Se aplica a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Fecha de publicación original: 14 de octubre de 2025

KB ID: 5068202

Este artículo tiene instrucciones para:  

  • Organizaciones con actualizaciones y dispositivos Windows administrados por TI.

Disponibilidad de este soporte técnico:  

Las claves de registro AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut y MicrosoftUpdateManagedOptIn se incluyen en las actualizaciones publicadas el día o después de las siguientes fechas:

  • 14 de octubre de 2025: Las versiones compatibles incluyen Windows 10, versión 22H2 y versiones más recientes (incluyendo 21H2 LTSC), todas las versiones compatibles de Windows 11, así como Windows Server 2022 y posteriores.

  • 11 de noviembre de 2025: Para las versiones de Windows que todavía son compatibles.

Cambiar fecha

Cambiar descripción

4 de noviembre de 2025

  • Se ha agregado una clave del Registro más a la página.

  • Se corrigió una instrucción de "Por ejemplo, si la actualización de la base de datos (base de datos de firmas de confianza) falló debido a un problema de firmware, esta clave del Registro podría mostrar un código de error que se puede asignar a un registro de eventos o al id. de error documentado en" para decir "Por ejemplo, si la actualización de la DB (base de datos de firmas de confianza) falló debido a un problema de firmware, esta clave del Registro puede mostrar un código de error del firmware. Cuando esta clave existe y no es cero, te recomendamos que busques eventos de arranque seguro en los registros de eventos de Windows: consulta (vínculo) para obtener más información".

  • Se agregaron dos rutas independientes para las claves del Registro a continuación

11 de noviembre de 2025

  • Se ha actualizado el párrafo en Pruebas de dispositivos con claves del Registro con información adicional: "La clave del Registro debería cambiar rápidamente a 0x4100. Reiniciar y ejecutar la tarea de nuevo hará que el administrador de arranque se actualice y las AvailableUpdates se conviertan en 0x0100. Consulte Solución de problemas para obtener más información sobre el comportamiento de AvailableUpdates".

  • Actualizar el texto en el cuadro gris en Pruebas de dispositivos usando claves del Registro para tener dos comandos de PowerShell adicionales

  • En las claves del Registro, el valor del Registro -MicrosoftUpdateManagedOptIn,se cambió de "1 - Opt in " a "1 o cualquier valor distinto de cero - Opt in"

16 de noviembre de 2025

Se ha actualizado el contenido en "Pruebas de dispositivos con claves del Registro". El valor Actualización disponible ha cambiado de "0x0100" a "0x4000".

En este artículo

Introducción

Este documento describe la compatibilidad para implementar, administrar y supervisar las actualizaciones de certificados de arranque seguro mediante claves del Registro de Windows. Las teclas constan de lo siguiente: 

  • Una clave para desencadenar la implementación de los certificados y el administrador de arranque en el dispositivo.

  • Dos claves para supervisar el estado de la implementación.

  • Dos claves para administrar la configuración de participar o rechazar en los dos servicios de implementación disponibles.

Estas claves del Registro se pueden establecer manualmente en el dispositivo o de forma remota a través del software de administración de flotas disponible. Otros métodos de implementación, como directiva de grupo, Microsoft Intune y WinCS, se describen en el artículo Dispositivos Windows para empresas y organizaciones con actualizaciones administradas por TI.  

Claves del Registro de arranque seguro

En esta sección

Claves del Registro

Todas las claves del Registro de arranque seguro que se describen a continuación se encuentran en esta ruta del Registro: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

En la tabla siguiente se describen cada uno de los valores del Registro:

Valor del Registro

Tipo

Descripción y uso

AvailableUpdates

REG_DWORD (máscara de bits)

Actualizar marcas de desencadenador.

Controla qué acciones de actualización de arranque seguro realizar en el dispositivo. Al establecer aquí el bitfield adecuado, se inicia la implementación de nuevos certificados de arranque seguro y las actualizaciones relacionadas. Para la implementación empresarial, debe establecerse en 0x5944 (hex), un valor que habilita todas las actualizaciones relevantes (agregando los nuevos certificados de CA de 2023, actualizando la KEK e instalando el nuevo administrador de arranque). 

Configuración

  • 0 o no establecido: no se realiza ninguna actualización de la clave de arranque seguro.

  • 0x5944 : implementar todos los certificados necesarios y actualizar al administrador de arranque firmado con PCA2023

HighConfidenceOptOut

REG_DWORD

Una opción de no participar.

Para las empresas que quieren dejar de usar cubos de alta confianza que se aplicarán automáticamente como parte de la LCU.

Puede establecer esta clave en un valor distinto de cero para optar por no participar en los depósitos de alta confianza. 

Configuración 

  • 0 o clave no existe: participar

  • 1 : no participar

MicrosoftUpdateManagedOptIn

REG_DWORD

Una opción de participar.

Para las empresas que quieran optar por el servicio de implementación controlada de características (CFR), también conocido como Administración de Microsoft.

Además de establecer esta clave, permite el envío de datos de diagnóstico necesarios (consulta Configurar datos de diagnóstico de Windows en la organización). 

Configuración

  • 0 o clave no existe: no participar

  • 1 o cualquier valor   distinto de cero– Participar

Todas las claves del Registro de arranque seguro que se describen a continuación se encuentran en esta ruta del Registro: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

En la tabla siguiente se describen cada uno de los valores del Registro:

Valor del Registro

Tipo

Descripción y uso

Estado de UEFICA2023

REG_SZ (cadena)

Indicador de estado de implementación.

Refleja el estado actual de la actualización de la clave de arranque seguro en el dispositivo. Se establecerá en uno de los siguientes valores de texto:

  • NotStarted: la actualización aún no se ha ejecutado.

  • InProgress: La actualización está en curso activamente.

  • Actualizado: la actualización se ha completado correctamente.

Inicialmente, el estado es NotStarted. Cambia a InProgress una vez que comienza la actualización y, por último, a Actualizado cuando se han implementado todas las nuevas claves y el nuevo administrador de arranque. Si hay un error, el valor del Registro UEFICA2023Error se establece en un código distinto de cero.

UEFICA2023Error

REG_DWORD (código)

Código de error (si procede).

Este valor se mantiene en 0 en el éxito. Si el proceso de actualización detecta un error, UEFICA2023Error se establece en un código de error distinto de cero correspondiente al primer error detectado. Un error aquí implica que la actualización de arranque seguro no se realizó correctamente y puede requerir investigación o corrección en ese dispositivo.  

Por ejemplo, si la actualización de la base de datos (base de datos de firmas de confianza) no se pudo realizar debido a un problema de firmware, esta clave del Registro podría mostrar un código de error del firmware. Cuando esta clave existe y no es cero, te recomendamos que busques eventos de arranque seguro en los registros de eventos de Windows: consulta Eventos de actualización de variables DB y DBX de arranque seguro para obtener más información.

WindowsUEFICA2023Capable

REG_DWORD (código)

Esta clave del Registro está destinada a escenarios de implementación limitados y no se recomienda para uso general. En la mayoría de los casos, usa la clave del Registro UEFICA2023Status en su lugar.

Valores válidos:

0 , o la clave no existe, el certificado "Windows UEFI CA 2023" no está en la DB

1 - El certificado "Windows UEFI CA 2023" está en la DB

2 - El certificado "Windows UEFI CA 2023" está en la DB y el sistema se inicia a partir del administrador de arranque firmado en 2023

Funcionamiento conjunto de estas teclas

Los administradores de TI configuran el valor del registro AvailableUpdates en 0x5944, lo que indica a Windows que ejecute la actualización e instalación de la clave de arranque seguro en el dispositivo.

A medida que se ejecuta el proceso, el sistema actualiza UEFICA2023Status de NotStarted a InProgress y, por último, a Updated tras el éxito. Como cada bit de 0x5944 se procesa correctamente, se borra.

Si se produce un error en cualquier paso, se registra un código de error en UEFICA2023Error (y el estado permanece InProgress).

Este mecanismo ofrece a los administradores una forma clara de desencadenar y realizar un seguimiento de la implementación por dispositivo. 

Implementación con claves del Registro 

La implementación en un grupo de dispositivos consta de los siguientes pasos: 

  1. Establezca el valor del Registro AvailableUpdates en 0x5944 en cada uno de los dispositivos que se van a actualizar.

  2. Supervisa las claves de registro UEFICA2023Status y UEFICA2023Error para ver que los dispositivos están progresando. La tarea que procesa estas actualizaciones se ejecuta cada 12 horas. Ten en cuenta que es posible que la actualización del administrador de arranque no se produzca hasta que se produzca un reinicio.

  3. Investigue los problemas que se produzcan. Si UEFICA2023Error no es cero en un dispositivo, puede comprobar el registro de eventos para ver si hay eventos relacionados con este problema. Consulta Eventos de actualización de variables DB y DBX de arranque seguro para obtener una lista completa de eventos de arranque seguro.

Una nota sobre los reinicios: aunque sea necesario reiniciar para completar el proceso, iniciar la implementación de las actualizaciones de arranque seguro no provocará un reinicio. Si es necesario reiniciar, la implementación de arranque seguro se basa en que los reinicios se producen como el curso normal del uso del dispositivo. 

Pruebas de dispositivos con claves del Registro 

Al probar dispositivos individuales para asegurarse de que los dispositivos procesarán las actualizaciones correctamente, las claves del Registro pueden ser una forma sencilla de probar. 

Para probar, ejecute cada uno de los siguientes comandos por separado de un símbolo del sistema de PowerShell de administrador: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Reinicie manualmente el sistema cuando AvailableUpdates se 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

El primer comando inicia la implementación de certificate and boot manager en el dispositivo. El segundo comando hace que la tarea que procesa la clave del Registro AvailableUpdates se ejecute inmediatamente. Normalmente, la tarea se ejecuta cada 12 horas. La clave del Registro debería cambiar rápidamente a 0x4100. Reiniciar y ejecutar la tarea de nuevo hará que el administrador de arranque se actualice y las AvailableUpdates se conviertan en 0x4000. Consulte Solución de problemas para obtener más información sobre el comportamiento de AvailableUpdates.

Para encontrar los resultados, observa las claves de registro UEFICA2023Status y UEFICA2023Error y los registros de eventos, como se describe en eventos de actualización de variables DB y DBX de arranque seguro

Participar y optar por no participar en las asistencias 

Las claves del registro HighConfidenceOptOut y MicrosoftUpdateManagedOptIn se pueden usar para administrar las dos "asistencias" de implementación descritas en dispositivos Windows con actualizaciones administradas por TI

  • La clave del Registro HighConfidenceOptOut controla la actualización automática de dispositivos mediante las actualizaciones acumulativas. Para los dispositivos en los que Microsoft ha observado que determinados dispositivos se actualizan correctamente, se considerarán dispositivos de "alta confianza" y las actualizaciones del certificado de arranque seguro se producirán automáticamente. La configuración predeterminada es participar.

  • La clave del registro MicrosoftUpdateManagedOptIn permite a los departamentos de TI optar por la implementación automática administrada por Microsoft. Esta configuración está deshabilitada de forma predeterminada y se establece en 1 opt-in. Esta configuración también requiere que el dispositivo envíe datos de diagnóstico opcionales.

Versiones compatibles de Windows

En esta tabla se desglosa además la compatibilidad en función de la clave del Registro. 

Key 

Versiones compatibles de Windows 

AvailableUpdates 

Estado de UEFICA2023 

UEFICA2023Error 

Todas las versiones de Windows compatibles con el arranque seguro (Windows Server 2012 y versiones posteriores de Windows).  

Nota: Aunque los datos de confianza se recopilan en Windows 10, versiones LTSC, 22H2 y versiones posteriores de Windows, se pueden aplicar a dispositivos que ejecutan versiones anteriores de Windows.    

  • Windows 10, versiones LTSC y 22H2

  • Windows 11, versiones 22H2 y 23H2

  • Windows 11, versión 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Eventos de error de arranque seguro

​​​​​​​​​​​​​​Los eventos de error tienen una función de informes crítica para informar sobre el estado y el progreso del arranque seguro.  Para obtener información sobre los eventos de error, consulta Eventos de actualización de variables DB y DBX de arranque seguro. Los eventos de error se actualizan con información adicional sobre los eventos de arranque seguro. 

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción de Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad