Napomena
- Izvorni datum objave: 14. listopada 2025
- ID baze znanja: 5068202
Ovaj članak sadrži smjernice za:
- Tvrtke ili ustanove s uređajima sa sustavom Windows kojima upravlja IT i ažuriranjima.
Napomena
Dostupnost ove podrške:
Ključevi registra obuhvaćeni su ažuriranjima objavljenima na sljedeći datum ili kasnije:
11. studenog 2025.: Za verzije sustava Windows koje su i dalje obuhvaćene podrškom.
Zapisnik promjena
| Promjena datuma | Opis izmjene |
|---|---|
| Ožujak 20, 2026 |
|
| Veljače 20, 2026 |
|
| Studenog 4, 2025 |
|
| Studenog 11, 2025 |
|
| Studenog 16, 2025 | Ažuriran je sadržaj u odjeljku "Testiranje uređaja pomoću ključeva registra". Dostupna vrijednost ažuriranja promijenjena je iz "0x0100" u "0x4000". |
Sadržaj članka
Uvod
U ovom se dokumentu opisuje podrška za implementaciju, upravljanje i nadzor ažuriranja certifikata sigurnog pokretanja sustava pomoću ključeva registra sustava Windows. Tipke se sastoje od sljedećeg:
- Jedan ključ za pokretanje implementacije certifikata i upravitelja pokretanja na uređaju.
- Dvije tipke za praćenje statusa implementacije.
- Dvije tipke za upravljanje postavkama pristajanja/odustajanja za dvije dostupne pomoćnike za implementaciju.
Ti se ključevi registra mogu postaviti ručno na uređaju ili daljinski putem dostupnog softvera za upravljanje voznim parkom. Drugi načini implementacije, kao što su pravilnik grupe, Microsoft Intune i WinCS, opisani su u članku Uređaji sa sustavom Windows za tvrtke i tvrtke ili ustanove s ažuriranjima, kojima upravlja IT.
Ključevi registra sigurnog pokretanja sustava
Sadržaj odjeljka
- Registarski ključevi
- Kako ove tipke funkcioniraju zajedno
- Implementacija pomoću ključeva registra
- Testiranje uređaja pomoću ključeva registra
- Uključivanje i odustajanje od korištenja asistencija
- Podržane verzije sustava Windows
Registarski ključevi
Svi ključevi registra sigurnog pokretanja opisani u nastavku nalaze se na ovom putu registra:
Napomena
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
U sljedećoj su tablici opisane vrijednosti registra:
| Vrijednost registra | Vrsta | Opis i korištenje |
|---|---|---|
| Dostupna ažuriranja | REG_DWORD (bitmask) | Ažurirajte zastavice okidača. Kontrolira koje se radnje ažuriranja sigurnog pokretanja sustava izvode na uređaju. Postavljanje odgovarajućeg polja bitova ovdje pokreće implementaciju novih certifikata za sigurno pokretanje i povezanih ažuriranja. Za implementaciju u velikim tvrtkama ovo bi trebalo biti postavljeno na 0x5944 (heksadecimalno) – vrijednost koja omogućuje sva relevantna ažuriranja (dodavanje novih CA certifikata za 2023., ažuriranje KEK-a i instaliranje novog upravitelja pokretanja). Postavke:
|
| HighConfidenceOptOut | REG_DWORD | Mogućnost odustajanja. Za tvrtke koje žele odustati od grupa visoke pouzdanosti koja će se automatski primjenjivati kao dio LCU-a. Taj ključ možete postaviti na vrijednost koja nije nula da biste odustali od grupa visoke pouzdanosti. Postavke
|
| MicrosoftUpdateManagedOptIn | REG_DWORD | Mogućnost pristanka. Za velike tvrtke koje se žele uključiti u servisiranje kontroliranog uvođenja značajki (CFR), poznato i pod nazivom Microsoft Managed. Osim postavljanja ovog ključa, dopustite slanje potrebnih dijagnostičkih podataka (pogledajte Konfiguriranje dijagnostičkih podataka sustava Windows u vašoj tvrtki ili ustanovi). Postavke
|
| AvailableUpdatesPolicy | REG_DWORD (bitmask) |
Samo za referencu – nemojte ažurirati taj ključ preko registra. Ovaj ključ koriste pravilnik grupe i Intune za komunikaciju radnji u vezi sa sigurnim pokretanjem sustava Windows. Predstavlja pravilnik koji je postavio Intune ili pravilnik grupe. |
Svi ključevi registra sigurnog pokretanja opisani u nastavku nalaze se na ovom putu registra:
Napomena
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
U sljedećoj su tablici opisane vrijednosti registra:
| Vrijednost registra | Vrsta | Opis i korištenje |
|---|---|---|
| UEFICA2023Status | REG_SZ (niz) | Indikator statusa implementacije. Odražava trenutačno stanje ažuriranja ključa sigurnog pokretanja sustava na uređaju. Postavit će se na jednu od sljedećih tekstnih vrijednosti:
|
| UEFICA2023Error | REG_DWORD (kod) | Kod pogreške (ako postoji). Ta vrijednost ostaje 0 dok je uspjeh. Ako postupak ažuriranja naiđe na pogrešku, UEFICA2023Error postavljena je na kod pogreške različit od nule koji odgovara prvoj pogrešci na koju je naišla. Ova pogreška implicira da ažuriranje sigurnog pokretanja nije u potpunosti uspjelo i da može zahtijevati istragu ili ispravljanje problema na tom uređaju. Na primjer, ako ažuriranje baze podataka pouzdanih potpisa nije uspjelo zbog problema s programskom opremom, taj ključ registra može prikazati kôd pogreške programske opreme. Kada taj ključ postoji i nije nula, preporučujemo da potražite događaje sigurnog pokretanja u zapisnicima događaja sustava Windows – dodatne pojedinosti potražite u odjeljku Sigurnosno pokretanje DB i DBX događaji ažuriranja varijabli. |
| UEFICA2023ErrorEvent | REG_DWORD (kod) | UEFICA2023ErrorEvent određuje ID događaja koji je Windows upotrijebio za prijavu pogreške povezane s primjenom ažuriranja sigurnog pokretanja sustava Windows UEFI CA 2023. Ta je vrijednost povezana s ključem registra UEFICA2023Error i popunjava se kada je taj ključ postavljen, što znači da je Windows naišao na pogrešku prilikom pokušaja primjene ažuriranja sigurnog pokretanja sustava. Kada se to dogodi, Windows evidentira odgovarajući događaj sigurnog pokretanja sustava dokumentiran na javnoj stranici Sigurno pokretanje DB i događaji ažuriranja varijable DBX, što pruža dodatne pojedinosti o tome zašto se ažuriranje ne može dovršiti i koja je radnja potrebna. |
| WindowsUEFICA2023Capable | REG_DWORD (kod) | Samo za referencu – nemojte koristiti ovaj ključ kada dohvaćate status ažuriranja sigurnog pokretanja sustava. Umjesto toga koristite ključ UEFICA2023Status. Ovaj ključ registra namijenjen je ograničenim scenarijima implementacije i ne preporučuje se za opću upotrebu. Valjane vrijednosti: 0 – ili ključ ne postoji – Certifikat "Windows UEFI CA 2023" nije u bazi podataka 1 – Certifikat "Windows UEFI CA 2023" nalazi se u bazi podataka 2 – Certifikat "Windows UEFI CA 2023" nalazi se u bazi podataka, a sustav se pokreće od 2023 potpisanog upravitelja pokretanja |
| BucketHash | REG_SZ (niz) | BucketHash identificira grupu implementacije kojoj je uređaj dodijeljen u sklopu implementacije certifikata za sigurno pokretanje. Vrijednost je raspršivanje izvedeno iz karakteristika uređaja i upotrebljava se za grupiranje uređaja sa sličnim atributima opreme i platforme za postupnu implementaciju i upravljanje rizikom. To je isti ključ grupe koji se pojavljuje u događajima specifičnim za uređaj dokumentiranim na stranici Sigurnog pokretanja sustava DB i DBX varijabli ažuriranja, što administratorima omogućuje korelaciju stanja registra sa unosima zapisnika događaja i razumijevanje ciljanja uređaja tijekom postupka ažuriranja sigurnog pokretanja sustava. |
| ConfidenceLevel | REG_SZ (niz) | ConfidenceLevel označava procjenu pouzdanosti povezanu s grupom za implementaciju sigurnog pokretanja sustava na uređaju. Ta vrijednost odgovara vrijednosti BucketConfidenceLevel koju Windows dodjeljuje uređaju na temelju opaženog ponašanja ažuriranja na sličnim konfiguracijama hardvera i opreme. Ista razina pouzdanosti obuhvaćena je u događajima specifičnim za uređaj dokumentiranima na stranici Sigurnog pokretanja sustava DB i DBX varijabli ažuriranja, što administratorima omogućuje korelaciju vrijednosti registra s unosima u zapisniku događaja. Dodatne pojedinosti o mogućim vrijednostima za taj ključ potražite u opisima događaja zapisnika događaja za određeni uređaj. |
Kako ove tipke funkcioniraju zajedno
IT administratori konfiguriraju vrijednost registra AvailableUpdates na 0x5944, što signalizira sustavu Windows da izvrši ažuriranje ključa sigurnog pokretanja sustava i instalaciju na uređaju.
Kako se proces izvodi, sustav ažurira UEFICA2023Status iz Nepokrenuto u U tijeku i na kraju u Ažurirano nakon uspjeha. Nakon što se svaki bit u 0x5944 uspješno obradi, briše se.
Ako neki korak ne uspije, zabilježen je kôd pogreške u UEFICA2023Error (a status ostaje U tijeku).
Taj mehanizam administratorima daje jasan način pokretanja i praćenja uvođenja po uređaju.
Implementacija pomoću ključeva registra
Implementacija na grupu uređaja sastoji se od sljedećih koraka:
- Postavite vrijednost registra AvailableUpdates na 0x5944 na svakom uređaju koji želite ažurirati.
- Pratite ključeve registra UEFICA2023Status i UEFICA2023Error kako biste vidjeli napreduju li uređaji. Zadatak koji obrađuje ta ažuriranja izvodi se svakih 12 sati. Imajte na umu da se ažuriranje upravitelja pokretanja možda neće dogoditi dok se ne ponovi ponovno pokretanje.
- Istražite probleme ako se pojave. Ako UEFICA2023Error na uređaju nije nula, u zapisniku događaja možete provjeriti ima li događaja povezanih s tim problemom. Potpuni popis događaja sigurnog pokretanja sustava potražite u događajima ažuriranja varijable Sigurnog pokretanja sustava DBX i DBX-a.
Napomena o ponovnim pokretanjima: Iako ponovno pokretanje može biti potrebno za dovršetak postupka, pokretanje implementacije ažuriranja sigurnog pokretanja neće uzrokovati ponovno pokretanje. Ako je potrebno ponovno pokretanje, implementacija sigurnog pokretanja oslanja se na ponovna pokretanja koja se odvijaju kao na uobičajeni tijek korištenja uređaja.
Testiranje uređaja pomoću ključeva registra
Prilikom testiranja pojedinačnih uređaja radi provjere hoće li uređaji ispravno obraditi ažuriranja ključevi registra mogu biti jednostavan način testiranja.
Da biste to testirali, svaku od sljedećih naredbi pokrenite zasebno od administratorskog upita u komponenti PowerShell:
Napomena
- reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
- Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
- Ručno ponovno pokrenite sustav kada AvailableUpdates postane 0x4100
- Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Prvom se naredbom pokreće implementacija certifikata i upravitelja pokretanja sustava na uređaju. Drugom se naredbom odmah pokreće zadatak koji obrađuje ključ registra AvailableUpdates . U pravilu se zadatak izvodi svakih 12 sati. Ključ registra trebao bi se brzo promijeniti u 0x4100. Ponovno pokretanje i ponovno pokretanje zadatka dovest će do ažuriranja upravitelja pokretanja i 0x4000 AvailableUpdates. Dodatne pojedinosti o načinu ponašanja značajke AvailableUpdates potražite u odjeljku Otklanjanje poteškoća.
Rezultate možete pronaći promatranjem ključeva registra UEFICA2023Status i UEFICA2023Error te zapisnika događaja kao što je opisano u događajima ažuriranja varijabli DBX sigurnog pokretanja sustava.
Uključivanje i odustajanje od asistencije
Ključevi registra HighConfidenceOptOut i MicrosoftUpdateManagedOptIn mogu se koristiti za upravljanje dvama "asistencijama" za implementaciju opisanima na uređajima sa sustavom Windows s ažuriranjima kojima upravlja IT.
- Ključ registra HighConfidenceOptOut upravlja automatskim ažuriranjem uređaja putem kumulativnih ažuriranja. Uređaji na kojima je Microsoft primijetio da se određeni uređaji uspješno ažuriraju, oni će se smatrati uređajima "visoke pouzdanosti", a ažuriranja certifikata sigurnog pokretanja sustava odvijat će se automatski. Zadana je postavka uključivanje.
- Ključ registra MicrosoftUpdateManagedOptIn IT odjelima omogućuje uključivanje u automatsku implementaciju kojom upravlja Microsoft. Ta je postavka po zadanom onemogućena i postavlja je na 1 pristanak. Za tu je postavku potrebno i da uređaj pošalje neobavezne dijagnostičke podatke.
Podržane verzije sustava Windows
U ovoj je tablici dodatno raščlanjen odjeljak podrške na temelju ključa registra.
| Tipka | Podržane verzije sustava Windows |
|---|---|
|
Dostupna ažuriranja UEFICA2023Status UEFICA2023Error |
Sve verzije sustava Windows koje podržavaju sigurno pokretanje (Windows Server 2012 i novije verzije sustava Windows). Napomena: Iako se podaci o pouzdanosti prikupljaju u sustavu Windows 10, verzijama LTSC, 22H2 i novijim verzijama sustava Windows, mogu se primijeniti na uređaje koji rade na starijim verzijama sustava Windows.
|
| HighConfidenceOptOut | |
| MicrosoftUpdateManagedOptIn |
Događaji pogreške sigurnog pokretanja sustava
Događaji pogrešaka imaju ključnu funkciju izvješćivanja za informiranje o statusu i napretku sigurnog pokretanja. Informacije o događajima pogrešaka potražite u članku Sigurno pokretanje DB i DBX događaji ažuriranja varijable. Događaji pogreške ažuriraju se dodatnim informacijama o događajima za sigurno pokretanje.