Huomautus
- Alkuperäinen julkaisupäivä: 14. lokakuuta 2025
- KB-tunnus: 5068202
Tässä artikkelissa on seuraavat ohjeet:
- Organisaatiot, joilla on IT-hallinnoimat Windows-laitteet ja päivitykset.
Huomautus
Tämän tuen saatavuus:
Rekisteriavaimet sisältyvät päivityksiin, jotka on julkaistu seuraavana päivänä tai sen jälkeen:
11. marraskuuta 2025: Windows-versioille, joita tuetaan edelleen.
Muutosloki
| Muuta päivämäärää | Muutoksen kuvaus |
|---|---|
| Maaliskuussa 20, 2026 |
|
| Helmikuu 20, 2026 |
|
| keskiviikko 4. marraskuuta 2025 |
|
| 11. marraskuuta 2025 |
|
| Marraskuussa 16, 2025 | Päivitetty Laitteen testaus rekisteriavainten avulla -kohdan sisältö. Saatavilla oleva päivitys -arvo muutettiin 0x0100-arvosta0x4000-arvoon. |
Tämän artikkelin sisältö
Johdanto
Tässä asiakirjassa kuvataan suojatun käynnistyksen varmennepäivitysten käyttöönoton, hallinnan ja valvonnan tuki Windowsin rekisteriavainten avulla. Avaimet koostuvat seuraavista:
- Yksi avain käynnistää varmenteiden ja käynnistyksen hallinnan käyttöönoton laitteessa.
- Kaksi avainta käyttöönoton tilan valvontaan.
- Kaksi avainta kahden käytettävissä olevan käyttöönottoavustajan suostumus-/kieltäytymisasetusten hallintaan.
Nämä rekisteriavaimet voidaan asettaa manuaalisesti laitteessa tai etänä käytettävissä olevan kalustonhallintaohjelmiston avulla. Muut käyttöönottomenetelmät, kuten ryhmäkäytäntö, Microsoft Intune ja WinCS, on kuvattu artikkelissa Windows-laitteet yrityksille ja organisaatioille, joissa on IT-hallinnoituja päivityksiä.
Suojatun käynnistyksen rekisteriavaimet
Sisältö
- Rekisteriavaimet
- Miten nämä näppäimet toimivat yhdessä
- Käyttöönotto rekisteriavainten avulla
- Laitteen testaus rekisteriavainten avulla
- Avustajien käyttöön ottaminen ja käytöstä poistaminen
- Tuetut Windows-versiot
Rekisteriavaimet
Kaikki alla kuvatut suojatun käynnistyksen rekisteriavaimet sijaitsevat tässä rekisteripolussa:
Huomautus
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Seuraavassa taulukossa kuvataan kukin rekisteriarvo:
| Rekisteriarvo | Tyyppi | Kuvaus ja käyttö |
|---|---|---|
| Saatavilla olevat päivitykset | REG_DWORD (bittipeite) | Päivitä käynnistimen merkinnät. Määrittää, mitkä suojatun käynnistyksen päivitystoiminnot suoritetaan laitteessa. Sopivan bittikentän määrittäminen tässä käynnistää uusien suojatun käynnistyksen varmenteiden ja niihin liittyvien päivitysten käyttöönoton. Yrityskäyttöönottoa varten tämän asetuksen tulee olla 0x5944 (heksa) – arvo, joka mahdollistaa kaikki tarvittavat päivitykset (uusien 2023 CA-varmenteiden lisäämisen, KEK:n päivittämisen ja uuden käynnistyksen hallinnan asentamisen). Asetukset:
|
| HighConfidenceOptOut | REG_DWORD | Mahdollisuus kieltäytyä siitä. Yrityksille, jotka haluavat jättäytyä suuren luottamuksen säilöjen ulkopuolelle, niitä käytetään automaattisesti osana LCU:ta. Voit jättää suuren luottamuksen säilöt ulkopuolelle asettamalla tämän avaimen arvoksi muun kuin nollan. Asetukset
|
| MicrosoftUpdateManagedOptIn | REG_DWORD | Mahdollisuus osallistua. Yrityksille, jotka haluavat ottaa käyttöön Controlled Feature Rollout (CFR) -ylläpidon, tunnetaan myös nimellä Microsoft Managed. Tämän avaimen asettamisen lisäksi salli pakollisten diagnostiikkatietojen lähettäminen (katso Windowsin diagnostiikkatietojen määrittäminen organisaatiossasi). Asetukset
|
| Käytettävissä olevat päivitykset Käytäntö | REG_DWORD (bittipeite) |
Älä päivitä tätä avainta rekisterin kautta. Ryhmäkäytäntö ja Intune käyttävät tätä avainta viestiäkseen suojattuun käynnistykseen liittyvistä toiminnoista Windowsille. Se edustaa Intune- tai ryhmäkäytännön määrittämää käytäntöä. |
Kaikki alla kuvatut suojatun käynnistyksen rekisteriavaimet sijaitsevat tässä rekisteripolussa:
Huomautus
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Seuraavassa taulukossa kuvataan kukin rekisteriarvo:
| Rekisteriarvo | Tyyppi | Kuvaus ja käyttö |
|---|---|---|
| UEFICA2023Tila | REG_SZ (merkkijono) | Käyttöönoton tilan ilmaisin. Kuvaa suojatun käynnistysavaimen päivityksen nykyistä tilaa laitteessa. Se määritetään joksikin seuraavista tekstiarvoista:
|
| UEFICA2023-virhe | REG_DWORD (koodi) | Virhekoodi (jos sellainen on). Tämä arvo on edelleen 0 onnistuessaan. Jos päivitysprosessissa ilmenee virhe, UEFICA2023Error-virheeksi on määritetty nollasta poikkeava virhekoodi, joka vastaa ensimmäistä havaittua virhettä. Tässä oleva virhe viittaa siihen, että suojatun käynnistyksen päivitys ei onnistunut täysin ja saattaa vaatia selvitystä tai korjausta kyseisessä laitteessa. Jos esimerkiksi tietokannan (database of trusted signatures) päivitys epäonnistui laiteohjelmisto-ongelman vuoksi, tämä rekisteriavain saattaa näyttää laiteohjelmiston virhekoodin. Kun tämä avain on olemassa, mutta se on muu kuin nolla, suosittelemme, että etsit suojatun käynnistyksen tapahtumat Windowsin tapahtumalokeista – katso lisätietoja suojatun käynnistyksen tietokannan ja DBX-muuttujan päivitystapahtumat . |
| UEFICA2023ErrorEvent | REG_DWORD (koodi) | UEFICA2023ErrorEvent määrittää tapahtumatunnuksen, jota Windows UEFI CA 2023 Secure Boot -päivitysten sovellukseen liittyvä virhe raportoitiin. Tämä arvo korreloi UEFICA2023Error-rekisteriavaimen kanssa, ja se täytetään, kun avain on asetettu, mikä ilmaisee, että Windows kohtasi virheen yrittäessään ottaa käyttöön suojatun käynnistyksen päivitystä. Kun näin tapahtuu, Windows kirjaa vastaavan suojatun käynnistyksen tapahtuman, joka on dokumentoitu julkisella sivulla Secure Boot DB- ja DBX-muuttujien päivitystapahtumiin, joka antaa lisätietoja siitä, miksi päivitystä ei voitu suorittaa loppuun ja mitä toimia se saattaa vaatia. |
| WindowsUEFICA2023-yhteensopiva | REG_DWORD (koodi) | Vain tiedoksi – älä käytä tätä avainta, kun saat tilaa suojatun käynnistyksen päivityksissä. Käytä sen sijaan UEFICA2023Status-avainta. Tämä rekisteriavain on tarkoitettu rajoitettuihin käyttöönottotilanteisiin, eikä sitä suositella yleiseen käyttöön. Kelvolliset arvot: 0 – tai avainta ei ole olemassa – "Windows UEFI CA 2023" -varmennetta ei ole tietokannassa 1 - "Windows UEFI CA 2023" -varmenne on tietokannassa 2 - "Windows UEFI CA 2023" -varmenne on tietokannassa ja järjestelmä käynnistyy 2023 allekirjoitetusta käynnistyksen hallinnasta |
| BucketHash | REG_SZ (merkkijono) | BucketHash tunnistaa käyttöönottosäilön, johon laite on määritetty osana suojatun käynnistyksen varmenteen käyttöönottoa. Arvo on hajautusarvo, joka on johdettu laitteen ominaisuuksista, ja sitä käytetään ryhmittelemään laitteita, joilla on samankaltaiset laiteohjelmisto- ja alustamääritteet vaiheistettua käyttöönottoa ja riskinhallintaa varten. Tämä on sama säilön hajautusarvo, joka näkyy laitekohtaisissa tapahtumissa, jotka on dokumentoitu Secure Boot DB:n ja DBX-muuttujan päivitystapahtumat-sivulla . Sen avulla järjestelmänvalvojat voivat korreloida rekisterin tilaa tapahtumalokin merkintöjen kanssa ja ymmärtää, miten laitteeseen kohdistetaan suojatun käynnistyksen päivitysprosessin aikana. |
| Luottamustaso | REG_SZ (merkkijono) | ConfidenceLevel ilmaisee laitteen suojatun käynnistyksen käyttöönottosäilöön liittyvän luotettavuuden arvioinnin. Tämä arvo vastaa BucketConfidenceLevel-tasoa, jonka Windows määrittää laitteelle samankaltaisissa laitteisto- ja laiteohjelmistokokoonpanoissa havaitun päivitystoiminnan perusteella. Sama luottamustaso sisältyy laitekohtaisiin tapahtumiin, jotka on dokumentoitu Secure Boot DB:n ja DBX-muuttujien päivitystapahtumat -sivulla, jolloin järjestelmänvalvojat voivat korreloida rekisteriarvon tapahtumalokin merkintöjen kanssa. Lisätietoja tämän avaimen mahdollisista arvoista on laitekohtaisissa tapahtumalokin tapahtumien kuvauksissa. |
Miten nämä näppäimet toimivat yhdessä
IT-järjestelmänvalvojat määrittävät AvailableUpdates-rekisteriarvoksi0x5944, joka kertoo Windowsille, että se suorittaa suojatun käynnistysavaimen päivityksen ja asennuksen laitteessa.
Prosessin edetessä järjestelmä päivittää UEFICA2023Status-tilanNotStarted-tilastaInProgress-tilaan ja lopuksi Updated upon success -tilaan. Kun 0x5944 jokainen bitti on käsitelty onnistuneesti, se tyhjenee.
Jos jokin vaihe epäonnistuu, UEFICA2023Error-virheeseen kirjataan virhekoodi (ja tila pysyy keskeneräisenä).
Tämä mekanismi antaa järjestelmänvalvojille selkeän tavan käynnistää ja seurata laitekohtaista käyttöönottoa.
Käyttöönotto rekisteriavainten avulla
Käyttöönotto laiteryhmässä koostuu seuraavista vaiheista:
- Määritä AvailableUpdates-rekisteriarvoksi0x5944 jokaisessa päivitettävässä laitteessa.
- Tarkkaile UEFICA2023Status - ja UEFICA2023Error-rekisteriavaimia nähdäksesi, että laitteet edistyvät. Tehtävä, joka käsittelee nämä päivitykset, suoritetaan 12 tunnin välein. Huomaa, että käynnistyksen hallinta -päivitys saattaa tapahtua vasta, kun uudelleenkäynnistys tapahtuu.
- Tutki ongelmat, jos niitä ilmenee. Jos UEFICA2023Error on laitteessa muu kuin nolla, voit tarkistaa tapahtumalokista tähän ongelmaan liittyvät tapahtumat. Katso suojatun käynnistyksen tapahtumien täydellinen luettelo kohdasta Secure Boot DB- ja DBX-muuttujien päivitystapahtumat .
Huomautus uudelleenkäynnistyksistä: Vaikka prosessin viimeisteleminen saattaa edellyttää uudelleenkäynnistystä, suojatun käynnistyksen päivitysten käyttöönoton aloittaminen ei aiheuta uudelleenkäynnistystä. Jos uudelleenkäynnistys tarvitaan, suojatun käynnistyksen käyttöönotto perustuu siihen, että laitteen normaali käyttötapa on uudelleenkäynnistys.
Laitteen testaus rekisteriavainten avulla
Kun testataan yksittäisiä laitteita sen varmistamiseksi, että laitteet käsittelevät päivitykset oikein, rekisteriavaimet voivat olla suoraviivainen tapa testata.
Suorita seuraavat komennot suorittamalla kukin seuraavista komennoista erikseen järjestelmänvalvojan PowerShell-kehotteesta:
Huomautus
- reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
- Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
- Käynnistä järjestelmä uudelleen manuaalisesti, kun käytettävissä olevat päivitykset 0x4100
- Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Ensimmäinen komento käynnistää varmenteen ja käynnistyksen hallinnan käyttöönoton laitteessa. Toinen komento aiheuttaa AvailableUpdates-rekisteriavainta käsittelevän tehtävän suorittamisen heti. Tehtävä suoritetaan yleensä 12 tunnin välein. Rekisteriavaimen pitäisi vaihtua nopeasti 0x4100. Kun käynnistät uudelleen ja suoritat tehtävän uudelleen, käynnistyksen hallintaohjelma päivitetään ja käytettävissä olevat päivitykset muuttuvat 0x4000. Lisätietoja AvailableUpdates-päivityksen toiminnasta on kohdassa Vianmääritys.
Löydät tulokset tarkkailemalla UEFICA2023Status - ja UEFICA2023Error-rekisteriavaimia ja tapahtumalokeja Secure Boot DB- ja DBX-muuttujien päivitystapahtumissa kuvatulla tavalla.
Avustajien ottaminen käyttöön ja poistaminen käytöstä
HighConfidenceOptOut- ja MicrosoftUpdateManagedOptIn-rekisteriavainten avulla voidaan hallita kahta käyttöönottoavustajaa, jotka on kuvattu Windows-laitteissa, joissa on IT-hallittuja päivityksiä.
- HighConfidenceOptOut-rekisteriavain ohjaa laitteiden automaattista päivitystä kumulatiivisten päivitysten kautta. Laitteita, joissa Microsoft on havainnut tiettyjen laitteiden päivityksen onnistuneesti, pidetään erittäin luotettavina laitteina, ja suojatun käynnistyksen varmennepäivitykset suoritetaan automaattisesti. Oletusasetus on suostuminen.
- MicrosoftUpdateManagedOptIn-rekisteriavaimen avulla IT-osastot voivat osallistua Microsoftin hallinnoimaan automaattiseen käyttöönottoon. Tämä asetus on oletusarvoisesti poissa käytöstä, ja sen arvoksi määritetään 1 suostumus. Tämä asetus edellyttää myös, että laite lähettää valinnaisia diagnostiikkatietoja.
Tuetut Windows-versiot
Tässä taulukossa on eritelty tuki tarkemmin rekisteriavaimen perusteella.
| Näppäin | Tuetut Windows-versiot |
|---|---|
|
Saatavilla olevat päivitykset UEFICA2023Tila UEFICA2023-virhe |
Kaikki Windows-versiot, jotka tukevat suojattua käynnistystä (Windows Server 2012 ja uudemmat Windows-versiot). Huomautus: Vaikka luotettavuustiedot kerätään Windows 10:stä, versioista LTSC, 22H2 ja Windowsin uudemmista versioista, niitä voidaan käyttää laitteisiin, joissa on Windowsin aiempi versio.
|
| HighConfidenceOptOut | |
| MicrosoftUpdateManagedOptIn |
Suojatun käynnistyksen virhetapahtumat
Virhetapahtumilla on kriittinen raportointitoiminto, joka antaa tietoja suojatun käynnistyksen tilasta ja edistymisestä. Lisätietoja virhetapahtumista on artikkelissa Secure Boot DB ja DBX-muuttujan päivitystapahtumat. Virhetapahtumiin päivitetään lisätietoja suojatun käynnistyksen tapahtumista.