Si applica a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data di pubblicazione originale: 14 ottobre 2025

ID KB: 5068202

Questo articolo contiene indicazioni per:  

  • Organizzazioni con aggiornamenti e dispositivi Windows gestiti dall'IT.

Disponibilità di questo supporto:  

Le chiavi del Registro di sistema AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut e MicrosoftUpdateManagedOptIn sono incluse negli aggiornamenti rilasciati nelle date seguenti:

  • 14 ottobre 2025: Le versioni supportate includono Windows 10, versione 22H2 e versioni più recenti (inclusa 21H2 LTSC), tutte le versioni supportate di Windows 11 e Windows Server 2022 e successive.

  • 11 novembre 2025: Per le versioni di Windows ancora supportate.

Modifica data

Modificare la descrizione

4 novembre 2025

  • Aggiunta di un'altra chiave del Registro di sistema alla pagina.

  • Corretto un'istruzione da "Ad esempio, se l'aggiornamento del DATABASE (database delle firme attendibili) non è riuscito a causa di un problema del firmware, questa chiave del Registro di sistema potrebbe visualizzare un codice di errore che può essere mappato a un registro eventi o un ID errore documentato in" per dire "Ad esempio, se l'aggiornamento del DB (database di firme attendibili) non è riuscito a causa di un problema di firmware, questa chiave del Registro di sistema potrebbe visualizzare un codice di errore del firmware. Quando questa chiave esiste e non è uguale a zero, è consigliabile cercare gli eventi di avvio protetto nei registri eventi di Windows. Per altre informazioni, vedere (collegamento).

  • Sono stati aggiunti due percorsi separati per le chiavi del Registro di sistema seguenti

11 novembre 2025

  • Aggiornato il paragrafo in Test dei dispositivi con chiavi del Registro di sistema con informazioni aggiuntive: "La chiave del Registro di sistema dovrebbe cambiare rapidamente in 0x4100. Il riavvio e l'esecuzione di un'attività di nuovo causeranno l'aggiornamento di Gestione avvio e la 0x0100 di AvailableUpdates. Per altre informazioni sul comportamento di AvailableUpdates, vedere Risoluzione dei problemi".

  • Aggiornare il testo nella casella grigia in Test dispositivo usando le chiavi del Registro di sistema per disporre di due comandi aggiuntivi di PowerShell

  • Nelle chiavi del Registro di sistema il valore del Registro di sistema -MicrosoftUpdateManagedOptIn è stato modificato da "1 - Consenso esplicito " a "1 o a qualsiasi valore diverso da zero - Consenso esplicito"

16 novembre 2025

Aggiornato il contenuto in "Test dei dispositivi con chiavi del Registro di sistema". Il valore di Aggiornamento disponibile è stato modificato da "0x0100" a "0x4000".

Contenuto dell'articolo

Introduzione

Questo documento descrive il supporto per la distribuzione, la gestione e il monitoraggio degli aggiornamenti del certificato di avvio protetto tramite le chiavi del Registro di sistema di Windows. I tasti sono costituiti dai seguenti: 

  • Una chiave per attivare la distribuzione dei certificati e del boot manager nel dispositivo.

  • Due chiavi per il monitoraggio dello stato della distribuzione.

  • Due chiavi per gestire le impostazioni di consenso esplicito/rifiuto esplicito per i due strumenti di assistenza alla distribuzione disponibili.

Queste chiavi del Registro di sistema possono essere impostate manualmente nel dispositivo o in remoto tramite il software di gestione della flotta disponibile. Altri metodi di distribuzione, ad esempio Criteri di gruppo, Microsoft Intune e WinCS, sono descritti nell'articolo Dispositivi Windows per aziende e organizzazioni con aggiornamenti gestiti dall'IT.  

Chiavi del Registro di sistema di Avvio protetto

In questa sezione

Chiavi del Registro di sistema

Tutte le chiavi del Registro di sistema di avvio protetto descritte di seguito si trovano in questo percorso del Registro di sistema: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

La tabella seguente descrive ognuno dei valori del Registro di sistema:

Valore del Registro di sistema

Tipo

Descrizione e utilizzo

AvailableUpdates

REG_DWORD (maschera di bit)

Contrassegni trigger di aggiornamento.

Controlla quali azioni di aggiornamento di Avvio protetto eseguire sul dispositivo. L'impostazione del campo bit appropriato avvia la distribuzione di nuovi certificati di avvio protetto e degli aggiornamenti correlati. Per la distribuzione aziendale, questa opzione deve essere impostata su 0x5944 (hex), un valore che consente tutti gli aggiornamenti pertinenti (aggiunta dei nuovi certificati CA 2023, aggiornamento di KEK e installazione del nuovo boot manager). 

Impostazioni

  • 0 o non impostato - Non viene eseguito alcun aggiornamento della chiave di avvio protetto.

  • 0x5944 : distribuire tutti i certificati necessari e aggiornare il PCA2023 boot manager firmato

HighConfidenceOptOut

REG_DWORD

Un'opzione di rifiuto esplicito.

Per le aziende che vogliono rifiutare esplicitamente i contenitori ad alta probabilità che verranno applicati automaticamente nell'ambito dell'aggiornamento cumulativo più recente.

È possibile impostare questa chiave su un valore diverso da zero per rifiutare esplicitamente i bucket con probabilità elevata. 

Impostazioni 

  • 0 o codice non esiste: consenso esplicito

  • 1 – Rifiuto esplicito

MicrosoftUpdateManagedOptIn

REG_DWORD

Un'opzione di consenso esplicito.

Per le aziende che vogliono acconsentire esplicitamente alla manutenzione di Controlled Feature Rollout (CFR), nota anche come Microsoft Managed.

Oltre a impostare questa chiave, consenti l'invio dei dati di diagnostica obbligatori (vedi Configurare i dati di diagnostica Windows nell'organizzazione). 

Impostazioni

  • 0 o codice non esiste: rifiuto esplicito

  • 1 o qualsiasi valore   diverso da zero– Consenso esplicito

Tutte le chiavi del Registro di sistema di avvio protetto descritte di seguito si trovano in questo percorso del Registro di sistema: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

La tabella seguente descrive ognuno dei valori del Registro di sistema:

Valore del Registro di sistema

Tipo

Descrizione e utilizzo

UEFICA2023Status

REG_SZ (stringa)

Indicatore di stato della distribuzione.

Riflette lo stato corrente dell'aggiornamento della chiave di avvio protetto nel dispositivo. Verrà impostato su uno dei valori di testo seguenti:

  • NotStarted: l'aggiornamento non è ancora stato eseguito.

  • In Progress: l'aggiornamento è attivamente in corso.

  • Aggiornamento: l'aggiornamento è stato completato correttamente.

Inizialmente lo stato è NotStarted. Viene eseguita la modifica in In Progress dopo l'inizio dell'aggiornamento e infine in Aggiornato quando sono stati distribuiti tutti i nuovi tasti e il nuovo boot manager. Se si verifica un errore, il valore del Registro di sistema UEFICA2023Error viene impostato su un codice diverso da zero.

UEFICA2023Errore

REG_DWORD (codice)

Codice di errore (se disponibile).

Questo valore rimane 0 per il successo. Se il processo di aggiornamento rileva un errore, UEFICA2023Error viene impostato su un codice di errore diverso da zero corrispondente al primo errore rilevato. Un errore indica che l'aggiornamento dell'avvio protetto non è stato completamente eseguito e potrebbe richiedere indagini o correzioni nel dispositivo.  

Ad esempio, se l'aggiornamento del DATABASE (database delle firme attendibili) non è riuscito a causa di un problema del firmware, questa chiave del Registro di sistema potrebbe visualizzare un codice di errore del firmware. Se questa chiave esiste ed è diverso da zero, è consigliabile cercare gli eventi di avvio protetto nei registri eventi di Windows. Per altre informazioni, vedere Eventi di aggiornamento delle variabili DB e DBX di avvio protetto.

WindowsUEFICA2023Capable

REG_DWORD (codice)

Questa chiave del Registro di sistema è destinata a scenari di distribuzione limitati e non è consigliabile per l'uso generale. Nella maggior parte dei casi, usare invece la chiave del Registro di sistema UEFICA2023Status.

Valori validi:

0 – o chiave non esiste - Certificato "WINDOWS UEFI CA 2023" non è nel DB

1 - Il certificato "Windows UEFI CA 2023" è nel database

2 - Il certificato "CA UEFI Windows 2023" è nel DATABASE e il sistema parte dal boot manager firmato 2023

Interazione tra questi tasti

Gli amministratori IT configurano il valore del Registro di sistema AvailableUpdates su 0x5944, in modo che Windows esegua l'aggiornamento e l'installazione della chiave di avvio protetto nel dispositivo.

Durante l'esecuzione del processo, il sistema aggiorna UEFICA2023Status da NotStarted a InStatus e infine a Aggiornato al momento dell'esito positivo. Man mano che ogni bit in 0x5944 viene elaborato correttamente, viene cancellato.

Se un passaggio non riesce, viene registrato un codice di errore in UEFICA2023Error e lo stato rimane In Progress.

Questo meccanismo offre agli amministratori un modo chiaro per attivare e tenere traccia dell'implementazione per ogni dispositivo. 

Distribuzione con chiavi del Registro di sistema 

La distribuzione in un gruppo di dispositivi è costituita dai passaggi seguenti: 

  1. Impostare il valore del Registro di sistema AvailableUpdatessu 0x5944 in ognuno dei dispositivi da aggiornare.

  2. Monitorare le chiavi del Registro di sistema UEFICA2023Status e UEFICA2023Error per verificare lo stato dei dispositivi. L'attività che elabora questi aggiornamenti viene eseguita ogni 12 ore. Tieni presente che l'aggiornamento di Boot Manager potrebbe non verificarsi fino a quando non si verifica un riavvio.

  3. Se si verificano, esaminare i problemi. Se UEFICA2023Error è diverso da zero in un dispositivo, è possibile controllare nel registro eventi la presenza di eventi correlati a questo problema. Per un elenco completo degli eventi di avvio protetto, vedere Eventi di aggiornamento delle variabili DB e DBX di avvio protetto .

Una nota sui riavvii: anche se potrebbe essere necessario un riavvio per completare il processo, l'avvio della distribuzione degli aggiornamenti di avvio protetto non causerà un riavvio. Se è necessario un riavvio, la distribuzione di Avvio protetto si basa sui riavvii che si verificano normalmente durante l'uso del dispositivo. 

Test dei dispositivi con chiavi del Registro di sistema 

Quando si testano singoli dispositivi per assicurarsi che i dispositivi esercino correttamente gli aggiornamenti, le chiavi del Registro di sistema possono essere un modo semplice per testare. 

Per testare, eseguire ognuno dei comandi seguenti separatamente da una richiesta di PowerShell dell'amministratore: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Riavviare manualmente il sistema quando AvailableUpdates diventa 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Il primo comando avvia la distribuzione del certificato e del boot manager nel dispositivo. Il secondo comando causa immediatamente l'esecuzione dell'attività che elabora la chiave del Registro di sistema AvailableUpdates . In genere l'attività viene eseguita ogni 12 ore. La chiave del Registro di sistema dovrebbe essere rapidamente 0x4100. Il riavvio e l'esecuzione di un'attività di nuovo causeranno l'aggiornamento di Gestione avvio e la 0x4000 di AvailableUpdates. Per altre informazioni sul comportamento di AvailableUpdates, vedere Risoluzione dei problemi.

È possibile trovare i risultati osservando le chiavi del Registro di sistema UEFICA2023Status e UEFICA2023Error e i registri eventi come descritto negli eventi di aggiornamento delle variabili DB e DBX di avvio protetto

Consenso esplicito e rifiuto esplicito per l'assistenza 

Le chiavi del Registro di sistema HighConfidenceOptOut e MicrosoftUpdateManagedOptIn possono essere usate per gestire i due "assist" per la distribuzione descritti nei dispositivi Windows con aggiornamenti gestiti dall'IT

  • La chiave del Registro di sistema HighConfidenceOptOut controlla l'aggiornamento automatico dei dispositivi tramite gli aggiornamenti cumulativi. Per i dispositivi in cui Microsoft ha osservato che specifici dispositivi vengono aggiornati correttamente, verranno considerati dispositivi con "alta probabilità" e gli aggiornamenti del certificato di avvio protetto verranno rilasciati automaticamente. L'impostazione predefinita è il consenso esplicito.

  • La chiave del Registro di sistema MicrosoftUpdateManagedOptIn consente ai reparti IT di acconsentire esplicitamente alla distribuzione automatica gestita da Microsoft. Questa impostazione è disabilitata per impostazione predefinita e viene impostato su 1 consenso esplicito. Questa impostazione richiede anche che il dispositivo invii dati di diagnostica facoltativi.

Versioni supportate di Windows

Questa tabella suddivide ulteriormente il supporto in base alla chiave del Registro di sistema. 

Codice 

Versioni supportate di Windows 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Errore 

Tutte le versioni di Windows che supportano Avvio protetto (Windows Server 2012 e versioni successive di Windows).  

Nota: Mentre i dati di confidenza vengono raccolti in Windows 10, versioni LTSC, 22H2 e versioni successive di Windows, possono essere applicati ai dispositivi in esecuzione su versioni precedenti di Windows.    

  • Windows 10, versioni LTSC e 22H2

  • Windows 11, versioni 22H2 e 23H2

  • Windows 11, versione 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Eventi di errore di Avvio protetto

​​​​​​​​​​​​​​Gli eventi di errore hanno una funzione di segnalazione critica per informare lo stato di avvio protetto e lo stato di avanzamento.  Per informazioni sugli eventi di errore, vedere Eventi di aggiornamento delle variabili DB e DBX di avvio protetto. Gli eventi di errore vengono aggiornati con informazioni aggiuntive sull'evento per l'avvio protetto. 

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità