Primjenjuje se na
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Izvorno objavljeno: 14. listopada 2025.

KB ID: 5068202

Ovaj članak sadrži smjernice za:  

  • Tvrtke ili ustanove s uređajima sa sustavom Windows kojima upravlja IT i ažuriranjima.

Dostupnost ove podrške:  

  • Ključevi registra AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut i MicrosoftUpdateManagedOptIn uvršteni su u ažuriranja objavljena na sljedeće datume ili nakon sljedećih datuma:

    • 14. listopada 2025.: podržane verzije obuhvaćaju Windows 10, verziju 22H2 i novije verzije (uključujući 21H2 LTSC), sve podržane verzije sustava Windows 11 kao i Windows Server 2022 i novije.

    • 11. studenog 2025.: za verzije sustava Windows koje još uvijek podržavaju.

U ovom članku

Uvod

U ovom se dokumentu opisuje podrška za implementaciju ažuriranja certifikata sigurnog pokretanja i upravljanje tim ažuriranjima pomoću ključeva registra sustava Windows. Ključevi se sastoje od sljedećeg: 

  • Jedan ključ za pokretanje implementacije certifikata i upravitelja pokretanja na uređaju.

  • Dva ključa za praćenje stanja implementacije.

  • Dva ključa za upravljanje postavkama prijave/odjave za dva dostupna pomoćnika za implementaciju.

Ti ključevi registra mogu se ručno postaviti na uređaju ili daljinski putem dostupnog softvera za upravljanje flotama. Drugi načini implementacije, kao što su pravilnik grupe, Intune i WinCS opisani su u članku Uređaji sa sustavom Windows za tvrtke i tvrtke ili ustanove s ažuriranjima kojima upravlja IT.  

Ključevi registra sigurnog pokretanja

U ovom odjeljku

Ključevi registra

Svi ključevi registra sigurnog pokretanja opisani u ovom dokumentu nalaze se u ovom putu registra: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

U sljedećoj su tablici opisane sve vrijednosti registra. 

Vrijednost registra

Vrsta

Opis & korištenja

Dostupniažuriranja

REG_DWORD (bit-maska)

Ažuriraj zastavice okidača.

Upravlja akcijama ažuriranja sigurnog pokretanja koje će se izvoditi na uređaju. Postavljanjem odgovarajućeg bitfielda ovdje pokreće se implementacija novih certifikata za sigurno pokretanje i povezanih ažuriranja. Za implementaciju velike tvrtke to bi trebalo biti postavljeno na 0x5944 (heksadecimalno) – vrijednost koja omogućuje sva relevantna ažuriranja (dodavanje novih CA certifikata iz 2023., ažuriranje KEK-a i instaliranje novog upravitelja pokretanja). 

Postavke, učinite sljedeće: 

  • 0 ili nije postavljeno – ne izvodi se ažuriranje ključa sigurnog pokretanja.

  • 0x5944 – implementirajte sve potrebne certifikate i ažurirajte na upravitelja PCA2023 za pokretanje

UEFICA2023Status

REG_SZ (niz)

Pokazatelj stanja implementacije.

Odražava trenutno stanje ažuriranja ključa sigurnog pokretanja na uređaju. Postavit će se na jednu od sljedećih tekstnih vrijednosti:

  • Nijestarted:Ažuriranje još nije pokrenuto.

  • InProgress:Ažuriranje je aktivno u tijeku.

  • Ažuriran: Ažuriranje je uspješno dovršeno.

U početku je status NotStarted. Mijenja se u InProgress kada ažuriranje započne i na kraju se ažurira kada se implementiraju svi novi ključevi i novi upravitelj pokretanja. Ako postoji pogreška, vrijednost registra UEFICA2023Error postavljena je na kod koji nije nula.

UEFICA2023Pogreška

REG_DWORD (kod)

Kôd pogreške (ako postoji).

Ta vrijednost ostaje 0 na uspjehu. Ako proces ažuriranja naiđe na pogrešku, UEFICA2023Error je postavljen na kod pogreške koji nije nula koji odgovara prvoj naišle pogreške. Ovdje navedena pogreška upućuje na to da ažuriranje sigurnog pokretanja nije u potpunosti uspjelo i može zahtijevati istragu ili popravak na tom uređaju.  

Ako, primjerice, ažuriranje baze podataka baze podataka (baze podataka pouzdanih potpisa) nije uspjelo zbog problema s programom, taj ključ registra može prikazati kôd pogreške koji se može mapirati u zapisnik događaja ili dokumentirani ID pogreške u događajima ažuriranja secure boot DB i DBX varijabli

HighConfidenceOptOut

REG_DWORD

Mogućnost odustajanja.

Za velike tvrtke koje žele odustati od grupa visoke pouzdanosti koje će se automatski primijeniti u sklopu LCU-a.

Taj ključ možete postaviti na vrijednost koja nije nula da biste odustali od grupa visoke pouzdanosti. 

Postavke 

  • 0 ili ključ ne postoji – uključite se

  • 1 – uključivanje

MicrosoftUpdateManagedOptIn

REG_DWORD

Mogućnost prijave.

Za velike tvrtke koje se žele uključiti u servisiranje kontroliranog implementacije značajki (CFR), poznato i pod nazivom Microsoft Managed.

Osim postavljanja tog ključa, omogućite slanje obaveznih dijagnostičkih podataka (pogledajte članak Konfiguriranje dijagnostičkih podataka o sustavu Windows u vašoj tvrtki ili ustanovi). 

Postavke

  • 0 ili ključ ne postoji – odustajanje

  • 1 – uključivanje

Kako ti ključevi funkcioniraju zajedno

IT administrator konfigurira vrijednost registra AvailableUpdatestako da 0x5944, što sustavu Windows signalizira izvršavanje ažuriranja i instalacije ključa sigurnog pokretanja na uređaju.

Dok se postupak pokreće, sustav ažurira UEFICA2023Status iz NotStarted u InProgress i na kraju na Ažuriran nakon uspjeha. Kako se svaki bit 0x5944 uspješno obrađuje, briše se.

Ako neki korak ne uspije, kod pogreške bilježi se u UEFICA2023Pogreška (a status ostaje InProgress).

Taj mehanizam administratorima omogućuje jasnu aktivaciju i praćenje rollouta po uređaju. 

Implementacija pomoću ključeva registra 

Implementacija na grupu uređaja sastoji se od sljedećih koraka: 

  1. Postavite vrijednost registra AvailableUpdates0x5944 na svakom uređaju koji će se ažurirati.

  2. Pratite ključeve registra UEFICA2023Status i UEFICA2023Error da biste vidjeli jesu li uređaji u tijeku. Imajte na umu da se zadatak koji obrađuje ta ažuriranja pokreće jednom svakih 12 sati. Imajte na umu da se ažuriranje upravitelja pokretanja može dogoditi tek nakon ponovnog pokretanja.

  3. Istražite probleme ako se pojave. Ako UEFICA2023Error nije nula na uređaju, možete provjeriti zapisnik događaja za događaje povezane s tim problemom. Potpuni popis događaja sigurnog pokretanja potražite u člancima Događaji ažuriranja sigurnog pokretanja DB i DBX varijabli.

Napomena o ponovnom pokretanju: pokretanjem postupka pokretanjem pokretanja neće se ponovno pokrenuti pokretanje ažuriranja sigurnog pokretanja. Ako je potrebno ponovno pokretanje, implementacija sigurnog pokretanja oslanja se na ponovna pokretanja koja se odvijaju kao uobičajeni tijek korištenja uređaja. 

Testiranje uređaja pomoću ključeva registra 

Prilikom testiranja pojedinačnih uređaja kako bi uređaji ispravno obradili ažuriranja, ključevi registra mogu biti jednostavan način testiranja. 

Da biste to provjerili, svaku od sljedećih naredbi pokrenite zasebno od administratorskog upita ljuske PowerShell: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Prva naredba pokreće implementaciju certifikata i upravitelja pokretanja na uređaju. Druga naredba uzrokuje da zadatak koji obrađuje ključ registra AvailableUpdates odmah pokrene. Zadatak se obično pokreće svakih 12 sati. 

Rezultate možete pronaći tako da promatrate ključeve registra UEFICA2023Status i UEFICA2023Error i zapisnike događaja kao što je opisano u događajima ažuriranja secure boot DB i DBX varijabli

Uključivanje i odustajanje od pomoći 

Ključevi registra HighConfidenceOptOut i MicrosoftUpdateManagedOptIn mogu se koristiti za upravljanje dvama "pomoćnim programima za implementaciju" opisanima na uređajima sa sustavom Windows s ažuriranjima kojima upravlja IT. 

  • Ključ registra HighConfidenceOptOut upravlja automatskim ažuriranjem uređaja putem kumulativnih ažuriranja. Za uređaje na kojima je Microsoft primijetio da se određeni uređaji uspješno ažuriraju, oni će se smatrati "uređajima visoke pouzdanosti", a ažuriranja certifikata za sigurno pokretanje automatski će se dogoditi. Zadana postavka za to je uključena.

  • Ključ registra MicrosoftUpdateManagedOptIn it odjelima omogućuje uključivanje u automatsku implementaciju e-pošte kojim upravlja Microsoft. Ta je postavka prema zadanim postavkama onemogućena i postavljena je na 1 mogućnost. Ta postavka zahtijeva i da uređaj šalje neobavezne dijagnostičke podatke.

Podržane verzije sustava Windows

U ovoj se tablici dodatno razgrađuje podrška na temelju ključa registra. 

Ključ 

Podržane verzije sustava Windows 

Dostupniažuriranja 

UEFICA2023Status 

UEFICA2023Pogreška 

Sve verzije sustava Windows koje podržavaju sigurno pokretanje (Windows Server 2012 i novije verzije sustava Windows).  

Bilješka: Iako se podaci o pouzdanosti prikupljaju na Windows 10, verzije LTSC, 22H2 i novije verzije sustava Windows, mogu se primijeniti na uređaje sa starijim verzijama sustava Windows.    

  • Windows 10, verzije LTSC i 22H2

  • Windows 11, verzije 22H2 i 23H2

  • Windows 11, verzija 24H2

  • Windows Server 2025.

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Događaji pogreške sigurnog pokretanja

​​​​​​​​​​​​​​Događaji pogreške imaju kritičnu funkciju izvješćivanja za informiranje o statusu i napretku sigurnog pokretanja.  Informacije o događajima pogreške potražite u člancima Događaji ažuriranja secure boot DB i DBX varijabli. Događaji pogreške ažuriraju se dodatnim informacijama o događaju za sigurno pokretanje. 

Dodatne promjene komponenti za sigurno pokretanje 

U ovom odjeljku

Promjene TPM-a 

Izmijenite TPMTasks da biste utvrdili ima li stanje uređaja ažurirane certifikate za sigurno pokretanje. Trenutno to može odrediti, ali samo ako CFR odabire računalo za ažuriranje. To određivanje i daljnje zapisivanje trebali bi se dogoditi u svakoj sesiji pokretanja bez obzira na CFR. Ako certifikati za sigurno pokretanje nisu u potpunosti ažurni, oni će emitirati dva prethodno opisana događaja pogreške. Ako su certifikati ažurni, oni će emitirati događaj Informacije. Certifikati za sigurno pokretanje koje će se provjeriti su:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 i Microsoft Option ROM UEFI CA 2023 – ta dva CA-a moraju biti prisutna samo ako postoji Microsoft UEFI CA 2011. Ako Microsoft UEFI CA 2011 nije prisutan, nije potrebna provjera.

  • Microsoft Corporation KEK 2K CA 2023

Događaj metapodataka računala 

Ovaj događaj će prikupiti strojne metapodate i izdati sljedeći događaj:

  • BucketId + Confidence Rating event   

Ovaj događaj koristit će metapodake računala za pronalaženje odgovarajućeg unosa u bazi podataka računala (unos u grupi). Računalo će oblikovati i emitirati događaj s tim podacima zajedno sa svim podacima o pouzdanosti vezane uz grupu. ​​​​​​​ 

Visoko pouzdana pomoć za uređaj 

Za uređaje u grupama visoke pouzdanosti automatski će se primijeniti certifikati za sigurno pokretanje i potpisani upravitelj pokretanja verzije 2023.   

Ažuriranje će se aktivirati u isto vrijeme kada se generiraju dva događaja pogreške, a događaj BucketId + ocjena pouzdanosti uključuje ocjenu visoke pouzdanosti.   

Odustajanje

Za korisnike koji žele odustati, novi ključ registra bit će dostupan na sljedeći način:   

Mjesto registra

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Naziv tipke

HighConfidenceOptOut

Vrsta ključa

DWORD

DWORD vrijednost

0 ili ključ ne postoji – omogućena je pomoć visoke pouzdanosti.    

1 – onemogućena je pomoć visoke pouzdanosti   

Bilo koja druga vrijednost nije definirana   

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost