Käytetään kohteeseen
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Alkuperäinen julkaisupäivä: 14. lokakuuta 2025

KB-tunnus: 5068202

Tässä artikkelissa on ohjeita:  

  • Organisaatiot, joissa on IT-hallittuJa Windows-laitteita ja -päivityksiä.

Tämän tuen saatavuus:  

KäytettävissäPäivitys-, UEFICA2023Status-, UEFICA2023Error-, HighConfidenceOptOut- ja MicrosoftUpdateManagedOptIn -rekisteriavaimet sisältyvät seuraavina päivinä julkaistuihin päivityksiin:

  • 14. lokakuuta 2025: Tuettuja versioita ovat Windows 10, versio 22H2 ja uudemmat versiot (mukaan lukien 21H2 LTSC), kaikki tuetut Windows 11 versiot sekä Windows Server 2022 ja uudemmat versiot.

  • 11. marraskuuta 2025: Windows-versiot ovat edelleen tuettuja.

Päivämäärän muuttaminen

Muuta kuvausta

4. marraskuuta 2025

  • Lisäsi sivulle vielä yhden rekisteriavaimen.

  • Korjattu lauseke kohteesta "Jos esimerkiksi DB:n (luotettujen allekirjoitusten tietokannan) päivittäminen epäonnistui laiteohjelmisto-ongelman vuoksi, rekisteriavaimessa saattaa näkyä virhekoodi, joka voidaan yhdistää tapahtumalokiin tai dokumentoitu virhetunnus sisään" sanomalla "Jos esimerkiksi DB:n (luotettujen allekirjoitusten tietokannan) päivittäminen epäonnistui laiteohjelmisto-ongelman vuoksi, tämä rekisteriavain saattaa näyttää laiteohjelmiston virhekoodin. Kun tämä avain on olemassa ja se ei ole nolla, suosittelemme, että etsit suojatun käynnistyksen tapahtumia Windowsin tapahtumalokeista – lisätietoja on ohjeaiheessa (linkki).

  • Lisätty kaksi erillistä polkua rekisteriavaimille alla

11. marraskuuta 2025

  • Päivitetty laitetestaus rekisteriavaimilla -kohdan kappale, jossa on lisätietoja: "Rekisteriavaimen pitäisi muuttua nopeasti 0x4100. Kun käynnistät ja suoritat tehtävän uudelleen, käynnistyksen hallinta päivittyy ja Käytettävissä olevat päivittyvät 0x0100. Lisätietoja AvailableUpdates-toiminnosta on ohjeaiheessa Vianmääritys.

  • Päivitä Laitetestaus rekisteriavaimilla -kohdan harmaan ruudun teksti niin, että siinä on kaksi muuta PowerShell-komentoa

  • Rekisteriavainten rekisteriarvo -MicrosoftUpdateManagedOptIn,muutettiin 1 - Opt in -asetukseksi 1 tai muu arvo , joka ei ole nolla – Ota käyttöön

16. marraskuuta 2025

Päivitin "Laitetestaus rekisteriavaimien avulla" -kohdan sisällön. Käytettävissä oleva päivitysarvo muutettiin 0x0100-0x4000.

Tässä artikkelissa

Johdanto

Tässä asiakirjassa kuvataan tuki suojatun käynnistyksen varmennepäivitysten käyttöönottoon, hallintaan ja valvontaan Windowsin rekisteriavaimien avulla. Avaimet koostuvat seuraavista: 

  • Yksi avain, joka käynnistää varmenteiden käyttöönoton ja käynnistyksen hallinnan laitteessa.

  • Kaksi avainta käyttöönoton tilan seurantaa varten.

  • Kaksi näppäintä kahden käytettävissä olevan käyttöönottotuen käyttöönottoasetusten hallintaan.

Nämä rekisteriavaimet voidaan määrittää manuaalisesti laitteessa tai etänä käytettävissä olevan kalustonhallintaohjelmiston avulla. Muut käyttöönottotavat, kuten ryhmäkäytäntö, Microsoft Intune ja WinCS, on kuvattu artikkelissa Windows-laitteet yrityksille ja organisaatioille IT-hallittujen päivitysten avulla.  

Suojatun käynnistyksen rekisteriavaimet

Tässä osassa

Rekisteriavaimet

Kaikki alla kuvatut suojatun käynnistyksen rekisteriavaimet sijaitsevat tämän rekisteripolun alapuolella: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Seuraavassa taulukossa kuvataan kaikki rekisteriarvot:

Rekisteriarvoa

Tyyppi

Kuvaus ja käyttö

Käytettävissä Olevat versiot

REG_DWORD (bittikartan)

Päivitä käynnistinmerkinnät.

Määrittää, mitkä suojatun käynnistyksen päivitystoiminnot suoritetaan laitteessa. Sopivan bittikentän määrittäminen tässä käynnistää uusien suojatun käynnistyksen varmenteiden ja niihin liittyvien päivitysten käyttöönoton. Yrityksen käyttöönotossa tämä asetus on 0x5944 (heksa) – arvo, joka ottaa käyttöön kaikki tarvittavat päivitykset (uusien 2023 CA -varmenteiden lisääminen, KEK:n päivittäminen ja uuden käynnistyksen hallinnan asentaminen). 

Asetukset

  • 0 tai ei ole määritetty – Suojatun käynnistyksen avaimen päivitystä ei suoriteta.

  • 0x5944 – Ota käyttöön kaikki tarvittavat varmenteet ja päivitä PCA2023 allekirjoitettu käynnistyksen hallinta

HighConfidenceOptOut

REG_DWORD

Kieltäytyminen-vaihtoehto.

Yritykset, jotka haluavat jättäytyä pois korkean luottamuksen säilöistä, joita käytetään automaattisesti osana LCU:ta.

Voit määrittää tämän avaimen arvoksi ei-nolla, jos haluat jättäytyä pois suuren luottamuksen säilöistä. 

Asetukset 

  • 0 tai avainta ei ole – Ota käyttöön

  • 1 – Estä

MicrosoftUpdateManagedOptIn

REG_DWORD

Valitse-vaihtoehto.

Yrityksille, jotka haluavat ottaa käyttöön CFR (Controlled Feature Rollout) -ylläpidon, joka tunnetaan myös nimellä Microsoft Managed.

Salli tämän avaimen määrittämisen lisäksi tarvittavien diagnostiikkatietojen lähettäminen (katso Windowsin diagnostiikkatietojen määrittäminen organisaatiossa). 

Asetukset

  • 0 tai avainta ei ole – Poistu käytöstä

  • 1 tai mikä tahansa muu kuin nolla-arvo  – Osallistu

Kaikki alla kuvatut suojatun käynnistyksen rekisteriavaimet sijaitsevat tämän rekisteripolun alapuolella: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Seuraavassa taulukossa kuvataan kaikki rekisteriarvot:

Rekisteriarvoa

Tyyppi

Kuvaus ja käyttö

UEFICA2023Status

REG_SZ (merkkijono)

Käyttöönoton tilan ilmaisin.

Vastaa suojatun käynnistysavaimen päivityksen nykyistä tilaa laitteessa. Sen arvoksi määritetään jokin seuraavista tekstiarvoista:

  • Ei käynnistynyt: Päivitystä ei ole vielä asennettu.

  • InProgress: Päivitys on käynnissä.

  • Päivitetty: Päivitys on suoritettu onnistuneesti.

Tila on aluksi Ei käynnistynyt. Se muuttuu InProgress-versioksi päivityksen alkaessa ja lopuksi päivittymään, kun kaikki uudet avaimet ja uusi käynnistyksen hallinta on otettu käyttöön. Jos tapahtuu virhe, UEFICA2023Error-rekisteriarvoksi määritetään muu kuin nollakoodi.

UEFICA2023Virhe

REG_DWORD (koodi)

Virhekoodi (jos sellainen on).

Tämä arvo on edelleen 0 onnistumisen jälkeen. Jos päivitysprosessissa ilmenee virhe, UEFICA2023Error on määritetty virhekoodiksi, joka ei ole nolla ja joka vastaa ensimmäistä havaittua virhettä. Virhe viittaa siihen, että suojatun käynnistyksen päivitys ei täysin onnistunut, ja se voi vaatia tutkimuksia tai korjauksia kyseisessä laitteessa.  

Jos esimerkiksi DB:n (luotettujen allekirjoitusten tietokannan) päivittäminen epäonnistui laiteohjelmisto-ongelman vuoksi, tämä rekisteriavain saattaa näyttää laiteohjelmiston virhekoodin. Kun tämä avain on olemassa ja se ei ole nolla, suosittelemme, että etsit suojatun käynnistyksen tapahtumia Windowsin tapahtumalokeista – katso lisätietoja artikkelista Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat.

WindowsUEFICA2023Capable

REG_DWORD (koodi)

Tämä rekisteriavain on tarkoitettu rajoitetun käyttöönoton skenaarioihin, eikä sitä suositella yleiseen käyttöön. Käytä useimmissa tapauksissa UEFICA2023Status-rekisteriavainta.

Kelvolliset arvot:

0 – tai avainta ei ole – Windows UEFI CA 2023 -varmennetta ei ole DB:ssä

1 - Windows UEFI CA 2023 -varmenne on DB:ssä

2 - Windows UEFI CA 2023 -varmenne on DB:ssä ja järjestelmä alkaa vuoden 2023 allekirjoitetusta käynnistyksen hallinnasta

Miten nämä näppäimet toimivat yhdessä

IT-järjestelmänvalvojat määrittävät AvailableUpdates-rekisteriarvon0x5944, mikä ilmoittaa Windowsille, että se suorittaa suojatun käynnistysavaimen päivityksen ja asennuksen laitteessa.

Kun prosessi suoritetaan, järjestelmä päivittää UEFICA2023StatuksenNotStartedistaInProgressiin ja lopuksi Päivitetty menestykseen. Koska jokainen 0x5944-bitti käsitellään onnistuneesti, se tyhjennetään.

Jos jokin vaihe epäonnistuu, virhekoodi tallennetaan UEFICA2023Error -sovelluksessa (ja tila säilyy InProgressissa).

Tämä mekanismi antaa järjestelmänvalvojille selkeän tavan käynnistää ja seurata laitteen käyttöönottoa. 

Käyttöönotto rekisteriavaimien avulla 

Käyttöönotto laiteryhmälle koostuu seuraavista vaiheista: 

  1. Määritä AvailableUpdates-rekisteriarvoksi0x5944 jokaisessa päivitettävässä laitteessa.

  2. Valvo UEFICA2023Status - ja UEFICA2023Error-rekisteriavaimia nähdäksesi, että laitteet edistyvät. Näitä päivityksiä käsittelevä tehtävä suoritetaan 12 tunnin välein. Huomaa, että käynnistyksen hallinnan päivitys voi tapahtua vasta uudelleenkäynnistyksen jälkeen.

  3. Tutki ongelmia, jos niitä ilmenee. Jos UEFICA2023Error ei ole nolla laitteessa, voit tarkistaa tähän ongelmaan liittyvät tapahtumat tapahtumalokista. Katso täydellinen luettelo suojatun käynnistyksen tapahtumista kohdasta Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat .

Huomautus uudelleenkäynnistyksistä: Vaikka prosessin suorittaminen saattaa edellyttää uudelleenkäynnistystä, suojatun käynnistyksen päivitysten käyttöönoton aloittaminen ei aiheuta uudelleenkäynnistystä. Jos uudelleenkäynnistystä tarvitaan, suojatun käynnistyksen käyttöönotto edellyttää uudelleenkäynnistystä laitteen normaalina käyttötapana. 

Laitetestaus rekisteriavaimilla 

Kun testaat yksittäisiä laitteita varmistaaksesi, että laitteet käsittelevät päivitykset oikein, rekisteriavaimet voivat olla suoraviivainen tapa testata. 

Testaa suorittamalla seuraavat komennot erillään järjestelmänvalvojan PowerShell-kehotteesta: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Käynnistä järjestelmä uudelleen manuaalisesti, kun Käytettävissä olevat versiot -toiminnosta tulee 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Ensimmäinen komento käynnistää varmenteen ja käynnistyksen hallinnan käyttöönoton laitteessa. Toinen komento aiheuttaa sen, että AvailableUpdates-rekisteriavainta käsittelevä tehtävä suoritetaan heti. Yleensä tehtävä suoritetaan 12 tunnin välein. Rekisteriavaimen pitäisi muuttua nopeasti 0x4100. Kun käynnistät ja suoritat tehtävän uudelleen, käynnistyksen hallinta päivittyy ja Käytettävissä olevat päivittyvät 0x4000. Lisätietoja AvailableUpdates-toiminnosta on ohjeaiheessa Vianmääritys.

Voit etsiä tulokset tarkkailemalla UEFICA2023Status - ja UEFICA2023Error-rekisteriavaimia sekä tapahtumalokeja suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumissa kuvatulla tavalla. 

Osallistu avustamiseen ja kieltäydy avusta 

HighConfidenceOptOut- ja MicrosoftUpdateManagedOptIn -rekisteriavaimilla voidaan hallita kahta Windows-laitteissa kuvattua käyttöönottoavustajaa IT-hallittujen päivitysten avulla

  • HighConfidenceOptOut-rekisteriavain ohjaa laitteiden automaattista päivitystä kumulatiivisten päivitysten kautta. Laitteissa, joissa Microsoft on havainnut tiettyjen laitteiden päivittämisen onnistuneesti, niitä pidetään "erittäin turvallisina" laitteina, ja suojatun käynnistyksen varmennepäivitykset tapahtuvat automaattisesti. Oletusasetus on ota käyttöön.

  • MicrosoftUpdateManagedOptIn-rekisteriavaimen avulla IT-osastot voivat ottaa käyttöön Microsoftin hallinnoiman automaattisen käyttöönoton. Tämä asetus on oletusarvoisesti poissa käytöstä ja se määritetään 1-valintaan. Tämä asetus edellyttää myös, että laite lähettää valinnaisia diagnostiikkatietoja.

Tuetut Windows-versiot

Tässä taulukossa tuki jakautuu edelleen rekisteriavaimen perusteella. 

Avain 

Tuetut Windows-versiot 

Käytettävissä Olevat versiot 

UEFICA2023Status 

UEFICA2023Virhe 

Kaikki Suojatun käynnistyksen tukevat Windows-versiot (Windows Server 2012 ja uudemmat Windows-versiot).  

Muistiinpano: Luottamustiedot kerätään Windows 10, versioissa LTSC, 22H2 ja uudemmissa Windows-versioissa, mutta niitä voidaan käyttää laitteissa, joissa on windowsin aiempi versio.    

  • Windows 10, versiot LTSC ja 22H2

  • Windows 11, versiot 22H2 ja 23H2

  • Windows 11, versio 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Suojatun käynnistyksen virhetapahtumat

​​​​​​​​​​​​​​Virhetapahtumilla on kriittinen raportointifunktio, joka ilmoittaa suojatun käynnistyksen tilasta ja edistymisestä.  Lisätietoja virhetapahtumista on artikkelissa Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat. Virhetapahtumiin päivitetään muita suojatun käynnistyksen tapahtumatietoja. 

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus