Ισχύει για
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Αρχική ημερομηνία δημοσίευσης: 19 Μαρτίου 2026

Αναγνωριστικό KB: 5085046

Σε αυτό το άρθρο

Επισκόπηση

Αυτή η σελίδα καθοδηγεί τους διαχειριστές και τους επαγγελματίες υποστήριξης στη διάγνωση και επίλυση προβλημάτων που σχετίζονται με την Ασφαλή εκκίνηση σε συσκευές Windows. Τα θέματα περιλαμβάνουν αποτυχίες ενημέρωσης πιστοποιητικών Ασφαλούς εκκίνησης, εσφαλμένες καταστάσεις Ασφαλούς εκκίνησης, μη αναμενόμενα μηνύματα αποκατάστασης BitLocker και αποτυχίες εκκίνησης μετά από αλλαγές στη ρύθμιση παραμέτρων ασφαλούς εκκίνησης.

Οι οδηγίες εξηγούν πώς μπορείτε να επαληθεύσετε τη συντήρηση και τη ρύθμιση παραμέτρων των Windows, να ελέγξετε τις σχετικές τιμές μητρώου και τα αρχεία καταγραφής συμβάντων και να προσδιορίσετε πότε απαιτείται ενημέρωση OEM για το υλικολογισμικό ή τους περιορισμούς πλατφόρμας. Αυτό το περιεχόμενο προορίζεται για τη διάγνωση ζητημάτων σε υπάρχουσες συσκευές. Δεν προορίζεται για το σχεδιασμό νέων αναπτύξεων. Αυτό το έγγραφο θα ενημερωθεί καθώς προσδιορίζονται νέα σενάρια αντιμετώπισης προβλημάτων και οδηγίες.

επιστροφή στην αρχή

Πώς λειτουργεί η συντήρηση πιστοποιητικών ασφαλούς εκκίνησης

Η συντήρηση πιστοποιητικών ασφαλούς εκκίνησης στα Windows είναι μια συντονισμένη διαδικασία μεταξύ του λειτουργικού συστήματος και του υλικολογισμικού UEFI μιας συσκευής. Ο στόχος είναι η ενημέρωση των αγκυρώσεων κρίσιμης αξιοπιστίας, διατηρώντας παράλληλα την ικανότητα εκκίνησης σε κάθε στάδιο.

Η διαδικασία βασίζεται σε μια προγραμματισμένη εργασία των Windows, μια ακολουθία ενεργειών ενημέρωσης βάσει μητρώου και μια ενσωματωμένη συμπεριφορά καταγραφής και επανάληψης. Μαζί, αυτά τα στοιχεία διασφαλίζουν ότι τα πιστοποιητικά Ασφαλούς εκκίνησης και η Διαχείριση εκκίνησης των Windows ενημερώνονται με ελεγχόμενο, ταξινομημένο τρόπο και μόνο μετά την επιτυχία των προαπαιτούμενων βημάτων.

επιστροφή στην αρχή

Από πού να ξεκινήσετε κατά την αντιμετώπιση προβλημάτων

Όταν μια συσκευή δεν φαίνεται να σημειώνει αναμενόμενη πρόοδο με την εφαρμογή ενημερώσεων πιστοποιητικού Ασφαλούς εκκίνησης, ξεκινήστε προσδιορίζοντας την κατηγορία του προβλήματος. Τα περισσότερα προβλήματα εμπίπτουν σε μία από τις τέσσερις περιοχές: κατάσταση συντήρησης των Windows, μηχανισμό ενημέρωσης Ασφαλούς εκκίνησης, συμπεριφορά υλικολογισμικού ή περιορισμό πλατφόρμας ή OEM.

Ξεκινήστε με τους παρακάτω ελέγχους, με τη σειρά. Σε πολλές περιπτώσεις, αυτά τα βήματα είναι επαρκή για να εξηγήσουν την παρατηρούμενη συμπεριφορά και να καθορίσουν τις επόμενες ενέργειες χωρίς βαθύτερη έρευνα.

  1. Επιβεβαίωση της συντήρησης των Windows και της καταλληλότητας για την πλατφόρμα

    1. ​​​​​​​Βεβαιωθείτε ότι η συσκευή πληροί τις βασικές απαιτήσεις για τη λήψη ενημερώσεων πιστοποιητικού Ασφαλούς εκκίνησης:

    2. Η συσκευή εκτελεί μια υποστηριζόμενη έκδοση των Windows.

    3. Εγκαθίστανται οι τελευταίες απαιτούμενες ενημερώσεις ασφαλείας των Windows.

    4. Η Ασφαλής εκκίνηση είναι ενεργοποιημένη στο υλικολογισμικό UEFI.

    5. Αν κάποια από αυτές τις συνθήκες δεν ικανοποιείται, αντιμετωπίστε τις προτού συνεχίσετε με περαιτέρω αντιμετώπιση προβλημάτων.

  2. Επαλήθευση της κατάστασης εργασίας Secure-Boot-Update

    1. Επιβεβαιώστε ότι ο μηχανισμός των Windows που είναι υπεύθυνος για την εφαρμογή ενημερώσεων πιστοποιητικών Ασφαλούς εκκίνησης είναι παρών και λειτουργεί:

    2. Η προγραμματισμένη εργασία Secure-Boot-Update υπάρχει.

    3. Η εργασία είναι ενεργοποιημένη και εκτελείται ως Τοπικό σύστημα.

    4. Η εργασία εκτελείται τουλάχιστον μία φορά από την εγκατάσταση της πιο πρόσφατης ενημέρωσης ασφαλείας των Windows.

    5. Εάν η εργασία είναι απενεργοποιημένη, διαγραμμένη ή δεν εκτελείται, δεν είναι δυνατή η εφαρμογή ενημερώσεων πιστοποιητικού Ασφαλούς εκκίνησης. Η αντιμετώπιση προβλημάτων θα πρέπει να εστιάζει στην επαναφορά της εργασίας πριν από την διερεύνηση άλλων αιτίων.

  3. Έλεγχος ρυθμίσεων μητρώου για την αναμενόμενη πρόοδο

    Ελέγξτε την κατάσταση συντήρησης ασφαλούς εκκίνησης της συσκευής στο μητρώο:

    1. Εξέταση UEFICA2023Status, UEFICA2023Error και UEFICA2023ErrorEvent.

    2. Εξετάστε τις Διαθέσιμες_ενημερώσεις και συγκρίνετέ τις με την αναμενόμενη πρόοδο (ανατρέξτε στο θέμα Αναφορά και εσωτερικά στοιχεία).

    Μαζί, αυτές οι τιμές υποδεικνύουν εάν η συντήρηση εξελίσσεται κανονικά, εάν εκτελείται επανάληψη μιας λειτουργίας ή εάν έχει καθυστερήσει σε ένα συγκεκριμένο βήμα.

  4. Συσχέτιση κατάστασης μητρώου με συμβάντα Ασφαλούς εκκίνησης

    Ελέγξτε τα συμβάντα που σχετίζονται με την Ασφαλή εκκίνηση στο αρχείο καταγραφής συμβάντων συστήματος και συσχετίστε τα με την κατάσταση μητρώου. Τα δεδομένα συμβάντος συνήθως επιβεβαιώνουν αν η συσκευή προωθεί πρόοδο, προσπαθεί ξανά λόγω παροδικής κατάστασης ή έχει αποκλειστεί από πρόβλημα υλικολογισμικού ή πλατφόρμας.

    Μαζί, το μητρώο και τα αρχεία καταγραφής συμβάντων συνήθως υποδεικνύουν εάν η συμπεριφορά είναι αναμενόμενη, προσωρινή ή απαιτεί διορθωτικές ενέργειες.

επιστροφή στην αρχή

Προγραμματισμένη εργασία Secure-Boot-Update

Η συντήρηση πιστοποιητικού ασφαλούς εκκίνησης υλοποιείται μέσω μιας προγραμματισμένης εργασίας των Windows που ονομάζεται Secure-Boot-Update. Η εργασία καταχωρείται στην ακόλουθη διαδρομή:

\Microsoft\Windows\PI\Secure-Boot-Update

Η εργασία εκτελείται ως Τοπικό σύστημα. Από προεπιλογή, εκτελείται κατά την εκκίνηση του συστήματος και κάθε 12 ώρες στη συνέχεια. Κάθε φορά που εκτελείται, ελέγχει αν εκκρεμούν ενέργειες ενημέρωσης ασφαλούς εκκίνησης και επιχειρεί να τις εφαρμόσει με τη σειρά.

Εάν αυτή η εργασία είναι απενεργοποιημένη ή λείπει, δεν είναι δυνατή η εφαρμογή ενημερώσεων πιστοποιητικού Ασφαλούς εκκίνησης. Η εργασία Secure-Boot-Update πρέπει να παραμείνει ενεργοποιημένη για να λειτουργεί η συντήρηση Ασφαλούς εκκίνησης.

επιστροφή στην αρχή

Γιατί χρησιμοποιείται μια προγραμματισμένη εργασία

Οι ενημερώσεις πιστοποιητικού ασφαλούς εκκίνησης απαιτούν συντονισμό μεταξύ του υλικολογισμικού των Windows και του UEFI, συμπεριλαμβανομένης της εγγραφής μεταβλητών UEFI που αποθηκεύουν κλειδιά ασφαλούς εκκίνησης και πιστοποιητικά. Μια προγραμματισμένη εργασία επιτρέπει στα Windows να επιχειρούν αυτές τις ενημερώσεις, όταν το σύστημα βρίσκεται σε κατάσταση όπου είναι δυνατή η τροποποίηση των μεταβλητών υλικολογισμικού.

Το επαναλαμβανόμενο 12ωρο χρονοδιάγραμμα παρέχει πρόσθετες ευκαιρίες για την επανάληψη ενημερώσεων σε περίπτωση αποτυχίας μιας προηγούμενης προσπάθειας ή εάν η συσκευή παρέμεινε ενεργοποιημένη χωρίς επανεκκίνηση. Αυτή η σχεδίαση συμβάλλει στη διασφάλιση της προόδου προς τα εμπρός χωρίς να απαιτείται μη αυτόματη παρέμβαση.

επιστροφή στην αρχή

Η μάσκα bit του μητρώου AvailableUpdates

Η εργασία Secure-Boot-Update βασίζεται στην τιμή μητρώου AvailableUpdates . Αυτή η τιμή είναι μια μάσκα bit 32 bit που βρίσκεται:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Κάθε bit στην τιμή αντιπροσωπεύει μια συγκεκριμένη ενέργεια ενημέρωσης ασφαλούς εκκίνησης. Η διαδικασία ενημέρωσης ξεκινά όταν η ρύθμιση AvailableUpdates έχει οριστεί σε μη μηδενική τιμή, είτε αυτόματα από τα Windows είτε ρητά από ένα διαχειριστή. Για παράδειγμα, μια τιμή όπως 0x5944 υποδεικνύει ότι εκκρεμούν πολλές ενέργειες ενημέρωσης.

Όταν εκτελείται η εργασία Secure-Boot-Update, ερμηνεύει τα καθορισμένα bit ως εκκρεμείς εργασίες και τα επεξεργάζεται με μια καθορισμένη σειρά.

επιστροφή στην αρχή

Διαδοχικές ενημερώσεις, καταγραφή και επανεκδίκαση συμπεριφοράς

Οι ενημερώσεις πιστοποιητικού ασφαλούς εκκίνησης εφαρμόζονται με σταθερή σειρά. Κάθε ενέργεια ενημέρωσης έχει σχεδιαστεί έτσι ώστε να είναι ασφαλής, ώστε να γίνεται επανάληψη και να ολοκληρώνεται ανεξάρτητα. Η εργασία Secure-Boot-Update δεν προχωρά στο επόμενο βήμα μέχρι να ολοκληρωθεί με επιτυχία η τρέχουσα ενέργεια και να εκκαθαριστεί το αντίστοιχο bit από το AvailableUpdates.

Κάθε λειτουργία χρησιμοποιεί τυπικές διασυνδέσεις UEFI για την ενημέρωση μεταβλητών Ασφαλούς εκκίνησης, όπως το DB και το KEK, ή για την εγκατάσταση της ενημερωμένης διαχείρισης εκκίνησης των Windows. Τα Windows καταγράφουν το αποτέλεσμα κάθε βήματος στο αρχείο καταγραφής συμβάντων συστήματος. Τα συμβάντα επιτυχίας επιβεβαιώνουν την πρόοδο προς τα εμπρός, ενώ τα συμβάντα αποτυχίας υποδεικνύουν γιατί δεν ήταν δυνατή η ολοκλήρωση μιας ενέργειας.

Εάν ένα βήμα ενημέρωσης αποτύχει, η εργασία σταματά να επεξεργάζεται, καταγράφει το σφάλμα και αφήνει το συσχετισμένο σύνολο bit. Η λειτουργία θα επανεκτεθεί την επόμενη φορά που θα εκτελεστεί η εργασία. Αυτή η συμπεριφορά επανεκδίκασης επιτρέπει στις συσκευές να επανέλθουν αυτόματα από προσωρινές συνθήκες, όπως η υποστήριξη υλικολογισμικού που λείπει ή οι καθυστερημένες ενημερώσεις OEM.

Οι διαχειριστές μπορούν να παρακολουθούν την πρόοδο συσχετίζοντας την κατάσταση μητρώου με τις καταχωρήσεις του αρχείου καταγραφής συμβάντων. Τιμές μητρώου όπως UEFICA2023Status, UEFICA2023Error και UEFICA2023ErrorEvent, μαζί με τη μάσκα bit AvailableUpdates , υποδεικνύουν ποιο βήμα είναι ενεργό, ολοκληρωμένο ή αποκλεισμένο.

Αυτός ο συνδυασμός δείχνει αν η συσκευή εξελίσσεται κανονικά, αν επαναλαμβάνει μια λειτουργία ή αν έχει καθυστερήσει.

επιστροφή στην αρχή

Ενοποίηση με υλικολογισμικό OEM

Οι ενημερώσεις πιστοποιητικού ασφαλούς εκκίνησης εξαρτώνται από τη σωστή συμπεριφορά και την υποστήριξη στο υλικολογισμικό UEFI μιας συσκευής. Ενώ τα Windows ενορχηστρώνουν τη διαδικασία ενημέρωσης, το υλικολογισμικό είναι υπεύθυνο για την επιβολή της πολιτικής ασφαλούς εκκίνησης και τη διατήρηση των βάσεων δεδομένων Ασφαλούς εκκίνησης.

Οι OEM παρέχουν δύο κρίσιμα στοιχεία που επιτρέπουν τη συντήρηση πιστοποιητικών Ασφαλούς εκκίνησης:

  • Κλειδιά ανταλλαγής κλειδιών πλατφόρμας υπογεγραμμένα (KEKs) που επιτρέπουν την εγκατάσταση νέων πιστοποιητικών Ασφαλούς εκκίνησης.

  • Υλοποιήσεις υλικολογισμικού που διατηρούν, προσαρτούν και επικυρώνουν σωστά τις βάσεις δεδομένων Ασφαλούς εκκίνησης κατά τις ενημερώσεις.

Αν το υλικολογισμικό δεν υποστηρίζει πλήρως αυτές τις συμπεριφορές, οι ενημερώσεις Ασφαλούς εκκίνησης μπορεί να καθυστερήσουν, να επαναλάβουν επ' αόριστον ή να οδηγήσουν σε αποτυχίες εκκίνησης. Σε αυτές τις περιπτώσεις, τα Windows δεν μπορούν να ολοκληρώσουν την ενημέρωση χωρίς αλλαγές στο υλικολογισμικό.

Η Microsoft συνεργάζεται με OEM για να εντοπίσει προβλήματα υλικολογισμικού και να καταστήσει διαθέσιμες τις διορθωμένες ενημερώσεις. Όταν η αντιμετώπιση προβλημάτων υποδεικνύει έναν περιορισμό ή ένα ελάττωμα υλικολογισμικού, οι διαχειριστές μπορεί να χρειαστεί να εγκαταστήσουν την πιο πρόσφατη ενημέρωση υλικολογισμικού UEFI που παρέχεται από τον κατασκευαστή της συσκευής για να ολοκληρωθούν με επιτυχία οι ενημερώσεις πιστοποιητικού Ασφαλούς εκκίνησης.

επιστροφή στην αρχή

Συνηθισμένα σενάρια αποτυχίας και λύσεις

Οι ενημερώσεις ασφαλούς εκκίνησης εφαρμόζονται από την προγραμματισμένη εργασία Secure-Boot-Update με βάση την κατάσταση μητρώου AvailableUpdates .

Υπό κανονικές συνθήκες, αυτά τα βήματα προκύπτουν αυτόματα και καταγράφουν συμβάντα επιτυχίας καθώς ολοκληρώνεται κάθε στάδιο. Σε ορισμένες περιπτώσεις, η συμπεριφορά του υλικολογισμικού, η ρύθμιση παραμέτρων της πλατφόρμας ή οι προϋποθέσεις συντήρησης μπορούν να αποτρέψουν την πρόοδο ή να οδηγήσουν σε μη αναμενόμενη συμπεριφορά εκκίνησης.

Οι παρακάτω ενότητες περιγράφουν τα πιο συνηθισμένα σενάρια αποτυχίας, τον τρόπο αναγνώρισής τους, το λόγο εμφάνισης και τα κατάλληλα επόμενα βήματα για την επαναφορά της κανονικής λειτουργίας. Τα σενάρια ταξινομούνται από πιο συνηθισμένα σε πιο σοβαρές περιπτώσεις που επηρεάζουν την εκκίνηση.

Όταν οι ενημερώσεις της Ασφαλούς εκκίνησης δεν εμφανίζουν καμία πρόοδο, αυτό συνήθως σημαίνει ότι η διαδικασία ενημέρωσης δεν ξεκίνησε ποτέ. Ως αποτέλεσμα, λείπουν οι αναμενόμενες τιμές μητρώου και τα αρχεία καταγραφής συμβάντων Ασφαλούς εκκίνησης, επειδή ο μηχανισμός ενημέρωσης δεν ενεργοποιήθηκε ποτέ.

Τι έγινε

Η διαδικασία ενημέρωσης Ασφαλούς εκκίνησης δεν ξεκίνησε, επομένως δεν εφαρμόστηκαν πιστοποιητικά Ασφαλούς εκκίνησης ή ενημερωμένη διαχείριση εκκίνησης στη συσκευή.

Πώς να το αναγνωρίσετε

  • Δεν υπάρχουν τιμές μητρώου συντήρησης Ασφαλούς εκκίνησης, όπως UEFICA2023Status.

  • Τα αναμενόμενα συμβάντα ασφαλούς εκκίνησης (για παράδειγμα, 1043, 1044, 1045, 1799, 1801) λείπουν από το αρχείο καταγραφής συμβάντων συστήματος.

  • Η συσκευή συνεχίζει να χρησιμοποιεί παλαιότερα πιστοποιητικά Ασφαλούς εκκίνησης και στοιχεία εκκίνησης.

Γιατί συμβαίνει αυτό

Αυτό το σενάριο παρουσιάζεται συνήθως όταν ισχύει μία ή περισσότερες από τις ακόλουθες συνθήκες:

  • Η προγραμματισμένη εργασία Secure-Boot-Update είναι απενεργοποιημένη ή λείπει.

  • Η Ασφαλής εκκίνηση είναι απενεργοποιημένη στο υλικολογισμικό UEFI.

  • Η συσκευή δεν πληροί τις προϋποθέσεις συντήρησης των Windows, όπως η εκτέλεση μιας υποστηριζόμενης έκδοσης των Windows ή η εγκατάσταση των απαιτούμενων ενημερώσεων.

Τι πρέπει να κάνετε στη συνέχεια

  • Επαληθεύστε ότι η συσκευή πληροί τις απαιτήσεις συντήρησης και καταλληλότητας της πλατφόρμας των Windows.

  • Επιβεβαιώστε ότι η Ασφαλής εκκίνηση είναι ενεργοποιημένη στο υλικολογισμικό.

  • Βεβαιωθείτε ότι η προγραμματισμένη εργασία SecureBootUpdate υπάρχει και είναι ενεργοποιημένη.

Αν η προγραμματισμένη εργασία είναι απενεργοποιημένη ή λείπει, ακολουθήστε τις οδηγίες στο θέμα Η προγραμματισμένη εργασία ασφαλούς εκκίνησης απενεργοποιήθηκε ή διαγράφηκε για να την επαναφέρετε. Μετά την επαναφορά της εργασίας, επανεκκινήστε τη συσκευή ή εκτελέστε την εργασία με μη αυτόματο τρόπο, για να ξεκινήσετε τη συντήρηση ασφαλούς εκκίνησης.

Σε ορισμένες περιπτώσεις, οι ενημερώσεις που σχετίζονται με την Ασφαλή εκκίνηση μπορεί να προκαλέσουν την είσοδο μιας συσκευής στην αποκατάσταση BitLocker. Η συμπεριφορά μπορεί να είναι παροδική ή μόνιμη, ανάλογα με την υποκείμενη αιτία.

Σενάριο 1: Αποκατάσταση BitLocker εφάπαξ μετά την ενημέρωση Ασφαλούς εκκίνησης

Τι συμβαίνει

Η συσκευή εισέρχεται στην αποκατάσταση BitLocker κατά την πρώτη εκκίνηση μετά την ενημέρωση Secure Boot, αλλά εκκινείται κανονικά στις επόμενες επανεκκινήσεις.

Γιατί συμβαίνει αυτό

Κατά την πρώτη εκκίνηση μετά την ενημέρωση, το υλικολογισμικό δεν αναφέρει ακόμη τις ενημερωμένες τιμές Ασφαλούς εκκίνησης όταν τα Windows επιχειρούν να επανασυγχρονίσουν το BitLocker. Αυτό προκαλεί προσωρινή ασυμφωνία στις μετρούμενες τιμές εκκίνησης και ενεργοποιεί την αποκατάσταση. Κατά την επόμενη εκκίνηση, το υλικολογισμικό αναφέρει σωστά τις ενημερωμένες τιμές, η επανάληψη επανεμφάνισης του BitLocker με επιτυχία και το πρόβλημα δεν επανεμφανίζεται.

Πώς να το αναγνωρίσετε

  • Η αποκατάσταση BitLocker πραγματοποιείται μία φορά.

  • Μετά την εισαγωγή του κλειδιού αποκατάστασης, οι επακόλουθες εκκίνησης δεν ζητούν αποκατάσταση.

  • Δεν υπάρχει συνεχής σειρά εκκίνησης ή συμμετοχή PXE.

Τι πρέπει να κάνετε στη συνέχεια

  • Πληκτρολογήστε το κλειδί αποκατάστασης BitLocker για να συνεχίσετε τα Windows.

  • Ελέγξτε για ενημερώσεις υλικολογισμικού.

Σενάριο 2: Επαναλαμβανόμενη αποκατάσταση BitLocker λόγω ρύθμισης παραμέτρων πρώτης εκκίνησης PXE

Τι συμβαίνει

Η συσκευή εισέρχεται στην αποκατάσταση BitLocker σε κάθε εκκίνηση.

Γιατί συμβαίνει αυτό

Οι παράμετροι της συσκευής έχουν ρυθμιστεί ώστε να επιχειρούν πρώτα εκκίνηση PXE (δίκτυο). Η προσπάθεια εκκίνησης PXE αποτυγχάνει και το υλικολογισμικό επιστρέφει στη διαχείριση εκκίνησης των Windows στον δίσκο.

Αυτό έχει ως αποτέλεσμα τη μέτρηση δύο διαφορετικών αρχών υπογραφής κατά τη διάρκεια ενός μόνο κύκλου εκκίνησης:

  • Η διαδρομή εκκίνησης PXE υπογράφεται από το Microsoft UEFI CA 2011.

  • Η διαχείριση εκκίνησης των Windows στον δίσκο είναι υπογεγραμμένη από το Windows UEFI CA 2023.

Επειδή το BitLocker παρατηρεί διαφορετικές αλυσίδες αξιοπιστίας Ασφαλούς εκκίνησης κατά την εκκίνηση, δεν μπορεί να δημιουργήσει ένα σταθερό σύνολο μετρήσεων TPM για να επανασφάλετε. Ως αποτέλεσμα, το BitLocker εισέρχεται στην αποκατάσταση σε κάθε εκκίνηση.

Πώς να το αναγνωρίσετε

  • Η αποκατάσταση BitLocker ενεργοποιείται σε κάθε επανεκκίνηση.

  • Η εισαγωγή του κλειδιού αποκατάστασης επιτρέπει την εκκίνηση των Windows, αλλά η προτροπή επιστρέφει στην επόμενη εκκίνηση.

  • Οι παράμετροι του PXE ή της εκκίνησης δικτύου ρυθμίζονται πριν από τον τοπικό δίσκο σε σειρά εκκίνησης υλικολογισμικού.

Τι πρέπει να κάνετε στη συνέχεια

  • Ρυθμίστε τις παραμέτρους της σειράς εκκίνησης υλικολογισμικού, ώστε να είναι πρώτα η διαχείριση εκκίνησης των Windows στον δίσκο.

  • Απενεργοποιήστε την εκκίνηση PXE, αν δεν απαιτείται.

  • Αν απαιτείται PXE, βεβαιωθείτε ότι η υποδομή PXE χρησιμοποιεί ένα πρόγραμμα φόρτωσης εκκίνησης των Windows με υπογραφή 2023.

Τι έγινε

Αυτό αντικατοπτρίζει μια αλλαγή σε επίπεδο υλικολογισμικού και όχι ένα πρόβλημα των Windows. Η ενημέρωση Ασφαλούς εκκίνησης ολοκληρώθηκε με επιτυχία, αλλά μετά από μια μεταγενέστερη επανεκκίνηση, η συσκευή δεν εκκινείται πλέον στα Windows.

Πώς να το αναγνωρίσετε

  • Η συσκευή αποτυγχάνει να εκκινήσει τα Windows και ενδέχεται να εμφανίσει ένα μήνυμα υλικολογισμικού ή BIOS που υποδεικνύει παραβίαση ασφαλούς εκκίνησης.

  • Η αποτυχία παρουσιάζεται μετά την επαναφορά των ρυθμίσεων ασφαλούς εκκίνησης στις προεπιλογές υλικολογισμικού.

  • Η απενεργοποίηση της Ασφαλούς εκκίνησης ενδέχεται να επιτρέψει στη συσκευή να εκκινείται ξανά.

Γιατί συμβαίνει αυτό

Η επαναφορά της Ασφαλούς εκκίνησης στις προεπιλογές υλικολογισμικού απαλείφει τις βάσεις δεδομένων Ασφαλούς εκκίνησης που είναι αποθηκευμένες στο υλικολογισμικό. Σε συσκευές που έχουν ήδη μεταβεί στη Διαχείριση εκκίνησης με υπογραφή Windows UEFI CA 2023, αυτή η επαναφορά καταργεί τα πιστοποιητικά που απαιτούνται για να θεωρείται αξιόπιστη αυτή η διαχείριση εκκίνησης.

Ως αποτέλεσμα, το υλικολογισμικό δεν αναγνωρίζει πλέον την εγκατεστημένη διαχείριση εκκίνησης των Windows ως αξιόπιστη και αποκλείει τη διαδικασία εκκίνησης.

Αυτό το σενάριο δεν προκαλείται από την ίδια την ενημέρωση Ασφαλούς εκκίνησης, αλλά από μια επακόλουθη ενέργεια υλικολογισμικού που καταργεί τα ενημερωμένα σημεία αγκύρωσης αξιοπιστίας.

Τι πρέπει να κάνετε στη συνέχεια

  • Χρησιμοποιήστε το βοηθητικό πρόγραμμα αποκατάστασης Ασφαλούς εκκίνησης για να επαναφέρετε το απαιτούμενο πιστοποιητικό, ώστε η συσκευή να μπορέσει να εκκινηθεί ξανά.

  • Μετά την αποκατάσταση, βεβαιωθείτε ότι η συσκευή έχει εγκαταστήσει το πιο πρόσφατο διαθέσιμο υλικολογισμικό από τον κατασκευαστή της συσκευής.

  • Αποφύγετε την επαναφορά της Ασφαλούς εκκίνησης στις προεπιλογές υλικολογισμικού, εκτός αν το υλικολογισμικό OEM περιλαμβάνει ενημερωμένες προεπιλογές Ασφαλούς εκκίνησης που εμπιστεύονται τα πιστοποιητικά του 2023.

Βοηθητικό πρόγραμμα αποκατάστασης Ασφαλούς εκκίνησης

Για να ανακτήσετε το σύστημα:

  1. Σε έναν δεύτερο υπολογιστή Windows στον οποίο είναι εγκατεστημένη η ενημέρωση Ιουλίου 2024 ή νεότερη των Windows, αντιγράψτε το SecureBootRecovery.efi από το φάκελο C:\Windows\Boot\EFI\.

  2. Τοποθετήστε το αρχείο σε μια μονάδα USB με μορφοποίηση FAT32 στην περιοχή \EFI\BOOT\ και μετονομάστε το σε bootx64.efi.

  3. Εκκινήστε τη συσκευή που επηρεάζεται από τη μονάδα USB και επιτρέψτε τη λειτουργία του βοηθητικού προγράμματος αποκατάστασης. Το βοηθητικό πρόγραμμα θα προσθέσει το Windows UEFI CA 2023 στο DB.

Μετά την επαναφορά του πιστοποιητικού και την επανεκκίνηση του συστήματος, τα Windows θα πρέπει να εκκινούνται κανονικά.

Σημαντικό: Αυτή η διαδικασία θα εφαρμόζει εκ νέου μόνο ένα από τα νέα πιστοποιητικά. Μόλις η συσκευή ανακτηθεί, βεβαιωθείτε ότι έχει τα πιο πρόσφατα πιστοποιητικά σε εφαρμογή και εξετάστε το ενδεχόμενο να ενημερώσετε το BIOS/UEFI του συστήματος στην πιο πρόσφατη διαθέσιμη έκδοση. Αυτό μπορεί να σας βοηθήσει να αποτρέψετε την επανάληψη του προβλήματος επαναφοράς της Ασφαλούς εκκίνησης, καθώς πολλοί OEM έχουν κυκλοφορήσει επιδιορθώσεις υλικολογισμικού για αυτό το συγκεκριμένο πρόβλημα.

Τι έγινε

Μετά την εφαρμογή της ενημέρωσης του πιστοποιητικού Ασφαλούς εκκίνησης και την επανεκκίνηση, η εκκίνηση της συσκευής αποτυγχάνει και δεν φτάνει στα Windows.

Πώς να το αναγνωρίσετε

  • Η συσκευή αποτυγχάνει αμέσως μετά την επανεκκίνηση που απαιτείται από την ενημέρωση Ασφαλούς εκκίνησης.

  • Ενδέχεται να εμφανιστεί ένα σφάλμα υλικολογισμικού ή Ασφαλούς εκκίνησης ή το σύστημα μπορεί να σταματήσει πριν από τη φόρτωση των Windows.

  • Η απενεργοποίηση της Ασφαλούς εκκίνησης ενδέχεται να επιτρέψει την εκκίνηση της συσκευής.

Γιατί συμβαίνει αυτό

Αυτό το πρόβλημα μπορεί να οφείλεται σε ένα ελάττωμα στην εφαρμογή υλικολογισμικού UEFI της συσκευής.

Όταν τα Windows εφαρμόζουν ενημερώσεις πιστοποιητικών Ασφαλούς εκκίνησης, το υλικολογισμικό αναμένεται να προσαρτήσει νέα πιστοποιητικά στην υπάρχουσα βάση δεδομένων επιτρεπόμενων υπογραφών Ασφαλούς εκκίνησης (DB). Ορισμένες υλοποιήσεις υλικολογισμικού αντικαθιστούν εσφαλμένα το DB αντί να το προσαρτούν.

Όταν συμβαίνει αυτό,

  • Τα πιστοποιητικά που ήταν προηγουμένως αξιόπιστα, συμπεριλαμβανομένου του πιστοποιητικού προγράμματος φόρτωσης εκκίνησης microsoft 2011, καταργούνται.

  • Αν το σύστημα εξακολουθεί να χρησιμοποιεί μια διαχείριση εκκίνησης υπογεγραμμένη με το πιστοποιητικό του 2011 σε εκείνο το σημείο, το υλικολογισμικό δεν το θεωρεί πλέον αξιόπιστο.

  • Το υλικολογισμικό απορρίπτει τη διαχείριση εκκίνησης και αποκλείει τη διαδικασία εκκίνησης.

Σε ορισμένες περιπτώσεις, το DB μπορεί επίσης να καταστραφεί και όχι να αντικατασταθεί καθαρά, με αποτέλεσμα το ίδιο αποτέλεσμα. Αυτή η συμπεριφορά έχει παρατηρηθεί σε συγκεκριμένες υλοποιήσεις υλικολογισμικού και δεν αναμένεται σε συμβατό υλικολογισμικό.

Τι πρέπει να κάνετε στη συνέχεια

  • Εισέλθετε στα μενού ρύθμισης υλικολογισμικού και προσπαθήστε να επαναφέρετε τις ρυθμίσεις Ασφαλούς εκκίνησης.

  • Αν η συσκευή εκκινείται μετά την επαναφορά, ελέγξτε την τοποθεσία υποστήριξης του κατασκευαστή της συσκευής για μια ενημέρωση υλικολογισμικού που διορθώνει τον χειρισμό DB ασφαλούς εκκίνησης.

  • Αν είναι διαθέσιμη μια ενημέρωση υλικολογισμικού, εγκαταστήστε την πριν από την επανενεργοποίηση της Ασφαλούς εκκίνησης και την εκ νέου εφαρμογή των ενημερώσεων πιστοποιητικών Ασφαλούς εκκίνησης.

Αν με την επαναφορά της Ασφαλούς εκκίνησης δεν γίνει επαναφορά της λειτουργίας εκκίνησης, πιθανώς για περαιτέρω αποκατάσταση απαιτείται καθοδήγηση ειδικά για OEM.

Τι έγινε

Η ενημέρωση πιστοποιητικού Ασφαλούς εκκίνησης δεν έχει ολοκληρωθεί και παραμένει αποκλεισμένη στο στάδιο ενημέρωσης κλειδιού Ανταλλαγής κλειδιών (KEK).

Πώς να το αναγνωρίσετε

  • Η τιμή μητρώου AvailableUpdates παραμένει ορισμένη με το bit KEK (0x0004) και δεν απαλείφεται.

  • Το UEFICA2023Status δεν προχωρά σε ολοκληρωμένη κατάσταση.

  • Το αρχείο καταγραφής συμβάντων συστήματος καταγράφει επανειλημμένα το αναγνωριστικό συμβάντος 1803, υποδεικνύοντας ότι δεν ήταν δυνατή η εφαρμογή της ενημέρωσης KEK.

  • Η συσκευή συνεχίζει να επαναλαμβάνει την ενημέρωση χωρίς να σημειώνει πρόοδο.

Γιατί συμβαίνει αυτό

Η ενημέρωση του KEK ασφαλούς εκκίνησης απαιτεί εξουσιοδότηση από το κλειδί πλατφόρμας (PK) της συσκευής, το οποίο ανήκει στον OEM.

Για την επιτυχή ολοκλήρωση της ενημέρωσης, ο κατασκευαστής της συσκευής πρέπει να παρέχει στη Microsoft ένα KEK με υπογραφή PK για τη συγκεκριμένη πλατφόρμα. Αυτό το KEK με υπογραφή OEM περιλαμβάνεται στις ενημερώσεις των Windows και επιτρέπει στα Windows να ενημερώνουν τη μεταβλητή KEK υλικολογισμικού.

Αν ο OEM δεν έχει παράσχει ένα KEK με υπογραφή PK για τη συσκευή, τα Windows δεν μπορούν να ολοκληρώσουν την ενημέρωση KEK. Σε αυτή την κατάσταση:

  • Οι ενημερώσεις ασφαλούς εκκίνησης αποκλείονται από τη σχεδίαση.

  • Τα Windows δεν μπορούν να παρακάμψουν την εξουσιοδότηση που λείπει.

  • Η συσκευή μπορεί να παραμείνει μόνιμα ανίκανη να ολοκληρώσει τη συντήρηση του πιστοποιητικού ασφαλούς εκκίνησης.

Αυτό μπορεί να συμβεί σε παλαιότερες συσκευές ή συσκευές εκτός υποστήριξης όπου ο OEM δεν παρέχει πλέον υλικολογισμικό ή βασικές ενημερώσεις. Δεν υπάρχει υποστηριζόμενη μη αυτόματη διαδρομή αποκατάστασης για αυτήν τη συνθήκη.

επιστροφή στην αρχή

Όταν δεν εφαρμόζονται ενημερώσεις πιστοποιητικού Ασφαλούς εκκίνησης, τα Windows καταχωρούν διαγνωστικά συμβάντα που εξηγούν γιατί αποκλείστηκε η πρόοδος. Αυτά τα συμβάντα συντάχονται κατά την ενημέρωση της βάσης δεδομένων υπογραφής ασφαλούς εκκίνησης (DB) ή του κλειδιού exchange κλειδιού (KEK) δεν μπορούν να ολοκληρωθούν με ασφάλεια λόγω υλικολογισμικού, κατάστασης πλατφόρμας ή συνθηκών ρύθμισης παραμέτρων. Τα σενάρια σε αυτή την ενότητα αναφέρονται σε αυτά τα συμβάντα για τον προσδιορισμό κοινών μοτίβων αποτυχίας και τον προσδιορισμό της κατάλληλης αποκατάστασης. Αυτή η ενότητα προορίζεται για την υποστήριξη της διάγνωσης και της ερμηνείας θεμάτων που περιγράφονται παραπάνω, όχι για την εισαγωγή νέων σεναρίων αποτυχίας.

Για μια πλήρη λίστα των αναγνωριστικών συμβάντων, των περιγραφών και των καταχωρήσεων παραδειγμάτων, ανατρέξτε στο θέμα Συμβάντα ενημέρωσης μεταβλητής ασφαλούς εκκίνησης DB και DBX (KB5016061).

Αποτυχία ενημέρωσης KEK (οι ενημερώσεις DB πετυχαίνουν, το KEK δεν το κάνει)

Μια συσκευή μπορεί να ενημερώσει με επιτυχία τα πιστοποιητικά στο DB ασφαλούς εκκίνησης, αλλά αποτυγχάνει κατά την ενημέρωση KEK. Όταν συμβαίνει αυτό, δεν είναι δυνατή η ολοκλήρωση της διαδικασίας ενημέρωσης Ασφαλούς εκκίνησης.

Συμπτώματα

  • Τα συμβάντα πιστοποιητικού DB υποδεικνύουν πρόοδο, αλλά το στάδιο KEK δεν έχει ολοκληρωθεί.

  • Η ρύθμιση AvailableUpdates παραμένει ρυθμισμένη στην επιλογή 0x4004 και το bit 0x0004 δεν εκκαθαρίζεται μετά την εκτέλεση πολλών εργασιών.

  • Ενδέχεται να υπάρχει το συμβάν 1795 ή 1803 .

Ερμηνεία

  • Το 1795 συνήθως υποδεικνύει αποτυχία του υλικολογισμικού κατά την προσπάθεια ενημέρωσης μιας μεταβλητής Ασφαλούς εκκίνησης.

  • Το 1803 υποδεικνύει ότι η ενημέρωση KEK δεν είναι δυνατό να εγκριθεί, επειδή δεν διατίθεται απαιτούμενο ωφέλιμο φορτίο KEK με υπογραφή OEM PK για την πλατφόρμα.

Επόμενα βήματα

  • Για τα 1795, ελέγξτε για ενημερώσεις υλικολογισμικού OEM και επικυρώστε την υποστήριξη υλικολογισμικού για μεταβλητές ενημερώσεις Ασφαλούς εκκίνησης.

  • Για το 1803, επιβεβαιώστε αν ο OEM παρείχε στη Microsoft το υπογεγραμμένο με PK KEK που απαιτείται για το μοντέλο της συσκευής.

Αποτυχία ενημέρωσης KEK σε φιλοξενούμενες εικονικές μηχανές που φιλοξενούνται σε Hyper-V 

Στις εικονικές μηχανές Hyper-V, οι ενημερώσεις πιστοποιητικού Ασφαλούς εκκίνησης απαιτούν την εγκατάσταση των ενημερώσεων του Μαρτίου 2026 των Windows τόσο στον κεντρικό υπολογιστή Hyper-V όσο και στο φιλοξενούμενο λειτουργικό σύστημα.

Οι αποτυχίες των ενημερώσεων αναφέρονται μέσα από τον επισκέπτη, αλλά το συμβάν υποδεικνύει πού απαιτείται αποκατάσταση:

  • Το συμβάν 1795 (για παράδειγμα, "Τα πολυμέσα προστατεύονται με εγγραφή") που αναφέρεται στον επισκέπτη υποδεικνύει ότι ο κεντρικός υπολογιστής Hyper-V δεν διαθέτει την ενημέρωση του Μαρτίου 2026 και πρέπει να ενημερωθεί.

  • Το συμβάν 1803 που αναφέρεται στον επισκέπτη υποδεικνύει ότι η ίδια η φιλοξενούμενη εικονική μηχανή λείπει από την ενημέρωση του Μαρτίου 2026 και πρέπει να ενημερωθεί.

επιστροφή στην αρχή 

Αναφορές και εσωτερικά

Αυτή η ενότητα περιέχει σύνθετες πληροφορίες αναφοράς που προορίζονται για την αντιμετώπιση προβλημάτων και την υποστήριξη. Δεν προορίζεται για σχεδιασμό ανάπτυξης. Επεκτείνεται στους μηχανισμούς συντήρησης Secure Boot που συνοψίζονται νωρίτερα και παρέχει λεπτομερές υλικό αναφοράς για την ερμηνεία της κατάστασης μητρώου και των αρχείων καταγραφής συμβάντων.

Σημείωση (αναπτύξεις με διαχείριση IT): Όταν έχουν ρυθμιστεί μέσω Πολιτική ομάδας ή Microsoft Intune, δεν πρέπει να συγχέονται δύο παρόμοιες ρυθμίσεις. Η τιμή AvailableUpdatesPolicy αντιπροσωπεύει τη ρυθμισμένη κατάσταση πολιτικής. Εν τω μεταξύ, το AvailableUpdates απεικονίζει την κατάσταση εργασίας που βρίσκεται σε εξέλιξη και απαλείφει τα bit. Και οι δύο μπορούν να οδηγήσουν το ίδιο αποτέλεσμα, αλλά συμπεριφέρονται διαφορετικά επειδή η πολιτική εφαρμόζεται εκ νέου με την πάροδο του χρόνου.

επιστροφή στην αρχή 

AvailableUpdates bits που χρησιμοποιούνται για τη συντήρηση πιστοποιητικών

Τα παρακάτω bit χρησιμοποιούνται για τις ενέργειες διαχείρισης πιστοποιητικού και εκκίνησης που περιγράφονται σε αυτό το έγγραφο. Η στήλη Σειρά απεικονίζει την ακολουθία με την οποία η εργασία Secure-Boot-Update επεξεργάζεται κάθε bit.

Παραγγελία

Ρύθμιση bit

Χρήση

1

0x0040

Αυτό το bit υποδεικνύει στην προγραμματισμένη εργασία να προσθέσει το πιστοποιητικό Windows UEFI CA 2023 στο Secure Boot DB. Αυτό επιτρέπει στα Windows να εμπιστεύονται διαχειριστές εκκίνησης που έχουν υπογραφεί από αυτό το πιστοποιητικό.

2

0x0800

Αυτό το bit υποδεικνύει στην προγραμματισμένη εργασία να εφαρμόσει το Microsoft Option ROM UEFI CA 2023 στο DB.  

Συμπεριφορά υπό όρους : Όταν οριστεί η σημαία 0x4000, η προγραμματισμένη εργασία θα ελέγξει πρώτα τη βάση δεδομένων για το πιστοποιητικό Microsoft Corporation UEFI CA 2011. Θα εφαρμόσει το πιστοποιητικό Microsoft Option ROM UEFI CA 2023μόνο εάν υπάρχει το πιστοποιητικό του 2011.

3

0x1000

Αυτό το bit υποδεικνύει στην προγραμματισμένη εργασία να εφαρμόσει το Microsoft UEFI CA 2023 στο DB.

Συμπεριφορά υπό όρους: Όταν οριστεί η σημαία 0x4000 , η προγραμματισμένη εργασία θα ελέγξει πρώτα τη βάση δεδομένων για το πιστοποιητικό Microsoft Corporation UEFI CA 2011 . Θα εφαρμόσει το πιστοποιητικό Microsoft UEFI CA 2023μόνο εάν υπάρχει το πιστοποιητικό 2011.

Τροποποιητής (σημαία συμπεριφοράς)

0x4000

Αυτό το bit τροποποιεί τη συμπεριφορά των bit των 0x0800 και 0x1000, έτσι ώστε οι εκδόσεις Microsoft UEFI CA 2023 και Microsoft Option ROM ROM UEFI CA 2023 να εφαρμόζονται μόνο εάν το DB περιέχει ήδη τη Microsoft Corporation UEFI CA 2011  Για να διασφαλιστεί ότι το προφίλ ασφαλείας της συσκευής παραμένει το ίδιο, αυτό το bit εφαρμόζει αυτά τα νέα πιστοποιητικά μόνο αν η συσκευή θεωρεί αξιόπιστο το πιστοποιητικό Microsoft Corporation UEFI CA 2011. Αυτό το πιστοποιητικό δεν θεωρείται αξιόπιστο από όλες τις συσκευές Windows.

4

0x0004

Αυτό το bit υποδεικνύει στην προγραμματισμένη εργασία να αναζητήσει ένα κλειδί ανταλλαγής κλειδιών υπογεγραμμένο από το κλειδί πλατφόρμας (PK) της συσκευής. Η διαχείριση του PK γίνεται από τον OEM. Οι OEM υπογράφουν το Microsoft KEK με το PK τους και το παραδίδουν στη Microsoft, όπου περιλαμβάνεται στις μηνιαίες αθροιστικές ενημερώσεις.

5

0x0100

Αυτό το bit υποδεικνύει στην προγραμματισμένη εργασία να εφαρμόσει τη διαχείριση εκκίνησης, υπογεγραμμένη από το Windows UEFI CA 2023, στο διαμέρισμα εκκίνησης. Αυτό θα αντικαταστήσει τη διαχείριση εκκίνησης που έχει υπογραφεί από το Microsoft Windows Production PCA 2011.

Σημειώσεις:

  • Το bit 0x4000 θα παραμείνει καθορισμένο μετά την επεξεργασία όλων των άλλων bit.

  • Κάθε bit υποβάλλεται σε επεξεργασία από την προγραμματισμένη εργασία Secure-Boot-Update με τη σειρά που εμφανίζεται παραπάνω.

  • Αν δεν είναι δυνατή η επεξεργασία του bit 0x0004 λόγω υπογεγραμμένου KEK PK που λείπει, η προγραμματισμένη εργασία θα εξακολουθεί να εφαρμόζει την ενημέρωση διαχείρισης εκκίνησης που υποδεικνύεται από bit 0x0100.

επιστροφή στην αρχή 

Αναμενόμενη πρόοδος (AvailableUpdates)

Όταν μια λειτουργία ολοκληρωθεί με επιτυχία, τα Windows διαγράφουν το συσχετισμένο bit από το AvailableUpdates. Εάν μια λειτουργία αποτύχει, τα Windows καταγράφουν ένα συμβάν και επανεκδικούν όταν η εργασία εκτελείται ξανά.

Ο παρακάτω πίνακας δείχνει την αναμενόμενη πρόοδο των τιμών availableUpdates καθώς ολοκληρώνεται κάθε ενέργεια ενημέρωσης Ασφαλούς εκκίνησης.

Βήμα

Bit processed (Bit processed)

Διαθέσιμες Ενημερώσεις

Περιγραφή

Καταγραφούν συμβάντα επιτυχίας

Πιθανοί κωδικοί συμβάντων σφάλματος

Έναρξη

0x5944

Αρχική κατάσταση πριν από την έναρξη της συντήρησης του πιστοποιητικού ασφαλούς εκκίνησης.

-

-

1

0x0040

0x5944 → 0x5904

Το Windows UEFI CA 2023 προστίθεται στο DB Ασφαλούς εκκίνησης.

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

Προσθέστε το Microsoft Option ROM UEFI CA 2023 στο DB, αν η συσκευή εμπιστευόταν προηγουμένως το Microsoft UEFI CA 2011.

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

Το Microsoft UEFI CA 2023 προστίθεται στο DB, αν η συσκευή εμπιστευόταν προηγουμένως το Microsoft UEFI CA 2011.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

Εφαρμόζεται το νέο Microsoft KEK 2K CA 2023 υπογεγραμμένο από το κλειδί πλατφόρμας OEM.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

Έχει εγκατασταθεί διαχείριση εκκίνησης υπογεγραμμένη από το Windows UEFI CA 2023.

1799

1797

Σημειώσεις

  • Μόλις ολοκληρωθεί με επιτυχία η λειτουργία που σχετίζεται με ένα bit, αυτό το bit διαγράφεται από το availableUpdates.

  • Εάν μία από αυτές τις λειτουργίες αποτύχει, καταγράφεται ένα συμβάν και η λειτουργία επανεκδικάζεται την επόμενη φορά που θα εκτελεστεί η προγραμματισμένη εργασία.

  • Το 0x4000 bit είναι ένα πρόγραμμα τροποποίησης και δεν διαγράφεται. Η τελική τιμή των 0x4000 AvailableUpdates υποδεικνύει την επιτυχή ολοκλήρωση όλων των ενεργειών ενημέρωσης που ισχύουν.

  • Τα συμβάντα 1032, 1795, 1796, 1802 συνήθως υποδεικνύουν περιορισμούς υλικολογισμικού ή πλατφόρμας.

  • Το συμβάν 1803 υποδεικνύει ότι λείπει το KEK με υπογραφή OEM PK.

επιστροφή στην αρχή 

Διαδικασίες αποκατάστασης

Αυτή η ενότητα παρέχει διαδικασίες βήμα προς βήμα για την αποκατάσταση συγκεκριμένων προβλημάτων ασφαλούς εκκίνησης. Κάθε διαδικασία εφαρμόζεται σε μια σαφώς καθορισμένη κατάσταση και προορίζεται να ακολουθηθεί μόνο αφού η αρχική διάγνωση επιβεβαιώσει ότι το πρόβλημα ισχύει. Χρησιμοποιήστε αυτές τις διαδικασίες για να επαναφέρετε την αναμενόμενη συμπεριφορά ασφαλούς εκκίνησης και να επιτρέψετε την ασφαλή διεξαγωγή ενημερώσεων πιστοποιητικών. Μην εφαρμόζετε αυτές τις διαδικασίες ευρέως ή προληπτικά.

επιστροφή στην αρχή

Ενεργοποίηση ασφαλούς εκκίνησης στο υλικολογισμικό

Αν η Ασφαλής εκκίνηση είναι απενεργοποιημένη στο υλικολογισμικό μιας συσκευής, ανατρέξτε στο θέμα Windows 11 και Ασφαλής εκκίνηση για λεπτομέρειες σχετικά με την ενεργοποίηση της Ασφαλούς εκκίνησης.

επιστροφή στην αρχή

Η προγραμματισμένη εργασία ασφαλούς εκκίνησης απενεργοποιήθηκε ή διαγράφηκε

Η προγραμματισμένη εργασία Secure-Boot-Update είναι απαραίτητη για την εφαρμογή ενημερώσεων πιστοποιητικού Ασφαλούς εκκίνησης από τα Windows. Εάν η εργασία είναι απενεργοποιημένη ή λείπει, η συντήρηση του πιστοποιητικού ασφαλούς εκκίνησης δεν θα προχωρήσει.

Λεπτομέρειες εργασίας

Όνομα εργασίας

Secure-Boot-Update

Διαδρομή εργασίας

\Microsoft\Windows\PI\

Πλήρης διαδρομή

\Microsoft\Windows\PI\Secure-Boot-Update

Εκτελείται ως

SYSTEM (Τοπικό σύστημα)

Εναύσματα

Κατά την εκκίνηση και κάθε 12 ώρες

Απαιτούμενη κατάσταση

Ενεργοποιημένη

Πώς να ελέγξετε την κατάσταση της εργασίας

Εκτέλεση από αναβαθμισμένη προτροπή του PowerShell: schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Αναζητήστε το πεδίο Κατάσταση:

Κατάσταση

Έννοια

Έτοιμοι

Η εργασία υπάρχει και είναι ενεργοποιημένη.

Απενεργοποιημένη

Η εργασία υπάρχει, αλλά πρέπει να ενεργοποιηθεί.

Σφάλμα / Δεν βρέθηκε

Η εργασία λείπει και πρέπει να αναδημιουργηθεί.

Τρόπος ενεργοποίησης ή αναδημιουργίας της εργασίας

Εάν το πεδίο κατάστασης για την Ενημέρωση ασφαλούς εκκίνησης είναι Απενεργοποιημένο, Σφάλμα ή Δεν βρέθηκε, χρησιμοποιήστε το δείγμα δέσμης ενεργειών για να ενεργοποιήσετε την εργασία: Δείγμα Enable-SecureBootUpdateTask.ps1

Σημείωση: Αυτό είναι ένα δείγμα δέσμης ενεργειών και δεν υποστηρίζεται από τη Microsoft. Οι διαχειριστές θα πρέπει να την αναθεωρήσουν και να την προσαρμόσουν στο περιβάλλον τους.

Παράδειγμα:

.\Enable-SecureBootUpdateTask.ps1 - Ησυχία

Εκτέλεση οδηγιών

  • Εάν εμφανιστεί το μήνυμα Δεν επιτρέπεται η πρόσβαση, επανεκτελέστε το PowerShell ως διαχειριστής.

  • Εάν η δέσμη ενεργειών δεν εκτελείται λόγω πολιτικής εκτέλεσης, χρησιμοποιήστε μια παράκαμψη εύρους διαδικασίας:

Set-ExecutionPolicy -Διαδικασία εύρους -Παράκαμψη ExecutionPolicy

επιστροφή στην αρχή 

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο
ΕΓΓΡΑΦΗ ΣΤΙΣ ΤΡΟΦΟΔΟΣΙΕΣ RSS

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας