Gælder for
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Oprindelig publiceret dato: 14. oktober 2025

KB-id: 5068202

Denne artikel indeholder vejledning til:  

  • Organisationer med IT-administrerede Windows-enheder og -opdateringer.

Tilgængelighed af denne support:  

  • Registreringsdatabasenøglerne AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut og MicrosoftUpdateManagedOptIn er inkluderet i opdateringer, der er udgivet på eller efter følgende datoer:

    • 14. oktober 2025: Understøttede versioner omfatter Windows 10, version 22H2 og nyere versioner (herunder 21H2 LTSC), alle understøttede versioner af Windows 11 samt Windows Server 2022 og nyere.

    • 11. november 2025: For versioner af Windows, der stadig understøttes.

I denne artikel

Introduktion

I dette dokument beskrives understøttelse af installation, administration og overvågning af sikker bootstartcertifikatopdateringer ved hjælp af Registreringsdatabasenøgler i Windows. Tasterne består af følgende: 

  • En nøgle til at udløse installationen af certifikater og boot manager på enheden.

  • To nøgler til overvågning af status for udrulningen.

  • To nøgler til administration af tilvalgs-/fravalgsindstillingerne for de to tilgængelige installationsassistenter.

Disse registreringsdatabasenøgler kan indstilles manuelt på enheden eller eksternt via tilgængelig flådeadministrationssoftware. Andre installationsmetoder, f.eks. Gruppepolitik, Intune og WinCS, er beskrevet i artiklen Windows-enheder til virksomheder og organisationer med it-administrerede opdateringer.  

Registreringsdatabasenøgler til sikker bootstart

I dette afsnit

Registreringsdatabasenøgler

Alle registreringsdatabasenøgler til sikker bootstart, der er beskrevet i dette dokument, er placeret under denne sti i registreringsdatabasen: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

I følgende tabel beskrives hver af registreringsdatabaseværdierne. 

Registreringsdatabaseværdi

Type

Beskrivelse & brug

Tilgængelige opdateringer

REG_DWORD (bitmaske)

Opdater udløserflag.

Styrer, hvilke handlinger til opdatering af sikker bootstart, der skal udføres på enheden. Hvis du angiver det relevante bitfelt her, startes installationen af nye certifikater til sikker bootstart og relaterede opdateringer. For virksomhedsinstallation skal denne indstilles til 0x5944 (hex) – en værdi, der aktiverer alle relevante opdateringer (tilføjelse af de nye 2023 CA-certifikater, opdatering af KEK og installation af den nye startstyring). 

Indstillinger: 

  • 0 eller ikke angivet – Der udføres ingen opdatering af nøglen til sikker bootstart.

  • 0x5944 – Installer alle nødvendige certifikater, og opdater til den PCA2023 signerede boot manager

UEFICA2023Status

REG_SZ (streng)

Indikator for installationsstatus.

Afspejler den aktuelle tilstand for opdateringen af sikker bootstartnøgle på enheden. Den indstilles til en af følgende tekstværdier:

  • Ikkestartet:Opdateringen er endnu ikke kørt.

  • InProgress:Opdateringen er i gang.

  • Opdateret: Opdateringen er fuldført.

I første omgang er status NotStarted. Den ændres til InProgress, når opdateringen starter, og til sidst til Opdateret, når alle nye nøgler og den nye boot manager er blevet installeret. Hvis der er en fejl, er registreringsdatabaseværdien UEFICA2023Error indstillet til en kode, der ikke er nul.

UEFICA2023Fejl

REG_DWORD (kode)

Fejlkode (hvis relevant).

Denne værdi forbliver 0 ved succes. Hvis opdateringsprocessen støder på en fejl, er UEFICA2023Error indstillet til en fejlkode, der ikke er nul, svarende til den første fejl, der blev fundet. En fejl her betyder, at sikker bootstart ikke blev gennemført fuldt ud og kan kræve undersøgelse eller afhjælpning på den pågældende enhed.  

Hvis opdatering af DB (database med pålidelige signaturer) mislykkedes på grund af et firmwareproblem, kan denne registreringsdatabasenøgle f.eks. vise en fejlkode, der kan knyttes til en hændelseslog eller dokumenteret fejl-id i sikker bootstart-DB- og DBX-variable opdateringshændelser

HighConfidenceOptOut

REG_DWORD

En fravalgsmulighed.

For virksomheder, der ønsker at fravælge høj tillid buckets, der automatisk vil blive anvendt som en del af LCU.

Du kan angive denne nøgle til en værdi, der ikke er nul, for at fravælge buckets med høj konfidens. 

Indstillinger 

  • 0 eller nøgle findes ikke – Tilvalg

  • 1 – Tilmelding

MicrosoftUpdateAdministrerdOptIn

REG_DWORD

En tilvalgsmulighed.

For virksomheder, der ønsker at tilmelde sig cfr-vedligeholdelse (Controlled Feature Rollout), også kaldet Microsoft Managed.

Ud over at angive denne nøgle skal du tillade afsendelse af påkrævede diagnosticeringsdata (se Konfigurer Windows-diagnosticeringsdata i din organisation). 

Indstillinger

  • 0 eller nøgle findes ikke – Fravælge

  • 1 – Tilmelding

Sådan fungerer disse taster sammen

It-administratoren konfigurerer registreringsdatabaseværdien AvailableUpdates til at 0x5944, hvilket signalerer, at Windows udfører opdateringen og installationen af nøglen til sikker bootstart på enheden.

Når processen kører, opdaterer systemet UEFICA2023Status fra NotStarted til InProgress og til sidst til Opdateret efter succes. Da hver bit i 0x5944 behandles korrekt, ryddes den.

Hvis et trin mislykkes, registreres en fejlkode i UEFICA2023Error (og statussen forbliver InProgress).

Denne mekanisme giver administratorer en klar metode til at udløse og spore implementeringen pr. enhed. 

Installation ved hjælp af registreringsdatabasenøgler 

Installation til en gruppe af enheder består af følgende trin: 

  1. Indstil registreringsdatabaseværdien AvailableUpdates til at 0x5944 på hver af de enheder, der skal opdateres.

  2. Overvåg registreringsdatabasenøglerne UEFICA2023Status og UEFICA2023Error for at se, at enhederne gør fremskridt. Husk, at den opgave, der behandler disse opdateringer, kører én gang hver 12. time. Bemærk, at opdateringen til Boot Manager muligvis ikke finder sted, før der er opstået en genstart.

  3. Undersøg problemer, hvis de opstår. Hvis UEFICA2023Error er ikke-nul på en enhed, kan du kontrollere hændelsesloggen for hændelser, der er relateret til dette problem. Se Sikker bootstart DB- og DBX-variable opdateringshændelser for at få en komplet liste over Secure Boot-hændelser.

En bemærkning om genstart: Selvom det kan være nødvendigt at genstarte for at fuldføre processen, vil start af installationen af opdateringerne til sikker bootstart ikke medføre en genstart. Hvis det er nødvendigt at genstarte, afhænger installationen af Sikker bootstart af, at genstart sker som den normale brug af enheden. 

Enhedstest ved hjælp af registreringsdatabasenøgler 

Når du tester individuelle enheder for at sikre, at enhederne behandler opdateringerne korrekt, kan registreringsdatabasenøglerne være en nem måde at teste på. 

Hvis du vil teste, skal du køre hver af følgende kommandoer adskilt fra en PowerShell-administratorprompt: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Den første kommando starter installationen af certifikatet og startstyringen på enheden. Den anden kommando medfører, at den opgave, der behandler registreringsdatabasenøglen AvailableUpdates , kører med det samme. Normalt kører opgaven hver 12. time. 

Du kan finde resultaterne ved at observere registreringsdatabasenøglerne UEFICA2023Status og UEFICA2023Error og hændelseslogfilerne som beskrevet i hændelserne Sikker bootstart DB og DBX-variable opdateringshændelser

Tilmelding og fravalg af assister 

Registreringsdatabasenøglerne HighConfidenceOptOut og MicrosoftUpdateManagedOptIn kan bruges til at administrere de to "hjælpeinstallationer", der er beskrevet i Windows-enheder med it-administrerede opdateringer

  • Registreringsdatabasenøglen HighConfidenceOptOut styrer automatisk opdatering af enheder via de samlede opdateringer. For de enheder, hvor Microsoft har observeret, at bestemte enheder opdateres korrekt, betragtes de som "enheder med høj sikkerhed", og opdateringer af certifikat til sikker bootstart sker automatisk. Standardindstillingen for dette tilvalg.

  • Registreringsdatabasenøglen MicrosoftUpdateManagedOptIn giver it-afdelinger mulighed for at tilmelde sig automatisk installation, der administreres af Microsoft. Denne indstilling er som standard deaktiveret og indstiller den til 1 tilmelding. Denne indstilling kræver også, at enheden sender valgfrie diagnosticeringsdata.

Understøttede versioner af Windows

Denne tabel opdeler yderligere understøttelsen baseret på registreringsdatabasenøglen. 

Nøgle 

Understøttede versioner af Windows 

Tilgængelige opdateringer 

UEFICA2023Status 

UEFICA2023Fejl 

Alle versioner af Windows, der understøtter sikker bootstart (Windows Server 2012 og nyere Versioner af Windows).  

Seddel: Mens tillidsdataene indsamles på Windows 10, versioner LTSC, 22H2 og nyere versioner af Windows, kan de anvendes på enheder, der kører på tidligere versioner af Windows.    

  • Windows 10, versioner LTSC og 22H2

  • Windows 11, version 22H2 og 23H2

  • Windows 11, version 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateAdministrerdOptIn 

Hændelser med sikker bootstart

​​​​​​​​​​​​​​Fejlhændelser har en kritisk rapporteringsfunktion til at informere om status og status for sikker bootstart.  Du kan finde oplysninger om fejlhændelser under Secure Boot DB- og DBX-variable opdateringshændelser. Fejlhændelserne opdateres med yderligere hændelsesoplysninger for Sikker bootstart. 

Yderligere komponentændringer til sikker bootstart 

I dette afsnit

TPMTasks-ændringer 

Rediger TPMTasks for at afgøre, om enhedens tilstand har de opdaterede certifikater til sikker bootstart. I øjeblikket kan den træffe denne beslutning, men kun hvis CFR vælger en computer til opdatering. Denne bestemmelse og efterfølgende logføring bør ske i alle bootsessioner uanset CFR. Hvis certifikater til sikker bootstart ikke er helt opdateret, udsender de de to fejlhændelser, der er beskrevet ovenfor. Hvis certifikaterne er opdaterede, udsender de oplysningshændelsen. De certifikater til sikker bootstart, der skal kontrolleres, er:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 og Microsoft Option ROM UEFI CA 2023 – Disse to nøglecentre må kun være til stede, hvis Microsoft UEFI CA 2011 er til stede. Hvis Microsoft UEFI CA 2011 ikke er til stede, er det ikke nødvendigt at kontrollere det.

  • Microsoft Corporation KEK 2K CA 2023

Hændelse med maskinmetadata 

Hændelsen indsamler computerens metadata og udsteder følgende hændelse:

  • BucketId + konfidensbedømmelseshændelse   

Denne hændelse bruger computerens metadata til at finde den tilsvarende post i databasen over computere (bucket-indtastning). Computeren formaterer og udsender en hændelse med disse data sammen med eventuelle tillidsoplysninger om bucket'en. ​​​​​​​ 

Enhedshjælp med høj sikkerhed 

For enheder med høj tillid til buckets anvendes certifikater til sikker bootstart og 2023-signeret bootstyring automatisk.   

Opdateringen udløses, samtidig med at de to fejlhændelser genereres, og hændelsen BucketId + Konfidensvurdering indeholder en høj konfidensvurdering.   

Fravælge

For kunder, der vil fravælge, vil en ny registreringsdatabasenøgle være tilgængelig på følgende måde:   

Placering af registreringsdatabasen

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Navn på tast

HighConfidenceOptOut

Tastetype

DWORD

DWORD-værdi

0 eller nøgle findes ikke – Hjælp med høj tillid er aktiveret.    

1 – Højkonfidenshjælp er deaktiveret   

Alle andre værdier er ikke defineret   

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed