Primjenjuje se na
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Izvorni datum objave: 19. ožujka 2026.

KB ID: 5085046

U ovom članku

Pregled

Ova stranica vodi administratore i stručnjake za podršku u dijagnosticiranju i rješavanju problema povezanih sa sigurnim pokretanjem na uređajima sa sustavom Windows. Teme obuhvaćaju neuspjehe ažuriranja certifikata sigurnog pokretanja, netočna stanja sigurnog pokretanja, neočekivane BitLocker upite za oporavak i neuspjehe pokretanja nakon promjena konfiguracije sigurnog pokretanja.

U smjernicama se objašnjava kako provjeriti servisiranje i konfiguraciju sustava Windows, pregledati relevantne vrijednosti registra i zapisnike događaja te utvrditi kada je za ograničenja opreme ili platforme potrebno ažuriranje OEM-a. Ovaj je sadržaj namijenjen dijagnosticiranju problema na postojećim uređajima. Nije namijenjen planiranju novih implementacija. Ovaj će se dokument ažurirati kako se identificiraju novi scenariji i smjernice za otklanjanje poteškoća.

Povratak na vrh

Kako funkcionira servisiranje certifikata sigurnog pokretanja

Servisiranje certifikata sigurnog pokretanja u sustavu Windows koordinirani je postupak između operacijskog sustava i opreme UEFI uređaja. Cilj je ažurirati kritična pouzdana sidra uz očuvanje mogućnosti pokretanja u svakoj fazi.

Proces se pokreće zakazanim zadatkom sustava Windows, nizom akcija ažuriranja utemeljenim na registru te ugrađenim zapisivanjem i ponovnim pokušajima. Te komponente zajedno jamče da se certifikati za sigurno pokretanje i upravitelj pokretanja sustava Windows ažuriraju na kontroliran, uređen način i tek nakon uspješnih koraka.

Povratak na vrh

Gdje pokrenuti prilikom otklanjanja poteškoća

Kada se čini da uređaj ne napreduje s očekivanim napretkom pri primjeni ažuriranja certifikata za sigurno pokretanje, započnite prepoznavanjem kategorije problema. Većina problema pada u jedno od četiri područja: stanje servisiranja sustava Windows, mehanizam ažuriranja sigurnog pokretanja, ponašanje opreme ili platforma ili OEM ograničenje.

Počnite s provjerama u nastavku, redoslijedom. U mnogim su slučajevima ti koraci dovoljni za objašnjenje opaženog ponašanja i određivanje sljedećih akcija bez dubljih istraživanja.

  1. Potvrda ispunjavanja uvjeta za servisiranje i platformu sustava Windows

    1. ​​​​​​​Provjerite ispunjava li uređaj osnovne preduvjete za primanje ažuriranja certifikata za sigurno pokretanje:

    2. Na uređaju je instalirana podržana verzija sustava Windows.

    3. Instalirana su najnovija obavezna sigurnosna ažuriranja sustava Windows.

    4. Sigurno pokretanje omogućeno je u UEFI firmveru.

    5. Ako neki od sljedećih uvjeta nije ispunjen, prije nastavka otklanjanja poteškoća otklonite ih.

  2. Provjera statusa zadatka sigurnog pokretanja i ažuriranja

    1. Provjerite postoji li mehanizam sustava Windows odgovoran za primjenu ažuriranja certifikata sigurnog pokretanja i funkcionira li:

    2. Postoji zakazani zadatak sigurnog pokretanja ažuriranja.

    3. Zadatak je omogućen i pokreće se kao lokalni sustav.

    4. Zadatak je pokrenut barem jedanput od instaliranog najnovijeg sigurnosnog ažuriranja sustava Windows.

    5. Ako je zadatak onemogućen, izbrisan ili nije pokrenut, ažuriranja certifikata sigurnog pokretanja ne mogu se primijeniti. Otklanjanje poteškoća trebalo bi se usredotočiti na vraćanje zadatka prije istraživanja drugih uzroka.

  3. Provjera postavki registra za očekivani napredak

    Pregledajte stanje servisiranja sigurnog pokretanja uređaja u registru:

    1. Pregledajte UEFICA2023Status, UEFICA2023Error i UEFICA2023ErrorEvent.

    2. Pregledajte AvailableUpdates i usporedite ga s očekivanim napredovanjem (pogledajte Reference i Internals).

    Te vrijednosti zajedno označavaju napreduje li servisiranje normalno, ponovno pokretanje operacije ili zastoj u određenom koraku.

  4. Povezivanje stanja registra s događajima sigurnog pokretanja

    Pregledajte događaje vezane uz sigurno pokretanje u zapisniku događaja sustava i u korelaciji s stanjem registra. Podaci o događaju obično potvrđuju je li uređaj napredan, radi li se o ponovnom pokušaju zbog prolaznog stanja ili blokiranog problemom s programom ili platformom.

    Zajedno zapisnici registra i događaja obično označavaju je li ponašanje očekivano, privremeno ili zahtijeva korektivnu akciju.

Povratak na vrh

Zakazani zadatak ažuriranja sigurnog pokretanja

Servisiranje certifikata sigurnog pokretanja implementira se putem zakazanog zadatka sustava Windows pod nazivom Secure-Boot-Update. Zadatak je registriran na sljedećem putu:

\Microsoft\Windows\PI\Secure-Boot-Update

Zadatak se pokreće kao lokalni sustav. Po zadanom se pokreće pri pokretanju sustava i svakih 12 sati nakon toga. Svaki put kada se pokrene, provjerava jesu li akcije ažuriranja sigurnog pokretanja na čekanju i pokušava ih primijeniti u nizu.

Ako je zadatak onemogućen ili nedostaje, ažuriranja certifikata sigurnog pokretanja ne mogu se primijeniti. Zadatak Secure-Boot-Update mora ostati omogućen da bi servisiranje sigurnog pokretanja funkcionirao.

Povratak na vrh

Zašto se koristi zakazani zadatak

Ažuriranja certifikata sigurnog pokretanja zahtijevaju koordinaciju između opreme sustava Windows i UEFI-ja, uključujući pisanje varijabli UEFI-ja koje pohranjuju ključeve i certifikate za sigurno pokretanje. Zakazani zadatak sustavu Windows omogućuje pokušaj tih ažuriranja kada je sustav u stanju u kojem se varijable programske opreme mogu mijenjati.

Ponavljajući 12-satni raspored pruža dodatne prilike za ponovni pokušaj ažuriranja ako prethodni pokušaj nije uspio ili ako je uređaj ostao pokrenut bez ponovnog pokretanja. Tim se dizajnom pridonosi napretku napretka unaprijed bez potrebe za ručnom intervencijom.

Povratak na vrh

Bit-maska registra AvailableUpdates

Zadatak Secure-Boot-Update pokreće vrijednost registra AvailableUpdates . Ova je vrijednost 32-bitna maska koja se nalazi na:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Svaki bit u vrijednosti predstavlja određenu akciju ažuriranja sigurnog pokretanja. Postupak ažuriranja počinje kada je Svojstvo AvailableUpdates postavljeno na vrijednost koja nije nula, bilo automatski od strane sustava Windows ili izričito od strane administratora. Primjerice, vrijednost kao što je 0x5944 upućuje na to da je na čekanju više akcija ažuriranja.

Kada se pokrene zadatak secure-boot-Update, on interpretira postavljene bitove kao zadatke na čekanju i obrađuje ih definiranim redoslijedom.

Povratak na vrh

Uzastopna ažuriranja, zapisivanje i ponovno suđenje

Ažuriranja certifikata sigurnog pokretanja primjenjuju se fiksnim redoslijedom. Svaka akcija ažuriranja osmišljena je tako da bude sigurna za ponovni pokušaj i samostalno dovršavanje. Zadatak Secure-Boot-Update ne prelazi na sljedeći korak dok ne uspije trenutna akcija, a odgovarajući se bit čisti iz servisa AvailableUpdates.

Svaka operacija koristi standardna sučelja UEFI-ja za ažuriranje varijabli sigurnog pokretanja, kao što su DB i KEK, ili za instalaciju ažuriranog upravitelja pokretanja sustava Windows. Windows bilježi ishod svakog koraka u zapisniku događaja sustava. Događaji uspjeha potvrđuju tijek prosljeđivanja, dok događaji neuspjeha upućuju na razlog zašto nije bilo moguće dovršiti akciju.

Ako korak ažuriranja ne uspije, zadatak zaustavlja obradu, evidentira pogrešku i ostavlja povezani skup bitova. Postupak će se ponovno pokušati prilikom sljedećeg pokretanja zadatka. To ponovno suđenje uređajima omogućuje automatsko vraćanje iz privremenih uvjeta, kao što su nedostajuće podrške za opremu ili odgođena ažuriranja OEM-a.

Administratori mogu pratiti napredak povezivanjem stanja registra s unosima zapisnika događaja. Vrijednosti registra kao što su UEFICA2023Status, UEFICA2023Error i UEFICA2023ErrorEvent, zajedno s bit-mapom AvailableUpdates , označava koji je korak aktivan, dovršen ili blokiran.

Ova kombinacija pokazuje funkcionira li uređaj normalno, ponovno pokušajte s operacijom ili je u zastoju.

Povratak na vrh

Integracija s OEM firmverom

Ažuriranja certifikata sigurnog pokretanja ovise o ispravnom ponašanju i podršci u UEFI firmveru uređaja. Dok Windows organizira postupak ažuriranja, firmver je odgovoran za nametanje pravila sigurnog pokretanja i održavanje baza podataka sigurnog pokretanja.

OEM-i pružaju dva ključna elementa koji omogućuju servisiranje certifikata sigurnog pokretanja:

  • Ključevi sustava Exchange s ključem platforme koji autoriziraju instalaciju novih certifikata za sigurno pokretanje.

  • Implementacije programske opreme koje tijekom ažuriranja pravilno čuvaju, dodaju i provjeravaju valjanost baza podataka sigurnog pokretanja.

Ako firmver ne podržava u potpunosti ta ponašanja, ažuriranja sigurnog pokretanja mogu se obustaviti, ponovno pokušati neograničeno ili uzrokovati neuspjehe pokretanja. U tim slučajevima Windows ne može dovršiti ažuriranje bez promjena firmvera.

Microsoft surađuje s OEM-ima radi prepoznavanja problema s programom i dostupnih ispravljenih ažuriranja. Kada otklanjanje poteškoća naznačuje ograničenje programske opreme ili nedostatak, administratori će možda morati instalirati najnovije ažuriranje opreme za UEFI koje je dao proizvođač uređaja da bi se ažuriranja certifikata sigurnog pokretanja mogla uspješno dovršiti.

Povratak na vrh

Uobičajeni scenariji i rješenja pogrešaka

Ažuriranja sigurnog pokretanja primjenjuje zakazani zadatak sigurnog pokretanja na temelju stanja registra AvailableUpdates .

U normalnim uvjetima ti se koraci odvijaju automatski i bilježe uspješne događaje po dovršetku svake faze. U nekim slučajevima ponašanje opreme, konfiguracija platforme ili preduvjeti servisiranja mogu spriječiti napredak ili dovesti do neočekivanog ponašanja pokretanja.

U odjeljcima u nastavku opisani su najčešći scenariji pogrešaka, kako ih prepoznati, zašto se pojavljuju i odgovarajući sljedeći koraci za vraćanje uobičajenog postupka. Scenariji su naručeni od najčešćih do težih slučajeva koji utječu na pokretanje.

Kada ažuriranja sigurnog pokretanja ne pokazuju napredak, to obično znači da se postupak ažuriranja nikad nije pokrenuo. Zbog toga nedostaju očekivane vrijednosti registra sigurnog pokretanja i zapisnici događaja jer mehanizam ažuriranja nikada nije aktiviran.

Šta se dogodilo

Postupak ažuriranja sigurnog pokretanja nije se pokrenula, pa na uređaj nisu primijenjeni certifikati za sigurno pokretanje ili ažurirani upravitelj pokretanja.

Kako ga prepoznati

  • Nema vrijednosti registra servisiranja sigurnog pokretanja, kao što je UEFICA2023Status.

  • Očekivani događaji sigurnog pokretanja (na primjer, 1043, 1044, 1045, 1799, 1801) nedostaju u zapisniku događaja sustava.

  • Uređaj i dalje koristi starije certifikate za sigurno pokretanje i komponente pokretanja.

Zašto se to događa

Taj se scenarij obično događa kada je ispunjen jedan ili više sljedećih uvjeta:

  • Zakazani zadatak sigurnog pokretanja- ažuriranje je onemogućen ili nedostaje.

  • Sigurno pokretanje onemogućeno je u UEFI firmveru.

  • Uređaj ne zadovoljava preduvjete servisiranja sustava Windows, kao što su pokretanje podržane verzije sustava Windows ili instalirana obavezna ažuriranja.

Što učiniti sljedeće

  • Provjerite ispunjava li uređaj preduvjete servisiranja i ispunjavanja uvjeta za platformu sustava Windows.

  • Provjerite je li sigurno pokretanje omogućeno u firmveru.

  • Provjerite postoji li zakazani zadatak SecureBootUpdate i je li omogućen.

Ako je zakazani zadatak onemogućen ili nedostaje, slijedite upute u članku Zakazani zadatak sigurnog pokretanja onemogućen ili izbrisan da biste ga vratili. Nakon vraćanja zadatka ponovno pokrenite uređaj ili ručno pokrenite zadatak da biste pokrenuli servisiranje sigurnog pokretanja.

U nekim slučajevima ažuriranja povezana sa sigurnim pokretanjem mogu uzrokovati da uređaj uđe u BitLocker oporavak. Ponašanje može biti prolazno ili trajno, ovisno o temeljnom uzroku.

1. scenarij: Jednokratni BitLocker oporavak nakon ažuriranja sigurnog pokretanja

Što se događa

Uređaj unosi BitLocker oporavak pri prvom pokretanju nakon ažuriranja sigurnog pokretanja, ali se obično pokreće prilikom naknadnih ponovnih pokretanja.

Zašto se to događa

Tijekom prvog pokretanja nakon ažuriranja oprema još ne prijavi ažurirane vrijednosti sigurnog pokretanja kada Windows pokuša ponovno koristiti BitLocker. To uzrokuje privremenu nepodudarnost u izmjerenim vrijednostima pokretanja i pokreće oporavak. Prilikom sljedećeg pokretanja programske opreme ispravno prijavljuje ažurirane vrijednosti, BitLocker se uspješno ponovno izlaje, a problem se ne ponavlja.

Kako ga prepoznati

  • BitLocker oporavak odvija se jednom.

  • Nakon unosa ključa za oporavak sljedeće se čizme ne pitaju za oporavak.

  • Ne postoji redoslijed pokretanja niti sudjelovanje PXE-a.

Što učiniti sljedeće

  • Unesite BitLocker ključ oporavka za nastavak sustava Windows.

  • Provjerite ima li ažuriranja programske opreme.

Drugi scenarij: ponavljani BitLocker oporavak zbog konfiguracije prvog pokretanja PXE-a

Što se događa

Uređaj prilikom svakog pokretanja unosi BitLocker oporavak.

Zašto se to događa

Uređaj je konfiguriran za prvo pokretanje PXE (mreže). Pokušaj pokretanja PXE-a ne uspijeva, a firmver se zatim vraća na upravitelj pokretanja sustava Windows na disku.

To rezultira mjerenjem dvaju različitih tijela za potpisivanje tijekom jednog ciklusa pokretanja:

  • Put pokretanja PXE potpisao je Microsoft UEFI CA 2011.

  • Upravitelj pokretanja sustava Windows na disku potpisao je Windows UEFI CA 2023.

Budući da BitLocker tijekom pokretanja promatra različite pouzdane lance sigurnog pokretanja, ne može uspostaviti stabilan skup TPM mjera za ponovnu pohranu. Zbog toga BitLocker prilikom svakog pokretanja unosi oporavak.

Kako ga prepoznati

  • BitLocker oporavak pokreće se prilikom svakog ponovnog pokretanja.

  • Unos ključa za oporavak sustavu Windows omogućuje pokretanje, ali se upit vraća prilikom sljedećeg pokretanja.

  • PXE ili pokretanje mreže konfigurirano je prije lokalnog diska u redoslijedu pokretanja programske opreme.

Što učiniti sljedeće

  • Konfigurirajte redoslijed pokretanja firmvera da bi upravitelj pokretanja sustava Windows na disku bio prvi.

  • Onemogućite pokretanje PXE-a ako to nije obavezno.

  • Ako je PXE obavezan, provjerite koristi li PXE infrastruktura učitavač pokretanja sustava Windows s potpisom 2023.

Šta se dogodilo

To odražava promjenu na razini opreme, a ne problem sa sustavom Windows. Ažuriranje sigurnog pokretanja uspješno je dovršeno, ali nakon kasnijeg ponovnog pokretanja uređaj se više ne pokreće u sustavu Windows.

Kako ga prepoznati

  • Uređaj ne pokreće Windows i može prikazati poruku programske opreme ili BIOS-a koja označava kršenje pravila sigurnog pokretanja.

  • Do pogreške dolazi nakon vraćanja postavki sigurnog pokretanja na zadane postavke firmvera.

  • Onemogućivanje sigurnog pokretanja može omogućiti ponovno pokretanje uređaja.

Zašto se to događa

Vraćanjem sigurnog pokretanja na zadane postavke firmvera poništavaju se baze podataka sigurnog pokretanja pohranjene u firmveru. Na uređajima koji su već prijelazili na upravitelj pokretanja koji je potpisao Windows UEFI CA 2023, ovim se vraćanjem uklanjaju certifikati potrebni za pouzdanost tog upravitelja pokretanja.

Zbog toga firmver više ne prepoznaje instaliranog upravitelja pokretanja sustava Windows kao pouzdan i blokira postupak pokretanja.

Taj scenarij nije uzrokovan ažuriranjem sigurnog pokretanja, već sljedećom radnom firmverom koja uklanja ažurirana pouzdana sidra.

Što učiniti sljedeće

  • Pomoću uslužnog programa za oporavak sigurnog pokretanja vratite potrebni certifikat da bi se uređaj ponovno mogli pokrenuti.

  • Nakon oporavka provjerite je li proizvođač uređaja instalirao najnoviju dostupnu opremu.

  • Izbjegavajte ponovno postavljanje sigurnog pokretanja na zadane postavke opreme, osim ako OEM oprema ne obuhvaća ažurirane zadane postavke sigurnog pokretanja koje certifikate 2023 smatraju pouzdanima.

Uslužni program za oporavak sigurnog pokretanja

Da biste oporavili sustav:

  1. Na drugom PC-ju sa sustavom Windows s instaliranim ažuriranjem za srpanj 2024. ili novijim ažuriranjem sustava Windows, kopirajte SecureBootRecovery.efi iz C:\Windows\Boot\EFI\.

  2. Postavite datoteku na USB pogon formatiran fat32 u odjeljku \EFI\BOOT\ i preimenujte je u bootx64.efi.

  3. Pokrenite zahvaćeni uređaj s USB pogona i omogućite pokretanje uslužnog programa za oporavak. Uslužni program dodat će Windows UEFI CA 2023 u DB.

Nakon vraćanja certifikata i ponovnog pokretanja sustava Windows bi se trebao normalno pokrenuti.

Važno: Taj će postupak ponovno primijeniti samo jedan od novih certifikata. Kada se uređaj oporavi, provjerite je li ponovno isporučio najnovije certifikate i razmislite o ažuriranju BIOS-a/UEFI-ja sustava na najnoviju dostupnu verziju. To može spriječiti ponavljanje problema s vraćanjem na izvorne postavke sigurnog pokretanja jer je velik broj OEM-ova objavio popravke programske opreme za taj određeni problem.

Šta se dogodilo

Nakon primjene ažuriranja certifikata sigurnog pokretanja i ponovnog pokretanja uređaj se ne uspijeva pokrenuti i ne može doći do sustava Windows.

Kako ga prepoznati

  • Uređaj ne uspijeva odmah nakon ponovnog pokretanja koje zahtijeva ažuriranje sigurnog pokretanja.

  • Može se prikazati pogreška programske opreme ili sigurnog pokretanja ili se sustav može zaustaviti prije učitavanja sustava Windows.

  • Onemogućivanje sigurnog pokretanja može omogućiti pokretanje uređaja.

Zašto se to događa

Taj je problem možda uzrokovan nedostatkom u implementaciji opreme UEFI uređaja.

Kada Windows primjenjuje ažuriranja certifikata sigurnog pokretanja, očekuje se da će firmver dodati nove certifikate postojećoj bazi podataka s dopuštenim potpisom sigurnog pokretanja (DB). Neke implementacije programske opreme neispravno prebrišu bazu podataka umjesto da je prilažu.

Kada se to dogodi,

  • Prethodno pouzdani certifikati, uključujući certifikat za pokretanje sustava Microsoft 2011, uklanjaju se.

  • Ako sustav i dalje koristi upravitelj pokretanja potpisan certifikatom 2011 u tom trenutku, firmver je više ne smatra pouzdanim.

  • Oprema odbacuje upravitelja pokretanja i blokira postupak pokretanja.

U nekim slučajevima baza podataka može se oštetiti umjesto da se prebriše, što dovodi do istog ishoda. To je ponašanje primijećeno na određenim implementacijama programske opreme i ne očekuje se na usklađenoj firmveru.

Što učiniti sljedeće

  • Unesite izbornike za postavljanje programske opreme i pokušajte ponovno postaviti postavke sigurnog pokretanja.

  • Ako se uređaj pokreće nakon ponovnog postavljanja, na web-mjestu za podršku proizvođača uređaja potražite ažuriranje opreme koje ispravlja rukovanje db-om sigurnog pokretanja.

  • Ako je dostupno ažuriranje opreme, instalirajte ga prije ponovnog omogućivanja sigurnog pokretanja i ponovne aplikacije ažuriranja certifikata za sigurno pokretanje.

Ako se ponovnim postavljanjem funkcije sigurnog pokretanja ne vrati funkcija pokretanja, vjerojatno će za daljnji oporavak biti potrebne smjernice specifične za OEM.

Šta se dogodilo

Ažuriranje certifikata sigurnog pokretanja nije dovršeno i ostaje blokirano u fazi ažuriranja ključa sustava Exchange (KEK).

Kako ga prepoznati

  • Vrijednost registra AvailableUpdates ostaje postavljena s KEK bitom (0x0004) i ne briše se.

  • UEFICA2023Status ne napreduje u dovršeno stanje.

  • Zapisnik događaja sustava opetovano bilježi ID događaja 1803, što upućuje na to da ažuriranje KEK nije moguće primijeniti.

  • Uređaj nastavlja s ponovnim pokušajima ažuriranja bez napretka.

Zašto se to događa

Za ažuriranje KEK sigurnog pokretanja potrebna je autorizacija ključa platforme (PK) uređaja u vlasništvu OEM-a.

Da bi ažuriranje uspjelo, proizvođač uređaja microsoftu mora dostaviti KEK potpisan PK-om za tu određenu platformu. Ovaj KEK potpisan OEM-om obuhvaćen je ažuriranjima sustava Windows i sustavu Windows omogućuje ažuriranje varijable KEK firmvera.

Ako OEM nije na uređaju naveli KEK potpisan PK-om, Windows ne može dovršiti ažuriranje ZAK. U tom stanju:

  • Ažuriranja sigurnog pokretanja blokirana su dizajnom.

  • Windows ne može zaobilazno raditi na autorizaciji koja nedostaje.

  • Uređaj ne može trajno dovršiti servisiranje certifikata sigurnog pokretanja.

To se može dogoditi na starijim uređajima ili uređajima s podrškom za koje OEM više ne pruža ažuriranja opreme ili ključa. Za taj uvjet nema podržanog ručnog puta oporavka.

Povratak na vrh

Kada se ažuriranja certifikata za sigurno pokretanje ne primjenjuju, Windows bilježi dijagnostičke događaje koji objašnjavaju zašto je tijek blokiran. Ti se događaji pišu prilikom ažuriranja baze podataka potpisa sigurnog pokretanja (DB) ili ključa sustava Exchange (KEK) ne mogu se sigurno dovršiti zbog uvjeta firmvera, stanja platforme ili konfiguracije. Scenariji u ovom odjeljku pozivaju se na te događaje radi utvrđivanja uobičajenih uzoraka pogrešaka i utvrđivanja odgovarajućeg popravka. Ovaj odjeljak namijenjen je podršci za dijagnosticiranje i tumačenje prethodno opisanih problema, a ne uvođenje novih scenarija neuspjeha.

Potpuni popis ID-ova događaja, opisa i oglednih unosa potražite u člancima Događaji ažuriranja secure boot DB i DBX varijabli (KB5016061).

Neuspjeh ažuriranja za KEK (ažuriranja baze podataka uspjela su, KEK ne)

Uređaj može uspješno ažurirati certifikate u dbu za sigurno pokretanje, ali ne uspijeva tijekom ažuriranja KEK-a. Kada se to dogodi, postupak ažuriranja sigurnog pokretanja nije moguće dovršiti.

Simptomi

  • Događaji DB certifikata označavaju napredak, ali faza KEK nije dovršena.

  • AvailableUpdates ostaje postavljen na 0x4004 a 0x0004 bit ne čisti nakon pokretanja više zadataka.

  • Događaj 1795 ili 1803 možda postoji.

Tumačenje

  • 1795 obično označava neuspjeh firmvera prilikom pokušaja ažuriranja varijable sigurnog pokretanja.

  • 1803 označava da ažuriranje ZA KEK nije moguće autorizirano jer obavezni OEM PK potpisani kek korisni teret nije dostupan za platformu.

Sljedeći koraci

  • Ako imate 1795, provjerite ima li ažuriranja OEM opreme i provjerite podršku za firmver za ažuriranja varijabli sigurnog pokretanja.

  • Za 1803 provjerite je li OEM Microsoftu dao PK potpisani KEK potreban za model uređaja.

Ažuriranje KEK-a na gost VM-ima hostiranom na servisu Hyper-V 

Ažuriranja certifikata sigurnog pokretanja na virtualnim računalima Hyper-V zahtijevaju instalaciju ažuriranja sustava Windows iz ožujka 2026. i na glavnom računalu hyper-V i u OS-u gosta.

Ažuriranja se prijavljuju iz gosta, ali događaj označava gdje je potreban popravka:

  • Događaj 1795 (na primjer, "Medij je zaštićen od pisanja") prijavljen u gostu označava da glavnom računalu hyper-V nedostaje ažuriranje iz ožujka 2026. i da ga je potrebno ažurirati.

  • Događaj 1803 prijavljen u gostu označava da samom virtualnom računalu gosta nedostaje ažuriranje iz ožujka 2026. i mora se ažurirati.

Povratak na vrh 

Reference i interne značajke

Ovaj odjeljak sadrži dodatne referentne informacije namijenjene otklanjanju poteškoća i podršci. Nije namijenjen planiranju implementacije. Proširuje se na mehaniku servisiranja sigurnog pokretanja sažimanje ranije i pruža detaljan referentni materijal za tumačenje stanja registra i zapisnika događaja.

Napomena (implementacije kojima upravlja IT): Kada se konfiguriraju putem pravilnik grupe ili Microsoft Intune, dvije slične postavke ne bi se trebalo brkati. Vrijednost AvailableUpdatesPolicy predstavlja konfigurirano stanje pravilnika. U međuvremenu, AvailableUpdates odražava trenutno radno stanje čišćenja bitova. Oba mogu pokrenuti isti ishod, ali se ponašaju drugačije jer se pravilnik s vremenom ponovno primjenjuje.

Povratak na vrh 

AvailableUpdates bitovi koji se koriste za servisiranje certifikata

Bitovi u nastavku koriste se za akcije upravitelja certifikata i pokretanja opisane u ovom dokumentu. Stupac Redoslijed odražava slijed kojim zadatak secure-boot-Update obrađuje svaki bit.

Narudžba

Postavka bitova

Upotreba

1

0x0040

Ovaj bit govori zakazanom zadatku dodavanje certifikata za Windows UEFI CA 2023 u db za sigurno pokretanje. To sustavu Windows omogućuje pouzdanost upravitelja pokretanja potpisanih ovim certifikatom.

2

0x0800

Ovaj bit govori zakazanom zadatku da primijeni Microsoft Option ROM UEFI CA 2023 na DB.  

Uvjetno ponašanje: kada 0x4000 zastavicu, zakazani zadatak najprije će provjeriti bazu podataka za certifikat Microsoft Corporation UEFI CA 2011. Primijenit će certifikat Microsoft Option ROM UEFI CA 2023 samo ako postoji certifikat 2011.

3

0x1000

Ovaj bit govori zakazanom zadatku primjenu programa Microsoft UEFI CA 2023 na bazu podataka.

Uvjetno ponašanje: kada 0x4000 zastavicu, zakazani zadatak najprije će provjeriti bazu podataka za certifikat Microsoft Corporation UEFI CA 2011 . Primijenit će certifikat Microsoft UEFI CA 2023samo ako postoji certifikat 2011.

Modifikator (zastavica ponašanja)

0x4000

Ovaj bit mijenja ponašanje 0x0800 i 0x1000 bitova tako da se Microsoft UEFI CA 2023 i Microsoft Option ROM UEFI CA 2023 primjenjuju samo ako baza podataka već sadrži Microsoft Corporation UEFI CA 2011  Da bi sigurnosni profil uređaja ostao isti, ovaj bit primjenjuje samo te nove certifikate ako uređaj smatra certifikat microsoft Corporation UEFI CA 2011 pouzdanim. Certifikat se ne smatra pouzdanim za sve uređaje sa sustavom Windows.

4

0x0004

Ovaj bit govori zakazanom zadatku da potraži ključ sustava Exchange ključa koji je potpisao ključ platforme uređaja (PK). PK-om upravlja OEM. OEM-i potpisuju Microsoft KEK sa svojim PK-om i isporuče ga Microsoftu gdje je uključen u mjesečna kumulativna ažuriranja.

5

0x0100

Ovaj bit govori zakazanom zadatku primjenu upravitelja pokretanja koji je potpisao Windows UEFI CA 2023 na particiju za pokretanje. Time će se zamijeniti microsoft Windows Production PCA 2011 signed boot manager.

Napomene:

  • Nakon 0x4000 bitova bit će postavljena.

  • Svaki bit obrađuje zakazani zadatak sigurnog pokretanja prema gore prikazanom redoslijedu.

  • Ako 0x0004 bit ne može obraditi zbog KEK potpisanog PK-a, zakazani zadatak i dalje će primijeniti ažuriranje upravitelja pokretanja naznačeno bitnim 0x0100.

Povratak na vrh 

Očekivani napredak (AvailableUpdates)

Kada se operacija uspješno dovrši, Windows će izbrisati pridruženi bit iz servisa AvailableUpdates. Ako operacija ne uspije, Windows evidentira događaj i ponovne pokušaje kada se zadatak ponovno pokrene.

U tablici u nastavku prikazan je očekivani napredak vrijednosti AvailableUpdates nakon dovršetka svake akcije ažuriranja sigurnog pokretanja.

Korak

Obrađeno u bitu

Dostupno Ažuriranja

Opis

Zapisan događaj uspjeha

Mogući kodovi događaja pogreške

Start

0x5944

Početno stanje prije početka servisiranja certifikata sigurnog pokretanja.

-

-

1

0x0040

0x5944 → 0x5904

Windows UEFI CA 2023 dodaje se u db za sigurno pokretanje.

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

Dodajte Microsoft Option ROM UEFI CA 2023 u DB ako je uređaj prethodno pouzdan Microsoft UEFI CA 2011.

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

Microsoft UEFI CA 2023 dodaje se u bazu podataka ako je uređaj prethodno pouzdan za Microsoft UEFI CA 2011.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

Primjenjuje se novi Microsoft KEK 2K CA 2023 koji je potpisao ključ platforme OEM.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

Instaliran je upravitelj pokretanja koji je potpisao Windows UEFI CA 2023.

1799

1797

Napomene

  • Kada se operacija povezana s bitom uspješno dovrši, bit će izbrisan iz servisa AvailableUpdates.

  • Ako jedna od tih operacija ne uspije, zapisuje se događaj, a operacija se ponovno izvodi prilikom sljedećeg pokretanja zakazanog zadatka.

  • Tekst 0x4000 bit je modifikator i nije poništen. Konačna vrijednost servisa AvailableUpdates 0x4000 označava uspješno dovršenje svih primjenjivih akcija ažuriranja.

  • Događaji 1032, 1795, 1796, 1802 obično označavaju ograničenja opreme ili platforme.

  • Događaj 1803 označava da nedostaje KEK s potpisom OEM PK.

Povratak na vrh 

Postupci popravka

U ovom se odjeljku navode detaljni postupci za rješavanje određenih problema sa sigurnim pokretanjem. Svaki se postupak odnosi na dobro definirani uvjet i treba ga slijediti tek nakon što početna dijagnoza potvrdi da se problem primjenjuje. Koristite ove postupke za vraćanje očekivanog ponašanja sigurnog pokretanja i omogućivanje sigurnog nastavka ažuriranja certifikata. Ove postupke nemojte primjenjivati općenito ni unaprijed.

Povratak na vrh

Omogućivanje sigurnog pokretanja u firmveru

Ako je sigurno pokretanje onemogućeno u firmveru uređaja, detalje o omogućivanju sigurnog pokretanja potražite u članku Windows 11 i Sigurno pokretanje.

Povratak na vrh

Zakazani zadatak sigurnog pokretanja je onemogućen ili izbrisan

Zakazani zadatak sigurnog pokretanja-ažuriranja potreban je da bi Windows primijenio ažuriranja certifikata za sigurno pokretanje. Ako je zadatak onemogućen ili nedostaje, servisiranje certifikata sigurnog pokretanja neće funkcionirati.

Pojedinosti o zadatku

Naziv zadatka

Ažuriranje sigurnog pokretanja

Put zadatka

\Microsoft\Windows\PI\

Cijeli put

\Microsoft\Windows\PI\Secure-Boot-Update

Pokreće se kao

SYSTEM (lokalni sustav)

Okidači

Prilikom pokretanja i svakih 12 sati

Obavezno stanje

Omogućen

Provjera statusa zadatka

Pokretanje iz povišenog upita komponente PowerShell: schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Potražite polje Status:

Status

Značenje

Spreman

Zadatak postoji i omogućen je.

Onemogućeno

Zadatak postoji, ali mora biti omogućen.

Pogreška / nije pronađeno

Zadatak nedostaje i mora se ponovno stvoriti.

Omogućivanje ili ponovno stvaranje zadatka

Ako je polje stanja za sigurnosno ažuriranje onemogućeno, pogreška ili nije pronađeno, upotrijebite oglednu skriptu da biste omogućili zadatak: Primjer Enable-SecureBootUpdateTask.ps1

Napomena: ovo je ogledna skripta koju Microsoft ne podržava. Administratori bi ih trebali pregledati i prilagoditi svom okruženju.

Primjer:

.\Enable-SecureBootUpdateTask.ps1 - Tiho

Pokreni smjernice

  • Ako vam se prikaže pristup odbijen, ponovno pokrenite PowerShell kao administrator.

  • Ako se skripta ne izvodi zbog pravilnika o izvršenju, koristite zaobilaženje opsega procesa:

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass

Povratak na vrh 

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost