Hatókör
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Eredeti közzététel dátuma: 2025. október 14.

TUDÁSBÁZIS AZONOSÍTÓJA: 5068202

Ez a cikk a következőhöz nyújt útmutatást:  

  • Informatikai felügyelettel rendelkező Windows-eszközökkel és -frissítésekkel rendelkező szervezetek.

A támogatás elérhetősége:  

Az AvailableUpdates, az UEFICA2023Status, az UEFICA2023Error, a HighConfidenceOptOut és a MicrosoftUpdateManagedOptIn beállításkulcsok a következő dátumokon vagy azok után kiadott frissítésekben szerepelnek:

  • 2025. október 14.: A támogatott verziók közé tartozik a Windows 10, a 22H2 és az újabb verziók (beleértve a 21H2 LTSC-t), a Windows 11 összes támogatott verziója, valamint a Windows Server 2022-es és újabb verziói.

  • 2025. november 11.: A windowsos verziók továbbra is támogatottak.

Dátum módosítása

Leírás módosítása

2025. november 4.

  • Hozzáadtunk még egy beállításkulcsot a laphoz.

  • Kijavítottunk egy "Például, ha az adatbázis (megbízható aláírások adatbázisa) frissítése belső vezérlőprogrammal kapcsolatos probléma miatt meghiúsult, ez a beállításkulcs olyan hibakódot jeleníthet meg, amely leképezhető egy eseménynaplóra vagy a dokumentált hibaazonosítóra a következőben: "Például ha az adatbázis (megbízható aláírások adatbázisa) frissítése belső vezérlőprogram-probléma miatt meghiúsult, ez a beállításkulcs a belső vezérlőprogramból származó hibakódot jeleníthet meg. Ha ez a kulcs létezik, és nem nulla, javasoljuk, hogy keresse meg a biztonságos rendszerindítási eseményeket a Windows eseménynaplóiban – további részletekért tekintse meg a (hivatkozás) részt."

  • Alább két külön elérési utat adtunk hozzá a beállításkulcsokhoz

2025. november 11.

  • Frissítettük az Eszköztesztelés beállításkulcsokkal című bekezdést a következő további információkkal: "A beállításkulcsnak gyorsan át kell változnia 0x4100. A feladat újraindítása és ismételt futtatása a rendszerindítás-kezelő frissítését és az AvailableUpdates 0x0100. Az AvailableUpdates viselkedéséről további információt a Hibaelhárítás című témakörben talál."

  • Frissítse a szürke mezőben lévő szöveget az Eszköztesztelés beállításkulcsokkal területen, hogy két további PowerShell-parancsot is használjon

  • A beállításkulcsok alatt a -MicrosoftUpdateManagedOptIn beállításazonosító az "1 – Jóváhagyás" értékről "1 vagy bármely nem nulla érték – Jóváhagyás" értékre módosult.

Ebben a cikkben

Ismertető

Ez a dokumentum a biztonságos rendszerindítási tanúsítvány frissítéseinek Windows beállításkulcsokkal történő telepítésének, kezelésének és figyelésének támogatását ismerteti. A kulcsok a következőkből állnak: 

  • Az egyik kulcs a tanúsítványok és a rendszerindítás-kezelő központi telepítésének aktiválásához az eszközön.

  • Két kulcs az üzemelő példány állapotának figyeléséhez.

  • Két kulcs a két elérhető üzembe helyezési segítség opt-in/opt out beállításainak kezeléséhez.

Ezek a beállításkulcsok manuálisan állíthatók be az eszközön vagy távolról a rendelkezésre álló flottakezelő szoftveren keresztül. Az egyéb üzembehelyezési módszerekről, például a Csoportházirend, a Microsoft Intune és a WinCS-ről a Windows-eszközök it által felügyelt frissítésekkel rendelkező vállalatok és szervezetek számára című cikkben olvashat.  

Biztonságos rendszerindítási beállításkulcsok

Ebben a szakaszban

Beállításkulcsok

Az alábbiakban ismertetett biztonságos rendszerindítási beállításkulcsok a következő beállításjegyzékbeli elérési úton találhatók: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Az alábbi táblázat az egyes beállításjegyzék-értékeket ismerteti:

Beállításazonosító

Típus

Leírás és használat

AvailableUpdates

REG_DWORD (bitmaszk)

Eseményindító-jelzők frissítése.

Az eszközön végrehajtandó biztonságos rendszerindítási frissítési műveleteket szabályozza. A megfelelő bitmező itt történő beállítása új biztonságos rendszerindítási tanúsítványok és a kapcsolódó frissítések üzembe helyezését kezdeményezi. Vállalati üzembe helyezés esetén ezt 0x5944 (hexadecimális) értékre kell állítani, amely minden releváns frissítést engedélyez (az új 2023-as hitelesítésszolgáltatói tanúsítványok hozzáadása, a KEK frissítése és az új rendszerindítás-kezelő telepítése). 

Beállítások

  • 0 vagy nincs beállítva – Nem történik biztonságos rendszerindítási kulcs frissítése.

  • 0x5944 – Az összes szükséges tanúsítvány üzembe helyezése és a PCA2023 aláírt rendszerindítás-kezelő frissítése

HighConfidenceOptOut

REG_DWORD

Egy lemondási lehetőség.

Azoknak a vállalatoknak, amelyek le szeretnék tiltani a megbízható gyűjtők használatát, amelyeket a rendszer automatikusan alkalmaz az LCU részeként.

Ezt a kulcsot nem nulla értékre állíthatja, hogy ne használja a nagy megbízhatóságú gyűjtőket. 

Gépház 

  • 0 vagy a kulcs nem létezik – Jóváhagyás

  • 1 – Lemondás

MicrosoftUpdateManagedOptIn

REG_DWORD

Egy jóváhagyási lehetőség.

Azoknak a vállalatoknak, amelyek engedélyezni szeretnék a felügyelt szolgáltatások bevezetésének (CFR) karbantartását, más néven a Microsoft által felügyelt szolgáltatást.

A kulcs beállítása mellett engedélyezze a szükséges diagnosztikai adatok küldését (lásd: Windows diagnosztikai adatok konfigurálása a szervezetben). 

Gépház

  • 0 vagy a kulcs nem létezik – Leiratkozás

  • 1 vagy bármely nem nulla érték  – Jóváhagyás

Az alábbiakban ismertetett biztonságos rendszerindítási beállításkulcsok a következő beállításjegyzékbeli elérési úton találhatók: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Az alábbi táblázat az egyes beállításjegyzék-értékeket ismerteti:

Beállításazonosító

Típus

Leírás és használat

UEFICA2023Status

REG_SZ (sztring)

Üzembe helyezés állapotjelzője.

A Biztonságos rendszerindítási kulcs frissítésének aktuális állapotát tükrözi az eszközön. A következő szöveges értékek egyikére lesz beállítva:

  • NotStarted: A frissítés még nem futott.

  • Bejövő forgalom: A frissítés aktívan folyamatban van.

  • Frissítve: A frissítés sikeresen befejeződött.

Az állapot kezdetben NotStarted. A frissítés kezdetekor a Bejövő forgalom értékre, végül pedig a Frissítés értékre változik, amikor az összes új kulcs és az új rendszerindítás-kezelő üzembe lett helyezve. Hiba esetén az UEFICA2023Error beállításazonosító nem nulla kódra van állítva.

UEFICA2023Hiba

REG_DWORD (kód)

Hibakód (ha van).

Ez az érték továbbra is 0 a sikerhez. Ha a frissítési folyamat hibába ütközik, az UEFICA2023Error egy nem nulla hibakódra van állítva, amely megfelel az első észlelt hibának. Az itt látható hiba azt jelenti, hogy a biztonságos rendszerindítási frissítés nem sikerült teljes mértékben, és vizsgálatot vagy szervizelést igényelhet az eszközön.  

Ha például az adatbázis (megbízható aláírások adatbázisa) frissítése belső vezérlőprogrammal kapcsolatos probléma miatt meghiúsult, ez a beállításkulcs a belső vezérlőprogramból származó hibakódot jeleníthet meg. Ha ez a kulcs létezik, és nem nulla, javasoljuk, hogy keresse meg a biztonságos rendszerindítási eseményeket a Windows eseménynaplóiban – további részletekért lásd: Biztonságos rendszerindítási adatbázis és DBX változófrissítési események.

WindowsUEFICA2023Capable

REG_DWORD (kód)

Ez a beállításkulcs korlátozott üzembehelyezési forgatókönyvekhez készült, és nem ajánlott általános használatra. A legtöbb esetben használja inkább az UEFICA2023Status beállításkulcsot.

Érvényes értékek:

0 – vagy a kulcs nem létezik – a "Windows UEFI CA 2023" tanúsítvány nem szerepel az adatbázisban

1 – A "Windows UEFI CA 2023" tanúsítvány az adatbázisban található

2 – A "Windows UEFI CA 2023" tanúsítvány az adatbázisban található, és a rendszer a 2023-ban aláírt rendszerindítás-kezelőtől indul

Hogyan működnek együtt ezek a kulcsok?

A rendszergazdák úgy konfigurálják az AvailableUpdates beállításazonosítót , hogy 0x5944, ami arra jelzi a Windowst, hogy hajtsa végre a Biztonságos rendszerindítási kulcs frissítését és telepítését az eszközön.

A folyamat futása során a rendszer frissíti az UEFICA2023Status elemet NotStarted értékről InProgress értékre, végül pedig a Sikeres frissítés értékre. Mivel a 0x5944 minden bitje sikeresen fel van dolgozva, törlődik.

Ha egy lépés sikertelen, a rendszer hibakódot rögzít az UEFICA2023Error fájlban (és az állapot folyamatban marad).

Ezzel a mechanizmussal a rendszergazdák egyértelműen aktiválhatják és nyomon követhetik az eszközönkénti bevezetést. 

Üzembe helyezés beállításkulcsokkal 

Az eszközök egy csoportjába történő üzembe helyezés a következő lépésekből áll: 

  1. Állítsa az AvailableUpdates beállításazonosítót 0x5944 az egyes frissítendő eszközökön.

  2. Monitorozza az UEFICA2023Status és az UEFICA2023Error beállításkulcsokat, és ellenőrizze, hogy az eszközök haladnak-e. A frissítéseket feldolgozó feladat 12 óránként fut. Vegye figyelembe, hogy a rendszerindítás-kezelő frissítése csak újraindítás után történhet meg.

  3. Vizsgálja meg a problémákat, ha előfordulnak. Ha az UEFICA2023Error nem nulla az eszközön, az eseménynaplóban ellenőrizheti a problémával kapcsolatos eseményeket. A biztonságos rendszerindítási események teljes listáját a Biztonságos rendszerindítási adatbázis és a DBX változófrissítési események című cikkben találja.

Megjegyzés az újraindításokról: Bár a folyamat befejezéséhez újraindításra lehet szükség, a biztonságos rendszerindítási frissítések telepítésének kezdeményezése nem okoz újraindítást. Ha újraindításra van szükség, a Biztonságos rendszerindítás üzembe helyezése az eszköz szokásos használatakor az újraindításokra támaszkodik. 

Eszköztesztelés beállításkulcsokkal 

Ha az egyes eszközöket teszteli annak érdekében, hogy az eszközök megfelelően dolgozzák fel a frissítéseket, a beállításkulcsok egyszerűen tesztelhetők. 

A teszteléshez futtassa az alábbi parancsok mindegyikét a rendszergazdai PowerShell-parancssortól elkülönítve: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Indítsa újra manuálisan a rendszert, amikor az AvailableUpdates 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Az első parancs elindítja a tanúsítvány- és rendszerindítás-kezelő telepítését az eszközön. A második parancs azonnal futtatja az AvailableUpdates beállításkulcsot feldolgozó feladatot. A tevékenység általában 12 óránként fut. A beállításkulcsnak gyorsan át kell változnia 0x4100. A feladat újraindítása és ismételt futtatása a rendszerindítás-kezelő frissítését és az AvailableUpdates 0x0100. Az AvailableUpdates viselkedésével kapcsolatos további részletekért tekintse meg a hibaelhárítást ismertető cikket.

Az eredményeket az UEFICA2023Status és az UEFICA2023Error beállításkulcsok, valamint a Secure Boot DB és DBX változófrissítési eseményekben leírt eseménynaplók megtekintésével találhatja meg. 

Segítség kérése és elutasítása 

A HighConfidenceOptOut és a MicrosoftUpdateManagedOptIn beállításkulcsokkal kezelhető a Windows-eszközök it által felügyelt frissítésekkel foglalkozó két központi telepítési "segítsége". 

  • A HighConfidenceOptOut beállításkulcs szabályozza az eszközök automatikus frissítését az összegző frissítéseken keresztül. Azok az eszközök, amelyeken a Microsoft megfigyelte, hogy bizonyos eszközök sikeresen frissültek, "nagy megbízhatóságú" eszközöknek minősülnek, és a Biztonságos rendszerindítási tanúsítvány frissítése automatikusan megtörténik. Az alapértelmezett beállítás a jóváhagyás.

  • A MicrosoftUpdateManagedOptIn beállításkulcs lehetővé teszi, hogy az informatikai részlegek csatlakoznak a Microsoft által felügyelt automatikus üzembe helyezéshez. Ez a beállítás alapértelmezés szerint le van tiltva, és 1 jóváhagyásra van állítva. Ehhez a beállításhoz az is szükséges, hogy az eszköz opcionális diagnosztikai adatokat küldjön.

A Windows támogatott verziói

Ez a táblázat tovább bontja a támogatást a beállításkulcs alapján. 

Kulcs 

A Windows támogatott verziói 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Hiba 

A Biztonságos rendszerindítást támogató Összes Windows-verzió (Windows Server 2012 és újabb Windows-verziók).  

Jegyzet: Bár a megbízhatósági adatok Windows 10, LTSC, 22H2 és újabb Windows-verziókon gyűlnek össze, a Windows korábbi verzióiban futó eszközökre is alkalmazhatók.    

  • Windows 10 LTSC és 22H2 verzió

  • Windows 11, 22H2 és 23H2 verzió

  • Windows 11, 24H2-es verzió

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Biztonságos rendszerindítási hibaesemények

​​​​​​​​​​​​​​A hibaesemények kritikus jelentéskészítő funkcióval rendelkeznek a biztonságos rendszerindítás állapotáról és állapotáról.  További információ a hibaeseményekről: Biztonságos rendszerindítási adatbázis és DBX változófrissítési események. A hibaesemények a Biztonságos rendszerindítás további eseményinformációival frissülnek. 

Facebook LinkedIn E-mail
FELIRATKOZÁS RSS-HÍRCSATORNÁKRA

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ