적용 대상
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

원래 게시 날짜: 2025년 10월 14일

KB ID: 5068202

이 문서에는 다음 지침이 있습니다.  

  • IT 관리형 Windows 디바이스 및 업데이트가 있는 조직

이 지원의 가용성:  

레지스트리 키는 다음 날짜 또는 그 이후에 릴리스된 업데이트에 포함됩니다.

  • 2025년 11월 11일: 아직 지원 중인 Windows 버전의 경우.

날짜 변경

설명 변경

2026년 3월 20일

  • "레지스트리 키" 섹션의 첫 번째 테이블에 AvailableUpdatesPolicy 레지스트리 값이 추가되었습니다.

  • "레지스트리 키" 섹션의 두 번째 테이블에서 WindowsUEFICA2023Capable 레지스트리 값 "설명 및 사용"을 업데이트했습니다.

2026년 2월 20일

  • 문서에 "UEFICA2023ErrorEvent", "BucketHash" & "ConfidenceLevel"의 3개 새 레지스트리 키가 추가되었습니다.

  • "이 지원의 가용성" 섹션이 업데이트되었습니다.

2025년 11월 4일

  • 페이지에 레지스트리 키를 하나 더 추가했습니다.

  • "예를 들어 펌웨어 문제로 인해 DB(신뢰할 수 있는 서명 데이터베이스)를 업데이트하지 못한 경우 이 레지스트리 키에 이벤트 로그 또는 문서화된 오류 ID에 매핑될 수 있는 오류 코드가 표시될 수 있습니다." "예를 들어 펌웨어 문제로 인해 DB(신뢰할 수 있는 서명 데이터베이스)를 업데이트하지 못한 경우 이 레지스트리 키는 펌웨어의 오류 코드를 표시할 수 있습니다. 이 키가 존재하고 0이 아닌 경우 Windows 이벤트 로그에서 보안 부팅 이벤트를 찾는 것이 좋습니다. 자세한 내용은 (링크)를 참조하세요."

  • 아래에 레지스트리 키에 대한 두 개의 별도 경로가 추가되었습니다.

2025년 11월 11일

  • 추가 정보가 포함된 레지스트리 키를 사용하여 디바이스 테스트의 단락을 업데이트했습니다. "레지스트리 키는 0x4100 빠르게 변경해야 합니다. 작업을 다시 부팅하고 실행하면 부팅 관리자가 업데이트되고 AvailableUpdates가 0x0100 됩니다. AvailableUpdates의 작동 방식에 대한 자세한 내용은 문제 해결을 참조하세요."

  • 레지스트리 키를 사용하여 디바이스 테스트 아래의 회색 상자에서 텍스트를 업데이트하여 두 개의 추가 PowerShell 명령을 만듭니다.

  • 레지스트리 키에서 레지스트리 값 -MicrosoftUpdateManagedOptIn이 "1 - 옵트인"에서 "1 또는 0이 아닌 값 – 옵트인"으로 변경되었습니다.

2025년 11월 16일

"레지스트리 키를 사용하여 디바이스 테스트"에서 콘텐츠를 업데이트했습니다. 사용 가능한 업데이트 값이 "0x0100"에서 "0x4000"로 변경되었습니다.

이 문서에서

소개

이 문서에서는 Windows 레지스트리 키를 사용하여 보안 부팅 인증서 업데이트를 배포, 관리 및 모니터링하기 위한 지원을 설명합니다. 키는 다음으로 구성됩니다. 

  • 디바이스에서 인증서 및 부팅 관리자의 배포를 트리거하는 한 가지 키입니다.

  • 배포 상태 모니터링하기 위한 두 가지 키입니다.

  • 사용 가능한 두 배포에 대한 옵트인/옵트아웃 설정을 관리하기 위한 두 가지 키가 지원됩니다.

이러한 레지스트리 키는 디바이스에서 수동으로 또는 사용 가능한 플릿 관리 소프트웨어를 통해 원격으로 설정할 수 있습니다. 그룹 정책, Microsoft Intune 및 WinCS와 같은 기타 배포 방법은 IT 관리형 업데이트를 사용하는 기업 및 조직을 위한 Windows 디바이스 문서에 설명되어 있습니다.  

보안 부팅 레지스트리 키

섹션 내용

레지스트리 키

아래에 설명된 모든 보안 부팅 레지스트리 키는 이 레지스트리 경로 아래에 있습니다. 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

다음 표에서는 각 레지스트리 값에 대해 설명합니다.

레지스트리 값

유형

설명 및 사용법

AvailableUpdates

REG_DWORD(비트 마스크)

트리거 플래그를 업데이트합니다.

디바이스에서 수행할 보안 부팅 업데이트 작업을 제어합니다. 여기에 적절한 비트 필드를 설정하면 새 보안 부팅 인증서 및 관련 업데이트의 배포가 시작됩니다. 엔터프라이즈 배포의 경우 모든 관련 업데이트(새 2023 CA 인증서 추가, KEK 업데이트 및 새 부팅 관리자 설치)를 사용하도록 설정하는 값인 0x5944 (16진수)로 설정해야 합니다. 

설정

  • 0 또는 설정 안 함 - 보안 부팅 키 업데이트가 수행되지 않습니다.

  • 0x5944 – 필요한 모든 인증서를 배포하고 서명된 PCA2023 부팅 관리자로 업데이트

HighConfidenceOptOut

REG_DWORD

옵트아웃 옵션입니다.

LCU의 일부로 자동으로 적용되는 높은 신뢰도 버킷을 옵트아웃하려는 엔터프라이즈의 경우

이 키를 0이 아닌 값으로 설정하여 높은 신뢰도 버킷을 옵트아웃할 수 있습니다. 

설정 

  • 0 또는 키가 없음 - 옵트인

  • 1 – 옵트아웃

MicrosoftUpdateManagedOptIn

REG_DWORD

옵트인 옵션입니다.

MICROSOFT Managed라고도 하는 CFR(제어된 기능 롤아웃) 서비스를 옵트인하려는 엔터프라이즈의 경우

이 키를 설정하는 것 외에도 필요한 진단 데이터 전송을 허용합니다(organization Windows 진단 데이터 구성 참조). 

설정

  • 0 또는 키가 없음 - 옵트아웃

  • 1 또는 0이 아닌 값  – 옵트인

AvailableUpdatesPolicy

REG_DWORD(비트 마스크)

참조 전용 - 레지스트리를 통해 이 키를 업데이트하지 마세요. 이 키는 그룹 정책 및 Intune 보안 부팅 관련 작업을 Windows에 전달하는 데 사용됩니다. Intune 또는 그룹 정책 의해 설정된 정책을 나타냅니다.

아래에 설명된 모든 보안 부팅 레지스트리 키는 이 레지스트리 경로 아래에 있습니다. 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

다음 표에서는 각 레지스트리 값에 대해 설명합니다.

레지스트리 값

유형

설명 및 사용법

UEFICA2023Status

REG_SZ(문자열)

배포 상태 표시기입니다.

디바이스에서 보안 부팅 키 업데이트의 현재 상태를 반영합니다. 다음 텍스트 값 중 하나로 설정됩니다.

  • NotStarted: 업데이트가 아직 실행되지 않았습니다.

  • InProgress: 업데이트가 현재 진행 중입니다.

  • 업데이트됨: 업데이트가 성공적으로 완료되었습니다.

처음에 상태 NotStarted입니다. 업데이트가 시작되면 InProgress로 변경되고, 마지막으로 모든 새 키와 새 부팅 관리자가 배포되면 업데이트됨으로 변경됩니다. 오류가 있으면 UEFICA2023Error 레지스트리 값이 0이 아닌 코드로 설정됩니다.

UEFICA2023Error

REG_DWORD(코드)

오류 코드(있는 경우)입니다.

이 값은 성공하면 0 으로 유지됩니다. 업데이트 프로세스에 오류가 발생하면 UEFICA2023Error 가 발생한 첫 번째 오류에 해당하는 0이 아닌 오류 코드로 설정됩니다. 여기서 오류는 보안 부팅 업데이트가 완전히 성공하지 못했으며 해당 디바이스에 대한 조사 또는 수정이 필요할 수 있음을 의미합니다.  

예를 들어 펌웨어 문제로 인해 DB(신뢰할 수 있는 서명 데이터베이스)를 업데이트하지 못한 경우 이 레지스트리 키에 펌웨어의 오류 코드가 표시될 수 있습니다. 이 키가 존재하고 0이 아닌 경우 Windows 이벤트 로그에서 보안 부팅 이벤트를 찾는 것이 좋습니다. 자세한 내용은 보안 부팅 DB 및 DBX 변수 업데이트 이벤트를 참조하세요.

UEFICA2023ErrorEvent

REG_DWORD(코드)

UEFICA2023ErrorEvent 는 Windows에서 Windows UEFI CA 2023 보안 부팅 업데이트의 애플리케이션과 관련된 오류를 보고하는 데 사용한 이벤트 ID를 지정합니다. 이 값은 UEFICA2023Error 레지스트리 키와 상관 관계가 있으며 해당 키가 설정되면 채워지며, 이는 Windows에서 보안 부팅 업데이트를 적용하는 동안 오류가 발생했음을 나타냅니다. 이 경우 Windows는 공개 페이지 Secure Boot DB 및 DBX 변수 업데이트 이벤트에 설명된 해당 Secure Boot 이벤트를 기록합니다. 이 이벤트는 업데이트를 완료할 수 없는 이유와 필요한 작업에 대한 추가 세부 정보를 제공합니다.

WindowsUEFICA2023Capable

REG_DWORD(코드)

참조 전용 – 보안 부팅 업데이트에 대한 상태 받을 때 이 키를 사용하지 마세요. 대신 UEFICA2023Status 키를 사용합니다.

이 레지스트리 키는 제한된 배포 시나리오를 위한 것이며 일반적인 용도로는 권장되지 않습니다.

유효한 값:

0 – 또는 키가 존재하지 않음 - "Windows UEFI CA 2023" 인증서가 DB에 없습니다.

1 - "Windows UEFI CA 2023" 인증서가 DB에 있습니다.

2 - "Windows UEFI CA 2023" 인증서가 DB에 있으며 시스템이 2023년 서명된 부팅 관리자부터 시작됩니다.

BucketHash

REG_SZ(문자열)

BucketHash는 디바이스가 보안 부팅 인증서 롤아웃의 일부로 할당된 배포 버킷을 식별합니다. 값은 디바이스 특성에서 파생된 해시이며 단계적 배포 및 위험 관리를 위해 유사한 펌웨어 및 플랫폼 특성을 사용하여 디바이스를 그룹화하는 데 사용됩니다. 이는 보안 부팅 DB 및 DBX 변수 업데이트 이벤트 페이지에 설명된 디바이스별 이벤트에 표시되는 것과 동일한 버킷 해시이므로 관리자는 레지스트리 상태를 이벤트 로그 항목과 상호 연결하고 보안 부팅 업데이트 프로세스 중에 디바이스가 대상으로 지정되는 방식을 이해할 수 있습니다.

ConfidenceLevel

REG_SZ(문자열)

ConfidenceLevel은 디바이스의 보안 부팅 배포 버킷과 연결된 신뢰도 평가를 나타냅니다. 이 값은 유사한 하드웨어 및 펌웨어 구성에서 관찰된 업데이트 동작에 따라 Windows가 디바이스에 할당하는 BucketConfidenceLevel에 해당합니다. 관리자가 레지스트리 값을 이벤트 로그 항목과 상호 연결할 수 있도록 보안 부팅 DB 및 DBX 변수 업데이트 이벤트 페이지에 설명된 디바이스별 이벤트에 동일한 신뢰 수준이 포함됩니다. 이 키의 가능한 값에 대한 자세한 내용은 디바이스별 이벤트 로그 이벤트 설명을 참조하세요.

이러한 키의 작동 방식

IT 관리자는 0x5944 AvailableUpdates 레지스트리 값을 구성합니다. 이 값은 Windows가 디바이스에서 보안 부팅 키 업데이트 및 설치를 실행하도록 신호를 보냅니다.

프로세스가 실행되면 시스템은 UEFICA2023StatusNotStarted 에서 InProgress로 업데이트하고, 성공 시 업데이트 됨으로 업데이트합니다. 0x5944 각 비트가 성공적으로 처리되면 지워집니다.

단계가 실패하면 오류 코드가 UEFICA2023Error에 기록되고 상태 InProgress로 유지됩니다.

이 메커니즘은 관리자에게 디바이스당 롤아웃을 트리거하고 추적하는 명확한 방법을 제공합니다. 

레지스트리 키를 사용한 배포 

디바이스 그룹에 배포하는 작업은 다음 단계로 구성됩니다. 

  1. 업데이트할 각 디바이스에서 AvailableUpdates 레지스트리 값을 0x5944 설정합니다.

  2. UEFICA2023StatusUEFICA2023Error 레지스트리 키를 모니터링하여 디바이스가 진행 중인지 확인합니다. 이러한 업데이트를 처리하는 작업은 12시간마다 실행됩니다. 다시 시작이 수행될 때까지 부팅 관리자 업데이트가 수행되지 않을 수 있습니다.

  3. 문제가 발생하는 경우 조사합니다. UEFICA2023Error가 디바이스에서 0이 아닌 경우 이 문제와 관련된 이벤트에 대한 이벤트 로그를 검사 수 있습니다. 보안 부팅 이벤트의 전체 목록은 보안 부팅 DB 및 DBX 변수 업데이트 이벤트를 참조하세요.

다시 시작에 대한 참고 사항: 프로세스를 완료하려면 다시 시작해야 할 수도 있지만 보안 부팅 업데이트 배포를 시작해도 다시 시작되지는 않습니다. 다시 시작해야 하는 경우 보안 부팅 배포는 디바이스를 사용하는 일반적인 과정으로 발생하는 다시 시작에 의존합니다. 

레지스트리 키를 사용하여 디바이스 테스트 

디바이스가 업데이트를 올바르게 처리하도록 개별 디바이스를 테스트할 때 레지스트리 키는 간단한 테스트 방법이 될 수 있습니다. 

테스트하려면 관리자 PowerShell 프롬프트와 별도로 다음 명령을 각각 실행합니다. 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

AvailableUpdates가 0x4100 때 수동으로 시스템을 다시 부팅합니다.

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

첫 번째 명령은 디바이스에서 인증서 및 부팅 관리자 배포를 시작합니다. 두 번째 명령은 AvailableUpdates 레지스트리 키를 처리하는 작업이 즉시 실행되도록 합니다. 일반적으로 작업은 12시간마다 실행됩니다. 레지스트리 키는 신속하게 0x4100 변경해야 합니다. 작업을 다시 부팅하고 실행하면 부팅 관리자가 업데이트되고 AvailableUpdates가 0x4000 됩니다. AvailableUpdates의 작동 방식에 대한 자세한 내용은 문제 해결을 참조하세요.

보안 부팅 DB 및 DBX 변수 업데이트 이벤트에 설명된 대로 UEFICA2023StatusUEFICA2023Error 레지스트리 키 및 이벤트 로그를 관찰하여 결과를 찾을 수 있습니다. 

지원 옵트인 및 옵트아웃 

HighConfidenceOptOutMicrosoftUpdateManagedOptIn 레지스트리 키를 사용하여 IT 관리형 업데이트를 사용하여 Windows 디바이스에 설명된 두 가지 배포 "지원"을 관리할 수 있습니다. 

  • HighConfidenceOptOut 레지스트리 키는 누적 업데이트를 통해 디바이스의 자동 업데이트를 제어합니다. Microsoft에서 특정 디바이스가 성공적으로 업데이트되는 것을 관찰한 디바이스의 경우 "높은 신뢰도" 디바이스로 간주되며 보안 부팅 인증서 업데이트가 자동으로 수행됩니다. 기본 설정은 옵트인입니다.

  • MicrosoftUpdateManagedOptIn 레지스트리 키를 사용하면 IT 부서가 Microsoft에서 관리하는 자동 배포를 옵트인할 수 있습니다. 이 설정은 기본적으로 사용하지 않도록 설정되며 옵트인 1로 설정됩니다. 또한 이 설정을 사용하려면 디바이스에서 선택적 진단 데이터를 보내야 합니다.

지원되는 Windows 버전

이 표에서는 레지스트리 키에 따라 지원을 추가로 세분화합니다. 

키 

지원되는 Windows 버전 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

보안 부팅(Windows Server 2012 이상 Windows 버전)을 지원하는 모든 버전의 Windows입니다.  

참고: 신뢰도 데이터는 Windows 10 버전 LTSC, 22H2 이상 버전의 Windows에서 수집되지만 이전 버전의 Windows에서 실행되는 디바이스에 적용할 수 있습니다.    

  • Windows 10, 버전 LTSC 및 22H2

  • Windows 11, 버전 22H2 및 23H2

  • Windows 11 버전 24H2

  • Windows Server 2025년

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

보안 부팅 오류 이벤트

​​​​​​​​​​​​​​오류 이벤트에는 보안 부팅 상태 및 진행 상황을 알리는 중요한 보고 함수가 있습니다.  오류 이벤트에 대한 자세한 내용은 보안 부팅 DB 및 DBX 변수 업데이트 이벤트를 참조하세요. 보안 부팅에 대한 추가 이벤트 정보로 오류 이벤트가 업데이트되고 있습니다. 

Facebook LinkedIn 전자 메일
RSS 피드 구독

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

Microsoft 365 구독 혜택

Microsoft 365 교육

Microsoft 보안

접근성 센터