Rakenduskoht
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Avaldamise algne kuupäev: 19. märts 2026

KB ID: 5085046

Selle artikli teemad

Ülevaade

Sellel lehel juhendatakse administraatoreid ja tugitöötajaid Turvalise käivitamisega seotud probleemide diagnoosimisel ja lahendamisel Windowsi seadmetes. Teemad on turbekäivituse serdi värskendamise tõrked, valed turvalise algkäivituse olekud, ootamatud BitLockeri taasteviibad ja käivitamistõrked pärast secure Booti konfiguratsioonimuudatusi.

Juhised selgitavad, kuidas kontrollida Windowsi teenindust ja konfiguratsiooni, vaadata läbi asjakohased registriväärtused ja sündmuselogid ning teha kindlaks, kas püsivara või platvormi piirangud nõuavad OEM-i värskendust. See sisu on mõeldud olemasolevate seadmete probleemide diagnoosimiseks. See ei ole mõeldud uute juurutuste kavandamiseks. Seda dokumenti värskendatakse uute tõrkeotsingustsenaariumide ja juhiste tuvastamisel.

tagasi üles

Kuidas Secure Booti serdi hooldus töötab?

Secure Boot serdi hooldus Windowsis on operatsioonisüsteemi ja seadme UEFI püsivara vaheline koordineeritud protsess. Eesmärk on värskendada kriitilisi usaldusankrute, säilitades samal ajal algkäivituse võimaluse igas etapis.

Seda protsessi juhib Windowsi ajastatud toiming, registripõhine värskendustoimingute jada ning sisseehitatud logimine ja uuesti proovimine. Koos tagavad need komponendid, et Secure Booti serte ja Windowsi käivitushaldurit värskendatakse kontrollitud, järjestatud viisil ja alles pärast eeltingimuste etappide õnnestumist.

tagasi üles

Kust alustada tõrkeotsingu ajal?

Kui tundub, et seade ei tee secure Booti serdi värskenduste rakendamisel eeldatud edenemist, alustage probleemi kategooria tuvastamisest. Enamik probleeme esineb neljas valdkonnas: Windowsi teenindusolek, turvalise algkäivituse värskendamise mehhanism, püsivara käitumine või platvorm või OEM-i piirang.

Alustage alltoodud kontrollidega järjekorras. Paljudel juhtudel piisab nendest juhistest, et selgitada täheldatud käitumist ja teha kindlaks järgmised toimingud ilma põhjalikuma uurimiseta.

  1. Windowsi teeninduse ja platvormi sobivuse kinnitamine

    1. ​​​​​​​Veenduge, et seade vastaks secure Booti serdi värskenduste saamise põhinõuetele.

    2. Seadmes töötab Windowsi toetatud versioon.

    3. Installitud on uusimad nõutavad Windowsi turbevärskendused.

    4. Turvaline käivitamine on UEFI püsivaras lubatud.

    5. Kui mõni neist tingimustest ei ole täidetud, lahendage need enne täiendava tõrkeotsinguga jätkamist.

  2. Secure-Boot-Update'i toimingu oleku kontrollimine

    1. Veenduge, et Windowsi mehhanism, mis vastutab turvalise algkäivituse serdi värskenduste rakendamise eest, on olemas ja toimib.

    2. Secure-Boot-Update'i ajastatud toiming on olemas.

    3. Toiming on lubatud ja töötab kohaliku süsteemina.

    4. Ülesanne on käivitatud vähemalt üks kord pärast uusima Windowsi turbevärskenduse installimist.

    5. Kui tööülesanne on keelatud, kustutatud või ei tööta, ei saa secure Booti serdi värskendusi rakendada. Tõrkeotsing peaks keskenduma ülesande taastamisele enne muude põhjuste uurimist.

  3. Registrisätete kontrollimine eeldatava edenemise jaoks

    Vaadake üle seadme Secure Booti teeninduse olek registris.

    1. Uurige: UEFICA2023Status, UEFICA2023Error ja UEFICA2023ErrorEvent.

    2. Uurige AvailableUpdatesi ja võrrelge seda eeldatud edenemisega (vt Viide ja Sisemised).

    Koos näitavad need väärtused, kas hooldus edeneb tavapäraselt, proovib toimingut uuesti või on teatud etapis seiskunud.

  4. Registrioleku korreleerimine Secure Booti sündmustega

    Vaadake süsteemisündmuste logist läbi secure Bootiga seotud sündmused ja korreleerige need registriolekuga. Sündmuse andmed kinnitavad tavaliselt, kas seade teeb edasimineku, proovib mõne muu tingimuse tõttu uuesti või on püsivara- või platvormiprobleemi tõttu blokeeritud.

    Koos näitavad registri- ja sündmuselogid tavaliselt, kas käitumine on ootuspärane, ajutine või nõuab parandamist.

tagasi üles

Secure-Boot-Update'i ajastatud toiming

Secure Boot serdi hooldus rakendatakse Windowsi ajastatud toimingu secure-Boot-Update kaudu. Tööülesanne on registreeritud järgmisel teel:

\Microsoft\Windows\PI\Secure-Boot-Update

Tööülesanne käivitatakse kohaliku süsteemina. Vaikimisi töötab see süsteemi käivitamisel ja seejärel iga 12 tunni tagant. Iga kord, kui see käivitub, kontrollib see, kas Secure Booti värskendustoimingud on ootel, ja proovib neid rakendada järjest.

Kui see tööülesanne on keelatud või puudub, ei saa secure Booti serdi värskendusi rakendada. Secure Boot-Update'i toiming peab secure Booti teeninduse toimimiseks jääma lubatuks.

tagasi üles

Ajastatud toimingu kasutamine

Turvalise algkäivituse serdi värskendused nõuavad Koordineerimist Windowsi ja UEFI püsivara vahel, sealhulgas kirjutada UEFI muutujaid, mis salvestavad Secure Booti võtmeid ja serte. Ajastatud toiming võimaldab Windowsil neid värskendusi proovida, kui süsteem on olekus, kus püsivaramuutujaid saab muuta.

Korduv 12-tunnine ajakava pakub lisavõimalusi värskenduste uuesti proovimiseks, kui eelmine katse nurjus või kui seade jäi sisselülitatuks taaskäivitamata. See kujundus aitab tagada edasimineku ilma käsitsi sekkumist nõudmata.

tagasi üles

AvailableUpdates: registri bitimask

Secure-Boot-Update'i toiming põhineb Registriväärtusel AvailableUpdates . See väärtus on 32-bitine bitimask, mis asub asukohas:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Iga väärtuse bitt tähistab kindlat Secure Booti värskendustoimingut. Värskendusprotsess algab siis, kui AvailableUpdates on seatud nullist mittenullväärtusele kas Automaatselt Windowsi poolt või otse administraatori poolt. Näiteks väärtus (nt 0x5944 ) näitab, et ootel on mitu värskendustoimingut.

Secure-Boot-Update'i toimingu käitamisel tõlgendab see määratud bitte ootel tööna ja töötleb neid määratletud järjestuses.

tagasi üles

Järjestikuste värskenduste, logimise ja uuesti proovimise käitumine

Turvalise algkäivituse serdi värskendused rakendatakse fikseeritud järjestuses. Iga värskendustoiming on loodud nii, et see oleks eraldi proovimiseks ja lõpuleviimiseks turvaline. Secure-Boot-Update'i toiming ei liigu järgmise toimingu juurde enne, kui praegune toiming õnnestub ja selle vastav bitt tühjendatakse availableUpdatesist.

Iga toiming kasutab standardseid UEFI-liideseid secure Booti muutujate (nt DB ja KEK) värskendamiseks või värskendatud Windowsi algkäivitushalduri installimiseks. Windows salvestab süsteemisündmuste logi iga etapi tulemuse. Õnnestumissündmused kinnitavad edasimineku edenemist, tõrkesündmused aga näitavad, miks toimingut ei saanud lõpule viia.

Kui värskendustoimimine nurjub, lõpetab toiming töötlemise, logib tõrke ja jätab seostuva bitikomplekti. Toimingut proovitakse järgmisel toimingu käitamisel uuesti sooritada. See proovimiskäitumine võimaldab seadmetel ajutistest tingimustest automaatselt taastada,nt puuduvad püsivaratugi või viivitusega OEM-i värskendused.

Administraatorid saavad edenemist jälgida, korreleerides registrioleku sündmuselogi kirjetega. Registriväärtused (nt UEFICA2023Status, UEFICA2023Error ja UEFICA2023ErrorEvent) koos AvailableUpdates bitimaskiga näitavad, milline etapp on aktiivne, lõpule viidud või blokeeritud.

See kombinatsioon näitab, kas seade edeneb tavapäraselt, proovib toimingut uuesti või on seiskunud.

tagasi üles

Integreerimine OEM-i püsivaraga

Turvalise algkäivituse serdi värskendused sõltuvad seadme UEFI püsivara õigest käitumisest ja toest. Kuigi Windows orkestreerib värskendusprotsessi, vastutab püsivara Secure Booti poliitika jõustamise ja Secure Booti andmebaaside haldamise eest.

OEM-id pakuvad kahte kriitilist elementi, mis lubavad secure Booti serdi hooldust.

  • Platvormivõti – allkirjastatud Võtmevahetusvõtmed (KEKs), mis lubavad uute Secure Booti sertide installimist.

  • Püsivara juurutamised, mis säilitavad, lisavad ja valideerivad turbekäivituse andmebaase värskenduste ajal.

Kui püsivara ei toeta neid käitumisi täielikult, võivad turvalised algkäivituse värskendused seiskuda, proovida lõputult uuesti või põhjustada algkäivituse nurjumisi. Sellisel juhul ei saa Windows värskendust ilma püsivara muudatusteta lõpule viia.

Microsoft töötab OEM-idega püsivaraprobleemide tuvastamiseks ja parandatud värskenduste kättesaadavaks tegemiseks. Kui tõrkeotsing osutab püsivara piirangule või defektile, on võimalik, et administraatorid peavad enne turvalise käivitamise serdi värskenduste lõpulejõudmist installima seadme tootjalt saadud uusima UEFI püsivaravärskenduse.

tagasi üles

Levinud tõrkestsenaariumid ja lahendused

Secure Booti värskendused rakendatakse Secure-Boot-Update'i ajastatud toiminguga, mis põhineb AvailableUpdatesi registriolekul.

Tavatingimustel toimuvad need etapid automaatselt ja salvestavad iga etapi lõpetamisel edusündmused. Mõnel juhul võivad püsivara käitumine, platvormi konfiguratsioon või teenuse eeltingimused takistada edenemist või viia ootamatu algkäivituskäitumiseni.

Alltoodud jaotistes kirjeldatakse kõige levinumaid tõrkestsenaariume, nende tuvastamist, nende ilmnemise põhjust ja järgmisi toiminguid tavatoimingu taastamiseks. Stsenaariumid on järjestatud alates kõige sagedamini ilmnevatest kuni tõsisemate algkäivitust mõjutavate juhtumiteni.

Kui Secure Booti värskendused ei näita edenemist, tähendab see tavaliselt, et värskendusprotsessi ei alustatud kunagi. Seetõttu puuduvad eeldatavad Secure Booti registriväärtused ja sündmuselogid, kuna värskendusmehhanismi ei käivitatud kunagi.

Mis juhtus

Secure Booti värskendamise protsess ei käivitunud, seega ei rakendatud seadmele turbekäivituse serte ega värskendatud käivitushaldurit.

Kuidas seda ära tunda?

  • Secure Booti teeninduse registriväärtusi pole (nt UEFICA2023Status).

  • Eeldatud turvalise algkäivituse sündmused (nt 1043, 1044, 1045, 1799, 1801) on süsteemi sündmuselogist puudu.

  • Seade kasutab jätkuvalt vanemaid Secure Booti serte ja algkäivituse komponente.

Miks see juhtub?

See stsenaarium ilmneb tavaliselt siis, kui üks või mitu järgmistest tingimustest on täidetud:

  • Secure-Boot-Update'i ajastatud toiming on keelatud või puudub.

  • Turvaline käivitamine on UEFI püsivara puhul keelatud.

  • Seade ei vasta Windowsi teeninduse eeltingimustele ( nt kas käitate toetatud Windowsi versiooni või olete installinud nõutavad värskendused).

Mida edasi teha?

  • Veenduge, et seade vastaks Windowsi teeninduse ja platvormi nõuetele.

  • Veenduge, et turvaline käivitamine oleks püsivara puhul lubatud.

  • Veenduge, et SecureBootUpdate'i ajastatud toiming oleks olemas ja lubatud.

Kui ajastatud toiming on keelatud või puudub, järgige selle taastamiseks teemas Secure Booti ajastatud toiming keelatud või kustutatud toodud juhiseid. Pärast toimingu taastamist taaskäivitage seade või käivitage toiming Secure Booti teeninduse käivitamiseks käsitsi.

Mõnel juhul võivad turvalise käivitamisega seotud värskendused põhjustada seadme sisenemist BitLockeri taasteteenusesse. Sõltuvalt selle aluseks olevast põhjusest võib käitumine olla mööduv või püsiv.

1. stsenaarium: Onetime BitLockeri taaste pärast secure Booti värskendust

Mis juhtub?

Seade siseneb BitLockeri taaste esimesele algkäivitusele pärast secure Booti värskendust, kuid käivitub tavaliselt järgmisel taaskäivitamisel.

Miks see juhtub?

Pärast värskendamist esimesel algkäivitusel ei teata püsivara veel värskendatud turvalise algkäivituse väärtustest, kui Windows proovib BitLockerit uuesti kasutada. See põhjustab ajutise lahknevuse mõõdetud algkäivitusväärtustes ja käivitab taaste. Järgmisel algkäivitusel teatab püsivara värskendatud väärtused õigesti, BitLocker uuesti ja probleem ei kordu.

Kuidas seda ära tunda?

  • BitLockeri taastamine toimub üks kord.

  • Pärast taastevõtme sisestamist ei küsi järgmised algkäivitused taastet.

  • Käimasolevat algkäivitusjärjestust ega PXE-ga seotud tellimust pole olemas.

Mida edasi teha?

  • Windowsi jätkamiseks sisestage BitLockeri taastevõti.

  • Otsige püsivaravärskendusi.

2. stsenaarium: korduv BitLockeri taaste PXE esimese algkäivituse konfiguratsiooni tõttu

Mis juhtub?

Seade siseneb BitLockeri taaste iga algkäivituse.

Miks see juhtub?

Seade on konfigureeritud proovima esmalt PXE (võrgu) algkäivitamist. PXE algkäivituskatse nurjub ja püsivara läheb seejärel tagasi kettal töötava Windowsi algkäivitushalduri juurde.

Selle tulemusena mõõdetakse ühe algkäivitustsükli jooksul kahte erinevat allkirjastamisasutust:

  • PXE algkäivitustee on allkirjastanud Microsoft UEFI CA 2011.

  • Kettal töötava Windowsi käivitushalduri on allkirjastanud Windows UEFI CA 2023.

Kuna BitLocker jälgib käivitamisel erinevaid Secure Booti usalduskette, ei saa see luua stabiilset TPM-i mõõtmiste kogumit, millega uuesti töötada. Selle tulemusena siseneb BitLocker taaste iga algkäivituse.

Kuidas seda ära tunda?

  • BitLockeri taaste käivitatakse igal taaskäivitamisel.

  • Taastevõtme sisestamine võimaldab Windowsil käivituda, kuid viip naaseb järgmisel algkäivitusel.

  • PXE või võrgu algkäivitus on konfigureeritud püsivara algkäivitusjärjestuses enne kohalikku ketast.

Mida edasi teha?

  • Konfigureerige püsivara algkäivituse järjestus, et kettal olev Windowsi käivitushaldur oleks esimene.

  • Kui PXE-algkäivitus pole nõutav, keelake see.

  • Kui PXE on nõutav, veenduge, et PXE-taristu kasutaks 2023-allkirjastatud Windowsi algkäivituslaadurit.

Mis juhtus

See kajastab püsivarataseme muudatust, mitte Windowsi probleemi. Turvaline algkäivituse värskendus on lõpule viidud, kuid pärast hilisemat taaskäivitamist ei käivitu seade enam Windowsis.

Kuidas seda ära tunda?

  • Seade ei käivita Windowsi ja võib kuvada püsivara või BIOS-i teate, mis viitab turvalise algkäivituse rikkumisele.

  • Tõrge ilmneb pärast turvalise algkäivituse sätete lähtestamist püsivara vaikesäteteks.

  • Turvalise käivitamise keelamine võib lubada seadmel uuesti algkäivitada.

Miks see juhtub?

Turvalise algkäivituse lähtestamisel püsivara vaikesätetele kustutatakse püsivarasse salvestatud secure Booti andmebaasid. Seadmetes, mis on juba üle minna Windows UEFI CA 2023 allkirjastatud käivitushaldur, see lähtestamine eemaldab serdid, mis on vajalikud selle käivitushalduri usaldamiseks.

Selle tulemusena ei tuvasta püsivara enam installitud Windowsi käivitushaldurit usaldusväärsena ja blokeerib algkäivitusprotsessi.

Seda stsenaariumi ei põhjusta Secure Booti värskendus ise, vaid sellele järgnev püsivara toiming, mis eemaldab värskendatud usaldusankrud.

Mida edasi teha?

  • Vajaliku serdi taastamiseks kasutage Secure Booti taasteutiliiti, et seade saaks uuesti algkäivitada.

  • Pärast taastamist veenduge, et seadmel oleks seadme tootjalt installitud uusim saadaolev püsivara.

  • Vältige turvalise algkäivituse lähtestamist püsivara vaikesätetele, kui OEM-i püsivara ei sisalda värskendatud turbekäivituse vaikesätteid, mis usaldavad 2023 serte.

Secure Booti taasteutiliit

Süsteemi taastamiseks tehke järgmist.

  1. Teise Windowsi arvutisse, kuhu on installitud 2024. aasta juuli või uuem Windowsi värskendus, kopeerige SecureBootRecovery.efi kohast C:\Windows\Boot\EFI\.

  2. Paigutage fail FAT32-vormingus USB-draivile jaotises \EFI\BOOT\ ja nimetage see ümber bootx64.efi-ks.

  3. Käivitage mõjutatud seade USB-draivilt ja lubage taasteutiliidi käivitamine. Utiliit lisab Windows UEFI CA 2023 andmebaasi.

Pärast serdi taastamist ja süsteemi taaskäivitamist peaks Windows käivituma tavapäraselt.

Oluline: Selle toiminguga rakendatakse uuesti ainult üks uus sert. Kui seade on taastatud, veenduge, et selle uusimad serdid oleksid uuesti rakendatud, ja kaaluge süsteemi BIOS-i/UEFI-liidese värskendamist uusimale saadaolevale versioonile. See võib takistada turvalise algkäivituse lähtestamise probleemi kordumist, kuna paljud OEM-id on välja andnud selle konkreetse probleemi püsivaraparandused.

Mis juhtus

Pärast secure Boot serdi värskenduse rakendamist ja taaskäivitamist ei käivitu seade ja ei jõua Windowsi.

Kuidas seda ära tunda?

  • Seade nurjub kohe pärast Secure Booti värskenduse nõutavat taaskäivitamist.

  • Võidakse kuvada püsivara või turvalise käivitamise tõrge või süsteem võib peatuda enne Windowsi laadimist.

  • Turvalise käivitamise keelamine võib lubada seadmel algkäivitada.

Miks see juhtub?

Selle probleemi põhjuseks võib olla seadme UEFI püsivara juurutamise viga.

Kui Windows rakendab turvalise käivitamise serdi värskendused, eeldatakse, et püsivara lisab olemasolevale turvalise algkäivituse lubatud allkirjaandmebaasile (DB) uued serdid. Mõned püsivara juurutamised kirjutavad DB sellele lisamise asemel valesti üle.

Sel juhul

  • Eemaldatakse varem usaldusväärsed serdid, sh Microsoft 2011 alglaaduri sert.

  • Kui süsteem kasutab endiselt 2011. aasta serdiga allkirjastatud käivitushaldurit, ei usalda püsivara seda enam.

  • Püsivara hülgab käivitushalduri ja blokeerib algkäivitusprotsessi.

Mõnel juhul võib andmebaasi ka rikutud saada, mitte üle kirjutada, mistõttu tulemus on sama. Seda käitumist on täheldatud kindlates püsivara juurutamistes ja seda ei eeldata ühilduvas püsivaras.

Mida edasi teha?

  • Sisestage püsivara häälestuse menüüd ja proovige lähtestada turvalise algkäivituse sätteid.

  • Kui seade käivitub pärast lähtestamist, otsige seadme tootja tugiteenuste saidilt püsivaravärskendust, mis parandab Secure Boot DB käsitsemist.

  • Kui püsivaravärskendus on saadaval, installige see enne secure Booti uuesti lubamist ja secure Booti serdi värskenduste uuesti rakendamist.

Kui turvalise algkäivituse lähtestamine ei taasta algkäivitusfunktsiooni, on edasiseks taastamiseks tõenäoliselt vaja OEM-i kohaseid juhiseid.

Mis juhtus

Secure Booti serdi värskendamist ei viida lõpule ja see jääb Võtme Exchange'i võtme (KEK) värskendusetapis blokeerituks.

Kuidas seda ära tunda?

  • AvailableUpdatesi registriväärtus jääb keK-bitise (0x0004) väärtuseks ja seda ei kustutata.

  • UEFICA2023Status ei edene lõpuleviidud olekusse.

  • Süsteemisündmuselogi salvestab korduvalt sündmuse ID-d 1803, mis näitab, et KEK-i värskendust ei saanud rakendada.

  • Seade proovib värskendust uuesti ilma edasiminekut tegemata.

Miks see juhtub?

Secure Boot KEK-i värskendamiseks on vaja autoriseerimist OEM-ile kuuluva seadme platvormivõtme (PK) kaudu.

Värskenduse õnnestumiseks peab seadme tootja andma Microsoftile PK-allkirjaga KEK-i konkreetse platvormi jaoks. See OEM-i allkirjastatud KEK sisaldub Windowsi värskendustes ja võimaldab Windowsil värskendada püsivara KEK muutujat.

Kui OEM pole seadme jaoks PK-allkirjaga KEK-i esitanud, ei saa Windows KEK-i värskendust lõpule viia. Selles olekus:

  • Secure Booti värskendused on kujunduse järgi blokeeritud.

  • Windows ei saa puuduva autoriseerimisega töötada.

  • Seade ei saa secure Booti serdi hooldust jäädavalt lõpule viia.

See võib juhtuda vanemates või toe lõppemise seadmetes, kus OEM ei paku enam püsivara- ega võtmevärskendusi. Selle tingimuse jaoks pole toetatud käsitsi taastamise teed.

tagasi üles

Kui turvalise algkäivituse serdi värskenduste rakendamine nurjub, salvestab Windows diagnostikasündmused, mis selgitavad, miks edenemine blokeeriti. Need sündmused kirjutatakse Secure Booti signatuuri andmebaasi (DB) või Key Exchange Key (KEK) värskendamisel ei saa püsivara, platvormi oleku või konfiguratsioonitingimuste tõttu ohutult lõpule viia. Selle jaotise stsenaariumid viitavad nendele sündmustele, et tuvastada levinud tõrkemustrid ja määratleda sobiv parandus. Selle jaotise eesmärk on toetada eespool kirjeldatud probleemide diagnoosimist ja tõlgendamist, mitte uute tõrkestsenaariumide sisseseadmist.

Sündmuste ID-de, kirjelduste ja näidiskirjete täieliku loendi leiate teemast Secure Boot DB ja DBX muutuja värskendussündmused (KB5016061).

KEK värskendustõrge (DB värskendused õnnestuvad, KEK seda ei tee)

Seade saab secure Boot DB serte värskendada, kuid KEK-i värskendamise ajal nurjub. Selle ilmnemisel ei saa Secure Booti värskendamist lõpule viia.

Tunnused

  • DB serdi sündmused näitavad edenemist, kuid KEK-etappi ei viida lõpule.

  • AvailableUpdates jääb väärtuseks 0x4004 ja pärast mitme toimingu käitamist 0x0004 bitti ei tühjendata.

  • Sündmus 1795 või 1803 võib olla olemas.

Tõlgendamine

  • 1795 tähistab tavaliselt püsivara tõrget secure Booti muutuja värskendamise katsel.

  • 1803 näitab, et KEK värskendust ei saa autoriseerimiseks lubada, kuna nõutav OEM-i PK allkirjastatud KEK-i last pole platvormi jaoks saadaval.

Järgmised toimingud

  • Operatsioonisüsteemis 1795 otsige OEM-i püsivaravärskendusi ja valideerige secure Booti muutujatega värskenduste püsivaratugi.

  • Operatsioonisüsteemis 1803 kontrollige, kas OEM on andnud Microsoftile seadme mudeli jaoks nõutava PK-allkirjaga KEK-i.

KEK värskendustõrge Hyper-V-s majutatud külalis-virtuaalarvutites 

Hyper-V virtuaalarvutites peavad turvalise algkäivituse serdi värskendused nii Hyper-V hosti kui ka guest OS-i jaoks olema installitud 2026. aasta märtsi Windowsi värskendused.

Värskendamistõrgetest teatatakse külalises, kuid sündmus näitab, kus on vaja parandust teha.

  • Sündmus 1795 (nt "Meedium on kirjutuskaitstud") on külalises teatatud, et Hyper-V hostil puudub 2026. aasta märtsi värskendus ja see tuleb värskendada.

  • Sündmus 1803 , millest teatati külalises, näitab, et külalisvirtarvutil endal puudub 2026. aasta märtsi värskendus ja see tuleb värskendada.

tagasi üles 

Teatmematerjalid ja ettevõttesisesed

See jaotis sisaldab täpsemat teavet tõrkeotsingu ja toe kohta. See ei ole mõeldud juurutamise kavandamiseks. See laieneb Secure Booti teeninduse mehaanika summeeritud varem ja pakub üksikasjalikke viitematerjale registri oleku ja sündmuselogide tõlgendamiseks.

Märkus (IT-hallatavad juurutused): kui need on konfigureeritud Rühmapoliitika või Microsoft Intune kaudu, ei tohiks kahte sarnast sätet segamini ajada. Väärtus AvailableUpdatesPolicy tähistab konfigureeritud poliitika olekut. Samal ajal kajastab AvailableUpdates pooleliolevat biti tühjendamise tööolekut. Mõlemad võivad anda sama tulemuse, kuid käituvad teisiti, kuna poliitika rakendub aja jooksul uuesti.

tagasi üles 

AvailableUpdates – serdi hoolduseks kasutatavad bitid

Alltoodud bitte kasutatakse selles dokumendis kirjeldatud serdi- ja käivitushalduri toimingute jaoks. Veerg Järjestus kajastab järjestust, milles Secure-Boot-Update töötleb iga bitti.

Tellimuste

Biti säte

Kasutamine

1

0x0040

See bitt käsib ajastatud toimingul lisada Windows UEFI CA 2023 sert Secure Boot DB-sse. See võimaldab Windowsil usaldada selle serdi allkirjastatud käivitushaldureid.

2

0x0800

See bitt käsib ajastatud toimingu rakendada Microsoft Option ROM UEFI CA 2023 DB.  

Tingimuslik käitumine: kui 0x4000 lipp on seatud, kontrollib ajastatud toiming esmalt microsoft Corporationi UEFI CA 2011 serdi andmebaasi. See rakendab Microsoft Option ROM UEFI CA 2023 serdi ainult siis, kui 2011 sert on olemas.

3

0x1000

See bitt käsib ajastatud toimingul rakendada Microsoft UEFI CA 2023 DB-le.

Tingimuslik käitumine: kui 0x4000 lipp on seatud, kontrollib ajastatud toiming esmalt Microsoft Corporationi UEFI CA 2011 serdi andmebaasi. See rakendab Microsoft UEFI CA 2023 serdi ainult siis, kui 2011 sert on olemas.

Muutefunktsioonid (käitumise lipp)

0x4000

See bitt muudab 0x0800 ja 0x1000 bittide käitumist nii, et Microsoft UEFI CA 2023 ja Microsoft Option ROM UEFI CA 2023 rakendatakse ainult siis, kui DB juba sisaldab Microsoft CorporationI UEFI CA 2011  Seadme turbeprofiili samaks jäämise tagamiseks rakendab see bitt neid uusi serte ainult juhul, kui seade usaldab Microsoft Corporationi UEFI CA 2011 serti. Kõik Windowsi seadmed ei usalda seda serti.

4

0x0004

See bitt käsib ajastatud toimingul otsida exchange'i võtit, mis on allkirjastatud seadme platvormivõtmega (PK). PK-i haldab OEM. OEM-id allkirjastavad Microsoft KEK-i oma PK-ga ja toimetavad selle Microsofti, kus see sisaldub igakuistes koondvärskendustes.

5

0x0100

See bitt käsib ajastatud toimingu rakendada käivitushaldur, mis on allkirjastatud Windows UEFI CA 2023, algkäivitussektsioonile. See asendab Microsoft Windows Production PCA 2011 allkirjastatud käivitushalduri.

Märkused.

  • Pärast kõigi muude bittide töötlemist jääb 0x4000 bitt määratuks.

  • Secure-Boot-Update töötleb iga bitti eespool näidatud järjekorras.

  • Kui 0x0004 bitti ei saa puuduva PK allkirjastatud KEK tõttu töödelda, rakendatakse ajastatud toiminguga endiselt biti 0x0100 näidatud käivitushalduri värskendus.

tagasi üles 

Oodatav edenemine (AvailableUpdates)

Kui toiming on edukalt lõpule viidud, eemaldab Windows availableUpdatesist seotud biti. Kui toiming nurjub, logib Windows sündmuse ja proovib toimingu uuesti käivitamisel uuesti.

Allolevas tabelis on näidatud AvailableUpdatesi väärtuste eeldatav edenemine, kui iga Secure Booti värskendustoiming on lõpule viidud.

Juhis

Bit processed

Saadaolevad Teabevärskendused

Kirjeldus

Õnnestumissündmus on logitud

Võimalikud tõrkesündmuste koodid

Start

0x5944

Algne olek enne Secure Booti serdi hoolduse algamist.

-

-

1

0x0040

0x5944 → 0x5904

Windows UEFI CA 2023 lisatakse Secure Boot DB-sse.

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

Kui seade usaldas varem Microsoft UEFI CA 2011, lisage DB-sse Microsoft Option ROM UEFI CA 2023.

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

Microsoft UEFI CA 2023 lisatakse andmebaasi, kui seade varem usaldas Microsoft UEFI CA 2011.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

Rakendatakse uus Microsoft KEK 2K CA 2023, mis on allkirjastatud OEM-platvormi võtmega.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

Windows UEFI CA 2023 allkirjastatud käivitushaldur on installitud.

1799

1797

Märkused.

  • Kui bitiga seotud toiming on edukalt lõpule viidud, kustutatakse see bitt AvailableUpdatesist.

  • Kui üks neist toimingutest nurjub, logitakse sündmus ja toimingut proovitakse järgmisel ajastatud toimingu käitamisel uuesti sooritada.

  • 0x4000 bitt on muutefunktsiooniga ja seda ei tühjendata. Lõplik AvailableUpdatesi väärtus 0x4000 näitab kõigi kohaldatavate värskendustoimingute edukat lõpuleviimist.

  • Sündmused 1032, 1795, 1796, 1802 näitavad tavaliselt püsivara või platvormi piiranguid.

  • Sündmus 1803 näitab, et OEM-i PK-allkirjastatud KEK puudub.

tagasi üles 

Parandustoimingud

Sellest jaotisest leiate üksikasjalikud juhised konkreetsete Secure Booti probleemide lahendamiseks. Iga protseduur hõlmab täpselt määratletud tingimust ja seda tuleb järgida alles pärast seda, kui algne diagnoos kinnitab, et probleem on kohaldatav. Nende toimingute abil saate taastada eeldatava Turvalise algkäivituse käitumise ja lubada serdivärskenduste ohutut jätkamist. Ärge rakendage neid protseduure üldjoontes ega ennetavalt.

tagasi üles

Secure Booti lubamine püsivara kaudu

Kui turvaline käivitamine on seadme püsivara puhul keelatud, lugege teemat Windows 11 ja Secure Booti kohta lisateabe saamiseks Secure Booti lubamise kohta.

tagasi üles

Secure Booti ajastatud toiming on keelatud või kustutatud

Secure-Boot-Update'i ajastatud toiming on vajalik, et Windows rakendaks turvalise algkäivituse serdi värskendused. Kui tööülesanne on keelatud või puudub, ei edene Secure Booti serdi hooldus.

Tööülesande üksikasjad

Tööülesande nimi

Secure-Boot-Update

Tööülesande tee

\Microsoft\Windows\PI\

Täielik tee

\Microsoft\Windows\PI\Secure-Boot-Update

Töötab järgmiselt

SÜSTEEM (kohalik süsteem)

Päästikud,

Käivitamisel ja iga 12 tunni järel

Nõutav olek

Lubatud

Tööülesande oleku kontrollimine

Käivitage ülemaõigustes PowerShelli viibast: schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Otsige välja Olek:

Olek

Tähendus

valmis

Tööülesanne on olemas ja lubatud.

Keelatud

Tööülesanne on olemas, kuid see peab olema lubatud.

Tõrge / ei leitud

Tööülesanne puudub ja see tuleb uuesti luua.

Tööülesande lubamine või uuesti loomine

Kui Secure-Boot-Update'i olekuväli on Keelatud, Tõrge või Ei leitud, kasutage toimingu lubamiseks näidisskripti: näidis-Enable-SecureBootUpdateTask.ps1

Märkus. See on näidisskript ja Microsoft ei toeta seda. Administraatorid peaksid selle üle vaatama ja oma keskkonnaga kohandama.

Näide:

.\Enable-SecureBootUpdateTask.ps1 – vaikne

Käitusjuhised

  • Kui juurdepääs on keelatud, käivitage PowerShell uuesti administraatorina.

  • Kui skript ei käivitu käivitamispoliitika tõttu, kasutage protsessiulatusest möödumist.

Set-ExecutionPolicy – ulatuse protsess – ExecutionPolicy bypass

tagasi üles 

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus