Rakenduskoht
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Avaldamise algne kuupäev: 14. oktoober 2025

KB ID: 5068202

Selles artiklis on toodud juhised järgmiseks.  

  • IT-hallatavate Windowsi seadmete ja värskendustega ettevõtted.

Selle toe kättesaadavus:  

  • AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut ja MicrosoftUpdateManagedOptIn registrivõtmed sisalduvad värskendustes, mis on välja antud järgmistel kuupäevadel või pärast seda:

    • 14. oktoober 2025: toetatud versioonid hõlmavad Windows 10 versiooni 22H2 ja uuemaid versioone (sh 21H2 LTSC), kõiki Windows 11 toetatud versioone ning Windows Server 2022 ja uuemaid versioone.

    • 11. november 2025: Windowsi versioonide jaoks, mida veel toetatakse.

Selle artikli teemad

Sissejuhatus

Selles dokumendis kirjeldatakse Windowsi registrivõtmete abil turbekäivitusserdi värskenduste juurutamise, haldamise ja jälgimise tuge. Klahvid koosnevad järgmistest. 

  • Üks võti, mis käivitab seadmes sertide ja käivitushalduri juurutamise.

  • Juurutamise oleku jälgimiseks on kaks võtit.

  • Kaks võtit kahe saadaoleva juurutusabilise nõustumis- ja loobumissätete haldamiseks.

Neid registrivõtmeid saab seadmes käsitsi määrata või kaugühenduse teel saadaoleva laevastikuhaldustarkvara kaudu. Muid juurutusmeetodeid (nt Rühmapoliitika, Intune ja WinCS) kirjeldatakse artiklis IT-hallatavate värskendustega ettevõtete ja ettevõtete Windowsi seadmed.  

Secure Booti registrivõtmed

Selles jaotises

Registrivõtmed

Kõik selles dokumendis kirjeldatud Secure Booti registrivõtmed asuvad selle registritee all: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Järgmises tabelis kirjeldatakse iga registriväärtust. 

Registriväärtus

Tüüp

Kasutuse kirjeldus &

AvailableUpdates

REG_DWORD (bitimask)

Värskendamispäästiku lipud.

Määrab, milliseid secure Booti värskendustoiminguid seadmes teha. Siin sobiva bitivälja seadmine käivitab uute Secure Booti sertide ja seostuvate värskenduste juurutamise. Ettevõtte juurutuse jaoks tuleks see seada 0x5944 (16-kümnekordne) – väärtus, mis lubab kõik asjakohased värskendused (uute 2023 CA sertide lisamine, KEK-i värskendamine ja uue käivitushalduri installimine). 

Seaded: 

  • 0 või pole seatud – Secure Booti võtme värskendust ei tehta.

  • 0x5944 – juurutage kõik vajalikud serdid ja värskendage PCA2023 allkirjastatud käivitushaldurisse

UEFICA2023Status

REG_SZ (string)

Juurutuse oleku tähis.

Kajastab secure Booti võtme värskenduse praegust olekut seadmes. Sellele seatakse üks järgmistest tekstiväärtustest:

  • Pole alustatud:Värskendus pole veel käivitatud.

  • Sisseprogress:Värskendamine on aktiivselt käimas.

  • Uuendatud: Värskendamine on lõpule viidud.

Esialgu pole olek Käivitatud. See muutub InProgress pärast värskenduse algust ja lõpuks värskendatakse, kui kõik uued võtmed ja uus algkäivitushaldur on juurutatud. Kui esineb tõrge, siis on registriväärtuse UEFICA2023Error väärtuseks seatud mittenullkood.

UEFICA2023Error

REG_DWORD (kood)

Tõrkekood (kui see on olemas).

See väärtus jääb õnnestumise korral 0-ks . Kui värskendusprotsessis ilmneb tõrge, seatakse tõrke UEFICA2023Error väärtuseks nullist erinev tõrkekood, mis vastab esimesele ilmnenud tõrkele. Tõrge viitab sellele, et secure Booti värskendus ei õnnestunud täielikult ja võib vajada selles seadmes uurimist või parandamist.  

Näiteks kui DB (usaldusväärsete allkirjade andmebaasi) värskendamine nurjus püsivaraprobleemi tõttu, võib registrivõti kuvada tõrkekoodi, mida saab vastendada sündmuselogiga või dokumenteeritud tõrke ID-ga Secure Boot DB ja DBX muutuja värskendussündmustes

HighConfidenceOptOut

REG_DWORD

Loobumissuvand.

Ettevõtted, kes soovivad loobuda väga usaldusväärsetest salvedest, mida rakendatakse automaatselt LCU osana.

Suure usaldusega salvest loobumiseks saate selle võtme väärtuseks määrata nullist mittenullväärtuse. 

Sätted 

  • 0 või võtit pole olemas – nõustumine

  • 1 – nõustumine

MicrosoftUpdateManagedOptIn

REG_DWORD

Nõustumissuvand.

Suurettevõtetele, kes soovivad lubada piiratud funktsioonide väljalaske (CFR) teeninduse, mida nimetatakse ka Microsofti hallatavaks.

Lisaks selle võtme määramisele lubage nõutavate diagnostikaandmete saatmine (vt Windowsi diagnostikaandmete konfigureerimine oma asutuses). 

Sätted

  • 0 või võtit pole olemas – loobu

  • 1 – nõustumine

Kuidas need võtmed koos toimivad?

IT-administraator konfigureerib AvailableUpdates registriväärtuse0x5944, mis annab Windowsile märku secure Booti võtme värskenduse ja installimise käivitamiseks seadmes.

Protsessi käitamisel värskendab süsteem UEFICA2023Status'istNotStartedinProgressiks ja lõpuks värskendatakse õnnestumisel. Kuna 0x5944 iga bitti töödeldakse edukalt, kustutatakse see.

Kui mõni toiming nurjub, registreeritakse tõrkekood UEFICA2023Erroris (ja olek jääb InProgressiks).

See mehhanism annab administraatoritele selge võimaluse käivitada ja jälgida väljalaskmist seadme kohta. 

Juurutamine registrivõtmete abil 

Seadmete rühma juurutamine koosneb järgmistest toimingutest. 

  1. Määrake iga värskendatava seadme registriväärtuse AvailableUpdates väärtuseks 0x5944 .

  2. Jälgige registrivõtmeid UEFICA2023Status ja UEFICA2023Error , et näha, kas seadmed on edenenud. Pidage meeles, et neid värskendusi töötlev toiming töötab kord 12 tunni jooksul. Pange tähele, et käivitushalduri värskendus ei pruugi toimuda enne taaskäivitamist.

  3. Uurige probleeme nende ilmnemise korral. Kui UEFICA2023Tõrge pole seadmes null, saate sündmuselogist otsida selle probleemiga seotud sündmusi. Secure Booti sündmuste täieliku loendi leiate teemast Secure Boot DB ja DBX muutuja värskendussündmused .

Märkus taaskäivitamiste kohta: kuigi protsessi lõpuleviimiseks võib olla vajalik taaskäivitamine, ei põhjusta Secure Booti värskenduste juurutamise käivitamine taaskäivitamist. Kui taaskäivitamine on vajalik, sõltub Secure Booti juurutamine taaskäivitamisest, mis toimub seadme tavapärase kasutamise käigus. 

Seadme testimine registrivõtmete abil 

Kui testite üksikuid seadmeid tagamaks, et seadmed töötlevad värskendusi õigesti, võivad registrivõtmed olla lihtsad testimisviisid. 

Testimiseks käivitage kõik järgmised käsud administraatori PowerShelli viibast eraldi. 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask - TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Esimene käsk käivitab seadmes serdi ja algkäivitushalduri juurutuse. Teine käsk põhjustab registrivõtit AvailableUpdates töötleva toimingu kohe käivitumise. Tavaliselt käivitub tööülesanne iga 12 tunni tagant. 

Tulemite leidmiseks jälgige registrivõtmeid UEFICA2023Status ja UEFICA2023Error ja sündmuselogisid, nagu on kirjeldatud jaotises Secure Boot DB ja DBX muutuja värskendussündmused

Abi saamiseks nõustumine ja sellest loobumine 

HighConfidenceOptOut ja MicrosoftUpdateManagedOptIn registrivõtmete abil saab hallata kahte juurutusabilist, mida kirjeldatakse Windowsi seadmetes IT-hallatavate värskendustega

  • Registrivõti HighConfidenceOptOut reguleerib seadmete automaatset värskendamist koondvärskenduste kaudu. Seadmete puhul, kus Microsoft on täheldanud teatud seadmete edukalt värskendamist, peetakse neid väga usaldusväärseteks seadmeteks ja turvalise algkäivituse serdi värskendused tehakse automaatselt. Selle valiku vaikesäte.

  • Registrivõti MicrosoftUpdateManagedOptIn võimaldab IT-osakondadel nõustuda Microsofti hallatava automaatse juurutamisega. See säte on vaikimisi keelatud ja selle väärtuseks on määratud 1 nõustumine. See säte nõuab ka seda, et seade saadaks valikulisi diagnostikaandmeid.

Windowsi toetatud versioonid

See tabel katkestab ka registrivõtmel põhineva toe. 

Võti 

Windowsi toetatud versioonid 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Kõik Windowsi versioonid, mis toetavad turvalist käivitamist (Windows Server 2012 ja uuemad Windowsi versioonid).  

Märkus: Kuigi usaldusandmeid kogutakse Windows 10, Windowsi versioonides LTSC, 22H2 ja uuemates versioonides, saab neid rakendada seadmetele, mis töötavad Windowsi varasemates versioonides.    

  • Windows 10, versioonid LTSC ja 22H2

  • Windows 11, versioonid 22H2 ja 23H2

  • Windows 11, versioon 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Secure Booti tõrkesündmused

​​​​​​​​​​​​​​Tõrkesündmustel on kriitiline aruandlusfunktsioon, mis annab teavet turvalise algkäivituse oleku ja edenemise kohta.  Tõrkesündmuste kohta leiate teavet teemast Secure Boot DB ja DBX muutuja värskendussündmused. Tõrkesündmusi värskendatakse turvalise algkäivituse täiendava sündmuseteabega. 

Secure Booti täiendavad komponendimuudatused 

Selles jaotises

TPMTasks muudatused 

Muutke TPMTasks-i, et teha kindlaks, kas seadme olekul on värskendatud Secure Booti serdid. Praegu saab seda määramist teha, kuid ainult siis, kui CFR valib värskendamiseks seadme. See määramine ja sellele järgnev logimine peaks toimuma igal algkäivitusseansis olenemata CFR-ist. Kui Secure Booti serdid pole täielikult ajakohased, kiirgavad need kaks ülalkirjeldatud tõrkesündmust. Kui serdid on ajakohased, kiirgavad nad teabesündmust. Kontrollitavad Secure Booti serdid on järgmised.  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 ja Microsoft Option ROM UEFI CA 2023 – need kaks CAd peavad olema kohal ainult siis, kui Microsoft UEFI CA 2011 on olemas. Kui Microsoft UEFI CA 2011 pole olemas, siis pole kontroll vajalik.

  • Microsoft Corporation KEK 2K CA 2023

Seadme metaandmete sündmus 

See sündmus kogub seadme metaandmed kokku ja väljastab järgmise sündmuse:

  • BucketId + usaldushinnangu sündmus   

See sündmus kasutab arvuti metaandmeid, et leida vastav kirje arvutite andmebaasist (salvekirje). Seade vormindab ja kiirgab nende andmetega sündmuse koos salve usaldusteabega. ​​​​​​​ 

Kõrge enesekindlusega seadmetugi 

Väga usaldusväärsete salvedes olevate seadmete korral rakendatakse turvalise algkäivituse serdid ja 2023 allkirjastatud käivitushaldur automaatselt.   

Värskendus käivitatakse kahe tõrkesündmuse genereerimisega samal ajal ja sündmus BucketId + confidence Rating sisaldab väga usaldusväärset hinnangut.   

Loobu

Kliendid, kes soovivad loobuda, on uus registrivõti saadaval järgmiselt.   

Registri asukoht

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Klahvi nimi

HighConfidenceOptOut

Võtme tüüp

DWORD

DWORD-väärtus

0 või võtit pole olemas – suure usaldusväärsusega abi on lubatud.    

1 – suure usaldusväärsusega abi on keelatud   

Mis tahes muu väärtus on määratlemata   

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus