Rekisterin avaimen päivitykset Secure Bootia varten: Windows-laitteet, joissa on IT-hallinnoituja päivityksiä

Käytetään kohteeseen
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Huomautus

  • Alkuperäinen julkaisupäivä: 14. lokakuuta 2025
  • KB-tunnus: 5068202

Tässä artikkelissa on seuraavat ohjeet:

  • Organisaatiot, joilla on IT-hallinnoimat Windows-laitteet ja päivitykset.

Huomautus

  • Tämän tuen saatavuus:

  • Rekisteriavaimet sisältyvät päivityksiin, jotka on julkaistu seuraavana päivänä tai sen jälkeen:

  • 11. marraskuuta 2025: Windows-versioille, joita tuetaan edelleen.

Muutosloki
Muuta päivämäärää Muutoksen kuvaus
Maaliskuussa 20, 2026
  • Lisätty AvailableUpdatesPolicy-rekisteriarvo ensimmäiseen taulukkoon "Rekisteriavaimet"-osaan.
  • Päivitetty WindowsUEFICA2023Capable -rekisteriarvo "Kuvaus ja käyttö" "Rekisteriavaimet"-osion toisessa taulukossa.
Helmikuu 20, 2026
  • Artikkeliin lisättiin 3 uutta rekisteriavainta – UEFICA2023ErrorEvent, " BucketHash" & " ConfidenceLevel".
  • Päivitetty osio - "Tämän tuen saatavuus".
keskiviikko 4. marraskuuta 2025
  • Lisätty yksi rekisteriavain sivulle.
  • Korjattu lause lauseesta "Esimerkiksi, jos tietokannan (database of trusted signatures) päivitys epäonnistui laiteohjelmisto-ongelman vuoksi, tämä rekisteriavain saattaa näyttää virhekoodin, joka voidaan yhdistää tapahtumalokiin tai dokumentoituun virhetunnukseen" sanoksi "Esimerkiksi, jos tietokannan (luotettujen allekirjoitusten tietokannan) päivittäminen epäonnistui laiteohjelmisto-ongelman vuoksi, Tämä rekisteriavain saattaa näyttää laiteohjelmiston virhekoodin. Kun tämä avain on olemassa ja se on muu kuin nolla, suosittelemme etsimään suojatun käynnistyksen tapahtumat Windowsin tapahtumalokeista - katso lisätietoja (linkki)".
  • Lisätty alle kaksi erillistä polkua rekisteriavaimille
11. marraskuuta 2025
  • Päivitetty kappale kohdassa Laitetestaus rekisteriavainten avulla lisätiedoilla: "Rekisteriavaimen pitäisi nopeasti vaihtua 0x4100. Kun käynnistät uudelleen ja suoritat tehtävän uudelleen, käynnistyksen hallintaohjelma päivitetään ja käytettävissä olevat päivitykset muutetaan 0x0100. Lisätietoja AvailableUpdates-päivityksen toiminnasta on kohdassa Vianmääritys."
  • Päivitä harmaan ruudun teksti kohdassa Laitteen testaus rekisteriavainten avulla ja ota käyttöön kaksi PowerShell-lisäkomentoa
  • Rekisteriavainten rekisteriarvo -MicrosoftUpdateManagedOptIn, muutettiin arvosta "1 - Opt in" arvoksi "1 tai mikä tahansa nollasta poikkeava arvo – Opt in"
Marraskuussa 16, 2025 Päivitetty Laitteen testaus rekisteriavainten avulla -kohdan sisältö. Saatavilla oleva päivitys -arvo muutettiin 0x0100-arvosta0x4000-arvoon.

Tämän artikkelin sisältö

Johdanto

Tässä asiakirjassa kuvataan suojatun käynnistyksen varmennepäivitysten käyttöönoton, hallinnan ja valvonnan tuki Windowsin rekisteriavainten avulla. Avaimet koostuvat seuraavista:

  • Yksi avain käynnistää varmenteiden ja käynnistyksen hallinnan käyttöönoton laitteessa.
  • Kaksi avainta käyttöönoton tilan valvontaan.
  • Kaksi avainta kahden käytettävissä olevan käyttöönottoavustajan suostumus-/kieltäytymisasetusten hallintaan.

Nämä rekisteriavaimet voidaan asettaa manuaalisesti laitteessa tai etänä käytettävissä olevan kalustonhallintaohjelmiston avulla. Muut käyttöönottomenetelmät, kuten ryhmäkäytäntö, Microsoft Intune ja WinCS, on kuvattu artikkelissa Windows-laitteet yrityksille ja organisaatioille, joissa on IT-hallinnoituja päivityksiä.

Suojatun käynnistyksen rekisteriavaimet

Sisältö

Rekisteriavaimet

Kaikki alla kuvatut suojatun käynnistyksen rekisteriavaimet sijaitsevat tässä rekisteripolussa:

Huomautus

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Seuraavassa taulukossa kuvataan kukin rekisteriarvo:

Rekisteriarvo Tyyppi Kuvaus ja käyttö
Saatavilla olevat päivitykset REG_DWORD (bittipeite) Päivitä käynnistimen merkinnät.

Määrittää, mitkä suojatun käynnistyksen päivitystoiminnot suoritetaan laitteessa. Sopivan bittikentän määrittäminen tässä käynnistää uusien suojatun käynnistyksen varmenteiden ja niihin liittyvien päivitysten käyttöönoton. Yrityskäyttöönottoa varten tämän asetuksen tulee olla 0x5944 (heksa) – arvo, joka mahdollistaa kaikki tarvittavat päivitykset (uusien 2023 CA-varmenteiden lisäämisen, KEK:n päivittämisen ja uuden käynnistyksen hallinnan asentamisen).

Asetukset:
  • 0 tai ei määritetty – Suojatun käynnistyksen avaimen päivittämistä ei suoriteta.
  • 0x5944 – Ota käyttöön kaikki tarvittavat varmenteet ja päivitä PCA2023 allekirjoitetun käynnistyksen hallintaohjelmaan
HighConfidenceOptOut REG_DWORD Mahdollisuus kieltäytyä siitä.

Yrityksille, jotka haluavat jättäytyä suuren luottamuksen säilöjen ulkopuolelle, niitä käytetään automaattisesti osana LCU:ta.

Voit jättää suuren luottamuksen säilöt ulkopuolelle asettamalla tämän avaimen arvoksi muun kuin nollan.

Asetukset
  • 0 tai avainta ei ole olemassa – Osallistu
  • 1 – Jättäytyminen ulkopuolelle
MicrosoftUpdateManagedOptIn REG_DWORD Mahdollisuus osallistua.

Yrityksille, jotka haluavat ottaa käyttöön Controlled Feature Rollout (CFR) -ylläpidon, tunnetaan myös nimellä Microsoft Managed.

Tämän avaimen asettamisen lisäksi salli pakollisten diagnostiikkatietojen lähettäminen (katso Windowsin diagnostiikkatietojen määrittäminen organisaatiossasi).

Asetukset
  • 0 tai avainta ei ole olemassa – Kieltäydy
  • 1 tai mikä tahansa muu arvo kuin nolla – Osallistu
Käytettävissä olevat päivitykset Käytäntö REG_DWORD (bittipeite) Älä päivitä tätä avainta rekisterin kautta.

Ryhmäkäytäntö ja Intune käyttävät tätä avainta viestiäkseen suojattuun käynnistykseen liittyvistä toiminnoista Windowsille. Se edustaa Intune- tai ryhmäkäytännön määrittämää käytäntöä.

Kaikki alla kuvatut suojatun käynnistyksen rekisteriavaimet sijaitsevat tässä rekisteripolussa:

Huomautus

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Seuraavassa taulukossa kuvataan kukin rekisteriarvo:

Rekisteriarvo Tyyppi Kuvaus ja käyttö
UEFICA2023Tila REG_SZ (merkkijono) Käyttöönoton tilan ilmaisin.

Kuvaa suojatun käynnistysavaimen päivityksen nykyistä tilaa laitteessa. Se määritetään joksikin seuraavista tekstiarvoista:

  • NotStarted: Päivitystä ei ole vielä suoritettu.
  • Käynnissä: Päivitys on käynnissä aktiivisesti.
  • Päivitetty: Päivitys on suoritettu loppuun.
Aluksi tila on EiAloitettu. Se muuttuu käynnissäolevaksi , kun päivitys alkaa, ja lopuksi päivitetyksi , kun kaikki uudet avaimet ja uusi käynnistyksen hallintaohjelma on otettu käyttöön. Jos tapahtuu virhe, UEFICA2023Error-rekisteriarvoksi on määritetty muu kuin nollakoodi.
UEFICA2023-virhe REG_DWORD (koodi) Virhekoodi (jos sellainen on).
Tämä arvo on edelleen 0 onnistuessaan. Jos päivitysprosessissa ilmenee virhe, UEFICA2023Error-virheeksi on määritetty nollasta poikkeava virhekoodi, joka vastaa ensimmäistä havaittua virhettä. Tässä oleva virhe viittaa siihen, että suojatun käynnistyksen päivitys ei onnistunut täysin ja saattaa vaatia selvitystä tai korjausta kyseisessä laitteessa.
Jos esimerkiksi tietokannan (database of trusted signatures) päivitys epäonnistui laiteohjelmisto-ongelman vuoksi, tämä rekisteriavain saattaa näyttää laiteohjelmiston virhekoodin. Kun tämä avain on olemassa, mutta se on muu kuin nolla, suosittelemme, että etsit suojatun käynnistyksen tapahtumat Windowsin tapahtumalokeista – katso lisätietoja suojatun käynnistyksen tietokannan ja DBX-muuttujan päivitystapahtumat .
UEFICA2023ErrorEvent REG_DWORD (koodi) UEFICA2023ErrorEvent määrittää tapahtumatunnuksen, jota Windows UEFI CA 2023 Secure Boot -päivitysten sovellukseen liittyvä virhe raportoitiin. Tämä arvo korreloi UEFICA2023Error-rekisteriavaimen kanssa, ja se täytetään, kun avain on asetettu, mikä ilmaisee, että Windows kohtasi virheen yrittäessään ottaa käyttöön suojatun käynnistyksen päivitystä. Kun näin tapahtuu, Windows kirjaa vastaavan suojatun käynnistyksen tapahtuman, joka on dokumentoitu julkisella sivulla Secure Boot DB- ja DBX-muuttujien päivitystapahtumiin, joka antaa lisätietoja siitä, miksi päivitystä ei voitu suorittaa loppuun ja mitä toimia se saattaa vaatia.
WindowsUEFICA2023-yhteensopiva REG_DWORD (koodi) Vain tiedoksi – älä käytä tätä avainta, kun saat tilaa suojatun käynnistyksen päivityksissä. Käytä sen sijaan UEFICA2023Status-avainta.
Tämä rekisteriavain on tarkoitettu rajoitettuihin käyttöönottotilanteisiin, eikä sitä suositella yleiseen käyttöön.
Kelvolliset arvot:
0 – tai avainta ei ole olemassa – "Windows UEFI CA 2023" -varmennetta ei ole tietokannassa
1 - "Windows UEFI CA 2023" -varmenne on tietokannassa
2 - "Windows UEFI CA 2023" -varmenne on tietokannassa ja järjestelmä käynnistyy 2023 allekirjoitetusta käynnistyksen hallinnasta
BucketHash REG_SZ (merkkijono) BucketHash tunnistaa käyttöönottosäilön, johon laite on määritetty osana suojatun käynnistyksen varmenteen käyttöönottoa. Arvo on hajautusarvo, joka on johdettu laitteen ominaisuuksista, ja sitä käytetään ryhmittelemään laitteita, joilla on samankaltaiset laiteohjelmisto- ja alustamääritteet vaiheistettua käyttöönottoa ja riskinhallintaa varten. Tämä on sama säilön hajautusarvo, joka näkyy laitekohtaisissa tapahtumissa, jotka on dokumentoitu Secure Boot DB:n ja DBX-muuttujan päivitystapahtumat-sivulla . Sen avulla järjestelmänvalvojat voivat korreloida rekisterin tilaa tapahtumalokin merkintöjen kanssa ja ymmärtää, miten laitteeseen kohdistetaan suojatun käynnistyksen päivitysprosessin aikana.
Luottamustaso REG_SZ (merkkijono) ConfidenceLevel ilmaisee laitteen suojatun käynnistyksen käyttöönottosäilöön liittyvän luotettavuuden arvioinnin. Tämä arvo vastaa BucketConfidenceLevel-tasoa, jonka Windows määrittää laitteelle samankaltaisissa laitteisto- ja laiteohjelmistokokoonpanoissa havaitun päivitystoiminnan perusteella. Sama luottamustaso sisältyy laitekohtaisiin tapahtumiin, jotka on dokumentoitu Secure Boot DB:n ja DBX-muuttujien päivitystapahtumat -sivulla, jolloin järjestelmänvalvojat voivat korreloida rekisteriarvon tapahtumalokin merkintöjen kanssa. Lisätietoja tämän avaimen mahdollisista arvoista on laitekohtaisissa tapahtumalokin tapahtumien kuvauksissa.

Miten nämä näppäimet toimivat yhdessä

IT-järjestelmänvalvojat määrittävät AvailableUpdates-rekisteriarvoksi0x5944, joka kertoo Windowsille, että se suorittaa suojatun käynnistysavaimen päivityksen ja asennuksen laitteessa.

Prosessin edetessä järjestelmä päivittää UEFICA2023Status-tilanNotStarted-tilastaInProgress-tilaan ja lopuksi Updated upon success -tilaan. Kun 0x5944 jokainen bitti on käsitelty onnistuneesti, se tyhjenee.

Jos jokin vaihe epäonnistuu, UEFICA2023Error-virheeseen kirjataan virhekoodi (ja tila pysyy keskeneräisenä).

Tämä mekanismi antaa järjestelmänvalvojille selkeän tavan käynnistää ja seurata laitekohtaista käyttöönottoa.

Käyttöönotto rekisteriavainten avulla

Käyttöönotto laiteryhmässä koostuu seuraavista vaiheista:

  1. Määritä AvailableUpdates-rekisteriarvoksi0x5944 jokaisessa päivitettävässä laitteessa.
  2. Tarkkaile UEFICA2023Status - ja UEFICA2023Error-rekisteriavaimia nähdäksesi, että laitteet edistyvät. Tehtävä, joka käsittelee nämä päivitykset, suoritetaan 12 tunnin välein. Huomaa, että käynnistyksen hallinta -päivitys saattaa tapahtua vasta, kun uudelleenkäynnistys tapahtuu.
  3. Tutki ongelmat, jos niitä ilmenee. Jos UEFICA2023Error on laitteessa muu kuin nolla, voit tarkistaa tapahtumalokista tähän ongelmaan liittyvät tapahtumat. Katso suojatun käynnistyksen tapahtumien täydellinen luettelo kohdasta Secure Boot DB- ja DBX-muuttujien päivitystapahtumat .

Huomautus uudelleenkäynnistyksistä: Vaikka prosessin viimeisteleminen saattaa edellyttää uudelleenkäynnistystä, suojatun käynnistyksen päivitysten käyttöönoton aloittaminen ei aiheuta uudelleenkäynnistystä. Jos uudelleenkäynnistys tarvitaan, suojatun käynnistyksen käyttöönotto perustuu siihen, että laitteen normaali käyttötapa on uudelleenkäynnistys.

Laitteen testaus rekisteriavainten avulla

Kun testataan yksittäisiä laitteita sen varmistamiseksi, että laitteet käsittelevät päivitykset oikein, rekisteriavaimet voivat olla suoraviivainen tapa testata.

Suorita seuraavat komennot suorittamalla kukin seuraavista komennoista erikseen järjestelmänvalvojan PowerShell-kehotteesta:

Huomautus

  • reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
  • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  • Käynnistä järjestelmä uudelleen manuaalisesti, kun käytettävissä olevat päivitykset 0x4100
  • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Ensimmäinen komento käynnistää varmenteen ja käynnistyksen hallinnan käyttöönoton laitteessa. Toinen komento aiheuttaa AvailableUpdates-rekisteriavainta käsittelevän tehtävän suorittamisen heti. Tehtävä suoritetaan yleensä 12 tunnin välein. Rekisteriavaimen pitäisi vaihtua nopeasti 0x4100. Kun käynnistät uudelleen ja suoritat tehtävän uudelleen, käynnistyksen hallintaohjelma päivitetään ja käytettävissä olevat päivitykset muuttuvat 0x4000. Lisätietoja AvailableUpdates-päivityksen toiminnasta on kohdassa Vianmääritys.

Löydät tulokset tarkkailemalla UEFICA2023Status - ja UEFICA2023Error-rekisteriavaimia ja tapahtumalokeja Secure Boot DB- ja DBX-muuttujien päivitystapahtumissa kuvatulla tavalla.

Avustajien ottaminen käyttöön ja poistaminen käytöstä

HighConfidenceOptOut- ja MicrosoftUpdateManagedOptIn-rekisteriavainten avulla voidaan hallita kahta käyttöönottoavustajaa, jotka on kuvattu Windows-laitteissa, joissa on IT-hallittuja päivityksiä.

  • HighConfidenceOptOut-rekisteriavain ohjaa laitteiden automaattista päivitystä kumulatiivisten päivitysten kautta. Laitteita, joissa Microsoft on havainnut tiettyjen laitteiden päivityksen onnistuneesti, pidetään erittäin luotettavina laitteina, ja suojatun käynnistyksen varmennepäivitykset suoritetaan automaattisesti. Oletusasetus on suostuminen.
  • MicrosoftUpdateManagedOptIn-rekisteriavaimen avulla IT-osastot voivat osallistua Microsoftin hallinnoimaan automaattiseen käyttöönottoon. Tämä asetus on oletusarvoisesti poissa käytöstä, ja sen arvoksi määritetään 1 suostumus. Tämä asetus edellyttää myös, että laite lähettää valinnaisia diagnostiikkatietoja.

Tuetut Windows-versiot

Tässä taulukossa on eritelty tuki tarkemmin rekisteriavaimen perusteella.

Näppäin Tuetut Windows-versiot
Saatavilla olevat päivitykset
UEFICA2023Tila
UEFICA2023-virhe
Kaikki Windows-versiot, jotka tukevat suojattua käynnistystä (Windows Server 2012 ja uudemmat Windows-versiot).

Huomautus: Vaikka luotettavuustiedot kerätään Windows 10:stä, versioista LTSC, 22H2 ja Windowsin uudemmista versioista, niitä voidaan käyttää laitteisiin, joissa on Windowsin aiempi versio.
  • Windows 10, versiot LTSC ja 22H2
  • Windows 11, versiot 22H2 ja 23H2
  • Windows 11, versio 24H2
  • Windows Server 2025
HighConfidenceOptOut
MicrosoftUpdateManagedOptIn

Suojatun käynnistyksen virhetapahtumat

Virhetapahtumilla on kriittinen raportointitoiminto, joka antaa tietoja suojatun käynnistyksen tilasta ja edistymisestä.  Lisätietoja virhetapahtumista on artikkelissa Secure Boot DB ja DBX-muuttujan päivitystapahtumat. Virhetapahtumiin päivitetään lisätietoja suojatun käynnistyksen tapahtumista.