Vodič za otklanjanje poteškoća sa sigurnim pokretanjem sustava

Primjenjuje se na
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Napomena

  • Izvorni datum objave: Ožujak 19, 2026
  • ID baze znanja: 5085046

Sadržaj članka

Pregled

Ova stranica vodi administratore i stručnjake za podršku u dijagnosticiranju i rješavanju problema u vezi sa sigurnim pokretanjem sustava na uređajima sa sustavom Windows. Teme obuhvaćaju neuspjehe ažuriranja certifikata sigurnog pokretanja, netočna stanja sigurnog pokretanja, neočekivane upite za oporavak značajke BitLocker te neuspješna pokretanja nakon promjena konfiguracije sigurnog pokretanja.

U smjernicama se objašnjava kako provjeriti servisiranje i konfiguraciju sustava Windows, pregledati relevantne vrijednosti registra i zapisnike događaja te utvrditi kada ograničenja opreme ili platforme zahtijevaju ažuriranje OEM-a. Ovaj je sadržaj namijenjen dijagnosticiranju problema na postojećim uređajima. Nije namijenjena planiranju novih implementacija. Ovaj će se dokument ažurirati kako se identificiraju novi scenariji otklanjanja poteškoća i smjernice.

Povratak na vrh

Kako funkcionira servisiranje certifikata sigurnog pokretanja sustava

Servisiranje certifikata sigurnog pokretanja sustava u sustavu Windows koordinirani je proces između operacijskog sustava i UEFI opreme uređaja. Cilj je ažurirati kritična sidra povjerenja uz očuvanje mogućnosti pokretanja u svakoj fazi.

Proces je vođen zakazanim zadatkom sustava Windows, redoslijedom radnji ažuriranja utemeljenim na registru te ugrađenim zapisivanjem i ponovnim pokušajima. Te komponente zajedno jamče da se certifikati za sigurno pokretanje sustava i upravitelj pokretanja sustava Windows ažuriraju na kontroliran i uređen način te tek nakon što uspije proći preduvjet koji su poduzeti korake.

Povratak na vrh

Odakle početi prilikom otklanjanja poteškoća

Ako se čini da uređaj ne ostvaruje očekivani napredak primjene ažuriranja certifikata za sigurno pokretanje, započnite utvrđivanjem kategorije problema. Većina problema spada u jedno od četiri područja: stanje servisiranja sustava Windows, mehanizam ažuriranja sigurnog pokretanja sustava, ponašanje opreme ili ograničenje platforme ili OEM-a.

Započnite s provjerama u nastavku, po redu. U mnogim su slučajevima ti koraci dovoljni za objašnjenje opaženog ponašanja i određivanje sljedećih radnji bez detaljnije istrage.

  1. Potvrdite ispunjavanje uvjeta za održavanje sustava Windows i platformu

    1. Provjerite ispunjava li uređaj osnovne preduvjete za primanje ažuriranja certifikata sigurnog pokretanja sustava:
    2. Na uređaju je instalirana podržana verzija sustava Windows.
    3. Instalirana su najnovija obavezna sigurnosna ažuriranja za Windows.
    4. Sigurno pokretanje omogućeno je u UEFI opremi.
    5. Ako bilo koji od ovih uvjeta nije ispunjen, riješite ga prije daljnjeg otklanjanja poteškoća.
  2. Provjera statusa zadatka sigurnog pokretanja i ažuriranja

    1. Provjerite je li mehanizam sustava Windows odgovoran za primjenu ažuriranja certifikata sigurnog pokretanja sustava prisutan i funkcionira:
    2. Postoji zakazani zadatak sigurnog pokretanja i ažuriranja.
    3. Zadatak je omogućen i izvodi se kao Lokalni sustav.
    4. Zadatak je pokrenut najmanje jednom od najnovijeg sigurnosnog ažuriranja za Windows.
    5. Ako je zadatak onemogućen, izbrisan ili nije pokrenut, ažuriranja certifikata sigurnog pokretanja nije moguće primijeniti. Otklanjanje poteškoća trebalo bi se usredotočiti na vraćanje zadatka prije istraživanja drugih uzroka.
  3. Provjera očekivanog napretka u postavkama registra
    Pregledajte stanje servisiranja sigurnog pokretanja uređaja u registru:

    1. Pregledajte UEFICA2023Status, UEFICA2023Error i UEFICA2023ErrorEvent.
    2. Pregledajte dostupna ažuriranja i usporedite ih s očekivanim tijekom (pogledajte referencu i interne informacije).

    Te vrijednosti zajedno označavaju odvija li se servisiranje normalno, ponovno izvršava li se operacija ili je li zaustavljeno u određenom koraku.

  4. Povezivanje stanja registra s događajima sigurnog pokretanja
    Pregledajte događaje povezane sa sigurnim pokretanjem u zapisniku događaja sustava i međusobno ih povežite sa stanjem registra. Podaci o događaju obično potvrđuju napreduje li uređaj, pokušava li ponovno zbog privremenog stanja ili ga blokira li problem firmvera ili platforme.
    Zapisnici registra i događaja zajedno označavaju je li ponašanje očekivano, privremeno ili zahtijeva korektivne radnje.

Povratak na vrh

Zakazani zadatak sigurnog pokretanja-ažuriranja

Servisiranje certifikata sigurnog pokretanja sustava provodi se putem zakazanog zadatka sustava Windows pod nazivom Secure-Boot-Update. Zadatak je registriran na sljedećem putu:

Napomena

\Microsoft\Windows\PI\Secure-Boot-Update

Zadatak se izvodi kao lokalni sustav. Po zadanom se pokreće prilikom pokretanja sustava i svakih 12 sati nakon toga. Svaki put kada se pokrene, provjerava jesu li radnje ažuriranja sigurnog pokretanja sustava na čekanju i pokušava ih primijeniti u nizu.

Ako je taj zadatak onemogućen ili nedostaje, ažuriranja certifikata za sigurno pokretanje sustava nije moguće primijeniti. Zadatak sigurnog pokretanja-ažuriranja mora ostati omogućen da bi servisiranje sigurnog pokretanja sustava funkcioniralo.

Povratak na vrh

Razlozi korištenja zakazanog zadatka

Ažuriranja certifikata sigurnog pokretanja sustava zahtijevaju koordinaciju između sustava Windows i UEFI opreme, uključujući pisanje UEFI varijabli u koje su pohranjeni ključevi i certifikati Sigurnog pokretanja. Zakazani zadatak sustavu Windows omogućuje da pokuša izvršiti ta ažuriranja kada je sustav u stanju u kojem se varijable opreme mogu mijenjati.

Ponavljajući 12-satni raspored pruža dodatne prilike za ponovne pokušaje ažuriranja ako prethodni pokušaj nije uspio ili ako je uređaj ostao uključen bez ponovnog pokretanja. Dizajn omogućuje osiguravanje napretka bez potrebe za ručnom intervencijom.

Povratak na vrh

Bit-maska registra AvailableUpdates

Zadatak sigurnog pokretanja i ažuriranja pokreće vrijednost registra AvailableUpdates . Ova je vrijednost 32-bitna bit-maska koja se nalazi na:

Napomena

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Svaki bit u vrijednosti predstavlja određenu radnju ažuriranja sigurnog pokretanja sustava. Postupak ažuriranja započinje kada se AvailableUpdates postavi na vrijednost koja nije nula, bilo automatski od strane sustava Windows ili izričito od strane administratora. Vrijednost kao što je, primjerice, 0x5944 označava da je na čekanju više radnji ažuriranja.

Kada se pokrene zadatak sigurnog pokretanja i ažuriranja, on tumači postavljene bitove kao posao na čekanju i obrađuje ih definiranim redoslijedom.

Povratak na vrh

Uzastopna ažuriranja, zapisivanje i ponašanje ponovnog probnog razdoblja

Ažuriranja certifikata za sigurno pokretanje primjenjuju se fiksnim redoslijedom. Svaka akcija ažuriranja osmišljena je tako da je sigurna za ponovni pokušaj i samostalno dovršavanje. Zadatak sigurnog pokretanja-ažuriranja ne prelazi na sljedeći korak sve dok trenutna radnja ne uspije i dok se odgovarajući bit ne izbriše iz AvailableUpdates.

Svaka operacija koristi standardna sučelja UEFI za ažuriranje varijabli sigurnog pokretanja kao što su DB i KEK ili za instalaciju ažuriranog upravitelja pokretanja sustava Windows. Windows bilježi ishod svakog koraka u zapisniku događaja sustava. Uspješni događaji potvrđuju napredak naprijed, dok događaji neuspjeha označavaju zašto se neka radnja ne može dovršiti.

Ako korak ažuriranja ne uspije, zadatak se prestaje obrađivati, zapisuje se pogreška i ostavlja povezani skup bitova. Operacija će se ponoviti prilikom sljedećeg pokretanja zadatka. To ponašanje ponovnog probnog razdoblja omogućuje uređajima automatski oporavak od privremenih stanja, kao što su nedostatak podrške za opremu ili odgođena ažuriranja OEM-a.

Administratori mogu pratiti napredak korelacije stanja registra s unosima u zapisnik događaja. Vrijednosti registra, kao što su UEFICA2023Status, UEFICA2023Error i UEFICA2023ErrorEvent, zajedno s bit-maskom AvailableUpdates , označavaju koji je korak aktivan, dovršen ili blokiran.

Ta kombinacija pokazuje napreduje li uređaj normalno, ponavlja li se operacija ili je zaustavljen.

Povratak na vrh

Integracija s OEM opremom

Ažuriranja certifikata sigurnog pokretanja sustava ovise o ispravnom ponašanju i podršci u UEFI opremi uređaja. Dok Windows orkestrira postupak ažuriranja, oprema je odgovorna za provođenje pravila sigurnog pokretanja i održavanje baza podataka sigurnog pokretanja.

OEM-ovi imaju dva ključna elementa koji omogućuju servisiranje certifikata za sigurno pokretanje:

  • ključevi za razmjenu ključeva (KEK-ovi) s potpisom ključa platforme koji autoriziraju instalaciju novih certifikata za sigurno pokretanje.
  • Implementacije programske opreme koje ispravno čuvaju, dodaju i provjeravaju valjanost baza podataka sigurnog pokretanja sustava tijekom ažuriranja.

Ako oprema ne podržava u potpunosti ta ponašanja, ažuriranja sigurnog pokretanja mogu stati, pokušati neograničeno dugo ili rezultirati neuspjelim pokretanjem. U tim slučajevima Windows ne može dovršiti ažuriranje bez promjena opreme.

Microsoft surađuje s OEM-ovima radi prepoznavanja problema s opremom i stavljanja na raspolaganje ispravljenih ažuriranja. Kada otklanjanje poteškoća upućuje na ograničenje ili kvar opreme, administratori će možda morati instalirati najnovije ažuriranje UEFI opreme proizvođača uređaja prije uspješnog dovršetka ažuriranja certifikata sigurnog pokretanja.

Povratak na vrh

Uobičajeni scenariji i rješenja neuspjeha

Ažuriranja sigurnog pokretanja primjenjuje zakazani zadatak sigurnog pokretanja sustava na temelju stanja registra AvailableUpdates .

U uobičajenim uvjetima ti se koraci izvode automatski i bilježe događaje s uspjehom nakon završetka svake faze. U nekim slučajevima ponašanje firmvera, konfiguracija platforme ili preduvjeti servisiranja mogu spriječiti napredak ili dovesti do neočekivanog ponašanja pri pokretanju.

U odjeljcima u nastavku opisani su najčešći scenariji kvarova, kako ih prepoznati, zašto se pojavljuju i odgovarajući sljedeći koraci za vraćanje u normalan rad. Scenariji su poredani od najčešćih do ozbiljnijih slučajeva koji utječu na pokretanje sustava.

Ažuriranja sigurnog pokretanja se ne primjenjuju (nema napretka)

Kada ažuriranja sigurnog pokretanja ne prikazuju tijek, to obično znači da postupak ažuriranja nije ni započeo. Zbog toga nedostaju očekivane vrijednosti registra sigurnog pokretanja sustava i zapisnici događaja jer mehanizam ažuriranja nikada nije pokrenut.

Uzrok

Proces ažuriranja sigurnog pokretanja nije se pokrenuo, pa na uređaj nisu primijenjeni certifikati za sigurno pokretanje ili ažurirani upravitelj pokretanja.

Kako ga prepoznati

  • Nema vrijednosti registra servisiranja sigurnog pokretanja sustava, kao što je UEFICA2023Status.
  • Očekivani događaji sigurnog pokretanja (na primjer, 1043, 1044, 1045, 1799, 1801) nedostaju u zapisniku događaja sustava.
  • Uređaj i dalje koristi starije certifikate i komponente za sigurno pokretanje sustava.

Razlog

Taj se scenarij obično pojavljuje kada je ispunjen jedan ili više sljedećih uvjeta:

  • Zakazani zadatak sigurnog pokretanja i ažuriranja onemogućen je ili nedostaje.
  • Sigurno pokretanje je onemogućeno u UEFI firmveru.
  • Uređaj ne zadovoljava preduvjete servisiranja sustava Windows, kao što su pokretanje podržane verzije sustava Windows ili instalirana potrebna ažuriranja.

Što učiniti sljedeće

  • Provjerite ispunjava li uređaj preduvjete za održavanje sustava Windows i platformu.
  • Provjerite je li u programskoj opremi omogućeno sigurno pokretanje.
  • Provjerite postoji li zakazani zadatak SecureBootUpdate i je li omogućen.

Ako je zakazani zadatak onemogućen ili nedostaje, slijedite upute u članku Zakazani zadatak sigurnog pokretanja onemogućen ili izbrisan da biste ga vratili. Kada se zadatak vrati, ponovno pokrenite uređaj ili ručno pokrenite zadatak da biste pokrenuli servisiranje sigurnog pokretanja.

Uređaj se pokreće u BitLocker oporavku nakon ažuriranja sigurnog pokretanja sustava

U nekim slučajevima ažuriranja povezana sa sigurnim pokretanjem mogu uzrokovati da uređaj uđe u BitLocker oporavak. To može biti prolazno ili trajno, ovisno o uzroku.

Scenarij 1: Jednokratni oporavak značajke BitLocker nakon ažuriranja sigurnog pokretanja sustava

Što se događa

Uređaj ulazi u BitLocker oporavak pri prvom pokretanju nakon ažuriranja sigurnog pokretanja sustava, ali se normalno pokreće nakon sljedećih ponovnih pokretanja.

Razlog

Tijekom prvog pokretanja nakon ažuriranja oprema još ne prijavljuje ažurirane vrijednosti sigurnog pokretanja kada Windows pokuša ponovno zapečatiti BitLocker. To uzrokuje privremeno nepodudaranje u izmjerenim vrijednostima pokretanja i pokreće oporavak. Pri sljedećem pokretanju oprema ispravno prijavljuje ažurirane vrijednosti, BitLocker se uspješno ponovno pečaći i problem se više ne ponavlja.

Kako ga prepoznati

  • Oporavak značajke BitLocker događa se jednom.
  • Nakon unosa ključa za oporavak naknadna pokretanja ne ubrzavaju oporavak.
  • Nema stalnog redoslijeda pokretanja sustava niti uključenosti PXE-a.

Što učiniti sljedeće

  • Unesite BitLocker ključ oporavka za nastavak sustava Windows.
  • Provjerite ima li ažuriranja opreme.

Drugi scenarij: ponovljeni oporavak značajke BitLocker zbog konfiguracije prvog pokretanja preko mreže (PXE)

Što se događa

Uređaj ulazi u BitLocker oporavak pri svakom pokretanju.

Razlog

Uređaj je konfiguriran tako da najprije pokuša pokrenuti PXE (mrežu). Pokušaj pokretanja preko mreže (PXE) ne uspijeva, a oprema se zatim vraća u upravitelj pokretanja sustava Windows na disku.

To rezultira mjerenjem dva različita autoriteta za potpisivanje tijekom jednog ciklusa pokretanja:

  • Put pokretanja preko mreže (PXE) potpisao je Microsoft UEFI CA 2011.
  • Upravitelj pokretanja sustava Windows na disku potpisao je Windows UEFI CA 2023.

Budući da BitLocker promatra različite lance pouzdanosti sigurnog pokretanja sustava tijekom pokretanja, ne može uspostaviti stabilan skup TPM mjera koje bi ponovno zapečatio. Zbog toga BitLocker ulazi u oporavak pri svakom pokretanju.

Kako ga prepoznati

  • BitLocker oporavak aktivira se pri svakom ponovnom pokretanju.
  • Unos ključa za oporavak omogućuje pokretanje sustava Windows, no upit se vraća pri sljedećem pokretanju.
  • PXE ili pokretanje mreže konfigurira se prije lokalnog diska u redoslijedu pokretanja opreme.

Što učiniti sljedeće

  • Konfigurirajte redoslijed pokretanja opreme tako da upravitelj pokretanja sustava Windows na disku bude prvi.
  • Onemogućite pokretanje preko mreže (PXE) ako nije potrebno.
  • Ako je potreban PXE, provjerite upotrebljava li PXE infrastruktura Windows boot loader s potpisom 2023.
Uređaj se ne uspijeva pokrenuti nakon ponovnog pokretanja sigurnog pokretanja

Uzrok

Ovo odražava promjenu na razini firmvera, a ne problem sustava Windows. Ažuriranje sigurnog pokretanja uspješno je dovršeno, ali nakon kasnijeg ponovnog pokretanja uređaj se više ne pokreće u sustavu Windows.

Kako ga prepoznati

  • Uređaj ne može pokrenuti Windows i može prikazati poruku firmvera ili BIOS-a koja upućuje na kršenje sigurnog pokretanja.
  • Kvar se pojavljuje nakon vraćanja postavki sigurnog pokretanja na zadane postavke programske opreme.
  • Onemogućivanjem sigurnog pokretanja možda će se uređaj ponovno pokrenuti.

Razlog

Vraćanjem sigurnog pokretanja na zadane postavke programske opreme čiste se baze podataka sigurnog pokretanja pohranjene u firmveru. Na uređajima koji su već prešli na upravitelj pokretanja koji je potpisao Windows UEFI CA 2023, ovo vraćanje na zadane postavke uklanja certifikate potrebne za pouzdanost tog upravitelja pokretanja.

Zbog toga firmver više ne prepoznaje instalirani Windows Boot Manager kao pouzdan i blokira proces pokretanja.

Taj scenarij nije uzrokovan samim ažuriranjem sigurnog pokretanja, već naknadnom radnjom programske opreme koja uklanja ažurirana sidra za pouzdanost.

Što učiniti sljedeće

  • Upotrijebite uslužni program za oporavak sigurnog pokretanja da biste vratili potreban certifikat da bi se uređaj mogao ponovno pokrenuti.
  • Nakon oporavka provjerite ima li uređaj instaliran najnoviju dostupnu opremu proizvođača uređaja.
  • Izbjegavajte ponovno postavljanje sigurnog pokretanja na zadane postavke opreme osim ako programska oprema OEM ne sadrži ažurirane zadane postavke sigurnog pokretanja koje vjeruju certifikatima za 2023.

Uslužni program za oporavak sigurnog pokretanja sustava

Oporavak sustava:

  1. Na drugom PC-ju sa sustavom Windows s instaliranim ažuriranjem sustava Windows za srpanj 2024. ili novijim kopirajte SecureBootRecovery.efi iz C:\Windows\Boot\EFI\.
  2. Smjestite datoteku na USB pogon formatiran kao FAT32 u odjeljku \EFI\BOOT\ i preimenujte je u bootx64.efi.
  3. Pokrenite pogođeni uređaj s USB pogona i omogućite pokretanje uslužnog programa za oporavak. Uslužni program će dodati Windows UEFI CA 2023 u DB.

Windows bi se trebao normalno pokrenuti nakon vraćanja certifikata i ponovnog pokretanja sustava.

Važno: Tim će se postupkom ponovno primijeniti samo jedan od novih certifikata. Kada se uređaj oporavi, provjerite jesu li ponovno primijenjeni najnoviji certifikati i razmotrite ažuriranje BIOS-a/UEFI-ja sustava na najnoviju dostupnu verziju. To može spriječiti ponavljanje problema s ponovnim postavljanjem sigurnog pokretanja sustava jer su mnogi OEM-ovi izdali popravke programske opreme za taj konkretni problem.

Uređaj se ne može pokrenuti nakon ažuriranja sigurnog pokretanja sustava zbog firmvera koji je prebrisao bazu podataka

Uzrok

Nakon primjene ažuriranja certifikata sigurnog pokretanja i ponovnog pokretanja uređaja, uređaj se ne uspijeva pokrenuti i ne doseže Windows.

Kako ga prepoznati

  • Uređaj ne funkcionira odmah nakon ponovnog pokretanja koje zahtijeva ažuriranje sigurnog pokretanja sustava.
  • Može se prikazati pogreška firmvera ili sigurnog pokretanja sustava ili se sustav može zaustaviti prije učitavanja sustava Windows.
  • Onemogućavanje sigurnog pokretanja može omogućiti pokretanje uređaja.

Razlog

Taj problem može uzrokovati pogreška u implementaciji UEFI opreme uređaja.

Kada Windows primijeni ažuriranja certifikata za sigurno pokretanje, očekuje se da će oprema dodati nove certifikate postojećoj bazi podataka potpisa dopuštenih za sigurno pokretanje sustava (DB). Neke implementacije programske opreme neispravno prebrisuju bazu podataka umjesto da joj se dodaju.

Kada se to dogodi,

  • Prethodno su uklonjeni pouzdani certifikati, uključujući certifikat za bootloader tvrtke Microsoft 2011.
  • Ako sustav u tom trenutku još uvijek koristi upravitelj pokretanja potpisan certifikatom 2011, oprema ga više ne smatra pouzdanim.
  • Oprema odbacuje upravitelj pokretanja i blokira proces pokretanja.

U nekim se slučajevima baza podataka može i oštetiti, a ne jednostavno prebrisati, što dovodi do istog ishoda. To je ponašanje primijećeno na određenim implementacijama programske opreme i ne očekuje se na kompatibilnoj programskoj opremi.

Što učiniti sljedeće

  • Otvorite izbornike za postavljanje opreme i pokušajte ponovno postaviti postavke sigurnog pokretanja.
  • Ako se uređaj pokrene nakon ponovnog postavljanja, na web-mjestu za podršku proizvođača uređaja potražite ažuriranje opreme koje ispravlja upravljanje bazom podataka sigurnog pokretanja sustava.
  • Ako je dostupno ažuriranje programske opreme, instalirajte ga prije ponovnog omogućivanja sigurnog pokretanja i ponovne primjene ažuriranja certifikata sigurnog pokretanja.

Ako se ponovnim postavljanjem sigurnog pokretanja ne vrati funkcija pokretanja, daljnji oporavak vjerojatno zahtijeva smjernice specifične za OEM-ove.

Ažuriranje sigurnog pokretanja blokirano je zbog nedostatka KEK-a s OEM-ovim potpisom

Uzrok

Ažuriranje certifikata sigurnog pokretanja sustava nije dovršeno i ostaje blokirano u fazi ažuriranja ključa za razmjenu ključeva (KEK).

Kako ga prepoznati

  • Vrijednost registra AvailableUpdates ostaje postavljena uz KEK bit (0x0004) i ne briše se.
  • UEFICA2023Status ne napreduje do dovršenog stanja.
  • Zapisnik događaja u sustavu opetovano bilježi ID događaja 1803, što upućuje na to da ažuriranje za KEK nije moguće primijeniti.
  • Uređaj će nastaviti s ponovnim pokušajima ažuriranja bez napredovanja.

Razlog

Za ažuriranje KEK-a sigurnog pokretanja sustava potrebna je autorizacija iz ključa platforme (PK) uređaja, koji je u vlasništvu OEM-a.

Da bi ažuriranje uspjelo, proizvođač uređaja mora Microsoftu poslati KEK s PK-ovim potpisom za tu platformu. Taj je KEK s OEM-ovim potpisom obuhvaćen je ažuriranjima sustava Windows i sustavu Windows omogućuje ažuriranje varijable KEK firmvera.

Ako OEM nije omogućio KEK s potpisom PK-a za uređaj, Windows neće moći dovršiti ažuriranje za KEK. U ovom stanju:

  • Ažuriranja sigurnog pokretanja dizajnirano su blokirana.
  • Windows ne može zaobići autorizaciju koja nedostaje.
  • Uređaj može ostati trajno nesposoban dovršiti servisiranje certifikata za sigurno pokretanje.

To se može dogoditi na starijim uređajima ili uređajima izvan podrške gdje OEM više ne pruža ažuriranja opreme ili ključeva. Ne postoji podržani put ručnog oporavka za ovaj uvjet.

Povratak na vrh

Događaji ažuriranja certifikata za sigurno pokretanje sustava i pokazatelji neuspjeha

Kada se ažuriranja certifikata za sigurno pokretanje ne uspije primijeniti, Windows bilježi dijagnostičke događaje koji objašnjavaju zašto je napredak blokiran. Ti se događaji zapisuju kada se ažuriranje baze podataka s potpisima sigurnog pokretanja sustava (DB) ili ključ za razmjenu ključeva (KEK) ne može sigurno dovršiti zbog firmvera, stanja platforme ili konfiguracijskih uvjeta. Scenariji u ovom odjeljku referenciraju se na te događaje da bi se identificirali česti uzorci kvarova i odredio odgovarajući popravak. Ovaj odjeljak namijenjen je kao podrška dijagnostici i tumačenju prethodno opisanih problema, a ne uvođenju novih scenarija neuspjeha.

Potpuni popis ID-ova događaja, opisa i primjera unosa potražite u članku Sigurno pokretanje sustava DB i događaji ažuriranja varijabli DBX (KB5016061).

Neuspjeh ažuriranja za KEK (ažuriranja baze podataka uspijevaju, KEK ne)

Uređaj može uspješno ažurirati certifikate u bazi podataka sigurnog pokretanja sustava, ali ne uspijeva tijekom ažuriranja za KEK. Kada se to dogodi, proces ažuriranja sigurnog pokretanja sustava nije moguće dovršiti.

Simptomi

  • Događaji DB certifikata označavaju tijek, ali faza KEK nije dovršena.
  • AvailableUpdates ostaje postavljen na 0x4004 i 0x0004 bit se ne briše nakon višestrukih pokretanja zadataka.
  • Može biti prisutan događaj 1795 ili 1803 .

Tumačenje

  • 1795 obično označava kvar programske opreme prilikom pokušaja ažuriranja varijable sigurnog pokretanja.
  • 1803 označava da ažuriranje za KEK nije moguće autorizirati jer potrebni korisni podaci KEK s potpisom OEM-a s potpisom PK-a nisu dostupni za platformu.

Sljedeći koraci

  • Za 1795 provjerite ima li ažuriranja opreme OEM-a i provjerite podršku za opremu za ažuriranja varijable sigurnog pokretanja.
  • Za 1803 provjerite je li OEM Microsoftu dao KEK s potpisom PK potreban za model uređaja.

Pogreška ažuriranja za KEK na gost VM-ovima hostiranima na Hyper-V-u

Na virtualnim računalima s tehnologijom Hyper-V za ažuriranja certifikata sigurnog pokretanja sustava potrebna su instalacija ažuriranja sustava Windows za ožujak 2026. i na glavno računalo za Hyper-V i na OS gosta.

Neuspješna ažuriranja prijavljuju se iz gosta, ali događaj označava gdje je potreban popravak:

  • Događaj 1795 (na primjer, "The media is write-protected") prijavljen u gostu označava da glavnom računalu za Hyper-V nedostaje ažuriranje za ožujak 2026. i potrebno ga je ažurirati.
  • Događaj 1803 prijavljen u gostu označava da virtualnom računalu gosta nema ažuriranje za ožujak 2026. i mora se ažurirati.

Povratak na vrh

Reference i interne postavke

Ovaj odjeljak sadrži napredne referentne informacije namijenjene otklanjanju poteškoća i podršci. Nije namijenjen planiranju implementacije. Proširuje se na ranije sažetu mehaniku servisiranja sigurnog pokretanja sustava i pruža detaljan referentni materijal za tumačenje stanja registra i zapisnika događaja.

Napomena (implementacije kojima upravlja IT): kada se konfiguriraju putem pravilnik grupe ili Microsoft Intune, dvije slične postavke ne treba brkati. Vrijednost AvailableUpdatesPolicy predstavlja konfigurirano stanje pravilnika. U međuvremenu, AvailableUpdates odražava radno stanje čišćenja bitova u tijeku. Oba mogu dovesti do istog ishoda, ali se ponašaju drugačije jer se pravilnik ponovno primjenjuje tijekom vremena.

Povratak na vrh

DostupnaAžuriranja bitova koji se koriste za servisiranje certifikata

Bitovi u nastavku koriste se za akcije certifikata i upravitelja pokretanja opisane u ovom dokumentu. Stupac Redoslijed odražava slijed u kojem zadatak sigurnog pokretanja i ažuriranja obrađuje svaki bit.

Redoslijed Postavka bita Korištenje
1 0x0040 Ovaj bit govori zakazanom zadatku da doda certifikat Windows UEFI CA 2023 u bazu podataka sigurnog pokretanja sustava. To sustavu Windows omogućuje da upravitelje pokretanja potpisuje taj certifikat kao pouzdan.
2 0x0800 Ovaj bit govori zakazanom zadatku da primijeni Microsoftovu mogućnost ROM UEFI CA 2023 na bazu podataka.
Uvjetno ponašanje: kada se postavi 0x4000 zastavica, zakazani zadatak najprije će provjeriti ima li u bazi podataka certifikata Microsoft Corporation UEFI CA 2011 . Certifikat Microsoftove mogućnosti ROM UEFI CA 2023 primijenit će se samo ako postoji certifikat 2011.
3 0x1000 Ovaj bit govori zakazanom zadatku da primijeni Microsoft UEFI CA 2023 na bazu podataka.
Uvjetno ponašanje: kada se postavi 0x4000 zastavica, zakazani zadatak najprije će provjeriti ima li u bazi podataka certifikata Microsoft Corporation UEFI CA 2011 . Certifikat Microsoft UEFI CA 2023 primijenit će se samo ako postoji certifikat 2011.
Modifikator (zastavica ponašanja) 0x4000 Ovaj bit mijenja ponašanje 0x0800 i 0x1000 bitova tako da se Microsoft UEFI CA 2023 i Microsoftova mogućnost ROM UEFI CA 2023 primjenjuju samo ako baza podataka već sadrži Microsoft Corporation UEFI CA 2011.

Da bi sigurnosni profil uređaja ostao isti, ovaj bit primjenjuje te nove certifikate samo ako uređaj pouzdano smatra certifikat Microsoft Corporation UEFI CA 2011. Taj certifikat ne vjeruju svi uređaji sa sustavom Windows.
4 0x0004 Taj bit govori zakazanom zadatku da potraži ključ za razmjenu ključeva potpisan ključem platforme (PK) uređaja. PK-om upravlja OEM. OEM-ovi potpisuju Microsoftov KEK svojim PK-om i dostavljaju ga u Microsoft, gdje je uključen u mjesečna kumulativna ažuriranja.
5 0x0100 Ovaj bit govori zakazanom zadatku da primijeni upravitelj pokretanja, potpisan od strane Windows UEFI CA 2023, na particiju pokretanja. Ovo će zamijeniti potpisani upravitelj pokretanja za PCA 2011 sustava Microsoft Windows .

Napomene:

  • 0x4000 bit će ostati postavljen nakon obrade svih ostalih bitova.
  • Svaki bit obrađuje zakazani zadatak sigurnog pokretanja i ažuriranja redoslijedom koji je prikazan gore.
  • Ako se 0x0004 bit ne može obraditi zbog nedostajućeg PK-a potpisanog KEK-om, zakazani će zadatak i dalje primijeniti ažuriranje upravitelja pokretanja označeno bitom 0x0100.

Povratak na vrh

Očekivani napredak (AvailableUpdates)

Kada se operacija uspješno dovrši, Windows će izbrisati pridruženi bit iz AvailableUpdates. Ako operacija ne uspije, Windows će zabilježiti događaj i ponovno pokušati kada se zadatak ponovno pokrene.

Tablica u nastavku prikazuje očekivani napredak vrijednosti AvailableUpdates nakon dovršetka svake radnje ažuriranja sigurnog pokretanja sustava.

Korak Bit obrađeno Dostupna Ažuriranja Opis Zapisnik događaja o uspjehu Mogući kodovi događaja pogrešaka
Start 0x5944 Početno stanje prije početka servisiranja certifikata za sigurno pokretanje. - -
1 0x0040 0x5944 → 0x5904 Windows UEFI CA 2023 dodaje se u bazu podataka sigurnog pokretanja sustava. 1036 1032, 1795, 1796, 1802
2 0x0800 0x5904 → 0x5104 Dodajte Microsoftovu mogućnost ROM UEFI CA 2023 u bazu podataka ako je uređaj prethodno smatrao pouzdanom platformom Microsoft UEFI CA 2011. 1044 1032, 1795, 1796, 1802
3 0x1000 0x5104 → 0x4104 Microsoft UEFI CA 2023 dodaje se u bazu podataka ako je uređaj prethodno smatrao pouzdanom Microsoft UEFI CA 2011. 1045 1032, 1795, 1796, 1802
4 0x0004 0x4104 → 0x4100 Primjenjuje se novi Microsoft KEK 2K CA 2023 s potpisom OEM ključa platforme. 1043 1032, 1795, 1796, 1802, 1803
5 0x0100 0x4100 → 0x4000 Instaliran je upravitelj pokretanja koji je potpisao Windows UEFI CA 2023. 1799 1797

Napomene

  • Kada se operacija povezana s bitom uspješno dovrši, taj bit se briše iz AvailableUpdates.
  • Ako jedna od tih operacija ne uspije, događaj se bilježi i operacija se ponavlja prilikom sljedećeg izvođenja zakazanog zadatka.
  • 0x4000 bit je modifikator i nije izbrisan. Konačna vrijednost AvailableUpdates od 0x4000 označava uspješan dovršetak svih primjenjivih akcija ažuriranja.
  • Događaji 1032, 1795, 1796, 1802 obično označavaju ograničenja opreme ili platforme.
  • Događaj 1803 označava da nedostaje KEK s potpisom OEM PK.

Povratak na vrh

Postupci sanacije

U ovom se odjeljku navode detaljni postupci za rješavanje određenih problema sa sigurnim pokretanjem. Svaki je postupak ograničen na točno definirano stanje i namijenjen je za praćenje tek nakon što početna dijagnoza potvrdi da se problem primjenjuje. Pomoću ovih postupaka vratite očekivano ponašanje sigurnog pokretanja i omogućite siguran nastavak ažuriranja certifikata. Nemojte ove postupke primjenjivati široko ili preventivno.

Povratak na vrh

Omogućavanje sigurnog pokretanja u programskoj opremi

Ako je sigurno pokretanje onemogućeno u programskoj opremi uređaja, pogledajte odjeljak Windows 11 i sigurno pokretanje za pojedinosti o omogućivanju sigurnog pokretanja.

Povratak na vrh

Onemogućeni ili izbrisani zakazani zadatak sigurnog pokretanja sustava

Zakazani zadatak sigurnog pokretanja-ažuriranja potreban je da bi sustav Windows primijenio ažuriranja certifikata za sigurno pokretanje. Ako je zadatak onemogućen ili nedostaje, servisiranje certifikata za sigurno pokretanje sustava neće se nastaviti.

Pojedinosti o zadatku

Naziv zadatka sigurno pokretanje-ažuriranje
Put zadatka \Microsoft\Windows\PI\
Cijeli put \Microsoft\Windows\PI\Secure-Boot-Update
Pokreće se kao SYSTEM (lokalni sustav)
Okidači Prilikom pokretanja i svakih 12 sati
Obavezno stanje Omogućeno

Provjera statusa zadatka

Pokrenite iz privilegiranog retka PowerShell:
schtasks.exe /query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Potražite polje Stanje :

Status Značenje
Spreman Zadatak postoji i omogućen je.
Zajedničko korištenje Zadatak postoji, ali mora se omogućiti.
Pogreška / Nije pronađeno Zadatak nedostaje i potrebno ga je ponovno stvoriti.

Omogućivanje i ponovno stvaranje zadatka

Ako je polje stanja za sigurnosno pokretanje-ažuriranje onemogućeno, pogreška ili nije pronađeno, upotrijebite primjer skripte da biste omogućili zadatak: Ogledni Enable-SecureBootUpdateTask.ps1

Napomena: ovo je primjer skripte koju Microsoft ne podržava. Administratori bi je trebali pregledati i prilagoditi svom okruženju.

Primjer:

Napomena

.\Enable-SecureBootUpdateTask.ps1 -Quiet

Pokretanje smjernica

  • Ako ugledate da je pristup odbijen, ponovno pokrenite PowerShell kao administrator.
  • Ako se skripta neće pokrenuti zbog pravilnika o izvršavanju, koristite zaobilaženje opsega procesa:

Napomena

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass

Povratak na vrh