חל על
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

תאריך פרסום מקורי: 14 באוקטובר 2025

מזהה KB: 5068202

מאמר זה כולל הדרכה עבור:  

  • ארגונים עם מכשירים ועדכונים של Windows המנוהלי על-ידי IT.

הזמינות של תמיכה זו:  

מפתחות הרישום AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut ו- MicrosoftUpdateManagedOptIn כלולים בעדכונים שהופצו בתאריכים הבאים או לאחר מכן:

  • ה- 14 באוקטובר 2025: הגירסאות הנתמכות כוללות Windows 10, גירסה 22H2 וגירסאות חדשות יותר (כולל 21H2 LTSC), כל הגירסאות הנתמכות של Windows 11 וכן Windows Server 2022 ואילך.

  • ה-11 בנובמבר 2025: עבור גירסאות של Windows שעדיין נמצאות תמיכה.

שנה תאריך

שינוי תיאור

ה-4 בנובמבר 2025

  • נוסף מפתח רישום אחד לדף.

  • תוקן משפט מ- "לדוגמה, אם עדכון מסד הנתונים (מסד הנתונים של החתימות המהימנות) נכשל עקב בעיית קושחה, מפתח רישום זה עשוי להציג קוד שגיאה שניתן למפות ליומן אירועים או למזהה שגיאה מתועד".כדי לומר "לדוגמה, אם עדכון מסד הנתונים (מסד הנתונים של חתימות מהימנות) נכשל עקב בעיית קושחה, מפתח רישום זה עשוי להציג קוד שגיאה מהקשחת. כאשר מפתח זה קיים ואינו אפס, מומלץ לחפש אירועי אתחול מאובטח ביומני האירועים של Windows - ראה (קישור) לקבלת פרטים נוספים".

  • נוספו שני נתיבים נפרדים עבור מפתחות רישום להלן

במאמר זה

מבוא

מסמך זה מתאר תמיכה בפריסה, ניהול וניטור של עדכוני אישור האתחול המאובטח באמצעות מפתחות הרישום של Windows. המפתחות מורכבים מהרכיבים הבאים: 

  • מפתח אחד להפעלת הפריסה של מנהל האישורים והאתחול במכשיר.

  • שני מפתחות לניטור מצב הפריסה.

  • שני מקשים לניהול הגדרות ההצטרפות/ביטול ההצטרפות עבור שני מסייעי הפריסה הזמינים.

ניתן להגדיר מפתחות רישום אלה באופן ידני במכשיר או מרחוק באמצעות תוכנת ניהול צי זמינה. שיטות פריסה אחרות, כגון מדיניות קבוצתית, Microsoft Intune ו- WinCS, מתוארות במאמר מכשירי Windows לעסקים וארגונים עם עדכונים המנוהלי על-ידי IT.  

מפתחות רישום של אתחול מאובטח

במקטע זה

מפתחות רישום

כל מפתחות הרישום של האתחול המאובטח המתוארים להלן ממוקמים תחת נתיב רישום זה: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

הטבלה הבאה מתארת כל אחד מערכי הרישום:

ערך רישום

סוג

תיאור ושימוש

עדכונים זמינים

REG_DWORD (מסיכת סיביות)

עדכן דגלי גורם מפעיל.

קובע אילו פעולות עדכון של אתחול מאובטח יש לבצע במכשיר. הגדרת שדה הסיביות המתאים כאן מפעילה את הפריסה של אישורי אתחול מאובטח ועדכונים קשורים חדשים. עבור פריסה ארגונית, יש להגדיר זאת כ- 0x5944 (hex) – ערך המאפשר את כל העדכונים הרלוונטיים (הוספת אישורי רשות האישורים (CA) החדשים של 2023, עדכון KEK והתקנה של מנהל האתחול החדש). 

הגדרות: 

  • 0 או לא הוגדרו - לא מבוצע עדכון מפתח אתחול מאובטח.

  • 0x5944 – פרוס את כל האישורים הדרושים ועדכן אותם למנהל PCA2023 האתחול החתום

HighConfidenceOptOut

REG_DWORD

אפשרות ביטול הצטרפות.

עבור ארגונים שברצונך לבטל את הצטרפותם לדליים בעלי מהימנות גבוהה שיחלו באופן אוטומטי כחלק מ- LCU.

באפשרותך להגדיר מפתח זה לערך שאינו אפס כדי לבטל את ההצטרפות לדליי מהימנות גבוהה. 

הגדרות 

  • 0 או המפתח לא קיים – הצטרפות

  • 1 – ביטול הצטרפות

MicrosoftUpdateManagedOptIn

REG_DWORD

אפשרות הסכמת הצטרפות.

עבור ארגונים שברצונך להצטרף לשירות 'פריסת תכונות מבוקרת' (CFR), המכונה גם Microsoft Managed.

בנוסף להגדרת מפתח זה, אפשר שליחה של נתוני אבחון נדרשים (ראה קביעת התצורה של נתוני האבחון של Windows בארגון שלך). 

הגדרות

  • 0 או המפתח לא קיים – ביטול הצטרפות

  • 1 – הצטרפות

כל מפתחות הרישום של האתחול המאובטח המתוארים להלן ממוקמים תחת נתיב רישום זה: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

הטבלה הבאה מתארת כל אחד מערכי הרישום:

ערך רישום

סוג

תיאור ושימוש

UEFICA2023Status

REG_SZ (מחרוזת)

מחוון מצב פריסה.

משקף את המצב הנוכחי של עדכון מפתח האתחול המאובטח במכשיר. היא תוגדר לאחד מערכים אלה של הטקסט:

  • NotStarted: העדכון עדיין לא הופעל.

  • InProgress: העדכון מתבצע באופן פעיל.

  • עודכן: העדכון הושלם בהצלחה.

בהתחלה המצב הוא NotStarted. הוא משתנה ל- InProgress לאחר תחילת העדכון, ולבסוף לעדכן לאחר פריסת כל המפתחות החדשים ומנהל האתחול החדש. אם קיימת שגיאה, ערך הרישום UEFICA2023Error מוגדר כקוד שאינו אפס.

UEFICA2023Error

REG_DWORD (קוד)

קוד שגיאה (אם בכלל).

ערך זה נשאר 0 בהצלחה. אם תהליך העדכון נתקל בבעיה, UEFICA2023Error מוגדר לקוד שגיאה שאינו אפס התואם לשגיאה הראשונה שהתרחשה. שגיאה כאן מרמזת על כך שעדכון האתחול המאובטח לא הצליח באופן מלא ועלותה לדרוש חקירה או תיקון במכשיר זה.  

לדוגמה, אם עדכון מסד הנתונים (מסד הנתונים של חתימות מהימנות) נכשל עקב בעיית קושחה, מפתח רישום זה עשוי להציג קוד שגיאה מקושחה. כאשר מפתח זה קיים ואינו אפס, מומלץ לחפש אירועי אתחול מאובטח ביומני האירועים של Windows - ראה אירועי עדכון של משתני DB ואתחול מאובטח של DBXלקבלת פרטים נוספים.

WindowsUEFICA2023Capable

REG_DWORD (קוד)

מפתח רישום זה מיועד לתרחישי פריסה מוגבלת, והוא אינו מומלץ לשימוש כללי. ברוב המקרים, השתמש במקום זאת במפתח הרישום UEFICA2023Status.

ערכים חוקיים:

0 – או המפתח אינו קיים - אישור "Windows UEFI CA 2023" אינו נמצא במסד הנתונים

1 - האישור "Windows UEFI CA 2023" נמצא במסד הנתונים

2 - אישור "Windows UEFI CA 2023" נמצא במסד הנתונים והמערכת מתחילה ממנהל האתחול החתום של 2023

כיצד מקשים אלה פועלים יחד

מנהלי IT קובעים את תצורת ערך הרישום AvailableUpdates0x5944, אשר מאותת ל- Windows לבצע את העדכון וההתקנה של מפתח האתחול המאובטח במכשיר.

עם הפעלת התהליך, המערכת מעדכנת את UEFICA2023Status מ- NotStarted ל- InProgress ולבסוף מתעדכנת עם הצלחתו. כאשר כל סיבית 0x5944 מעובדת בהצלחה, היא מנוקה.

אם שלב כלשהו נכשל, קוד שגיאה נרשם ב- UEFICA2023Error (והמצב נשאר InProgress).

מנגנון זה מספק למנהלי מערכת דרך ברורה להפעיל ולעקוב אחר הפריסה לכל מכשיר. 

פריסה באמצעות מפתחות רישום 

פריסה לקבוצת מכשירים כוללת את השלבים הבאים: 

  1. הגדר את ערך הרישום AvailableUpdates0x5944 בכל אחד מהמכשירים שיש לעדכן.

  2. נטר את מפתחות הרישום UEFICA2023Status ו- UEFICA2023Error כדי לראות שהמכשירים מתקדמים. המשימה שמעבדת עדכונים אלה פועלת כל 12 שעות. שים לב שייתכן שהעדכון של מנהל האתחול לא יקרה עד לאחר ביצוע הפעלה מחדש.

  3. בדוק בעיות אם הן מתרחשות. אם UEFICA2023Error אינו אפס במכשיר, באפשרותך לבדוק ביומן האירועים אם קיימים אירועים הקשורים לבעיה זו. ראה אירועי עדכון של משתני DB ו- DBX של אתחול מאובטח לקבלת רשימה מלאה של אירועי אתחול מאובטח.

הערה לגבי הפעלות מחדש: ייתכן שתידרש הפעלה מחדש כדי להשלים את התהליך, אתחול הפריסה של עדכוני האתחול המאובטח לא יגרום להפעלה מחדש. אם נדרשת הפעלה מחדש, פריסת האתחול המאובטח מסתמכת על הפעלה מחדש במהלך הרגיל של השימוש במכשיר. 

בדיקת מכשירים באמצעות מפתחות רישום 

בעת בדיקת מכשירים בודדים כדי לוודא שהמכשירים יעבדו את העדכונים כראוי, מפתחות הרישום יכולים להיות דרך פשוטה לבדיקה. 

כדי לבדוק זאת, הפעל כל אחת מהפקודות הבאות בנפרד מהנחיה של PowerShell של מנהל מערכת: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

הפקודה הראשונה מפעילה את פריסת מנהל האישורים והאתחול במכשיר. הפקודה השניה גורמת למשימה שמעבדת את מפתח הרישום AvailableUpdates לפעול באופן מיידי. בדרך כלל הפעילות פועלת כל 12 שעות. 

באפשרותך למצוא את התוצאות על-ידי התבוננות במפתחות הרישום UEFICA2023Status ו- UEFICA2023Error ואת יומני האירועים כמתואר באירועי עדכון משתנה של DB ו- DBX של אתחול מאובטח. 

הצטרפות והצטרפות לסיועים 

ניתן להשתמש במפתחות הרישום HighConfidenceOptOut ו- MicrosoftUpdateManagedOptIn כדי לנהל את שני ה"אסים" בפריסה המתוארים במכשירי Windows עם עדכונים המנוהלי על-ידי IT

  • מפתח הרישום HighConfidenceOptOut שולט בעדכון האוטומטי של מכשירים באמצעות העדכונים המצטברים. עבור המכשירים שבהם Microsoft התעדכנת בהצלחה במכשירים ספציפיים, הם ייחשבו למכשירים בעלי רמת מהימנות גבוהה, והעדכונים של אישור האתחול המאובטח יתבצעו באופן אוטומטי. הגדרת ברירת המחדל היא הסכמת הצטרפות.

  • מפתח הרישום MicrosoftUpdateManagedOptIn מאפשר למחלקות IT להצטרף לפריסה אוטומטית המנוהלת על-ידי Microsoft. הגדרה זו אינה זמינה כברירת מחדל והגדרתה להצטרפות אחת. הגדרה זו דורשת גם שהמכשיר ישלח נתוני אבחון אופציונליים.

גירסאות נתמכות של Windows

טבלה זו מנתקת עוד יותר את התמיכה בהתבסס על מפתח הרישום. 

מפתח 

גירסאות נתמכות של Windows 

עדכונים זמינים 

UEFICA2023Status 

UEFICA2023Error 

כל הגירסאות של Windows התומכות באתחול מאובטח (Windows Server 2012 וגירסאות מתקדמות יותר של Windows).  

הערה: בעוד שנתונים מהימנות נאספים ב- Windows 10, גירסאות LTSC, 22H2 וגירסאות מתקדמות יותר של Windows, ניתן להחיל אותם על מכשירים הפועלים בגירסאות קודמות של Windows.    

  • Windows 10, גירסאות LTSC ו- 22H2

  • Windows 11, גירסאות 22H2 ו- 23H2

  • Windows 11, גירסה 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

אירועי שגיאה של אתחול מאובטח

​​​​​​​​​​​​​​אירועי שגיאה כוללים פונקציית דיווח קריטית כדי לקבל מידע על מצב אתחול מאובטח והתקדמות.  לקבלת מידע אודות אירועי השגיאה, ראה אירועי עדכון של משתני DB ו- DBX של אתחול מאובטח. אירועי השגיאה מתעדכנים במידע נוסף אודות אירועים עבור אתחול מאובטח. 

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות