Berlaku Untuk
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Tanggal Penerbitan Asli: 14 Oktober 2025

ID KB: 5068202

Artikel ini memiliki panduan untuk:  

  • Organisasi dengan pembaruan dan perangkat Windows yang dikelola TI.

Ketersediaan dukungan ini:  

  • Kunci registri UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut , dan MicrosoftUpdateManagedOptIn disertakan dalam pembaruan yang dirilis pada atau setelah tanggal berikut:

    • 14 Oktober 2025: Versi yang didukung mencakup Windows 10, versi 22H2, dan versi yang lebih baru (termasuk 21H2 LTSC), semua versi Windows 11 yang didukung serta Windows Server 2022 dan yang lebih baru.

    • 11 November 2025: Untuk versi Windows yang masih mendukung.

Dalam artikel ini

Pendahuluan

Dokumen ini menjelaskan dukungan untuk menyebarkan, mengelola, dan memantau pembaruan sertifikat Boot Aman menggunakan kunci registri Windows. Kunci terdiri dari yang berikut: 

  • Satu kunci untuk memicu penyebaran sertifikat dan boot manager pada perangkat.

  • Dua kunci untuk memantau status penyebaran.

  • Dua kunci untuk mengelola pengaturan opt-in/opt-out untuk dua bantuan penyebaran yang tersedia.

Kunci registri ini dapat diatur secara manual pada perangkat atau dari jarak jauh melalui perangkat lunak manajemen armada yang tersedia. Metode penyebaran lainnya, seperti Kebijakan Grup, Intune, dan WinCS dijelaskan dalam artikel Perangkat Windows untuk bisnis dan organisasi dengan pembaruan yang dikelola TI.  

Kunci registri Boot Aman

Di bagian ini

Kunci registri

Semua kunci registri Boot Aman yang dijelaskan dalam dokumen ini terletak di bawah jalur registri ini: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Tabel berikut ini menguraikan setiap nilai registri. 

Nilai Registri

Jenis

Deskripsi penggunaan &

AvailableUpdates

REG_DWORD (bitmask)

Perbarui bendera pemicu.

Mengontrol tindakan pembaruan Boot Aman yang dijalankan pada perangkat. Mengatur bitfield yang sesuai di sini memulai penyebaran sertifikat Secure Boot baru dan pembaruan terkait. Untuk penyebaran perusahaan, ini harus diatur ke 0x5944 (hex) – nilai yang memungkinkan semua pembaruan yang relevan (menambahkan sertifikat CA 2023 baru, memperbarui KEK, dan menginstal manajer boot baru). 

Pengaturan: 

  • 0 atau tidak diatur - Tidak Ada pembaruan tombol Boot Aman yang dilakukan.

  • 0x5944 - Menyebarkan semua sertifikat yang diperlukan dan memperbarui ke manajer boot yang ditandatangani PCA2023

UEFICA2023Status

REG_SZ (string)

Indikator status penyebaran.

Mencerminkan status pembaruan tombol Boot Aman saat ini pada perangkat. Ini akan diatur ke salah satu nilai teks berikut:

  • NotStarted:Pembaruan belum berjalan.

  • InProgress:Pembaruan sedang berlangsung.

  • Diperbarui: Pembaruan berhasil diselesaikan.

Awalnya status adalah NotStarted. Ini berubah menjadi InProgress setelah pembaruan dimulai, dan akhirnya ke Diperbarui ketika semua kunci baru dan manajer boot baru telah disebarkan. Jika terdapat kesalahan, nilai registri UEFICA2023Error diatur ke kode bukan nol.

UEFICA2023Error

REG_DWORD (kode)

Kode kesalahan (jika ada).

Nilai ini tetap 0 pada keberhasilan. Jika proses pembaruan mengalami kesalahan, UEFICA2023Error diatur ke kode kesalahan non-nol yang terkait dengan kesalahan pertama yang ditemui. Kesalahan di sini menyiratkan pembaruan Boot Aman tidak sepenuhnya berhasil dan mungkin memerlukan penyelidikan atau perbaikan pada perangkat tersebut.  

Misalnya, jika memperbarui DB (database tanda tangan tepercaya) gagal karena masalah firmware, kunci registri ini mungkin memperlihatkan kode kesalahan yang dapat dipetakan ke log kejadian atau ID kesalahan terdokumentasi dalam kejadian pembaruan variabel DB Boot Aman dan DBX. 

HighConfidenceOptOut

REG_DWORD

Opsi penolakan.

Untuk perusahaan yang ingin menolak bucket kepercayaan tinggi yang secara otomatis akan diterapkan sebagai bagian dari LCU.

Anda dapat mengatur kunci ini ke nilai bukan nol untuk menolak wadah kepercayaan tinggi. 

Pengaturan 

  • 0 atau key tidak ada – Opt-in

  • 1 – Ikut serta

MicrosoftUpdateManagedOptIn

REG_DWORD

Opsi opt-in.

Untuk perusahaan yang ingin ikut serta dalam pelayanan Peluncuran Fitur Terkontrol (CFR, Controlled Feature Rollout), juga dikenal sebagai Microsoft Managed.

Selain mengatur kunci ini, izinkan pengiriman data diagnostik yang diperlukan (lihat Mengonfigurasi data diagnostik Windows di organisasi Anda). 

Pengaturan

  • 0 atau kunci tidak ada – Penolakan

  • 1 – Ikut serta

Cara kerja kunci ini bersama-sama

Admin TI mengonfigurasi nilai registri AvailableUpdates ke 0x5944, yang mengisyaratkan Windows untuk menjalankan pembaruan dan penginstalan tombol Boot Aman pada perangkat.

Saat proses berjalan, sistem memperbarui UEFICA2023Status dari NotStarted ke InProgress, dan akhirnya diperbarui setelah berhasil. Karena setiap bit dalam 0x5944 berhasil diproses, itu dikosongkan.

Jika ada langkah yang gagal, kode kesalahan direkam di UEFICA2023Error (dan statusnya tetap InProgress).

Mekanisme ini memberi administrator cara yang jelas untuk memicu dan melacak peluncuran per perangkat. 

Penyebaran menggunakan kunci registri 

Penyebaran ke sekelompok perangkat terdiri dari langkah-langkah berikut: 

  1. Atur nilai registri AvailableUpdates ke 0x5944 di setiap perangkat yang akan diperbarui.

  2. Pantau kunci registri UEFICA2023Status dan UEFICA2023Error untuk melihat bahwa perangkat membuat kemajuan. Ingatlah bahwa tugas yang memproses pembaruan ini berjalan setiap 12 jam sekali. Perhatikan bahwa pembaruan manajer boot mungkin tidak terjadi hingga setelah mulai ulang terjadi.

  3. Selidiki masalah jika terjadi. Jika UEFICA2023Error bukan nol di perangkat, Anda dapat memeriksa log kejadian untuk kejadian yang terkait dengan masalah ini. Lihat Kejadian pembaruan variabel DB Boot Aman dan DBX untuk daftar lengkap acara Boot Aman.

Catatan tentang mulai ulang: Saat mulai ulang mungkin diperlukan untuk menyelesaikan proses, memulai penyebaran pembaruan Boot Aman tidak akan menyebabkan mulai ulang. Jika perlu memulai ulang, penyebaran Boot Aman mengandalkan mulai ulang yang terjadi sebagai kursus normal penggunaan perangkat. 

Pengujian perangkat menggunakan kunci registri 

Saat menguji perangkat individual untuk memastikan bahwa perangkat akan memproses pembaruan dengan benar, kunci registri dapat menjadi cara mudah untuk mengujinya. 

Untuk menguji, jalankan setiap perintah berikut secara terpisah dari perintah administrator PowerShell: 

reg tambahkan HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Perintah pertama memulai penyebaran sertifikat dan boot manager pada perangkat. Perintah kedua menyebabkan tugas yang memproses kunci registri AvailableUpdates segera dijalankan. Biasanya tugas berjalan setiap 12 jam. 

Anda dapat menemukan hasilnya dengan mengamati kunci registri UEFICA2023Status dan UEFICA2023Error dan log kejadian seperti yang dijelaskan dalam kejadian pembaruan variabel DB boot aman dan DBX. 

Ikut serta dan menolak bantuan 

Kunci registri HighConfidenceOptOut dan MicrosoftUpdateManagedOptIn dapat digunakan untuk mengelola dua "bantuan" penyebaran yang dijelaskan di perangkat Windows dengan pembaruan yang dikelola TI. 

  • Kunci registri HighConfidenceOptOut mengontrol pembaruan otomatis perangkat melalui pembaruan kumulatif. Untuk perangkat di mana Microsoft telah mengamati perangkat tertentu yang berhasil diperbarui, perangkat tersebut akan dianggap sebagai perangkat "kepercayaan diri tinggi", dan pembaruan sertifikat Boot Aman akan terjadi secara otomatis. Pengaturan default untuk opsi ini diikutsertakan.

  • Kunci registri MicrosoftUpdateManagedOptIn memungkinkan departemen TI untuk ikut serta dalam penyebaran otomatis yang dikelola oleh Microsoft. Pengaturan ini dinonaktifkan secara default dan mengaturnya ke 1 pilihan. Pengaturan ini juga mengharuskan perangkat mengirim data diagnostik opsional.

Versi Windows yang didukung

Tabel ini lebih lanjut memecah dukungan berdasarkan kunci registri. 

Kunci 

Versi Windows yang didukung 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Semua versi Windows yang mendukung Boot Aman (Windows Server 2012 dan versi Windows yang lebih baru).  

Nota:  Meskipun data kepercayaan dikumpulkan di Windows 10, versi LTSC, 22H2, dan versi Windows yang lebih baru, hal ini dapat diterapkan pada perangkat yang berjalan di versi Windows yang lebih lama.    

  • Windows 10, versi LTSC dan 22H2

  • Windows 11, versi 22H2 dan 23H2

  • Windows 11, versi 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Kejadian kesalahan Boot Aman

​​​​​​​​​​​​​​Kejadian kesalahan memiliki fungsi pelaporan penting untuk menginformasikan tentang Status Boot Aman dan kemajuan.  Untuk informasi tentang kejadian kesalahan, lihat Kejadian pembaruan variabel DB dan DBX Boot Aman. Kejadian kesalahan sedang diperbarui dengan informasi kejadian tambahan untuk Boot Aman. 

Perubahan komponen tambahan untuk Boot Aman 

Di bagian ini

Perubahan TPMTasks 

Modifikasi TPMTasks untuk menentukan apakah status perangkat memiliki sertifikat Boot Aman yang diperbarui. Saat ini dapat membuat tekad itu tetapi hanya jika CFR memilih mesin untuk diperbarui. Penentuan dan pencatatan selanjutnya harus terjadi dalam setiap sesi boot terlepas dari CFR. Jika sertifikat Boot Aman tidak sepenuhnya diperbarui, maka sertifikat tersebut akan memancarkan dua kejadian kesalahan yang dijelaskan di atas. Jika sertifikat diperbarui, sertifikat akan memancarkan acara Informasi. Sertifikat Secure Boot yang akan diperiksa adalah:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 dan Microsoft Option ROM UEFI CA 2023 – Kedua CA ini harus hadir hanya jika Microsoft UEFI CA 2011 hadir. Jika Microsoft UEFI CA 2011 tidak ada, maka tidak perlu pemeriksaan.

  • Microsoft Corporation KEK 2K CA 2023

Kejadian metadata mesin 

Kejadian ini akan mengumpulkan meta-data mesin dan mengeluarkan kejadian berikut:

  • Acara BucketId + Peringkat Kepercayaan   

Kejadian ini akan menggunakan meta-data mesin untuk menemukan entri terkait dalam database mesin (entri bucket). Mesin akan memformat dan memancarkan kejadian dengan data ini bersama dengan informasi kepercayaan diri apa pun mengenai wadah. ​​​​​​​ 

Bantuan perangkat dengan percaya diri tinggi 

Untuk perangkat dalam wadah kepercayaan tinggi, sertifikat Boot Aman dan pengelola boot bertanda tangan 2023 akan diterapkan secara otomatis.   

Pembaruan akan dipicu pada saat yang sama dengan dua kejadian kesalahan yang dihasilkan, dan kejadian BucketId + Confidence Rating menyertakan peringkat kepercayaan tinggi.   

Menolak

Bagi pelanggan yang ingin menolak, kunci registri baru akan tersedia sebagai berikut:   

Lokasi registri

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Nama kunci

HighConfidenceOptOut

Tipe kunci

DWORD

Nilai DWORD

0 atau kunci tidak ada – Bantuan kepercayaan tinggi diaktifkan.    

1 – Bantuan kepercayaan tinggi dinonaktifkan   

Nilai lainnya tidak ditentukan   

Facebook LinkedIn Email
BERLANGGANAN FEED RSS

Perlu bantuan lainnya?

Ingin opsi lainnya?

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas