Hatókör
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Eredeti közzététel dátuma: 2025. október 14.

TUDÁSBÁZIS AZONOSÍTÓJA: 5068202

Ez a cikk a következőhöz nyújt útmutatást:  

  • Informatikai felügyelettel rendelkező Windows-eszközökkel és -frissítésekkel rendelkező szervezetek.

A támogatás elérhetősége:  

  • Az AvailableUpdates, az UEFICA2023Status, az UEFICA2023Error, a HighConfidenceOptOut és a MicrosoftUpdateManagedOptIn beállításkulcsok a következő dátumokon vagy azok után kiadott frissítésekben szerepelnek:

    • 2025. október 14.: A támogatott verziók közé tartozik a Windows 10, a 22H2 és az újabb verziók (beleértve a 21H2 LTSC-t), a Windows 11 összes támogatott verziója, valamint a Windows Server 2022-es és újabb verziói.

    • 2025. november 11.: A windowsos verziók továbbra is támogatottak.

Ebben a cikkben

Ismertető

Ez a dokumentum a biztonságos rendszerindítási tanúsítvány frissítéseinek Windows beállításkulcsokkal történő telepítésének, kezelésének és figyelésének támogatását ismerteti. A kulcsok a következőkből állnak: 

  • Az egyik kulcs a tanúsítványok és a rendszerindítás-kezelő központi telepítésének aktiválásához az eszközön.

  • Két kulcs az üzemelő példány állapotának figyeléséhez.

  • Két kulcs a két elérhető üzembe helyezési segítség jóváhagyási/elutasítási beállításainak kezeléséhez.

Ezek a beállításkulcsok manuálisan állíthatók be az eszközön vagy távolról a rendelkezésre álló flottakezelő szoftveren keresztül. Az egyéb üzembehelyezési módszerekről, például a Csoportházirend, az Intune-ról és a WinCS-ről a Windows-eszközök informatikai felügyeletű frissítésekkel rendelkező vállalatok és szervezetek számára című cikkben olvashat.  

Biztonságos rendszerindítási beállításkulcsok

Ebben a szakaszban

Beállításkulcsok

Az ebben a dokumentumban ismertetett biztonságos rendszerindítási beállításkulcsok a következő beállításjegyzékbeli elérési úton találhatók: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Az alábbi táblázat az egyes beállításjegyzék-értékeket ismerteti. 

Beállításazonosító

Típus

Használati & leírása

AvailableUpdates

REG_DWORD (bitmaszk)

Eseményindító-jelzők frissítése.

Az eszközön végrehajtandó biztonságos rendszerindítási frissítési műveleteket szabályozza. A megfelelő bitmező itt történő beállítása új biztonságos rendszerindítási tanúsítványok és a kapcsolódó frissítések üzembe helyezését kezdeményezi. Vállalati üzembe helyezés esetén ezt 0x5944 (hexadecimális) értékre kell állítani, amely lehetővé teszi az összes releváns frissítést (az új 2023-as hitelesítésszolgáltatói tanúsítványok hozzáadása, a KEK frissítése és az új rendszerindítás-kezelő telepítése). 

Gépházban: 

  • 0 vagy nincs beállítva – Nem történik biztonságos rendszerindítási kulcs frissítése.

  • 0x5944 – Helyezze üzembe az összes szükséges tanúsítványt, és frissítsen az PCA2023 aláírt rendszerindítás-kezelőre

UEFICA2023Status

REG_SZ (sztring)

Üzembe helyezés állapotjelzője.

A Biztonságos rendszerindítási kulcs frissítésének aktuális állapotát tükrözi az eszközön. A következő szöveges értékek egyikére lesz beállítva:

  • Nem indítás:A frissítés még nem futott.

  • Bejövő forgalom:A frissítés aktívan folyamatban van.

  • Frissül: A frissítés sikeresen befejeződött.

Az állapot kezdetben NotStarted. A frissítés kezdetekor a Bejövő forgalom értékre, végül pedig a Frissítés értékre változik, amikor az összes új kulcs és az új rendszerindítás-kezelő üzembe lett helyezve. Hiba esetén az UEFICA2023Error beállításazonosító nem nulla kódra van állítva.

UEFICA2023Hiba

REG_DWORD (kód)

Hibakód (ha van).

Ez az érték továbbra is 0 a sikerhez. Ha a frissítési folyamat hibába ütközik, az UEFICA2023Error egy nem nulla hibakódra van állítva, amely megfelel az első észlelt hibának. Az itt látható hiba azt jelenti, hogy a biztonságos rendszerindítási frissítés nem sikerült teljes mértékben, és vizsgálatot vagy szervizelést igényelhet az eszközön.  

Ha például az adatbázis (megbízható aláírások adatbázisa) frissítése belső vezérlőprogrammal kapcsolatos probléma miatt meghiúsult, ez a beállításkulcs olyan hibakódot jeleníthet meg, amely leképezhető egy eseménynaplóra vagy dokumentált hibaazonosítóra a Secure Boot DB és a DBX változófrissítési eseményekben

HighConfidenceOptOut

REG_DWORD

Egy lemondási lehetőség.

Azoknak a vállalatoknak, amelyek le szeretnék tiltani a megbízható gyűjtők használatát, amelyeket a rendszer automatikusan alkalmaz az LCU részeként.

Ezt a kulcsot nem nulla értékre állíthatja, hogy ne használja a nagy megbízhatóságú gyűjtőket. 

Gépház 

  • 0 vagy a kulcs nem létezik – Jóváhagyás

  • 1 – Jóváhagyás

MicrosoftUpdateManagedOptIn

REG_DWORD

Egy jóváhagyási lehetőség.

Azoknak a vállalatoknak, amelyek engedélyezni szeretnék a felügyelt szolgáltatások bevezetésének (CFR) karbantartását, más néven a Microsoft által felügyelt szolgáltatást.

A kulcs beállítása mellett engedélyezze a szükséges diagnosztikai adatok küldését (lásd: Windows diagnosztikai adatok konfigurálása a szervezetben). 

Gépház

  • 0 vagy a kulcs nem létezik – Elutasítás

  • 1 – Jóváhagyás

Hogyan működnek együtt ezek a kulcsok?

A rendszergazda konfigurálja az AvailableUpdates beállításazonosítót a 0x5944, amely arra jelzi a Windowst, hogy hajtsa végre a biztonságos rendszerindítási kulcs frissítését és telepítését az eszközön.

A folyamat futása során a rendszer frissíti az UEFICA2023Status elemet NotStarted értékről InProgress értékre, végül pedig a Sikeres frissítés értékre. Mivel a 0x5944 minden bitje sikeresen fel van dolgozva, törlődik.

Ha egy lépés sikertelen, a rendszer hibakódot rögzít az UEFICA2023Error fájlban (és az állapot folyamatban marad).

Ezzel a mechanizmussal a rendszergazdák egyértelműen aktiválhatják és nyomon követhetik az eszközönkénti bevezetést. 

Üzembe helyezés beállításkulcsokkal 

Az eszközök egy csoportjába történő üzembe helyezés a következő lépésekből áll: 

  1. Állítsa az AvailableUpdates beállításazonosítót 0x5944 az egyes frissítendő eszközökön.

  2. Monitorozza az UEFICA2023Status és az UEFICA2023Error beállításkulcsokat, és ellenőrizze, hogy az eszközök haladnak-e. Ne feledje, hogy a frissítéseket feldolgozó feladat 12 óránként egyszer fut. Vegye figyelembe, hogy a rendszerindítás-kezelő frissítése csak újraindítás után történhet meg.

  3. Vizsgálja meg a problémákat, ha előfordulnak. Ha az UEFICA2023Error nem nulla az eszközön, az eseménynaplóban ellenőrizheti a problémával kapcsolatos eseményeket. A biztonságos rendszerindítási események teljes listáját a Biztonságos rendszerindítási adatbázis és a DBX változófrissítési események című cikkben találja.

Megjegyzés az újraindításokról: Bár a folyamat befejezéséhez újraindításra lehet szükség, a biztonságos rendszerindítási frissítések telepítésének kezdeményezése nem okoz újraindítást. Ha újraindításra van szükség, a Biztonságos rendszerindítás üzembe helyezése az eszköz szokásos használatakor az újraindításokra támaszkodik. 

Eszköztesztelés beállításkulcsokkal 

Ha az egyes eszközöket teszteli annak érdekében, hogy az eszközök megfelelően dolgozzák fel a frissítéseket, a beállításkulcsok egyszerűen tesztelhetők. 

A teszteléshez futtassa az alábbi parancsok mindegyikét a rendszergazdai PowerShell-parancssortól elkülönítve: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Az első parancs elindítja a tanúsítvány- és rendszerindítás-kezelő telepítését az eszközön. A második parancs azonnal futtatja az AvailableUpdates beállításkulcsot feldolgozó feladatot. A tevékenység általában 12 óránként fut. 

Az eredményeket az UEFICA2023Status és az UEFICA2023Error beállításkulcsok, valamint a Secure Boot DB és DBX változófrissítési eseményekben leírt eseménynaplók megtekintésével találhatja meg. 

Segítség kérése és lemondása 

A HighConfidenceOptOut és a MicrosoftUpdateManagedOptIn beállításkulcsokkal kezelhető a Windows-eszközök it által felügyelt frissítésekkel foglalkozó két központi telepítési "segítsége". 

  • A HighConfidenceOptOut beállításkulcs szabályozza az eszközök automatikus frissítését az összegző frissítéseken keresztül. Azok az eszközök, amelyeken a Microsoft megfigyelte, hogy bizonyos eszközök sikeresen frissültek, "nagy megbízhatóságú" eszközöknek minősülnek, és a Biztonságos rendszerindítási tanúsítvány frissítése automatikusan megtörténik. A beállítás alapértelmezett beállítása.

  • A MicrosoftUpdateManagedOptIn beállításkulcs lehetővé teszi, hogy az informatikai részlegek csatlakoznak a Microsoft által felügyelt automatikus üzembe helyezéshez. Ez a beállítás alapértelmezés szerint le van tiltva, és 1 jóváhagyásra van állítva. Ehhez a beállításhoz az is szükséges, hogy az eszköz opcionális diagnosztikai adatokat küldjön.

A Windows támogatott verziói

Ez a táblázat tovább bontja a támogatást a beállításkulcs alapján. 

Kulcs 

A Windows támogatott verziói 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Hiba 

A Biztonságos rendszerindítást támogató Összes Windows-verzió (Windows Server 2012 és újabb Windows-verziók).  

Jegyzet: Bár a megbízhatósági adatok Windows 10, LTSC, 22H2 és újabb Windows-verziókon gyűlnek össze, a Windows korábbi verzióiban futó eszközökre is alkalmazhatók.    

  • Windows 10 LTSC és 22H2 verzió

  • Windows 11, 22H2 és 23H2 verzió

  • Windows 11, 24H2-es verzió

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Biztonságos rendszerindítási hibaesemények

​​​​​​​​​​​​​​A hibaesemények kritikus jelentéskészítő funkcióval rendelkeznek a biztonságos rendszerindítás állapotáról és állapotáról.  További információ a hibaeseményekről: Biztonságos rendszerindítási adatbázis és DBX változófrissítési események. A hibaesemények a Biztonságos rendszerindítás további eseményinformációival frissülnek. 

A Biztonságos rendszerindítás további összetevő-módosításai 

Ebben a szakaszban

TPMTasks-módosítások 

Módosítsa a TPMTasks parancsot annak megállapításához, hogy az eszköz állapota rendelkezik-e a frissített biztonságos rendszerindítási tanúsítványokkal. Ezt a meghatározást jelenleg csak akkor tudja meghatározni, ha a CFR kiválaszt egy gépet frissítésre. Ennek a meghatározásnak és az ezt követő naplózásnak minden rendszerindítási munkamenetben meg kell történnie, függetlenül a CFR-től. Ha a biztonságos rendszerindítási tanúsítványok nem teljesen naprakészek, akkor a fent leírt két hibaeseményt bocsátják ki. Ha a tanúsítványok naprakészek, akkor kibocsátják az Information eseményt. Az ellenőrizendő biztonságos rendszerindítási tanúsítványok a következők:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 és Microsoft Option ROM UEFI CA 2023 – Ez a két hitelesítésszolgáltató csak akkor lehet jelen, ha a Microsoft UEFI CA 2011 jelen van. Ha a Microsoft UEFI CA 2011 nincs jelen, akkor nincs szükség ellenőrzésre.

  • Microsoft Corporation KEK 2K CA 2023

Gép metaadat-eseménye 

Ez az esemény összegyűjti a gép metaadatait, és a következő eseményt adja ki:

  • BucketId + Megbízhatósági minősítés esemény   

Ez az esemény a gép metaadataival fogja megkeresni a megfelelő bejegyzést a gépek adatbázisában (gyűjtőbejegyzés). A gép formázni és kibocsát egy eseményt ezekkel az adatokkal, valamint a gyűjtővel kapcsolatos megbízhatósági információkat. ​​​​​​​ 

Nagy magabiztosságú eszközsegéd 

A megbízható gyűjtőkben lévő eszközök esetében a rendszer automatikusan alkalmazza a Biztonságos rendszerindítási tanúsítványokat és a 2023-ban aláírt rendszerindítás-kezelőt.   

A frissítés a két hibaesemény generálásakor aktiválódik, és a BucketId + Confidence Rating esemény magas megbízhatósági minősítést tartalmaz.   

Leiratkozás

Azoknak az ügyfeleknek, akik le szeretnék tiltani az előfizetést, az alábbi új beállításkulcs érhető el:   

Beállításjegyzék helye

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Billentyű neve

HighConfidenceOptOut

Kulcs típusa

DWORD

DWORD érték

0 vagy a kulcs nem létezik – A megbízható segítség engedélyezve van.    

1 – A megbízható segítség le van tiltva   

Bármely más érték nincs meghatározva   

Facebook LinkedIn E-mail
FELIRATKOZÁS RSS-HÍRCSATORNÁKRA

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ