Gælder for
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Oprindelig udgivelsesdato: 14. oktober 2025

KB ID: 5068202

Denne artikel indeholder en vejledning til:  

  • Organisationer med it-administrerede Windows-enheder og -opdateringer.

Denne supports tilgængelighed:  

Registreringsdatabasenøgler er inkluderet i opdateringer, der udgives på eller efter følgende dato:

  • 11. november 2025: For versioner af Windows, der stadig understøttes.

Rediger dato

Skift beskrivelse

20. februar 2026

  • Der er føjet 3 nye registreringsdatabasenøgler til artiklen – "UEFICA2023ErrorEvent", "BucketHash" & "ConfidenceLevel".

  • Afsnittet "Tilgængelighed af denne support" er blevet opdateret.

4. november 2025

  • Der er tilføjet endnu en registreringsdatabasenøgle på siden.

  • Rettede en sætning fra "Hvis opdatering af databasen (database over signaturer, der er tillid til) f.eks. mislykkedes på grund af et firmwareproblem, kan denne registreringsdatabasenøgle vise en fejlkode, der kan knyttes til en hændelseslog eller et dokumenteret fejl-id" til "Hvis opdatering af databasen (database over signaturer, der er tillid til) f.eks. mislykkedes på grund af et firmwareproblem, kan denne registreringsdatabasenøgle vise en fejlkode fra firmwaren. Når denne nøgle findes og ikke er nul, anbefaler vi, at du søger efter sikker bootstart-hændelser i Windows-hændelseslogfiler – få flere oplysninger her: (link)".

  • Der er tilføjet to separate stier til registreringsdatabasenøgler nedenfor

11. november 2025

  • Afsnittet under Enhedstest ved hjælp af registreringsdatabasenøgler er opdateret med yderligere oplysninger: "Registreringsdatabasenøglen bør hurtigt ændres til 0x4100. Hvis du genstarter og kører opgaven igen, opdateres Boot Manager, og AvailableUpdates bliver 0x0100. Få flere oplysninger i Fejlfinding om, hvordan AvailableUpdates fungerer."

  • Opdater teksten i det grå felt under Enhedstest ved hjælp af registreringsdatabasenøgler for at få to yderligere PowerShell-kommandoer

  • Under registreringsdatabasenøgler blev registreringsdatabaseværdien -MicrosoftUpdateManagedOptInændret fra "1 – tilvælg" til "1 eller en anden værdi end nul – tilvælg"

16. november 2025

Indholdet er opdateret under "Enhedstest ved hjælp af registreringsdatabasenøgler". Opdateringsværdien Available er ændret fra "0x0100" til "0x4000".

I denne artikel

Introduktion

I dette dokument beskrives understøttelse af udrulning, administration og overvågning af certifikatopdateringer til sikker bootstart ved hjælp af Windows-registreringsdatabasenøgler. Nøglerne består af følgende: 

  • En nøgle, der udløser udrulningen af certifikaterne og Boot Manager på enheden.

  • To nøgler til overvågningsstatus for udrulningen.

  • To nøgler til administration af tilvalgs-/fravalgsindstillinger for de to tilgængelige udrulningshjælpepunkter.

Disse registreringsdatabasenøgler kan angives manuelt på enheden eller eksternt via tilgængelig flådeadministrationssoftware. Andre installationsmetoder, f.eks. Gruppepolitik, Microsoft Intune og WinCS, er beskrevet i artiklen Windows-enheder til virksomheder og organisationer med it-administrerede opdateringer.  

Registreringsdatabasenøgler til sikker bootstart

I denne sektion

Registreringsdatabasenøgler

Alle registreringsdatabasenøgler til sikker bootstart, der er beskrevet nedenfor, er placeret under denne sti til registreringsdatabasen: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

I følgende tabel beskrives hver enkelt registreringsdatabaseværdi:

Registreringsdatabaseværdi

Type

Beskrivelse og brug

Tilgængelige opdateringer

REG_DWORD (bitmaske)

Opdater udløserflag.

Styrer, hvilke handlinger for opdatering af sikker bootstart der skal udføres på enheden. Hvis du angiver det relevante bitfelt her, startes udrulningen af nye sikker bootstart-certifikater og relaterede opdateringer. I forbindelse med virksomhedsudrulning skal dette indstilles til 0x5944 (hex) – en værdi, der aktiverer alle relevante opdateringer (tilføjelse af de nye 2023 CA-certifikater, opdatering af KEK og installation af den nye Boot Manager). 

Indstillinger

  • 0 eller ikke angivet – der udføres ingen opdatering af nøglen til sikker bootstart.

  • 0x5944 – udrul alle nødvendige certifikater, og opdater til PCA2023-signeret boot manager

HighConfidenceOptOut

REG_DWORD

En mulighed for at fravælge.

Til virksomheder, der ønsker at fravælge buckets med høj tillid, der automatisk anvendes som en del af LCU.

Du kan angive denne nøgle til en værdi, der ikke er nul, for at fravælge buckets med høj tillid. 

Indstillinger 

  • 0 eller nøgle findes ikke – tilvælg

  • 1 – fravælg

MicrosoftUpdateManagedOptIn

REG_DWORD

En mulighed for at tilvælge.

Til virksomheder, der ønsker at tilvælge CFR-tjenesten (Controlled Feature Rollout), også kendt som Microsoft Managed.

Ud over at angive denne nøgle skal du tillade afsendelse af påkrævede diagnosticeringsdata (se Konfigurer diagnostiske Windows-data i din organisation). 

Indstillinger

  • 0 eller nøgle findes ikke – fravælg

  • 1 eller en anden værdi  end nul – tilvælg

Alle registreringsdatabasenøgler til sikker bootstart, der er beskrevet nedenfor, er placeret under denne sti til registreringsdatabasen: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

I følgende tabel beskrives hver enkelt registreringsdatabaseværdi:

Registreringsdatabaseværdi

Type

Beskrivelse og brug

UEFICA2023Status

REG_SZ (streng)

Statusindikator for udrulning.

Afspejler den aktuelle tilstand for opdateringen af nøglen til sikker bootstart på enheden. Den angives til en af følgende tekstværdier:

  • NotStarted: Opdateringen er endnu ikke kørt.

  • InProgress: Opdateringen er i gang.

  • Opdateret: Opdateringen er fuldført.

I starten er statussen NotStarted. Den ændres til InProgress , når opdateringen starter, og til sidst til Opdateret , når alle nye nøgler og den nye Boot Manager er blevet installeret. Hvis der er en fejl, angives registreringsdatabaseværdien UEFICA2023Error til en kode, der ikke er nul.

UEFICA2023Error

REG_DWORD (kode)

Fejlkode (hvis det er relevant).

Denne værdi forbliver 0 , hvis det lykkes. Hvis opdateringsprocessen støder på en fejl, angives UEFICA2023Error til en fejlkode, der ikke er nul, og som svarer til den første fejl, der blev registreret. En fejl her antyder, at opdateringen til sikker bootstart ikke lykkedes helt og kan kræve undersøgelse eller afhjælpning på den pågældende enhed.  

Hvis opdatering af databasen (database over signaturer, der er tillid til) f.eks. mislykkedes på grund af et firmwareproblem, kan denne registreringsdatabasenøgle vise en fejlkode fra firmwaren. Når denne nøgle findes og ikke er nul, anbefaler vi, at du søger efter Hændelser for sikker bootstart i Windows-hændelseslogfilerne – se Opdateringshændelser for sikker bootstart DB og DBX-variable opdateringer for at få mere at vide.

UEFICA2023ErrorEvent

REG_DWORD (kode)

UEFICA2023ErrorEvent angiver det hændelses-id, som Windows brugte til at rapportere en fejl, der er relateret til programmet for windows UEFI CA 2023 Secure Boot-opdateringer. Denne værdi er korreleret med registreringsdatabasenøglen UEFICA2023Error og udfyldes, når denne nøgle er angivet, hvilket angiver, at Der opstod en fejl i Windows under forsøg på at anvende sikker bootstartopdatering. Når dette sker, logger Windows den tilsvarende Secure Boot-hændelse, der er dokumenteret på den offentlige side Sikker bootstart DB- og DBX-variable opdateringshændelser, som indeholder flere oplysninger om, hvorfor opdateringen ikke kunne fuldføres, og hvilken handling der kan være påkrævet.

WindowsUEFICA2023Capable

REG_DWORD (kode)

Denne registreringsdatabasenøgle er beregnet til begrænsede udrulningsscenarier og anbefales ikke til generel brug. I de fleste tilfælde skal du bruge registreringsdatabasenøglen UEFICA2023Status i stedet.

Gyldige værdier:

0 – eller nøglen findes ikke – certifikatet "Windows UEFI CA 2023" findes ikke i databasen

1 – "Windows UEFI CA 2023"-certifikatet er i databasen

2 – "Windows UEFI CA 2023"-certifikatet er i databasen, og systemet starter fra den 2023-signerede boot manager

BucketHash

REG_SZ (streng)

BucketHash identificerer installations-bucket'en, som en enhed er tildelt som en del af sikker bootstartcertifikatudrulning. Værdien er en hash, der er afledt af enhedens egenskaber og bruges til at gruppere enheder med lignende firmware- og platformattributter til faseinddelt installation og risikostyring. Dette er den samme bucket-hash, der vises i de enhedsspecifikke hændelser, der er dokumenteret på siden sikker bootstart DB- og DBX-variable opdateringshændelser , så administratorer kan korrelere registreringsdatabasens tilstand med hændelseslogposter og forstå, hvordan en enhed målrettes under sikker bootstartopdateringsproces.

ConfidenceLevel

REG_SZ (streng)

ConfidenceLevel angiver den tillidsvurdering, der er knyttet til enhedens Secure Boot-installationsspand. Denne værdi svarer til BucketConfidenceLevel, som Windows tildeler enheden baseret på observeret opdateringsfunktionsmåde på tværs af lignende hardware- og firmwarekonfigurationer. Det samme konfidensniveau er inkluderet i de enhedsspecifikke hændelser, der er dokumenteret på siden sikker bootstart DB- og DBX-variable opdateringshændelser , så administratorer kan korrelere registreringsdatabaseværdien med hændelseslogposter. Du kan finde flere oplysninger om de mulige værdier for denne nøgle i beskrivelserne af hændelsesloggen for enheden.

Sådan fungerer disse nøgler sammen

It-administratorer konfigurerer værdien AvailableUpdates i registreringsdatabasen til 0x5944, hvilket signalerer, at Windows skal udføre opdateringen og installationen af nøglen til sikker bootstart på enheden.

Mens processen kører, opdaterer systemet UEFICA2023Status fra NotStarted til InProgress og til sidst til Opdateret, når det lykkes. Da hver bit i0x5944 behandles korrekt, ryddes den.

Hvis et trin mislykkes, registreres der en fejlkode iUEFICA2023Error (og statussen forbliver InProgress).

Denne mekanisme giver administratorer en klar metode til at udløse og spore udrulningen pr. enhed. 

Installation ved hjælp af registreringsdatabasenøgler 

Udrulning til en gruppe af enheder består af følgende trin: 

  1. Angiv værdien availableUpdates i registreringsdatabasen til 0x5944 på hver af de enheder, der skal opdateres.

  2. Overvåg registreringsdatabasenøglerne UEFICA2023Status og UEFICA2023Error for at se, om enhederne gør fremskridt. Den opgave, der behandler disse opdateringer, kører hver 12. time. Bemærk, at boot manager-opdateringen muligvis ikke finder sted, før enheden er genstartet.

  3. Undersøg problemer, hvis de opstår. Hvis UEFICA2023Error ikke er nul på en enhed, kan du kontrollere hændelsesloggen for hændelser, der er relateret til dette problem. Se Sikker bootstart DB- og DBX-variable opdateringshændelser for at få en komplet liste over Secure Boot-hændelser.

En bemærkning om genstart: Selvom det kan være nødvendigt at genstarte for at fuldføre processen, medfører start af udrulningen af opdateringerne til sikker bootstart ikke en genstart. Hvis der er brug for en genstart, afhænger udrulningen af sikker bootstart af genstarter som det normale forløb for brug af enheden. 

Enhedstest ved hjælp af registreringsdatabasenøgler 

Når du tester individuelle enheder for at sikre, at enhederne behandler opdateringerne korrekt, kan registreringsdatabasenøglerne være en nem måde at teste på. 

Hvis du vil teste, skal du køre hver af følgende kommandoer separat fra en PowerShell-administratorprompt: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Genstart systemet manuelt, når AvailableUpdates bliver 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Den første kommando starter udrulningen af certifikatet og Boot Manager på enheden. Den anden kommando medfører, at den opgave, der behandler registreringsdatabasenøglen AvailableUpdates, kører med det samme. Normalt kører opgaven hver 12. time. Registreringsdatabasenøglen bør hurtigt ændres til 0x4100. Hvis du genstarter og kører opgaven igen, bliver Boot Manager opdateret, og AvailableUpdates bliver 0x4000. Få flere oplysninger i Fejlfinding om, hvordan AvailableUpdates fungerer.

Du kan finde resultaterne ved at observere registreringsdatabasenøglerne UEFICA2023Status og UEFICA2023Error og hændelseslogfilerne som beskrevet i hændelserne Sikker bootstart DB og DBX-variable opdateringshændelser

Tilvælg og fravælg assistancer 

Registreringsdatabasenøglerne HighConfidenceOptOut og MicrosoftUpdateManagedOptIn kan bruges til at administrere de to "hjælpeenheder" til udrulning, der er beskrevet iWindows-enheder med it-administrerede opdateringer

  • Registreringsdatabasenøglen HighConfidenceOptOut styrer den automatiske opdatering af enheder via de akkumulerede opdateringer. For de enheder, hvor Microsoft har observeret, at bestemte enheder opdateres korrekt, betragtes de som enheder med "høj tillid", og opdateringerne af certifikatet til sikker bootstart sker automatisk. Standardindstillingen er tilvalgt.

  • Registreringsdatabasenøglen MicrosoftUpdateManagedOptIn gør det muligt for it-afdelinger at tilvælge automatisk udrulning, der administreres af Microsoft. Denne indstilling er som standard deaktiveret og indstillet til 1-tilvalg. Denne indstilling kræver også, at enheden sender valgfrie diagnosticeringsdata.

Understøttede versioner af Windows

Denne tabel opdeler understøttelsen yderligere baseret på registreringsdatabasenøglen. 

Nøgle 

Understøttede versioner af Windows 

Tilgængelige opdateringer 

UEFICA2023Status 

UEFICA2023Error 

Alle versioner af Windows, der understøtter sikker bootstart (Windows Server 2012 og nyere Windows-versioner).  

Bemærk! Selvom tillidsdataene indsamles på Windows 10, versionerne LTSC, 22H2 og nyere versioner af Windows, kan de anvendes på enheder, der kører på tidligere versioner af Windows.    

  • Windows 10, versioner LTSC og 22H2

  • Windows 11, version 22H2 og 23H2

  • Windows 11, version 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Fejlhændelser for sikker bootstart

​​​​​​​​​​​​​​Fejlhændelser har en vigtig rapporteringsfunktion, der informerer om status for sikker bootstart og status.  Du kan finde oplysninger om fejlhændelser under Secure Boot DB- og DBX-variable opdateringshændelser. Fejlhændelserne opdateres med yderligere hændelsesoplysninger for sikker bootstart. 

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed