Hatókör
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Eredeti közzététel dátuma: 2026. március 19.

TUDÁSBÁZIS AZONOSÍTÓJA: 5085046

Ebben a cikkben

Áttekintés

Ez az oldal útmutatást nyújt a rendszergazdáknak és a támogatási szakembereknek a Biztonságos rendszerindítással kapcsolatos problémák diagnosztizálásához és megoldásához Windows-eszközökön. A témakörök közé tartoznak a biztonságos rendszerindítási tanúsítvány frissítési hibái, a helytelen biztonságos rendszerindítási állapotok, a BitLocker váratlan helyreállítási kérései és a biztonságos rendszerindítás konfigurációjának módosításait követő rendszerindítási hibák.

Az útmutatóból megtudhatja, hogyan ellenőrizheti a Windows karbantartását és konfigurációját, áttekintheti a vonatkozó beállításjegyzék-értékeket és eseménynaplókat, és azonosíthatja, hogy a belső vezérlőprogram vagy a platform korlátozásai mikor igényelnek OEM-frissítést. Ez a tartalom a meglévő eszközökön jelentkező problémák diagnosztizálására szolgál. Ez nem az új üzemelő példányok tervezésére szolgál. Ez a dokumentum az új hibaelhárítási forgatókönyvek és útmutatók azonosításakor frissül.

vissza a tetejére

A biztonságos rendszerindítási tanúsítvány karbantartása

A Biztonságos rendszerindítási tanúsítvány karbantartása Windows rendszeren az operációs rendszer és az eszköz UEFI belső vezérlőprogramja közötti koordinált folyamat. A cél a kritikus megbízhatósági horgonyok frissítése, az egyes szakaszokban való rendszerindítási képesség megőrzése mellett.

A folyamatot egy Windows ütemezett feladat, a frissítési műveletek beállításjegyzék-alapú sorozata, valamint a beépített naplózás és újrapróbálkozási viselkedés vezérli. Ezek az összetevők együttesen biztosítják, hogy a biztonságos rendszerindítási tanúsítványok és a Windows rendszerindítás-kezelő szabályozott, rendezett módon frissüljenek, és csak az előfeltételként megadott lépések sikeres végrehajtása után.

vissza a tetejére

Hol érdemes kezdeni a hibaelhárítást?

Ha úgy tűnik, hogy egy eszköz nem halad előre a biztonságos rendszerindítási tanúsítvány frissítéseinek alkalmazásával, kezdje a probléma kategóriájának azonosításával. A legtöbb probléma a következő négy terület egyikébe tartozik: a Windows karbantartási állapota, a biztonságos rendszerindítási frissítési mechanizmus, a belső vezérlőprogram viselkedése vagy a platform vagy az OEM korlátozása.

Kezdje az alábbi ellenőrzésekkel, sorrendben. Sok esetben ezek a lépések elegendőek a megfigyelt viselkedés magyarázatához és a következő műveletek mélyebb vizsgálat nélküli meghatározásához.

  1. A Windows karbantartási és platformra vonatkozó jogosultságának megerősítése

    1. ​​​​​​​Ellenőrizze, hogy az eszköz megfelel-e a Biztonságos rendszerindítási tanúsítvány frissítéseinek fogadásához szükséges alapvető követelményeknek:

    2. Az eszköz a Windows támogatott verzióját futtatja.

    3. Telepítve vannak a Windows legújabb biztonsági frissítései.

    4. A biztonságos rendszerindítás engedélyezve van az UEFI belső vezérlőprogramban.

    5. Ha ezen feltételek bármelyike nem teljesül, a további hibaelhárítás folytatása előtt hárítsa el őket.

  2. A Secure-Boot-Update feladat állapotának ellenőrzése

    1. Győződjön meg arról, hogy a biztonságos rendszerindítási tanúsítvány frissítéséért felelős Windows-mechanizmus jelen van és működik:

    2. Létezik a Secure-Boot-Update ütemezett feladat.

    3. A feladat engedélyezve van, és helyi rendszerként fut.

    4. A feladat legalább egyszer lefutott a Legutóbbi Windows biztonsági frissítés telepítése óta.

    5. Ha a feladat le van tiltva, törölve vagy nem fut, a biztonságos rendszerindítási tanúsítvány frissítései nem alkalmazhatók. A hibaelhárításnak a feladat visszaállítására kell összpontosítania, mielőtt további okokat vizsgál.

  3. A beállításjegyzék beállításainak ellenőrzése a várt előrehaladáshoz

    Tekintse át az eszköz biztonságos rendszerindítási karbantartási állapotát a beállításjegyzékben:

    1. Vizsgálja meg az UEFICA2023Status, az UEFICA2023Error és az UEFICA2023ErrorEvent elemet.

    2. Vizsgálja meg az AvailableUpdates et, és hasonlítsa össze a várt előrehaladással (lásd: Referencia és belső értékek).

    Ezek az értékek együttesen azt jelzik, hogy a karbantartás megfelelően halad-e, újrapróbálkozik egy művelettel, vagy elakad egy adott lépésnél.

  4. A beállításjegyzék állapotának korrelálása biztonságos rendszerindítási eseményekkel

    Tekintse át a Biztonságos rendszerindítással kapcsolatos eseményeket a Rendszer eseménynaplójában, és vesse össze őket a beállításjegyzék állapotával. Az eseményadatok általában megerősítik, hogy az eszköz előrehaladtával, átmeneti állapot miatt újrapróbálkozással vagy belső vezérlőprogrammal vagy platformmal kapcsolatos probléma blokkolja-e.

    A beállításjegyzék és az eseménynaplók együttesen általában azt jelzik, hogy a viselkedés várható, ideiglenes vagy korrekciós műveletet igényel.

vissza a tetejére

Biztonságos rendszerindítási frissítés ütemezett feladata

A biztonságos rendszerindítási tanúsítvány karbantartása egy Secure-Boot-Update nevű ütemezett Windows-feladaton keresztül történik. A feladat regisztrálva van a következő elérési úton:

\Microsoft\Windows\PI\Secure-Boot-Update

A feladat helyi rendszerként fut. Alapértelmezés szerint rendszerindításkor, majd azt követően 12 óránként fut. Minden futtatáskor ellenőrzi, hogy a biztonságos rendszerindítási frissítési műveletek függőben vannak-e, és megpróbálja-e egymás után alkalmazni őket.

Ha ez a feladat le van tiltva vagy hiányzik, a biztonságos rendszerindítási tanúsítvány frissítései nem alkalmazhatók. A Secure-Boot-Update feladatnak engedélyezve kell maradnia a Biztonságos rendszerindítás szolgáltatás működéséhez.

vissza a tetejére

Az ütemezett tevékenységek használata

A biztonságos rendszerindítási tanúsítvány frissítéséhez koordinációra van szükség a Windows és az UEFI belső vezérlőprogramja között, beleértve a biztonságos rendszerindítási kulcsokat és tanúsítványokat tároló UEFI-változók írását is. Az ütemezett feladatok lehetővé teszik, hogy a Windows megkísérelje ezeket a frissítéseket, ha a rendszer olyan állapotban van, amelyben a belsővezérlőprogram-változók módosíthatók.

Az ismétlődő 12 órás ütemezés további lehetőségeket biztosít a frissítések újrapróbálkozására, ha egy korábbi kísérlet sikertelen volt, vagy ha az eszköz újraindítás nélkül bekapcsolt állapotban maradt. Ez a kialakítás manuális beavatkozás nélkül segíti az előrehaladt előrehaladást.

vissza a tetejére

Az AvailableUpdates beállításjegyzék bitmaszkja

A Secure-Boot-Update feladatot az AvailableUpdates beállításjegyzék-érték vezérli. Ez az érték egy 32 bites bitmaszk, amely a következő helyen található:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Az érték minden bitje egy adott biztonságos rendszerindítási frissítési műveletet jelöl. A frissítési folyamat akkor kezdődik, amikor az AvailableUpdates értéke nem nulla, a Windows automatikusan vagy explicit módon egy rendszergazda által. Egy 0x5944 érték például azt jelzi , hogy több frissítési művelet van függőben.

A Secure-Boot-Update feladat futtatásakor a beállított biteket függőben lévő munkaként értelmezi, és meghatározott sorrendben dolgozza fel őket.

vissza a tetejére

Egymást követő frissítések, naplózás és újrapróbálkozási viselkedés

A biztonságos rendszerindítási tanúsítvány frissítése rögzített sorrendben történik. Minden frissítési művelet úgy van kialakítva, hogy biztonságosan újrapróbálkozjon, és függetlenül végezze el a műveletet. A Secure-Boot-Update feladat nem lép tovább a következő lépésre, amíg az aktuális művelet sikeres nem lesz, és a megfelelő bit törlődik az AvailableUpdates elemből.

Minden művelet szabványos UEFI-interfészeket használ a Secure Boot változók,például az adatbázis és a KEK frissítéséhez, vagy a frissített Windows rendszertöltés-kezelő telepítéséhez. A Windows minden lépés eredményét rögzíti a rendszer eseménynaplójában. A sikeres események megerősítik a továbbítás előrehaladását, míg a hibaesemények azt jelzik, hogy egy művelet miért nem hajtható végre.

Ha egy frissítési lépés meghiúsul, a feladat leállítja a feldolgozást, naplózza a hibát, és elhagyja a társított bitkészletet. A rendszer a feladat következő futtatásakor újrapróbálkozott a művelettel. Ez az újrapróbálkozási viselkedés lehetővé teszi, hogy az eszközök automatikusan helyreálljanak az ideiglenes állapotokból, például hiányzó belső vezérlőprogram-támogatásból vagy késleltetett OEM-frissítésekből.

A rendszergazdák nyomon követhetik az előrehaladást a beállításjegyzék állapotának és az eseménynapló bejegyzéseinek összekapcsolásával. Az olyan beállításjegyzék-értékek, mint az UEFICA2023Status, az UEFICA2023Error és az UEFICA2023ErrorEvent, az AvailableUpdates bitmaszkkal együtt jelzik, hogy melyik lépés aktív, befejeződött vagy blokkolva van.

Ez a kombináció azt mutatja, hogy az eszköz megfelelően halad-e, újrapróbálkozik-e egy művelettel, vagy elakadt.

vissza a tetejére

Integráció az OEM belső vezérlőprogramjával

A biztonságos rendszerindítási tanúsítvány frissítése az eszköz UEFI belső vezérlőprogramjának megfelelő viselkedésétől és támogatásától függ. Bár a Windows koordinálja a frissítési folyamatot, a belső vezérlőprogram felelős a biztonságos rendszerindítási szabályzat betartatásáért és a biztonságos rendszerindítási adatbázisok fenntartásáért.

Az operációs rendszerek két kritikus elemet biztosítanak, amelyek lehetővé teszik a biztonságos rendszerindítási tanúsítványok karbantartását:

  • Platformkulccsal aláírt kulcscserekulcsok (KEK-k), amelyek engedélyezik az új biztonságos rendszerindítási tanúsítványok telepítését.

  • Belső vezérlőprogram-implementációk, amelyek a frissítések során helyesen őrzik meg, fűzik hozzá és ellenőrzik a biztonságos rendszerindítási adatbázisokat.

Ha a belső vezérlőprogram nem támogatja teljes mértékben ezeket a viselkedéseket, a biztonságos rendszerindítási frissítések elakadhatnak, határozatlan ideig újrapróbálkozhatnak, vagy rendszerindítási hibákat okozhatnak. Ezekben az esetekben a Windows nem tudja befejezni a frissítést a belső vezérlőprogram módosítása nélkül.

A Microsoft az oem-ekkel együttműködve azonosítja a belső vezérlőprogrammal kapcsolatos problémákat, és elérhetővé teszi a javított frissítéseket. Ha a hibaelhárítás belső vezérlőprogram-korlátozást vagy hibát jelez, előfordulhat, hogy a rendszergazdáknak telepíteniük kell az eszköz gyártója által biztosított legújabb UEFI belső vezérlőprogram-frissítést, mielőtt a biztonságos rendszerindítási tanúsítvány frissítése sikeresen befejeződhet.

vissza a tetejére

Gyakori hibaforgatókönyvek és megoldások

A biztonságos rendszerindítási frissítéseket a Secure-Boot-Update ütemezett feladat alkalmazza az AvailableUpdates beállításjegyzék-állapot alapján.

Normál körülmények között ezek a lépések automatikusan történnek, és az egyes fázisok befejeződésekor rögzítik a sikeres eseményeket. Bizonyos esetekben a belső vezérlőprogram viselkedése, a platformkonfiguráció vagy a karbantartási előfeltételek megakadályozhatják az előrehaladást, vagy váratlan rendszerindítási viselkedéshez vezethetnek.

Az alábbi szakaszok ismertetik a leggyakoribb hibaforgatókönyveket, azok felismerését, azok előfordulásának okát, valamint a normál működés visszaállításának megfelelő következő lépéseket. A forgatókönyvek a leggyakrabban tapasztaltaktól a súlyosabb rendszerindítási esetekig vannak rendezve.

Ha a biztonságos rendszerindítási frissítések nem mutatnak előrehaladást, az általában azt jelenti, hogy a frissítési folyamat soha nem indult el. Ennek eredményeképpen a biztonságos rendszerindítási beállításjegyzék várt értékei és eseménynaplói hiányoznak, mert a frissítési mechanizmus soha nem aktiválódott.

Mi történt

A biztonságos rendszerindítás frissítési folyamata nem indult el, ezért nem alkalmaztak biztonságos rendszerindítási tanúsítványokat vagy frissített rendszerindítás-kezelőt az eszközre.

A felismerése

  • Nincsenek biztonságos rendszerindítási karbantartási beállításjegyzék-értékek, például UEFICA2023Status.

  • A várt biztonságos rendszerindítási események (például 1043, 1044, 1045, 1799, 1801) hiányoznak a rendszer eseménynaplójából.

  • Az eszköz továbbra is régebbi Biztonságos rendszerindítási tanúsítványokat és rendszerindítási összetevőket használ.

Miért történik ez?

Ez a forgatókönyv általában akkor fordul elő, ha az alábbi feltételek közül egy vagy több teljesül:

  • A Secure-Boot-Update ütemezett feladat le van tiltva vagy hiányzik.

  • A biztonságos rendszerindítás le van tiltva az UEFI belső vezérlőprogramban.

  • Az eszköz nem felel meg a Windows karbantartási előfeltételeinek, például egy támogatott Windows-verzió futtatásának vagy a szükséges frissítések telepítésének.

Mi a következő teendő?

  • Ellenőrizze, hogy az eszköz megfelel-e a Windows karbantartási és platform-jogosultsági követelményeinek.

  • Győződjön meg arról, hogy a biztonságos rendszerindítás engedélyezve van a belső vezérlőprogramban.

  • Győződjön meg arról, hogy a SecureBootUpdate ütemezett tevékenység létezik és engedélyezve van.

Ha az ütemezett feladat le van tiltva vagy hiányzik, a visszaállításhoz kövesse a Biztonságos rendszerindítási ütemezett feladat letiltva vagy törölve című témakörben található útmutatást. A feladat visszaállítása után indítsa újra az eszközt, vagy futtassa manuálisan a feladatot a biztonságos rendszerindítási karbantartás elindításához.

Bizonyos esetekben a biztonságos rendszerindítással kapcsolatos frissítések hatására az eszköz bitlocker-helyreállításba léphet. A viselkedés a mögöttes októl függően átmeneti vagy állandó lehet.

1. forgatókönyv: Onetime BitLocker helyreállítás a biztonságos rendszerindítási frissítés után

Mi történik?

Az eszköz a Biztonságos rendszerindítási frissítés utáni első rendszerindításkor a BitLocker-helyreállításba lép, de a későbbi újraindítások során általában elindul.

Miért történik ez?

A frissítés utáni első rendszerindítás során a belső vezérlőprogram még nem jelenti a frissített biztonságos rendszerindítási értékeket, amikor a Windows megkísérli újra a BitLockert. Ez ideiglenes eltérést okoz a mért rendszerindítási értékekben, és elindítja a helyreállítást. A következő rendszerindításkor a belső vezérlőprogram megfelelően jelenti a frissített értékeket, a BitLocker ismétel, és a probléma nem jelentkezik újra.

A felismerése

  • A BitLocker helyreállítása egyszer történik.

  • A helyreállítási kulcs megadása után a későbbi rendszerindítások nem kérik a helyreállítást.

  • Nincs folyamatban lévő rendszerindítási sorrend vagy PXE-részvétel.

Mi a következő teendő?

  • A Windows folytatásához írja be a BitLocker helyreállítási kulcsot.

  • Ellenőrizze a belső vezérlőprogram frissítéseit.

2. forgatókönyv: A BitLocker ismételt helyreállítása a PXE első rendszerindítási konfigurációja miatt

Mi történik?

Az eszköz minden rendszerindításkor beírja a BitLocker-helyreállítást.

Miért történik ez?

Az eszköz úgy van konfigurálva, hogy először a PXE (hálózati) rendszerindítást kísérelje meg. A PXE rendszerindítási kísérlet sikertelen, és a belső vezérlőprogram visszaesik a lemezen futó Windows rendszerindítás-kezelőbe.

Ez két különböző aláíró hatóság mérését eredményezi egyetlen rendszerindítási ciklus során:

  • A PXE rendszerindítási útvonalát a Microsoft UEFI CA 2011 írta alá.

  • A lemezen lévő Windows rendszerindítás-kezelőt a Windows UEFI CA 2023 írta alá.

Mivel a BitLocker különböző biztonságos rendszerindítási megbízhatósági láncokat figyel meg az indítás során, nem tud stabil TPM-méréseket létrehozni, amelyek ellen újra el kell végeznie az újrakonfigurálást. Ennek eredményeképpen a BitLocker minden rendszerindításkor beírja a helyreállítást.

A felismerése

  • A BitLocker helyreállítása minden újraindításkor aktiválódik.

  • A helyreállítási kulcs beírásával a Windows elindulhat, de a parancssor a következő rendszerindításkor tér vissza.

  • A PXE vagy a hálózati rendszerindítás a helyi lemez előtt van konfigurálva a belső vezérlőprogram rendszerindítási sorrendjében.

Mi a következő teendő?

  • Konfigurálja a belső vezérlőprogram rendszerindítási sorrendjét, hogy a lemezen futó Windows rendszerindítás-kezelő legyen az első.

  • Tiltsa le a PXE-rendszerindítást, ha nincs rá szükség.

  • Ha PXE szükséges, győződjön meg arról, hogy a PXE-infrastruktúra 2023-ra aláírt Windows rendszertöltőt használ.

Mi történt

Ez a Windows-probléma helyett belsővezérlőprogram-szintű változást jelez. A biztonságos rendszerindítási frissítés sikeresen befejeződött, de egy későbbi újraindítás után az eszköz már nem indul el a Windowsban.

A felismerése

  • Az eszköz nem tudja elindítani a Windowst, és megjeleníthet egy belső vezérlőprogramot vagy BIOS-üzenetet, amely a biztonságos rendszerindítás megsértését jelzi.

  • A hiba akkor fordul elő , ha a biztonságos rendszerindítási beállítások alaphelyzetbe állnak a belső vezérlőprogram alapértelmezett beállításaira.

  • Előfordulhat, hogy a Biztonságos rendszerindítás letiltása lehetővé teszi, hogy az eszköz újra elinduljon.

Miért történik ez?

A biztonságos rendszerindítás belső vezérlőprogramra való alaphelyzetbe állítása alapértelmezés szerint törli a belső vezérlőprogramban tárolt Biztonságos rendszerindítási adatbázisokat. Az olyan eszközökön, amelyek már átálltak a Windows UEFI CA 2023 által aláírt rendszerindítás-kezelőre, ez az alaphelyzetbe állítás eltávolítja azokat a tanúsítványokat, amelyek szükségesek ahhoz, hogy megbízzanak a rendszerindítás-kezelőben.

Ennek eredményeképpen a belső vezérlőprogram már nem ismeri fel megbízhatóként a telepített Windows rendszerindítás-kezelőt, és letiltja a rendszerindítási folyamatot.

Ezt a forgatókönyvet nem maga a biztonságos rendszerindítási frissítés okozza, hanem egy későbbi belsővezérlőprogram-művelet, amely eltávolítja a frissített megbízhatósági horgonyokat.

Mi a következő teendő?

  • A Biztonságos rendszerindítás helyreállítási segédprogrammal állítsa vissza a szükséges tanúsítványt, hogy az eszköz újra elinduljon.

  • A helyreállítás után győződjön meg arról, hogy az eszközön telepítve van az eszköz gyártójától származó legújabb elérhető belső vezérlőprogram.

  • Kerülje a biztonságos rendszerindítás alaphelyzetbe állítását a belső vezérlőprogram alapértelmezett beállításaira, kivéve, ha az OEM belső vezérlőprogramja olyan frissített biztonságos rendszerindítási alapértelmezéseket tartalmaz, amelyek megbíznak a 2023-at használó tanúsítványokban.

Biztonságos rendszerindítási helyreállítási segédprogram

A rendszer helyreállítása:

  1. Egy második Windows rendszerű számítógépen, amelyen telepítve van a 2024. júliusi vagy újabb Windows-frissítés, másolja a SecureBootRecovery.efi fájlt a C:\Windows\Boot\EFI\ mappából.

  2. Helyezze a fájlt egy FAT32 formátumú USB-meghajtóra az \EFI\BOOT\ alatt, és nevezze át bootx64.efi névre.

  3. Indítsa el az érintett eszközt az USB-meghajtóról, és engedélyezze a helyreállítási segédprogram futtatását. A segédprogram hozzáadja a Windows UEFI CA 2023-at az adatbázishoz.

A tanúsítvány visszaállítása és a rendszer újraindítása után a Windowsnak a szokásos módon kell elindulnia.

Fontos: Ez a folyamat csak az egyik új tanúsítványt alkalmazza újra. Az eszköz helyreállítása után győződjön meg arról, hogy a legújabb tanúsítványokat újból alkalmazták, és fontolja meg a rendszer BIOS/UEFI frissítését a legújabb elérhető verzióra. Ez segíthet megelőzni a biztonságos rendszerindítás alaphelyzetbe állításával kapcsolatos probléma megismétlődését, mivel számos oem kiadott belsővezérlőprogram-javításokat ehhez a problémához.

Mi történt

A Biztonságos rendszerindítási tanúsítvány frissítése és újraindítása után az eszköz nem indul el, és nem éri el a Windowst.

A felismerése

  • Az eszköz a biztonságos rendszerindítási frissítés által igényelt újraindítás után azonnal meghibásodik.

  • Belső vezérlőprogram vagy biztonságos rendszerindítási hiba jelenhet meg, vagy a rendszer leállhat a Windows betöltése előtt.

  • A Biztonságos rendszerindítás letiltása lehetővé teheti az eszköz rendszerindítását.

Miért történik ez?

Ezt a problémát az eszköz UEFI belső vezérlőprogram-implementációjának hibája okozhatja.

Amikor a Windows a biztonságos rendszerindítási tanúsítvány frissítéseit alkalmazza, a belső vezérlőprogramnak új tanúsítványokat kell hozzáfűznie a meglévő Biztonságos rendszerindítás által engedélyezett aláírási adatbázishoz (DB). Egyes belső vezérlőprogram-implementációk helytelenül felülírják az adatbázist a hozzáfűzés helyett.

Ha ez történik,

  • A korábban megbízható tanúsítványok, köztük a Microsoft 2011 rendszertöltő tanúsítványa el lesznek távolítva.

  • Ha a rendszer még mindig a 2011-ben érvényes tanúsítvánnyal aláírt rendszerindítás-kezelőt használ, a belső vezérlőprogram már nem bízik meg benne.

  • A belső vezérlőprogram elutasítja a rendszerindítás-kezelőt, és blokkolja a rendszerindítási folyamatot.

Bizonyos esetekben az adatbázis is megsérülhet, nem pedig teljesen felülírva, ami ugyanahhoz az eredményhez vezet. Ez a viselkedés bizonyos belső vezérlőprogram-implementációkban figyelhető meg, és nem várható a megfelelő belső vezérlőprogramon.

Mi a következő teendő?

  • Adja meg a belső vezérlőprogram beállítási menüit, és próbálja meg alaphelyzetbe állítani a biztonságos rendszerindítási beállításokat.

  • Ha az eszköz az alaphelyzetbe állítás után indul el, ellenőrizze az eszköz gyártójának támogatási webhelyén, hogy van-e olyan belső vezérlőprogram-frissítés, amely javítja a biztonságos rendszerindítási adatbázis kezelését.

  • Ha elérhető belső vezérlőprogram-frissítés, telepítse a biztonságos rendszerindítás újbóli engedélyezése és a biztonságos rendszerindítási tanúsítvány frissítésének újbóli alkalmazása előtt.

Ha a Biztonságos rendszerindítás alaphelyzetbe állítása nem állítja vissza a rendszerindítási funkciót, a további helyreállításhoz valószínűleg oem-specifikus útmutatásra van szükség.

Mi történt

A biztonságos rendszerindítási tanúsítvány frissítése nem fejeződik be, és a kulcscserekulcs (KEK) frissítési szakaszában marad.

A felismerése

  • Az AvailableUpdates beállításazonosító a KEK bittel (0x0004) van beállítva, és nem törlődik.

  • Az UEFICA2023Status nem halad befejezett állapotba.

  • A rendszer eseménynaplója ismétlődően rögzíti az 1803-at azonosító eseményazonosítót, ami azt jelzi, hogy a KEK-frissítés nem alkalmazható.

  • Az eszköz továbbra is újrapróbálkozásokat végez a frissítéssel, és nem halad előre.

Miért történik ez?

A biztonságos rendszerindítási KEK frissítéséhez az oem tulajdonában lévő platformkulcs (PK) engedélyére van szükség.

A frissítés sikerességéhez az eszköz gyártójának PK-aláírású KEK-t kell biztosítania a Microsoft számára az adott platformhoz. Ez az OEM által aláírt KEK megtalálható a Windows-frissítésekben, és lehetővé teszi, hogy a Windows frissítse a belső vezérlőprogram KEK változóját.

Ha az OEM nem adott meg PK-aláírású KEK-et az eszközhöz, a Windows nem tudja befejezni a KEK-frissítést. Ebben az állapotban:

  • A biztonságos rendszerindítási frissítéseket a rendszer blokkolja.

  • A Windows nem tudja megkerülni a hiányzó engedélyezést.

  • Az eszköz tartósan nem tudja befejezni a biztonságos rendszerindítási tanúsítvány karbantartását.

Ez olyan régebbi vagy nem támogatott eszközökön fordulhat elő, ahol az OEM már nem biztosít belső vezérlőprogramot vagy kulcsfrissítéseket. Ehhez a feltételhez nincs támogatott manuális helyreállítási útvonal.

vissza a tetejére

Ha a biztonságos rendszerindítási tanúsítvány frissítései nem alkalmazhatók, a Windows olyan diagnosztikai eseményeket rögzít, amelyek megmagyarázzák a folyamat letiltását. Ezek az események akkor íródnak, amikor a biztonságos rendszerindítási aláírási adatbázis (DB) vagy a kulcscserekulcs (KEK) frissítése belső vezérlőprogram, platformállapot vagy konfigurációs feltételek miatt nem hajtható végre biztonságosan. Az ebben a szakaszban szereplő forgatókönyvek ezekre az eseményekre hivatkoznak a gyakori hibaminták azonosításához és a megfelelő szervizelés meghatározásához. Ez a szakasz a korábban ismertetett problémák diagnosztizálását és értelmezését támogatja, nem pedig új hibaforgatókönyvek bevezetését.

Az eseményazonosítók, leírások és példabejegyzések teljes listáját a Biztonságos rendszerindítási adatbázis és a DBX változófrissítési események (KB5016061) című témakörben találja.

KEK-frissítési hiba (az adatbázis-frissítések sikeresek, a KEK nem)

Az eszközök sikeresen frissíthetik a tanúsítványokat a biztonságos rendszerindítási adatbázisban, de a KEK-frissítés során meghiúsulnak. Ilyen esetben a biztonságos rendszerindítási frissítési folyamat nem hajtható végre.

Tünetek

  • A DB-tanúsítványesemények előrehaladást jeleznek, de a KEK-szakasz még nem fejeződött be.

  • Az AvailableUpdates értéke továbbra is 0x4004 marad, és a 0x0004 bit nem törlődik több feladat futtatása után.

  • Az 1795-ös vagy az 1803-at jelző esemény jelen lehet.

Értelmezése

  • Az 1795 általában a belső vezérlőprogram hibáját jelzi a Secure Boot változó frissítésének megkísérlése során.

  • Az 1803 azt jelzi, hogy a KEK-frissítés nem engedélyezhető, mert a szükséges OEM PK-aláírású KEK hasznos adat nem érhető el a platformhoz.

További lépések

  • 1795 esetén ellenőrizze az OEM belső vezérlőprogramjának frissítéseit, és ellenőrizze, hogy a belső vezérlőprogram támogatja-e a biztonságos rendszerindítási változók frissítéseit.

  • 1803-hoz ellenőrizze, hogy az OEM biztosította-e a Microsoftnak az eszközmodellhez szükséges PK-aláírású KEK-et.

KEK-frissítési hiba a Hyper-V-n üzemeltetett vendég virtuális gépeken 

Hyper-V virtuális gépeken a biztonságos rendszerindítási tanúsítvány frissítéséhez telepíteni kell a 2026. márciusi Windows-frissítéseket a Hyper-V-gazdagépre és a vendég operációs rendszerre is.

A frissítési hibákat a rendszer a vendégen belül jelenti, de az esemény azt jelzi, hogy hol kell szervizelést végezni:

  • A vendégben jelentett 1795-ös esemény (például "Az adathordozó írásvédett") azt jelzi, hogy a Hyper-V-gazdagépről hiányzik a 2026. márciusi frissítés, és frissíteni kell.

  • A vendégben jelentett 1803-os esemény azt jelzi, hogy a vendég virtuális gépről hiányzik a 2026. márciusi frissítés, és frissíteni kell.

vissza a tetejére 

Referencia és belső referenciák

Ez a szakasz speciális referenciainformációkat tartalmaz a hibaelhárításhoz és a támogatáshoz. Nem az üzembe helyezés megtervezésére szolgál. Ez a korábban összefoglalt Biztonságos rendszerindítási karbantartási mechanikával bővül, és részletes referenciaanyagot biztosít a beállításjegyzék állapotának és eseménynaplóinak értelmezéséhez.

Megjegyzés (IT által felügyelt üzemelő példányok): Ha Csoportházirend vagy Microsoft Intune konfigurálva van, két hasonló beállítás nem tévesztendő össze. Az AvailableUpdatesPolicy érték a konfigurált szabályzat állapotát jelöli. Eközben az AvailableUpdates a folyamatban lévő, bittörlési munkaállapotot tükrözi. Mindkettő ugyanazt az eredményt hozhatja, de eltérően viselkednek, mert a szabályzat az idő múlásával újra érvényes.

vissza a tetejére 

AvailableUpdates A tanúsítvány karbantartásához használt bitek

Az alábbi biteket az ebben a dokumentumban ismertetett tanúsítvány- és rendszerindítás-kezelői műveletekhez használjuk. Az Order oszlop azt a sorrendet tükrözi, amelyben a Secure-Boot-Update feladat feldolgozza az egyes biteket.

Rendelés

Bitbeállítás

Használat

1

0x0040

Ez a bit arra utasítja az ütemezett feladatot, hogy adja hozzá a Windows UEFI CA 2023 tanúsítványt a biztonságos rendszerindítási adatbázishoz. Ez lehetővé teszi a Windows számára, hogy megbízzanak a tanúsítvány által aláírt rendszerindítás-kezelőkben.

2

0x0800

Ez a bit arra utasítja az ütemezett feladatot, hogy alkalmazza a Microsoft Option ROM UEFI CA 2023-at az adatbázisra.  

Feltételes viselkedés: A 0x4000 jelző beállításakor az ütemezett feladat először ellenőrzi a Microsoft Corporation UEFI CA 2011 tanúsítvány adatbázisát. Csak akkor alkalmazza a Microsoft Option ROM UEFI CA 2023 tanúsítványt , ha a 2011-ben található tanúsítvány megtalálható.

3

0x1000

Ez a bit arra utasítja az ütemezett feladatot, hogy alkalmazza a Microsoft UEFI CA 2023-at az adatbázisra.

Feltételes viselkedés: A 0x4000 jelző beállításakor az ütemezett feladat először ellenőrzi a Microsoft Corporation UEFI CA 2011 tanúsítvány adatbázisát. Csak akkor alkalmazza a Microsoft UEFI CA 2023-tanúsítványt, ha a 2011-tanúsítvány megtalálható.

Módosító (viselkedésjelző)

0x4000

Ez a bit módosítja a 0x0800 és 0x1000 bitek viselkedését, így a Microsoft UEFI CA 2023 és a Microsoft Option ROM UEFI CA 2023 csak akkor lesz alkalmazva, ha az adatbázis már tartalmazza a Microsoft Corporation UEFI CA 2011-et  Annak érdekében, hogy az eszköz biztonsági profilja változatlan maradjon, ez a bit csak akkor alkalmazza ezeket az új tanúsítványokat, ha az eszköz megbízik a Microsoft Corporation UEFI CA 2011 tanúsítványában. Nem minden Windows-eszköz bízik meg ebben a tanúsítványban.

4

0x0004

Ez a bit arra utasítja az ütemezett feladatot, hogy keressen egy kulcscserekulcsot, amelyet az eszköz platformkulcsa (PK) írt alá. A PK-t az OEM kezeli. A számítógép-kezelők aláírják a Microsoft KEK-et a PK-val, és továbbítják a Microsoftnak, ahol a havi összegző frissítések tartalmazzák.

5

0x0100

Ez a bit arra utasítja az ütemezett feladatot, hogy alkalmazza a Windows UEFI CA 2023 által aláírt rendszerindítás-kezelőt a rendszerindítási partícióra. Ez lecseréli a Microsoft Windows Production PCA 2011 aláírt rendszerindítás-kezelőjét.

Megjegyzések:

  • A 0x4000 bit az összes többi bit feldolgozása után is be lesz állítva.

  • Az egyes biteket a Secure-Boot-Update ütemezett feladat dolgozza fel a fenti sorrendben.

  • Ha a 0x0004 bit nem dolgozható fel hiányzó PK-aláírású KEK miatt, az ütemezett feladat továbbra is alkalmazza a bit 0x0100 által jelzett rendszerindítás-kezelő frissítést.

vissza a tetejére 

Várt előrehaladás (AvailableUpdates)

Ha egy művelet sikeresen befejeződött, a Windows törli a társított bitet az AvailableUpdates elemből. Ha egy művelet sikertelen, a Windows naplóz egy eseményt, és újrapróbálkozásokat hajt végre, amikor a feladat újra fut.

Az alábbi táblázat az AvailableUpdates értékek várt előrehaladását mutatja az egyes biztonságos rendszerindítási frissítési műveletek befejeződésekor.

Lépés

Bit feldolgozva

Elérhető Frissítések

Ismertetés

Sikeres esemény naplózva

Lehetséges hibaesemény-kódok

Kezdőképernyő

0x5944

Kezdeti állapot a biztonságos rendszerindítási tanúsítvány karbantartása előtt.

-

-

1

0x0040

0x5944 → 0x5904

A Windows UEFI CA 2023 hozzá van adva a biztonságos rendszerindítási adatbázishoz.

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

Adja hozzá a Microsoft Option ROM UEFI CA 2023-at az adatbázishoz, ha az eszköz korábban megbízhatónak tartja a Microsoft UEFI CA 2011-et.

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

A Rendszer hozzáadja a Microsoft UEFI CA 2023-at az adatbázishoz, ha az eszköz korábban megbízhatónak tartja a Microsoft UEFI CA 2011-et.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

Az OEM platformkulcs által aláírt új Microsoft KEK 2K CA 2023 lesz alkalmazva.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

A Windows UEFI CA 2023 által aláírt rendszerindítás-kezelő telepítve van.

1799

1797

Jegyzetek

  • Miután a bithez társított művelet sikeresen befejeződött, a bit törlődik az AvailableUpdates elemből.

  • Ha ezen műveletek egyike sikertelen, a rendszer naplóz egy eseményt, és az ütemezett feladat következő futtatásakor újrapróbálkozott a művelettel.

  • A 0x4000 bit módosító, és nincs törölve. A 0x4000 végleges AvailableUpdates értéke jelzi az összes vonatkozó frissítési művelet sikeres végrehajtását.

  • Az 1032-ös, 1795-ös, 1796-os, 1802-s események általában a belső vezérlőprogram vagy a platform korlátozásait jelzik.

  • Az 1803-at jelző esemény azt jelzi, hogy hiányzik az OEM PK által aláírt KEK.

vissza a tetejére 

Szervizelési eljárások

Ez a szakasz részletes eljárásokat biztosít a biztonságos rendszerindítással kapcsolatos konkrét problémák elhárításához. Minden eljárás egy jól meghatározott feltételre terjed ki, és csak akkor ajánlott követni, ha a kezdeti diagnózis megerősíti, hogy a probléma fennáll. Ezekkel az eljárásokkal visszaállíthatja a biztonságos rendszerindítás várt viselkedését, és biztonságosan folytathatja a tanúsítványfrissítéseket. Ezeket az eljárásokat ne alkalmazza széles körben vagy előzetesen.

vissza a tetejére

Biztonságos rendszerindítás engedélyezése a belső vezérlőprogramban

Ha a biztonságos rendszerindítás le van tiltva az eszköz belső vezérlőprogramjában, a biztonságos rendszerindítás engedélyezésével kapcsolatos részletekért tekintse meg a Windows 11 és a Biztonságos rendszerindítás című témakört.

vissza a tetejére

Biztonságos rendszerindítási ütemezett feladat letiltva vagy törölve

A Biztonságos rendszerindítási frissítés ütemezett feladatra van szükség a Windows számára a biztonságos rendszerindítási tanúsítvány frissítéseinek alkalmazásához. Ha a feladat le van tiltva vagy hiányzik, a biztonságos rendszerindítási tanúsítvány karbantartása nem fog folytatódni.

Tevékenység részletei

Tevékenység neve

Biztonságos rendszerindítási frissítés

Tevékenység elérési útja

\Microsoft\Windows\PI\

Teljes elérési út

\Microsoft\Windows\PI\Secure-Boot-Update

Futtatás másként

SYSTEM (helyi rendszer)

Indítás

Indításkor és 12 óránként

Kötelező állapot

Engedélyezve

Feladat állapotának ellenőrzése

Futtassa a parancsot egy emelt szintű PowerShell-parancssorból: schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Keresse meg az Állapot mezőt:

Állapot

Jelentése

Kész

A tevékenység létezik, és engedélyezve van.

Letiltva

A tevékenység létezik, de engedélyezni kell.

Hiba / Nem található

A feladat hiányzik, és újra létre kell hozni.

A feladat engedélyezése vagy újbóli létrehozása

Ha a Secure-Boot-Update állapotmezője Letiltva, Hiba vagy Nem található, használja a mintaszkriptet a feladat engedélyezéséhez: Minta Enable-SecureBootUpdateTask.ps1

Megjegyzés: Ez egy példaszkript, amelyet a Microsoft nem támogat. A rendszergazdáknak át kell tekinteniük és a környezetükhöz kell igazítaniuk.

Példa:

.\Enable-SecureBootUpdateTask.ps1 -Quiet

Futtatási útmutató

  • Ha a Hozzáférés megtagadva elemet látja, futtassa újra a PowerShellt rendszergazdaként.

  • Ha a szkript végrehajtási szabályzat miatt nem fut, használjon folyamathatókör-megkerülőt:

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass

vissza a tetejére 

Facebook LinkedIn E-mail
FELIRATKOZÁS RSS-HÍRCSATORNÁKRA

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ