Berlaku Untuk
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Tanggal penerbitan asli: 19 Maret 2026

ID KB: 5085046

Dalam artikel ini

Sekilas

Halaman ini memandu administrator dan profesional dukungan dalam mendiagnosis dan mengatasi masalah terkait Boot Aman di perangkat Windows. Topik meliputi kegagalan pembaruan sertifikat Boot Aman, status Boot Aman yang salah, perintah pemulihan BitLocker yang tidak diharapkan, dan kegagalan boot setelah perubahan konfigurasi Boot Aman.

Panduan ini menjelaskan cara memverifikasi layanan dan konfigurasi Windows, meninjau nilai registri dan log kejadian yang relevan, dan mengidentifikasi kapan keterbatasan firmware atau platform memerlukan pembaruan OEM. Konten ini ditujukan untuk mendiagnosis masalah pada perangkat yang sudah ada. Ini tidak dimaksudkan untuk merencanakan penyebaran baru. Dokumen ini akan diperbarui saat skenario pemecahan masalah baru dan panduan diidentifikasi.

kembali ke atas

Cara kerja layanan sertifikat Boot Aman

Layanan sertifikat Boot Aman di Windows adalah proses terkoordinasi antara sistem operasi dan firmware UEFI perangkat. Tujuannya adalah untuk memperbarui jangkar kepercayaan kritis sambil mempertahankan kemampuan untuk boot pada setiap tahap.

Proses ini digerakkan oleh tugas terjadwal Windows, urutan tindakan pembaruan berbasis registri, dan pembuatan log bawaan serta perilaku mencoba ulang. Bersama-sama, komponen ini memastikan bahwa sertifikat Boot Aman dan manajer boot Windows diperbarui secara terkontrol, diurutkan, dan hanya setelah langkah-langkah prasyarat berhasil.

kembali ke atas

Tempat memulai ketika memecahkan masalah

Ketika perangkat tidak terlihat membuat kemajuan yang diharapkan menerapkan pembaruan sertifikat Boot Aman, mulailah dengan mengidentifikasi kategori masalah. Sebagian besar masalah termasuk dalam salah satu dari empat area: Status pelayanan Windows, mekanisme pembaruan Boot Aman, perilaku firmware, atau platform atau batasan OEM.

Mulai dengan pemeriksaan di bawah ini, secara berurutan. Dalam banyak kasus, langkah-langkah ini cukup untuk menjelaskan perilaku yang diamati dan menentukan tindakan berikutnya tanpa penyelidikan yang lebih mendalam.

  1. Konfirmasi layanan Windows dan kelayakan platform

    1. ​​​​​​​Verifikasi bahwa perangkat memenuhi persyaratan dasar untuk menerima pembaruan sertifikat Boot Aman:

    2. Perangkat menjalankan versi Windows yang didukung.

    3. Pembaruan keamanan Windows terbaru yang diperlukan telah terinstal.

    4. Secure Boot diaktifkan di firmware UEFI.

    5. Jika salah satu kondisi ini tidak terpenuhi, atasi sebelum melanjutkan pemecahan masalah lebih lanjut.

  2. Memverifikasi status tugas Secure-Boot-Update

    1. Konfirmasi bahwa mekanisme Windows yang bertanggung jawab untuk menerapkan pembaruan sertifikat Boot Aman hadir dan berfungsi:

    2. Tugas terjadwal Secure-Boot-Update sudah ada.

    3. Tugas diaktifkan dan berjalan sebagai Sistem Lokal.

    4. Tugas telah berjalan setidaknya sekali sejak pembaruan keamanan Windows terbaru diinstal.

    5. Jika tugas dinonaktifkan, dihapus, atau tidak berjalan, pembaruan sertifikat Boot Aman tidak dapat diterapkan. Pemecahan masalah harus fokus pada pemulihan tugas sebelum menyelidiki penyebab lain.

  3. Periksa pengaturan registri untuk kemajuan yang diharapkan

    Tinjau status pelayanan Secure Boot perangkat dalam registri:

    1. Periksa UEFICA2023Status, UEFICA2023Error, dan UEFICA2023ErrorEvent.

    2. Periksa AvailableUpdates dan bandingkan dengan kemajuan yang diharapkan (lihat Referensi dan Internal).

    Bersama-sama, nilai ini menunjukkan apakah pelayanan berjalan normal, mencoba kembali operasi, atau terhenti pada langkah tertentu.

  4. Menghubungkan status registri dengan acara Boot Aman

    Tinjau kejadian terkait Boot Aman dalam log kejadian Sistem dan kaitannya dengan status registri. Data kejadian biasanya mengonfirmasi apakah perangkat membuat kemajuan, mencoba kembali karena kondisi sementara, atau diblokir oleh firmware atau masalah platform.

    Bersama-sama, registri dan log kejadian biasanya menunjukkan apakah perilaku itu diharapkan, sementara, atau memerlukan tindakan perbaikan.

kembali ke atas

Tugas terjadwal Secure-Boot-Update

Pelayanan sertifikat Boot Aman diterapkan melalui tugas terjadwal Windows bernama Secure-Boot-Update. Tugas didaftarkan di jalur berikut:

\Microsoft\Windows\PI\Secure-Boot-Update

Tugas berjalan sebagai Sistem Lokal. Secara default, sistem berjalan pada startup sistem dan setiap 12 jam setelahnya. Setiap kali dijalankan, fitur ini memeriksa apakah tindakan pembaruan Boot Aman tertunda dan mencoba menerapkannya secara berurutan.

Jika tugas ini dinonaktifkan atau hilang, pembaruan sertifikat Boot Aman tidak dapat diterapkan. Tugas Secure-Boot-Update harus tetap diaktifkan agar layanan Boot Aman berfungsi.

kembali ke atas

Mengapa tugas terjadwal digunakan

Pembaruan sertifikat Boot Aman memerlukan koordinasi antara firmware Windows dan UEFI, termasuk penulisan variabel UEFI yang menyimpan kunci Boot Aman dan sertifikat. Tugas terjadwal memungkinkan Windows untuk mencoba pembaruan ini ketika sistem berada dalam keadaan di mana variabel firmware dapat diubah.

Jadwal 12 jam berulang menyediakan peluang tambahan untuk mencoba kembali pembaruan jika upaya sebelumnya gagal atau jika perangkat tetap menyala tanpa memulai ulang. Desain ini membantu memastikan kemajuan maju tanpa memerlukan intervensi manual.

kembali ke atas

Bitmask registri AvailableUpdates

Tugas Secure-Boot-Update digerakkan oleh nilai registri AvailableUpdates . Nilai ini adalah bitmask 32-bit yang terletak di:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Setiap bit dalam nilai menunjukkan tindakan pembaruan Boot Aman tertentu. Proses pembaruan dimulai ketika AvailableUpdates diatur ke nilai bukan nol, baik secara otomatis oleh Windows atau secara eksplisit oleh administrator. Misalnya, nilai seperti 0x5944 menunjukkan bahwa beberapa tindakan pembaruan tertunda.

Ketika tugas Secure-Boot-Update berjalan, tugas ini menginterpretasikan bit yang ditetapkan sebagai pekerjaan tertunda dan memprosesnya dalam urutan yang ditentukan.

kembali ke atas

Pembaruan berurutan, pembuatan log, dan perilaku pengambilan

Pembaruan sertifikat Boot Aman diterapkan dalam urutan tetap. Setiap tindakan pembaruan dirancang agar aman untuk mencoba kembali dan menyelesaikan secara independen. Tugas Secure-Boot-Update tidak melanjutkan ke langkah berikutnya hingga tindakan saat ini berhasil, dan bit terkait dihapus dari AvailableUpdates.

Setiap operasi menggunakan antarmuka UEFI standar untuk memperbarui variabel Boot Aman seperti DB dan KEK, atau untuk menginstal manajer boot Windows yang diperbarui. Windows merekam hasil setiap langkah dalam log kejadian Sistem. Kejadian keberhasilan mengonfirmasi kemajuan, sementara kejadian kegagalan menunjukkan mengapa tindakan tidak dapat diselesaikan.

Jika langkah pembaruan gagal, tugas berhenti diproses, mencatat kesalahan, dan membiarkan bit yang terkait diatur. Operasi diulang kali berikutnya tugas berjalan. Perilaku pengambilan ini memungkinkan perangkat untuk pulih secara otomatis dari kondisi sementara, seperti dukungan firmware yang hilang atau pembaruan OEM yang tertunda.

Administrator dapat melacak kemajuan dengan mengaitkan status registri dengan entri log kejadian. Nilai registri seperti UEFICA2023Status, UEFICA2023Error, dan UEFICA2023ErrorEvent, bersama dengan bitmask AvailableUpdates , menunjukkan langkah mana yang aktif, selesai, atau diblokir.

Kombinasi ini memperlihatkan apakah perangkat berjalan normal, mencoba kembali operasi, atau terhenti.

kembali ke atas

Integrasi dengan firmware OEM

Pembaruan sertifikat Secure Boot bergantung pada perilaku dan dukungan yang benar dalam firmware UEFI perangkat. Sementara Windows mengatur proses pembaruan, firmware bertanggung jawab untuk memberlakukan kebijakan Boot Aman dan mengelola database Boot Aman.

OEM menyediakan dua elemen penting yang memungkinkan pelayanan sertifikat Boot Aman:

  • Kunci Platform yang ditandatangani kunci Exchange Key (KEK) yang mengotorisasi penginstalan sertifikat Secure Boot baru.

  • Implementasi firmware yang mempertahankan, menambahkan, dan memvalidasi database Boot Aman dengan benar selama pembaruan.

Jika firmware tidak sepenuhnya mendukung perilaku ini, pembaruan Boot Aman dapat mengulur waktu, mencoba kembali tanpa batas waktu, atau mengakibatkan kegagalan boot. Dalam kasus ini, Windows tidak dapat menyelesaikan pembaruan tanpa perubahan pada firmware.

Microsoft bekerja dengan OEM untuk mengidentifikasi masalah firmware dan menyediakan pembaruan yang dikoreksi. Ketika pemecahan masalah menunjukkan keterbatasan atau cacat firmware, administrator mungkin perlu menginstal pembaruan firmware UEFI terbaru yang disediakan oleh produsen perangkat sebelum pembaruan sertifikat Boot Aman berhasil diselesaikan.

kembali ke atas

Skenario dan resolusi kegagalan umum

Pembaruan Boot Aman diterapkan oleh tugas terjadwal Secure-Boot-Update berdasarkan status registri AvailableUpdates .

Dalam kondisi normal, langkah-langkah ini terjadi secara otomatis dan merekam kejadian keberhasilan saat setiap tahap selesai. Dalam beberapa kasus, perilaku firmware, konfigurasi platform, atau prasyarat pelayanan dapat mencegah kemajuan atau menyebabkan perilaku boot yang tidak diharapkan.

Bagian di bawah ini menjelaskan skenario kegagalan yang paling umum, cara mengenalinya, mengapa hal tersebut terjadi, dan langkah berikutnya yang sesuai untuk memulihkan operasi normal. Skenario dipesan dari yang paling umum ditemui hingga kasus yang lebih parah.

Ketika pembaruan Boot Aman tidak memperlihatkan kemajuan, biasanya berarti bahwa proses pembaruan tidak pernah dimulai. Akibatnya, nilai registri Boot Aman yang diharapkan dan log kejadian hilang karena mekanisme pembaruan tidak pernah dipicu.

Apa yang terjadi

Proses pembaruan Boot Aman tidak dimulai, jadi tidak ada sertifikat Boot Aman atau manajer boot yang diperbarui yang diterapkan ke perangkat.

Cara mengenalinya

  • Nilai registri layanan Boot Aman tidak ada, seperti UEFICA2023Status.

  • Kejadian Boot Aman yang Diharapkan (misalnya, 1043, 1044, 1045, 1799, 1801) hilang dari log kejadian Sistem.

  • Perangkat terus menggunakan sertifikat Secure Boot dan komponen boot yang lebih lama.

Mengapa hal itu terjadi

Skenario ini biasanya terjadi ketika satu atau beberapa kondisi berikut ini benar:

  • Tugas terjadwal Secure-Boot-Update dinonaktifkan atau hilang.

  • Secure Boot dinonaktifkan dalam firmware UEFI.

  • Perangkat tidak memenuhi persyaratan layanan Windows, seperti menjalankan versi Windows yang didukung atau menginstal pembaruan yang diperlukan.

Apa yang harus dilakukan berikutnya

  • Verifikasi bahwa perangkat memenuhi persyaratan pelayanan windows dan kelayakan platform.

  • Konfirmasi bahwa Boot Aman diaktifkan dalam firmware.

  • Pastikan bahwa tugas terjadwal SecureBootUpdate sudah ada dan diaktifkan.

Jika tugas terjadwal dinonaktifkan atau hilang, ikuti panduan dalam tugas terjadwal Boot Aman dinonaktifkan atau dihapus untuk memulihkannya. Setelah tugas dipulihkan, hidupkan ulang perangkat atau jalankan tugas secara manual untuk memulai pelayanan Boot Aman.

Dalam beberapa kasus, pembaruan terkait Boot Aman dapat menyebabkan perangkat memasuki pemulihan BitLocker. Perilakunya bisa sementara atau persisten, tergantung pada penyebab yang mendasar.

Skenario 1: Pemulihan Onetime BitLocker setelah pembaruan Boot Aman

Apa yang terjadi

Perangkat memasuki pemulihan BitLocker pada boot pertama setelah pembaruan Boot Aman, tetapi boot biasanya pada mulai ulang berikutnya.

Mengapa hal itu terjadi

Selama boot pertama setelah pembaruan, firmware belum melaporkan nilai Boot Aman yang diperbarui saat Windows mencoba untuk menyembuhkan BitLocker. Hal ini menyebabkan ketidakcocokan sementara dalam nilai boot terukur dan memicu pemulihan. Pada boot berikutnya, firmware melaporkan nilai yang diperbarui dengan benar, BitLocker berhasil menyembuhkan, dan masalah tidak berulang.

Cara mengenalinya

  • Pemulihan BitLocker terjadi sekali.

  • Setelah memasukkan kunci pemulihan, boot selanjutnya tidak meminta pemulihan.

  • Tidak ada pesanan boot atau keterlibatan PXE yang sedang berlangsung.

Apa yang harus dilakukan berikutnya

  • Masukkan kunci pemulihan BitLocker untuk melanjutkan Windows.

  • Periksa pembaruan firmware.

Skenario 2: Pemulihan BitLocker berulang karena konfigurasi boot pertama PXE

Apa yang terjadi

Perangkat memasuki pemulihan BitLocker di setiap boot.

Mengapa hal itu terjadi

Perangkat dikonfigurasi untuk mencoba boot PXE (jaringan) terlebih dahulu. Upaya boot PXE gagal, dan firmware kemudian jatuh kembali ke manajer boot Windows di disk.

Hal ini mengakibatkan dua otoritas penandatanganan yang berbeda diukur selama siklus boot tunggal:

  • Jalur boot PXE ditandatangani oleh Microsoft UEFI CA 2011.

  • Manajer boot Windows di disk ditandatangani oleh Windows UEFI CA 2023.

Karena BitLocker mengamati rantai kepercayaan Secure Boot yang berbeda selama startup, bitLocker tidak dapat menetapkan rangkaian pengukuran TPM yang stabil untuk disembunyikan kembali. Sebagai hasilnya, BitLocker memasukkan pemulihan pada setiap boot.

Cara mengenalinya

  • Pemulihan BitLocker dipicu pada setiap mulai ulang.

  • Memasukkan kunci pemulihan memungkinkan Windows untuk memulai, tetapi perintah kembali pada boot berikutnya.

  • PXE atau boot jaringan dikonfigurasi sebelum disk lokal dalam urutan boot firmware.

Apa yang harus dilakukan berikutnya

  • Konfigurasikan urutan boot firmware, jadi manajer boot Windows di disk adalah yang pertama.

  • Nonaktifkan boot PXE jika tidak diperlukan.

  • Jika PXE diperlukan, pastikan infrastruktur PXE menggunakan pemuat boot Windows bertanda tangan 2023.

Apa yang terjadi

Ini mencerminkan perubahan tingkat firmware daripada masalah Windows. Pembaruan Boot Aman berhasil diselesaikan, tetapi setelah dimulai ulang nanti, perangkat tidak lagi boot ke Windows.

Cara mengenalinya

  • Perangkat gagal memulai Windows dan mungkin menampilkan firmware atau pesan BIOS yang mengindikasikan pelanggaran Boot Aman.

  • Kegagalan terjadi setelah pengaturan Boot Aman diatur ulang ke default firmware.

  • Menonaktifkan Boot Aman mungkin memungkinkan perangkat untuk boot lagi.

Mengapa hal itu terjadi

Mengatur ulang Boot Aman ke firmware default akan menghapus database Boot Aman yang disimpan di firmware. Pada perangkat yang telah bertransisi ke manajer boot bertanda tangan Windows UEFI CA 2023, pengaturan ulang ini menghapus sertifikat yang diperlukan untuk mempercayai manajer boot tersebut.

Akibatnya, firmware tidak lagi mengenali manajer boot Windows yang diinstal sebagai tepercaya dan memblokir proses boot.

Skenario ini bukan disebabkan oleh pembaruan Boot Aman itu sendiri tetapi oleh tindakan firmware berikutnya yang menghapus jangkar kepercayaan yang diperbarui.

Apa yang harus dilakukan berikutnya

  • Gunakan utilitas pemulihan Boot Aman untuk memulihkan sertifikat yang diperlukan, sehingga perangkat dapat boot lagi.

  • Setelah pemulihan, pastikan perangkat telah menginstal firmware terbaru yang tersedia dari produsen perangkat.

  • Hindari mengatur ulang Boot Aman ke firmware default kecuali firmware OEM menyertakan default Boot Aman yang diperbarui yang mempercayai sertifikat 2023.

Utilitas pemulihan Boot Aman

Untuk memulihkan sistem:

  1. Pada PC Windows kedua dengan pembaruan Windows juli 2024 atau yang lebih baru diinstal, salin SecureBootRecovery.efi dari C:\Windows\Boot\EFI\.

  2. Letakkan file di drive USB yang diformat FAT32 di bawah \EFI\BOOT\ dan ganti namanya menjadi bootx64.efi.

  3. Boot perangkat yang terpengaruh dari drive USB dan izinkan utilitas pemulihan berjalan. Utilitas akan menambahkan Windows UEFI CA 2023 ke DB.

Setelah sertifikat dipulihkan dan sistem dimulai ulang, Windows harus dimulai secara normal.

Penting: Proses ini hanya akan menerapkan kembali salah satu sertifikat baru. Setelah perangkat dipulihkan, pastikan bahwa perangkat memiliki sertifikat terbaru yang diterapkan kembali, dan pertimbangkan untuk memperbarui BIOS/UEFI sistem ke versi terbaru yang tersedia. Hal ini dapat membantu mencegah terulangnya masalah pengaturan ulang Boot Aman, karena banyak OEM telah merilis perbaikan firmware untuk masalah tertentu ini.

Apa yang terjadi

Setelah menerapkan pembaruan sertifikat Boot Aman dan memulai ulang, perangkat gagal boot dan tidak mencapai Windows.

Cara mengenalinya

  • Perangkat gagal segera setelah restart diperlukan oleh pembaruan Boot Aman.

  • Kesalahan firmware atau Boot Aman mungkin ditampilkan, atau sistem dapat berhenti sebelum Windows dimuat.

  • Menonaktifkan Boot Aman mungkin memungkinkan perangkat untuk boot.

Mengapa hal itu terjadi

Masalah ini mungkin disebabkan oleh cacat dalam implementasi firmware UEFI perangkat.

Ketika Windows menerapkan pembaruan sertifikat Boot Aman, firmware diharapkan untuk menambahkan sertifikat baru ke database tanda tangan Secure Boot yang diizinkan (DB) yang sudah ada. Beberapa implementasi firmware salah menimpa DB, bukan menambahkannya.

Ketika ini terjadi,

  • Sertifikat tepercaya sebelumnya, termasuk sertifikat bootloader Microsoft 2011, dihapus.

  • Jika sistem masih menggunakan manajer boot yang ditandatangani dengan sertifikat 2011 pada saat itu, firmware tidak lagi mempercayainya.

  • Firmware menolak manajer boot dan memblokir proses boot.

Dalam beberapa kasus, DB mungkin juga menjadi rusak daripada ditimpa dengan bersih, yang mengarah ke hasil yang sama. Perilaku ini telah diamati pada implementasi firmware tertentu dan tidak diharapkan pada firmware yang sesuai.

Apa yang harus dilakukan berikutnya

  • Masukkan menu penyetelan firmware dan coba atur ulang pengaturan Boot Aman.

  • Jika perangkat boot setelah pengaturan ulang, periksa situs dukungan produsen perangkat untuk pembaruan firmware yang mengoreksi penanganan Secure Boot DB.

  • Jika pembaruan firmware tersedia, instal sebelum mengaktifkan kembali Secure Boot dan menerapkan kembali pembaruan sertifikat Boot Aman.

Jika mengatur ulang Secure Boot tidak memulihkan fungsi boot, pemulihan lebih lanjut mungkin memerlukan panduan khusus OEM.

Apa yang terjadi

Pembaruan sertifikat Boot Aman belum selesai dan tetap diblokir pada tahap pembaruan Key Exchange Key (KEK).

Cara mengenalinya

  • Nilai registri AvailableUpdates tetap diatur dengan bit KEK (0x0004) dan tidak dihapus.

  • UEFICA2023Status tidak mengalami kemajuan ke status selesai.

  • Log kejadian sistem berulang kali merekam ID Kejadian 1803, yang mengindikasikan bahwa pembaruan KEK tidak dapat diterapkan.

  • Perangkat terus mencoba kembali pembaruan tanpa membuat kemajuan.

Mengapa hal itu terjadi

Memperbarui KEK Boot Aman memerlukan otorisasi dari Platform Key (PK) perangkat, yang dimiliki oleh OEM.

Agar pembaruan berhasil, produsen perangkat harus menyediakan KEK yang ditandatangani PK kepada Microsoft untuk platform tertentu tersebut. KEK yang ditandatangani OEM ini disertakan dalam pembaruan Windows dan memungkinkan Windows untuk memperbarui variabel KEK firmware.

Jika OEM belum menyediakan KEK yang ditandatangani PK untuk perangkat, Windows tidak dapat menyelesaikan pembaruan KEK. Dalam keadaan ini:

  • Pembaruan Boot Aman diblokir menurut desain.

  • Windows tidak dapat mengatasi otorisasi yang hilang.

  • Perangkat dapat tetap tidak dapat menyelesaikan pelayanan sertifikat Boot Aman secara permanen.

Hal ini dapat terjadi pada perangkat lama atau di luar dukungan di mana OEM tidak lagi menyediakan firmware atau pembaruan kunci. Tidak ada jalur pemulihan manual yang didukung untuk kondisi ini.

kembali ke atas

Ketika pembaruan sertifikat Boot Aman gagal diterapkan, Windows merekam kejadian diagnostik yang menjelaskan mengapa kemajuan diblokir. Kejadian ini ditulis ketika memperbarui database tanda tangan Boot Aman (DB) atau Key Exchange Key (KEK) tidak dapat diselesaikan dengan aman karena kondisi firmware, status platform, atau konfigurasi. Skenario di bagian ini mereferensikan kejadian ini untuk mengidentifikasi pola kegagalan umum dan menentukan perbaikan yang sesuai. Bagian ini dimaksudkan untuk mendukung diagnosis dan interpretasi masalah yang dijelaskan sebelumnya, bukan untuk memperkenalkan skenario kegagalan baru.

Untuk daftar lengkap id kejadian, deskripsi, dan entri contoh, lihat Kejadian pembaruan variabel DB Boot Aman dan DBX (KB5016061).

Kegagalan pembaruan KEK (pembaruan DB berhasil, KEK tidak)

Perangkat dapat berhasil memperbarui sertifikat dalam Secure Boot DB tetapi gagal selama pembaruan KEK. Ketika hal ini terjadi, proses pembaruan Boot Aman tidak dapat diselesaikan.

Gejala

  • Kejadian sertifikat DB menunjukkan kemajuan, tetapi tahap KEK belum selesai.

  • AvailableUpdates tetap diatur ke 0x4004 dan bit 0x0004 tidak dikosongkan setelah beberapa tugas berjalan.

  • Acara 1795 atau 1803 mungkin hadir.

Interpretasi

  • 1795 biasanya menunjukkan kegagalan firmware saat mencoba memperbarui variabel Boot Aman.

  • 1803 menunjukkan bahwa pembaruan KEK tidak dapat diotorisasi karena muatan KEK yang ditandatangani PK OEM yang diperlukan tidak tersedia untuk platform.

Langkah selanjutnya

  • Untuk 1795, periksa pembaruan firmware OEM dan validasi dukungan firmware untuk pembaruan variabel Boot Aman.

  • Untuk tahun 1803, konfirmasi apakah OEM telah menyediakan MICROSOFT dengan KEK yang ditandatangani PK yang diperlukan untuk model perangkat.

Kegagalan pembaruan KEK pada VM Tamu yang dihosting di Hyper-V 

Pada mesin virtual Hyper-V, pembaruan sertifikat Boot Aman memerlukan pembaruan Windows Maret 2026 untuk diinstal pada host Hyper-V dan OS tamu.

Kegagalan pembaruan dilaporkan dari dalam tamu, tetapi acara menunjukkan di mana perbaikan diperlukan:

  • Kejadian 1795 (misalnya, "Media dilindungi penulisan") yang dilaporkan dalam tamu menunjukkan host Hyper-V tidak memiliki pembaruan Maret 2026 dan harus diperbarui.

  • Kejadian 1803 yang dilaporkan dalam tamu menunjukkan mesin virtual tamu itu sendiri tidak memiliki pembaruan Maret 2026 dan harus diperbarui.

kembali ke atas 

Referensi dan internal

Bagian ini berisi informasi referensi tingkat lanjut yang ditujukan untuk pemecahan masalah dan dukungan. Ini tidak ditujukan untuk perencanaan penyebaran. Ini diperluas pada mekanik pelayanan Boot Aman yang diringkas sebelumnya dan menyediakan bahan referensi mendetail untuk menginterpretasikan status registri dan log kejadian.

Catatan (penyebaran yang dikelola TI): Saat dikonfigurasi melalui Kebijakan Grup atau Microsoft Intune, dua pengaturan serupa tidak akan bingung. Nilai AvailableUpdatesPolicy mewakili status kebijakan yang dikonfigurasi. Sementara itu, AvailableUpdates mencerminkan status kerja bit-clearing yang sedang berlangsung. Keduanya dapat mendorong hasil yang sama, tetapi berulah secara berbeda karena kebijakan diterapkan kembali seiring waktu.

kembali ke atas 

Bit AvailableUpdates digunakan untuk pelayanan sertifikat

Bit di bawah ini digunakan untuk sertifikat dan tindakan manajer boot yang dijelaskan dalam dokumen ini. Kolom Urutan mencerminkan urutan proses tugas Secure-Boot-Update setiap bit.

Pesanan

Pengaturan bit

Penggunaan

1

0x0040

Bit ini memberi tahu tugas terjadwal untuk menambahkan sertifikat Windows UEFI CA 2023 ke Secure Boot DB. Hal ini memungkinkan Windows mempercayai pengelola boot yang ditandatangani oleh sertifikat ini.

2

0x0800

Bit ini memberi tahu tugas terjadwal untuk menerapkan Microsoft Option ROM UEFI CA 2023 ke DB.  

Perilaku bersyarat : Saat bendera 0x4000 diatur, tugas terjadwal akan terlebih dahulu memeriksa database untuk sertifikat Microsoft Corporation UEFI CA 2011. Ini akan menerapkan sertifikat Microsoft Option ROM UEFI CA 2023hanya jika sertifikat 2011 ada.

3

0x1000

Bit ini memberi tahu tugas terjadwal untuk menerapkan Microsoft UEFI CA 2023 ke DB.

Perilaku bersyarat: Saat bendera 0x4000 diatur, tugas terjadwal akan terlebih dahulu memeriksa database untuk sertifikat Microsoft Corporation UEFI CA 2011 . Ini akan menerapkan sertifikat Microsoft UEFI CA 2023hanya jika sertifikat 2011 ada.

Pengubah (bendera perilaku)

0x4000

Bit ini mengubah perilaku bit 0x0800 dan 0x1000 sehingga Microsoft UEFI CA 2023 dan Microsoft Option ROM UEFI CA 2023 diterapkan hanya jika DB sudah berisi Microsoft Corporation UEFI CA 2011.   Untuk membantu memastikan bahwa profil keamanan perangkat tetap sama, bit ini hanya menerapkan sertifikat baru ini jika perangkat mempercayai sertifikat Microsoft Corporation UEFI CA 2011. Tidak semua perangkat Windows mempercayai sertifikat ini.

4

0x0004

Bit ini memberi tahu tugas terjadwal untuk mencari Kunci Exchange Kunci yang ditandatangani oleh Platform Key (PK) perangkat. PK dikelola oleh OEM. OEM menandatangani MICROSOFT KEK dengan PK mereka dan mengirimkannya ke Microsoft yang disertakan dalam pembaruan kumulatif bulanan.

5

0x0100

Bit ini memberi tahu tugas terjadwal untuk menerapkan manajer boot, yang ditandatangani oleh Windows UEFI CA 2023, ke partisi boot. Tindakan ini akan menggantikan boot manager yang ditandatangani Microsoft Windows Production PCA 2011.

Catatan:

  • Bit 0x4000 akan tetap diatur setelah semua bit lainnya diproses.

  • Setiap bit diproses oleh tugas terjadwal Secure-Boot-Update dalam urutan yang diperlihatkan di atas.

  • Jika bit 0x0004 tidak dapat diproses karena KEK yang ditandatangani PK yang hilang, tugas yang dijadwalkan masih akan menerapkan pembaruan manajer boot yang ditunjukkan oleh bit 0x0100.

kembali ke atas 

Kemajuan yang diharapkan (AvailableUpdates)

Ketika operasi berhasil diselesaikan, Windows menghapus bit terkait dari AvailableUpdates. Jika operasi gagal, Windows membuat log kejadian dan mencoba kembali ketika tugas berjalan kembali.

Tabel di bawah ini memperlihatkan kemajuan nilai AvailableUpdates yang diharapkan saat setiap tindakan pembaruan Boot Aman selesai.

Langkah

Bit diproses

Updates yang tersedia

Deskripsi

Log Kejadian Keberhasilan

Kemungkinan Kode Kejadian Kesalahan

Mulai

0x5944

Status awal sebelum pelayanan sertifikat Boot Aman dimulai.

-

-

1

0x0040

0x5944 → 0x5904

Windows UEFI CA 2023 ditambahkan ke Secure Boot DB.

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

Tambahkan Microsoft Option ROM UEFI CA 2023 ke DB jika perangkat sebelumnya mempercayai Microsoft UEFI CA 2011.

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

Microsoft UEFI CA 2023 ditambahkan ke DB jika perangkat sebelumnya mempercayai Microsoft UEFI CA 2011.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

Microsoft KEK 2K CA 2023 baru yang ditandatangani oleh kunci platform OEM diterapkan.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

Boot manager yang ditandatangani oleh Windows UEFI CA 2023 diinstal.

1799

1797

Catatan

  • Setelah operasi yang terkait dengan sedikit selesai, bit tersebut dikosongkan dari AvailableUpdates.

  • Jika salah satu operasi ini gagal, sebuah kejadian dicatat, dan operasi diulang kali berikutnya tugas terjadwal berjalan.

  • Bit 0x4000 adalah pengubah dan tidak dikosongkan. Nilai final AvailableUpdates dari 0x4000 menunjukkan keberhasilan penyelesaian semua tindakan pembaruan yang berlaku.

  • Acara 1032, 1795, 1796, 1802 biasanya menunjukkan keterbatasan firmware atau platform.

  • Acara 1803 menunjukkan KEK OEM yang ditandatangani PK yang hilang.

kembali ke atas 

Prosedur perbaikan

Bagian ini menyediakan prosedur langkah demi langkah untuk memperbaiki masalah Boot Aman tertentu. Setiap prosedur dilingkup ke kondisi yang ditentukan dengan baik dan dimaksudkan untuk diikuti hanya setelah diagnosis awal mengonfirmasi bahwa masalah ini berlaku. Gunakan prosedur ini untuk memulihkan perilaku Boot Aman yang diharapkan dan memungkinkan pembaruan sertifikat berjalan dengan aman. Jangan menerapkan prosedur ini secara luas atau preemptive.

kembali ke atas

Mengaktifkan Secure Boot di firmware

Jika Boot Aman dinonaktifkan di firmware perangkat, lihat Windows 11 dan Secure Boot untuk detail tentang mengaktifkan Boot Aman.

kembali ke atas

Tugas terjadwal Secure Boot dinonaktifkan atau dihapus

Tugas terjadwal Secure-Boot-Update diperlukan agar Windows menerapkan pembaruan sertifikat Boot Aman. Jika tugas dinonaktifkan atau hilang, pelayanan sertifikat Boot Aman tidak akan mengalami kemajuan.

Detail tugas

Nama Tugas

Secure-Boot-Update

Jalur tugas

\Microsoft\Windows\PI\

Jalur lengkap

\Microsoft\Windows\PI\Secure-Boot-Update

Berjalan sebagai

SYSTEM (Sistem Lokal)

Memicu

Pada saat startup dan setiap 12 jam

Status yang diperlukan

Diaktifkan

Cara memeriksa status tugas

Jalankan dari perintah PowerShell yang ditingkatkan: schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Cari bidang Status:

Status

Makna

Siap

Tugas sudah ada dan diaktifkan.

Dinon-fungsikan

Tugas ada tapi harus diaktifkan.

Kesalahan / Tidak Ditemukan

Tugas hilang dan harus dibuat kembali.

Cara mengaktifkan atau membuat ulang tugas

Jika bidang status untuk Secure-Boot-Update dinonaktifkan, Kesalahan, atau Tidak Ditemukan, gunakan contoh skrip untuk mengaktifkan tugas: Sampel Enable-SecureBootUpdateTask.ps1

Catatan: Ini adalah contoh skrip dan tidak didukung oleh Microsoft. Administrator harus meninjau dan menyesuaikannya dengan lingkungan mereka.

Contoh:

.\Enable-SecureBootUpdateTask.ps1 -Quiet

Jalankan panduan

  • Jika Anda melihat Access ditolak, jalankan ulang PowerShell sebagai Administrator.

  • Jika skrip tidak akan berjalan karena kebijakan eksekusi, gunakan bypass lingkup proses:

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass

kembali ke atas 

Facebook LinkedIn Email
BERLANGGANAN FEED RSS

Perlu bantuan lainnya?

Ingin opsi lainnya?

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas