни за надеждни подписи) е неуспешно поради проблем с фърмуера, този ключ от системния регистър може да показва код на грешка от фърмуера. Когато този ключ съществува и не е нула, ви препоръчваме да потърсите събития за защитено стартиране в регистрите на събитията на Windows – вижте (връзка) за повече подробности".

  • Добавихме два отделни пътя за ключове от системния регистър по-долу

11 ноември 2025 г.

  • Актуализиран е абзацът под Тестване на устройство с помощта на ключове от системния регистър с допълнителна информация: "Ключът от системния регистър трябва бързо да се промени на 0x4100. Рестартирането и повторното изпълнение на задачата ще доведе до актуализиране на диспечера за зареждане и 0x0100 НаличенUpdates. Вижте Отстраняване на неизправности за повече информация относно поведението на AvailableUpdates."

  • Актуализирайте текста в сивото поле под Тестване на устройство с помощта на ключове от системния регистър, за да имате две допълнителни команди на PowerShell

  • Под ключове от системния регистър стойността в системния регистър -MicrosoftUpdateManagedOptIn е променена от "1 – Включване" на "1 или всяка ненулева стойност – включване"

16 ноември 2025 г.

Актуализирано е съдържанието под "Тестване на устройства с помощта на ключове от системния регистър". Стойността за Налична актуализация е променена от "0x0100" на "0x4000".

В тази статия

Въведение

Този документ описва поддръжката за разполагане, управление и следене на актуализациите на сертификата за защитено стартиране с помощта на ключове от системния регистър на Windows. Клавишите се състоят от следното: 

  • Един ключ за активиране на разполагането на сертификатите и диспечера за зареждане на устройството.

  • Два ключа за следене на състоянието на разполагането.

  • Два ключа за управление на настройките за отписване/отписване за двете налични помощни разполагания.

Тези ключове от системния регистър могат да се зададат ръчно на устройството или отдалечено чрез наличен софтуер за управление на автопаркове. Други методи за разполагане, като например групови правила, Microsoft Intune и WinCS, са описани в статията Устройства с Windows за фирми и организации с актуализации, управлявани от ИТ.  

Ключове от системния регистър за защитено стартиране

В този раздел

Ключове от системния регистър

Всички ключове от системния регистър на защитеното стартиране, описани по-долу, се намират под този път на системния регистър: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Следващата таблица описва всяка от стойностите в системния регистър:

Стойност на системния регистър

Тип

Описание и използване

Наличниupdates

REG_DWORD (побитова маска)

Флагове за активиране на актуализация.

Контролира кои действия за актуализиране на защитеното стартиране да се извършват на устройството. Задаването на подходящото поле bitfield тук стартира разполагането на нови сертификати за защитено стартиране и свързаните с тях актуализации. За корпоративно разполагане това трябва да бъде настроено на 0x5944 (hex) – стойност, която позволява всички съответни актуализации (добавяне на новите сертификати на CA за 2023 г., актуализиране на KEK и инсталиране на новия диспечер за зареждане). 

Настройки

  • 0 или не е зададено – не се извършва актуализация на ключа за защитено стартиране.

  • 0x5944 – Разполагане на всички необходими сертификати и актуализиране до диспечера за зареждане, подписан от PCA2023

HighConfidenceOptOut

REG_DWORD

Опция за отписване.

За предприятия, които искат да се отпишат от набори с висока достоверност, които автоматично ще се прилагат като част от LCU.

Можете да зададете този ключ на ненулева стойност, за да се отпишете от наборите с висока достоверност. 

Настройки 

  • 0 или клавиш не съществува – Включете се

  • 1 – Отписване

MicrosoftUpdateManagedOptIn

REG_DWORD

Опция за записване.

За предприятия, които искат да се включат в контролираното обслужване за внедряване на функции (CFR), известно още като Управлявано от Microsoft.

Освен да зададете този ключ, разрешете изпращането на задължителни диагностични данни (вижте Конфигуриране на диагностични данни на Windows във вашата организация). 

Настройки

  • 0 или ключът не съществува – отписване

  • 1 или ненулева стойност  – Включете се

AvailableUpdatesPolicy

REG_DWORD (побитова маска)

Само за справка – не актуализирайте този ключ чрез системния регистър. Този ключ се използва от групови правила и Intune за комуникация, свързани със защитеното стартиране, действия на Windows. Той представлява правилата, зададени от Intune или групови правила.

Всички ключове от системния регистър на защитеното стартиране, описани по-долу, се намират под този път на системния регистър: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Следващата таблица описва всяка от стойностите в системния регистър:

Стойност на системния регистър

Тип

Описание и използване

UEFICA2023Status

REG_SZ (низ)

Индикатор на състоянието на разполагане.

Отразява текущото състояние на актуализацията на ключа за защитено стартиране на устройството. Той ще бъде зададен на една от следните текстови стойности:

  • NotStarted: Актуализацията все още не се е изпълнявала.

  • InProgress: Актуализацията е в ход активно.

  • Актуализирано: Актуализацията завърши успешно.

Първоначално състоянието е NotStarted. Тя се променя на InProgress, след като актуализацията започне, и накрая на Актуализирано, когато всички нови ключове и новият диспечер за зареждане са разположени. Ако възникне грешка, стойността в системния регистър UEFICA2023Error е зададена на ненулев код.

UEFICA2023Грешка

REG_DWORD (код)

Код на грешка (ако има такъв).

Тази стойност остава 0 при успех. Ако процесът на актуализиране се натъкне на грешка, UEFICA2023Error е зададен на ненулев код на грешка, съответстващ на първата грешка. Грешка тук предполага, че актуализацията на защитеното стартиране не е напълно успешна и може да изисква проучване или отстраняване на това устройство.  

Например, ако актуализирането на базата данни за надеждни подписи е неуспешно поради проблем с фърмуера, този ключ от системния регистър може да показва код на грешка от фърмуера. Когато този ключ съществува и не е нула, ви препоръчваме да потърсите събития за защитено стартиране в регистрите на събитията на Windows – вижте Събития за актуализация на защитено стартиране и DBX променливи за повече подробности.

UEFICA2023ErrorEvent

REG_DWORD (код)

UEFICA2023ErrorEvent указва ИД на събитие, което Windows използва за съобщаване за грешка, свързана с прилагането на актуализациите на защитеното стартиране на Windows UEFI CA 2023. Тази стойност е свързана с ключа от системния регистър UEFICA2023Error и се попълва, когато е зададен този ключ, което показва, че Windows се е натъкнал на грешка при опит за прилагане на актуализацията на защитеното стартиране. Когато това се случи, Windows записва съответното събитие на защитено стартиране, документирано на публичната страница събития за актуализиране на базата данни за защитено стартиране и променливата DBX, което предоставя допълнителни подробности за това защо актуализацията не може да бъде завършена и какво действие може да се изисква.

WindowsUEFICA2023Capable

REG_DWORD (код)

Само за справка – не използвайте този ключ, когато получавате състояние на актуализации на защитеното стартиране. Вместо това използвайте ключа UEFICA2023Status.

Този ключ от системния регистър е предназначен за сценарии на ограничено разполагане и не се препоръчва за обща употреба.

Валидни стойности:

0 – или ключът не съществува – сертификатът "Windows UEFI CA 2023" не е в базата данни

1 – Сертификатът "Windows UEFI CA 2023" е в базата данни

2 – Сертификатът "Windows UEFI CA 2023" е в базата данни и системата започва от диспечера за зареждане, подписан от 2023 г.

Тире на кофа

REG_SZ (низ)

BucketHash идентифицира набора разполагане, към който устройството е присвоено като част от внедряването на сертификата за защитено стартиране. Стойността е хеш, извлечен от характеристиките на устройството, и се използва за групиране на устройства със сходни атрибути на фърмуер и платформа за поетапно внедряване и управление на риска. Това е същият хеш на набора, който се появява в специфичните за устройството събития, документирани на страницата събития за актуализация на променливата DB и DBX на защитеното стартиране , което позволява на администраторите да съпоставят състоянието на системния регистър със записите в регистъра на събитията и да разберат как устройството се насочва по време на процеса на актуализация на защитеното стартиране.

Доверително ниво

REG_SZ (низ)

ConfidenceLevel показва оценката на надеждността, свързана с набора разполагане на защитеното стартиране на устройството. Тази стойност съответства на BucketConfidenceLevel, което Windows присвоява на устройството въз основа на наблюдаваното поведение на актуализация в подобни хардуерни и фърмуерни конфигурации. Същото доверително ниво е включено в специфичните за устройството събития, документирани на страницата събития за актуализиране на DB и DBX променливи , което позволява на администраторите да съпоставят стойността на системния регистър със записите в регистъра на събитията. За повече информация относно възможните стойности за този ключ вж. описанията на събития, специфични за устройството.

Как тези клавиши работят заедно

ИТ администраторите конфигурират стойността на системния регистър AvailableUpdates за 0x5944, което сигнализира Windows да изпълни актуализацията и инсталирането на ключа на защитеното стартиране на устройството.

Докато процесът се изпълнява, системата актуализира UEFICA2023Status от NotStarted към InProgress и накрая актуализира при успех. Тъй като всеки бит в 0x5944 се обработва успешно, той се изчиства.

Ако някоя стъпка е неуспешна, в UEFICA2023Error се записва код на грешка (и състоянието остава InProgress).

Този механизъм дава на администраторите ясен начин за задействане и проследяване на внедряването за всяко устройство. 

Разполагане с помощта на ключове от системния регистър 

Разполагането на група устройства се състои от следните стъпки: 

  1. Задайте стойността в системния регистър AvailableUpdates , за да 0x5944 на всяко от устройствата, които да се актуализират.

  2. Наблюдавайте ключовете от системния регистър UEFICA2023Status и UEFICA2023Error , за да се уверите, че устройствата напредват. Задачата, която обработва тези актуализации, се изпълнява на всеки 12 часа. Имайте предвид, че актуализацията на диспечера за зареждане може да не се случи, докато не се появи рестартиране.

  3. Проучете проблемите, ако възникнат. Ако UEFICA2023Error не е нула на устройство, можете да проверите регистъра на събитията за събития, свързани с този проблем. Вижте събития за актуализиране на променливи на защитено стартиране на DB и DBX за пълен списък на събитията на защитеното стартиране.

Забележка за рестартиранията: Въпреки че може да се наложи рестартиране, за да завърши процесът, започването на разполагането на актуализациите на защитеното стартиране няма да доведе до рестартиране. Ако е необходимо рестартиране, разполагането на защитеното стартиране разчита на рестартирането, което се случва като нормален курс на използване на устройството. 

Тестване на устройства с помощта на ключове от системния регистър 

Когато тествате отделни устройства, за да сте сигурни, че устройствата ще обработват актуализациите правилно, ключовете от системния регистър могат да бъдат прост начин за тестване. 

За да тествате, изпълнете всяка от следните команди отделно от подканата на администратор на PowerShell: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Ръчно рестартиране на системата, когато AvailableUpdates стане 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Първата команда инициира разполагане на сертификата и диспечера за зареждане на устройството. Втората команда кара задачата, която обработва ключа от системния регистър AvailableUpdates , да се изпълни веднага. Обикновено задачата се изпълнява на всеки 12 часа. Ключът от системния регистър трябва бързо да се промени на 0x4100. Рестартирането и повторното изпълнение на задачата ще доведе до актуализиране на диспечера за зареждане и 0x4000 на AvailableUpdates. Вижте Отстраняване на неизправности за повече информация относно поведението на AvailableUpdates.

Можете да намерите резултатите, като наблюдавате ключовете от системния регистър UEFICA2023Status и UEFICA2023Error и регистрите на събитията, както е описано в събития за актуализация на защитено стартиране и DBX променливи

Отпишете се и се отпишете за "Помощ" 

Ключовете от системния регистър HighConfidenceOptOut и MicrosoftUpdateManagedOptIn могат да се използват за управление на двете "помощни" за разполагане, описани в устройства с Windows с актуализации, управлявани от ИТ

  • Ключът от системния регистър HighConfidenceOptOut управлява автоматичното актуализиране на устройствата чрез кумулативните актуализации. За устройствата, на които Microsoft наблюдава, че определени устройства се актуализират успешно, те ще се считат за устройства с висока достоверност и актуализациите на сертификата за защитено стартиране ще се извършват автоматично. Настройката по подразбиране е да се включите.

  • Ключът от системния регистър MicrosoftUpdateManagedOptIn позволява на ИТ отделите да се включат в автоматично разполагане, управлявано от Microsoft. Тази настройка е забранена по подразбиране и я зададете на 1 за включване. Тази настройка също така изисква устройството да изпраща опционални диагностични данни.

Поддържани версии на Windows

Тази таблица допълнително разделя поддръжката въз основа на ключа от системния регистър. 

Ключ 

Поддържани версии на Windows 

Наличниupdates 

UEFICA2023Status 

UEFICA2023Грешка 

Всички версии на Windows, които поддържат защитено стартиране (Windows Server 2012 и по-нови версии на Windows).  

Забележка: Докато данните за надеждност се събират на Windows 10, версии LTSC, 22H2 и по-нови версии на Windows, те могат да бъдат приложени към устройства, работещи с по-стари версии на Windows.    

  • Windows 10, версии LTSC и 22H2

  • Windows 11, версии 22H2 и 23H2

  • Windows 11, версия 24H2

  • Windows Server 2025 г.

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Събития за грешка при защитено стартиране

​​​​​​​​​​​​​​Събитията за грешки имат функция за критично отчитане, която информира за състоянието и напредъка на защитеното зареждане.  За информация относно събитията за грешки вижте Събития за актуализиране на DB и DBX променливи. Събитията за грешка се актуализират с допълнителна информация за събития за защитено стартиране. 

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност