Suojatun käynnistyksen vianmääritysopas

Käytetään kohteeseen
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Huomautus

  • Alkuperäinen julkaisupäivä: 19. maaliskuuta 2026
  • KB-tunnus: 5085046

Tämän artikkelin sisältö

Yleiskatsaus

Tämä sivu opastaa järjestelmänvalvojia ja tukihenkilöitä Windows-laitteiden suojattuun käynnistykseen liittyvien ongelmien diagnosoinnissa ja ratkaisemisessa. Aiheet sisältävät suojatun käynnistyksen varmenteen päivitysvirheitä, virheellisiä suojatun käynnistyksen tiloja, odottamattomia BitLocker-palautuskehotteita sekä käynnistysvirheitä suojatun käynnistyksen määritysmuutosten jälkeen.

Ohjeissa kerrotaan, miten voit tarkistaa Windowsin ylläpidon ja määrityksen, tarkistaa asiaankuuluvat rekisteriarvot ja tapahtumalokit sekä selvittää, milloin laiteohjelmiston tai käyttöympäristön rajoitukset edellyttävät OEM-päivitystä. Tämä sisältö on tarkoitettu nykyisissä laitteissa ilmenevien ongelmien selvittämiseen. Sitä ei ole tarkoitettu uusien käyttöönottojen suunnitteluun. Tätä asiakirjaa päivitetään, kun uusia vianmääritysskenaarioita ja ohjeita tunnistetaan.

alkuun

Kuinka suojatun käynnistyksen varmenteiden ylläpito toimii

Suojatun käynnistyksen varmenteiden ylläpito Windowsissa on koordinoitu prosessi käyttöjärjestelmän ja laitteen UEFI-laiteohjelmiston välillä. Tavoitteena on päivittää kriittiset luottamusankkurit säilyttäen samalla käynnistysmahdollisuus kussakin vaiheessa.

Prosessin taustalla on Windowsin ajoitettu tehtävä, rekisteripohjainen päivitystoimintojen sarja sekä sisäinen kirjaamis- ja uudelleenyritystoiminta. Yhdessä nämä osat varmistavat, että suojatun käynnistyksen varmenteet ja Windowsin käynnistyksen hallintaohjelma päivitetään hallitusti ja järjestyksessä ja vasta sitten, kun tarvittavat vaiheet onnistuvat.

alkuun

Vianmäärityksen aloittaminen

Jos laite ei näytä edistyvän odotetusti suojatun käynnistyksen varmennepäivitysten käyttöönotossa, aloita tunnistamalla ongelman luokka. Useimmat ongelmat kuuluvat johonkin neljästä alueesta: Windowsin ylläpitotila, suojatun käynnistyksen päivitysmekanismi, laiteohjelmiston toiminta tai käyttöympäristön tai OEM-rajoitus.

Aloita alla olevilla tarkistuksilla järjestyksessä. Monissa tapauksissa nämä vaiheet riittävät selittämään havaittua toimintaa ja määrittämään seuraavat toimenpiteet ilman syvällisempää tutkimusta.

  1. Vahvista Windowsin ylläpito- ja käyttöympäristökelpoisuus

    1. Varmista, että laite täyttää suojatun käynnistyksen varmennepäivitysten perusvaatimukset:
    2. Laitteessa on tuettu Windows-versio.
    3. Uusimmat vaadittavat Windowsin tietoturvapäivitykset on asennettu.
    4. Suojattu käynnistys on käytössä UEFI-laiteohjelmistossa.
    5. Jos mikään näistä ehdoista ei täyty, korjaa ne ennen vianmäärityksen jatkamista.
  2. Suojatun käynnistyksen ja päivityksen tehtävän tilan tarkistaminen

    1. Varmista, että suojatun käynnistyksen varmennepäivitysten käyttöönotosta vastaava Windows-mekanismi on olemassa ja toimii:
    2. Suojatun käynnistyksen ja päivityksen ajoitettu tehtävä on olemassa.
    3. Tehtävä on otettu käyttöön ja suoritetaan paikallisena järjestelmänä.
    4. Tehtävä on suoritettu vähintään kerran uusimman Windowsin suojauspäivityksen asentamisen jälkeen.
    5. Jos tehtävä on poistettu käytöstä, poistettu tai se ei ole käynnissä, suojatun käynnistyksen varmennepäivityksiä ei voida ottaa käyttöön. Vianmäärityksessä tulisi keskittyä tehtävän palauttamiseen ennen muiden syiden tutkimista.
  3. Rekisteriasetusten odotetun edistymisen tarkistaminen
    Tarkista laitteen suojatun käynnistyksen ylläpitotila rekisterissä:

    1. Tarkista UEFICA2023Status, UEFICA2023Error ja UEFICA2023ErrorEvent.
    2. Tarkista käytettävissä olevat päivitykset ja vertaa niitä odotettuun edistymiseen (katso viite ja sisäiset ominaisuudet).

    Yhdessä nämä arvot ilmaisevat, eteneekö ylläpito normaalisti, yrittääkö toimintoa uudelleen vai pysähtyikö se tietyssä vaiheessa.

  4. Korreloida rekisterin tila suojatun käynnistyksen tapahtumien kanssa
    Tarkista suojattuun käynnistykseen liittyvät tapahtumat järjestelmän tapahtumalokissa ja korreloi ne rekisterin tilan kanssa. Tapahtumatiedot yleensä vahvistavat, eteneekö laite eteenpäin, yrittääkö se uudelleen tilapäisen ongelman vuoksi tai onko se estetty laiteohjelmiston tai käyttöympäristön ongelman vuoksi.
    Rekisteri ja tapahtumalokit yhdessä yleensä ilmaisevat, onko toiminta odotettua, tilapäistä vai edellyttääkö korjaavia toimia.

alkuun

Suojattu käynnistys – päivitys ajoitettu tehtävä

Suojatun käynnistyksen varmenteiden ylläpito toteutetaan Windowsin ajoitetulla tehtävällä nimeltä Secure-Boot-Update. Tehtävä rekisteröidään seuraavaan polkuun:

Huomautus

\Microsoft\Windows\PI\Secure-Boot-Update

Tehtävä suoritetaan paikallisena järjestelmänä. Se suoritetaan oletusarvoisesti järjestelmän käynnistyksen yhteydessä ja sen jälkeen 12 tunnin välein. Joka kerta kun se suoritetaan, se tarkistaa, ovatko suojatun käynnistyksen päivitystoiminnot odottavia, ja yrittää käyttää niitä järjestyksessä.

Jos tämä tehtävä on poistettu käytöstä tai puuttuu, suojatun käynnistyksen varmennepäivityksiä ei voi ottaa käyttöön. Suojatun käynnistyksen päivityksen tehtävän on oltava käytössä, jotta suojatun käynnistyksen ylläpito toimii.

alkuun

Miksi ajoitettua tehtävää käytetään

Suojatun käynnistyksen varmennepäivitykset edellyttävät Windowsin ja UEFI-laiteohjelmiston välistä koordinointia, mukaan lukien suojatun käynnistyksen avaimia ja varmenteita tallentavien UEFI-muuttujien kirjoittamista. Ajoitetun tehtävän avulla Windows voi yrittää näitä päivityksiä, kun järjestelmä on tilassa, jossa laiteohjelmiston muuttujia voidaan muokata.

Toistuva 12 tunnin aikataulu tarjoaa lisämahdollisuuksia yrittää päivityksiä uudelleen, jos edellinen yritys epäonnistui tai jos laite pysyi päällä käynnistämättä sitä uudelleen. Tämä rakenne auttaa varmistamaan etenemisen ilman manuaalisia toimia.

alkuun

AvailableUpdates-rekisterin bittipeite

Secure-Boot-Update-tehtävä on AvailableUpdates-rekisteriarvon mukainen. Tämä arvo on 32-bittinen bittipeite, joka sijaitsee sijainnissa:

Huomautus

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Jokainen arvossa oleva bitti edustaa tiettyä suojatun käynnistyksen päivitystoimintoa. Päivitysprosessi alkaa, kun joko Windows on määrittänyt AvailableUpdates-arvoksi muun kuin nollan joko automaattisesti tai nimenomaisesti järjestelmänvalvoja. Esimerkiksi arvo 0x5944 osoittaa, että useita odottavia päivitystoimintoja on käynnissä.

Kun Suojattu käynnistys ja päivitys -tehtävä suoritetaan, se tulkitsee määritetyt bitit odottavaksi työksi ja käsittelee ne määritetyssä järjestyksessä.

alkuun

Peräkkäiset päivitykset, lokiin kirjaaminen ja uudelleenkäytön käyttäytyminen

Suojatun käynnistyksen varmennepäivitykset otetaan käyttöön kiinteässä järjestyksessä. Jokainen päivitystoiminto on suunniteltu siten, että sitä on turvallista yrittää uudelleen, ja se suoritetaan erikseen. Secure-Boot-Update -tehtävä ei etene seuraavaan vaiheeseen, ennen kuin nykyinen toiminto onnistuu ja sitä vastaava bitti tyhjennetään AvailableUpdates-luettelosta.

Jokainen toiminto käyttää UEFI-vakioliittymiä suojatun käynnistyksen muuttujien, kuten DB:n ja KEK:n, päivittämiseen tai päivitetyn Windowsin käynnistyksen hallinnan asentamiseen. Windows tallentaa jokaisen vaiheen tulokset järjestelmän tapahtumalokiin. Onnistumistapahtumat vahvistavat etenemisen, kun taas epäonnistumistapahtumat osoittavat, miksi toimintoa ei voitu suorittaa loppuun.

Jos päivitysvaihe epäonnistuu, tehtävän käsittely lopetetaan, virhe kirjataan ja siihen liittyvä bitti jätetään ennalleen. Toimintoa yritetään uudelleen, kun tehtävä suoritetaan seuraavan kerran. Tämän uudelleenkäytön ansiosta laitteet voivat palautua automaattisesti tilapäisistä olosuhteista, kuten puuttuvasta laiteohjelmistotuesta tai viivästyneistä OEM-päivityksistä.

Järjestelmänvalvojat voivat seurata edistymistä korreloimalla rekisterin tilaa tapahtumalokimerkintöjen kanssa. Rekisteriarvot, kuten UEFICA2023Status, UEFICA2023Error ja UEFICA2023ErrorEvent, yhdessä AvailableUpdates-bittipeitteen kanssa ilmaisevat, mikä vaihe on aktiivinen, valmis tai estetty.

Tämä yhdistelmä näyttää, eteneekö laite normaalisti, yrittääkö toimintoa uudelleen tai pysähtyi.

alkuun

Integrointi OEM-laiteohjelmiston kanssa

Suojatun käynnistyksen varmenteen päivitykset riippuvat laitteen UEFI-laiteohjelmiston oikeasta toiminnasta ja tuesta. Vaikka Windows organisoi päivitysprosessin, laiteohjelmisto on vastuussa suojatun käynnistyksen käytännön toimeenpanosta ja suojatun käynnistyksen tietokantojen ylläpidosta.

OEM-laitevalmistajat tarjoavat kaksi kriittistä elementtiä, jotka mahdollistavat suojatun käynnistyksen varmenteiden ylläpidon:

  • Käyttöympäristön avaimella allekirjoitetut avainvaihtoavaimet (KEK), jotka valtuuttavat uusien suojatun käynnistyksen varmenteiden asennuksen.
  • Laiteohjelmistototeutukset, jotka säilyttävät, liittävät ja vahvistavat suojatun käynnistyksen tietokannat oikein päivitysten aikana.

Jos laiteohjelmisto ei tue näitä toimintoja täysin, suojatun käynnistyksen päivitykset voivat viivästyä, yrittää uudelleen loputtomasti tai aiheuttaa käynnistysvirheitä. Näissä tapauksissa Windows ei voi suorittaa päivitystä loppuun ilman muutoksia laiteohjelmistoon.

Microsoft tekee yhteistyötä alkuperäisten laitevalmistajien kanssa laiteohjelmisto-ongelmien tunnistamiseksi ja korjattujen päivitysten tuomiseksi saataville. Kun vianmääritys osoittaa laiteohjelmistorajoituksen tai vian, järjestelmänvalvojien on ehkä asennettava laitevalmistajan tarjoama uusin UEFI-laiteohjelmistopäivitys, ennen kuin suojatun käynnistyksen varmennepäivitykset voidaan suorittaa onnistuneesti loppuun.

alkuun

Yleisiä vikasietoja ja ratkaisuja

Secure Boot -päivitykset ottaa käyttöön ajoitettu Secure-Boot-Update-tehtävä AvailableUpdates-rekisteritilan perusteella.

Normaaleissa olosuhteissa nämä vaiheet suoritetaan automaattisesti ja ne kirjaavat onnistumistapahtumat kunkin vaiheen valmistuessa. Joissakin tapauksissa laiteohjelmiston toiminta, käyttöympäristön kokoonpano tai huollon edellytykset voivat estää edistymisen tai johtaa odottamattomaan käynnistykseen.

Seuraavissa osissa kuvataan yleisimmät vikasietotilanteet, miten ne tunnistetaan, miksi ne ilmenevät ja mitä toimenpiteitä sen jälkeen palautetaan normaaliin toimintaan. Skenaariot on järjestetty yleisimmin esiintyvistä vakavimpiin käynnistykseen vaikuttaviin tapauksiin.

Suojatun käynnistyksen päivitykset eivät tule käyttöön (ei edistymistä)

Kun suojatun käynnistyksen päivitykset eivät näytä edistymistä, se tarkoittaa yleensä sitä, että päivitysprosessi ei ole koskaan käynnistynyt. Tämän seurauksena odotetut suojatun käynnistyksen rekisteriarvot ja tapahtumalokit puuttuvat, koska päivitysmekanismia ei koskaan käynnistetty.

Mitä tapahtui

Suojatun käynnistyksen päivitysprosessi ei käynnistynyt, joten laitteeseen ei sovellettu suojatun käynnistyksen varmenteita tai päivitettyä käynnistyksen hallintaa.

Tunnistaminen

  • Suojatun käynnistyksen ylläpidon rekisteriarvoja ei ole, kuten UEFICA2023Status.
  • Odotetut suojatun käynnistyksen tapahtumat (esimerkiksi 1043, 1044, 1045, 1799, 1801) puuttuvat järjestelmän tapahtumalokista.
  • Laite käyttää edelleen vanhempia suojatun käynnistyksen varmenteita ja käynnistyskomponentteja.

Syyt tähän

Tämä tilanne toteutuu yleensä, kun vähintään yksi seuraavista ehdoista täyttyy:

  • Suojatun käynnistyksen päivityksen ajoitettu tehtävä on poistettu käytöstä tai puuttuu.
  • Suojattu käynnistys on poistettu käytöstä UEFI-laiteohjelmistossa.
  • Laite ei täytä Windowsin ylläpidon edellytyksiä, kuten ei ole tuetun Windows-version käytössä tai tarvittavien päivitysten asentaminen.

Seuraavat toimenpiteet

  • Varmista, että laite täyttää Windowsin ylläpito- ja käyttöympäristön kelpoisuusvaatimukset.
  • Varmista, että suojattu käynnistys on otettu käyttöön laiteohjelmistossa.
  • Varmista, että ajoitettu SecureBootUpdate-tehtävä on olemassa ja käytössä.

Jos ajoitettu tehtävä on poistettu käytöstä tai puuttuu, palauta se noudattamalla suojatun käynnistyksen ajoitettu tehtävä poistettu käytöstä tai poistettu -kohdan ohjeita. Kun tehtävä on palautettu, käynnistä laite uudelleen tai suorita tehtävä manuaalisesti suojatun käynnistyksen palvelun aloittamiseksi.

Laite käynnistyy BitLocker-palautukseen suojatun käynnistyksen päivityksen jälkeen

Joissakin tapauksissa suojattuun käynnistykseen liittyvät päivitykset voivat aiheuttaa sen, että laite siirtyy BitLocker-palautukseen. Toiminta voi olla ohimenevää tai pysyvää perimmäisen syyn mukaan.

Tilanne 1: BitLocker-kertaluonteinen palautus suojatun käynnistyksen päivityksen jälkeen

Mitä tapahtuu

Laite siirtyy BitLocker-palautukseen ensimmäisessä käynnistyksessä suojatun käynnistyksen päivityksen jälkeen, mutta käynnistyy normaalisti seuraavissa uudelleenkäynnistyksissä.

Syyt tähän

Ensimmäisen päivityksen jälkeisen käynnistyksen aikana laiteohjelmisto ei vielä raportoi päivitettyjä suojatun käynnistyksen arvoja, kun Windows yrittää sinetöidä BitLockerin uudelleen. Tämä aiheuttaa tilapäisen ristiriidan mitatuissa käynnistysarvoissa ja käynnistää palautuksen. Laiteohjelmisto raportoi päivitetyt arvot oikein seuraavan käynnistyksen yhteydessä, BitLocker sulkeutuu uudelleen onnistuneesti eikä ongelma toistu.

Tunnistaminen

  • BitLocker-palautus tapahtuu kerran.
  • Kun olet syöttänyt palautusavaimen, seuraavat käynnistykset eivät kehota palauttamaan.
  • Meneillään olevaa käynnistysjärjestystä tai PXE-toimintoa ei ole.

Seuraavat toimenpiteet

  • Jatka Windowsia antamalla BitLocker-palautusavain.
  • Tarkista laiteohjelmistopäivitykset.

Tilanne 2: Toistuva BitLocker-palautus PXE:n ensimmäisen käynnistyksen määrityksen vuoksi

Mitä tapahtuu

Laite siirtyy BitLocker-palautukseen jokaisen käynnistyksen yhteydessä.

Syyt tähän

Laite on määritetty yrittämään PXE-käynnistystä (verkko) ensin. PXE-käynnistysyritys epäonnistuu, ja laiteohjelmisto palautuu levyllä olevaan Windowsin käynnistyshallintaohjelmaan.

Tämä johtaa kahden eri allekirjoittamisen myöntäjän mittaamiseen yhden käynnistysjakson aikana:

  • PXE-käynnistyspolun allekirjoittaa Microsoft UEFI CA 2011.
  • Levyllä olevan Windows-käynnistyksen hallinnan allekirjoittaa Windows UEFI CA 2023.

Koska BitLocker havaitsee erilaisia suojatun käynnistyksen luottamusketjuja käynnistyksen aikana, se ei voi muodostaa vakaata TPM-mittausjoukkoa, jota vastaan se voisi sinetöidä. Tämän seurauksena BitLocker siirtyy palautukseen jokaisen käynnistyksen yhteydessä.

Tunnistaminen

  • BitLocker-palautus käynnistyy jokaisen uudelleenkäynnistyksen yhteydessä.
  • Palautusavaimen kirjoittaminen antaa Windowsin käynnistyä, mutta kehote palaa seuraavan käynnistyksen yhteydessä.
  • PXE eli verkon käynnistys määritetään ennen paikallista levyä laiteohjelmiston käynnistysjärjestyksessä.

Seuraavat toimenpiteet

  • Määritä laiteohjelmiston käynnistysjärjestys niin, että levyllä oleva Windowsin käynnistyksen hallintaohjelma on ensimmäinen.
  • Poista PXE-käynnistys käytöstä, jos sitä ei tarvita.
  • Jos PXE:tä vaaditaan, varmista, että PXE-infrastruktuuri käyttää vuonna 2023 allekirjoitettua Windowsin käynnistyslatausohjelmaa.
Laite ei käynnisty suojatun käynnistyksen palauttamisen jälkeen

Mitä tapahtui

Tämä johtuu laiteohjelmistotason muutoksesta eikä Windows-ongelmasta. Secure Boot -päivitys suoritettiin onnistuneesti, mutta myöhemmän uudelleenkäynnistyksen jälkeen laite ei enää käynnisty Windowsiin.

Tunnistaminen

  • Laite ei käynnistä Windowsia ja saattaa näyttää laiteohjelmisto- tai BIOS-viestin, joka ilmaisee suojatun käynnistyksen rikkomuksen.
  • Virhe ilmenee , kun suojatun käynnistyksen asetukset palautetaan laiteohjelmiston oletusarvoihin.
  • Suojatun käynnistyksen poistaminen käytöstä saattaa antaa laitteen käynnistyä uudelleen.

Syyt tähän

Suojatun käynnistyksen palauttaminen laiteohjelmiston oletusasetuksiin tyhjentää laiteohjelmistoon tallennetut suojatun käynnistyksen tietokannat. Laitteissa, jotka on jo siirrytty Windows UEFI CA 2023:n allekirjoitettuun käynnistyshallintaohjelmaan, tämä palautus poistaa varmenteet, joita tarvitaan käynnistämisen hallintaan luottamiseen.

Tämän seurauksena laiteohjelmisto ei enää tunnista asennettua Windowsin käynnistyksen hallintaohjelmaa luotettavaksi ja estää käynnistysprosessin.

Tämä skenaario ei johdu itse suojatun käynnistyksen päivityksestä vaan sitä seuranneesta laiteohjelmistotoiminnosta, joka poistaa päivitetyt luottamusankkurit.

Seuraavat toimenpiteet

  • Suojatun käynnistyksen palautusapuohjelman avulla voit palauttaa tarvittavan varmenteen, jotta laite voi käynnistyä uudelleen.
  • Varmista palautuksen jälkeen, että laitteeseen on asennettu uusin laitevalmistajalta saatava laiteohjelmisto.
  • Vältä suojatun käynnistyksen palauttamista laiteohjelmiston oletusarvoihin, ellei OEM-laiteohjelmisto sisällä päivitettyjä suojatun käynnistyksen oletusasetuksia, jotka luottavat vuoden 2023 varmenteisiin.

Suojatun käynnistyksen palautusapuohjelma

Järjestelmän palauttaminen:

  1. Kopioi SecureBootRecovery.efi toisessa Windows-tietokoneessa, johon on asennettu heinäkuun 2024 tai uudempi Windows-päivitys, sijainnista C:\Windows\Boot\EFI\.
  2. Aseta tiedosto FAT32-alustettuun USB-asemaan kohdassa \EFI\BOOT\ ja nimeä se uudelleen nimellä bootx64.efi.
  3. Käynnistä viallinen laite USB-asemasta ja anna palautusapuohjelman toimia. Apuohjelma lisää Windows UEFI CA 2023:n tietokantaan.

Kun varmenne on palautettu ja järjestelmä käynnistyy uudelleen, Windowsin pitäisi käynnistyä normaalisti.

Tärkeää: Tämä prosessi ottaa uudelleen käyttöön vain yhden uusista varmenteista. Kun laite on palautettu, varmista, että siinä on uusimmat varmenteet otettu uudelleen käyttöön, ja harkitse järjestelmän BIOS/UEFI:n päivittämistä uusimpaan saatavilla olevaan versioon. Tämä voi auttaa estämään suojatun käynnistyksen palautusongelman toistumisen, koska monet OEM-valmistajat ovat julkaisseet laiteohjelmistokorjauksia juuri tähän ongelmaan.

Laite ei käynnisty suojatun käynnistyksen päivityksen jälkeen, koska laiteohjelmisto korvaa tietokannan

Mitä tapahtui

Suojatun käynnistyksen varmenteen päivityksen käyttöönoton ja uudelleenkäynnistyksen jälkeen laite ei käynnisty eikä muodosta yhteyttä Windowsiin.

Tunnistaminen

  • Laite kaatuu välittömästi suojatun käynnistyksen päivityksen edellyttämän uudelleenkäynnistyksen jälkeen.
  • Näyttöön saattaa tulla laiteohjelmiston tai suojatun käynnistyksen virhe tai järjestelmä voi pysähtyä ennen Windowsin latautumista.
  • Suojatun käynnistyksen poistaminen käytöstä saattaa sallia laitteen käynnistymisen.

Syyt tähän

Tämä ongelma saattaa johtua virheestä laitteen UEFI-laiteohjelmiston toteutuksessa.

Kun Windows ottaa käyttöön suojatun käynnistyksen varmennepäivityksiä, laiteohjelmiston oletetaan lisäävän uusia varmenteita olemassa olevaan suojatun käynnistyksen sallittujen allekirjoitusten tietokantaan (DB). Jotkin laiteohjelmiston toteutukset korvaavat tietokannan virheellisesti liittämisen sijasta.

Kun näin tapahtuu,

  • Aiemmin luotetut varmenteet, kuten Microsoft 2011 -käynnistyslataimen varmenne, poistetaan.
  • Jos järjestelmä käyttää vielä 2011-varmenteella allekirjoitettua käynnistyksen hallintaohjelmaa, laiteohjelmisto ei enää luota siihen.
  • Laiteohjelmisto hylkää käynnistyksen hallinnan ja estää käynnistysprosessin.

Joissakin tapauksissa tietokanta voi myös korruptoitua sen sijaan, että se korvattaisiin kokonaan, mikä johtaa samaan lopputulokseen. Tämä on havaittu tietyissä laiteohjelmistototeutuksissa, eikä sitä odoteta yhteensopivissa laiteohjelmistoissa.

Seuraavat toimenpiteet

  • Siirry laiteohjelmiston asennusvalikoihin ja yritä palauttaa suojatun käynnistyksen asetukset.
  • Jos laite käynnistyy oletusasetusten palauttamisen jälkeen, tarkista, onko laitevalmistajan tukisivustossa laiteohjelmistopäivitys, joka korjaa suojatun käynnistyksen tietokannan käsittelyn.
  • Jos laiteohjelmistopäivitys on saatavilla, asenna se ennen suojatun käynnistyksen ottamista uudelleen käyttöön ja suojatun käynnistyksen varmennepäivitysten käyttöönottoa uudelleen.

Jos suojatun käynnistyksen palauttaminen ei palauta käynnistystoimintoa, lisäpalautus edellyttää todennäköisesti OEM-laitevalmistajan ohjeita.

Secure Boot -päivitys estetty puuttuvan OEM-allekirjoitetun KEK:n vuoksi

Mitä tapahtui

Suojatun käynnistyksen varmenteen päivitystä ei ole suoritettu loppuun, ja se pysyy estettynä avainvaihtoavaimen (KEK) päivitysvaiheessa.

Tunnistaminen

  • AvailableUpdates-rekisteriarvo pysyy KEK-bitin (0x0004) mukaisena, eikä se tyhjene.
  • UEFICA2023-tila ei etene valmiiseen tilaan.
  • Järjestelmän tapahtumalokiin kirjataan toistuvasti tapahtumatunnus 1803, mikä ilmaisee, että KEK-päivitystä ei voitu ottaa käyttöön.
  • Laite jatkaa päivityksen yrittämistä uudelleen edistymättä asiassa.

Syyt tähän

Secure Boot KEK:n päivittäminen edellyttää valtuutusta laitteen Platform Key (PK) -palvelimelta, joka on OEM:n omistama.

Jotta päivitys onnistuu, laitteen valmistajan on toimitettava Microsoftille PK-allekirjoitettu KEK kyseistä alustaa varten. Tämä OEM-allekirjoitettu KEK sisältyy Windows-päivityksiin ja sen avulla Windows voi päivittää laiteohjelmiston KEK-muuttujan.

Jos OEM ei ole toimittanut laitteelle PK-allekirjoitettua KEK-tiedostoa, Windows ei voi suorittaa KEK-päivitystä loppuun. Tässä tilassa:

  • Suojatun käynnistyksen päivitykset on estetty suunnittelun vuoksi.
  • Windows ei voi kiertää puuttuvaa valtuutusta.
  • Laite voi jäädä pysyvästi kyvyttömäksi suorittamaan suojatun käynnistyksen varmenteen ylläpitoa.

Tämä voi tapahtua vanhoissa tai laitteissa, joissa ei ole tukea, ja OEM ei enää tarjoa laiteohjelmisto- tai avainpäivityksiä. Tälle tilalle ei ole tuettua manuaalista palautuspolkua.

alkuun

Suojatun käynnistyksen varmenteen päivitystapahtumat ja virheilmaisimet

Kun suojatun käynnistyksen varmennepäivityksiä ei oteta käyttöön, Windows tallentaa diagnostiikkatapahtumia, jotka selittävät, miksi edistyminen estettiin. Nämä tapahtumat kirjoitetaan, kun Secure Boot -allekirjoitustietokannan (DB) päivitystä tai avainvaihtoavainta (KEK) ei voida suorittaa loppuun turvallisesti laiteohjelmiston, ympäristön tilan tai määritysolosuhteiden vuoksi. Tämän osion skenaariot viittaavat näihin tapahtumiin yleisten virhemallien tunnistamiseksi ja asianmukaisen korjauksen määrittämiseksi. Tämä osio on tarkoitettu tukemaan aiemmin kuvattujen ongelmien vianmääritystä ja tulkintaa, ei esittelemään uusia virhetilanteita.

Täydellinen luettelo tapahtumatunnuksista, kuvauksista ja esimerkkimerkinnöistä on kohdassa Secure Boot DB- ja DBX-muuttujien päivitystapahtumat (KB5016061).

KEK-päivitysvirhe (tietokannan päivitykset onnistuvat, KEK ei)

Laite pystyy päivittämään suojatun käynnistyksen tietokannan varmenteet onnistuneesti, mutta se epäonnistuu KEK-päivityksen aikana. Kun näin tapahtuu, suojatun käynnistyksen päivitysprosessia ei voi suorittaa loppuun.

Ongelman oireet

  • DB-varmennetapahtumat ilmaisevat edistymistä, mutta KEK-vaihetta ei ole suoritettu loppuun.
  • AvailableUpdates-ominaisuuden arvona pysyy 0x4004 eikä 0x0004-bittiä tyhjennetä useiden tehtäväsuoritusten jälkeen.
  • Tapahtuma 1795 tai 1803 saattaa olla läsnä.

Tulkinta

  • 1795 ilmaisee yleensä laiteohjelmistovirheen yritettäessä päivittää suojatun käynnistyksen muuttujaa.
  • 1803 ilmaisee, että KEK-päivitystä ei voi hyväksyä, koska tarvittavaa OEM PK:n allekirjoittamaa KEK-tietoja ei ole käytettävissä alustalle.

Seuraavat vaiheet

  • 1795: tarkista OEM-laiteohjelmistopäivitykset ja vahvista laiteohjelmistotuki suojatun käynnistyksen muuttujapäivityksille.
  • Jos kyseessä on versio 1803, varmista, onko OEM toimittanut Microsoftille laitemallin edellyttämän PK-allekirjoitetun KEK:n.

KEK-päivitysvirhe Hyper-V:ssä isännöidyissä vierasvirtuaalikoneissa

Hyper-V-virtuaalikoneissa suojatun käynnistyksen varmennepäivitykset edellyttävät, että maaliskuun 2026 Windows-päivitykset asennetaan sekä Hyper-V-isäntään että vieraskäyttöjärjestelmään.

Päivitysvirheet raportoidaan vieraan sisältä, mutta tapahtuma ilmaisee, missä korjausta tarvitaan:

  • Vieraassa ilmoitettu tapahtuma 1795 (esimerkiksi "Tietoväline on kirjoitussuojattu") ilmaisee, että Hyper-V-isännästä puuttuu maaliskuun 2026 päivitys ja se on päivitettävä.
  • Vieraassa raportoitu tapahtuma 1803 ilmaisee, että varsinaisesta vierasvirtuaalikoneesta puuttuu maaliskuun 2026 päivitys ja se on päivitettävä.

alkuun

Viite ja sisäiset tiedot

Tämä osa sisältää vianmääritystä ja tukea varten tarkoitettuja lisäviitetietoja. Sitä ei ole tarkoitettu käyttöönoton suunnitteluun. Se laajentaa aiemmin esiteltyä suojatun käynnistyksen ylläpitomekaniikkaa ja tarjoaa yksityiskohtaista viitemateriaalia rekisterin tilan ja tapahtumalokien tulkintaan.

Huomautus (IT-hallitut käyttöönotot): Kun ne määritetään ryhmäkäytännön tai Microsoft Intune kautta, kahta samanlaista asetusta ei pidä sekoittaa toisiinsa. AvailableUpdatesPolicy-arvo edustaa määritettyä käytäntötilaa. Samaan aikaan AvailableUpdates heijastaa meneillään olevaa, bittien tyhjennystilaa. Molemmat voivat johtaa samaan lopputulokseen, mutta ne käyttäytyvät eri tavalla, koska käytäntöä sovelletaan uudelleen ajan mittaan.

alkuun

Varmenteiden ylläpitoon käytetyt AvailableUpdates-bitit

Alla olevia bittejä käytetään tässä asiakirjassa kuvattuihin varmenteiden ja käynnistyksen hallintatoimintojen suorittamiseen. Järjestys-sarake vastaa järjestystä, jossa Suojattu käynnistys ja päivitys -tehtävä käsittelee kunkin bitin.

Järjestys Bittiasetus Käyttö
1 0x0040 Tämä bitti kertoo ajoitetun tehtävän lisätä Windows UEFI CA 2023 -varmenne suojatun käynnistyksen tietokantaan. Tämän ansiosta Windows voi luottaa tällä varmenteella allekirjoitettuihin käynnistyksen valvojiin.
2 0x0800 Tämä bitti kertoo ajoitetun tehtävän ottamaan Microsoft Option ROM UEFI CA 2023:n käyttöön tietokannassa.
Ehdollinen toiminta: Kun 0x4000 merkintä on asetettu, ajoitettu tehtävä tarkistaa ensin tietokannasta Microsoft Corporation UEFI CA 2011 -varmenteen. Se käyttää Microsoft Option ROM UEFI CA 2023 - varmennetta vain, jos 2011 varmenne on olemassa.
3 0x1000 Tämä bitti kertoo ajoitetun tehtävän ottaa Microsoft UEFI CA 2023 käyttöön tietokannassa.
Ehdollinen toiminta: Kun 0x4000 merkintä on asetettu, ajoitettu tehtävä tarkistaa ensin tietokannasta Microsoft Corporation UEFI CA 2011 -varmenteen. Se käyttää Microsoft UEFI CA 2023 -varmennetta vain, jos vuoden 2011 varmenne on olemassa.
Määrite (toimintamerkintä) 0x4000 Tämä bitti muokkaa 0x0800- ja 0x1000 bittien toimintaa siten, että Microsoft UEFI CA 2023 ja Microsoft Option ROM UEFI CA 202 3otetaan käyttöön vain, jos tietokanta sisältää jo Microsoft Corporation UEFI CA 2011:n.

Jotta laitteen suojausprofiili pysyy samana, tämä bitti käyttää näitä uusia varmenteita vain, jos laite luottaa Microsoft Corporation UEFI CA 2011 -varmenteeseen. Kaikki Windows-laitteet eivät luota tähän varmenteeseen.
4 0x0004 Tämä bitti ohjaa ajoitetun tehtävän etsimään avainvaihtoavainta, joka on allekirjoitettu laitteen Platform Key (PK) -tunnuksella. PK:ta hallitsee OEM. OEM-valmistajat allekirjoittavat Microsoft KEK:n PK:llaan ja toimittavat sen Microsoftille, jossa se sisällytetään kuukausittaisiin kumulatiivisiin päivityksiin.
5 0x0100 Tämä bitti kertoo ajoitetun tehtävän Windows UEFI CA 2023:n allekirjoittaman käynnistyshallinnan soveltamiseksi käynnistysosioon. Tämä korvaa Microsoft Windows Production PCA 2011:n allekirjoitetun käynnistyshallinnan.

Huomautuksia:

  • 0x4000-bitti säilyy ennallaan, kun kaikki muut bitit on käsitelty.
  • Ajoitettu Secure-Boot-Update-tehtävä käsittelee kunkin bitin yllä esitetyssä järjestyksessä.
  • Jos 0x0004 bittiä ei voida käsitellä puuttuvan PK-allekirjoitetun KEK:n vuoksi, ajoitettu tehtävä käyttää edelleen bitin 0x0100 ilmaisemaa käynnistyksen hallintapäivitystä.

alkuun

Odotettu edistyminen (AvailableUpdates)

Kun toiminto on suoritettu onnistuneesti, Windows tyhjentää siihen liittyvän bitin AvailableUpdates-kohdasta. Jos toiminto epäonnistuu, Windows kirjaa tapahtuman ja yrittää uudelleen, kun tehtävä suoritetaan uudelleen.

Alla olevassa taulukossa on esitetty AvailableUpdates-arvojen odotettu kehitys, kun kukin suojatun käynnistyksen päivitystoiminto on valmis.

Raja Bitti käsitelty Saatavilla olevat päivitykset Kuvaus Onnistumistapahtuma kirjattu Mahdolliset virhetapahtumakoodit
Aloita 0x5944 Alkuperäinen tila ennen suojatun käynnistyksen varmenteen ylläpidon alkamista. - -
1 0x0040 0x5944 → 0x5904 Windows UEFI CA 2023 lisätään suojatun käynnistyksen tietokantaan. 1036 1032, 1795, 1796, 1802
2 0x0800 0x5904 → 0x5104 Lisää Microsoft Option ROM UEFI CA 2023 tietokantaan, jos laite luotti aiemmin Microsoft UEFI CA 2011:een. 1044 1032, 1795, 1796, 1802
3 0x1000 0x5104 → 0x4104 Microsoft UEFI CA 2023 lisätään tietokantaan, jos laite luotti aiemmin Microsoft UEFI CA 2011:een. 1045 1032, 1795, 1796, 1802
4 0x0004 0x4104 → 0x4100 Uusi Microsoft KEK 2K CA 2023, joka on allekirjoitettu OEM-alustan avaimella, otetaan käyttöön. 1043 1032, 1795, 1796, 1802, 1803
5 0x0100 0x4100 → 0x4000 Windows UEFI CA 2023:n allekirjoittama käynnistyksen hallintaohjelma on asennettu. 1799 1797

Huomautuksia

  • Kun bittiin liittyvä toiminto on suoritettu onnistuneesti loppuun, kyseinen bitti poistetaan AvailableUpdates-palvelusta.
  • Jos jokin näistä toiminnoista epäonnistuu, tapahtuma kirjataan lokiin ja toimintoa yritetään uudelleen, kun ajoitettu tehtävä suoritetaan seuraavan kerran.
  • 0x4000 bitti on määrite, eikä sitä tyhjennetä. Lopullinen AvailableUpdates-arvo 0x4000 osoittaa, että kaikki käytettävissä olevat päivitystoiminnot on suoritettu onnistuneesti.
  • Tapahtumat 1032, 1795, 1796, 1802 kertovat yleensä laiteohjelmiston tai käyttöympäristön rajoituksista.
  • Tapahtuma 1803 ilmaisee, että OEM PK-allekirjoitettu KEK puuttuu.

alkuun

Korjaustoimenpiteet

Tämä osa sisältää vaiheittaiset ohjeet tiettyjen suojatun käynnistyksen ongelmien korjaamiseen. Jokainen toimenpide on rajattu tarkasti määritellyn tilan mukaan, ja se on tarkoitettu suoritettavaksi vasta, kun alustava diagnoosi on vahvistanut, että ongelma on voimassa. Näiden toimenpiteiden avulla voit palauttaa suojatun käynnistyksen odotetun toiminnan ja sallia varmennepäivitysten etenemisen turvallisesti. Älä käytä näitä menettelytapoja laajasti tai ennaltaehkäisevästi.

alkuun

Laiteohjelmiston suojatun käynnistyksen ottaminen käyttöön

Jos suojattu käynnistys on poistettu käytöstä laitteen laiteohjelmistossa, katso lisätietoja suojatun käynnistyksen käyttöönotosta kohdasta Windows 11 ja suojattu käynnistys.

alkuun

Suojatun käynnistyksen ajoitettu tehtävä poistettu käytöstä tai poistettu

Suojatun käynnistyksen ja päivityksen ajoitettu tehtävä vaaditaan, jotta Windows voi ottaa käyttöön suojatun käynnistyksen varmennepäivitykset. Jos tehtävä on poistettu käytöstä tai puuttuu, suojatun käynnistyksen varmenteen ylläpito ei edisty.

Tehtävän tiedot

Tehtävän nimi Suojattu käynnistys-päivitys
Tehtäväpolku \Microsoft\Windows\PI\
Koko polku \Microsoft\Windows\PI\Secure-Boot-Update
Suoritetaan muodossa SYSTEM (Local System)
Käynnistimet Käynnistyksen yhteydessä ja 12 tunnin välein
Pakollinen tila Käytössä

Tehtävän tilan tarkistaminen

Suorita järjestelmänvalvojan oikeuksin suoritettavasta PowerShell-kehotteesta:
schtasks.exe /query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Etsi Tila-kenttä :

Tila Merkitys
Valmis Tehtävä on olemassa ja se on käytössä.
Ei käytössä Tehtävä on olemassa, mutta se on otettava käyttöön.
Virhe / Ei löydy Tehtävä puuttuu, ja se on luotava uudelleen.

Tehtävän ottaminen käyttöön tai luominen uudelleen

Jos Secure-Boot-Updaten tilakenttä on Ei käytössä, Virhe tai Ei löydy, ota tehtävä käyttöön esimerkkikomentosarjan avulla: Malli Enable-SecureBootUpdateTask.ps1

Huomautus: Tämä on esimerkkikomentosarja, jota Microsoft ei tue. Järjestelmänvalvojien tulee tarkistaa ja mukauttaa se ympäristöönsä.

Esimerkki:

Huomautus

.\Enable-SecureBootUpdateTask.ps1 -hiljainen

Suorita ohjeet

  • Jos näet Käyttö estetty, suorita PowerShell uudelleen järjestelmänvalvojana.
  • Jos komentosarjaa ei suoriteta suorituskäytännön vuoksi, käytä prosessin laajuuden ohittamista:

Huomautus

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass

alkuun