Gælder for
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Oprindelig publiceret dato: 14. oktober 2025

KB-id: 5068202

Denne artikel indeholder vejledning til:  

  • Organisationer med IT-administrerede Windows-enheder og -opdateringer.

Tilgængelighed af denne support:  

Registreringsdatabasenøglerne AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut og MicrosoftUpdateManagedOptIn er inkluderet i opdateringer, der er udgivet på eller efter følgende datoer:

  • 14. oktober 2025: Understøttede versioner omfatter Windows 10, version 22H2 og nyere versioner (herunder 21H2 LTSC), alle understøttede versioner af Windows 11 samt Windows Server 2022 og nyere.

  • 11. november 2025: For versioner af Windows, der stadig understøttes.

Skift dato

Skift beskrivelse

4. november 2025

  • Der er føjet endnu en registreringsdatabasenøgle til siden.

  • Rettede en sætning fra "Hvis opdatering af DB (database med pålidelige signaturer) mislykkedes på grund af et firmwareproblem, kan denne registreringsdatabasenøgle vise en fejlkode, der kan knyttes til en hændelseslog eller dokumenteret fejl-id i" for at sige "Hvis opdatering af DB (database over pålidelige signaturer) mislykkedes på grund af et firmwareproblem, denne registreringsdatabasenøgle kan vise en fejlkode fra firmwaren. Når denne nøgle findes og ikke er nul, anbefaler vi, at du søger efter Hændelser med sikker bootstart i Windows-hændelseslogfiler – se (link) for at få flere oplysninger".

  • Der er tilføjet to separate stier til registreringsdatabasenøgler nedenfor

11. november 2025

  • Afsnittet under Enhedstest ved hjælp af registreringsdatabasenøgler er opdateret med yderligere oplysninger: "Registreringsdatabasenøglen bør hurtigt skifte til 0x4100. Hvis du genstarter og kører opgaven igen, opdateres bootstyringen, og AvailableUpdates bliver 0x0100. Se Fejlfinding for at få flere oplysninger om, hvordan AvailableUpdates fungerer."

  • Opdater teksten i det grå felt under Enhedstest ved hjælp af registreringsdatabasenøgler for at få to yderligere PowerShell-kommandoer

  • Under registreringsdatabasenøgler blev registreringsdatabasen Value -MicrosoftUpdateManagedOptIn ændret fra "1 - Opt in " til "1 eller en hvilken som helst værdi, der ikke er nul – Tilvalg"

16. november 2025

Indholdet er opdateret under "Enhedstest ved hjælp af registreringsdatabasenøgler". Værdien Tilgængelig opdatering er ændret fra "0x0100" til "0x4000".

I denne artikel

Introduktion

I dette dokument beskrives understøttelse af installation, administration og overvågning af sikker bootstartcertifikatopdateringer ved hjælp af Registreringsdatabasenøgler i Windows. Tasterne består af følgende: 

  • En nøgle til at udløse installationen af certifikater og boot manager på enheden.

  • To nøgler til overvågning af status for udrulningen.

  • To nøgler til administration af tilvalgs-/fravalgsindstillingerne for de to tilgængelige installationsassistenter.

Disse registreringsdatabasenøgler kan indstilles manuelt på enheden eller eksternt via tilgængelig flådeadministrationssoftware. Andre installationsmetoder, f.eks. Gruppepolitik, Microsoft Intune og WinCS, er beskrevet i artiklen Windows-enheder til virksomheder og organisationer med it-administrerede opdateringer.  

Registreringsdatabasenøgler til sikker bootstart

I dette afsnit

Registreringsdatabasenøgler

Alle registreringsdatabasenøgler til sikker bootstart, der er beskrevet nedenfor, er placeret under denne sti til registreringsdatabasen: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

I følgende tabel beskrives hver af registreringsdatabaseværdierne:

Registreringsdatabaseværdi

Type

Beskrivelse og brug

Tilgængelige opdateringer

REG_DWORD (bitmaske)

Opdater udløserflag.

Styrer, hvilke handlinger til opdatering af sikker bootstart, der skal udføres på enheden. Hvis du angiver det relevante bitfelt her, startes installationen af nye certifikater til sikker bootstart og relaterede opdateringer. For virksomhedsinstallation skal denne indstilles til 0x5944 (hex) – en værdi, der aktiverer alle relevante opdateringer (tilføjelse af de nye 2023 CA-certifikater, opdatering af KEK og installation af den nye startstyring). 

Indstillinger

  • 0 eller ikke angivet – Der udføres ingen opdatering af nøglen til sikker bootstart.

  • 0x5944 – Installer alle nødvendige certifikater, og opdater til den PCA2023 signerede boot manager

HighConfidenceOptOut

REG_DWORD

En fravalgsmulighed.

For virksomheder, der ønsker at fravælge høj tillid buckets, der automatisk vil blive anvendt som en del af LCU.

Du kan angive denne nøgle til en værdi, der ikke er nul, for at fravælge buckets med høj konfidens. 

Indstillinger 

  • 0 eller nøgle findes ikke – Tilvalg

  • 1 – Fravælge

MicrosoftUpdateAdministrerdOptIn

REG_DWORD

En indstilling for tilmelding.

For virksomheder, der ønsker at tilmelde sig cfr-vedligeholdelse (Controlled Feature Rollout), også kaldet Microsoft Managed.

Ud over at angive denne nøgle skal du tillade afsendelse af påkrævede diagnosticeringsdata (se Konfigurer Windows-diagnosticeringsdata i din organisation). 

Indstillinger

  • 0 eller nøgle findes ikke – Fravælge

  • 1 eller en hvilken som helst anden værdi   end nul– Tilvalg

Alle registreringsdatabasenøgler til sikker bootstart, der er beskrevet nedenfor, er placeret under denne sti til registreringsdatabasen: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

I følgende tabel beskrives hver af registreringsdatabaseværdierne:

Registreringsdatabaseværdi

Type

Beskrivelse og brug

UEFICA2023Status

REG_SZ (streng)

Indikator for installationsstatus.

Afspejler den aktuelle tilstand for opdateringen af sikker bootstartnøgle på enheden. Den indstilles til en af følgende tekstværdier:

  • NotStarted: Opdateringen er endnu ikke kørt.

  • InProgress: Opdateringen er aktivt i gang.

  • Opdateret: Opdateringen er fuldført.

I første omgang er status NotStarted. Den ændres til InProgress, når opdateringen starter, og til sidst til Opdateret, når alle nye nøgler og den nye boot manager er blevet installeret. Hvis der er en fejl, er registreringsdatabaseværdien UEFICA2023Error indstillet til en kode, der ikke er nul.

UEFICA2023Fejl

REG_DWORD (kode)

Fejlkode (hvis relevant).

Denne værdi forbliver 0 ved succes. Hvis opdateringsprocessen støder på en fejl, er UEFICA2023Error indstillet til en fejlkode, der ikke er nul, svarende til den første fejl, der blev fundet. En fejl her betyder, at sikker bootstart ikke blev gennemført fuldt ud og kan kræve undersøgelse eller afhjælpning på den pågældende enhed.  

Hvis opdatering af DB (database med pålidelige signaturer) mislykkedes på grund af et firmwareproblem, kan denne registreringsdatabasenøgle vise en fejlkode fra firmwaren. Når denne nøgle findes og ikke er nul, anbefaler vi, at du søger efter Hændelser for sikker bootstart i Windows-hændelseslogfilerne – se Hændelser for sikker bootstart DB og DBX-variable opdateringshændelser for at få flere oplysninger.

WindowsUEFICA2023 Ude af stand

REG_DWORD (kode)

Denne registreringsdatabasenøgle er beregnet til begrænsede installationsscenarier og anbefales ikke til generel brug. I de fleste tilfælde skal du bruge registreringsdatabasenøglen UEFICA2023Status i stedet.

Gyldige værdier:

0 – eller nøglen findes ikke – certifikatet "Windows UEFI CA 2023" findes ikke i DB

1 - Certifikatet "Windows UEFI CA 2023" findes i DB

2 - Certifikatet "Windows UEFI CA 2023" findes i DB, og systemet starter fra den 2023-signerede startstyring

Sådan fungerer disse taster sammen

It-administratorer konfigurerer registreringsdatabaseværdien AvailableUpdates til at 0x5944, hvilket signalerer, at Windows udfører opdateringen og installationen af sikker bootstartnøgle på enheden.

Når processen kører, opdaterer systemet UEFICA2023Status fra NotStarted til InProgress og til sidst til Opdateret efter succes. Da hver bit i 0x5944 behandles korrekt, ryddes den.

Hvis et trin mislykkes, registreres en fejlkode i UEFICA2023Error (og statussen forbliver InProgress).

Denne mekanisme giver administratorer en klar metode til at udløse og spore implementeringen pr. enhed. 

Installation ved hjælp af registreringsdatabasenøgler 

Installation til en gruppe af enheder består af følgende trin: 

  1. Indstil registreringsdatabaseværdien AvailableUpdates til at 0x5944 på hver af de enheder, der skal opdateres.

  2. Overvåg registreringsdatabasenøglerne UEFICA2023Status og UEFICA2023Error for at se, at enhederne gør fremskridt. Den opgave, der behandler disse opdateringer, kører hver 12. time. Bemærk, at opdateringen til Boot Manager muligvis ikke finder sted, før der er opstået en genstart.

  3. Undersøg problemer, hvis de opstår. Hvis UEFICA2023Error er ikke-nul på en enhed, kan du kontrollere hændelsesloggen for hændelser, der er relateret til dette problem. Se Sikker bootstart DB- og DBX-variable opdateringshændelser for at få en komplet liste over Secure Boot-hændelser.

En bemærkning om genstart: Selvom det kan være nødvendigt at genstarte for at fuldføre processen, vil start af installationen af opdateringerne til sikker bootstart ikke medføre en genstart. Hvis det er nødvendigt at genstarte, afhænger installationen af Sikker bootstart af, at genstart sker som den normale brug af enheden. 

Enhedstest ved hjælp af registreringsdatabasenøgler 

Når du tester individuelle enheder for at sikre, at enhederne behandler opdateringerne korrekt, kan registreringsdatabasenøglerne være en nem måde at teste på. 

Hvis du vil teste, skal du køre hver af følgende kommandoer adskilt fra en PowerShell-administratorprompt: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Genstart systemet manuelt, når AvailableUpdates bliver 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Den første kommando starter installationen af certifikatet og startstyringen på enheden. Den anden kommando medfører, at den opgave, der behandler registreringsdatabasenøglen AvailableUpdates , kører med det samme. Normalt kører opgaven hver 12. time. Registreringsdatabasenøglen bør hurtigt ændres til 0x4100. Hvis du genstarter og kører opgaven igen, opdateres bootstyringen, og AvailableUpdates bliver 0x4000. Se Fejlfinding for at få flere oplysninger om, hvordan AvailableUpdates fungerer.

Du kan finde resultaterne ved at observere registreringsdatabasenøglerne UEFICA2023Status og UEFICA2023Error og hændelseslogfilerne som beskrevet i hændelserne Sikker bootstart DB og DBX-variable opdateringshændelser

Tilvælge og fravælge assister 

Registreringsdatabasenøglerne HighConfidenceOptOut og MicrosoftUpdateManagedOptIn kan bruges til at administrere de to "hjælpeinstallationer", der er beskrevet i Windows-enheder med it-administrerede opdateringer

  • Registreringsdatabasenøglen HighConfidenceOptOut styrer automatisk opdatering af enheder via de samlede opdateringer. For de enheder, hvor Microsoft har observeret, at bestemte enheder opdateres korrekt, betragtes de som "enheder med høj sikkerhed", og opdateringer af certifikat til sikker bootstart sker automatisk. Standardindstillingen er tilvalg.

  • Registreringsdatabasenøglen MicrosoftUpdateManagedOptIn giver it-afdelinger mulighed for at tilmelde sig automatisk installation, der administreres af Microsoft. Denne indstilling er som standard deaktiveret og indstiller den til 1 tilmelding. Denne indstilling kræver også, at enheden sender valgfrie diagnosticeringsdata.

Understøttede versioner af Windows

Denne tabel opdeler yderligere understøttelsen baseret på registreringsdatabasenøglen. 

Nøgle 

Understøttede versioner af Windows 

Tilgængelige opdateringer 

UEFICA2023Status 

UEFICA2023Fejl 

Alle versioner af Windows, der understøtter sikker bootstart (Windows Server 2012 og nyere Versioner af Windows).  

Bemærk: Mens tillidsdataene indsamles på Windows 10, versioner LTSC, 22H2 og nyere versioner af Windows, kan de anvendes på enheder, der kører på tidligere versioner af Windows.    

  • Windows 10, versioner LTSC og 22H2

  • Windows 11, version 22H2 og 23H2

  • Windows 11, version 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateAdministrerdOptIn 

Hændelser med sikker bootstart

​​​​​​​​​​​​​​Fejlhændelser har en kritisk rapporteringsfunktion til at informere om status og status for sikker bootstart.  Du kan finde oplysninger om fejlhændelser under Secure Boot DB- og DBX-variable opdateringshændelser. Fejlhændelserne opdateres med yderligere hændelsesoplysninger for Sikker bootstart. 

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed