Platí pro
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Původní datum publikování: úterý 19. března 2026

ID znalostní báze: 5085046

V tomto článku

Přehled

Tato stránka vás provede diagnostikou a řešením problémů souvisejících se zabezpečeným spouštěním na zařízeních s Windows. Mezi témata patří selhání aktualizace certifikátu zabezpečeného spouštění, nesprávné stavy zabezpečeného spouštění, neočekávané výzvy nástroje BitLocker k obnovení a selhání spuštění po změnách konfigurace zabezpečeného spouštění.

Tyto doprovodné materiály vysvětlují, jak ověřit údržbu a konfiguraci Windows, zkontrolovat příslušné hodnoty registru a protokoly událostí a zjistit, kdy omezení firmwaru nebo platformy vyžadují aktualizaci OEM. Tento obsah je určený pro diagnostiku problémů na stávajících zařízeních. Není určená k plánování nových nasazení. Tento dokument bude aktualizován, jakmile budou identifikovány nové scénáře řešení potíží a pokyny.

Zpět na začátek

Jak funguje údržba certifikátů zabezpečeného spouštění

Údržba certifikátu zabezpečeného spouštění ve Windows je koordinovaný proces mezi operačním systémem a firmwarem UEFI zařízení. Cílem je aktualizovat kritické kotvy důvěryhodnosti při zachování schopnosti spouštění v každé fázi.

Tento proces je řízen naplánovanou úlohou Windows, posloupností akcí aktualizací založeným na registru a integrovaným protokolováním a chováním opakování. Tyto komponenty společně zajišťují, aby se certifikáty zabezpečeného spouštění a správce spouštění systému Windows aktualizovaly řízeným a uspořádaným způsobem a pouze po úspěšném provedení požadovaných kroků.

Zpět na začátek

Kde začít při řešení potíží

Pokud se zdá, že zařízení nedochází k očekávanému pokroku při použití aktualizací certifikátů zabezpečeného spouštění, začněte tím, že identifikujete kategorii problému. Většina problémů spadá do jedné ze čtyř oblastí: stav údržby Windows, mechanismus aktualizace zabezpečeného spouštění, chování firmwaru nebo omezení platformy nebo výrobce OEM.

Začněte s následujícími kontrolami v uvedeném pořadí. V mnoha případech jsou tyto kroky dostatečné k vysvětlení pozorovaného chování a určení dalších akcí bez hlubšího zkoumání.

  1. Potvrzení údržby Windows a oprávněnosti platformy

    1. ​​​​​​​Ověřte, že zařízení splňuje základní požadavky na příjem aktualizací certifikátů zabezpečeného spouštění:

    2. Na zařízení běží podporovaná verze Windows.

    3. Jsou nainstalované nejnovější požadované aktualizace zabezpečení Windows.

    4. Ve firmwaru rozhraní UEFI je povolené zabezpečené spouštění.

    5. Pokud některá z těchto podmínek není splněná, před pokračováním v řešení potíží je vyřešte.

  2. Ověření stavu úlohy zabezpečeného spouštění a aktualizace

    1. Ověřte, že existuje a funguje mechanismus Windows zodpovědný za použití aktualizací certifikátů zabezpečeného spouštění:

    2. Existuje naplánovaná úloha zabezpečeného spouštění a aktualizace.

    3. Úloha je povolená a spustí se jako místní systém.

    4. Úloha se spustila alespoň jednou od doby, kdy byla nainstalována nejnovější aktualizace zabezpečení windows.

    5. Pokud je úloha zakázaná, odstraněná nebo není spuštěná, nelze použít aktualizace certifikátu zabezpečeného spouštění. Řešení potíží by se mělo zaměřit na obnovení úlohy před prozkoumáváním jiných příčin.

  3. Kontrola očekávaného průběhu nastavení registru

    Zkontrolujte stav údržby zabezpečeného spouštění zařízení v registru:

    1. Prozkoumejte UEFICA2023Status, UEFICA2023Error a UEFICA2023ErrorEvent.

    2. Prozkoumejte AvailableUpdates a porovnejte ho s očekávaným průběhem (viz Referenční informace a interní informace).

    Společně tyto hodnoty označují, jestli obsluha postupuje normálně, zkusí operaci zopakovat nebo se zastaví v určitém kroku.

  4. Korelace stavu registru s událostmi zabezpečeného spouštění

    Zkontrolujte události související se zabezpečeným spouštěním v protokolu událostí systému a porovnejte je se stavem registru. Data událostí obvykle potvrzují, jestli zařízení postupuje dopředu, opakuje se kvůli přechodnému stavu nebo jestli ho blokuje problém s firmwarem nebo platformou.

    Protokoly registru a událostí obvykle označují, jestli je chování očekávané, dočasné nebo vyžaduje nápravnou akci.

Zpět na začátek

Naplánovaná úloha aktualizace zabezpečeného spouštění

Údržba certifikátu zabezpečeného spouštění se implementuje prostřednictvím úlohy naplánované systémem Windows s názvem Secure-Boot-Update. Úloha je zaregistrována v následující cestě:

\Microsoft\Windows\PI\Secure-Boot-Update

Úloha se spustí jako místní systém. Ve výchozím nastavení běží při spuštění systému a poté každých 12 hodin. Při každém spuštění zkontroluje, jestli akce aktualizace zabezpečeného spouštění čekají na vyřízení, a pokusí se je použít postupně.

Pokud je tato úloha zakázaná nebo chybí, nelze použít aktualizace certifikátu zabezpečeného spouštění. Aby fungovala údržba zabezpečeného spouštění, musí úloha zabezpečeného spouštění zůstat povolená.

Zpět na začátek

Proč se používá naplánovaný úkol

Aktualizace certifikátů zabezpečeného spouštění vyžadují koordinaci mezi systémem Windows a firmwarem rozhraní UEFI, včetně zápisu proměnných rozhraní UEFI, které ukládají klíče zabezpečeného spouštění a certifikáty. Naplánovaná úloha umožňuje systému Windows pokusit se o tyto aktualizace, pokud je systém ve stavu, kdy je možné měnit proměnné firmwaru.

Opakující se 12hodinový plán poskytuje další příležitosti k opakování aktualizací, pokud předchozí pokus selhal nebo pokud zařízení zůstalo zapnuté bez restartování. Tento návrh pomáhá zajistit pokrok vpřed bez nutnosti ručního zásahu.

Zpět na začátek

Bitová maska registru AvailableUpdates

Úloha zabezpečeného spouštění je řízena hodnotou registru AvailableUpdates . Tato hodnota je 32bitová bitová maska umístěná na adrese:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Každý bit v hodnotě představuje konkrétní akci aktualizace zabezpečeného spouštění. Proces aktualizace začíná, když je availableUpdates nastavena na nenulovou hodnotu, a to buď automaticky systémem Windows, nebo explicitně správcem. Například hodnota 0x5944 označuje, že čeká na vyřízení několik akcí aktualizace.

Při spuštění úlohy zabezpečeného spouštění aktualizace interpretuje nastavené bity jako čekající práci a zpracovává je v definovaném pořadí.

Zpět na začátek

Sekvenční aktualizace, protokolování a chování při obnově procesu

Aktualizace certifikátů zabezpečeného spouštění se použijí v pevně stanoveném pořadí. Každá akce aktualizace je navržená tak, aby byla bezpečná pro opakování a dokončila se nezávisle. Úloha zabezpečeného spouštění aktualizace nepřejde k dalšímu kroku, dokud nebude aktuální akce úspěšná a její odpovídající bit se nevymaže z AvailableUpdates.

Každá operace používá standardní rozhraní UEFI k aktualizaci proměnných zabezpečeného spouštění, jako je databáze a klíč KEK, nebo k instalaci aktualizovaného správce spouštění systému Windows. Systém Windows zaznamenává výsledek každého kroku v protokolu událostí systému. Události úspěchu potvrzují průběh dopředné činnosti, zatímco události selhání označují, proč se akce nedala dokončit.

Pokud krok aktualizace selže, úloha zastaví zpracování, zaznamená chybu a ponechá přidružený bit nastavený. Operace se opakuje při příštím spuštění úlohy. Toto chování při obnově procesu umožňuje, aby se zařízení automaticky zotavovala z dočasných podmínek, jako je chybějící podpora firmwaru nebo zpožděné aktualizace OEM.

Správci můžou sledovat průběh korelací stavu registru s položkami protokolu událostí. Hodnoty registru, například UEFICA2023Status, UEFICA2023Error a UEFICA2023ErrorEvent, společně s bitové masky AvailableUpdates označují, který krok je aktivní, dokončený nebo blokovaný.

Tato kombinace ukazuje, jestli zařízení postupuje normálně, opakuje operaci nebo je zastavené.

Zpět na začátek

Integrace s firmwarem OEM

Aktualizace certifikátů zabezpečeného spouštění závisí na správném chování a podpoře firmwaru rozhraní UEFI zařízení. Zatímco systém Windows orchestruje proces aktualizace, firmware zodpovídá za vynucování zásad zabezpečeného spouštění a údržbu databází zabezpečeného spouštění.

Výrobce OEM poskytují dva důležité prvky, které umožňují obsluhu certifikátů zabezpečeného spouštění:

  • Klíče k výměně klíčů (KEK) podepsané klíči platformy, které autorizují instalaci nových certifikátů zabezpečeného spouštění.

  • Implementace firmwaru, které během aktualizací správně uchovávají, připojují a ověřují databáze zabezpečeného spouštění.

Pokud firmware toto chování plně nepodporuje, můžou se aktualizace zabezpečeného spouštění zablokovat, opakovat to po neomezenou dobu nebo způsobit selhání spuštění. V těchto případech nemůže systém Windows dokončit aktualizaci bez změn firmwaru.

Microsoft spolupracuje s OEM, aby identifikoval problémy s firmwarem a zpřístupňuje opravené aktualizace. Pokud řešení potíží značí omezení nebo vadu firmwaru, správci možná budou muset nainstalovat nejnovější aktualizaci firmwaru rozhraní UEFI od výrobce zařízení, aby se aktualizace certifikátu zabezpečeného spouštění mohly úspěšně dokončit.

Zpět na začátek

Běžné scénáře selhání a jejich řešení

Aktualizace zabezpečeného spouštění jsou aplikovány naplánovanou úlohou Secure-Boot-Update na základě stavu registru AvailableUpdates .

Za normálních podmínek k těmto krokům dochází automaticky a po dokončení každé fáze se zaznamenávají události úspěchu. V některých případech může chování firmwaru, konfigurace platformy nebo požadavky na údržbu bránit pokroku nebo vést k neočekávanému chování při spouštění.

Následující části popisují nejběžnější scénáře selhání, jak je rozpoznat, proč k nim dochází a vhodné další kroky k obnovení normálního provozu. Scénáře jsou seřazené od nejběžnějších případů až po případy, které mají větší dopad na spuštění.

Pokud aktualizace zabezpečeného spouštění neprojeví žádný průběh, obvykle to znamená, že proces aktualizace nikdy nebyl zahájen. V důsledku toho chybí očekávané hodnoty registru zabezpečeného spouštění a protokoly událostí, protože se mechanismus aktualizace nikdy neaktivoval.

Co se přihodilo

Proces aktualizace zabezpečeného spouštění se nespustí, takže se na zařízení nepoužily žádné certifikáty zabezpečeného spouštění ani aktualizovaný správce spouštění.

Jak ho rozpoznat

  • Nejsou k dispozici žádné hodnoty registru údržby zabezpečeného spouštění, například UEFICA2023Status.

  • V protokolu událostí systému chybí očekávané události zabezpečeného spouštění (například 1043, 1044, 1045, 1799, 1801).

  • Zařízení dál používá starší certifikáty zabezpečeného spouštění a součásti spouštění.

Proč k tomu dochází

K tomuto scénáři obvykle dochází v případě, že platí jedna nebo více z následujících podmínek:

  • Naplánovaná úloha zabezpečeného spouštění je zakázaná nebo chybí.

  • Zabezpečené spouštění je ve firmwaru rozhraní UEFI zakázané.

  • Zařízení nesplňuje požadavky na údržbu Windows, jako je spuštění podporované verze Windows nebo instalace požadovaných aktualizací.

Co dělat dál

  • Ověřte, že zařízení splňuje požadavky na údržbu Windows a způsobilost platformy.

  • Ověřte, že je ve firmwaru povolené zabezpečené spouštění.

  • Ujistěte se, že naplánovaná úloha SecureBootUpdate existuje a je povolená.

Pokud je naplánovaná úloha zakázaná nebo chybí, obnovte ji podle pokynů v tématu Naplánovaná úloha zabezpečeného spouštění zakázaná nebo odstraněná . Po obnovení úlohy restartujte zařízení nebo úlohu spusťte ručně, abyste zahájili údržbu zabezpečeného spouštění.

V některých případech můžou aktualizace související se zabezpečeným spouštěním způsobit obnovení zařízení nástrojem BitLocker. V závislosti na základní příčině může být chování přechodné nebo trvalé.

Scénář 1: Jednorázové obnovení nástroje BitLocker po aktualizaci zabezpečeného spouštění

Co se stane

Zařízení zahájí obnovení nástroje BitLocker při prvním spuštění po aktualizaci zabezpečeného spouštění, ale při následném restartování se spustí normálně.

Proč k tomu dochází

Při prvním spuštění po aktualizaci firmware ještě nehlásí aktualizované hodnoty zabezpečeného spouštění, když se Systém Windows pokusí znovu připojit nástroj BitLocker. To způsobí dočasnou neshodu měřených hodnot spouštění a aktivuje obnovení. Při příštím spuštění firmware správně nahlásí aktualizované hodnoty, BitLocker se úspěšně změní a problém se už neopakuje.

Jak ho rozpoznat

  • Obnovení nástroje BitLocker proběhne jednou.

  • Po zadání obnovovacího klíče následné spuštění nevyžádá obnovení.

  • Není přítomno žádné průběžné pořadí spouštění ani zapojení technologie PXE.

Co dělat dál

  • Zadáním obnovovacího klíče nástroje BitLocker obnovíte Windows.

  • Zkontrolujte aktualizace firmwaru.

Scénář 2: Opakované obnovení nástroje BitLocker kvůli konfiguraci prvního spuštění PXE

Co se stane

Zařízení při každém spuštění spustí obnovení nástroje BitLocker.

Proč k tomu dochází

Zařízení je nakonfigurované tak, aby se nejprve pokusilo spustit PXE (síť). Pokus o spuštění PXE selže a firmware se pak vrátí zpět do správce spouštění Systému Windows na disku.

Výsledkem je měření dvou různých podpisových autorit během jednoho spouštěcího cyklu:

  • Spouštěcí cesta PXE je podepsaná certifikační autoritou Microsoft UEFI 2011.

  • Správce spouštění systému Windows na disku je podepsán certifikační autoritou UEFI systému Windows 2023.

Vzhledem k tomu, že BitLocker během spouštění sleduje různé řetězy důvěryhodnosti zabezpečeného spouštění, nemůže vytvořit stabilní sadu měření TPM, která by se znovu vytvořila. BitLocker proto při každém spuštění spustí obnovení.

Jak ho rozpoznat

  • Obnovení nástroje BitLocker se aktivuje při každém restartování.

  • Zadání obnovovacího klíče umožní spuštění systému Windows, ale výzva se vrátí při příštím spuštění.

  • PXE nebo spouštění ze sítě je nakonfigurované před místním diskem v pořadí spouštění firmwaru.

Co dělat dál

  • Nakonfigurujte pořadí spouštění firmwaru, aby správce spouštění systému Windows na disku byl první.

  • Pokud to není potřeba, zakažte spouštění pomocí technologie PXE.

  • Pokud se vyžaduje technologie PXE, ujistěte se, že infrastruktura PXE používá zavaděč spouštění Windows podepsaný 2023.

Co se přihodilo

To odráží změnu na úrovni firmwaru, nikoli problém s Windows. Aktualizace zabezpečeného spouštění byla úspěšně dokončena, ale po pozdějším restartování se zařízení už nespustí v systému Windows.

Jak ho rozpoznat

  • Zařízení nemůže spustit Windows a může se zobrazit zpráva firmwaru nebo systému BIOS, která značí narušení zabezpečeného spouštění.

  • K selhání dojde po obnovení nastavení zabezpečeného spouštění na výchozí nastavení firmwaru.

  • Zakázání zabezpečeného spouštění může umožnit opětovné spuštění zařízení.

Proč k tomu dochází

Resetování výchozího nastavení zabezpečeného spouštění vymaže databáze zabezpečeného spouštění uložené ve firmwaru. Na zařízeních, která již přešla na správce spouštění podepsaného rozhraním UEFI CA 2023 ve Windows, se tímto resetováním odeberou certifikáty potřebné k tomu, aby tomuto správci spouštění důvěřoval.

V důsledku toho firmware už nerozpozná nainstalovaného správce spouštění systému Windows jako důvěryhodného a blokuje proces spouštění.

Tento scénář není způsobený samotnou aktualizací zabezpečeného spouštění, ale následnou akcí firmwaru, která odebere aktualizované kotvy důvěryhodnosti.

Co dělat dál

  • Pomocí nástroje pro obnovení zabezpečeného spouštění obnovte požadovaný certifikát, aby se zařízení mohl znovu spustit.

  • Po obnovení se ujistěte, že má zařízení nainstalovaný nejnovější dostupný firmware od výrobce zařízení.

  • Pokud firmware OEM neobsahuje aktualizované výchozí hodnoty zabezpečeného spouštění, které důvěřují certifikátům 2023, nepoužívejte resetování zabezpečeného spouštění na výchozí nastavení firmwaru.

Nástroj pro obnovení zabezpečeného spouštění

Obnovení systému:

  1. Na druhém počítači s Windows s nainstalovanou aktualizací Windows z července 2024 nebo novější zkopírujte soubor SecureBootRecovery.efi ze složky C:\Windows\Boot\EFI\.

  2. Umístěte soubor na usb flash disk ve formátu FAT32 do složky \EFI\BOOT\ a přejmenujte ho na bootx64.efi.

  3. Spusťte ovlivněné zařízení z JEDNOTKY USB a povolte spuštění nástroje pro obnovení. Nástroj přidá do databáze ca windows UEFI 2023.

Po obnovení certifikátu a restartování systému by se měl systém Windows spustit normálně.

Důležité: Tento proces znovu použije pouze jeden z nových certifikátů. Po obnovení zařízení se ujistěte, že má znovu nainstalované nejnovější certifikáty, a zvažte aktualizaci systému BIOS/UEFI na nejnovější dostupnou verzi. To může pomoct zabránit opakování problému s resetováním zabezpečeného spouštění, protože mnoho OEM vydalo opravy firmwaru pro tento konkrétní problém.

Co se přihodilo

Po instalaci aktualizace certifikátu zabezpečeného spouštění a restartování se zařízení nepodaří spustit a nepřijde do Windows.

Jak ho rozpoznat

  • Zařízení selže okamžitě po restartování vyžadované aktualizací zabezpečeného spouštění.

  • Může se zobrazit chyba firmwaru nebo zabezpečeného spouštění nebo se systém může zastavit před načtením Systému Windows.

  • Zakázání zabezpečeného spouštění může umožnit spuštění zařízení.

Proč k tomu dochází

Příčinou tohoto problému může být chyba v implementaci firmwaru rozhraní UEFI v zařízení.

Když Systém Windows použije aktualizace certifikátu zabezpečeného spouštění, očekává se, že firmware připojí nové certifikáty k existující databázi podpisů s povoleným zabezpečeným spouštěním. Některé implementace firmwaru nesprávně přepíší databázi místo připojení k ní.

Když k tomu dojde,

  • Dříve důvěryhodné certifikáty, včetně certifikátu zaváděcího programu Microsoft 2011, se odeberou.

  • Pokud v tomto okamžiku systém stále používá správce spouštění podepsaný certifikátem 2011, firmware mu už nedůvěřuje.

  • Firmware odmítne správce spouštění a zablokuje proces spouštění.

V některých případech může dojít k poškození databáze místo čistě přepsání, což vede ke stejnému výsledku. Toto chování bylo pozorováno u konkrétních implementací firmwaru a u kompatibilního firmwaru se neočekává.

Co dělat dál

  • Zadejte nabídky nastavení firmwaru a pokuste se resetovat nastavení zabezpečeného spouštění.

  • Pokud se zařízení po obnovení do továrního nastavení spustí, vyhledejte na webu podpory výrobce zařízení aktualizaci firmwaru, která opravuje zpracování databáze zabezpečeného spouštění.

  • Pokud je k dispozici aktualizace firmwaru, nainstalujte ji před opětovným povolením zabezpečeného spouštění a opětovnou aplikací aktualizací certifikátů zabezpečeného spouštění.

Pokud resetování zabezpečeného spouštění neobnoví funkce spouštění, bude další obnovení pravděpodobně vyžadovat pokyny specifické pro výrobce OEM.

Co se přihodilo

Aktualizace certifikátu zabezpečeného spouštění se nedokončila a zůstává blokovaná ve fázi aktualizace klíče výměny klíčů (KEK).

Jak ho rozpoznat

  • Hodnota registru AvailableUpdates zůstane nastavená na bit KEK (0x0004) a nevymaže se.

  • UEFICA2023Status nepostupuje do dokončeného stavu.

  • Protokol událostí systému opakovaně zaznamenává ID události 1803, což značí, že aktualizaci KEK nelze použít.

  • Zařízení pokračuje v opakování aktualizace, aniž by pokračovalo.

Proč k tomu dochází

Aktualizace klíče KEK zabezpečeného spouštění vyžaduje autorizaci z klíče platformy (PK) zařízení, který vlastní výrobce OEM.

Aby byla aktualizace úspěšná, musí výrobce zařízení poskytnout Microsoftu klíč KEK podepsaný pk pro danou konkrétní platformu. Tento klíč KEK podepsaný výrobcem OEM je součástí aktualizací windows a umožňuje systému Windows aktualizovat proměnnou KEK firmwaru.

Pokud výrobce OEM neposkytl pro zařízení klíč KEK podepsaný pomocí pk, nemůže systém Windows aktualizaci KEK dokončit. V tomto stavu:

  • Aktualizace zabezpečeného spouštění jsou záměrně blokované.

  • Systém Windows nemůže obejít chybějící autorizaci.

  • Zařízení může zůstat trvale schopné dokončit údržbu certifikátu zabezpečeného spouštění.

K tomu může dojít na starších zařízeních nebo zařízeních, která nejsou podporována, kde výrobce OEM už neposkytuje aktualizace firmwaru nebo klíče. Pro tuto podmínku neexistuje žádná podporovaná ruční cesta obnovení.

Zpět na začátek

Pokud se aktualizace certifikátu zabezpečeného spouštění nepodaří použít, systém Windows zaznamená diagnostické události, které vysvětlují, proč došlo k zablokování průběhu. Tyto události se zapisují při aktualizaci databáze podpisů zabezpečeného spouštění nebo klíče KEK (Key Exchange Key) kvůli firmwaru, stavu platformy nebo podmínkám konfigurace. Scénáře v této části odkazují na tyto události, aby identifikovaly běžné vzorce selhání a určily odpovídající nápravu. Tato část je určená k podpoře diagnostiky a interpretace výše popsaných problémů, nikoli k zavedení nových scénářů selhání.

Úplný seznam ID událostí, popisů a ukázkových položek najdete v tématu Události aktualizace databáze zabezpečeného spouštění a událostí aktualizace proměnných DBX (KB5016061).

Selhání aktualizace KEK (aktualizace databáze jsou úspěšné, KEK ne)

Zařízení může úspěšně aktualizovat certifikáty v databázi zabezpečeného spouštění, ale během aktualizace KEK selže. V takovém případě nelze dokončit proces aktualizace zabezpečeného spouštění.

Příznaky

  • Události certifikátu databáze označují průběh, ale fáze KEK se nedokončila.

  • AvailableUpdates zůstane nastavená na 0x4004 a 0x0004 bit se po spuštění několika úloh nevymaže.

  • Může se jednat o událost 1795 nebo 1803 .

Výklad

  • Aktualizace 1795 obvykle značí selhání firmwaru při pokusu o aktualizaci proměnné zabezpečeného spouštění.

  • Aktualizace 1803 značí, že aktualizaci KEK nejde autorizovat, protože pro platformu není k dispozici požadovaná datová část KEK podepsaná výrobcem OEM pk.

Další kroky

  • V případě verze 1795 vyhledejte aktualizace firmwaru OEM a ověřte podporu firmwaru pro aktualizace proměnných zabezpečeného spouštění.

  • V případě verze 1803 ověřte, jestli výrobce OEM poskytl Microsoftu klíč KEK podepsaný pk, který se vyžaduje pro model zařízení.

Selhání aktualizace KEK na virtuálních počítačích hostovaných na hyper-V 

Na virtuálních počítačích Hyper-V vyžadují aktualizace certifikátů zabezpečeného spouštění instalaci aktualizací Windows z března 2026 na hostiteli Hyper-V i v hostovaném operačním systému.

Selhání aktualizací se hlásí z hosta, ale událost označuje, kde se vyžaduje náprava:

  • Událost 1795 (například "Médium je chráněno proti zápisu") hlášené v hostu značí, že hostiteli Hyper-V chybí aktualizace z března 2026 a musí se aktualizovat.

  • Událost 1803 hlášená u hosta znamená, že samotnému hostovanému virtuálnímu počítači chybí aktualizace z března 2026 a musí se aktualizovat.

Zpět na začátek 

Referenční informace a interní informace

Tato část obsahuje rozšířené referenční informace určené pro řešení potíží a podporu. Není určená k plánování nasazení. Rozšiřuje mechanismy údržby zabezpečeného spouštění, které byly shrnuty dříve, a poskytuje podrobný referenční materiál pro interpretaci stavu registru a protokolů událostí.

Poznámka (nasazení spravovaná IT): Při konfiguraci prostřednictvím Zásady skupiny nebo Microsoft Intune by se neměla zaměňovat dvě podobná nastavení. Hodnota AvailableUpdatesPolicy představuje nakonfigurovaný stav zásad. Mezitím AvailableUpdates odráží stav probíhající práce s vymazáním bitů. Oba můžou vést ke stejnému výsledku, ale chovají se jinak, protože zásady se v průběhu času znovu použijí.

Zpět na začátek 

AvailableUpdates bity používané pro údržbu certifikátů

Níže uvedené bity se používají pro akce správce certifikátů a spouštění popsané v tomto dokumentu. Sloupec Order (Pořadí ) odráží pořadí, ve kterém úloha zabezpečeného spouštění zpracovává jednotlivé bity.

Objednávka

Nastavení bitů

Používání

1

0x0040

Tento bit informuje naplánovanou úlohu, aby do databáze zabezpečeného spouštění přidala certifikát ca UEFI systému Windows 2023. To umožňuje systému Windows důvěřovat správcům spouštění podepsaným tímto certifikátem.

2

0x0800

Tento bit říká naplánované úloze, aby na databázi použil Microsoft Option ROM UEFI CA 2023.  

Podmíněné chování: Když je nastaven příznak 0x4000 , naplánovaná úloha nejprve zkontroluje databázi certifikátu Ca UEFI 2011 společnosti Microsoft Corporation . Použije certifikát Microsoft Option ROM UEFI CA 2023pouze v případě, že existuje certifikát 2011.

3

0x1000

Tento bit informuje naplánovanou úlohu, aby na databázi použila microsoft UEFI CA 2023.

Podmíněné chování: Když je nastaven příznak 0x4000 , naplánovaná úloha nejprve zkontroluje databázi certifikátu UEFI CA 2011 společnosti Microsoft Corporation . Použije certifikát Microsoft UEFI CA 2023pouze v případě , že je k dispozici certifikát 2011.

Modifikátor (příznak chování)

0x4000

Tento bit upravuje chování 0x0800 a 0x1000 bitů tak, aby microsoft UEFI CA 2023 a Microsoft Option ROM UEFI CA 2023 byly použity pouze v případě, že databáze již obsahuje Microsoft Corporation UEFI CA 2011  Aby se zajistilo, že profil zabezpečení zařízení zůstane stejný, použije tento bit tyto nové certifikáty jenom v případě, že zařízení důvěřuje certifikátu Ca UEFI 2011 společnosti Microsoft Corporation. Ne všechna zařízení s Windows tomuto certifikátu důvěřují.

4

0x0004

Tento bit sděluje naplánované úloze, aby vyhledala klíč výměny klíčů podepsaný klíčem platformy (PK) zařízení. Infrastrukturu infrastruktury spravuje výrobce OEM. Výrobce OEM podepisuje klíč Microsoft KEK pomocí své pk a doručuje ho Microsoftu tam, kde je součástí měsíčních kumulativních aktualizací.

5

0x0100

Tento bit informuje naplánovanou úlohu, aby na spouštěcí oddíl použil správce spouštění podepsaný certifikační autoritou UEFI systému Windows 2023. Tím nahradíte podepsaného správce spouštění Microsoft Windows Production PCA 2011.

Poznámky:

  • Bit 0x4000 zůstane nastavený i po zpracování všech ostatních bitů.

  • Každý bit je zpracován naplánovanou úlohou Secure-Boot-Update ve výše uvedeném pořadí.

  • Pokud 0x0004 bit nelze zpracovat kvůli chybějícímu klíči KEK podepsanému pk, naplánovaná úloha stále použije aktualizaci správce spouštění označenou bitem 0x0100.

Zpět na začátek 

Očekávaný průběh (AvailableUpdates)

Po úspěšném dokončení operace systém Windows vymaže přidružený bit z AvailableUpdates. Pokud operace selže, systém Windows zaznamená událost a při opětovném spuštění úlohy provede opakování.

Následující tabulka ukazuje očekávaný průběh hodnot AvailableUpdates po dokončení každé akce aktualizace zabezpečeného spouštění.

Krok

Bit zpracovaný

Dostupné Aktualizace

Popis

Zaprotokolovaná úspěšná událost

Možné kódy chybových událostí

Start

0x5944

Počáteční stav před zahájením údržby certifikátu zabezpečeného spouštění

-

-

1

0x0040

0x5944 → 0x5904

Windows UEFI CA 2023 je přidán do databáze zabezpečeného spouštění.

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

Přidejte Microsoft Option ROM UEFI CA 2023 do databáze, pokud zařízení dříve důvěřoval Microsoft UEFI CA 2011.

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

Microsoft UEFI CA 2023 se přidá do databáze, pokud zařízení dříve důvěřoval certifikační autoritě Microsoft UEFI 2011.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

Použije se nový Microsoft KEK 2K CA 2023 podepsaný klíčem platformy OEM.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

Je nainstalovaný správce spouštění podepsaný rozhraním UEFI CA 2023 systému Windows.

1799

1797

Poznámky

  • Jakmile se operace přidružená k bitu úspěšně dokončí, vymaže se tento bit z AvailableUpdates.

  • Pokud jedna z těchto operací selže, zaprotokoluje se událost a při příštím spuštění naplánované úlohy se operace opakuje.

  • Bit 0x4000 je modifikátor a není vymazán. Konečná hodnota AvailableUpdates 0x4000 označuje úspěšné dokončení všech příslušných akcí aktualizace.

  • Události 1032, 1795, 1796, 1802 obvykle značí omezení firmwaru nebo platformy.

  • Událost 1803 označuje chybějící klíč KEK podepsaný výrobcem OEM s pk.

Zpět na začátek 

Nápravné postupy

Tato část obsahuje podrobné postupy pro nápravu konkrétních problémů se zabezpečeným spouštěním. Každý postup je vymezen na dobře definovanou podmínku a je určen k provedení až po počáteční diagnostice potvrdí, že se problém týká. Pomocí těchto postupů obnovte očekávané chování zabezpečeného spouštění a povolte bezpečné pokračování aktualizací certifikátů. Nepoužívejte tyto postupy obecně ani preventivně.

Zpět na začátek

Povolení zabezpečeného spouštění ve firmwaru

Pokud je zabezpečené spouštění ve firmwaru zařízení zakázané, podrobnosti o povolení zabezpečeného spouštění najdete v tématech Windows 11 a Zabezpečené spouštění.

Zpět na začátek

Zakázaná nebo odstraněná naplánovaná úloha zabezpečeného spouštění

Aby systém Windows použil aktualizace certifikátů zabezpečeného spouštění, vyžaduje se naplánovaná úloha zabezpečeného spouštění . Pokud je úloha zakázaná nebo chybí, nebude obsluha certifikátu zabezpečeného spouštění pokračovat.

Podrobnosti úkolu

Název úkolu

Aktualizace zabezpečeného spouštění

Cesta k úkolu

\Microsoft\Windows\PI\

Úplná cesta

\Microsoft\Windows\PI\Secure-Boot-Update

Spustí se jako

SYSTEM (místní systém)

Aktivační události

Při spuštění a každých 12 hodin

Požadovaný stav

Povoleno

Jak zkontrolovat stav úkolu

Spusťte příkaz z příkazového řádku PowerShellu se zvýšenými oprávněními: schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Vyhledejte pole Stav:

Stav

Význam

Připraven

Úkol existuje a je povolen.

Zakázané

Úloha existuje, ale musí být povolena.

Chyba / Nenalezena

Úloha chybí a je nutné ji znovu vytvořit.

Povolení nebo opětovné vytvoření úkolu

Pokud je pole stavu zabezpečeného spouštění aktualizace zakázáno, chyba nebo nenalezena, pomocí ukázkového skriptu povolte úlohu: Ukázkový Enable-SecureBootUpdateTask.ps1

Poznámka: Jedná se o ukázkový skript, který Microsoft nepodporuje. Správci by ho měli zkontrolovat a přizpůsobit svému prostředí.

například:

.\Enable-SecureBootUpdateTask.ps1 -Quiet

Doprovodné materiály ke spuštění

  • Pokud se zobrazí přístup odepřen, spusťte Znovu PowerShell jako správce.

  • Pokud se skript nespustí kvůli zásadám spouštění, použijte obejití oboru procesu:

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass

Zpět na začátek 

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti