Si applica a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data di pubblicazione originale: 14 ottobre 2025

ID KB: 5068202

Questo articolo contiene indicazioni per:  

  • Organizzazioni con aggiornamenti e dispositivi Windows gestiti dall'IT.

Disponibilità di questo supporto:  

  • Le chiavi del Registro di sistema AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut e MicrosoftUpdateManagedOptIn sono incluse negli aggiornamenti rilasciati nelle date seguenti:

    • 14 ottobre 2025: le versioni supportate includono Windows 10, versione 22H2 e versioni più recenti (tra cui 21H2 LTSC), tutte le versioni supportate di Windows 11 e Windows Server 2022 e successive.

    • 11 novembre 2025: per le versioni di Windows ancora supportate.

Contenuto dell'articolo

Introduzione

Questo documento descrive il supporto per la distribuzione, la gestione e il monitoraggio degli aggiornamenti del certificato di avvio protetto tramite le chiavi del Registro di sistema di Windows. I tasti sono costituiti dai seguenti: 

  • Una chiave per attivare la distribuzione dei certificati e del boot manager nel dispositivo.

  • Due chiavi per il monitoraggio dello stato della distribuzione.

  • Due chiavi per gestire le impostazioni di consenso esplicito/rifiuto esplicito per i due servizi di distribuzione disponibili.

Queste chiavi del Registro di sistema possono essere impostate manualmente nel dispositivo o in remoto tramite il software di gestione della flotta disponibile. Altri metodi di distribuzione, ad esempio Criteri di gruppo, Intune e WinCS, sono descritti nell'articolo Dispositivi Windows per aziende e organizzazioni con aggiornamenti gestiti dall'IT.  

Chiavi del Registro di sistema di Avvio protetto

In questa sezione

Chiavi del Registro di sistema

Tutte le chiavi del Registro di sistema di avvio protetto descritte in questo documento si trovano in questo percorso del Registro di sistema: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

La tabella seguente descrive ognuno dei valori del Registro di sistema. 

Valore del Registro di sistema

Tipo

Descrizione & Utilizzo

AvailableUpdates

REG_DWORD (maschera di bit)

Contrassegni trigger di aggiornamento.

Controlla quali azioni di aggiornamento di Avvio protetto eseguire sul dispositivo. L'impostazione del campo bit appropriato avvia la distribuzione di nuovi certificati di avvio protetto e degli aggiornamenti correlati. Per la distribuzione aziendale, questo deve essere impostato su 0x5944 (hex), un valore che consente tutti gli aggiornamenti pertinenti (aggiunta dei nuovi certificati CA 2023, aggiornamento di KEK e installazione del nuovo boot manager). 

Impostazioni: 

  • 0 o non impostato - Non viene eseguito alcun aggiornamento della chiave di avvio protetto.

  • 0x5944 : distribuire tutti i certificati necessari e aggiornare il PCA2023 boot manager firmato

UEFICA2023Status

REG_SZ (stringa)

Indicatore di stato della distribuzione.

Riflette lo stato corrente dell'aggiornamento della chiave di avvio protetto nel dispositivo. Verrà impostato su uno dei valori di testo seguenti:

  • NotStarted:L'aggiornamento non è ancora stato eseguito.

  • In Progress:L'aggiornamento è attivamente in corso.

  • Aggiornato: L'aggiornamento è stato completato correttamente.

Inizialmente lo stato è NotStarted. Viene eseguita la modifica in In Progress dopo l'inizio dell'aggiornamento e infine in Aggiornato quando sono stati distribuiti tutti i nuovi tasti e il nuovo boot manager. Se si verifica un errore, il valore del Registro di sistema UEFICA2023Error viene impostato su un codice diverso da zero.

UEFICA2023Errore

REG_DWORD (codice)

Codice di errore (se disponibile).

Questo valore rimane 0 per il successo. Se il processo di aggiornamento rileva un errore, UEFICA2023Error viene impostato su un codice di errore diverso da zero corrispondente al primo errore rilevato. Un errore indica che l'aggiornamento dell'avvio protetto non è stato completamente eseguito e potrebbe richiedere indagini o correzioni nel dispositivo.  

Ad esempio, se l'aggiornamento del database delle firme attendibili non riesce a causa di un problema del firmware, questa chiave del Registro di sistema potrebbe visualizzare un codice di errore che può essere mappato a un registro eventi o un ID errore documentato negli eventi di aggiornamento delle variabili DB di avvio protetto e DBX

HighConfidenceOptOut

REG_DWORD

Un'opzione di rifiuto esplicito.

Per le aziende che vogliono rifiutare esplicitamente i contenitori ad alta probabilità che verranno applicati automaticamente nell'ambito dell'aggiornamento cumulativo più recente.

È possibile impostare questa chiave su un valore diverso da zero per rifiutare esplicitamente i bucket con probabilità elevata. 

Impostazioni 

  • 0 o chiave non esiste- Consenso esplicito

  • 1 – Consenso esplicito

MicrosoftUpdateManagedOptIn

REG_DWORD

Un'opzione di consenso esplicito.

Per le aziende che vogliono acconsentire esplicitamente alla manutenzione di Controlled Feature Rollout (CFR), nota anche come Microsoft Managed.

Oltre a impostare questa chiave, consenti l'invio dei dati di diagnostica obbligatori (vedi Configurare i dati di diagnostica Windows nell'organizzazione). 

Impostazioni

  • 0 o codice non esiste: rifiuto esplicito

  • 1 – Consenso esplicito

Interazione tra questi tasti

L'amministratore IT configura il valore del Registro di sistema AvailableUpdates su 0x5944, in modo da indicare a Windows di eseguire l'aggiornamento e l'installazione della chiave di avvio protetto nel dispositivo.

Durante l'esecuzione del processo, il sistema aggiorna UEFICA2023Status da NotStarted a InStatus e infine a Aggiornato al momento dell'esito positivo. Man mano che ogni bit in 0x5944 viene elaborato correttamente, viene cancellato.

Se un passaggio non riesce, viene registrato un codice di errore in UEFICA2023Error e lo stato rimane In Progress.

Questo meccanismo offre agli amministratori un modo chiaro per attivare e tenere traccia dell'implementazione per ogni dispositivo. 

Distribuzione con chiavi del Registro di sistema 

La distribuzione in un gruppo di dispositivi è costituita dai passaggi seguenti: 

  1. Impostare il valore del Registro di sistema AvailableUpdatessu 0x5944 in ognuno dei dispositivi da aggiornare.

  2. Monitorare le chiavi del Registro di sistema UEFICA2023Status e UEFICA2023Error per verificare lo stato dei dispositivi. Ricorda che l'attività che elabora questi aggiornamenti viene eseguita una volta ogni 12 ore. Tieni presente che l'aggiornamento di Boot Manager potrebbe non verificarsi fino a quando non si verifica un riavvio.

  3. Se si verificano, esaminare i problemi. Se UEFICA2023Error è diverso da zero in un dispositivo, è possibile controllare nel registro eventi la presenza di eventi correlati a questo problema. Per un elenco completo degli eventi di avvio protetto, vedere Eventi di aggiornamento delle variabili DB e DBX di avvio protetto .

Una nota sui riavvii: anche se potrebbe essere necessario un riavvio per completare il processo, l'avvio della distribuzione degli aggiornamenti di avvio protetto non causerà un riavvio. Se è necessario un riavvio, la distribuzione di Avvio protetto si basa sui riavvii che si verificano normalmente durante l'uso del dispositivo. 

Test dei dispositivi con chiavi del Registro di sistema 

Quando si testano singoli dispositivi per assicurarsi che i dispositivi esercino correttamente gli aggiornamenti, le chiavi del Registro di sistema possono essere un modo semplice per testare. 

Per testare, eseguire ognuno dei comandi seguenti separatamente da una richiesta di PowerShell dell'amministratore: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Il primo comando avvia la distribuzione del certificato e del boot manager nel dispositivo. Il secondo comando causa immediatamente l'esecuzione dell'attività che elabora la chiave del Registro di sistema AvailableUpdates . In genere l'attività viene eseguita ogni 12 ore. 

È possibile trovare i risultati osservando le chiavi del Registro di sistema UEFICA2023Status e UEFICA2023Error e i registri eventi come descritto negli eventi di aggiornamento delle variabili DB e DBX di avvio protetto

Consenso esplicito e rifiuto esplicito per gli assist 

Le chiavi del Registro di sistema HighConfidenceOptOut e MicrosoftUpdateManagedOptIn possono essere usate per gestire i due "assist" per la distribuzione descritti nei dispositivi Windows con aggiornamenti gestiti dall'IT

  • La chiave del Registro di sistema HighConfidenceOptOut controlla l'aggiornamento automatico dei dispositivi tramite gli aggiornamenti cumulativi. Per i dispositivi in cui Microsoft ha osservato che specifici dispositivi vengono aggiornati correttamente, verranno considerati dispositivi con "alta probabilità" e gli aggiornamenti del certificato di avvio protetto verranno rilasciati automaticamente. L'impostazione predefinita per questo consenso.

  • La chiave del Registro di sistema MicrosoftUpdateManagedOptIn consente ai reparti IT di acconsentire esplicitamente alla distribuzione automatica gestita da Microsoft. Questa impostazione è disabilitata per impostazione predefinita e viene impostato su 1 consenso esplicito. Questa impostazione richiede anche che il dispositivo invii dati di diagnostica facoltativi.

Versioni supportate di Windows

Questa tabella suddivide ulteriormente il supporto in base alla chiave del Registro di sistema. 

Codice 

Versioni supportate di Windows 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Errore 

Tutte le versioni di Windows che supportano Avvio protetto (Windows Server 2012 e versioni successive di Windows).  

Nota: Mentre i dati di confidenza vengono raccolti in Windows 10, versioni LTSC, 22H2 e versioni successive di Windows, possono essere applicati ai dispositivi in esecuzione su versioni precedenti di Windows.    

  • Windows 10, versioni LTSC e 22H2

  • Windows 11, versioni 22H2 e 23H2

  • Windows 11, versione 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Eventi di errore di Avvio protetto

​​​​​​​​​​​​​​Gli eventi di errore hanno una funzione di segnalazione critica per informare lo stato di avvio protetto e lo stato di avanzamento.  Per informazioni sugli eventi di errore, vedere Eventi di aggiornamento delle variabili DB e DBX di avvio protetto. Gli eventi di errore vengono aggiornati con informazioni aggiuntive sull'evento per l'avvio protetto. 

Modifiche aggiuntive ai componenti per l'avvio protetto 

In questa sezione

Modifiche di TPMTasks 

Modificare TPMTasks per determinare se lo stato del dispositivo dispone dei certificati di avvio protetto aggiornati. Attualmente può effettuare tale determinazione, ma solo se CFR seleziona una macchina per l'aggiornamento. Tale determinazione e registrazione successiva devono avvenire in ogni sessione di avvio, indipendentemente dal CFR. Se i certificati di avvio protetto non sono completamente aggiornati, verranno emetti i due eventi di errore descritti in precedenza. Se i certificati sono aggiornati, genereranno l'evento Information. I certificati di avvio protetto che verranno controllati sono:  

  • CA 2023 UEFI di Windows

  • Microsoft UEFI CA 2023 e Microsoft Option ROM UEFI CA 2023: questi due CA devono essere presenti solo se è presente la CA 2011 di Microsoft UEFI. Se microsoft UEFI CA 2011 non è presente, non è necessario alcun controllo.

  • Microsoft Corporation KEK 2K CA 2023

Evento di metadati del computer 

Questo evento raccoglierà i metadati del computer ed eseguirà l'evento seguente:

  • BucketId + Evento Confidence Rating   

Questo evento userà i metadati del computer per trovare la voce corrispondente nel database di computer (voce bucket). Il computer formatterà ed emetterà un evento con questi dati insieme a tutte le informazioni di confidenza riguardanti il bucket. ​​​​​​​ 

Assistenza per dispositivi con elevata sicurezza 

Per i dispositivi con bucket ad alta probabilità, verranno applicati automaticamente i certificati di avvio protetto e gestione di avvio con firma 2023.   

L'aggiornamento verrà attivato contemporaneamente alla generazione dei due eventi di errore e l'evento BucketId + Confidence Rating include una valutazione con probabilità elevata.   

Rifiuto esplicito

Per i clienti che vogliono rifiutare esplicitamente, una nuova chiave del Registro di sistema sarà disponibile nel modo seguente:   

Posizione del Registro di sistema

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Nome tasto

HighConfidenceOptOut

Tipo di tasto

DWORD

Valore DWORD

0 o chiave non esiste: l'Assistente confidenza elevata è abilitato.    

1 - L'assistente con alta probabilità è disabilitato   

Qualsiasi altro valore non è definito   

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità