Megjegyzés
- Eredeti közzététel dátuma: 2025. október 14.
- Tudásbáziscikk azonosítója: 5068202
Ez a cikk a következőkre nyújt útmutatást:
- Informatikai felügyeletű Windows-eszközökkel és -frissítésekkel rendelkező szervezetek.
Megjegyzés
A támogatás elérhetősége:
A beállításkulcsokat a következő dátumon vagy azt követően kiadott frissítések tartalmazzák:
2025. november 11.: A még támogatott Windows-verziók esetén.
Módosítási napló
| Dátum módosítása | Módosítás leírása |
|---|---|
| Március 20, 2026 |
|
| 2026. február 20. |
|
| 2025. november 4. |
|
| 2025. november 11. |
|
| 2025. november 16. | Frissítettük az "Eszköz tesztelése beállításkulcsokkal" című szakasz tartalmát. Az Elérhető frissítés beállítás értéke "0x0100" értékről "0x4000" értékre módosult. |
Tartalom
Bevezetés
Ez a dokumentum a biztonságos rendszerindítási tanúsítvány frissítéseinek Windows beállításkulcsokkal történő telepítésének, kezelésének és figyelésének támogatását ismerteti. A kulcsok a következők:
- Egy kulcs a tanúsítványok és rendszerindítás-kezelő telepítésének elindításához az eszközön.
- Két kulcs a központi telepítés állapotának figyeléséhez.
- Két billentyű a két rendelkezésre álló telepítési segédprogram jóváhagyási/elutasítási beállításainak kezeléséhez.
Ezeket a rendszerleíró kulcsokat manuálisan vagy távolról, a rendelkezésre álló flottakezelő szoftveren keresztül lehet beállítani. Az egyéb üzembe helyezési módszereket, például a Csoportházirendet, a Microsoft Intune-t és a WinCS-t a Windows-eszközök vállalatoknak és szervezeteknek informatikai felügyeletű frissítésekkel című cikkben ismertetjük.
Biztonságos rendszerindítás beállításkulcsai
A szakasz tartalma
- Beállításkulcsok
- A billentyűk együttes használata
- Üzembe helyezés beállításkulcsok használatával
- Az eszköz tesztelése beállításkulcsokkal
- Asszisztok jóváhagyása és lemondása
- A Windows támogatott verziói
Beállításkulcsok
Az alább ismertetett összes biztonságos rendszerindítási beállításkulcs ezen a beállításjegyzékbeli elérési úton található:
Megjegyzés
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Az alábbi táblázat ismerteti az egyes beállításazonosítókat:
| Beállításazonosító | Típus: | Leírás és használat |
|---|---|---|
| Elérhető frissítések | REG_DWORD (bitmaszk) | Frissítési eseményindító jelzői. Az eszközön végrehajtandó biztonságos rendszerindítási frissítési műveleteket szabályozza. A megfelelő bitmező beállítása itt elindítja az új biztonságos rendszerindítási tanúsítványok és a kapcsolódó frissítések telepítését. Nagyvállalati üzembe helyezés esetén ezt a 0x5944 (hexadecimális) értékre kell állítani – ez az érték engedélyezi az összes releváns frissítést (az új 2023-as hitelesítésszolgáltatói tanúsítványok hozzáadását, a KEK frissítését és az új rendszertöltés-vezérlő telepítését). Beállítások:
|
| HighConfidenceOptOut | REG_DWORD | Leiratkozási lehetőség. Azon nagyvállalatok számára, amelyek nem szeretnék használni a nagy megbízhatósággal kapcsolatos gyűjtőket, amelyek automatikusan az LCU részeként lesznek alkalmazva. Ezt a kulcsot nullától eltérő értékre állíthatja a nagy megbízhatóságú gyűjtők elutasításához. Beállítások
|
| MicrosoftUpdateManagedOptIn | REG_DWORD | Jóváhagyási lehetőség. Azon vállalatok számára, amelyek részt szeretnének venni a Controlled Feature Rollout (CFR) karbantartásban, más néven Microsoft Managed szolgáltatásban. A kulcs beállítása mellett engedélyezze a szükséges diagnosztikai adatok küldését is (lásd: Windows diagnosztikai adatok konfigurálása a szervezetben). Beállítások
|
| AvailableUpdatesPolicy | REG_DWORD (bitmaszk) |
Csak tájékoztatásul – ne frissítse ezt a kulcsot a beállításjegyzéken keresztül. Ezt a kulcsot a Csoportházirend és az Intune használja a biztonságos rendszerindítással kapcsolatos műveletek kommunikálására a Windowszal. Az Intune vagy a Csoportházirend által beállított házirendet jelöli. |
Az alább ismertetett összes biztonságos rendszerindítási beállításkulcs ezen a beállításjegyzékbeli elérési úton található:
Megjegyzés
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Az alábbi táblázat ismerteti az egyes beállításazonosítókat:
| Beállításazonosító | Típus: | Leírás és használat |
|---|---|---|
| UEFICA2023Állapot | REG_SZ (karakterlánc) | Központi telepítési állapot jelzője. A biztonságos rendszerindítási kulcs frissítésének aktuális állapotát tükrözi az eszközön. A következő szöveges értékek egyikére lesz beállítva:
|
| UEFICA2023Hiba | REG_DWORD (kód) | Hibakód (ha van ilyen). Sikeres végrehajtás esetén ez az érték 0 marad. Ha a frissítési folyamat hibát észlel, az UEFICA2023Error az első hibának megfelelő nem nulla hibakódra van állítva. A hiba itt azt jelenti, hogy a biztonságos rendszerindítási frissítés nem volt teljesen sikeres, és vizsgálatot vagy szervizelést igényelhet az eszközön. Ha például a DB (megbízható aláírások adatbázisa) frissítése nem sikerült egy firmware-probléma miatt, ez a beállításkulcs a belső vezérlőprogramból származó hibakódot jeleníthet meg. Ha ez a kulcs létezik és nem nulla, javasoljuk, hogy keresse meg a biztonságos rendszerindítási eseményeket a Windows eseménynaplóiban – további információért lásd: Secure Boot DB és DBX változófrissítési események . |
| UEFICA2023ErrorEvent | REG_DWORD (kód) | UEFICA2023ErrorEvent Annak az eseménynek az azonosítóját adja meg, amelyet a Windows UEFI CA 2023 biztonságos rendszerindítási frissítéseinek alkalmazásával kapcsolatos hiba jelentéséhez használt. Ez az érték korrelál az UEFICA2023Error beállításkulcsmal, és a kulcs megadásakor kerül kitöltésre, jelezve, hogy a Windows hibát észlelt a biztonságos rendszerindítási frissítés alkalmazása közben. Amikor ez történik, a Windows naplózza a Secure Boot DB és a DBX változófrissítési eseményeinek nyilvános lapján dokumentált megfelelő biztonságos rendszerindítási eseményt, amely további részleteket tartalmaz arról, hogy miért nem lehetett befejezni a frissítést, és milyen műveletre lehet szükség. |
| WindowsUEFICA2023-kompatibilis | REG_DWORD (kód) | Csak tájékoztató jelleggel – ne használja ezt a kulcsot a biztonságos rendszerindítási frissítések állapotának lekérésekor. Használja helyette az UEFICA2023Status kulcsot. Ez a beállításkulcs korlátozott telepítési forgatókönyvekhez készült, és nem ajánlott általános használatra. Érvényes értékek: 0 – vagy a kulcs nem létezik – a "Windows UEFI CA 2023" tanúsítvány nincs az adatbázisban 1 – A "Windows UEFI CA 2023" tanúsítvány az adatbázisban található 2 – A "Windows UEFI CA 2023" tanúsítvány megtalálható az adatbázisban, és a rendszer a 2023-as aláírt rendszerindítás-kezelőből indul |
| BucketHash | REG_SZ (karakterlánc) | A BucketHash azt az üzembe helyezési gyűjtőt azonosítja, amelyhez az eszköz hozzá van rendelve a biztonságos rendszerindítási tanúsítvány kibocsátásának részeként. Az érték egy, az eszköz jellemzőiből származtatott kivonat, amely a hasonló belső vezérlőprogram- és platformattribútumokkal rendelkező eszközök csoportosítására szolgál a szakaszos üzembe helyezéshez és a kockázatkezeléshez. Ez ugyanaz a gyűjtőkivonat, amely a Secure Boot DB és a DBX változófrissítési eseményeinek lapján dokumentált eszközspecifikus eseményekben is megjelenik, lehetővé téve a rendszergazdák számára, hogy összekapcsolják a beállításjegyzék állapotát az eseménynapló bejegyzéseivel, és megértsék, hogyan célozták meg az eszközt a biztonságos rendszerindítás frissítési folyamata során. |
| Megbízhatósági szint | REG_SZ (karakterlánc) | A ConfidenceLevel az eszköz biztonságos rendszerindítási üzembe helyezési gyűjtőjéhez társított megbízhatósági értékelést jelzi. Ez az érték a BucketConfidenceLevel szintnek felel meg, amelyet a Windows rendel az eszközhöz a hasonló hardver- és belsővezérlőprogram-konfigurációkban megfigyelt frissítési viselkedés alapján. Ugyanezt a megbízhatósági szintet tartalmazzák a biztonságos rendszerindítási adatbázis és a DBX változófrissítési eseményeinek oldalán dokumentált eszközspecifikus események is, így a rendszergazdák korrelálhatják a beállításazonosítót az eseménynapló-bejegyzésekkel. A kulcs lehetséges értékeivel kapcsolatos további részletekért tekintse meg az eszközspecifikus eseménynaplóban található események leírását. |
A billentyűk együttes használata
A rendszergazdák az AvailableUpdates beállításazonosítót a 0x5944 értékre konfigurálják, amely jelzi a Windowsnak, hogy hajtsa végre a biztonságos rendszerindítási kulcs frissítését és telepítését az eszközön.
A folyamat futása közben a rendszer frissíti az UEFICA2023Status állapotot NotStarted értékről InProgressre, végül pedig Updated (Frissítve ) értékre, ha sikeres volt. Mivel a 0x5944 minden bitje sikeresen feldolgozásra kerül, törlődik.
Ha bármelyik lépés sikertelen, a rendszer hibakódot rögzít az UEFICA2023Error programban (és az állapot továbbra is InProgress marad).
Ezzel a mechanizmussal a rendszergazdák egyértelműen elindíthatják és nyomon követhetik az eszközönkénti bevezetést.
Üzembe helyezés beállításkulcsok használatával
Az eszközök egy csoportjára való üzembe helyezés a következő lépésekből áll:
- Állítsa az AvailableUpdates beállításazonosítót 0x5944 értékre az egyes frissítendő eszközökön.
- Figyelje az UEFICA2023Status és az UEFICA2023Error beállításkulcsot, hogy lássa, halad-e az eszközök előrehaladása. A frissítéseket feldolgozó feladat 12 óránként fut. Vegye figyelembe, hogy a rendszertöltés-vezérlő frissítése csak újraindítás után történhet meg.
- Ha előfordulnak, vizsgálja ki a problémákat. Ha UEFICA2023Error nem nulla egy eszközön, ellenőrizheti az eseménynaplóban a problémához kapcsolódó eseményeket. A biztonságos rendszerindítási események teljes listáját a Secure Boot DB és a DBX változófrissítési eseményei című témakörben találja.
Megjegyzés az újraindításokkal kapcsolatban: Bár a folyamat befejezéséhez újraindításra lehet szükség, a biztonságos rendszerindítási frissítések telepítésének elindítása nem eredményez újraindítást. Ha újraindításra van szükség, a biztonságos rendszerindítási telepítés az újraindításokra támaszkodik az eszköz szokásos használatának részeként.
Az eszköz tesztelése beállításkulcsokkal
Az egyes eszközök tesztelése során annak biztosítása érdekében, hogy azok megfelelően dolgozzák fel a frissítéseket, a beállításkulcsok használata egyszerű módja lehet a tesztelésnek.
A teszteléshez futtassa az alábbi parancsokat a rendszergazdai PowerShell-parancssortól külön:
Megjegyzés
- reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
- Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
- Indítsa újra manuálisan a rendszert, amikor az AvailableUpdates frissítések 0x4100
- Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Az első parancs elindítja a tanúsítvány és a rendszerindítás-kezelő központi telepítését az eszközön. A második parancs azonnal futtatja az AvailableUpdates beállításkulcsot feldolgozó feladatot. A tevékenység normál esetben 12 óránként fut. A beállításkulcsnak gyorsan 0x4100-re kell változnia. Az újraindítás és a feladat újbóli futtatása a rendszertöltés-vezérlő frissítését és az AvailableUpdates frissítések 0x4000 állapotba kerül. Az AvailableUpdates működéséről további információt a Hibaelhárítás című részben talál.
Az eredményeket az UEFICA2023Status és az UEFICA2023Error beállításkulcsok, valamint az eseménynaplók megfigyelésével találhatja meg a Secure Boot DB és DBX változófrissítési eseményekben leírtak szerint.
Az asszisztok jóváhagyása és lemondása
A HighConfidenceOptOut és a MicrosoftUpdateManagedOptIn beállításkulcsok segítségével kezelhető az informatikai felügyeletű frissítésekkel rendelkező Windows-eszközökön leírt két üzembe helyezési segéd.
- A HighConfidenceOptOut beállításkulcs szabályozza az eszközök automatikus frissítését az összegző frissítéseken keresztül. Azok az eszközök, amelyeknél a Microsoft bizonyos eszközök sikeres frissítését észlelte, azok "nagy megbízhatóságú" eszközöknek minősülnek, és a biztonságos rendszerindítási tanúsítvány frissítése automatikusan megtörténik. Az alapértelmezett beállítás az opt-in.
- A MicrosoftUpdateManagedOptIn beállításkulcs lehetővé teszi az informatikai részlegek számára, hogy részt vehessenek a Microsoft által kezelt automatikus üzembe helyezésben. Ez a beállítás alapértelmezés szerint ki van kapcsolva, és 1 jóváhagyásra van állítva. Ehhez a beállításhoz azt is megköveteli, hogy az eszköz opcionális diagnosztikai adatokat küldjön.
A Windows támogatott verziói
Ez a táblázat tovább részletezi a támogatást a beállításkulcs alapján.
| Billentyű | A Windows támogatott verziói |
|---|---|
|
Elérhető frissítések UEFICA2023Állapot UEFICA2023Hiba |
A Windows összes olyan verziója, amely támogatja a biztonságos rendszerindítást (Windows Server 2012 és újabb Windows-verziók). Megjegyzés: Bár a megbízhatósági adatokat a Windows 10, az LTSC, a 22H2 és a Windows újabb verzióin gyűjtjük, a Windows korábbi verzióit futtató eszközökre is alkalmazhatók.
|
| HighConfidenceOptOut | |
| MicrosoftUpdateManagedOptIn |
Biztonságos rendszerindítási hibaesemények
A hibaesemények kritikus jelentéskészítési funkcióval rendelkeznek, amely tájékoztat a biztonságos rendszerindítás állapotáról és előrehaladásáról. A hibaeseményekről a biztonságos rendszerindítási adatbázis és a DBX változófrissítési eseményei című témakörben olvashat bővebben. A hibaesemények további eseményinformációkkal frissülnek a biztonságos rendszerindításhoz.