Käytetään kohteeseen
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Alkuperäinen julkaisupäivä: 19. maaliskuuta 2026

KB-tunnus: 5085046

Tässä artikkelissa

Yleiskatsaus

Tämä sivu opastaa järjestelmänvalvojia ja tukihenkilöitä windows-laitteiden suojatun käynnistyksen ongelmien vianmäärityksessä ja ratkaisemisessa. Aiheita ovat suojatun käynnistyksen varmenteen päivitysvirheet, virheelliset suojatun käynnistyksen tilat, odottamattomat BitLocker-palautuskehotteet ja käynnistysvirheet suojatun käynnistyksen määritysmuutosten jälkeen.

Ohjeissa kerrotaan, miten voit tarkistaa Windowsin ylläpidon ja määrityksen, tarkistaa asiaankuuluvat rekisteriarvot ja tapahtumalokit sekä tunnistaa, milloin laiteohjelmiston tai ympäristön rajoitukset edellyttävät OEM-päivitystä. Tämä sisältö on tarkoitettu olemassa olevien laitteiden ongelmien vianmääritykseen. Sitä ei ole tarkoitettu uusien käyttöönottojen suunnitteluun. Tämä asiakirja päivitetään, kun uusia vianmääritysskenaarioja ja ohjeita tunnistetaan.

palaa alkuun

Suojatun käynnistyksen varmenteen ylläpito

Suojatun käynnistyksen varmenteen ylläpito Windowsissa on koordinoitu prosessi käyttöjärjestelmän ja laitteen UEFI-laiteohjelmiston välillä. Tavoitteena on päivittää kriittisen luottamuksen ankkurit säilyttäen samalla käynnistysmahdollisuus jokaisessa vaiheessa.

Prosessi perustuu Windowsin ajoitettuun tehtävään, rekisteripohjaiseen päivitystoimintojen sarjaan sekä sisäiseen kirjaamiseen ja uudelleenyritystoimintoihin. Yhdessä nämä osat varmistavat, että suojatun käynnistyksen varmenteet ja Windowsin käynnistyksen hallinta päivitetään hallitusti, järjestyksessä ja vasta edellytysten jälkeen.

palaa alkuun

Mistä aloittaa vianmäärityksen aikana

Kun laite ei näytä edistyvän suojatun käynnistyksen varmennepäivitysten käytössä, aloita tunnistamalla ongelman luokka. Useimmat ongelmat liittyvät johonkin neljästä alueesta: Windowsin ylläpitotilaan, suojatun käynnistyksen päivitysmekanismiin, laiteohjelmiston toimintaan tai alustaan tai alkuperäiseen laitevalmistajaan.

Aloita alla olevien tarkistusten avulla järjestyksessä. Monissa tapauksissa nämä vaiheet riittävät selittämään havaitun toiminnan ja määrittämään seuraavat toimet ilman syvempää tutkimusta.

  1. Windows-ylläpidon ja käyttöympäristön kelpoisuuden vahvistaminen

    1. ​​​​​​​Varmista, että laite täyttää suojatun käynnistyksen varmennepäivitysten vastaanottamisen perusvaatimukset:

    2. Laitteessa on tuettu Windows-versio.

    3. Uusimmat pakolliset Windows-suojauspäivitykset asennetaan.

    4. Suojattu käynnistys on käytössä UEFI-laiteohjelmistossa.

    5. Jos jokin näistä ehdoista ei täyty, korjaa ne ennen kuin jatkat vianmääritystä.

  2. Secure-Boot-Update-tehtävän tilan tarkistaminen

    1. Varmista, että suojatun käynnistyksen varmennepäivitysten käyttöönotosta vastaava Windows-mekanismi on käytössä ja että se toimii:

    2. Ajoitettu Secure-Boot-Update-tehtävä on olemassa.

    3. Tehtävä on käytössä ja toimii paikallisena järjestelmänä.

    4. Tehtävä on suoritettu ainakin kerran viimeisimmän Windows-suojauspäivityksen asentamisen jälkeen.

    5. Jos tehtävä on poistettu käytöstä, poistettu tai se ei ole käynnissä, suojatun käynnistyksen varmennepäivityksiä ei voi käyttää. Vianmäärityksessä on keskityttävä tehtävän palauttamiseen ennen muiden syiden tutkimista.

  3. Tarkista odotetun etenemisen rekisteriasetukset

    Tarkista laitteen suojatun käynnistyksen ylläpitotila rekisterissä:

    1. Tutki UEFICA2023Status, UEFICA2023Error ja UEFICA2023ErrorEvent.

    2. Tarkista Käytettävissä olevatPäivittäiset versiot ja vertaa sitä odotettuun etenemiseen (katso Viittaukset ja sisäiset versiot).

    Yhdessä nämä arvot ilmaisevat, eteneekö ylläpito normaalisti, yrittääkö toiminto uudelleen vai pysähtyykö se tiettyyn vaiheeseen.

  4. Rekisteritilan korreloiminen suojatun käynnistyksen tapahtumien kanssa

    Tarkista suojatun käynnistyksen tapahtumat järjestelmän tapahtumalokissa ja korreloi ne rekisteritilan kanssa. Tapahtumatiedot yleensä vahvistavat, edistyykö laite eteenpäin, yrittääkö se uudelleen ohimenevän tilan vuoksi vai estääkö laiteohjelmisto tai alustaongelma.

    Yhdessä rekisteri- ja tapahtumalokit ilmaisevat yleensä, onko toiminto odotettu, tilapäinen vai vaatiiko se korjaustoimia.

palaa alkuun

Ajoitettu secure-boot-update-tehtävä

Suojatun käynnistyksen varmenteen ylläpito suoritetaan Windowsin ajoittamassa tehtävässä nimeltä Secure-Boot-Update. Tehtävä on rekisteröity seuraavaan polkuun:

\Microsoft\Windows\PI\Secure-Boot-Update

Tehtävä suoritetaan paikallisena järjestelmänä. Oletusarvoisesti se suoritetaan järjestelmän käynnistyksen yhteydessä ja sen jälkeen 12 tunnin välein. Aina kun se suoritetaan, se tarkistaa, odottavatko suojatun käynnistyksen päivitystoiminnot, ja yrittää ottaa ne käyttöön järjestyksessä.

Jos tämä tehtävä on poistettu käytöstä tai puuttuu, suojatun käynnistyksen varmennepäivityksiä ei voi käyttää. Suojatun käynnistyksen ja päivityksen tehtävän on oltava käytössä, jotta suojatun käynnistyksen ylläpito toimii.

palaa alkuun

Ajoitetun tehtävän käyttö

Suojatun käynnistyksen varmennepäivitykset edellyttävät Windowsin ja UEFI-laiteohjelmiston välistä koordinointia, mukaan lukien suojatun käynnistyksen avaimia ja varmenteita tallentavien UEFI-muuttujien kirjoittaminen. Ajoitetun tehtävän avulla Windows voi yrittää näitä päivityksiä, kun järjestelmä on tilassa, jossa laiteohjelmistomuuttujia voi muokata.

Toistuva 12 tunnin aikataulu tarjoaa lisämahdollisuuksia yrittää päivityksiä uudelleen, jos aiempi yritys epäonnistui tai jos laite pysyi käynnissä käynnistämättä uudelleen. Tämä rakenne auttaa varmistamaan etenemisen ilman manuaalista puuttumista.

palaa alkuun

KäytettävissäUpdates-rekisterin bittikartta

Suojatun käynnistyksen ja päivityksen tehtävän taustalla on AvailableUpdates-rekisteriarvo . Tämä arvo on 32-bittinen bittikartan sijainti:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Jokainen arvon bitti edustaa tiettyä suojatun käynnistyksen päivitystoimintoa. Päivitysprosessi alkaa, kun Windows tai järjestelmänvalvoja on määrittänyt AvailableUpdates-arvoksi muun kuin nollan. Esimerkiksi arvo, kuten 0x5944 , ilmaisee, että useita päivitystoimintoja odottaa.

Kun Secure-Boot-Update-tehtävä suoritetaan, se tulkitsee määritetyt bittit odottaviksi työtöiksi ja käsittelee ne määritetyssä järjestyksessä.

palaa alkuun

Peräkkäiset päivitykset, kirjaaminen ja uudelleenkäsittely

Suojatun käynnistyksen varmennepäivityksiä käytetään kiinteässä järjestyksessä. Jokainen päivitystoiminto on suunniteltu turvalliseksi, jotta voit yrittää uudelleen ja suorittaa sen itsenäisesti. Secure-Boot-Update-tehtävä ei siirry seuraavaan vaiheeseen, ennen kuin nykyinen toiminto onnistuu, ja sitä vastaava bitti poistetaan AvailableUpdates-palvelusta.

Jokainen toiminto käyttää tavallisia UEFI-liitäntöjä päivittääkseen suojatun käynnistyksen muuttujia, kuten DB: n ja KEK: n, tai asentaakseen päivitetyn Windowsin käynnistyksen hallinnan. Windows tallentaa järjestelmän tapahtumalokin jokaisen vaiheen tulokset. Onnistumistapahtumat vahvistavat edistymisen edelleen, kun taas virhetapahtumat osoittavat, miksi toimintoa ei voitu suorittaa loppuun.

Jos päivitysvaihe epäonnistuu, tehtävä lopettaa käsittelyn, kirjaa virheen ja jättää siihen liittyvän bittijoukon. Toimintoa yritetään uudelleen, kun tehtävä suoritetaan seuraavan kerran. Tämän uudelleenkäsittelyn avulla laitteet voivat palautua automaattisesti väliaikaisista olosuhteista, kuten puuttuvasta laiteohjelmistotuesta tai viivästyneistä OEM-päivityksistä.

Järjestelmänvalvojat voivat seurata edistymistä korreloimalla rekisteritilan tapahtumalokimerkintöjen kanssa. Rekisteriarvot, kuten UEFICA2023Status, UEFICA2023Error ja UEFICA2023ErrorEvent, yhdessä AvailableUpdates-bittikartan kanssa osoittavat, mikä vaihe on aktiivinen, valmis tai estetty.

Tämä yhdistelmä näyttää, eteneekö laite normaalisti, yrittääkö toiminto uudelleen vai pysähtyykö se.

palaa alkuun

Integrointi OEM-laiteohjelmiston kanssa

Suojatun käynnistyksen varmennepäivitykset määräytyvät laitteen UEFI-laiteohjelmiston oikean toiminnan ja tuen mukaan. Windowsin järjestäessä päivitysprosessin laiteohjelmisto vastaa suojatun käynnistyksen käytännön täytäntöönpanosta ja suojatun käynnistyksen tietokantojen ylläpidosta.

Alkuperäiset laitevalmistajat tarjoavat kaksi tärkeää elementtiä, jotka mahdollistavat suojatun käynnistyksen varmenteen ylläpidon:

  • Platform Key –signeerattu Key Exchange Keys (KEK), joka valtuuttaa uusien suojatun käynnistyksen varmenteiden asennuksen.

  • Laiteohjelmistototeutukset, jotka säilyttävät, liittivät ja vahvistavat suojatun käynnistyksen tietokannat oikein päivitysten aikana.

Jos laiteohjelmisto ei täysin tue näitä toimintoja, suojatun käynnistyksen päivitykset voivat pysähtyä, yrittää uudelleen määräämättömäksi ajaksi tai aiheuttaa käynnistysvirheitä. Näissä tapauksissa Windows ei voi suorittaa päivitystä loppuun ilman laiteohjelmistoon tehtyjä muutoksia.

Microsoft pyrkii yhdessä alkuperäisten laitevalmistajien kanssa tunnistamaan laiteohjelmisto-ongelmat ja tekemään korjatut päivitykset saataville. Kun vianmääritys osoittaa laiteohjelmistorajoituksen tai virheen, järjestelmänvalvojat saattavat joutua asentamaan uusimman laitteen valmistajan toimittaman UEFI-laiteohjelmistopäivityksen, ennen kuin suojatun käynnistyksen varmennepäivitykset voidaan suorittaa onnistuneesti.

palaa alkuun

Yleiset virheskenaariot ja ratkaisut

Suojatun käynnistyksen päivitykset otetaan käyttöön Suojatun käynnistyksen ja päivityksen ajoittetun tehtävän mukaan KäytettävissäPäivet-rekisterin tilan mukaan.

Normaalioloissa nämä vaiheet tapahtuvat automaattisesti ja tallentavat onnistumistapahtumat jokaisen vaiheen valmistuessa. Joissakin tapauksissa laiteohjelmiston toiminta, ympäristön määritys tai ylläpidon edellytykset voivat estää etenemisen tai johtaa odottamattomaan käynnistystoimintoon.

Alla olevissa osissa kuvataan yleisimmät virheskenaariot, miten ne tunnistetaan, miksi ne tapahtuvat, ja sopivat seuraavat vaiheet normaalin toiminnan palauttamiseksi. Skenaariot järjestetään yleisimmin kohdatusta vakavampaan käynnistykseen vaikuttavaan tapaukseen.

Kun suojatun käynnistyksen päivitykset eivät näytä edistymistä, se tarkoittaa yleensä sitä, että päivitysprosessi ei koskaan alkanut. Tämän seurauksena odotetut suojatun käynnistyksen rekisteriarvot ja tapahtumalokit puuttuvat, koska päivitysmekanismia ei koskaan käynnistetty.

Mitä tapahtui

Suojatun käynnistyksen päivitysprosessi ei käynnistynyt, joten laitteessa ei käytetty suojatun käynnistyksen varmenteita tai päivitettyä käynnistyksen hallintaa.

Sen tunnistaminen

  • Suojatun käynnistyksen ylläpidon rekisteriarvoja ei ole, kuten UEFICA2023Status.

  • Odotetut suojatun käynnistyksen tapahtumat (esimerkiksi 1043, 1044, 1045, 1799, 1801) puuttuvat Järjestelmän tapahtumalokista.

  • Laite jatkaa vanhempien suojatun käynnistyksen varmenteiden ja käynnistyskomponenttien käyttöä.

Miksi se tapahtuu

Tämä skenaario ilmenee yleensä, kun vähintään yksi seuraavista ehdoista täyttyy:

  • Ajoitettu Secure-Boot-Update-tehtävä on poistettu käytöstä tai puuttuu.

  • Suojattu käynnistys on poistettu käytöstä UEFI-laiteohjelmistossa.

  • Laite ei täytä Windowsin ylläpidon edellytyksiä, kuten tuetun Windows-version suorittamista tai tarvittavien päivitysten asentamista.

Mitä tehdä seuraavaksi?

  • Varmista, että laite täyttää Windowsin ylläpidon ja käyttöympäristön kelpoisuusvaatimukset.

  • Varmista, että suojattu käynnistys on käytössä laiteohjelmistossa.

  • Varmista, että Ajoitettu SecureBootUpdate-tehtävä on olemassa ja että se on käytössä.

Jos ajoitettu tehtävä on poistettu käytöstä tai se puuttuu, palauta se noudattamalla suojatun käynnistyksen ajoitetun tehtävän ohjeita, jotka on poistettu käytöstä tai poistettu . Kun tehtävä on palautettu, käynnistä laite uudelleen tai käynnistä suojatun käynnistyksen ylläpito suorittamalla tehtävä manuaalisesti.

Joissakin tapauksissa suojattuun käynnistykseen liittyvät päivitykset voivat aiheuttaa sen, että laite siirtyy BitLocker-palautukseen. Toiminta voi olla ohimenevää tai pysyvää taustalla olevan syyn mukaan.

Skenaario 1: Kertaluonteinen BitLocker-palautus suojatun käynnistyksen päivityksen jälkeen

Mitä tapahtuu

Laite syöttää BitLocker-palautuksen ensimmäisen käynnistyksen yhteydessä suojatun käynnistyksen päivityksen jälkeen, mutta käynnistyy normaalisti myöhemmissä uudelleenkäynnistyksissä.

Miksi se tapahtuu

Päivityksen jälkeisen ensimmäisen käynnistyksen aikana laiteohjelmisto ei vielä ilmoita päivitetyistä suojatun käynnistyksen arvoista, kun Windows yrittää siirtää BitLockerin uudelleen. Tämä aiheuttaa tilapäisen ristiriidan mitatuissa käynnistysarvoissa ja käynnistää palautuksen. Seuraavassa käynnistyksessä laiteohjelmisto raportoi päivitetyt arvot oikein, BitLocker asentaa uudelleen onnistuneesti, eikä ongelma toistu.

Sen tunnistaminen

  • BitLocker-palautus tapahtuu kerran.

  • Kun olet antanut palautusavaimen, myöhemmät käynnistystoiminnot eivät kehota palautumaan.

  • Käynnissä olevaa käynnistystilausta tai PXE-osallistumista ei ole.

Mitä tehdä seuraavaksi?

  • Jatka Windowsia antamalla BitLocker-palautusavain.

  • Tarkista laiteohjelmistopäivitykset.

Skenaario 2: Toistuva BitLocker-palautus PXE:n ensimmäisen käynnistysmäärityksen vuoksi

Mitä tapahtuu

Laite syöttää BitLocker-palautuksen jokaiseen käynnistykseen.

Miksi se tapahtuu

Laite on määritetty yrittämään ensin PXE(verkko) -käynnistystä. PXE-käynnistysyritys epäonnistuu, ja laiteohjelmisto siirtyy sitten takaisin levylle asennettuun Windows-käynnistyksen hallintaan.

Tämä johtaa siihen, että kaksi eri allekirjoitusviranomaista mitataan yhden käynnistysjakson aikana:

  • PXE-käynnistyspolun on allekirjoittanut Microsoft UEFI CA 2011.

  • Windowsin käynnistyksen hallinta on windows UEFI CA 2023:n allekirjoittama.

Koska BitLocker tarkkailee käynnistyksen aikana erilaisia suojatun käynnistyksen luottamusketjuja, se ei voi muodostaa vakaata TPM-mittayksikköjoukkoa, jota vastaan se voidaan asettaa uudelleen. Tämän seurauksena BitLocker syöttää palautuksen jokaiseen käynnistykseen.

Sen tunnistaminen

  • BitLocker-palautus käynnistyy jokaisen uudelleenkäynnistyksen yhteydessä.

  • Kun kirjoitat palautusavaimen, Windows käynnistyy, mutta kehote palautuu seuraavassa käynnistyksessä.

  • PXE tai verkkokäynnistys määritetään ennen paikallista levyä laiteohjelmiston käynnistysjärjestyksessä.

Mitä tehdä seuraavaksi?

  • Määritä laiteohjelmiston käynnistysjärjestys, jotta levyllä oleva Windowsin käynnistyksen hallinta on ensimmäinen.

  • Poista PXE-käynnistys käytöstä, jos sitä ei tarvita.

  • Jos PXE on pakollinen, varmista, että PXE-infrastruktuuri käyttää 2023-allekirjoitettua Windows-käynnistyslataajaa.

Mitä tapahtui

Tämä johtuu laiteohjelmistotason muutoksesta Windows-ongelman sijaan. Suojatun käynnistyksen päivitys onnistui, mutta myöhemmin uudelleenkäynnistyksen jälkeen laite ei enää käynnisty Windowsiin.

Sen tunnistaminen

  • Laite ei käynnistä Windowsia, ja se saattaa näyttää laiteohjelmiston tai BIOS-viestin, joka ilmaisee suojatun käynnistyksen rikkomuksen.

  • Virhe ilmenee , kun suojatun käynnistyksen asetukset on palautettu laiteohjelmiston oletusasetuksiin.

  • Suojatun käynnistyksen poistaminen käytöstä saattaa sallia laitteen käynnistymisen uudelleen.

Miksi se tapahtuu

Suojatun käynnistyksen palauttaminen laiteohjelmiston oletusasetuksissa poistaa laiteohjelmistoon tallennetut suojatun käynnistyksen tietokannat. Laitteissa, jotka ovat jo siirtyneet Windows UEFI CA 2023-allekirjoitettuun käynnistyksen hallintaan, tämä palautus poistaa varmenteet, joita tarvitaan kyseisen käynnistyksen hallinnan luottamiseen.

Tämän seurauksena laiteohjelmisto ei enää tunnista asennettua Windowsin käynnistyksen hallintaa luotetuksi ja estää käynnistysprosessin.

Tämä skenaario ei johdu suojatun käynnistyksen päivityksestä vaan myöhemmästä laiteohjelmistotoiminnosta, joka poistaa päivitetyt luottamusankkurit.

Mitä tehdä seuraavaksi?

  • Suojatun käynnistyksen palautusapuohjelman avulla voit palauttaa tarvittavan varmenteen, jotta laite voi käynnistyä uudelleen.

  • Varmista palautuksen jälkeen, että laitteessa on laitteen valmistajalta asennettuna uusin saatavilla oleva laiteohjelmisto.

  • Vältä suojatun käynnistyksen palauttamista laiteohjelmiston oletusarvoihin, ellei OEM-laiteohjelmisto sisällä päivitettyjä suojatun käynnistyksen oletusasetuksia, jotka luottavat 2023-varmenteisiin.

Suojatun käynnistyksen palautusapuohjelma

Järjestelmän palauttaminen:

  1. Kopioi SecureBootRecovery.efi toisesta Windows-tietokoneesta, johon on asennettu heinäkuun 2024 tai uudempi Windows-päivitys, C:\Windows\Boot\EFI\.

  2. Aseta tiedosto FAT32-muotoiseen USB-asemaan kohdassa \EFI\BOOT\ ja nimeä se uudelleen nimellä bootx64.efi.

  3. Käynnistä kyseinen laite USB-asemasta ja salli palautusapuohjelman suorittaminen. Apuohjelma lisää Windows UEFI CA 2023:n DB:hen.

Kun varmenne on palautettu ja järjestelmä käynnistyy uudelleen, Windowsin pitäisi käynnistyä normaalisti.

Tärkeää: Tämä prosessi ottaa uudelleen vain yhden uusista varmenteista. Kun laite on palautettu, varmista, että se on ottanut uusimmat varmenteet uudelleen käyttöön, ja harkitse järjestelmän BIOS/UEFI-version päivittämistä uusimpaan saatavilla olevaan versioon. Tämä voi auttaa estämään suojatun käynnistyksen palautusongelman toistumisen, koska monet alkuperäiset laitevalmistajat ovat julkaisseet laiteohjelmistokorjauksia tähän ongelmaan.

Mitä tapahtui

Suojatun käynnistyksen varmennepäivityksen käyttöönoton ja uudelleenkäynnistyksen jälkeen laite ei käynnisty eikä saavuta Windowsia.

Sen tunnistaminen

  • Laite epäonnistuu heti suojatun käynnistyksen päivityksen edellyttämän uudelleenkäynnistyksen jälkeen.

  • Näyttöön saattaa tulla laiteohjelmisto- tai suojatun käynnistyksen virhe, tai järjestelmä voi pysähtyä ennen Windowsin latautumista.

  • Suojatun käynnistyksen poistaminen käytöstä saattaa sallia laitteen käynnistymisen.

Miksi se tapahtuu

Tämä ongelma voi johtua laitteen UEFI-laiteohjelmiston käyttöönoton viasta.

Kun Windows käyttää suojatun käynnistyksen varmennepäivityksiä, laiteohjelmiston odotetaan liittävän uusia varmenteita olemassa olevaan suojattuun sallittuun allekirjoitustietokantaan (DB). Jotkin laiteohjelmistot korvaavat DB:n virheellisesti liittämisen sijaan.

Kun näin tapahtuu,

  • Aiemmin luotetut varmenteet, mukaan lukien Microsoft 2011:n käynnistyslataimen varmenne, poistetaan.

  • Jos järjestelmä käyttää edelleen 2011-varmenteella allekirjoitettua käynnistyksen hallintaa, laiteohjelmisto ei enää luota siihen.

  • Laiteohjelmisto hylkää käynnistyksen hallinnan ja estää käynnistysprosessin.

Joissakin tapauksissa DB voi myös vioittua eikä korvata sitä puhtaasti, mikä johtaa samaan lopputulokseen. Tämä toiminta on havaittu tietyissä laiteohjelmistototeutuksia varten, eikä sitä odoteta yhteensopivassa laiteohjelmistossa.

Mitä tehdä seuraavaksi?

  • Kirjoita laiteohjelmiston asennusvalikot ja yritä palauttaa suojatun käynnistyksen asetukset.

  • Jos laite käynnistyy oletusasetusten palauttamisen jälkeen, tarkista laitevalmistajan tukisivustosta laiteohjelmistopäivitys, joka korjaa suojatun käynnistyksen DB-käsittelyn.

  • Jos laiteohjelmistopäivitys on saatavilla, asenna se, ennen kuin otat suojatun käynnistyksen uudelleen käyttöön ja otat suojatun käynnistyksen varmennepäivitykset uudelleen käyttöön.

Jos suojatun käynnistyksen palauttaminen ei palauta käynnistystoimintoa, lisäpalautus edellyttää todennäköisesti OEM-ohjeita.

Mitä tapahtui

Suojatun käynnistyksen varmennepäivitystä ei ole suoritettu loppuun, ja se pysyy estettynä Key Exchange Key (KEK) -päivitysvaiheessa.

Sen tunnistaminen

  • AvailableUpdates-rekisteriarvo pysyy määritettynä KEK-bittisen (0x0004) kanssa, eikä sitä poisteta.

  • UEFICA2023Status ei etene valmiiseen tilaan.

  • Järjestelmän tapahtumaloki tallentaa toistuvasti tapahtumatunnuksen 1803, mikä ilmaisee, että KEK-päivitystä ei voitu käyttää.

  • Laite jatkaa päivityksen uudelleenyhteensyistä edistymättä.

Miksi se tapahtuu

Suojatun käynnistyksen KEK:n päivittäminen edellyttää lupaa laitevalmistajan omistamalta pk-laitteelta.

Jotta päivitys onnistuu, laitteen valmistajan on toimitettava Microsoftille PK-allekirjoitettu KEK kyseiselle alustalle. Tämä alkuperäisen laitevalmistajan allekirjoittama KEK sisältyy Windows-päivityksiin, ja sen avulla Windows voi päivittää laiteohjelmiston KEK-muuttujan.

Jos alkuperäinen laitevalmistaja ei ole toimittanut laitteelle PK-allekirjoitettua KEK:tä, Windows ei voi viimeistellä KEK-päivitystä. Tässä tilassa:

  • Suojatun käynnistyksen päivitykset estetään rakenteen mukaan.

  • Windows ei voi kiertää puuttuvaa valtuutusta.

  • Laite ei voi enää suorittaa suojatun käynnistyksen varmenteen ylläpitoa.

Tämä voi tapahtua vanhemmissa tai tuen ulkopuolisessa laitteessa, jossa alkuperäinen laitevalmistaja ei enää toimita laiteohjelmisto- tai avainpäivityksiä. Tälle ehdolle ei ole tuettua manuaalista palautuspolkua.

palaa alkuun

Kun suojatun käynnistyksen varmennepäivityksiä ei voi käyttää, Windows tallentaa diagnostiikkatapahtumia, jotka selittävät, miksi edistyminen estettiin. Nämä tapahtumat kirjoitetaan, kun suojatun käynnistyksen allekirjoitustietokantaa (DB) tai Key Exchange Key (KEK) -näppäintä ei voi suorittaa turvallisesti laiteohjelmiston, käyttöympäristön tilan tai määritysehtojen vuoksi. Tämän osan skenaariot viittaavat näihin tapahtumiin yleisten virhemallien tunnistamiseksi ja asianmukaisen korjauksen määrittämiseksi. Tämän osion tarkoituksena on tukea aiemmin kuvattujen ongelmien vianmääritystä ja tulkintaa, ei ottaa käyttöön uusia virheskenaarioja.

Täydellinen luettelo tapahtumatunnuksista, kuvauksista ja esimerkkimerkinnöistä on artikkelissa Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat (KB5016061).

KEK-päivitysvirhe (DB-päivitykset onnistuvat, KEK ei onnistu)

Laite voi päivittää varmenteet suojatun käynnistyksen DB:ssä, mutta epäonnistua KEK-päivityksen aikana. Kun näin tapahtuu, suojatun käynnistyksen päivitysprosessia ei voi suorittaa loppuun.

Oireet

  • DB-varmennetapahtumat osoittavat edistymistä, mutta KEK-vaihetta ei ole suoritettu loppuun.

  • AvailableUpdates-asetuksena on edelleen 0x4004 eikä 0x0004-bittiä poisteta useiden tehtävien suorittaminen jälkeen.

  • Tapahtuma 1795 tai 1803 saattaa olla läsnä.

Tulkinta

  • 1795 tarkoittaa yleensä laiteohjelmistovirhettä, kun yritetään päivittää suojatun käynnistyksen muuttujaa.

  • 1803 tarkoittaa, että KEK-päivitystä ei voi valtuuttaa, koska tarvittava OEM PK-signeerattu KEK-hyötykuorma ei ole käytettävissä käyttöympäristössä.

Seuraavat vaiheet

  • Jos käytössäsi on 1795, tarkista OEM-laiteohjelmistopäivitykset ja tarkista laiteohjelmiston tuki suojatun käynnistyksen muuttujapäivityksille.

  • Varmista 1803:lle, onko alkuperäinen laitevalmistaja toimittanut Microsoftille laitemalliin vaaditun PK-allekirjoitetun KEK:n.

KEK-päivitysvirhe Vieras-virtuaalikoneissa, jotka isännöidän Hyper-V:ssä 

Hyper-V-virtuaalikoneissa suojatun käynnistyksen varmennepäivitykset edellyttävät, että maaliskuun 2026 Windows-päivitykset asennetaan sekä Hyper-V-isäntään että vieraskäyttöjärjestelmään.

Päivitysvirheet raportoidaan vieraan sisältä, mutta tapahtuma osoittaa, missä korjaus vaaditaan:

  • Vieraan tapahtuma 1795 (esimerkiksi "Media on kirjoitussuojattu" ) osoittaa, että Hyper-V-isännästä puuttuu maaliskuun 2026 päivitys, ja se on päivitettävä.

  • Vieraskäytössä ilmoitettu tapahtuma 1803 ilmaisee, että vierasvirekoneesta puuttuu maaliskuun 2026 päivitys, ja se on päivitettävä.

palaa alkuun 

Viittaukset ja sisäiset tiedot

Tässä osassa on vianmääritykseen ja tukeen tarkoitettuja lisäohjeita. Sitä ei ole tarkoitettu käyttöönoton suunnitteluun. Se laajentaa aiemmassa tiivistetyssä suojatun käynnistyksen ylläpidon mekaniikassa ja tarjoaa yksityiskohtaista viitemateriaalia rekisteritilan ja tapahtumalokien tulkitsemiseen.

Huomautus (IT-hallitut käyttöönotot): Kun asetukset määritetään ryhmäkäytäntö tai Microsoft Intune kautta, kahta samanlaista asetusta ei pidä sekoittaa. AvailableUpdatesPolicy-arvo edustaa määritettyä käytäntötilaa. Samaan aikaan AvailableUpdates vastaa meneillään olevaa, bittien tyhjennystyötilaa. Molemmat voivat vaikuttaa samaan lopputulokseen, mutta toimivat eri tavalla, koska käytäntöä sovelletaan uudelleen ajan mittaan.

palaa alkuun 

KäytettävissäVarmenteiden ylläpidossa käytetyt bitit

Alla olevia bittiä käytetään tässä asiakirjassa kuvattuihin varmenteen ja käynnistyksen hallinnan toimintoihin. Järjestys-sarake vastaa järjestystä, jossa Secure-Boot-Update-tehtävä käsittelee kunkin bitin.

Tilaus

Bittiasetus

Käyttö

1

0x0040

Tämä bitti kehottaa ajoitettua tehtävää lisäämään Windows UEFI CA 2023 -varmenteen suojatun käynnistyksen DB:hen. Näin Windows voi luottaa tämän varmenteen allekirjoittamiin käynnistysvalvojiin.

2

0x0800

Tämä bitti kehottaa ajoitettua tehtävää käyttämään Microsoft Option ROM UEFI CA 2023 :a DB:ssä.  

Ehdollinen toiminta: Kun 0x4000-merkintä on määritetty, ajoitettu tehtävä tarkistaa ensin Microsoft Corporation UEFI CA 2011 -varmenteen tietokannan. Se käyttää Microsoft Option ROM UEFI CA 2023 - varmennetta vain, jos 2011-varmenne on olemassa.

3

0x1000

Tämä bitti kehottaa ajoitettua tehtävää käyttämään Microsoft UEFI CA 2023:a DB:ssä.

Ehdollinen toiminta: Kun 0x4000-merkintä on määritetty, ajoitettu tehtävä tarkistaa ensin Microsoft Corporation UEFI CA 2011 -varmenteen tietokannan. Se käyttää Microsoft UEFI CA 2023 -varmennetta vain, jos 2011-varmenne on olemassa.

Määritin (toimintamerkintä)

0x4000

Tämä bitti muuttaa 0x0800 ja 0x1000 bittien toimintaa niin, että Microsoft UEFI CA 2023 ja Microsoft Option ROM UEFI CA 2023 otetaan käyttöön vain, jos DB sisältää jo Microsoft Corporation UEFI CA 2011:n  Jotta laitteen suojausprofiili pysyy samana, tämä bitti käyttää näitä uusia varmenteita vain, jos laite luottaa Microsoft Corporation UEFI CA 2011 -varmenteeseen. Kaikki Windows-laitteet eivät luota tähän varmenteeseen.

4

0x0004

Tämä bitti kehottaa ajoitettua tehtävää etsimään avainta Exchange-avaimesta, jonka on allekirjoittanut laitteen ympäristöavain (PK). PK:tä hallitsee alkuperäinen laitevalmistaja. Alkuperäiset laitevalmistajat allekirjoittavat Microsoft KEK:n PK-tunnisteellaan ja toimittavat sen Microsoftille, jossa se sisältyy kuukausittaisiin kumulatiiviseen päivitykseen.

5

0x0100

Tämä bitti kehottaa ajoitettua tehtävää käyttämään käynnistysosiossa käynnistyksen hallintaa, jonka Windows UEFI CA 2023 on allekirjoittanut. Tämä korvaa Microsoft Windows Production PCA 2011:n allekirjoitetun käynnistyksen hallinnan.

Huomautuksia:

  • 0x4000-bitti pysyy määritettynä, kun kaikki muut bitit on käsitelty.

  • Jokainen bitti käsitellään suojatun käynnistyksen ja päivityksen ajoitetussa tehtävässä yllä esitetyssä järjestyksessä.

  • Jos 0x0004-bittiä ei voi käsitellä puuttuvan PK-allekirjoitetun KEK:n vuoksi, ajoitettu tehtävä ottaa edelleen käyttöön bit 0x0100 ilmoittaman käynnistyksen hallintapäivityksen.

palaa alkuun 

Odotettu edistyminen (KäytettävissäPäiviksi)

Kun toiminto on suoritettu onnistuneesti, Windows poistaa siihen liittyvän bitin AvailableUpdates-versiosta. Jos toiminto epäonnistuu, Windows kirjaa tapahtuman ja itkee uudelleen, kun tehtävä suoritetaan uudelleen.

Alla olevassa taulukossa näkyy Käytettävissä OlevatPäivitykset-arvojen odotettu eteneminen jokaisen suojatun käynnistyksen päivitystoiminnon valmistuessa.

Vaihe

Bitti käsitelty

Käytettävissä olevat Päivitykset

Kuvaus

Success Event Logged

Mahdolliset virhetapahtumakoodit

Aloitus

0x5944

Ensimmäinen tila ennen suojatun käynnistyksen varmenteen ylläpidon aloittamista.

-

-

1

0x0040

0x5944 → 0x5904

Windows UEFI CA 2023 lisätään suojatun käynnistyksen DB:hen.

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

Lisää Microsoft Option ROM UEFI CA 2023 DB:hen, jos laite luotti aiemmin Microsoft UEFI CA 2011:een.

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

Microsoft UEFI CA 2023 lisätään DB:hen, jos laite luotti aiemmin Microsoft UEFI CA 2011:een.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

Uusi Microsoft KEK 2K CA 2023, jonka OEM-ympäristöavain on allekirjoittanut, otetaan käyttöön.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

Windows UEFI CA 2023:n allekirjoittama käynnistyksen hallinta on asennettu.

1799

1797

Huomautukset

  • Kun bittiin liittyvä toiminto on suoritettu onnistuneesti, kyseinen bitti tyhjennetään AvailableUpdates-versiosta.

  • Jos jokin näistä toiminnoista epäonnistuu, tapahtuma kirjataan lokiin ja toimintoa yritetään uudelleen, kun ajoitettu tehtävä suoritetaan seuraavan kerran.

  • 0x4000-bitti on muunnin, eikä sitä poisteta. Lopullinen AvailableUpdates-arvo 0x4000 osoittaa kaikkien sovellettavien päivitystoimintojen onnistuneen suorittamisen.

  • Tapahtumat 1032, 1795, 1796, 1802 ilmaisevat yleensä laiteohjelmiston tai käyttöympäristön rajoitukset.

  • Tapahtuma 1803 ilmaisee puuttuvan alkuperäisen laitevalmistajan PK-allekirjoitetun KEK:n.

palaa alkuun 

Korjausmenettelyt

Tässä osassa on vaiheittaiset ohjeet tiettyjen suojatun käynnistyksen ongelmien korjaamiseen. Jokainen menettely on kohdistettu tarkasti määriteltyyn tilaan, ja sitä on tarkoitus noudattaa vasta sen jälkeen, kun ensimmäinen diagnoosi vahvistaa, että ongelma on voimassa. Näiden ohjeiden avulla voit palauttaa suojatun käynnistyksen odotetun toiminnan ja sallia varmennepäivitysten turvallisen etenemisen. Älä käytä näitä toimenpiteitä laajasti tai ennaltaehkäisevästi.

palaa alkuun

Suojatun käynnistyksen ottaminen käyttöön laiteohjelmistossa

Jos suojattu käynnistys on poistettu käytöstä laitteen laiteohjelmistossa, katso lisätietoja suojatun käynnistyksen käyttöönotosta kohdasta Windows 11 ja suojattu käynnistys.

palaa alkuun

Suojatun käynnistyksen ajoitettu tehtävä poistettu käytöstä tai poistettu

Suojatun käynnistyksen ja päivityksen ajoitettu tehtävä tarvitaan, jotta Windows voi ottaa käyttöön suojatun käynnistyksen varmennepäivitykset. Jos tehtävä on poistettu käytöstä tai se puuttuu, suojatun käynnistyksen varmenteen ylläpito ei etene.

Tehtävän tiedot

Tehtävän nimi

Secure-Boot-Update

Tehtävän polku

\Microsoft\Windows\PI\

Koko polku

\Microsoft\Windows\PI\Secure-Boot-Update

Suoritetaan muodossa

JÄRJESTELMÄ (paikallinen järjestelmä)

Käynnistimet

Käynnistyksen yhteydessä ja 12 tunnin välein

Pakollinen tila

Käytössä

Tehtävän tilan tarkistaminen

Suorita järjestelmänvalvojan suorittama PowerShell-kehote: schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Etsi Tila-kenttä:

Tila

Merkitys

Valmis

Tehtävä on olemassa, ja se on käytössä.

Poissa käytöstä

Tehtävä on olemassa, mutta se on otettava käyttöön.

Virhe / ei löydy

Tehtävä puuttuu, ja se on luotava uudelleen.

Tehtävän ottaminen käyttöön tai luominen uudelleen

Jos suojatun käynnistyspäivityksen tilakenttä on poissa käytöstä, virhe tai ei löydy, ota tehtävä käyttöön esimerkkikomentosarjan avulla: esimerkki Enable-SecureBootUpdateTask.ps1

Huomautus: Tämä on esimerkkikomentosarja, jota Microsoft ei tue. Järjestelmänvalvojien on tarkistettava ja mukautettava se ympäristöönsä.

Esimerkki:

.\Enable-SecureBootUpdateTask.ps1 -Quiet

Suorita ohjeet

  • Jos näet Käyttö estetty -ilmoituksen, suorita PowerShell uudelleen järjestelmänvalvojana.

  • Jos komentosarja ei toimi suorituskäytännön vuoksi, käytä prosessin laajuuden ohittamista:

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass

palaa alkuun 

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus