Berlaku Untuk
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Tanggal Penerbitan Asli: 14 Oktober 2025

ID KB: 5068202

Artikel ini memiliki panduan untuk:  

  • Organisasi dengan pembaruan dan perangkat Windows yang dikelola TI.

Ketersediaan dukungan ini:  

Kunci registri UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut , dan MicrosoftUpdateManagedOptIn disertakan dalam pembaruan yang dirilis pada atau setelah tanggal berikut:

  • 14 Oktober 2025: Versi yang didukung mencakup Windows 10, versi 22H2, dan versi yang lebih baru (termasuk 21H2 LTSC), semua versi Windows 11 yang didukung serta Windows Server 2022 dan yang lebih baru.

  • 11 November 2025: Untuk versi Windows yang masih mendukung.

Ubah tanggal

Ubah deskripsi

4 November 2025

  • Menambahkan satu kunci registri lagi ke halaman.

  • Mengoreksi pernyataan dari "Misalnya, jika memperbarui DB (database tanda tangan tepercaya) gagal karena masalah firmware, kunci registri ini mungkin memperlihatkan kode kesalahan yang dapat dipetakan ke log kejadian atau ID kesalahan terdokumentasi di" untuk mengatakan "Misalnya, jika memperbarui DB (database tanda tangan tepercaya) gagal karena masalah firmware, kunci registri ini mungkin memperlihatkan kode kesalahan dari firmware. Ketika kunci ini ada dan bukan nol, kami menyarankan agar Anda mencari kejadian Boot Aman di Log Kejadian Windows - lihat (tautan) untuk detail selengkapnya".

  • Menambahkan dua jalur terpisah untuk Kunci Registri di bawah ini

11 November 2025

  • Memperbarui paragraf di bawah Pengujian perangkat menggunakan kunci registri dengan informasi tambahan: "Kunci registri harus dengan cepat berubah menjadi 0x4100. Melakukan boot ulang dan menjalankan tugas lagi akan menyebabkan manajer boot diperbarui dan AvailableUpdates menjadi 0x0100. Lihat Pemecahan masalah untuk detail selengkapnya tentang perilaku AvailableUpdates."

  • Perbarui teks dalam kotak abu-abu di bawah Pengujian perangkat menggunakan kunci registri agar memiliki dua perintah PowerShell tambahan

  • Di bawah kunci registri, Nilai registri -MicrosoftUpdateManagedOptIn,diubah dari "1 - Pilih " menjadi "1 atau nilai non-nol apa pun – Ikut serta"

16 November 2025

Memperbarui konten di bawah "Pengujian perangkat menggunakan Kunci Registri". Nilai Pembaruan yang tersedia diubah dari "0x0100" menjadi "0x4000".

Dalam artikel ini

Pendahuluan

Dokumen ini menjelaskan dukungan untuk menyebarkan, mengelola, dan memantau pembaruan sertifikat Boot Aman menggunakan kunci registri Windows. Kunci terdiri dari yang berikut: 

  • Satu kunci untuk memicu penyebaran sertifikat dan boot manager pada perangkat.

  • Dua kunci untuk memantau status penyebaran.

  • Dua kunci untuk mengelola pengaturan opt in/opt out untuk dua bantuan penyebaran yang tersedia.

Kunci registri ini dapat diatur secara manual pada perangkat atau dari jarak jauh melalui perangkat lunak manajemen armada yang tersedia. Metode penyebaran lainnya, seperti Kebijakan Grup, Microsoft Intune, dan WinCS dijelaskan dalam artikel Perangkat Windows untuk bisnis dan organisasi dengan pembaruan yang dikelola TI.  

Kunci registri Boot Aman

Di bagian ini

Kunci registri

Semua kunci registri Boot Aman yang dijelaskan di bawah ini terletak di bawah jalur registri ini: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Tabel berikut ini menguraikan setiap nilai registri:

Nilai Registri

Jenis

Deskripsi dan Penggunaan

AvailableUpdates

REG_DWORD (bitmask)

Perbarui bendera pemicu.

Mengontrol tindakan pembaruan Boot Aman yang dijalankan pada perangkat. Mengatur bitfield yang sesuai di sini memulai penyebaran sertifikat Secure Boot baru dan pembaruan terkait. Untuk penyebaran perusahaan, ini harus diatur ke 0x5944 (hex) – nilai yang memungkinkan semua pembaruan yang relevan (menambahkan sertifikat CA 2023 baru, memperbarui KEK, dan menginstal manajer boot baru). 

Pengaturan: 

  • 0 atau tidak diatur - Tidak Ada pembaruan tombol Boot Aman yang dilakukan.

  • 0x5944 – Menyebarkan semua sertifikat yang diperlukan dan memperbarui ke PCA2023 boot manager yang ditandatangani

HighConfidenceOptOut

REG_DWORD

Opsi penolakan.

Untuk perusahaan yang ingin menolak bucket kepercayaan tinggi yang secara otomatis akan diterapkan sebagai bagian dari LCU.

Anda dapat mengatur kunci ini ke nilai bukan nol untuk menolak wadah kepercayaan tinggi. 

Pengaturan 

  • 0 atau kunci tidak ada – Ikut serta

  • 1 – Menolak

MicrosoftUpdateManagedOptIn

REG_DWORD

Opsi pilihan untuk memilih.

Untuk perusahaan yang ingin ikut serta dalam pelayanan Peluncuran Fitur Terkontrol (CFR, Controlled Feature Rollout), juga dikenal sebagai Microsoft Managed.

Selain mengatur kunci ini, izinkan pengiriman data diagnostik yang diperlukan (lihat Mengonfigurasi data diagnostik Windows di organisasi Anda). 

Pengaturan

  • 0 atau kunci tidak ada – Menolak

  • 1 atau nilai   bukan nol– Ikut serta

Semua kunci registri Boot Aman yang dijelaskan di bawah ini terletak di bawah jalur registri ini: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Tabel berikut ini menguraikan setiap nilai registri:

Nilai Registri

Jenis

Deskripsi dan Penggunaan

UEFICA2023Status

REG_SZ (string)

Indikator status penyebaran.

Mencerminkan status pembaruan tombol Boot Aman saat ini pada perangkat. Ini akan diatur ke salah satu nilai teks berikut:

  • NotStarted: Pembaruan belum berjalan.

  • InProgress: Pembaruan sedang berlangsung secara aktif.

  • Diperbarui: Pembaruan berhasil diselesaikan.

Awalnya status adalah NotStarted. Ini berubah menjadi InProgress setelah pembaruan dimulai, dan akhirnya ke Diperbarui ketika semua kunci baru dan manajer boot baru telah disebarkan. Jika terdapat kesalahan, nilai registri UEFICA2023Error diatur ke kode bukan nol.

UEFICA2023Error

REG_DWORD (kode)

Kode kesalahan (jika ada).

Nilai ini tetap 0 pada keberhasilan. Jika proses pembaruan mengalami kesalahan, UEFICA2023Error diatur ke kode kesalahan non-nol yang terkait dengan kesalahan pertama yang ditemui. Kesalahan di sini menyiratkan pembaruan Boot Aman tidak sepenuhnya berhasil dan mungkin memerlukan penyelidikan atau perbaikan pada perangkat tersebut.  

Misalnya, jika memperbarui DB (database tanda tangan tepercaya) gagal karena masalah firmware, kunci registri ini mungkin memperlihatkan kode kesalahan dari firmware. Ketika kunci ini ada dan bukan nol, kami menyarankan agar Anda mencari kejadian Boot Aman di Log Kejadian Windows - lihat Kejadian pembaruan variabel DB boot aman dan DBXuntuk detail selengkapnya.

WindowsUEFICA2023Capable

REG_DWORD (kode)

Kunci registri ini ditujukan untuk skenario penyebaran terbatas dan tidak disarankan untuk penggunaan umum. Untuk sebagian besar kasus, gunakan kunci registri UEFICA2023Status sebagai gantinya.

Nilai yang valid:

0 – atau kunci tidak ada - Sertifikat "Windows UEFI CA 2023" tidak ada dalam DB

1 - Sertifikat "Windows UEFI CA 2023" ada dalam DB

2 - Sertifikat "Windows UEFI CA 2023" ada dalam DB dan sistem dimulai dari manajer boot bertanda tangan 2023

Cara kerja kunci ini bersama-sama

Admin TI mengonfigurasi nilai registri AvailableUpdates ke 0x5944, yang mengisyaratkan Windows untuk menjalankan pembaruan dan penginstalan tombol Boot Aman pada perangkat.

Saat proses berjalan, sistem memperbarui UEFICA2023Status dari NotStarted ke InProgress, dan akhirnya diperbarui setelah berhasil. Karena setiap bit dalam 0x5944 berhasil diproses, itu dikosongkan.

Jika ada langkah yang gagal, kode kesalahan direkam di UEFICA2023Error (dan statusnya tetap InProgress).

Mekanisme ini memberi administrator cara yang jelas untuk memicu dan melacak peluncuran per perangkat. 

Penyebaran menggunakan kunci registri 

Penyebaran ke sekelompok perangkat terdiri dari langkah-langkah berikut: 

  1. Atur nilai registri AvailableUpdates ke 0x5944 di setiap perangkat yang akan diperbarui.

  2. Pantau kunci registri UEFICA2023Status dan UEFICA2023Error untuk melihat bahwa perangkat membuat kemajuan. Tugas yang memproses pembaruan ini berjalan setiap 12 jam. Perhatikan bahwa pembaruan manajer boot mungkin tidak terjadi hingga setelah mulai ulang terjadi.

  3. Selidiki masalah jika terjadi. Jika UEFICA2023Error bukan nol di perangkat, Anda dapat memeriksa log kejadian untuk kejadian yang terkait dengan masalah ini. Lihat Kejadian pembaruan variabel DB Boot Aman dan DBX untuk daftar lengkap acara Boot Aman.

Catatan tentang mulai ulang: Saat mulai ulang mungkin diperlukan untuk menyelesaikan proses, memulai penyebaran pembaruan Boot Aman tidak akan menyebabkan mulai ulang. Jika perlu memulai ulang, penyebaran Boot Aman mengandalkan mulai ulang yang terjadi sebagai kursus normal penggunaan perangkat. 

Pengujian perangkat menggunakan kunci registri 

Saat menguji perangkat individual untuk memastikan bahwa perangkat akan memproses pembaruan dengan benar, kunci registri dapat menjadi cara mudah untuk mengujinya. 

Untuk menguji, jalankan setiap perintah berikut secara terpisah dari perintah administrator PowerShell: 

reg tambahkan HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Boot ulang sistem secara manual saat AvailableUpdates menjadi 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Perintah pertama memulai penyebaran sertifikat dan boot manager pada perangkat. Perintah kedua menyebabkan tugas yang memproses kunci registri AvailableUpdates segera dijalankan. Biasanya tugas berjalan setiap 12 jam. Kunci registri harus dengan cepat berubah menjadi 0x4100. Melakukan boot ulang dan menjalankan tugas lagi akan menyebabkan manajer boot diperbarui dan AvailableUpdates menjadi 0x4000. Lihat Pemecahan masalah untuk detail selengkapnya tentang perilaku AvailableUpdates.

Anda dapat menemukan hasilnya dengan mengamati kunci registri UEFICA2023Status dan UEFICA2023Error dan log kejadian seperti yang dijelaskan dalam kejadian pembaruan variabel DB boot aman dan DBX. 

Ikut serta dan menolak bantuan 

Kunci registri HighConfidenceOptOut dan MicrosoftUpdateManagedOptIn dapat digunakan untuk mengelola dua "bantuan" penyebaran yang dijelaskan di perangkat Windows dengan pembaruan yang dikelola TI. 

  • Kunci registri HighConfidenceOptOut mengontrol pembaruan otomatis perangkat melalui pembaruan kumulatif. Untuk perangkat di mana Microsoft telah mengamati perangkat tertentu yang berhasil diperbarui, perangkat tersebut akan dianggap sebagai perangkat "kepercayaan diri tinggi", dan pembaruan sertifikat Boot Aman akan terjadi secara otomatis. Pengaturan defaultnya adalah ikut serta.

  • Kunci registri MicrosoftUpdateManagedOptIn memungkinkan departemen TI untuk ikut serta dalam penyebaran otomatis yang dikelola oleh Microsoft. Pengaturan ini dinonaktifkan secara default dan mengaturnya ke 1 pilihan. Pengaturan ini juga mengharuskan perangkat mengirim data diagnostik opsional.

Versi Windows yang didukung

Tabel ini lebih lanjut memecah dukungan berdasarkan kunci registri. 

Kunci 

Versi Windows yang didukung 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Semua versi Windows yang mendukung Boot Aman (Windows Server 2012 dan versi Windows yang lebih baru).  

Catatan:  Meskipun data kepercayaan dikumpulkan di Windows 10, versi LTSC, 22H2, dan versi Windows yang lebih baru, hal ini dapat diterapkan pada perangkat yang berjalan di versi Windows yang lebih lama.    

  • Windows 10, versi LTSC dan 22H2

  • Windows 11, versi 22H2 dan 23H2

  • Windows 11, versi 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Kejadian kesalahan Boot Aman

​​​​​​​​​​​​​​Kejadian kesalahan memiliki fungsi pelaporan penting untuk menginformasikan tentang Status Boot Aman dan kemajuan.  Untuk informasi tentang kejadian kesalahan, lihat Kejadian pembaruan variabel DB dan DBX Boot Aman. Kejadian kesalahan sedang diperbarui dengan informasi kejadian tambahan untuk Boot Aman. 

Facebook LinkedIn Email
BERLANGGANAN FEED RSS

Perlu bantuan lainnya?

Ingin opsi lainnya?

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas