Se aplica a
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Fecha de publicación original: 19 de marzo de 2026

KB ID: 5085046

En este artículo

Información general

Esta página guía a los administradores y profesionales de soporte técnico para diagnosticar y resolver problemas relacionados con el arranque seguro en dispositivos Windows. Entre los temas se incluyen errores de actualización de certificados de arranque seguro, estados de arranque seguro incorrectos, solicitudes inesperadas de recuperación de BitLocker y errores de arranque después de cambios en la configuración de arranque seguro.

En las instrucciones se explica cómo comprobar el mantenimiento y la configuración de Windows, revisar los valores de registro y los registros de eventos relevantes e identificar cuándo las limitaciones de firmware o plataforma requieren una actualización del OEM. Este contenido está pensado para diagnosticar problemas en dispositivos existentes. No está pensado para planear nuevas implementaciones. Este documento se actualizará a medida que se identifiquen nuevos escenarios de solución de problemas y una guía.

volver al principio

Cómo funciona el servicio de certificados de arranque seguro

El mantenimiento de certificados de arranque seguro en Windows es un proceso coordinado entre el sistema operativo y el firmware UEFI de un dispositivo. El objetivo es actualizar los anclajes de confianza críticos, conservando al mismo tiempo la capacidad de arrancar en cada fase.

El proceso está controlado por una tarea programada por Windows, una secuencia de acciones de actualización basadas en el Registro y un registro integrado y un comportamiento de reintento. Juntos, estos componentes garantizan que los certificados de arranque seguro y el administrador de arranque de Windows se actualicen de forma controlada y ordenada, y solo después de realizar correctamente los pasos previos.

volver al principio

Dónde empezar al solucionar problemas

Cuando un dispositivo no parece estar realizando el progreso esperado aplicando actualizaciones de certificados de arranque seguro, comienza por identificar la categoría del problema. La mayoría de los problemas se encuentran en una de las cuatro áreas: el estado de mantenimiento de Windows, el mecanismo de actualización de arranque seguro, el comportamiento del firmware o una limitación de plataforma o OEM.

Comience con las comprobaciones siguientes, en orden. En muchos casos, estos pasos son suficientes para explicar el comportamiento observado y determinar las siguientes acciones sin una investigación más profunda.

  1. Confirmar el servicio de Windows y la elegibilidad de la plataforma

    1. ​​​​​​​Comprueba que el dispositivo cumple los requisitos básicos para recibir actualizaciones de certificados de arranque seguro:

    2. El dispositivo ejecuta una versión compatible de Windows.

    3. Se instalan las últimas actualizaciones de seguridad de Windows necesarias.

    4. El arranque seguro está habilitado en el firmware UEFI.

    5. Si no se cumple alguna de estas condiciones, agréguelas antes de continuar con la solución de problemas.

  2. Comprobar el estado de la tarea De arranque seguro y actualización

    1. Confirma que el mecanismo de Windows responsable de aplicar actualizaciones de certificados de arranque seguro está presente y funcionando:

    2. Existe la tarea programada Actualización de arranque seguro.

    3. La tarea está habilitada y se ejecuta como sistema local.

    4. La tarea se ha ejecutado al menos una vez desde que se instaló la actualización de seguridad de Windows más reciente.

    5. Si la tarea está deshabilitada, eliminada o no se está ejecutando, no se podrán aplicar las actualizaciones del certificado de arranque seguro. La solución de problemas debe centrarse en restaurar la tarea antes de investigar otras causas.

  3. Comprobar la configuración del Registro para la progresión esperada

    Revisa el estado de mantenimiento de arranque seguro del dispositivo en el Registro:

    1. Examine UEFICA2023Status, UEFICA2023Error y UEFICA2023ErrorEvent.

    2. Examine AvailableUpdates y compárelo con la progresión esperada (vea Referencia e internos).

    Juntos, estos valores indican si el mantenimiento avanza con normalidad, vuelve a intentar una operación o se detiene en un paso específico.

  4. Correlacionar el estado del Registro con eventos de arranque seguro

    Revisa los eventos relacionados con el arranque seguro en el registro de eventos del sistema y correlacionarlos con el estado del Registro. Los datos de eventos normalmente confirman si el dispositivo está avanzando, reintentar debido a una condición transitoria o bloqueado por un problema de firmware o plataforma.

    En conjunto, los registros de eventos y del registro suelen indicar si el comportamiento es esperado, temporal o requiere una acción correctiva.

volver al principio

Tarea programada de actualización de arranque seguro

El servicio de certificado de arranque seguro se implementa a través de una tarea programada por Windows denominada Secure-Boot-Update. La tarea se registra en la siguiente ruta:

\Microsoft\Windows\PI\Secure-Boot-Update

La tarea se ejecuta como sistema local. De manera predeterminada, se ejecuta en el inicio del sistema y cada 12 horas después. Cada vez que se ejecuta, comprueba si las acciones de actualización de arranque seguro están pendientes e intenta aplicarlas en secuencia.

Si esta tarea está deshabilitada o falta, no se pueden aplicar actualizaciones de certificados de arranque seguro. La tarea Actualización de arranque seguro debe permanecer habilitada para que funcione el servicio de arranque seguro.

volver al principio

Por qué se usa una tarea programada

Las actualizaciones de certificados de arranque seguro requieren la coordinación entre el firmware de Windows y la UEFI, incluyendo la escritura de variables UEFI que almacenen claves y certificados de arranque seguro. Una tarea programada permite a Windows intentar estas actualizaciones cuando el sistema se encuentra en un estado en el que se pueden modificar las variables de firmware.

La programación periódica de 12 horas ofrece oportunidades adicionales para reintentar las actualizaciones si se produce un error en un intento anterior o si el dispositivo sigue encendido sin reiniciarse. Este diseño ayuda a garantizar el progreso adelante sin necesidad de intervención manual.

volver al principio

Máscara de bits del registro AvailableUpdates

La tarea de actualización de arranque seguro depende del valor del registro AvailableUpdates . Este valor es una máscara de bits de 32 bits ubicada en:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Cada bit del valor representa una acción específica de actualización de arranque seguro. El proceso de actualización comienza cuando AvailableUpdates se establece en un valor distinto de cero, ya sea automáticamente por Windows o explícitamente por un administrador. Por ejemplo, un valor como 0x5944 indica que hay varias acciones de actualización pendientes.

Cuando se ejecuta la tarea Secure-Boot-Update, interpreta los bits establecidos como trabajo pendiente y los procesa en un orden definido.

volver al principio

Actualizaciones secuenciales, registro y comportamiento de nuevo juicio

Las actualizaciones de certificados de arranque seguro se aplican en un orden fijo. Cada acción de actualización está diseñada para que sea segura de reintentar y se complete de forma independiente. La tarea Actualización de arranque seguro no avanza al paso siguiente hasta que la acción actual se realiza correctamente y su bit correspondiente se borra de AvailableUpdates.

Cada operación usa interfaces UEFI estándar para actualizar variables de arranque seguro, como db y KEK, o para instalar el administrador de arranque de Windows actualizado. Windows registra el resultado de cada paso del registro de eventos del sistema. Los eventos de éxito confirman el progreso hacia delante, mientras que los eventos de error indican por qué no se pudo completar una acción.

Si se produce un error en un paso de actualización, la tarea detiene el procesamiento, registra el error y deja el conjunto de bits asociado. La operación se vuelve a ejecutar la próxima vez que se ejecute la tarea. Este comportamiento de nuevo juicio permite que los dispositivos se recuperen automáticamente de condiciones temporales, como la falta de soporte de firmware o las actualizaciones retrasadas del OEM.

Los administradores pueden realizar un seguimiento del progreso correlando el estado del registro con las entradas del registro de eventos. Los valores del Registro como UEFICA2023Status, UEFICA2023Error y UEFICA2023ErrorEvent, junto con el bitmask AvailableUpdates , indican qué paso está activo, completado o bloqueado.

Esta combinación muestra si el dispositivo avanza con normalidad, vuelve a intentar una operación o se detiene.

volver al principio

Integración con firmware OEM

Las actualizaciones de certificados de arranque seguro dependen del comportamiento correcto y de la compatibilidad con el firmware UEFI de un dispositivo. Mientras Windows orquesta el proceso de actualización, el firmware es responsable de aplicar la directiva de arranque seguro y de mantener las bases de datos de arranque seguro.

Los OEM proporcionan dos elementos críticos que habilitan el servicio de certificados de arranque seguro:

  • Claves de plataforma con claves de intercambio de claves (KEK) firmadas que autorizan la instalación de nuevos certificados de arranque seguro.

  • Implementaciones de firmware que conservan, anexan y validan correctamente bases de datos de arranque seguro durante las actualizaciones.

Si el firmware no admite completamente estos comportamientos, las actualizaciones de arranque seguro se pueden detener, reintentar indefinidamente o provocar errores de arranque. En estos casos, Windows no puede completar la actualización sin cambios en el firmware.

Microsoft trabaja con los OEM para identificar problemas de firmware y hacer que las actualizaciones corregidas estén disponibles. Cuando la solución de problemas indique una limitación o defecto de firmware, es posible que los administradores tengan que instalar la actualización de firmware ueFI más reciente proporcionada por el fabricante del dispositivo para que las actualizaciones del certificado de arranque seguro se puedan completar correctamente.

volver al principio

Escenarios y resoluciones de errores comunes

Las actualizaciones de arranque seguro las aplica la tarea programada de Actualización de arranque seguro en función del estado del registro AvailableUpdates .

En condiciones normales, estos pasos se producen automáticamente y graban eventos correctos a medida que se completa cada fase. En algunos casos, el comportamiento del firmware, la configuración de la plataforma o los requisitos previos de mantenimiento pueden impedir el progreso o provocar un comportamiento de arranque inesperado.

En las secciones siguientes se describen los escenarios de errores más comunes, cómo reconocerlos, por qué se producen y los pasos siguientes adecuados para restaurar el funcionamiento normal. Los escenarios se ordenan de los más comunes a los casos más graves que afectan al arranque.

Cuando las actualizaciones de arranque seguro no muestran ningún progreso, normalmente significa que el proceso de actualización nunca se ha iniciado. Como resultado, faltan los valores esperados del Registro de arranque seguro y los registros de eventos porque nunca se desencadenó el mecanismo de actualización.

Qué ha pasado

El proceso de actualización de arranque seguro no se iniciaba, por lo que no se aplicaron certificados de arranque seguro ni administrador de arranque actualizado al dispositivo.

Cómo reconocerla

  • No hay valores de registro de mantenimiento de arranque seguro, como UEFICA2023Status.

  • Faltan eventos de arranque seguro esperado (por ejemplo, 1043, 1044, 1045, 1799 y 1801) en el registro de eventos del sistema.

  • El dispositivo sigue usando los certificados de arranque seguro y los componentes de arranque antiguos.

Por qué sucede

Este escenario suele ocurrir cuando se cumplen una o varias de las condiciones siguientes:

  • La tarea programada actualización de arranque seguro está deshabilitada o no aparece.

  • El arranque seguro está deshabilitado en el firmware UEFI.

  • El dispositivo no cumple los requisitos previos de servicio de Windows, como ejecutar una versión de Windows compatible o tener instaladas las actualizaciones necesarias.

Qué hacer a continuación

  • Comprueba que el dispositivo cumple los requisitos de elegibilidad de la plataforma y el servicio de Windows.

  • Confirma que arranque seguro está habilitado en el firmware.

  • Asegúrese de que la tarea programada de SecureBootUpdate existe y está habilitada.

Si la tarea programada está deshabilitada o falta, sigue las instrucciones de La tarea programada de arranque seguro está deshabilitada o eliminada para restaurarla. Una vez restaurada la tarea, reinicia el dispositivo o ejecuta la tarea manualmente para iniciar el servicio de arranque seguro.

En algunos casos, las actualizaciones relacionadas con el arranque seguro pueden provocar que un dispositivo escriba recuperación de BitLocker. El comportamiento puede ser transitorio o persistente, dependiendo de la causa subyacente.

Escenario 1: Recuperación de BitLocker de Una sola vez después de la actualización de arranque seguro

Qué sucede

El dispositivo introduce la recuperación de BitLocker en el primer arranque después de la actualización de arranque seguro, pero arranca normalmente en reinicios posteriores.

Por qué sucede

Durante el primer arranque después de la actualización, el firmware aún no notifica los valores de arranque seguro actualizados cuando Windows intenta volver a instalar BitLocker. Esto provoca una falta de coincidencia temporal en los valores de arranque medidos y desencadena la recuperación. En el próximo arranque, el firmware notifica los valores actualizados correctamente, BitLocker vuelve a instalarse correctamente y el problema no se repite.

Cómo reconocerla

  • La recuperación de BitLocker se produce una vez.

  • Después de escribir la clave de recuperación, las arranques posteriores no solicitan la recuperación.

  • No hay ningún pedido de arranque en curso ni participación de PXE.

Qué hacer a continuación

  • Escribe la clave de recuperación de BitLocker para reanudar Windows.

  • Buscar actualizaciones de firmware.

Escenario 2: Recuperación repetida de BitLocker debido a la primera configuración de arranque de PXE

Qué sucede

El dispositivo escribe recuperación de BitLocker en cada arranque.

Por qué sucede

El dispositivo está configurado para intentar primero el arranque PXE (red). Se produce un error en el intento de arranque PXE y el firmware vuelve al Administrador de arranque de Windows en disco.

Esto da como resultado dos entidades de firma diferentes que se miden durante un ciclo de arranque único:

  • La ruta de arranque PXE está firmada por microsoft UEFI CA 2011.

  • El administrador de arranque de Windows en disco está firmado por windows UEFI CA 2023.

Dado que BitLocker observa diferentes cadenas de confianza de arranque seguro durante el inicio, no puede establecer un conjunto estable de medidas de TPM para volver a colocar. Como resultado, BitLocker introduce recuperación en cada arranque.

Cómo reconocerla

  • La recuperación de BitLocker se activa en cada reinicio.

  • La introducción de la clave de recuperación permite que Windows se inicie, pero el aviso vuelve en el arranque siguiente.

  • El arranque pxe o de red se configura antes que el disco local en el orden de arranque del firmware.

Qué hacer a continuación

  • Configura el orden de arranque del firmware para que el Administrador de arranque de Windows en disco sea el primero.

  • Deshabilite el arranque PXE si no es necesario.

  • Si se requiere PXE, asegúrate de que la infraestructura de PXE use un cargador de arranque de Windows firmado con 2023.

Qué ha pasado

Esto refleja un cambio de nivel de firmware en lugar de un problema de Windows. La actualización de arranque seguro se completó correctamente, pero después de un reinicio posterior, el dispositivo ya no arranca en Windows.

Cómo reconocerla

  • El dispositivo no puede iniciar Windows y es posible que muestre un mensaje de firmware o BIOS que indique una infracción del arranque seguro.

  • El error se produce después de que la configuración de arranque seguro se restablezca a los valores predeterminados del firmware.

  • Deshabilitar el arranque seguro podría permitir que el dispositivo vuelva a arrancar.

Por qué sucede

Restablecer el arranque seguro a los valores predeterminados del firmware borra las bases de datos de arranque seguro almacenadas en el firmware. En dispositivos que ya han realizado la transición al administrador de arranque firmado con WINDOWS UEFI CA 2023, este restablecimiento quita los certificados necesarios para confiar en ese administrador de arranque.

Como resultado, el firmware ya no reconoce el administrador de arranque de Windows instalado como de confianza y bloquea el proceso de arranque.

Este escenario no se debe a la propia actualización de arranque seguro, sino a una acción posterior de firmware que quita los anclajes de confianza actualizados.

Qué hacer a continuación

  • Usa la utilidad de recuperación de arranque seguro para restaurar el certificado necesario, de modo que el dispositivo pueda arrancar de nuevo.

  • Después de la recuperación, asegúrate de que el dispositivo tenga instalado el firmware más reciente disponible del fabricante del dispositivo.

  • Evita restablecer el arranque seguro a los valores predeterminados del firmware, a menos que el firmware OEM incluya valores predeterminados de arranque seguro actualizados que confíen en los certificados de 2023.

Utilidad de recuperación de arranque seguro

Para recuperar el sistema:

  1. En un segundo pc Windows con la actualización de Windows de julio de 2024 o posterior instalada, copia SecureBootRecovery.efi desde C:\Windows\Boot\EFI\.

  2. Coloca el archivo en una unidad USB con formato FAT32 en \EFI\BOOT\ y cámbiele el nombre a bootx64.efi.

  3. Arranca el dispositivo afectado desde la unidad USB y deja que se ejecute la utilidad de recuperación. La utilidad agregará windows UEFI CA 2023 a la DB.

Una vez restaurado el certificado y reiniciado el sistema, Windows debería iniciarse normalmente.

Importante: Este proceso solo volverá a aplicar uno de los nuevos certificados. Una vez recuperado el dispositivo, asegúrate de que tiene los certificados más recientes y considera la posibilidad de actualizar el BIOS o la UEFI del sistema a la versión más reciente disponible. Esto puede ayudar a evitar que se repita el problema de restablecimiento de arranque seguro, ya que muchos OEM han publicado correcciones de firmware para este problema específico.

Qué ha pasado

Después de aplicar la actualización y el reinicio del certificado de arranque seguro, el dispositivo no puede arrancar y no llega a Windows.

Cómo reconocerla

  • El dispositivo falla inmediatamente después del reinicio requerido por la actualización de arranque seguro.

  • Es posible que se muestre un error de firmware o de arranque seguro, o que el sistema se detenga antes de que se cargue Windows.

  • Deshabilitar el arranque seguro podría permitir el arranque del dispositivo.

Por qué sucede

Este problema puede deberse a un defecto en la implementación del firmware UEFI del dispositivo.

Cuando Windows aplica actualizaciones de certificados de arranque seguro, se espera que el firmware adjunte nuevos certificados a la base de datos de firmas permitidas (DB) de arranque seguro existente. Algunas implementaciones de firmware sobrescriben incorrectamente la base de datos en lugar de anexarla.

Cuando esto ocurre,

  • Los certificados de confianza anteriores, incluido el certificado de cargador de arranque de Microsoft 2011, se quitan.

  • Si el sistema sigue usando un administrador de arranque firmado con el certificado 2011 en ese momento, el firmware ya no confía en él.

  • El firmware rechaza el administrador de arranque y bloquea el proceso de arranque.

En algunos casos, la DB también puede dañarse en lugar de sobrescribirse limpiamente, llevando al mismo resultado. Este comportamiento se ha observado en implementaciones de firmware específicas y no se espera en firmware compatible.

Qué hacer a continuación

  • Escribe los menús de configuración de firmware e intenta restablecer la configuración de arranque seguro.

  • Si el dispositivo se inicia después del restablecimiento, consulta el sitio de soporte técnico del fabricante del dispositivo para obtener una actualización de firmware que corrija la administración de db de arranque seguro.

  • Si hay una actualización de firmware disponible, instálala antes de volver a habilitar el arranque seguro y volver a aplicar las actualizaciones de certificados de arranque seguro.

Si el restablecimiento del arranque seguro no restaura la funcionalidad de arranque, es probable que otra recuperación requiera instrucciones específicas del OEM.

Qué ha pasado

La actualización del certificado de arranque seguro no se ha completado y permanece bloqueada en la fase de actualización de la clave de intercambio de claves (KEK).

Cómo reconocerla

  • El valor del Registro AvailableUpdates permanece establecido con el bit de KEK (0x0004) y no se borra.

  • UEFICA2023Status no avanza a un estado completado.

  • El registro de eventos del sistema registra repetidamente el id. de evento 1803, lo que indica que no se pudo aplicar la actualización de KEK.

  • El dispositivo continúa reintentar la actualización sin avanzar.

Por qué sucede

La actualización de la KEK de arranque seguro requiere la autorización de la clave de plataforma (PK) del dispositivo, que es propiedad del OEM.

Para que la actualización tenga éxito, el fabricante del dispositivo debe proporcionar a Microsoft una KEK firmada por PK para esa plataforma específica. Esta KEK firmada por el OEM se incluye en las actualizaciones de Windows y permite a Windows actualizar la variable KEK de firmware.

Si el OEM no ha proporcionado una KEK con firma de PK para el dispositivo, Windows no puede completar la actualización de la KEK. En este estado:

  • Las actualizaciones de arranque seguro están bloqueadas por diseño.

  • Windows no puede solucionar la falta de autorización.

  • El dispositivo puede seguir sin poder completar permanentemente el servicio de certificados de arranque seguro.

Esto puede ocurrir en dispositivos antiguos o sin soporte técnico donde el OEM ya no proporciona actualizaciones de firmware o claves. No hay ninguna ruta de recuperación manual compatible para esta condición.

volver al principio

Cuando no se aplican las actualizaciones de certificados de arranque seguro, Windows registra eventos de diagnóstico que explican por qué se bloqueó el progreso. Estos eventos se escriben al actualizar la base de datos de firmas de arranque seguro (DB) o la clave de intercambio de claves (KEK) no se pueden completar de forma segura debido a las condiciones de configuración, el estado de la plataforma o el firmware. Los escenarios de esta sección hacen referencia a estos eventos para identificar patrones de errores comunes y determinar la corrección adecuada. Esta sección está pensada para apoyar el diagnóstico y la interpretación de problemas descritos anteriormente, no para introducir nuevos escenarios de errores.

Para obtener una lista completa de identificadores de evento, descripciones y entradas de ejemplo, consulta Eventos de actualización de variables DB y DBX de arranque seguro (KB5016061).

Error de actualización de LA KEK (las actualizaciones de LA DB se completan correctamente, la KEK no)

Un dispositivo puede actualizar correctamente los certificados de la base de datos de arranque seguro, pero no durante la actualización de la KEK. Cuando esto ocurre, no se puede completar el proceso de actualización de arranque seguro.

Síntomas

  • Los eventos de certificado de base de datos indican el progreso, pero no se ha completado la fase kek.

  • AvailableUpdates permanece establecido en 0x4004 y el bit de 0x0004 no se borra después de ejecutar varias tareas.

  • El evento 1795 o 1803 puede estar presente.

Interpretación

  • 1795 normalmente indica un error de firmware al intentar actualizar una variable de arranque seguro.

  • 1803 indica que no se puede autorizar la actualización de KEK porque no hay una carga de KEK firmada por EL OEM requerida para la PK no está disponible para la plataforma.

Pasos siguientes

  • Para 1795, busca actualizaciones de firmware del OEM y valida la compatibilidad de firmware para las actualizaciones de variables de arranque seguro.

  • Para 1803, confirma si el OEM ha proporcionado a Microsoft la KEK firmada por PK necesaria para el modelo de dispositivo.

Error de actualización de la KEK en máquinas virtuales invitadas hospedadas en Hyper-V 

En las máquinas virtuales de Hyper-V, las actualizaciones de certificados de arranque seguro requieren que las actualizaciones de Windows de marzo de 2026 se instalen en el host de Hyper-V y en el SO invitado.

Los errores de actualización se notifican desde el invitado, pero el evento indica dónde es necesaria la corrección:

  • El evento 1795 (por ejemplo, "Los medios están protegidos por escritura") notificado en el invitado indica que el host de Hyper-V no tiene la actualización de marzo de 2026 y debe actualizarse.

  • El evento 1803 notificado en el invitado indica que la propia máquina virtual invitada no tiene la actualización de marzo de 2026 y debe actualizarse.

volver al principio 

Referencia e internos

Esta sección contiene información de referencia avanzada destinada a la solución de problemas y soporte técnico. No está pensado para planear la implementación. Se amplía en la mecánica de mantenimiento de arranque seguro resumida anteriormente y proporciona material de referencia detallado para interpretar el estado del registro y los registros de eventos.

Nota (implementaciones administradas por TI): cuando se configura a través de directiva de grupo o Microsoft Intune, no se deben confundir dos opciones similares. El valor AvailableUpdatesPolicy representa el estado de la directiva configurada. Mientras tanto, AvailableUpdates refleja el estado de trabajo de borrado de bits en curso. Ambos pueden generar el mismo resultado, pero se comportan de forma diferente porque la directiva se vuelve a aplicar con el tiempo.

volver al principio 

Bits de AvailableUpdates usados para el servicio de certificados

Los bits siguientes se usan para las acciones de administrador de arranque y certificado descritas en este documento. La columna Orden refleja la secuencia en la que la tarea De arranque seguro-actualización procesa cada bit.

Orden

Configuración de bits

Uso

1

0x0040

Este bit indica a la tarea programada que agregue el certificado de CA UEFI 2023 de Windows a la base de datos de arranque seguro. Esto permite a Windows confiar en los administradores de arranque firmados por este certificado.

2

0x0800

Este bit indica a la tarea programada que aplique la ROM de opción de Microsoft UEFI CA 2023 a la DB.  

Comportamiento condicional : cuando se establece la marca de 0x4000, la tarea programada comprueba primero la base de datos del certificado Microsoft Corporation UEFI CA 2011. Se aplicará el certificado DE CA UEFI CA 2023 de la ROM de opción de Microsoft solo si el certificado 2011 está presente.

3

0x1000

Este bit indica a la tarea programada que aplique microsoft UEFI CA 2023 a la DB.

Comportamiento condicional: cuando se establece la marca de 0x4000 , la tarea programada comprueba primero la base de datos del certificado Microsoft Corporation UEFI CA 2011 . Solo se aplicará el certificado microsoft UEFI CA 2023si el certificado 2011 está presente.

Modificador (marca de comportamiento)

0x4000

Este bit modifica el comportamiento de los bits 0x0800 y 0x1000 para que la CA 2023 de UEFI de Microsoft y la ROM de opción de Microsoft UEFI CA 2023 se apliquen solo si la DB ya contiene la MICROSOFT Corporation UEFI CA 2011  Para ayudar a garantizar que el perfil de seguridad del dispositivo sigue siendo el mismo, este bit solo aplica estos nuevos certificados si el dispositivo confía en el certificado Microsoft Corporation UEFI CA 2011. No todos los dispositivos Windows confían en este certificado.

4

0x0004

Este bit indica a la tarea programada que busque una clave de Intercambio de claves firmada por la clave de plataforma (PK) del dispositivo. La PK la administra el OEM. Los OEM firman la KEK de Microsoft con su PK y la entregan a Microsoft, donde se incluye en las actualizaciones acumulativas mensuales.

5

0x0100

Este bit indica a la tarea programada que aplique el administrador de arranque, firmado por windows UEFI CA 2023, a la partición de arranque. Esto reemplazará al administrador de arranque firmado de Microsoft Windows Production PCA 2011.

Notas:

  • El bit 0x4000 permanecerá establecido después de procesar el resto de bits.

  • Cada bit es procesado por la tarea programada actualización de arranque seguro en el orden indicado anteriormente.

  • Si el bit 0x0004 no se puede procesar debido a que falta la KEK firmada de PK, la tarea programada seguirá aplicándose la actualización del administrador de arranque indicada por bit 0x0100.

volver al principio 

Progresión esperada (AvailableUpdates)

Cuando una operación se completa correctamente, Windows borra el bit asociado de AvailableUpdates. Si se produce un error en una operación, Windows registra un evento y vuelve a entradas cuando la tarea se ejecuta de nuevo.

La siguiente tabla muestra la progresión esperada de los valores de AvailableUpdates a medida que se completa cada acción de actualización de arranque seguro.

Step

Bit procesado

Novedades disponible

Descripción

Evento correcto registrado

Posibles códigos de evento de error

Inicio

0x5944

Estado inicial antes de que comience el servicio de certificados de arranque seguro.

-

-

1

0x0040

0x5944 → 0x5904

Windows UEFI CA 2023 se agrega a la DB de arranque seguro.

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

Agrega la ROM de opción de Microsoft UEFI CA 2023 a la DB si el dispositivo ya confiaba en Microsoft UEFI CA 2011.

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

Microsoft UEFI CA 2023 se agrega a la DB si el dispositivo ya confiaba en microsoft UEFI CA 2011.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

Se aplica la nueva clave de plataforma OEM de Microsoft KEK 2K CA 2023 firmada por.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

El administrador de arranque firmado por Windows UEFI CA 2023 está instalado.

1799

1797

Notas

  • Una vez que la operación asociada a un bit se completa correctamente, ese bit se borra de AvailableUpdates.

  • Si se produce un error en una de estas operaciones, se registra un evento y la operación se vuelve a ejecutar la próxima vez que se ejecute la tarea programada.

  • El bit 0x4000 es un modificador y no se borra. Un valor final de AvailableUpdates de 0x4000 indica que se ha completado correctamente todas las acciones de actualización aplicables.

  • Los eventos 1032, 1795, 1796 y 1802 normalmente indican limitaciones de firmware o plataforma.

  • El evento 1803 indica que falta la KEK firmada por OEM PK.

volver al principio 

Procedimientos de corrección

En esta sección se proporcionan procedimientos paso a paso para solucionar problemas específicos de arranque seguro. Cada procedimiento se especifica en el ámbito de una condición bien definida y está pensado para seguirse solo después de que el diagnóstico inicial confirme que el problema se aplica. Usa estos procedimientos para restaurar el comportamiento esperado de arranque seguro y permitir que las actualizaciones de certificados continúen de forma segura. No aplique estos procedimientos de forma amplia o preventiva.

volver al principio

Habilitar el arranque seguro en firmware

Si arranque seguro está deshabilitado en el firmware de un dispositivo, consulta Windows 11 y arranque seguro para obtener más información sobre cómo habilitar el arranque seguro.

volver al principio

Tarea programada de arranque seguro deshabilitada o eliminada

La tarea programada actualización de arranque seguro es necesaria para que Windows aplique actualizaciones de certificados de arranque seguro. Si la tarea está deshabilitada o falta, el servicio de certificado de arranque seguro no avanzará.

Detalles de la tarea

Nombre de tarea

Actualización de arranque seguro

Ruta de la tarea

\Microsoft\Windows\PI\

Ruta de acceso completa

\Microsoft\Windows\PI\Secure-Boot-Update

Se ejecuta como

SISTEMA (sistema local)

Desencadenadores

Al inicio y cada 12 horas

Estado necesario

habilitado

Cómo comprobar el estado de la tarea

Ejecutar desde un símbolo del sistema con privilegios elevados de PowerShell: schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Busque el campo Estado:

Estado

Significado

Preparadas

La tarea existe y está habilitada.

Disabled

La tarea existe, pero debe estar habilitada.

Error /No encontrado

Falta una tarea y es necesario volver a crearla.

Cómo habilitar o volver a crear la tarea

Si el campo de estado de Actualización de arranque seguro está deshabilitado, error o no encontrado, use el script de ejemplo para habilitar la tarea: Enable-SecureBootUpdateTask.ps1de ejemplo

Nota: Se trata de un script de muestra y no es compatible con Microsoft. Los administradores deben revisarlo y adaptarlo a su entorno.

Ejemplo:

.\Enable-SecureBootUpdateTask.ps1-Quiet

Ejecutar instrucciones

  • Si ve Acceso denegado, vuelva a ejecutar PowerShell como administrador.

  • Si el script no se ejecutará debido a la directiva de ejecución, use una omisión de ámbito de proceso:

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass

volver al principio 

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción de Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad