Rakenduskoht
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Avaldamise algne kuupäev: 14. oktoober 2025

KB ID: 5068202

Selles artiklis on toodud juhised järgmiseks.  

  • IT-hallatavate Windowsi seadmete ja värskendustega ettevõtted.

Selle toe kättesaadavus:  

Registrivõtmed lisatakse värskendustesse, mis antakse välja järgmisel kuupäeval või pärast seda:

  • 11. november 2025: Windowsi versioonide jaoks on tugi endiselt saadaval.

Muuda kuupäeva

Muuda kirjeldust

20. veebruar 2026

  • Lisati 3 uut registrivõtit artiklile - "UEFICA2023ErrorEvent", "BucketHash" & "ConfidenceLevel".

  • Värskendati jaotist "Selle toe kättesaadavus".

4. november 2025

  • Lehele on lisatud veel üks registrivõti.

  • Parandati lause lausega "Näiteks kui DB (usaldusväärsete allkirjade andmebaasi) värskendamine nurjus püsivara probleemi tõttu, võib registrivõti kuvada tõrkekoodi, mille saab vastendada sündmuselogiga või dokumenteeritud tõrke ID-ga", et öelda "Näiteks kui DB (usaldusväärsete allkirjade andmebaasi) värskendamine nurjus püsivara probleemi tõttu, see registrivõti võib kuvada püsivara tõrkekoodi. Kui see võti on olemas ja pole null, soovitame otsida Windowsi sündmuselogidest turvalise algkäivituse sündmusi – üksikasjalikumat teavet leiate (link).

  • Lisati allpool kaks eraldi registrivõtmete teed

11. november 2025

  • Värskendati jaotist Seadme testimine registrivõtmete abil lisateabega: "Registrivõti peaks kiiresti muutuma 0x4100. Taaskäivitamine ja toimingu uuesti käivitamine põhjustab käivitushalduri värskendamise ja AvailableUpdates muutub 0x0100. Lisateavet AvailableUpdatesi käitumise kohta leiate teemast Tõrkeotsing."

  • Värskendage jaotise Seadme testimine registrivõtmete abil hallil väljal olevat teksti kahe täiendava PowerShelli käsu jaoks

  • Registrivõtmete all muudeti registriväärtus Väärtus -MicrosoftUpdateManagedOptIn väärtuseks "1 - Opt in " väärtuseks "1 või mis tahes nullist mitte-null väärtus – opt in"

16. november 2025

Värskendatud on jaotises "Seadme testimine registrivõtmete abil" sisu. Saadaoleva värskenduse väärtuseks muudeti "0x0100" väärtuseks "0x4000".

Selle artikli teemad

Sissejuhatus

Selles dokumendis kirjeldatakse Windowsi registrivõtmete abil turbekäivitusserdi värskenduste juurutamise, haldamise ja jälgimise tuge. Klahvid koosnevad järgmistest. 

  • Üks võti, mis käivitab seadmes sertide ja käivitushalduri juurutamise.

  • Juurutamise oleku jälgimiseks on kaks võtit.

  • Kaks võtit kahe saadaoleva juurutusabi funktsiooni nõustumis- ja loobumissätete haldamiseks.

Neid registrivõtmeid saab seadmes käsitsi määrata või kaugühenduse teel saadaoleva laevastikuhaldustarkvara kaudu. Muid juurutusmeetodeid (nt Rühmapoliitika, Microsoft Intune ja WinCS) kirjeldatakse artiklis IT-hallatavate värskendustega ettevõtete ja ettevõtete Windowsi seadmed.  

Secure Booti registrivõtmed

Selles jaotises

Registrivõtmed

Kõik secure Booti registrivõtmed, mida on allpool kirjeldatud, asuvad selle registritee all: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Järgmises tabelis kirjeldatakse iga registriväärtust.

Registriväärtus

Tüüp

Kirjeldus ja kasutus

AvailableUpdates

REG_DWORD (bitimask)

Värskendamispäästiku lipud.

Määrab, milliseid secure Booti värskendustoiminguid seadmes teha. Siin sobiva bitivälja seadmine käivitab uute Secure Booti sertide ja seostuvate värskenduste juurutamise. Ettevõtte juurutuse korral peaks see olema 0x5944 (16-kümnekordne) – väärtus, mis lubab kõik asjakohased värskendused (uute 2023 CA sertide lisamine, KEK-i värskendamine ja uue käivitushalduri installimine). 

Sätted

  • 0 või pole seatud – Secure Booti võtme värskendust ei tehta.

  • 0x5944 – juurutage kõik vajalikud serdid ja värskendage PCA2023 allkirjastatud käivitushaldurisse

HighConfidenceOptOut

REG_DWORD

Loobumissuvand.

Ettevõtted, kes soovivad loobuda väga usaldusväärsetest salvedest, mida rakendatakse automaatselt LCU osana.

Suure usaldusega salvest loobumiseks saate selle võtme väärtuseks määrata nullist mittenullväärtuse. 

Sätted 

  • 0 või võtit pole olemas – nõustuge

  • 1 – loobumine

MicrosoftUpdateManagedOptIn

REG_DWORD

Nõustumissuvand.

Suurettevõtetele, kes soovivad lubada piiratud funktsioonide väljalaske (CFR) teeninduse, mida nimetatakse ka Microsofti hallatavaks.

Lisaks selle võtme määramisele lubage nõutavate diagnostikaandmete saatmine (vt Windowsi diagnostikaandmete konfigureerimine oma asutuses). 

Sätted

  • 0 või võtit pole olemas – loobu

  • 1 või suvaline nullist mittenullväärtus  – nõustumine

Kõik secure Booti registrivõtmed, mida on allpool kirjeldatud, asuvad selle registritee all: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Järgmises tabelis kirjeldatakse iga registriväärtust.

Registriväärtus

Tüüp

Kirjeldus ja kasutus

UEFICA2023Status

REG_SZ (string)

Juurutuse oleku tähis.

Kajastab secure Booti võtme värskenduse praegust olekut seadmes. Sellele seatakse üks järgmistest tekstiväärtustest:

  • NotStarted: värskendus pole veel käivitatud.

  • ProgrammisProgress: värskendus on aktiivselt käimas.

  • Värskendatud: värskendamine on lõpule viidud.

Esialgu pole olek Käivitatud. See muutub InProgress pärast värskenduse algust ja lõpuks värskendatakse, kui kõik uued võtmed ja uus algkäivitushaldur on juurutatud. Kui esineb tõrge, siis on registriväärtuse UEFICA2023Error väärtuseks seatud mittenullkood.

UEFICA2023Error

REG_DWORD (kood)

Tõrkekood (kui see on olemas).

See väärtus jääb õnnestumise korral 0-ks . Kui värskendusprotsessis ilmneb tõrge, seatakse tõrke UEFICA2023Error väärtuseks nullist erinev tõrkekood, mis vastab esimesele ilmnenud tõrkele. Tõrge viitab sellele, et secure Booti värskendus ei õnnestunud täielikult ja võib vajada selles seadmes uurimist või parandamist.  

Näiteks kui andmebaasi värskendamine (usaldusväärsete allkirjade andmebaas) nurjus püsivaraprobleemi tõttu, võib see registrivõti kuvada püsivara tõrkekoodi. Kui see võti on olemas ja pole null, soovitame otsida Windowsi sündmuselogidest turvalise algkäivituse sündmusi – lisateavet leiate teemast Secure Boot DB ja DBX muutuja värskendussündmused .

UEFICA2023ErrorEvent

REG_DWORD (kood)

UEFICA2023ErrorEvent määrab sündmuse ID, mida Windows kasutas Windows UEFI CA 2023 secure Booti värskenduste rakendusega seotud tõrkest teatamiseks. See väärtus on korrelatsioonis registrivõtmega UEFICA2023Error ja asustatakse selle võtme seadmisel, mis näitab, et Windowsis ilmnes secure Booti värskenduse rakendamisel tõrge. Selle ilmnemisel logib Windows vastava turvalise algkäivituse sündmuse, mis on dokumenteeritud avalikul lehel Secure Boot DB ja DBX muutuja värskendussündmused, mis annab lisateavet selle kohta, miks värskendust ei saanud lõpule viia ja millist toimingut võib vaja minna.

WindowsUEFICA2023Capable

REG_DWORD (kood)

See registrivõti on mõeldud piiratud juurutusstsenaariumide jaoks ja seda ei soovitata üldiselt kasutada. Enamasti kasutage selle asemel registrivõtit UEFICA2023Status.

Sobivad väärtused:

0 – või võtit pole olemas - "Windows UEFI CA 2023" sert ei ole DB

1 - "Windows UEFI CA 2023" sert on DB

2 - "Windows UEFI CA 2023" sert on DB ja süsteem algab 2023 allkirjastatud käivitushaldur

BucketHash

REG_SZ (string)

BucketHash tuvastab juurutussalve, millele seade on määratud secure Booti serdi väljaandmise osana. Väärtus on seadme omadustest tuletatud räsiväärtus, mida kasutatakse sarnaste püsivara- ja platvormiatribuutidega seadmete rühmitamiseks etapiviisilise juurutamise ja riskijuhtimise jaoks. See on sama salve räsi, mis kuvatakse seadmekohastes sündmuste lehel Secure Boot DB ja DBX muutuja värskendussündmused , mis võimaldab administraatoritel korreleerida registri oleku sündmuselogi kirjetega ja mõista, kuidas seadet secure Booti värskendamise käigus sihitakse.

Usaldustase

REG_SZ (string)

ConfidenceLevel näitab seadme secure Booti juurutussalvega seotud usaldushinnangut. See väärtus vastab vahemikule BucketConfidenceLevel, mille Windows määrab seadmele sarnaste riistvara- ja püsivarakonfiguratsioonide jälgitud värskenduskäitumise põhjal. Sama usaldustase on kaasatud seadmekohastele sündmustele, mis on dokumenteeritud secure Boot DB ja DBX muutuja värskendussündmuste lehel, mis võimaldab administraatoritel korreleerida registriväärtust sündmuselogi kirjetega. Lisateavet selle võtme võimalike väärtuste kohta leiate seadmepõhiste sündmuselogi sündmuste kirjeldustest.

Kuidas need võtmed koos toimivad?

IT-administraatorid konfigureerivad AvailableUpdates registriväärtuse 0x5944, mis annab Windowsile märku Secure Booti võtme värskenduse ja installimise käivitamiseks seadmes.

Protsessi käitamisel värskendab süsteem UEFICA2023Status'istNotStartedinProgressiks ja lõpuks värskendatakse õnnestumisel. Kuna 0x5944 iga bitti töödeldakse edukalt, kustutatakse see.

Kui mõni toiming nurjub, registreeritakse tõrkekood UEFICA2023Erroris (ja olek jääb InProgressiks).

See mehhanism annab administraatoritele selge võimaluse käivitada ja jälgida väljalaskmist seadme kohta. 

Juurutamine registrivõtmete abil 

Seadmete rühma juurutamine koosneb järgmistest toimingutest. 

  1. Määrake iga värskendatava seadme registriväärtuse AvailableUpdates väärtuseks 0x5944 .

  2. Jälgige registrivõtmeid UEFICA2023Status ja UEFICA2023Error , et näha, kas seadmed on edenenud. Neid värskendusi töötlev toiming töötab iga 12 tunni järel. Pange tähele, et käivitushalduri värskendus ei pruugi toimuda enne taaskäivitamist.

  3. Uurige probleeme nende ilmnemise korral. Kui UEFICA2023Tõrge pole seadmes null, saate sündmuselogist otsida selle probleemiga seotud sündmusi. Secure Booti sündmuste täieliku loendi leiate teemast Secure Boot DB ja DBX muutuja värskendussündmused .

Märkus taaskäivitamiste kohta: kuigi protsessi lõpuleviimiseks võib olla vajalik taaskäivitamine, ei põhjusta Secure Booti värskenduste juurutamise käivitamine taaskäivitamist. Kui taaskäivitamine on vajalik, sõltub Secure Booti juurutamine taaskäivitamisest, mis toimub seadme tavapärase kasutamise käigus. 

Seadme testimine registrivõtmete abil 

Kui testite üksikuid seadmeid tagamaks, et seadmed töötlevad värskendusi õigesti, võivad registrivõtmed olla lihtsad testimisviisid. 

Testimiseks käivitage kõik järgmised käsud administraatori PowerShelli viibast eraldi. 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask - TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Taaskäivitage süsteem käsitsi, kui AvailableUpdates muutub 0x4100

Start-ScheduledTask - TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Esimene käsk käivitab seadmes serdi ja algkäivitushalduri juurutuse. Teine käsk põhjustab registrivõtit AvailableUpdates töötleva toimingu kohe käivitumise. Tavaliselt käivitub tööülesanne iga 12 tunni tagant. Registrivõti peaks kiiresti muutuma 0x4100. Taaskäivitamine ja toimingu uuesti käivitamine põhjustab käivitushalduri värskendamise ja AvailableUpdates muutub 0x4000. Lisateavet AvailableUpdatesi käitumise kohta leiate teemast Tõrkeotsing.

Tulemite leidmiseks jälgige registrivõtmeid UEFICA2023Status ja UEFICA2023Error ja sündmuselogisid, nagu on kirjeldatud jaotises Secure Boot DB ja DBX muutuja värskendussündmused

Kasutajatoe lubamine ja sellest loobumine 

HighConfidenceOptOut ja MicrosoftUpdateManagedOptIn registrivõtmete abil saab hallata kahte juurutusabilist, mida kirjeldatakse Windowsi seadmetes IT-hallatavate värskendustega

  • Registrivõti HighConfidenceOptOut reguleerib seadmete automaatset värskendamist koondvärskenduste kaudu. Seadmete puhul, kus Microsoft on täheldanud teatud seadmete edukalt värskendamist, peetakse neid väga usaldusväärseteks seadmeteks ja turvalise algkäivituse serdi värskendused tehakse automaatselt. Vaikesäte on lubatud.

  • Registrivõti MicrosoftUpdateManagedOptIn võimaldab IT-osakondadel nõustuda Microsofti hallatava automaatse juurutamisega. See säte on vaikimisi keelatud ja selle väärtuseks on määratud 1 nõustumine. See säte nõuab ka seda, et seade saadaks valikulisi diagnostikaandmeid.

Windowsi toetatud versioonid

See tabel katkestab ka registrivõtmel põhineva toe. 

Võti 

Windowsi toetatud versioonid 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Kõik Windowsi versioonid, mis toetavad turvalist käivitamist (Windows Server 2012 ja uuemad Windowsi versioonid).  

Märkus: Kuigi usaldusandmeid kogutakse Windows 10, Windowsi versioonides LTSC, 22H2 ja uuemates versioonides, saab neid rakendada seadmetele, mis töötavad Windowsi varasemates versioonides.    

  • Windows 10, versioonid LTSC ja 22H2

  • Windows 11, versioonid 22H2 ja 23H2

  • Windows 11, versioon 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Secure Booti tõrkesündmused

​​​​​​​​​​​​​​Tõrkesündmustel on kriitiline aruandlusfunktsioon, mis annab teavet turvalise algkäivituse oleku ja edenemise kohta.  Tõrkesündmuste kohta leiate teavet teemast Secure Boot DB ja DBX muutuja värskendussündmused. Tõrkesündmusi värskendatakse turvalise algkäivituse täiendava sündmuseteabega. 

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus