Platí pro
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Původní datum publikování: 14. října 2025

ID znalostní báze: 5068202

Tento článek obsahuje pokyny pro:  

  • Organizace se zařízeními a aktualizacemi s Windows spravovanými IT.

Dostupnost této podpory:  

  • Klíče registru AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut a MicrosoftUpdateManagedOptIn jsou součástí aktualizací vydaných v následující data nebo později:

    • 14. října 2025: Mezi podporované verze patří verze Windows 10, verze 22H2 a novější (včetně 21H2 LTSC), všechny podporované verze Windows 11 a Windows Server 2022 a novější.

    • 11. listopadu 2025: Pro verze Windows, které jsou stále podporovány.

V tomto článku

Úvod

Tento dokument popisuje podporu nasazení, správy a monitorování aktualizací certifikátů zabezpečeného spouštění pomocí klíčů registru systému Windows. Klíče se skládají z následujících: 

  • Jeden klíč pro aktivaci nasazení certifikátů a správce spouštění na zařízení.

  • Dva klíče pro monitorování stavu nasazení

  • Dva klíče pro správu nastavení výslovného souhlasu/odhlášení pro dva dostupné pomocníky pro nasazení

Tyto klíče registru je možné nastavit ručně na zařízení nebo vzdáleně prostřednictvím dostupného softwaru pro správu vozového parku. Další metody nasazení, například Zásady skupiny, Intune a WinCS, jsou popsané v článku Zařízení s Windows pro firmy a organizace s aktualizacemi spravovanými IT.  

Klíče registru zabezpečeného spouštění

V této části

Klíče registru

Všechny klíče registru zabezpečeného spouštění popsané v tomto dokumentu se nacházejí v této cestě registru: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Následující tabulka popisuje jednotlivé hodnoty registru. 

Hodnota registru

Typ

Popis & využití

AvailableUpdates

REG_DWORD (bitová maska)

Aktualizace příznaků triggeru

Určuje, které akce aktualizace zabezpečeného spouštění se mají na zařízení provádět. Nastavením příslušného bitového pole se zahájí nasazení nových certifikátů zabezpečeného spouštění a souvisejících aktualizací. V případě podnikového nasazení by tato hodnota měla být nastavená na 0x5944 (šestnáctkové číslo), což je hodnota, která umožňuje všechny relevantní aktualizace (přidání nových certifikátů certifikační autority z roku 2023, aktualizace klíče KEK a instalace nového správce spouštění). 

Nastavení: 

  • 0 nebo není nastaveno – Neprovádí se žádná aktualizace klíče zabezpečeného spouštění.

  • 0x5944 – Nasaďte všechny potřebné certifikáty a aktualizujte ho do správce spouštění podepsaného PCA2023.

UEFICA2023Status

REG_SZ (řetězec)

Indikátor stavu nasazení.

Odráží aktuální stav aktualizace klíče zabezpečeného spouštění na zařízení. Nastaví se na jednu z následujících textových hodnot:

  • NotStarted:Aktualizace ještě nebyla spuštěna.

  • InProgress:InProgress:Aktualizace aktivně probíhá.

  • Aktualizovaný: Aktualizace se úspěšně dokončila.

Na začátku je stav Nezahájené. Jakmile aktualizace začne, změní se na InProgress a nakonec na Aktualizované, když jsou nasazeny všechny nové klíče a nový správce spouštění. Pokud dojde k chybě, je hodnota registru UEFICA2023Error nastavená na nenulový kód.

Chyba UEFICA2023

REG_DWORD (kód)

Kód chyby (pokud existuje)

Při úspěchu zůstane tato hodnota 0 . Pokud proces aktualizace narazí na chybu, UEFICA2023Error je nastaven na nenulový kód chyby odpovídající první zjištěné chybě. Chyba zde znamená, že aktualizace zabezpečeného spouštění nebyla úplně úspěšná a může vyžadovat šetření nebo nápravu na daném zařízení.  

Pokud například aktualizace databáze (databáze důvěryhodných podpisů) selhala kvůli problému s firmwarem, může tento klíč registru zobrazit kód chyby, který lze namapovat na protokol událostí nebo zdokumentovat ID chyby v událostech aktualizace databáze zabezpečeného spouštění a dbx proměnných

HighConfidenceOptOut

REG_DWORD

Možnost odhlášení.

Pro podniky, které chtějí vyjádřit výslovný nesouhlas s vysoce důvěryhodnými kontejnery, které se automaticky použijí jako součást aktualizace LCU.

Tento klíč můžete nastavit na nenulovou hodnotu, abyste se z kontejnerů s vysokou spolehlivostí odhlásili. 

Nastavení 

  • 0 nebo klíč neexistuje – Výslovný souhlas

  • 1 – Vyjádření výslovného souhlasu

MicrosoftUpdateManagedOptIn

REG_DWORD

Možnost výslovného souhlasu

Pro podniky, které se chtějí přihlásit k poskytování služeb CFR (Controlled Feature Rollout), označované také jako Microsoft Managed.

Kromě nastavení tohoto klíče povolte odesílání požadovaných diagnostických dat (viz Konfigurace diagnostických dat Windows ve vaší organizaci). 

Nastavení

  • 0 nebo klíč neexistuje – Odhlášení

  • 1 – Vyjádření výslovného souhlasu

Jak tyto klíče spolupracují

Správce IT nakonfiguruje hodnotu registru AvailableUpdates na 0x5944, což signalizuje systému Windows, aby na zařízení spustil aktualizaci a instalaci klíče zabezpečeného spouštění.

Jak proces běží, systém aktualizuje UEFICA2023Status z NotStarted na InProgress a nakonec na Updated v případě úspěchu. Když se každý bit v 0x5944 úspěšně zpracuje, vymaže se.

Pokud některý krok selže, kód chyby se zaznamená v UEFICA2023Error (a stav zůstane InProgress).

Tento mechanismus poskytuje správcům jasný způsob, jak aktivovat a sledovat uvedení na zařízení. 

Nasazení s využitím klíčů registru 

Nasazení do skupiny zařízení se skládá z následujících kroků: 

  1. Nastavte hodnotu registru AvailableUpdates na 0x5944 na každém zařízení, která se mají aktualizovat.

  2. Monitorujte klíče registru UEFICA2023Status a UEFICA2023Error , abyste zjistili, že zařízení postupují. Mějte na paměti, že úloha, která tyto aktualizace zpracovává, se spouští každých 12 hodin. Upozorňujeme, že k aktualizaci správce spouštění může dojít až po restartování.

  3. Prozkoumejte problémy, pokud k nim dojde. Pokud je chyba UEFICA2023 na zařízení nenulová, můžete zkontrolovat události související s tímto problémem v protokolu událostí. Úplný seznam událostí zabezpečeného spouštění najdete v tématu Události aktualizace databáze zabezpečeného spouštění a proměnných DBX .

Poznámka k restartováním: I když může být k dokončení procesu vyžadováno restartování, zahájení nasazení aktualizací zabezpečeného spouštění nezpůsobí restartování. Pokud je potřeba restartovat, nasazení zabezpečeného spouštění spoléhá na restartování, ke které dochází při běžném používání zařízení. 

Testování zařízení pomocí klíčů registru 

Při testování jednotlivých zařízení, aby se zajistilo, že zařízení budou zpracovávat aktualizace správně, můžou být klíče registru jednoduchým způsobem testování. 

Pokud ho chcete otestovat, spusťte každý z následujících příkazů odděleně od příkazového řádku PowerShellu správce: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

První příkaz zahájí nasazení správce certifikátů a spouštění na zařízení. Druhý příkaz způsobí, že úloha, která zpracovává klíč registru AvailableUpdates , se okamžitě spustí. Obvykle se úloha spouští každých 12 hodin. 

Výsledky můžete najít pomocí klíčů registru UEFICA2023Status a UEFICA2023Error a protokolů událostí, jak je popsáno v tématu Události aktualizace databáze zabezpečeného spouštění a proměnné DBX

Vyjádření souhlasu a odhlášení pro pomocníky 

Klíče registru HighConfidenceOptOut a MicrosoftUpdateManagedOptIn se dají použít ke správě dvou "pomocníků" nasazení popsaných v tématu Zařízení s Windows s aktualizacemi spravovanými IT

  • Klíč registru HighConfidenceOptOut řídí automatickou aktualizaci zařízení prostřednictvím kumulativních aktualizací. U zařízení, u kterých Microsoft zaznamenal, že se konkrétní zařízení úspěšně aktualizují, se považují za zařízení s vysokou spolehlivostí a aktualizace certifikátů zabezpečeného spouštění proběhnou automaticky. Výchozí nastavení pro tento výslovný souhlas.

  • Klíč registru MicrosoftUpdateManagedOptIn umožňuje it oddělením přihlásit se k automatickému nasazení spravovanému Microsoftem. Toto nastavení je ve výchozím nastavení zakázané a nastaví se na 1 výslovný souhlas. Toto nastavení také vyžaduje, aby zařízení odesílala volitelná diagnostická data.

Podporované verze Windows

Tato tabulka dále rozpisuje podporu na základě klíče registru. 

Kód 

Podporované verze Windows 

AvailableUpdates 

UEFICA2023Status 

Chyba UEFICA2023 

Všechny verze Windows, které podporují zabezpečené spouštění (Windows Server 2012 a novější verze Windows).  

Poznámka: Data spolehlivosti se shromažďují ve verzích Windows 10, LTSC, 22H2 a novějších verzích Windows, ale dají se použít na zařízeních se staršími verzemi Windows.    

  • Windows 10, verze LTSC a 22H2

  • Windows 11 verze 22H2 a 23H2

  • Windows 11 verze 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Události chyb zabezpečeného spouštění

​​​​​​​​​​​​​​Chybové události mají důležitou funkci generování sestav, která informuje o stavu a průběhu zabezpečeného spouštění.  Informace o chybových událostech najdete v tématu Události aktualizace databáze zabezpečeného spouštění a proměnné DBX. Chybové události se aktualizují o další informace o událostech pro zabezpečené spouštění. 

Další změny součástí pro zabezpečené spouštění 

V této části

Změny TPMTasks 

Upravte TPMTasks a zjistěte, jestli má zařízení aktualizované certifikáty zabezpečeného spouštění. V současné době může toto rozhodnutí provést, ale pouze v případě, že CFR vybere počítač pro aktualizaci. Toto určení a následné protokolování by mělo probíhat v každé relaci spouštění bez ohledu na CFR. Pokud certifikáty zabezpečeného spouštění nejsou plně aktuální, vygenerují dvě výše popsané chybové události. Pokud jsou certifikáty aktuální, vygenerují událost Information. Certifikáty zabezpečeného spouštění, které se budou kontrolovat, jsou:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 a Microsoft Option ROM UEFI CA 2023 – Tyto dvě certifikační autority musí být k dispozici pouze v případě, že je přítomen Microsoft UEFI CA 2011. Pokud microsoft UEFI CA 2011 není k dispozici, pak není potřeba žádná kontrola.

  • Microsoft Corporation KEK 2K CA 2023

Událost metadat počítače 

Tato událost shromáždí metadata počítače a vydá následující událost:

  • BucketId + Míra spolehlivosti – událost   

Tato událost použije meta-data počítače k vyhledání odpovídající položky v databázi počítačů (položka kbelíku). Počítač naformátuje a vygeneruje událost s tímto datem spolu s informacemi o spolehlivosti týkajícími se kbelíku. ​​​​​​​ 

Vysoce spolehlivý pomocník pro zařízení 

U zařízení v kontejnerech s vysokou spolehlivostí se automaticky použijí certifikáty zabezpečeného spouštění a správce spouštění podepsané 2023.   

Aktualizace se aktivuje současně s vygenerovanými dvěma chybovými událostmi a událost BucketId + Confidence Rating bude obsahovat hodnocení s vysokou spolehlivostí.   

Vyjádřit výslovný nesouhlas

Pro zákazníky, kteří se chtějí odhlásit, bude nový klíč registru k dispozici následujícím způsobem:   

Umístění registru

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Název klávesy

HighConfidenceOptOut

Typ klíče

DWORD

Hodnota DWORD

0 nebo klíč neexistuje – Je povolený pomocník s vysokou spolehlivostí.    

1 – Pomocník s vysokou spolehlivostí je zakázaný.   

Žádná jiná hodnota není definována.   

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti