Käytetään kohteeseen
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Alkuperäinen julkaisupäivä: 14. lokakuuta 2025

KB-tunnus: 5068202

Tässä artikkelissa on ohjeita:  

  • Organisaatiot, joissa on IT-hallittuJa Windows-laitteita ja -päivityksiä.

Tämän tuen saatavuus:  

  • KäytettävissäPäivitys-, UEFICA2023Status-, UEFICA2023Error-, HighConfidenceOptOut- ja MicrosoftUpdateManagedOptIn -rekisteriavaimet sisältyvät seuraavina päivinä julkaistuihin päivityksiin:

    • 14. lokakuuta 2025: Tuettuja versioita ovat Windows 10, versio 22H2 ja uudemmat versiot (mukaan lukien 21H2 LTSC), kaikki tuetut Windows 11 versiot sekä Windows Server 2022 ja uudemmat versiot.

    • 11. marraskuuta 2025: Windows-versiot ovat edelleen tuettuja.

Tässä artikkelissa

Johdanto

Tässä asiakirjassa kuvataan tuki suojatun käynnistyksen varmennepäivitysten käyttöönottoon, hallintaan ja valvontaan Windowsin rekisteriavaimien avulla. Avaimet koostuvat seuraavista: 

  • Yksi avain, joka käynnistää varmenteiden käyttöönoton ja käynnistyksen hallinnan laitteessa.

  • Kaksi avainta käyttöönoton tilan seurantaa varten.

  • Kaksi näppäintä kahden käytettävissä olevan käyttöönottotuen opt-in/opt-out-asetusten hallintaan.

Nämä rekisteriavaimet voidaan määrittää manuaalisesti laitteessa tai etänä käytettävissä olevan kalustonhallintaohjelmiston avulla. Muut käyttöönottotavat, kuten ryhmäkäytäntö, Intune ja WinCS, on kuvattu artikkelissa Windows-laitteet yrityksille ja organisaatioille IT-hallittujen päivitysten avulla.  

Suojatun käynnistyksen rekisteriavaimet

Tässä osassa

Rekisteriavaimet

Kaikki tässä asiakirjassa kuvatut suojatun käynnistyksen rekisteriavaimet sijaitsevat tämän rekisteripolun alapuolella: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Seuraavassa taulukossa kuvataan kaikki rekisteriarvot. 

Rekisteriarvoa

Tyyppi

Kuvaus & käyttö

Käytettävissä Olevat versiot

REG_DWORD (bittikartan)

Päivitä käynnistinmerkinnät.

Määrittää, mitkä suojatun käynnistyksen päivitystoiminnot suoritetaan laitteessa. Sopivan bittikentän määrittäminen tässä käynnistää uusien suojatun käynnistyksen varmenteiden ja niihin liittyvien päivitysten käyttöönoton. Yrityksen käyttöönotossa tämä asetus on 0x5944 (heksa) – arvo, joka ottaa käyttöön kaikki tarvittavat päivitykset (uusien 2023 CA -varmenteiden lisääminen, KEK:n päivittäminen ja uuden käynnistyksen hallinnan asentaminen). 

Asetukset: 

  • 0 tai ei ole määritetty – Suojatun käynnistyksen avaimen päivitystä ei suoriteta.

  • 0x5944 – Ota käyttöön kaikki tarvittavat varmenteet ja päivitä PCA2023 allekirjoitettu käynnistyksen hallinta

UEFICA2023Status

REG_SZ (merkkijono)

Käyttöönoton tilan ilmaisin.

Vastaa suojatun käynnistysavaimen päivityksen nykyistä tilaa laitteessa. Sen arvoksi määritetään jokin seuraavista tekstiarvoista:

  • Ei käynnistynyt:Päivitystä ei ole vielä asennettu.

  • InProgress:Päivitys on käynnissä.

  • Päivitetty: Päivitys on suoritettu onnistuneesti.

Tila on aluksi Ei käynnistynyt. Se muuttuu InProgress-versioksi päivityksen alkaessa ja lopuksi päivittymään, kun kaikki uudet avaimet ja uusi käynnistyksen hallinta on otettu käyttöön. Jos tapahtuu virhe, UEFICA2023Error-rekisteriarvoksi määritetään muu kuin nollakoodi.

UEFICA2023Virhe

REG_DWORD (koodi)

Virhekoodi (jos sellainen on).

Tämä arvo on edelleen 0 onnistumisen jälkeen. Jos päivitysprosessissa ilmenee virhe, UEFICA2023Error on määritetty virhekoodiksi, joka ei ole nolla ja joka vastaa ensimmäistä havaittua virhettä. Virhe viittaa siihen, että suojatun käynnistyksen päivitys ei täysin onnistunut, ja se voi vaatia tutkimuksia tai korjauksia kyseisessä laitteessa.  

Jos esimerkiksi DB:n (luotettujen allekirjoitusten tietokannan) päivittäminen epäonnistui laiteohjelmisto-ongelman vuoksi, tässä rekisteriavaimessa voi näkyä virhekoodi, joka voidaan yhdistää tapahtumalokiin tai dokumentoituun virhetunnukseen suojatussa käynnistyksessä DB- ja DBX-muuttujapäivitystapahtumissa

HighConfidenceOptOut

REG_DWORD

Opt-out-vaihtoehto.

Yritykset, jotka haluavat jättäytyä pois korkean luottamuksen säilöistä, joita käytetään automaattisesti osana LCU:ta.

Voit määrittää tämän avaimen arvoksi ei-nolla, jos haluat jättäytyä pois suuren luottamuksen säilöistä. 

Asetukset 

  • 0 tai avainta ei ole – Osallistu

  • 1 – Osallistu

MicrosoftUpdateManagedOptIn

REG_DWORD

Opt-in-vaihtoehto.

Yrityksille, jotka haluavat ottaa käyttöön CFR (Controlled Feature Rollout) -ylläpidon, joka tunnetaan myös nimellä Microsoft Managed.

Salli tämän avaimen määrittämisen lisäksi tarvittavien diagnostiikkatietojen lähettäminen (katso Windowsin diagnostiikkatietojen määrittäminen organisaatiossa). 

Asetukset

  • 0 tai avainta ei ole – Poistu käytöstä

  • 1 – Osallistu

Miten nämä näppäimet toimivat yhdessä

IT-järjestelmänvalvoja määrittää AvailableUpdates-rekisteriarvon0x5944, mikä opastaa Windowsia suorittamaan suojatun käynnistysavaimen päivityksen ja asennuksen laitteeseen.

Kun prosessi suoritetaan, järjestelmä päivittää UEFICA2023StatuksenNotStartedistaInProgressiin ja lopuksi Päivitetty menestykseen. Koska jokainen 0x5944-bitti käsitellään onnistuneesti, se tyhjennetään.

Jos jokin vaihe epäonnistuu, virhekoodi tallennetaan UEFICA2023Error -sovelluksessa (ja tila säilyy InProgressissa).

Tämä mekanismi antaa järjestelmänvalvojille selkeän tavan käynnistää ja seurata laitteen käyttöönottoa. 

Käyttöönotto rekisteriavaimien avulla 

Käyttöönotto laiteryhmälle koostuu seuraavista vaiheista: 

  1. Määritä AvailableUpdates-rekisteriarvoksi0x5944 jokaisessa päivitettävässä laitteessa.

  2. Valvo UEFICA2023Status - ja UEFICA2023Error-rekisteriavaimia nähdäksesi, että laitteet edistyvät. Muista, että näitä päivityksiä käsittelevä tehtävä suoritetaan 12 tunnin välein. Huomaa, että käynnistyksen hallinnan päivitys voi tapahtua vasta uudelleenkäynnistyksen jälkeen.

  3. Tutki ongelmia, jos niitä ilmenee. Jos UEFICA2023Error ei ole nolla laitteessa, voit tarkistaa tähän ongelmaan liittyvät tapahtumat tapahtumalokista. Katso täydellinen luettelo suojatun käynnistyksen tapahtumista kohdasta Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat .

Huomautus uudelleenkäynnistyksistä: Vaikka prosessin suorittaminen saattaa edellyttää uudelleenkäynnistystä, suojatun käynnistyksen päivitysten käyttöönoton aloittaminen ei aiheuta uudelleenkäynnistystä. Jos uudelleenkäynnistystä tarvitaan, suojatun käynnistyksen käyttöönotto edellyttää uudelleenkäynnistystä laitteen normaalina käyttötapana. 

Laitetestaus rekisteriavaimilla 

Kun testaat yksittäisiä laitteita varmistaaksesi, että laitteet käsittelevät päivitykset oikein, rekisteriavaimet voivat olla suoraviivainen tapa testata. 

Testaa suorittamalla seuraavat komennot erillään järjestelmänvalvojan PowerShell-kehotteesta: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Ensimmäinen komento käynnistää varmenteen ja käynnistyksen hallinnan käyttöönoton laitteessa. Toinen komento aiheuttaa sen, että AvailableUpdates-rekisteriavainta käsittelevä tehtävä suoritetaan heti. Yleensä tehtävä suoritetaan 12 tunnin välein. 

Voit etsiä tulokset tarkkailemalla UEFICA2023Status - ja UEFICA2023Error-rekisteriavaimia sekä tapahtumalokeja suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumissa kuvatulla tavalla. 

Avustamiseen osallistuminen ja kieltäytyminen 

HighConfidenceOptOut- ja MicrosoftUpdateManagedOptIn -rekisteriavaimilla voidaan hallita kahta Windows-laitteissa kuvattua käyttöönottoavustajaa IT-hallittujen päivitysten avulla

  • HighConfidenceOptOut-rekisteriavain ohjaa laitteiden automaattista päivitystä kumulatiivisten päivitysten kautta. Laitteissa, joissa Microsoft on havainnut tiettyjen laitteiden päivittämisen onnistuneesti, niitä pidetään "erittäin turvallisina" laitteina, ja suojatun käynnistyksen varmennepäivitykset tapahtuvat automaattisesti. Tämän oletusasetus on valittu.

  • MicrosoftUpdateManagedOptIn-rekisteriavaimen avulla IT-osastot voivat ottaa käyttöön Microsoftin hallinnoiman automaattisen käyttöönoton. Tämä asetus on oletusarvoisesti poissa käytöstä ja se määritetään 1-valintaan. Tämä asetus edellyttää myös, että laite lähettää valinnaisia diagnostiikkatietoja.

Tuetut Windows-versiot

Tässä taulukossa tuki jakautuu edelleen rekisteriavaimen perusteella. 

Avain 

Tuetut Windows-versiot 

Käytettävissä Olevat versiot 

UEFICA2023Status 

UEFICA2023Virhe 

Kaikki Suojatun käynnistyksen tukevat Windows-versiot (Windows Server 2012 ja uudemmat Windows-versiot).  

Muistiinpano: Luottamustiedot kerätään Windows 10, versioissa LTSC, 22H2 ja uudemmissa Windows-versioissa, mutta niitä voidaan käyttää laitteissa, joissa on windowsin aiempi versio.    

  • Windows 10, versiot LTSC ja 22H2

  • Windows 11, versiot 22H2 ja 23H2

  • Windows 11, versio 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Suojatun käynnistyksen virhetapahtumat

​​​​​​​​​​​​​​Virhetapahtumilla on kriittinen raportointifunktio, joka ilmoittaa suojatun käynnistyksen tilasta ja edistymisestä.  Lisätietoja virhetapahtumista on artikkelissa Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat. Virhetapahtumiin päivitetään muita suojatun käynnistyksen tapahtumatietoja. 

Suojatun käynnistyksen muut osan muutokset 

Tässä osassa

TPMTasks-muutokset 

Muokkaa TPMTasks-turvapiiriä sen määrittämiseksi, onko laitteen tilassa päivitetyt suojatun käynnistyksen varmenteet. Tällä hetkellä se voi tehdä tämän päätöksen, mutta vain, jos CFR valitsee koneen päivitettäväksi. Tämän päättäväisyyden ja sitä seuraavan kirjaamisen pitäisi tapahtua jokaisessa käynnistysistunnossa CFR:stä riippumatta. Jos suojatun käynnistyksen varmenteet eivät ole täysin ajan tasalla, ne lähettävät kaksi edellä kuvattua virhetapahtumaa. Jos varmenteet ovat ajan tasalla, ne lähettävät Tiedot-tapahtuman. Suojatun käynnistyksen varmenteet, jotka tarkistetaan, ovat seuraavat:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 ja Microsoft Option ROM UEFI CA 2023 – Nämä kaksi CA:ta saa olla vain, jos Microsoft UEFI CA 2011 on läsnä. Jos Microsoft UEFI CA 2011 ei ole paikalla, tarkistusta ei tarvita.

  • Microsoft Corporation KEK 2K CA 2023

Koneen metatietotapahtuma 

Tämä tapahtuma kerää koneen metatiedot ja antaa seuraavan tapahtuman:

  • BucketId + Luottamusluokitus-tapahtuma   

Tämä tapahtuma käyttää koneen metatietoja vastaavan merkinnän etsimiseen koneiden tietokannasta (säilömerkintä). Kone muotoilee ja lähettää tapahtuman näiden tietojen sekä säilöä koskevien luottamustietojen kanssa. ​​​​​​​ 

Erittäin varma laitetuki 

Turvallisen käynnistyksen varmenteet ja vuoden 2023 allekirjoitettu käynnistyksen hallinta otetaan automaattisesti käyttöön laitteissa, joissa on erittäin luotettava säilö.   

Päivitys käynnistyy samaan aikaan, kun kaksi virhetapahtumaa luodaan, ja BucketId + Confidence Rating -tapahtuma sisältää erittäin luotettavan luokituksen.   

Kieltäytyminen

Asiakkaille, jotka haluavat jättäytyä pois käytöstä, uusi rekisteriavain on saatavilla seuraavasti:   

Rekisterin sijainti

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Näppäin

HighConfidenceOptOut

Näppäintyyppi

DWORD

DWORD-arvo

0 tai avainta ei ole – Korkean luottamuksen avustaja on käytössä.    

1 – Luottamusvälin avustin on poistettu käytöstä   

Mikä tahansa muu arvo on määrittämätön   

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus