Platí pro
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Původní datum publikování: 14. října 2025

ID znalostní báze: 5068202

Tento článek obsahuje pokyny pro:  

  • Organizace se zařízeními a aktualizacemi s Windows spravovanými IT.

Dostupnost této podpory:  

Klíče registru AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut a MicrosoftUpdateManagedOptIn jsou součástí aktualizací vydaných v následující data nebo později:

  • 14. října 2025: Mezi podporované verze patří verze Windows 10, verze 22H2 a novější (včetně 21H2 LTSC), všechny podporované verze Windows 11 a Windows Server 2022 a novější.

  • 11. listopadu 2025: Pro verze Windows, které jsou stále podporovány.

Změnit datum

Změnit popis

úterý 4. listopadu 2025

  • Na stránku byl přidán další klíč registru.

  • Opravili jsme příkaz z článku "Pokud například aktualizace databáze (databáze důvěryhodných podpisů) selhala kvůli problému s firmwarem, může tento klíč registru zobrazovat kód chyby, který se dá namapovat na protokol událostí nebo zdokumentované ID chyby v souboru" a říká: "Například pokud aktualizace databáze (databáze důvěryhodných podpisů) selhala kvůli problému s firmwarem, tento klíč registru může zobrazit kód chyby z firmwaru. Pokud tento klíč existuje a není nulový, doporučujeme vyhledat události zabezpečeného spouštění v protokolech událostí systému Windows – další podrobnosti najdete na odkazu.

  • Níže byly přidány dvě samostatné cesty pro klíče registru.

úterý 11. listopadu 2025

  • Aktualizovali jsme odstavec v části Testování zařízení pomocí klíčů registru o další informace: Klíč registru by se měl rychle změnit na 0x4100. Restartování a opětovné spuštění úlohy způsobí aktualizaci správce spouštění a 0x0100 AvailableUpdates. Další podrobnosti o tom, jak se funkce AvailableUpdates chová, najdete v tématu Řešení potíží.

  • Aktualizujte text v šedém poli v části Testování zařízení pomocí klíčů registru tak, aby měl další dva příkazy PowerShellu.

  • V části klíče registru se hodnota registru -MicrosoftUpdateManagedOptIn,změnila z "1 – Přihlásit se" na "1 nebo jakákoli nenulová hodnota – Přihlásit se"

úterý 16. listopadu 2025

Aktualizovali jsme obsah v části Testování zařízení pomocí klíčů registru. Hodnota Dostupná aktualizace byla změněna z "0x0100" na "0x4000".

V tomto článku

Úvod

Tento dokument popisuje podporu nasazení, správy a monitorování aktualizací certifikátů zabezpečeného spouštění pomocí klíčů registru systému Windows. Klíče se skládají z následujících: 

  • Jeden klíč pro aktivaci nasazení certifikátů a správce spouštění na zařízení.

  • Dva klíče pro monitorování stavu nasazení

  • Dva klíče pro správu nastavení výslovného souhlasu/odhlášení pro dva dostupné pomocníky pro nasazení

Tyto klíče registru je možné nastavit ručně na zařízení nebo vzdáleně prostřednictvím dostupného softwaru pro správu vozového parku. Další metody nasazení, například Zásady skupiny, Microsoft Intune a WinCS, jsou popsané v článku Zařízení s Windows pro firmy a organizace s aktualizacemi spravovanými IT.  

Klíče registru zabezpečeného spouštění

V této části

Klíče registru

Všechny klíče registru zabezpečeného spouštění popsané níže se nacházejí v této cestě registru: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Následující tabulka popisuje jednotlivé hodnoty registru:

Hodnota registru

Typ

Popis a použití

AvailableUpdates

REG_DWORD (bitová maska)

Aktualizace příznaků triggeru

Určuje, které akce aktualizace zabezpečeného spouštění se mají na zařízení provádět. Nastavením příslušného bitového pole se zahájí nasazení nových certifikátů zabezpečeného spouštění a souvisejících aktualizací. V případě podnikového nasazení by tato hodnota měla být nastavená na 0x5944 (šestnáctkové číslo), což je hodnota, která umožňuje všechny relevantní aktualizace (přidání nových certifikátů certifikační autority 2023, aktualizace klíče KEK a instalace nového správce spouštění). 

Nastavení

  • 0 nebo není nastaveno – Neprovádí se žádná aktualizace klíče zabezpečeného spouštění.

  • 0x5944 – Nasaďte všechny potřebné certifikáty a aktualizujte ho do správce spouštění podepsaného PCA2023.

HighConfidenceOptOut

REG_DWORD

Možnost odhlášení.

Pro podniky, které chtějí vyjádřit výslovný nesouhlas s vysoce důvěryhodnými kontejnery, které se automaticky použijí jako součást aktualizace LCU.

Tento klíč můžete nastavit na nenulovou hodnotu, abyste se z kontejnerů s vysokou spolehlivostí odhlásili. 

Nastavení 

  • 0 nebo klíč neexistuje – Vyjádřit výslovný souhlas

  • 1 – Vyjádřit výslovný nesouhlas

MicrosoftUpdateManagedOptIn

REG_DWORD

Možnost vyjádřit výslovný souhlas.

Pro podniky, které se chtějí přihlásit k poskytování služeb CFR (Controlled Feature Rollout), označované také jako Microsoft Managed.

Kromě nastavení tohoto klíče povolte odesílání požadovaných diagnostických dat (viz Konfigurace diagnostických dat Windows ve vaší organizaci). 

Nastavení

  • 0 nebo klíč neexistuje – Odhlásit se

  • 1 nebo jakákoli nenulová hodnota  – Přihlásit se

Všechny klíče registru zabezpečeného spouštění popsané níže se nacházejí v této cestě registru: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Následující tabulka popisuje jednotlivé hodnoty registru:

Hodnota registru

Typ

Popis a použití

UEFICA2023Status

REG_SZ (řetězec)

Indikátor stavu nasazení.

Odráží aktuální stav aktualizace klíče zabezpečeného spouštění na zařízení. Nastaví se na jednu z následujících textových hodnot:

  • NotStarted: Aktualizace ještě nebyla spuštěna.

  • InProgress: Aktualizace aktivně probíhá.

  • Aktualizace: Aktualizace se úspěšně dokončila.

Na začátku je stav Nezahájené. Jakmile aktualizace začne, změní se na InProgress a nakonec na Aktualizované, když jsou nasazeny všechny nové klíče a nový správce spouštění. Pokud dojde k chybě, je hodnota registru UEFICA2023Error nastavená na nenulový kód.

Chyba UEFICA2023

REG_DWORD (kód)

Kód chyby (pokud existuje)

Při úspěchu zůstane tato hodnota 0 . Pokud proces aktualizace narazí na chybu, UEFICA2023Error je nastaven na nenulový kód chyby odpovídající první zjištěné chybě. Chyba zde znamená, že aktualizace zabezpečeného spouštění nebyla úplně úspěšná a může vyžadovat šetření nebo nápravu na daném zařízení.  

Pokud například aktualizace databáze (databáze důvěryhodných podpisů) selhala kvůli problému s firmwarem, může se v tomto klíči registru zobrazit kód chyby z firmwaru. Pokud tento klíč existuje a je nenulový, doporučujeme vyhledat události zabezpečeného spouštění v protokolech událostí systému Windows – další podrobnosti najdete v tématu Události aktualizace databáze zabezpečeného spouštění a proměnné DBX.

WindowsUEFICA2023Capable

REG_DWORD (kód)

Tento klíč registru je určený pro omezené scénáře nasazení a nedoporučuje se pro obecné použití. Ve většině případů použijte místo toho klíč registru UEFICA2023Status.

Platné hodnoty:

0 – nebo klíč neexistuje – Certifikát "Windows UEFI CA 2023" není v databázi

1 – Certifikát "Windows UEFI CA 2023" je v databázi.

2 – Certifikát "Windows UEFI CA 2023" je v databázi a systém začíná od podepsaného správce spouštění 2023.

Jak tyto klíče spolupracují

Správci IT nakonfigurují hodnotu registru AvailableUpdates na 0x5944, což signalizuje systému Windows, aby na zařízení spustil aktualizaci a instalaci klíče zabezpečeného spouštění.

Jak proces běží, systém aktualizuje UEFICA2023Status z NotStarted na InProgress a nakonec na Updated v případě úspěchu. Když se každý bit v 0x5944 úspěšně zpracuje, vymaže se.

Pokud některý krok selže, kód chyby se zaznamená v UEFICA2023Error (a stav zůstane InProgress).

Tento mechanismus poskytuje správcům jasný způsob, jak aktivovat a sledovat uvedení na zařízení. 

Nasazení s využitím klíčů registru 

Nasazení do skupiny zařízení se skládá z následujících kroků: 

  1. Nastavte hodnotu registru AvailableUpdates na 0x5944 na každém zařízení, která se mají aktualizovat.

  2. Monitorujte klíče registru UEFICA2023Status a UEFICA2023Error , abyste zjistili, že zařízení postupují. Úloha, která tyto aktualizace zpracovává, se spouští každých 12 hodin. Upozorňujeme, že k aktualizaci správce spouštění může dojít až po restartování.

  3. Prozkoumejte problémy, pokud k nim dojde. Pokud je chyba UEFICA2023 na zařízení nenulová, můžete zkontrolovat události související s tímto problémem v protokolu událostí. Úplný seznam událostí zabezpečeného spouštění najdete v tématu Události aktualizace databáze zabezpečeného spouštění a proměnných DBX .

Poznámka k restartováním: I když může být k dokončení procesu vyžadováno restartování, zahájení nasazení aktualizací zabezpečeného spouštění nezpůsobí restartování. Pokud je potřeba restartovat, nasazení zabezpečeného spouštění spoléhá na restartování, ke které dochází při běžném používání zařízení. 

Testování zařízení pomocí klíčů registru 

Při testování jednotlivých zařízení, aby se zajistilo, že zařízení budou zpracovávat aktualizace správně, můžou být klíče registru jednoduchým způsobem testování. 

Pokud ho chcete otestovat, spusťte každý z následujících příkazů odděleně od příkazového řádku PowerShellu správce: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Při 0x4100 AvailableUpdates ručně restartujte systém.

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

První příkaz zahájí nasazení správce certifikátů a spouštění na zařízení. Druhý příkaz způsobí, že úloha, která zpracovává klíč registru AvailableUpdates , se okamžitě spustí. Obvykle se úloha spouští každých 12 hodin. Klíč registru by se měl rychle změnit na 0x4100. Restartování a opětovné spuštění úlohy způsobí aktualizaci správce spouštění a 0x4000 AvailableUpdates. Další podrobnosti o tom, jak se funkce AvailableUpdates chová, najdete v tématu Řešení potíží.

Výsledky můžete najít pomocí klíčů registru UEFICA2023Status a UEFICA2023Error a protokolů událostí, jak je popsáno v tématu Události aktualizace databáze zabezpečeného spouštění a proměnné DBX

Vyjádření souhlasu a odhlášení z používání asistence 

Klíče registru HighConfidenceOptOut a MicrosoftUpdateManagedOptIn se dají použít ke správě dvou "pomocníků" nasazení popsaných v tématu Zařízení s Windows s aktualizacemi spravovanými IT

  • Klíč registru HighConfidenceOptOut řídí automatickou aktualizaci zařízení prostřednictvím kumulativních aktualizací. U zařízení, u kterých Microsoft zaznamenal, že se konkrétní zařízení úspěšně aktualizují, se považují za zařízení s vysokou spolehlivostí a aktualizace certifikátů zabezpečeného spouštění proběhnou automaticky. Výchozí nastavení je Přihlásit se.

  • Klíč registru MicrosoftUpdateManagedOptIn umožňuje it oddělením přihlásit se k automatickému nasazení spravovanému Microsoftem. Toto nastavení je ve výchozím nastavení zakázané a nastaví se na 1 výslovný souhlas. Toto nastavení také vyžaduje, aby zařízení odesílala volitelná diagnostická data.

Podporované verze Windows

Tato tabulka dále rozpisuje podporu na základě klíče registru. 

Kód 

Podporované verze Windows 

AvailableUpdates 

UEFICA2023Status 

Chyba UEFICA2023 

Všechny verze Windows, které podporují zabezpečené spouštění (Windows Server 2012 a novější verze Windows).  

Poznámka: Data spolehlivosti se shromažďují ve verzích Windows 10, LTSC, 22H2 a novějších verzích Windows, ale dají se použít na zařízeních se staršími verzemi Windows.    

  • Windows 10, verze LTSC a 22H2

  • Windows 11 verze 22H2 a 23H2

  • Windows 11 verze 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Události chyb zabezpečeného spouštění

​​​​​​​​​​​​​​Chybové události mají důležitou funkci generování sestav, která informuje o stavu a průběhu zabezpečeného spouštění.  Informace o chybových událostech najdete v tématu Události aktualizace databáze zabezpečeného spouštění a proměnné DBX. Chybové události se aktualizují o další informace o událostech pro zabezpečené spouštění. 

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti