Taikoma
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Pradinė publikavimo data: 2025 m. spalio 14 d.

KB ID: 5068202

Šiame straipsnyje pateikiamos rekomendacijos, skirtos:  

  • Organizacijos su IT valdomais "Windows" įrenginiais ir naujinimais.

Šio palaikymo pasiekiamumas:  

  • AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut ir MicrosoftUpdateManagedOptIn registro raktai yra įtraukti į naujinimus, išleistus toliau nurodytas datas arba po jų:

    • 2025 m. spalio 14 d.: Palaikomos versijos: Windows 10, 22H2 versija ir naujesnės versijos (įskaitant 21H2 LTSC), visos palaikomos Windows 11 versijos, taip pat Windows Server 2022 ir naujesnės versijos.

    • 2025 m. lapkričio 11 d.: vis dar palaikomos "Windows" versijos.

Šiame straipsnyje

Įvadas

Šiame dokumente aprašomas saugiosios įkrovos sertifikatų naujinimų diegimo, valdymo ir stebėjimo naudojant "Windows" registro raktus palaikymas. Raktus sudaro: 

  • Vienas raktas, kuris suaktyvina sertifikatų diegimą ir paleidimo tvarkytuvą įrenginyje.

  • Du diegimo būsenos stebėjimo raktai.

  • Du mygtukai, skirti dviejų galimų diegimo pagalbinių programų atsisakymo / atsisakymo parametrams valdyti.

Šiuos registro raktus įrenginyje galima nustatyti rankiniu būdu arba nuotoliniu būdu naudojant turimą laivyno valdymo programinę įrangą. Kiti diegimo metodai, pvz., Grupės strategija, "Intune" ir "WinCS", aprašyti straipsnyje "Windows" įrenginiai, skirti įmonėms ir organizacijoms su IT valdomais naujinimais.  

Saugiosios įkrovos registro raktai

Šiame skyriuje

Registro raktai

Visi šiame dokumente aprašyti saugiosios įkrovos registro raktai yra pagal šį registro kelią: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Šioje lentelėje aprašomos visos registro reikšmės. 

Registro reikšmė

Tipas

Aprašas & naudojimas

Galimi naujinimai

REG_DWORD (šablonas)

Naujinti paleidiklio žymes.

Valdo, kokius saugiosios įkrovos naujinimo veiksmus atlikti įrenginyje. Nustačius atitinkamą bitų lauką, pradedamas naujų saugiosios įkrovos sertifikatų ir susijusių naujinimų diegimas. Diegiant įmonę, reikia nustatyti 0x5944 (hex) – reikšmę, kuri įgalina visus susijusius naujinimus (naujus 2023 CA sertifikatus, atnaujina KEK ir įdiegia naują įkrovos tvarkytuvą). 

Parametrai: 

  • 0 arba nenustatyta – neatliekamas saugiosios įkrovos kodo naujinimas.

  • 0x5944 – įdiekite visus reikalingus sertifikatus ir atnaujinkite į PCA2023 pasirašytą įkrovos tvarkytuvą

UEFICA2023Status

REG_SZ (eilutė)

Diegimo būsenos indikatorius.

Atspindi dabartinę saugiosios įkrovos kodo naujinimo įrenginyje būseną. Bus nustatyta viena iš šių teksto reikšmių:

  • Nepradėta:Naujinimas dar neveikia.

  • InProgress:Naujinimas aktyviai vykdomas.

  • Atnaujinta: Naujinimas sėkmingai baigtas.

Iš pradžių būsena NotStarted. Jis pasikeičia į "InProgress", kai pradedamas naujinimas, ir galiausiai atnaujinamas, kai įdiegiami visi nauji raktai ir naujas paleidimo tvarkytuvas. Jei įvyko klaida, tada UEFICA2023Error registro reikšmė nustatyta į ne nulį kodą.

UEFICA2023Error

REG_DWORD (kodas)

Klaidos kodas (jei yra).

Ši reikšmė išlieka 0 , kai pavyks. Jei naujinimo procesas susiduria su klaida, UEFICA2023Error nustatyta į ne nulinį klaidos kodą, atitinkantį pirmąją aptiktą klaidą. Čia pateikiama klaida reiškia, kad saugiosios įkrovos naujinimas nevisiškai pavyko ir gali reikėti atlikti tyrimą arba atlikti taisymą tame įrenginyje.  

Pavyzdžiui, jei nepavyko atnaujinti DB (patikimų parašų duomenų bazės) dėl programinės-aparatinės įrangos problemos, šis registro raktas gali rodyti klaidos kodą, kurį galima susieti su įvykių žurnalu arba dokumentuotais klaidos ID saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiuose

HighConfidenceOptOut

REG_DWORD

Atsisakymo parinktis.

Įmonėms, kurios nori atsisakyti didelio patikimumo talpyklų, kurios bus automatiškai taikomos kaip LCU dalis.

Galite nustatyti šį raktą į ne nulinę reikšmę, kad atsisakytumėte didelio patikimumo talpyklų. 

Parametrai 

  • 0 arba rakto nėra – opt-in

  • 1 – Opt-in

MicrosoftUpdateManagedOptIn

REG_DWORD

Sutikimo parinktis.

Įmonėms, kurios nori pasirinkti kontroliuojamo funkcijų diegimo (CFR) priežiūrą, dar vadinamą "Microsoft" valdomą.

Ne tik nustatyti šį kodą, bet ir leisti siųsti reikiamus diagnostikos duomenis (žr. "Windows" diagnostikos duomenų konfigūravimas organizacijoje). 

Parametrai

  • 0 arba rakto nėra – atsisakymas

  • 1 – Opt-in

Kaip šie klavišai veikia kartu

IT administratorius sukonfigūruoja registro reikšmę AvailableUpdates0x5944, kuri nurodo "Windows" vykdyti saugiosios įkrovos rakto naujinimą ir diegimą įrenginyje.

Kai procesas vykdomas, sistema atnaujina UEFICA2023StatusNotStarted į InProgress ir galiausiai atnaujinta sėkmingai. Kai kiekvienas 0x5944 bitas sėkmingai apdorojamas, jis išvalomas.

Jei kuris nors veiksmas nepavyksta, klaidos kodas įrašomas dalyje UEFICA2023Error (o būsena išlieka "InProgress").

Šis mechanizmas suteikia administratoriams aiškų būdą paleisti ir sekti diegimą įrenginyje. 

Diegimas naudojant registro raktus 

Diegimą į įrenginių grupę sudaro šie veiksmai: 

  1. Nustatykite registro reikšmę AvailableUpdateskaip 0x5944 kiekviename naujinamame įrenginyje.

  2. Stebėkite UEFICA2023Status ir UEFICA2023Klaidų registro raktus, kad pamatytumėte, ar įrenginiai vykdomi. Atminkite, kad užduotis, kuri apdoroja šiuos naujinimus, vykdoma kas 12 valandų. Atkreipkite dėmesį, kad įkrovos tvarkytuvo naujinimas gali būti vykdomas tik paleidus iš naujo.

  3. Ištirkite problemas, jei jos atsiranda. Jei įrenginyje UEFICA2023Error nėra nulis, galite patikrinti, ar įvykių žurnale nėra su šia problema susijusių įvykių. Visą saugiosios įkrovos įvykių sąrašą žr. Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai .

Pastaba apie paleidimą iš naujo: kol norint užbaigti procesą gali reikėti paleisti iš naujo, inicijuojant saugiosios įkrovos naujinimų diegimą, paleidimas iš naujo nebus atliekamas. Jei reikia paleisti iš naujo, saugiosios įkrovos diegimas priklauso nuo paleidimo iš naujo, kuris vyksta kaip įprastas įrenginio naudojimo kursas. 

Įrenginio tikrinimas naudojant registro raktus 

Tikrinant atskirus įrenginius siekiant užtikrinti, kad įrenginiai tinkamai apdoros naujinimus, registro raktai gali būti paprastas būdas patikrinti. 

Norėdami išbandyti, paleiskite kiekvieną iš toliau nurodytų komandų atskirai nuo administratoriaus "PowerShell" raginimo: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Pirmoji komanda inicijuoja sertifikatą ir paleidimo tvarkytuvo diegimą įrenginyje. Antroji komanda sukelia užduotį, kuri apdoroja "AvailableUpdates" registro raktą iš karto. Paprastai užduotis vykdoma kas 12 valandų. 

Rezultatus galite rasti stebėdami UEFICA2023Status ir UEFICA2023Klaidos registro raktus ir įvykių žurnalus, kaip aprašyta saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai

Pagalbos atsisakymas ir atsisakymas 

Registro raktus HighConfidenceOptOut ir MicrosoftUpdateManagedOptIn galima naudoti dviem diegimo pagalbinėms priemonėms, aprašytoms "Windows" įrenginiuose su IT valdomais naujinimais, valdyti. 

  • HighConfidenceOptOut registro raktas valdo automatinį įrenginių naujinimą per kaupiamuosius naujinimus. Įrenginiuose, kuriuose "Microsoft" sėkmingai atnaujinome konkrečius įrenginius, jie bus laikomi "didelio patikimumo" įrenginiais, o saugiosios įkrovos sertifikato naujinimai bus atliekami automatiškai. Numatytasis šio sutikto parametro parametras.

  • "MicrosoftUpdateManagedOptIn" registro raktas leidžia IT skyriams pasirinkti automatinį diegimą, kurį valdo "Microsoft". Šis parametras išjungtas pagal numatytuosius parametrus ir nustatomas kaip 1 pasirinkimas. Šis parametras taip pat reikalauja, kad įrenginys siųstų pasirinktinius diagnostikos duomenis.

Palaikomos "Windows" versijos

Ši lentelė toliau suskaidys palaikymą pagal registro raktą. 

Raktas 

Palaikomos "Windows" versijos 

Galimi naujinimai 

UEFICA2023Status 

UEFICA2023Error 

Visos "Windows" versijos, palaikančios saugią įkrovą (Windows Server 2012 m. ir naujesnes "Windows" versijas).  

Nata: Nors patikimumo duomenys renkami Windows 10, LTSC, 22H2 ir naujesnėse "Windows" versijose, jie gali būti taikomi įrenginiams, kuriuose veikia ankstesnės "Windows" versijos.    

  • Windows 10, VERSIJOS LTSC ir 22H2

  • Windows 11, 22H2 ir 23H2 versijos

  • Windows 11, 24H2 versija

  • 2025 m. Windows Server.

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Saugiosios įkrovos klaidos įvykiai

​​​​​​​​​​​​​​Klaidų įvykiai turi kritinę ataskaitų funkciją, informuojančią apie saugiosios įkrovos būseną ir eigą.  Informacijos apie klaidos įvykius žr. Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai. Klaidos įvykiai atnaujinami papildoma saugiosios įkrovos įvykio informacija. 

Papildomi saugiosios įkrovos komponento pakeitimai 

Šiame skyriuje

TPMTasks pakeitimai 

Modifikuokite TPMTasks, kad nustatytumėte, ar įrenginio būsena turi atnaujintus saugiosios įkrovos sertifikatus. Šiuo metu tai galima nustatyti tik tada, jei CFR pasirenka atnaujinti įrenginį. Šis nustatymas ir vėlesnis registravimasis turėtų vykti per kiekvieną įkrovos seansą, neatsižvelgiant į CFR. Jei saugiosios įkrovos sertifikatai nėra visiškai atnaujinti, jie išmes du anksčiau aprašytus klaidos įvykius. Jei sertifikatai yra atnaujinti, jie išmes įvykį Informacija. Saugiosios įkrovos sertifikatai, kurie bus patikrinti, yra:  

  • "Windows UEFI CA 2023"

  • "Microsoft UEFI CA 2023" ir "Microsoft Option ROM UEFI CA 2023" – šie du CA turi būti tik tuo atveju, jei yra "Microsoft UEFI CA 2011". Jei "Microsoft" UEFI CA 2011 nėra, tada nereikia patikrinti.

  • Microsoft Corporation KEK 2K CA 2023

Kompiuterio metaduomenų įvykis 

Šis įvykis surinks kompiuterio metaduomenis ir išduos šį įvykį:

  • BucketId + patikimumo įvertinimo įvykis   

Šis įvykis naudos kompiuterio meta duomenis, kad rastų atitinkamą įrašą mašinų duomenų bazėje (talpyklos įrašas). Kompiuteris suformatuos ir išmes įvykį su šiais duomenimis kartu su bet kokia patikimumo informacija, susijusia su talpykla. ​​​​​​​ 

Labai pasitikintys įrenginio pagalbinė priemonė 

Įrenginiuose didelio patikimumo talpyklose automatiškai taikomi saugiosios įkrovos sertifikatai ir 2023 m. pasirašyto paleidimo tvarkytuvas.   

Naujinimas bus inicijuotas tuo pačiu metu, kai sugeneruojami du klaidų įvykiai, o "BucketId" + patikimumo įvertinimo įvykis apima didelio patikimumo įvertinimą.   

Atsisakymas

Klientams, kurie nori atsisakyti, naujas registro raktas bus pasiekiamas taip:   

Registro vieta

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Klavišo pavadinimas

HighConfidenceOptOut

Rakto tipas

DWORD

DWORD reikšmė

0 arba rakto nėra – įjungta didelio patikimumo pagalbinė priemonė.    

1 – didelio patikimumo pagalbinė priemonė išjungta   

Bet kokia kita reikšmė neapibrėžta   

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras