Beállításkulcs-frissítések a biztonságos rendszerindításhoz: Informatikai felügyelettel rendelkező Windows-eszközök

Hatókör
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Megjegyzés

  • Eredeti közzététel dátuma: 2025. október 14.
  • Tudásbáziscikk azonosítója: 5068202

Ez a cikk a következőkre nyújt útmutatást:

  • Informatikai felügyeletű Windows-eszközökkel és -frissítésekkel rendelkező szervezetek.

Megjegyzés

  • A támogatás elérhetősége:

  • A beállításkulcsokat a következő dátumon vagy azt követően kiadott frissítések tartalmazzák:

  • 2025. november 11.: A még támogatott Windows-verziók esetén.

Módosítási napló
Dátum módosítása Módosítás leírása
Március 20, 2026
  • Az AvailableUpdatesPolicy beállításazonosító hozzá lett adva a "Beállításkulcsok" szakasz első táblájához.
  • Frissítettük a WindowsUEFICA2023Capable "Leírás és használat" beállításazonosítót a "Beállításkulcsok" szakasz második táblázatában.
2026. február 20.
  • 3 új beállításkulcsot adtunk hozzá a cikkhez - "UEFICA2023ErrorEvent", " BucketHash" & " ConfidenceLevel".
  • Frissítettük a "Támogatás elérhetősége" című szakaszt.
2025. november 4.
  • További egy beállításkulcsot vettünk fel a lapra.
  • Javítottuk az "Például, ha a DB (adatbázis) frissítése firmware-probléma miatt nem sikerült, ez a beállításkulcs egy eseménynaplóhoz rendelhető hibakódot jeleníthet meg, vagy dokumentált hibaazonosítót jeleníthet meg" szövegre: "Például, ha az adatbázis (megbízható aláírások adatbázisa) frissítése egy belső vezérlőprogram-probléma miatt nem sikerült, Ez a beállításkulcs a belső vezérlőprogramból származó hibakódot jeleníthet meg. Ha ez a kulcs létezik, és nem nulla, javasoljuk, hogy keresse meg a biztonságos rendszerindítási eseményeket a Windows eseménynaplóiban – további részletekért lásd: (hivatkozás)".
  • Az alábbiakban két külön elérési utat vettünk fel a beállításkulcsok számára
2025. november 11.
  • Az Eszköztesztelés beállításkulcsokkal című bekezdés további információkkal frissült: "A beállításkulcsnak gyorsan a következőre kell változnia: 0x4100. Az újraindítás és a feladat újbóli futtatása a rendszertöltés-vezérlő frissítését és az AvailableUpdates 0x0100 állapotba kerül. Az AvailableUpdates működésével kapcsolatos további részletekért tekintse meg a Hibaelhárítást."
  • Frissítse az Eszköz tesztelése beállításkulcsokkal alatti szürke mezőben megjelenő szöveget úgy, hogy két további PowerShell-parancs legyen elérhető
  • A beállításkulcsok alatt a beállításazonosító -MicrosoftUpdateManagedOptIn értéke "1 – Jóváhagyás" értékről "1 vagy bármely nullától különböző érték – Jóváhagyás" értékre módosult
2025. november 16. Frissítettük az "Eszköz tesztelése beállításkulcsokkal" című szakasz tartalmát. Az Elérhető frissítés beállítás értéke "0x0100" értékről "0x4000" értékre módosult.

Tartalom

Bevezetés

Ez a dokumentum a biztonságos rendszerindítási tanúsítvány frissítéseinek Windows beállításkulcsokkal történő telepítésének, kezelésének és figyelésének támogatását ismerteti. A kulcsok a következők:

  • Egy kulcs a tanúsítványok és rendszerindítás-kezelő telepítésének elindításához az eszközön.
  • Két kulcs a központi telepítés állapotának figyeléséhez.
  • Két billentyű a két rendelkezésre álló telepítési segédprogram jóváhagyási/elutasítási beállításainak kezeléséhez.

Ezeket a rendszerleíró kulcsokat manuálisan vagy távolról, a rendelkezésre álló flottakezelő szoftveren keresztül lehet beállítani. Az egyéb üzembe helyezési módszereket, például a Csoportházirendet, a Microsoft Intune-t és a WinCS-t a Windows-eszközök vállalatoknak és szervezeteknek informatikai felügyeletű frissítésekkel című cikkben ismertetjük.

Biztonságos rendszerindítás beállításkulcsai

A szakasz tartalma

Beállításkulcsok

Az alább ismertetett összes biztonságos rendszerindítási beállításkulcs ezen a beállításjegyzékbeli elérési úton található:

Megjegyzés

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Az alábbi táblázat ismerteti az egyes beállításazonosítókat:

Beállításazonosító Típus: Leírás és használat
Elérhető frissítések REG_DWORD (bitmaszk) Frissítési eseményindító jelzői.

Az eszközön végrehajtandó biztonságos rendszerindítási frissítési műveleteket szabályozza. A megfelelő bitmező beállítása itt elindítja az új biztonságos rendszerindítási tanúsítványok és a kapcsolódó frissítések telepítését. Nagyvállalati üzembe helyezés esetén ezt a 0x5944 (hexadecimális) értékre kell állítani – ez az érték engedélyezi az összes releváns frissítést (az új 2023-as hitelesítésszolgáltatói tanúsítványok hozzáadását, a KEK frissítését és az új rendszertöltés-vezérlő telepítését).

Beállítások:
  • 0 vagy nincs beállítva – Nem történik biztonságos rendszerindítási kulcs frissítése.
  • 0x5944 – Telepítse az összes szükséges tanúsítványt, és frissítsen a PCA2023 aláírt rendszerindítás-kezelőre
HighConfidenceOptOut REG_DWORD Leiratkozási lehetőség.

Azon nagyvállalatok számára, amelyek nem szeretnék használni a nagy megbízhatósággal kapcsolatos gyűjtőket, amelyek automatikusan az LCU részeként lesznek alkalmazva.

Ezt a kulcsot nullától eltérő értékre állíthatja a nagy megbízhatóságú gyűjtők elutasításához.

Beállítások
  • 0 vagy a kulcs nem létezik – Jóváhagyás
  • 1 – Lemondás
MicrosoftUpdateManagedOptIn REG_DWORD Jóváhagyási lehetőség.

Azon vállalatok számára, amelyek részt szeretnének venni a Controlled Feature Rollout (CFR) karbantartásban, más néven Microsoft Managed szolgáltatásban.

A kulcs beállítása mellett engedélyezze a szükséges diagnosztikai adatok küldését is (lásd: Windows diagnosztikai adatok konfigurálása a szervezetben).

Beállítások
  • 0 vagy a kulcs nem létezik – Lemondás
  • 1 vagy bármely nullától különböző érték – Jóváhagyás
AvailableUpdatesPolicy REG_DWORD (bitmaszk) Csak tájékoztatásul – ne frissítse ezt a kulcsot a beállításjegyzéken keresztül.

Ezt a kulcsot a Csoportházirend és az Intune használja a biztonságos rendszerindítással kapcsolatos műveletek kommunikálására a Windowszal. Az Intune vagy a Csoportházirend által beállított házirendet jelöli.

Az alább ismertetett összes biztonságos rendszerindítási beállításkulcs ezen a beállításjegyzékbeli elérési úton található:

Megjegyzés

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Az alábbi táblázat ismerteti az egyes beállításazonosítókat:

Beállításazonosító Típus: Leírás és használat
UEFICA2023Állapot REG_SZ (karakterlánc) Központi telepítési állapot jelzője.

A biztonságos rendszerindítási kulcs frissítésének aktuális állapotát tükrözi az eszközön. A következő szöveges értékek egyikére lesz beállítva:

  • NotStarted: A frissítés még nem futott.
  • Folyamatban: A frissítés folyamatban van.
  • Frissítve: A frissítés sikeresen befejeződött.
Kezdetben az állapot Nemindult. A frissítés elindulása után Folyamatban lévőre , végül Frissítve értékre változik, amikor az összes új kulcsot és az új rendszerindítás-kezelőt telepítette. Hiba esetén az UEFICA2023Error beállításazonosító nem nulla kódra van állítva.
UEFICA2023Hiba REG_DWORD (kód) Hibakód (ha van ilyen).
Sikeres végrehajtás esetén ez az érték 0 marad. Ha a frissítési folyamat hibát észlel, az UEFICA2023Error az első hibának megfelelő nem nulla hibakódra van állítva. A hiba itt azt jelenti, hogy a biztonságos rendszerindítási frissítés nem volt teljesen sikeres, és vizsgálatot vagy szervizelést igényelhet az eszközön.
Ha például a DB (megbízható aláírások adatbázisa) frissítése nem sikerült egy firmware-probléma miatt, ez a beállításkulcs a belső vezérlőprogramból származó hibakódot jeleníthet meg. Ha ez a kulcs létezik és nem nulla, javasoljuk, hogy keresse meg a biztonságos rendszerindítási eseményeket a Windows eseménynaplóiban – további információért lásd: Secure Boot DB és DBX változófrissítési események .
UEFICA2023ErrorEvent REG_DWORD (kód) UEFICA2023ErrorEvent Annak az eseménynek az azonosítóját adja meg, amelyet a Windows UEFI CA 2023 biztonságos rendszerindítási frissítéseinek alkalmazásával kapcsolatos hiba jelentéséhez használt. Ez az érték korrelál az UEFICA2023Error beállításkulcsmal, és a kulcs megadásakor kerül kitöltésre, jelezve, hogy a Windows hibát észlelt a biztonságos rendszerindítási frissítés alkalmazása közben. Amikor ez történik, a Windows naplózza a Secure Boot DB és a DBX változófrissítési eseményeinek nyilvános lapján dokumentált megfelelő biztonságos rendszerindítási eseményt, amely további részleteket tartalmaz arról, hogy miért nem lehetett befejezni a frissítést, és milyen műveletre lehet szükség.
WindowsUEFICA2023-kompatibilis REG_DWORD (kód) Csak tájékoztató jelleggel – ne használja ezt a kulcsot a biztonságos rendszerindítási frissítések állapotának lekérésekor. Használja helyette az UEFICA2023Status kulcsot.
Ez a beállításkulcs korlátozott telepítési forgatókönyvekhez készült, és nem ajánlott általános használatra.
Érvényes értékek:
0 – vagy a kulcs nem létezik – a "Windows UEFI CA 2023" tanúsítvány nincs az adatbázisban
1 – A "Windows UEFI CA 2023" tanúsítvány az adatbázisban található
2 – A "Windows UEFI CA 2023" tanúsítvány megtalálható az adatbázisban, és a rendszer a 2023-as aláírt rendszerindítás-kezelőből indul
BucketHash REG_SZ (karakterlánc) A BucketHash azt az üzembe helyezési gyűjtőt azonosítja, amelyhez az eszköz hozzá van rendelve a biztonságos rendszerindítási tanúsítvány kibocsátásának részeként. Az érték egy, az eszköz jellemzőiből származtatott kivonat, amely a hasonló belső vezérlőprogram- és platformattribútumokkal rendelkező eszközök csoportosítására szolgál a szakaszos üzembe helyezéshez és a kockázatkezeléshez. Ez ugyanaz a gyűjtőkivonat, amely a Secure Boot DB és a DBX változófrissítési eseményeinek lapján dokumentált eszközspecifikus eseményekben is megjelenik, lehetővé téve a rendszergazdák számára, hogy összekapcsolják a beállításjegyzék állapotát az eseménynapló bejegyzéseivel, és megértsék, hogyan célozták meg az eszközt a biztonságos rendszerindítás frissítési folyamata során.
Megbízhatósági szint REG_SZ (karakterlánc) A ConfidenceLevel az eszköz biztonságos rendszerindítási üzembe helyezési gyűjtőjéhez társított megbízhatósági értékelést jelzi. Ez az érték a BucketConfidenceLevel szintnek felel meg, amelyet a Windows rendel az eszközhöz a hasonló hardver- és belsővezérlőprogram-konfigurációkban megfigyelt frissítési viselkedés alapján. Ugyanezt a megbízhatósági szintet tartalmazzák a biztonságos rendszerindítási adatbázis és a DBX változófrissítési eseményeinek oldalán dokumentált eszközspecifikus események is, így a rendszergazdák korrelálhatják a beállításazonosítót az eseménynapló-bejegyzésekkel. A kulcs lehetséges értékeivel kapcsolatos további részletekért tekintse meg az eszközspecifikus eseménynaplóban található események leírását.

A billentyűk együttes használata

A rendszergazdák az AvailableUpdates beállításazonosítót a 0x5944 értékre konfigurálják, amely jelzi a Windowsnak, hogy hajtsa végre a biztonságos rendszerindítási kulcs frissítését és telepítését az eszközön.

A folyamat futása közben a rendszer frissíti az UEFICA2023Status állapotot NotStarted értékről InProgressre, végül pedig Updated (Frissítve ) értékre, ha sikeres volt. Mivel a 0x5944 minden bitje sikeresen feldolgozásra kerül, törlődik.

Ha bármelyik lépés sikertelen, a rendszer hibakódot rögzít az UEFICA2023Error programban (és az állapot továbbra is InProgress marad).

Ezzel a mechanizmussal a rendszergazdák egyértelműen elindíthatják és nyomon követhetik az eszközönkénti bevezetést.

Üzembe helyezés beállításkulcsok használatával

Az eszközök egy csoportjára való üzembe helyezés a következő lépésekből áll:

  1. Állítsa az AvailableUpdates beállításazonosítót 0x5944 értékre az egyes frissítendő eszközökön.
  2. Figyelje az UEFICA2023Status és az UEFICA2023Error beállításkulcsot, hogy lássa, halad-e az eszközök előrehaladása. A frissítéseket feldolgozó feladat 12 óránként fut. Vegye figyelembe, hogy a rendszertöltés-vezérlő frissítése csak újraindítás után történhet meg.
  3. Ha előfordulnak, vizsgálja ki a problémákat. Ha UEFICA2023Error nem nulla egy eszközön, ellenőrizheti az eseménynaplóban a problémához kapcsolódó eseményeket. A biztonságos rendszerindítási események teljes listáját a Secure Boot DB és a DBX változófrissítési eseményei című témakörben találja.

Megjegyzés az újraindításokkal kapcsolatban: Bár a folyamat befejezéséhez újraindításra lehet szükség, a biztonságos rendszerindítási frissítések telepítésének elindítása nem eredményez újraindítást. Ha újraindításra van szükség, a biztonságos rendszerindítási telepítés az újraindításokra támaszkodik az eszköz szokásos használatának részeként.

Az eszköz tesztelése beállításkulcsokkal

Az egyes eszközök tesztelése során annak biztosítása érdekében, hogy azok megfelelően dolgozzák fel a frissítéseket, a beállításkulcsok használata egyszerű módja lehet a tesztelésnek.

A teszteléshez futtassa az alábbi parancsokat a rendszergazdai PowerShell-parancssortól külön:

Megjegyzés

  • reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
  • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  • Indítsa újra manuálisan a rendszert, amikor az AvailableUpdates frissítések 0x4100
  • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Az első parancs elindítja a tanúsítvány és a rendszerindítás-kezelő központi telepítését az eszközön. A második parancs azonnal futtatja az AvailableUpdates beállításkulcsot feldolgozó feladatot. A tevékenység normál esetben 12 óránként fut. A beállításkulcsnak gyorsan 0x4100-re kell változnia. Az újraindítás és a feladat újbóli futtatása a rendszertöltés-vezérlő frissítését és az AvailableUpdates frissítések 0x4000 állapotba kerül. Az AvailableUpdates működéséről további információt a Hibaelhárítás című részben talál.

Az eredményeket az UEFICA2023Status és az UEFICA2023Error beállításkulcsok, valamint az eseménynaplók megfigyelésével találhatja meg a Secure Boot DB és DBX változófrissítési eseményekben leírtak szerint.

Az asszisztok jóváhagyása és lemondása

A HighConfidenceOptOut és a MicrosoftUpdateManagedOptIn beállításkulcsok segítségével kezelhető az informatikai felügyeletű frissítésekkel rendelkező Windows-eszközökön leírt két üzembe helyezési segéd.

  • A HighConfidenceOptOut beállításkulcs szabályozza az eszközök automatikus frissítését az összegző frissítéseken keresztül. Azok az eszközök, amelyeknél a Microsoft bizonyos eszközök sikeres frissítését észlelte, azok "nagy megbízhatóságú" eszközöknek minősülnek, és a biztonságos rendszerindítási tanúsítvány frissítése automatikusan megtörténik. Az alapértelmezett beállítás az opt-in.
  • A MicrosoftUpdateManagedOptIn beállításkulcs lehetővé teszi az informatikai részlegek számára, hogy részt vehessenek a Microsoft által kezelt automatikus üzembe helyezésben. Ez a beállítás alapértelmezés szerint ki van kapcsolva, és 1 jóváhagyásra van állítva. Ehhez a beállításhoz azt is megköveteli, hogy az eszköz opcionális diagnosztikai adatokat küldjön.

A Windows támogatott verziói

Ez a táblázat tovább részletezi a támogatást a beállításkulcs alapján.

Billentyű A Windows támogatott verziói
Elérhető frissítések
UEFICA2023Állapot
UEFICA2023Hiba
A Windows összes olyan verziója, amely támogatja a biztonságos rendszerindítást (Windows Server 2012 és újabb Windows-verziók).

Megjegyzés: Bár a megbízhatósági adatokat a Windows 10, az LTSC, a 22H2 és a Windows újabb verzióin gyűjtjük, a Windows korábbi verzióit futtató eszközökre is alkalmazhatók.
  • Windows 10, LTSC és 22H2-es verziók
  • Windows 11, 22H2-es és 23H2-es verziók
  • Windows 11, 24H2-es verzió
  • Windows Server 2025
HighConfidenceOptOut
MicrosoftUpdateManagedOptIn

Biztonságos rendszerindítási hibaesemények

A hibaesemények kritikus jelentéskészítési funkcióval rendelkeznek, amely tájékoztat a biztonságos rendszerindítás állapotáról és előrehaladásáról.  A hibaeseményekről a biztonságos rendszerindítási adatbázis és a DBX változófrissítési eseményei című témakörben olvashat bővebben. A hibaesemények további eseményinformációkkal frissülnek a biztonságos rendszerindításhoz.