Biztonságos rendszerindítás hibaelhárítási útmutató

Hatókör
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Megjegyzés

  • Eredeti közzétételi dátum: Március 19, 2026
  • Tudásbáziscikk azonosítója: 5085046

A témakör tartalma

Áttekintés

Ez az oldal segítséget nyújt a rendszergazdáknak és a támogatási szakembereknek a biztonságos rendszerindítással kapcsolatos problémák diagnosztizálásához és megoldásához Windows-eszközökön. A témakörök közé tartoznak a biztonságos rendszerindítási tanúsítvány frissítési hibái, a helytelen biztonságos rendszerindítási állapotok, a váratlan BitLocker helyreállítási üzenetek és a biztonságos rendszerindítási konfiguráció változásait követő rendszerindítási hibák.

Az útmutató ismerteti, hogyan ellenőrizheti a Windows karbantartását és konfigurációját, hogyan tekintheti át a vonatkozó beállításjegyzék-értékeket és eseménynaplókat, valamint hogyan azonosíthatja, ha a belső vezérlőprogram vagy a platform korlátai OEM-frissítést igényelnek. Ez a tartalom a meglévő eszközökön fellépő problémák diagnosztizálására szolgál. Nem új telepítések tervezésére szolgál. Ez a dokumentum frissülni fog az új hibaelhárítási forgatókönyvek és útmutatások azonosítása miatt.

a lap tetejére

A biztonságos rendszerindítási tanúsítvány karbantartásának működése

A biztonságos rendszerindítási tanúsítvány szolgáltatás a Windowsban egy összehangolt folyamat az operációs rendszer és az eszköz UEFI belső vezérlőprogramja között. A cél a kritikus megbízhatósági horgonyok frissítése, miközben megőrzi az indítás képességét az egyes szakaszokban.

A folyamatot a Windows ütemezett feladata, a frissítési műveletek beállításjegyzéken alapuló sorozata, valamint a beépített naplózási és újrapróbálkozási viselkedés vezérli. Ezek az összetevők együttesen biztosítják, hogy a biztonságos rendszerindítási tanúsítványok és a Windows rendszerindítás-kezelő ellenőrzött és rendezett módon frissüljenek, és csak az előfeltételként szükséges lépések sikeres végrehajtása után.

a lap tetejére

A hibaelhárítás első lépései

Ha úgy tűnik, hogy egy eszköz nem a várt előrehaladást hajtja végre a biztonságos rendszerindítási tanúsítvány frissítéseinek alkalmazásában, először azonosítsa a probléma kategóriáját. A legtöbb probléma a következő négy terület valamelyikébe sorolható: a Windows karbantartási állapota, a biztonságos rendszerindítási frissítési mechanizmus, a belső vezérlőprogram működése, illetve a platform vagy az OEM korlátozása.

Kezdje az alábbi ellenőrzésekkel, sorrendben. Sok esetben ezek a lépések elegendőek ahhoz, hogy megmagyarázzák a megfigyelt viselkedést, és alaposabb vizsgálat nélkül határozzák meg a következő műveleteket.

  1. A Windows-karbantartás és a platform jogosultságának megerősítése

    1. Ellenőrizze, hogy az eszköz megfelel-e a biztonságos rendszerindítási tanúsítvány frissítéseinek alapvető követelményeinek:
    2. Az eszközön a Windows egy támogatott verziója fut.
    3. A rendszer telepíti a legújabb kötelező Windows biztonsági frissítéseket.
    4. A biztonságos rendszerindítás engedélyezve van az UEFI belső vezérlőprogramban.
    5. Ha a fenti feltételek bármelyike nem teljesül, a hibaelhárítás folytatása előtt orvosolja őket.
  2. A biztonságos rendszerindítási frissítési feladat állapotának ellenőrzése

    1. Győződjön meg arról, hogy a biztonságos rendszerindítási tanúsítvány frissítéseinek alkalmazásáért felelős Windows-mechanizmus elérhető és működik:
    2. A biztonságos rendszerindítás ütemezett frissítése feladat létezik.
    3. A feladat engedélyezve van, és helyi rendszerként fut.
    4. A feladat legalább egyszer lefutott a Windows legutóbbi biztonsági frissítésének telepítése óta.
    5. Ha a feladat le van tiltva, törölve van vagy nem fut, a biztonságos rendszerindítási tanúsítvány frissítései nem alkalmazhatók. A hibaelhárításnak a feladat visszaállítására kell összpontosítania, mint más okok kivizsgálására.
  3. A beállításjegyzék beállításainak várt előrehaladása ellenőrzése
    Ellenőrizze az eszköz biztonságos rendszerindítási szolgáltatási állapotát a beállításjegyzékben:

    1. Vizsgálja meg az UEFICA2023Status, UEFICA2023Error és UEFICA2023ErrorEvent elemet.
    2. Vizsgálja meg az AvailableUpdates frissítéseket , és hasonlítsa össze a várt előrehaladással (lásd: Hivatkozás és belső adatok).

    Ezek az értékek együttesen azt jelzik, hogy a karbantartás a szokásos módon halad-e, újrapróbálkozik-e egy művelettel vagy elakadt egy adott lépésnél.

  4. A beállításállapot korrelálása biztonságos rendszerindítási eseményekkel
    Tekintse át a biztonságos rendszerindítással kapcsolatos eseményeket a rendszer eseménynaplójában, és kapcsolja össze őket a beállításjegyzék állapotával. Az eseményadatok általában megerősítik, hogy az eszköz előrehalad-e, átmeneti állapot miatt újrapróbálkozik-e, vagy egy belső vezérlőprogram, illetve platform problémája blokkolja-e őket.
    A beállításjegyzék és az eseménynaplók együttesen általában jelzik, hogy a viselkedés várt, átmeneti vagy korrekciós beavatkozást igényel-e.

a lap tetejére

Biztonságos rendszerindítás – ütemezett feladat

A biztonságos rendszerindítási tanúsítvány karbantartása a Windows Secure-Boot-Update nevű ütemezett feladatán keresztül valósul meg. A tevékenység a következő elérési úton van regisztrálva:

Megjegyzés

\Microsoft\Windows\PI\Secure-Boot-Update

A feladat helyi rendszerként fut. Alapértelmezés szerint a rendszer indításakor, majd ezt követően 12 óránként fut. Minden futtatásakor ellenőrzi, hogy vannak-e függőben lévő biztonságos rendszerindítási frissítési műveletek, és megpróbálja ezeket egymás után alkalmazni.

Ha ez a feladat le van tiltva vagy hiányzik, a biztonságos rendszerindítási tanúsítvány frissítései nem alkalmazhatók. A biztonságos rendszerindítási frissítési feladatnak engedélyezve kell maradnia a biztonságos rendszerindítási szolgáltatás működéséhez.

a lap tetejére

Az ütemezett tevékenységek használatának okai

A biztonságos rendszerindítási tanúsítvány frissítései összehangolást igényelnek a Windows és az UEFI belső vezérlőprogram között, beleértve a biztonságos rendszerindítási kulcsokat és tanúsítványokat tároló UEFI-változók írását is. Egy ütemezett feladat lehetővé teszi, hogy a Windows akkor kísérelje meg ezeket a frissítéseket, amikor a rendszer olyan állapotban van, amelyben a belső vezérlőprogram változói módosíthatók.

Az ismétlődő 12 órás ütemezés további lehetőségeket biztosít a frissítések újrapróbálására, ha egy korábbi kísérlet sikertelen volt, vagy ha az eszköz bekapcsolva maradt, de nem indult újra. Ez a kialakítás manuális beavatkozás nélkül is biztosítja a folyamatot.

a lap tetejére

Az AvailableUpdates beállításjegyzékbeli bitmaszk

A biztonságos rendszerindítási frissítési feladatot az AvailableUpdates beállításazonosító határozza meg. Ez az érték egy 32 bites bitmaszk, amely a következő helyen található:

Megjegyzés

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Az érték minden egyes bitje egy adott biztonságos rendszerindítási frissítési műveletet jelöl. A frissítési folyamat akkor kezdődik meg, amikor az AvailableUpdates értékét a Windows automatikusan vagy egy rendszergazda által nem nulla értékre állítja. A 0x5944 érték például azt jelzi, hogy több frissítési művelet van függőben.

Amikor a biztonságos rendszerindítási frissítési feladat fut, a beállított biteket függőben lévő munkáként értelmezi, és meghatározott sorrendben dolgozza fel azokat.

a lap tetejére

Egymást követő frissítések, naplózás és újrapróbálkozási viselkedés

A biztonságos rendszerindítási tanúsítvány frissítései rögzített sorrendben jelennek meg. Minden egyes frissítési művelet biztonságosan újrapróbálkozhat, és egymástól függetlenül hajtható végre. A Biztonságos rendszerindítás és frissítés feladat csak akkor lép tovább a következő lépésre, ha az aktuális művelet sikeres lesz, és a megfelelő bit törlődik az AvailableUpdates mappából.

Minden művelet szabványos UEFI felületeket használ a biztonságos rendszerindítási változók, például az DB és a KEK frissítéséhez, vagy a frissített Windows rendszerindítás-kezelő telepítéséhez. A Windows minden lépés eredményét rögzíti a rendszer eseménynaplójában. A sikeres események megerősítik az előrehaladást, a hibaesemények pedig azt jelzik, hogy miért nem lehetett végrehajtani egy műveletet.

Ha egy frissítési lépés meghiúsul, a feladat feldolgozása leáll, naplózza a hibát, és meghagyja a hozzá tartozó bitkészletet. A feladat következő futásakor a rendszer újrapróbálkozik a művelettel. Ez az újrapróbálási viselkedés lehetővé teszi, hogy az eszközök automatikusan helyreálljanak átmeneti állapotokból, például hiányzó belső vezérlőprogram-támogatás vagy késedelmes OEM-frissítések után.

A rendszergazdák a beállításjegyzék állapotát az eseménynapló-bejegyzésekkel összekapcsolva követhetik nyomon az előrehaladást. Az olyan beállításazonosítók, mint az UEFICA2023Status, az UEFICA2023Error és az UEFICA2023ErrorEvent, valamint az AvailableUpdates bitmaszk azt jelzik, hogy melyik lépés aktív, befejezett vagy letiltott.

Ez a kombináció mutatja, hogy az eszköz a szokásos módon halad-e, újrapróbálkozik egy művelettel, vagy leállt.

a lap tetejére

Integráció OEM belső vezérlőprogrammal

A biztonságos rendszerindítási tanúsítvány frissítése a helyes viselkedéstől és az eszköz UEFI belső vezérlőprogramjának támogatásától függ. Amíg a Windows vezényli a frissítési folyamatot, a belső vezérlőprogram felelős a biztonságos rendszerindítási házirend betartatásáért és a biztonságos rendszerindítási adatbázisok karbantartásáért.

Az OEM-ek két kritikus elemet biztosítanak a biztonságos rendszerindítási tanúsítvány karbantartásához:

  • Platformkulccsal aláírt kulcscserekulcsok (KEK), amelyek engedélyezik az új biztonságos rendszerindítási tanúsítványok telepítését.
  • Olyan belső vezérlőprogram-implementációk, amelyek frissítések során helyesen őrzik meg, fűzik hozzá és ellenőrzik a biztonságos rendszerindítási adatbázisokat.

Ha a belső vezérlőprogram nem támogatja teljes mértékben ezeket a funkciókat, a biztonságos rendszerindítás frissítései leállhatnak, korlátlan ideig újrapróbálkozhatnak, vagy rendszerindítási hibákat eredményezhetnek. Ezekben az esetekben a Windows nem tudja végrehajtani a frissítést a belső vezérlőprogram módosítása nélkül.

A Microsoft az OEM-ekkel együttműködve azonosítja a belső vezérlőprogramokkal kapcsolatos problémákat, és elérhetővé teszi a javított frissítéseket. Ha a hibaelhárítás a belső vezérlőprogram korlátozását vagy hibáját jelzi, előfordulhat, hogy a rendszergazdáknak telepíteniük kell az eszköz gyártója által biztosított legújabb UEFI belső vezérlőprogram-frissítést ahhoz, hogy a biztonságos rendszerindítási tanúsítvány sikeresen befejeződhessen.

a lap tetejére

Gyakori hibaforgatókönyvek és azok megoldása

A biztonságos rendszerindítás frissítéseit az AvailableUpdates beállításjegyzékbeli állapoton alapuló Secure-Boot-Update ütemezett feladat alkalmazza.

Normál körülmények között ezek a lépések automatikusan megtörténnek, és a sikeres eseményeket az egyes szakaszok befejezésekor rögzítik. Bizonyos esetekben a belső vezérlőprogram működése, a platform konfigurációja vagy a karbantartás előfeltételei megakadályozhatják a folyamatot, vagy váratlan rendszerindítási viselkedéshez vezethetnek.

Az alábbi szakaszok ismertetik a leggyakoribb meghibásodási forgatókönyveket, a felismerésüket, az okukat, valamint a megfelelő következő lépéseket a normál működés visszaállításához. A forgatókönyvek a leggyakrabban előforduló esetektől a súlyosabb, rendszerindítást érintő esetekig vannak rendezve.

A biztonságos rendszerindítás frissítései nem alkalmazhatók (nincs előrehaladás)

Ha a biztonságos rendszerindítás frissítései nem mutatnak előrehaladást, az általában azt jelenti, hogy a frissítési folyamat soha nem indult el. Ennek eredményeképpen a várt biztonságos rendszerindítási beállításazonosítók és eseménynaplók hiányoznak, mert a frissítési mechanizmus soha nem lett elindítva.

A történtek oka

A biztonságos rendszerindítás frissítési folyamata nem indult el, így nem alkalmaztak biztonságos rendszerindítási tanúsítványokat vagy frissített rendszerindítás-kezelőt az eszközre.

Hogyan ismerhető fel

  • Nincsenek jelen biztonságos rendszerindítási karbantartási beállításazonosítók, például: UEFICA2023Status.
  • A várt biztonságos rendszerindítási események (például 1043, 1044, 1045, 1799, 1801) hiányoznak a rendszer eseménynaplójából.
  • Az eszköz továbbra is a régebbi biztonságos rendszerindítási tanúsítványokat és rendszerindítási összetevőket használja.

A jelenség oka

Ez a forgatókönyv általában akkor fordul elő, ha az alábbi feltételek közül egy vagy több teljesül:

  • A biztonságos rendszerindítás ütemezett frissítése feladat le van tiltva vagy hiányzik.
  • A biztonságos rendszerindítás le van tiltva az UEFI belső vezérlőprogramban.
  • Az eszköz nem felel meg a Windows karbantartási előfeltételeinek, például nem futtathat támogatott Windows-verziót, vagy nincs telepítve rajta a szükséges frissítések.

Teendők

  • Ellenőrizze, hogy az eszköz megfelel-e a Windows karbantartási és platformjogosultsági követelményeinek.
  • Győződjön meg arról, hogy a biztonságos rendszerindítás engedélyezve van a belső vezérlőprogramban.
  • Győződjön meg arról, hogy a SecureBootUpdate ütemezett feladat létezik és engedélyezve van.

Ha az ütemezett feladat le van tiltva vagy hiányzik, a visszaállításhoz kövesse a Biztonságos rendszerindítás ütemezett feladat letiltása vagy törlése című témakör útmutatását. A feladat visszaállítása után indítsa újra az eszközt, vagy futtassa a feladatot manuálisan a biztonságos rendszerindítási szolgáltatás elindításához.

Az eszköz BitLocker-helyreállítási rendszerbe indul a biztonságos rendszerindítási frissítés után

Bizonyos esetekben a biztonságos rendszerindítással kapcsolatos frissítések BitLocker-helyreállítási lehetőséget eredményezhetnek az eszközökön. A viselkedés lehet átmeneti vagy tartós, a kiváltó októl függően.

1. forgatókönyv: Egyszeri BitLocker-helyreállítás a biztonságos rendszerindítási frissítés után

Eredmény

Az eszköz belép a BitLocker helyreállításba a biztonságos rendszerindítási frissítést követő első rendszerindításkor, de a későbbi újraindítások során a szokásos módon indul el.

A jelenség oka

A frissítés utáni első rendszerindítás során a belső vezérlőprogram még nem jelenti a frissített biztonságos rendszerindítási értékeket, amikor a Windows megpróbálja visszazárni a BitLockert. Ez átmeneti eltérést okoz a mért rendszerindítási értékekben, és elindítja a helyreállítást. A következő rendszerindításkor a belső vezérlőprogram helyesen jelenti a frissített értékeket, a BitLocker sikeresen újra lezárul, és a probléma nem ismétlődik.

Hogyan ismerhető fel

  • A BitLocker helyreállítása egyszer történik.
  • A helyreállítási kulcs megadása után a későbbi rendszerindítások nem kérnek helyreállítást.
  • Nincs folyamatban lévő rendszerindítási sorrend vagy PXE-kapcsolat.

Teendők

  • Adja meg a BitLocker helyreállítási kulcsot a Windows folytatásához.
  • Ellenőrizd a belső vezérlőprogram frissítéseit.

2. forgatókönyv: Ismételt BitLocker-helyreállítás a PXE első rendszerindítási konfigurációja miatt

Eredmény

Az eszköz minden rendszerindításkor belép a BitLocker helyreállításba.

A jelenség oka

Az eszköz úgy van beállítva, hogy először PXE (hálózati) rendszerindítást kíséreljen meg. A PXE-rendszerindítási kísérlet meghiúsul, és a belső vezérlőprogram visszakerül a lemezen tárolt Windows rendszerindítás-kezelőre.

Ennek eredményeképp egyetlen rendszerindítási ciklus során két különböző aláíró hatóság mérését végzi a rendszer:

  • A PXE rendszerindítási útvonalat a Microsoft UEFI CA 2011 írta alá.
  • A lemezen tárolt Windows rendszerindítás-kezelőt a Windows UEFI CA 2023 írta alá.

Mivel a BitLocker az indítás során különböző biztonságos rendszerindítási megbízhatósági láncokat figyel meg, nem tud stabil TPM-méréskészletet létrehozni, amelyhez vissza lehetne zárni. Ennek eredményeképpen a BitLocker minden rendszerindításkor helyreállítási folyamatba lép.

Hogyan ismerhető fel

  • A BitLocker helyreállítása minden újraindításkor aktiválódik.
  • A helyreállítási kulcs megadásával elindul a Windows, de a parancs visszatér a következő rendszerindításkor.
  • A PXE vagy a hálózati rendszerindítás a belső vezérlőprogram rendszerindítási sorrendjében a helyi lemez előtt van konfigurálva.

Teendők

  • Konfigurálja a belső vezérlőprogram rendszerindítási sorrendjét úgy, hogy a lemezen lévő Windows rendszerindítás-kezelő legyen az első.
  • Ha nem szükséges, tiltsa le a PXE-rendszerindítást.
  • Ha PXE szükséges, győződjön meg arról, hogy a PXE-infrastruktúra egy 2023-ban aláírt Windows rendszertöltőt használ.
Az eszköz nem indul el a biztonságos rendszerindítás alaphelyzetbe állítása után

A történtek oka

Ez inkább egy belső vezérlőprogram-szintű módosítást jelez, mint egy Windows-problémát. A biztonságos rendszerindítási frissítés sikeresen befejeződött, de egy későbbi újraindítást követően az eszköz már nem indul el a Windowsban.

Hogyan ismerhető fel

  • Az eszköz nem indítja el a Windowst, és előfordulhat, hogy megjelenik egy belső vezérlőprogramot vagy BIOS-üzenetet, amely a biztonságos rendszerindítás megsértését jelzi.
  • A hiba a biztonságos rendszerindítás beállításainak alapértelmezett visszaállítása után jelentkezett.
  • A biztonságos rendszerindítás letiltása lehetővé teheti az eszköz újbóli indítását.

A jelenség oka

A biztonságos rendszerindítás alapértelmezett értékre való visszaállítása törli a belső vezérlőprogramban tárolt biztonságos rendszerindítási adatbázisokat. Azokon az eszközökön, amelyek már áttértek a Windows UEFI CA 2023 által aláírt rendszerindítás-kezelőre, ez az alaphelyzetbe állítás eltávolítja a rendszerindítás-kezelő megbízhatóságához szükséges tanúsítványokat.

Ennek eredményeképpen a belső vezérlőprogram már nem ismeri fel megbízhatóként a telepített Windows rendszerindítókezelőt, és letiltja a rendszerindítási folyamatot.

Ezt a forgatókönyvet nem maga a biztonságos rendszerindítási frissítés okozza, hanem egy későbbi belsővezérlőprogram-művelet, amely eltávolítja a frissített megbízhatósági horgonyokat.

Teendők

  • A Secure Boot helyreállítási segédprogrammal állítsa vissza a szükséges tanúsítványt, hogy az eszköz újra elindíthassa a rendszert.
  • A helyreállítás után győződjön meg arról, hogy az eszközön az eszköz gyártójától származó legújabb belső vezérlőprogram van telepítve.
  • Kerülje a biztonságos rendszerindítás visszaállítását a belső vezérlőprogram alapértelmezett értékeire, kivéve, ha az OEM belső vezérlőprogram tartalmazza a frissített biztonságos rendszerindítási alapértelmezett beállításokat, amelyek megbíznak a 2023-as tanúsítványokban.

Biztonságos rendszerindítás helyreállítási segédprogram

A rendszer helyreállítása:

  1. Egy második Windowsos PC-n, amelyen telepítve van a 2024. júliusi vagy újabb Windows-frissítés, másolja a SecureBootRecovery.efi fájlt a C:\Windows\Boot\EFI\ mappából.
  2. Helyezze a fájlt egy FAT32 formátumú USB-meghajtóra a \EFI\BOOT\ mappába, és nevezze át bootx64.efi névre.
  3. Indítsa el az érintett eszközt az USB-meghajtóról, és engedélyezze a helyreállítási segédprogram futtatását. A segédprogram hozzáadja a Windows UEFI CA 2023-at az adatbázishoz.

A tanúsítvány visszaállítását és a rendszer újraindítását követően a Windowsnak a szokásos módon el kell indulnia.

Fontos: Ez a folyamat csak az egyik új tanúsítványt alkalmazza újra. Az eszköz helyreállítása után győződjön meg arról, hogy a legújabb tanúsítványokat alkalmazta újra, és fontolja meg a rendszer BIOS/UEFI frissítését a legújabb elérhető verzióra. Ez segíthet megelőzni a biztonságos rendszerindítás alaphelyzetbe állítási problémájának megismétlődését, mivel számos OEM kiadott firmware-javításokat erre a problémára.

Az eszköz nem indul el a biztonságos rendszerindítás frissítése után, mert a belső vezérlőprogram felülírja az adatbázist

A történtek oka

A biztonságos rendszerindítási tanúsítvány frissítésének alkalmazása és az újraindítás után az eszköz nem indul el, és nem éri el a Windowst.

Hogyan ismerhető fel

  • Az eszköz a biztonságos rendszerindítási frissítéshez szükséges újraindítás után azonnal meghibásodik.
  • Előfordulhat, hogy egy firmware- vagy biztonságos rendszerindítási hiba jelenik meg, vagy a rendszer leállhat a Windows betöltése előtt.
  • A biztonságos rendszerindítás letiltása lehetővé teheti az eszköz rendszerindítását.

A jelenség oka

A problémát az eszköz UEFI belső vezérlőprogramjának megvalósítási hibája okozhatja.

Amikor a Windows alkalmazza a biztonságos rendszerindítási tanúsítvány frissítéseit, a belső vezérlőprogramnak várhatóan új tanúsítványokat fűz hozzá a meglévő biztonságos rendszerindítás engedélyezett aláírási adatbázisához (DB). A belső vezérlőprogramok egyes implementációi helytelenül felülírják az adatbázist, ahelyett, hogy hozzáfűznének hozzá.

Amikor ez történik,

  • A korábban megbízható tanúsítványok, beleértve a Microsoft 2011 rendszerbetöltő tanúsítványt, el lesznek távolítva.
  • Ha a rendszer ekkor még egy 2011-es tanúsítvánnyal aláírt rendszerindító-vezérlőt használ, a belső vezérlőprogram már nem bízik meg benne.
  • A belső vezérlőprogram elutasítja a rendszerindítás-kezelőt, és blokkolja a rendszerindítási folyamatot.

Bizonyos esetekben az adatbázis is megsérülhet, és nem tisztán felülíródik, ami ugyanahhoz az eredményhez vezethet. Ezt a viselkedést bizonyos belső vezérlőprogram-implementációkon figyeltük meg, és nem várható a megfelelő belső vezérlőprogramok esetében.

Teendők

  • Nyissa meg a belső vezérlőprogram beállítási menüit, és próbálja meg alaphelyzetbe állítani a biztonságos rendszerindítási beállításokat.
  • Ha az eszköz elindul az alaphelyzetbe állítás után, az eszköz gyártójának támogatási webhelyén keressen olyan belső vezérlőprogram-frissítést, amely kijavítja a biztonságos rendszerindítási adatbázis kezelését.
  • Ha elérhető firmware-frissítés, telepítse azt a biztonságos rendszerindítás újbóli engedélyezése és a biztonságos rendszerindítási tanúsítvány frissítéseinek újbóli alkalmazása előtt.

Ha a biztonságos rendszerindítás alaphelyzetbe állítása nem állítja vissza a rendszerindítási funkciót, a további helyreállításhoz valószínűleg OEM-specifikus útmutatásra van szükség.

A biztonságos rendszerindítási frissítés le lett tiltva a hiányzó OEM-aláírású KEK miatt

A történtek oka

A biztonságos rendszerindítási tanúsítvány frissítése nem fejeződött be, és továbbra is le van tiltva a kulcscserekulcs (KEK) frissítési szakaszában.

Hogyan ismerhető fel

  • Az AvailableUpdates beállításazonosító a KEK bittel (0x0004) marad, és nem törlődik.
  • UEFICA2023Status nem lép tovább befejezett állapotba.
  • A rendszer eseménynaplója ismétlődően rögzíti az 1803-as eseményazonosítót, jelezve, hogy a KEK frissítést nem sikerült alkalmazni.
  • Az eszköz továbbra is próbálkozik a frissítéssel, anélkül, hogy haladna előre.

A jelenség oka

A biztonságos rendszerindítási KEK frissítéséhez engedélyre van szükség az eszköz OEM tulajdonában lévő platformkulcstól (PK).

A sikeres frissítéshez az eszköz gyártójának el kell látnia egy PK-aláírással ellátott KEK értéket a Microsoft számára az adott platformhoz. Ez az OEM-aláírással rendelkező KEK megtalálható a Windows-frissítésekben, és lehetővé teszi a Windows számára a KEK belső vezérlőprogram változójának frissítését.

Ha az OEM nem biztosított PK-aláírással ellátott KEK-et az eszközhöz, a Windows nem tudja végrehajtani a KEK frissítést. Ebben az állapotban:

  • A biztonságos rendszerindítás frissítései a kialakításuknál fogva blokkolva vannak.
  • A Windows nem tudja megkerülni a hiányzó hitelesítést.
  • Az eszköz továbbra sem tudja befejezni a biztonságos rendszerindítási tanúsítvány karbantartását.

Ez régebbi vagy már nem támogatott eszközökön fordulhat elő, amelyeken az OEM már nem biztosít frissítéseket a belső vezérlőprogramhoz vagy a legfontosabb frissítésekhez. Erre a feltételre vonatkozóan nem áll rendelkezésre manuális helyreállítási útvonal.

a lap tetejére

Biztonságos rendszerindítási tanúsítvány frissítési eseményei és hibajelzők

Ha a biztonságos rendszerindítási tanúsítvány frissítései sikertelenek, a Windows rögzíti a diagnosztikai eseményeket, amelyek megmagyarázzák, hogy miért blokkolták a folyamat előrehaladását. Ezek az események akkor lesznek írva, amikor a biztonságos rendszerindítási aláírás-adatbázis (DB) vagy a kulcscsere-kulcs (KEK) frissítése nem hajtható végre biztonságosan a belső vezérlőprogram, a platform állapota vagy a konfigurációs feltételek miatt. Az ebben a szakaszban ismertetett forgatókönyvek ezekre az eseményekre hivatkozva azonosítják a gyakori hibaelhárítási mintákat, és meghatározzák a megfelelő szervizelést. Ez a szakasz a korábban ismertetett problémák diagnosztizálásának és értelmezésének támogatására szolgál, nem pedig új hibaforgatókönyvek bevezetésére.

Az eseményazonosítók, leírások és példabejegyzések teljes listáját lásd: Secure Boot DB és DBX változófrissítési események (KB5016061).

KEK frissítési hiba (adatbázis-frissítés sikeres, KEK nem)

Az eszközök sikeresen frissíthetik a tanúsítványokat a biztonságos rendszerindítási adatbázisban, de a KEK frissítése során sikertelen lesz. Ha ez történik, a biztonságos rendszerindítási frissítési folyamat nem fejezhető be.

Tünetek

  • Az adatbázis-tanúsítvány eseményei jelzik az előrehaladást, de a KEK szakasz még nem fejeződött be.
  • Az AvailableUpdates értéke továbbra is 0x4004 marad, és a 0x0004 bit nem törlődik több feladatfuttatás után.
  • 1795-ös vagy 1803-as esemény is jelen lehet.

Tolmácsolás

  • Az 1795 általában firmware-hibát jelez a biztonságos rendszerindítási változó frissítésének megkísérlésekor.
  • Az 1803-as érték azt jelzi, hogy a KEK-frissítés nem engedélyezhető, mert nem érhető el egy szükséges OEM PK aláírású KEK hasznos adat a platformhoz.

További lépések

  • A 1795-ös verzióhoz keresse meg az OEM belső vezérlőprogram frissítéseit, és ellenőrizze a belső vezérlőprogram támogatását a biztonságos rendszerindítási változók frissítéseihez.
  • 1803 esetén ellenőrizze, hogy az OEM biztosította-e a Microsoftnak az eszközmodellhez szükséges PK-aláírású KEK lehetőséget.

KEK frissítési hiba a Hyper-V-n üzemeltetett vendég virtuális gépeken

A Hyper-V virtuális gépeken a biztonságos rendszerindítási tanúsítvány frissítéseihez telepíteni kell a 2026. márciusi Windows-frissítéseket a Hyper-V gazdagépen és a vendég operációs rendszereken egyaránt.

A frissítési hibákat a vendég jelenti, de az esemény jelzi, hogy hol van szükség szervizelésre:

  • A vendégben jelentett 1795-ös esemény (például "Az adathordozó írásvédett") azt jelzi, hogy a Hyper-V-gazdagépen hiányzik a 2026. márciusi frissítés, ezért frissíteni kell.
  • A vendégben jelentett 1803-as esemény azt jelzi, hogy magáról a vendég virtuális gépről hiányzik a 2026. márciusi frissítés, ezért frissíteni kell.

a lap tetejére

Hivatkozás és belső adatok

Ez a szakasz speciális referenciainformációkat tartalmaz a hibaelhárításhoz és a támogatáshoz. Nem központi telepítés tervezésére készült. Kibővíti a korábban összefoglalt biztonságos rendszerindítási karbantartási mechanizmust, és részletes referenciaanyagot biztosít a beállításjegyzék állapotának és eseménynaplóinak értelmezéséhez.

Megjegyzés (informatikai részleg által felügyelt üzemelő példányok): A Csoportházirend vagy a Microsoft Intune használatával konfigurálva két hasonló beállítást nem szabad összetéveszteni. Az AvailableUpdatesPolicy érték a konfigurált házirendállapotot jelöli. Eközben az AvailableUpdates a folyamatban lévő, bittörlési munkaállapotot tükrözi. Mindkettő ugyanazt az eredményt érheti el, de másként viselkednek, mivel a házirend idővel újra érvénybe lép.

a lap tetejére

A tanúsítványok karbantartásához használt AvailableUpdates bitek

Az alábbi bitek a dokumentumban ismertetett tanúsítvány- és rendszerindítás-kezelő műveletekhez használatosak. A Sorrend oszlop azt a sorrendet tükrözi, amelyben a Biztonságos rendszerindítás-frissítés feladat feldolgozza az egyes biteket.

Sorrend: Bitbeállítás Használat
1 0x0040 Ez a bit azt írja le az ütemezett feladatnak, hogy adja hozzá a Windows UEFI CA 2023 tanúsítványt a biztonságos rendszerindítási adatbázishoz. Ez lehetővé teszi, hogy a Windows megbízzon az ezzel a tanúsítvánnyal aláírt rendszerindítás-kezelőkben.
2 0x0800 Ez a bit arra utasítja az ütemezett feladatot, hogy alkalmazza a Microsoft Option ROM UEFI CA 2023-at az adatbázisra.
Feltételes viselkedés: Ha a 0x4000 jelölő be van állítva, az ütemezett feladat először ellenőrzi az adatbázisban a Microsoft Corporation UEFI CA 2011 tanúsítványát. Csak akkor alkalmazza a Microsoft Option ROM UEFI CA 2023 tanúsítványt , ha a 2011-es tanúsítvány jelen van.
3 0x1000 Ez a bit arra utasítja az ütemezett feladatot, hogy alkalmazza a Microsoft UEFI CA 2023-at az adatbázisra.
Feltételes viselkedés: Ha a 0x4000 jelölő be van állítva, az ütemezett feladat először ellenőrzi az adatbázisban a Microsoft Corporation UEFI CA 2011 tanúsítványát. Csak akkor alkalmazza a Microsoft UEFI CA 2023 tanúsítványt , ha a 2011-es tanúsítvány jelen van.
Módosító (viselkedésjelző) 0x4000 Ez a bit úgy módosítja a 0x0800 és a 0x1000 bitek viselkedését, hogy a Microsoft UEFI CA 2023 és a Microsoft Option ROM UEFI CA 202 3csak akkor legyen alkalmazva, ha az adatbázis már tartalmazza a Microsoft Corporation UEFI CA 2011 terméket.

Annak érdekében, hogy az eszköz biztonsági profilja változatlan maradjon, ez a bit csak akkor alkalmazza ezeket az új tanúsítványokat, ha az eszköz megbízik a Microsoft Corporation UEFI CA 2011 tanúsítványában. Nem minden Windows-eszköz bízik meg ebben a tanúsítványban.
4 0x0004 Ez a bit arra utasítja az ütemezett feladatot, hogy keressen az eszköz platformkulcsával (PK) aláírt kulcscserekulcsot. A PK-t az OEM kezeli. Az OEM-ek aláírják a Microsoft KEK terméket az elsődleges kitöltő kódjukkal, és kézbesítik a Microsoftnak, ahol az bekerül a havi összegző frissítések közé.
5 0x0100 Ez a bit azt mondja az ütemezett feladatnak, hogy alkalmazza a Windows UEFI CA 2023 által aláírt rendszerindítás-kezelőt a rendszerindító partícióra. Ez lecseréli a Microsoft Windows Production PCA 2011 aláírt rendszerindítás-kezelőjét.

Megjegyzések:

  • A 0x4000 bit az összes többi bit feldolgozása után is beállított marad.
  • Az egyes biteket a biztonságos rendszerindítási frissítés ütemezett feladata dolgozza fel a fent bemutatott sorrendben.
  • Ha a 0x0004 bit nem dolgozza fel hiányzó PK aláírású KEK miatt, az ütemezett feladat továbbra is alkalmazza a rendszerindítás-kezelő 0x0100. bittel jelzett frissítését.

a lap tetejére

Várható előrehaladás (AvailableUpdates)

Ha egy művelet sikeresen befejeződött, a Windows törli a vonatkozó bitet az AvailableUpdates táblából. Ha egy művelet meghiúsul, a Windows naplóz egy eseményt, és újrapróbálkozik, amikor a feladat újra fut.

Az alábbi táblázat az AvailableUpdates értékek várt előrehaladását mutatja az egyes biztonságos rendszerindítási frissítési műveletek befejezésekor.

Lépés Bites feldolgozva Elérhető Frissítések Leírás: A sikeres esemény naplózva Lehetséges hibaesemény-kódok
Indítás 0x5944 A biztonságos rendszerindítási tanúsítvány karbantartásának megkezdése előtti kezdeti állapot. - -
1 0x0040 0x5944 → 0x5904 A Windows UEFI CA 2023 hozzá lesz adva a biztonságos rendszerindítási adatbázishoz. 1036 1032, 1795, 1796, 1802
2 0x0800 0x5904 → 0x5104 Adja hozzá a Microsoft Option ROM UEFI CA 2023 terméket az adatbázishoz, ha az eszköz korábban megbízhatónak tartotta a Microsoft UEFI CA 2011-et. 1044 1032, 1795, 1796, 1802
3 0x1000 0x5104 → 0x4104 A Microsoft UEFI CA 2023 akkor lesz hozzáadva az adatbázishoz, ha az eszköz korábban megbízhatónak tartotta a Microsoft UEFI CA 2011-et. 1045 1032, 1795, 1796, 1802
4 0x0004 0x4104 → 0x4100 Az OEM platformkulccsal aláírt új Microsoft KEK 2K CA 2023 rendszer alkalmazza. 1043 1032, 1795, 1796, 1802, 1803
5 0x0100 0x4100 → 0x4000 Telepítve van a Windows UEFI CA 2023 által aláírt rendszerindító-kezelő. 1799 1797

Megjegyzések

  • Miután a bithez társított művelet sikeresen befejeződött, az adott bit törlődik az AvailableUpdates mappából.
  • Ha a fenti műveletek egyike meghiúsul, a program naplóz egy eseményt, és újrapróbálkozik az ütemezett feladat következő futtatásakor.
  • A 0x4000 bit módosító, és nem törlődik. Az 0x4000 végleges AvailableUpdates érték az összes vonatkozó frissítési művelet sikeres végrehajtását jelzi.
  • Az 1032-es, 1795-ös, 1796-os, 1802-es események általában a belső vezérlőprogram vagy a platform korlátait jelzik.
  • Az 1803-as esemény azt jelzi, hogy hiányzik az OEM PK-aláírással ellátott KEK.

a lap tetejére

Szervizelési eljárások

Ez a szakasz lépésről lépésre ismerteti a biztonságos rendszerindítással kapcsolatos konkrét problémák megoldását. Minden eljárás egy jól meghatározott állapotra terjed ki, és csak azt követően szabad követni, hogy a kezdeti diagnózis megállapította, hogy a probléma fennáll. Ezekkel az eljárásokkal visszaállíthatja a biztonságos rendszerindítás várt viselkedését, és engedélyezheti a tanúsítványfrissítések biztonságos végrehajtását. Ne alkalmazza ezeket az eljárásokat széles körben vagy megelőző jelleggel.

a lap tetejére

Biztonságos rendszerindítás engedélyezése a belső vezérlőprogramban

Ha a biztonságos rendszerindítás le van tiltva az eszköz belső vezérlőprogramjában, a biztonságos rendszerindítás engedélyezésével kapcsolatos részletekért tekintse meg a Windows 11 és a Biztonságos rendszerindítás című témakört.

a lap tetejére

A biztonságos rendszerindítás ütemezett feladata letiltva vagy törölve

A biztonságos rendszerindítás ütemezett frissítése szükséges a Windows számára a biztonságos rendszerindítási tanúsítvány frissítéseinek alkalmazásához. Ha a feladat le van tiltva vagy hiányzik, a biztonságos rendszerindítási tanúsítvány karbantartása nem fog továbbhaladni.

Feladat részletei

Tevékenység neve Biztonságos rendszerindítás-frissítés
Tevékenységlánc \Microsoft\Windows\PI\
Teljes elérési út \Microsoft\Windows\PI\Secure-Boot-Update
Futtatási mód: SYSTEM (helyi rendszer)
Triggerek Indításkor és 12 óránként
Kötelező állapot Engedélyezve

Tevékenységállapot ellenőrzése

Futtassa rendszergazda jogú PowerShell-parancssorból:
schtasks.exe /query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Keresse meg az Állapot mezőt:

Állapot Jelentés
Kész A feladat létezik és engedélyezve van.
Disabled A feladat létezik, de engedélyezni kell.
Hiba / Nem található A feladat hiányzik, és újra létre kell hozni.

A feladat engedélyezése vagy újbóli létrehozása

Ha a biztonságos rendszerindítás frissítésének állapotmezője le van tiltva, hiba vagy nem található, használja a mintaparancsprogramot a feladat engedélyezéséhez: Minta Enable-SecureBootUpdateTask.ps1

Megjegyzés: Ez egy minta parancsprogram, amelyet a Microsoft nem támogat. A rendszergazdáknak át kell vizsgálniuk és a környezetükhöz kell igazítaniuk az adatokat.

Példa:

Megjegyzés

.\Enable-SecureBootUpdateTask.ps1 -Quiet

Futtatási útmutató

  • Ha a hozzáférés megtagadva üzenetet látja, futtassa újra a PowerShellt rendszergazdaként.
  • Ha a parancsfájl végrehajtási házirend miatt nem fog futni, használja a folyamathatókör megkerülését:

Megjegyzés

Set-ExecutionPolicy -hatókör folyamat -executionPolicy bypass

a lap tetejére