Registro rakto naujinimai, skirti saugiai įkrovai: "Windows" įrenginiai su IT valdomais naujinimais
Taikoma
Pradinė publikavimo data: 2025 m. spalio 14 d.
KB ID: 5068202
Šiame straipsnyje pateikiamos rekomendacijos, skirtos:
-
Organizacijos su IT valdomais "Windows" įrenginiais ir naujinimais.
Šio palaikymo pasiekiamumas:
AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut ir MicrosoftUpdateManagedOptIn registro raktai yra įtraukti į naujinimus, išleistus toliau nurodytas datas arba po jų:
-
2025 m. spalio 14 d.: Palaikomos versijos yra Windows 10, 22H2 versija ir naujesnės versijos (įskaitant 21H2 LTSC), visos palaikomos Windows 11 versijos, taip pat Windows Server 2022 ir naujesnės versijos.
-
2025 m. lapkričio 11 d.: Vis dar palaikomos "Windows" versijos.
|
Keisti datą |
Keisti aprašą |
|
2025 m. lapkričio 4 d. |
|
|
2025 m. lapkričio 11 d. |
|
|
2025 m. lapkričio 16 d. |
Atnaujintas turinys dalyje "Įrenginio tikrinimas naudojant registro raktus". Galima naujinimo reikšmė buvo pakeista iš "0x0100" į "0x4000". |
Šiame straipsnyje
Įvadas
Šiame dokumente aprašomas saugiosios įkrovos sertifikatų naujinimų diegimo, valdymo ir stebėjimo naudojant "Windows" registro raktus palaikymas. Raktus sudaro:
-
Vienas raktas, kuris suaktyvina sertifikatų diegimą ir paleidimo tvarkytuvą įrenginyje.
-
Du diegimo būsenos stebėjimo raktai.
-
Du mygtukai, skirti dviejų galimų diegimo pagalbinių programų pasirinkimo / atsisakymo parametrams valdyti.
Šiuos registro raktus įrenginyje galima nustatyti rankiniu būdu arba nuotoliniu būdu naudojant turimą laivyno valdymo programinę įrangą. Kiti diegimo metodai, pvz., Grupės strategija, „Microsoft Intune“ ir "WinCS", aprašyti straipsnyje "Windows" įrenginiai įmonėms ir organizacijoms su IT valdomais naujinimais.
Saugiosios įkrovos registro raktai
Šiame skyriuje
Registro raktai
Visi toliau aprašyti saugiosios įkrovos registro raktai yra šiame registro kelyje:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Šioje lentelėje aprašomos visos registro reikšmės:
|
Registro reikšmė |
Tipas |
Aprašas ir naudojimas |
|---|---|---|
|
Galimi naujinimai |
REG_DWORD (šablonas) |
Naujinti paleidiklio žymes. Valdo, kokius saugiosios įkrovos naujinimo veiksmus atlikti įrenginyje. Nustačius atitinkamą bitų lauką, pradedamas naujų saugiosios įkrovos sertifikatų ir susijusių naujinimų diegimas. Diegiant įmonėje, reikia nustatyti 0x5944 (hex) – reikšmę, kuri įgalina visus susijusius naujinimus (naujus 2023 CA sertifikatus, atnaujina KEK ir įdiegia naują įkrovos tvarkytuvą). Parametrai:
|
|
HighConfidenceOptOut |
REG_DWORD |
Atsisakymo parinktis. Įmonėms, kurios nori atsisakyti didelio patikimumo talpyklų, kurios bus automatiškai taikomos kaip LCU dalis. Galite nustatyti šį raktą į ne nulinę reikšmę, kad atsisakytumėte didelio patikimumo talpyklų. Parametrai
|
|
MicrosoftUpdateManagedOptIn |
REG_DWORD |
Pasirinkimo parinktis. Įmonėms, kurios nori pasirinkti kontroliuojamo funkcijų diegimo (CFR) priežiūrą, dar vadinamą "Microsoft" valdomą. Ne tik nustatyti šį kodą, bet ir leisti siųsti reikiamus diagnostikos duomenis (žr. "Windows" diagnostikos duomenų konfigūravimas organizacijoje). Parametrai
|
Visi toliau aprašyti saugiosios įkrovos registro raktai yra šiame registro kelyje:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Šioje lentelėje aprašomos visos registro reikšmės:
|
Registro reikšmė |
Tipas |
Aprašas ir naudojimas |
|---|---|---|
|
UEFICA2023Status |
REG_SZ (eilutė) |
Diegimo būsenos indikatorius. Atspindi dabartinę saugiosios įkrovos kodo naujinimo įrenginyje būseną. Bus nustatyta viena iš šių teksto reikšmių:
Iš pradžių būsena NotStarted. Jis pasikeičia į "InProgress", kai pradedamas naujinimas, ir galiausiai atnaujinamas, kai įdiegiami visi nauji raktai ir naujas paleidimo tvarkytuvas. Jei įvyko klaida, tada UEFICA2023Error registro reikšmė nustatyta į ne nulį kodą. |
|
UEFICA2023Error |
REG_DWORD (kodas) |
Klaidos kodas (jei yra). Ši reikšmė išlieka 0 , kai pavyks. Jei naujinimo procesas susiduria su klaida, UEFICA2023Error nustatyta į ne nulinį klaidos kodą, atitinkantį pirmąją aptiktą klaidą. Čia pateikiama klaida reiškia, kad saugiosios įkrovos naujinimas nevisiškai pavyko ir gali reikėti atlikti tyrimą arba atlikti taisymą tame įrenginyje. Pavyzdžiui, jei nepavyko atnaujinti DB (patikimų parašų duomenų bazės) dėl programinės-aparatinės įrangos problemos, šis registro raktas gali rodyti programinės-aparatinės įrangos klaidos kodą. Kai šis raktas yra ir nėra nulis, rekomenduojame ieškoti saugiosios įkrovos įvykių "Windows" įvykių žurnaluose – daugiau informacijos žr. Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai. |
|
WindowsUEFICA2023Capable |
REG_DWORD (kodas) |
Šis registro raktas skirtas riboto diegimo scenarijams ir nerekomenduojamas naudoti bendrai. Daugeliu atvejų naudokite UEFICA2023Status registro raktą. Leistinos reikšmės: 0 arba nėra rakto – "Windows UEFI CA 2023" sertifikato nėra DB 1 - "Windows UEFI CA 2023" sertifikatas yra DB 2 – "Windows UEFI CA 2023" sertifikatas yra DB ir sistema pradedama nuo 2023 m. pasirašytas įkrovos tvarkytuvas |
Kaip šie klavišai veikia kartu
IT administratoriai konfigūruoja registro reikšmę AvailableUpdates į 0x5944, kuri nurodo "Windows" vykdyti saugiosios įkrovos rakto naujinimą ir diegimą įrenginyje.
Kai procesas vykdomas, sistema atnaujina UEFICA2023Status iš NotStarted į InProgress ir galiausiai atnaujinta sėkmingai. Kai kiekvienas 0x5944 bitas sėkmingai apdorojamas, jis išvalomas.
Jei kuris nors veiksmas nepavyksta, klaidos kodas įrašomas dalyje UEFICA2023Error (o būsena išlieka "InProgress").
Šis mechanizmas suteikia administratoriams aiškų būdą paleisti ir sekti diegimą įrenginyje.
Diegimas naudojant registro raktus
Diegimą į įrenginių grupę sudaro šie veiksmai:
-
Nustatykite registro reikšmę AvailableUpdateskaip 0x5944 kiekviename naujinamame įrenginyje.
-
Stebėkite UEFICA2023Status ir UEFICA2023Klaidų registro raktus, kad pamatytumėte, ar įrenginiai vykdomi. Užduotis, kuri apdoroja šiuos naujinimus, vykdoma kas 12 valandų. Atkreipkite dėmesį, kad įkrovos tvarkytuvo naujinimas gali būti vykdomas tik paleidus iš naujo.
-
Ištirkite problemas, jei jos atsiranda. Jei įrenginyje UEFICA2023Error nėra nulis, galite patikrinti, ar įvykių žurnale nėra su šia problema susijusių įvykių. Visą saugiosios įkrovos įvykių sąrašą žr. Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai .
Pastaba apie paleidimą iš naujo: kol norint užbaigti procesą gali reikėti paleisti iš naujo, inicijuojant saugiosios įkrovos naujinimų diegimą, paleidimas iš naujo nebus atliekamas. Jei reikia paleisti iš naujo, saugiosios įkrovos diegimas priklauso nuo paleidimo iš naujo, kuris vyksta kaip įprastas įrenginio naudojimo kursas.
Įrenginio tikrinimas naudojant registro raktus
Tikrinant atskirus įrenginius siekiant užtikrinti, kad įrenginiai tinkamai apdoros naujinimus, registro raktai gali būti paprastas būdas patikrinti.
Norėdami išbandyti, paleiskite kiekvieną iš toliau nurodytų komandų atskirai nuo administratoriaus "PowerShell" raginimo:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Rankiniu būdu iš naujo paleiskite sistemą, kai AvailableUpdates tampa 0x4100
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Pirmoji komanda inicijuoja sertifikatą ir paleidimo tvarkytuvo diegimą įrenginyje. Antroji komanda sukelia užduotį, kuri apdoroja "AvailableUpdates" registro raktą iš karto. Paprastai užduotis vykdoma kas 12 valandų. Registro raktas turėtų greitai pasikeisti į 0x4100. Paleidus užduotį iš naujo, sistemos paleidimo tvarkytuvas bus atnaujintas, o AvailableUpdates taps 0x4000. Daugiau informacijos apie tai, kaip veikia "AvailableUpdates", žr. Trikčių diagnostika.
Rezultatus galite rasti stebėdami UEFICA2023Status ir UEFICA2023Klaidos registro raktus ir įvykių žurnalus, kaip aprašyta saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai.
Pagalbos atsisakymas ir atsisakymas
Registro raktus HighConfidenceOptOut ir MicrosoftUpdateManagedOptIn galima naudoti dviem diegimo pagalbinėms priemonėms, aprašytoms "Windows" įrenginiuose su IT valdomais naujinimais, valdyti.
-
HighConfidenceOptOut registro raktas valdo automatinį įrenginių naujinimą per kaupiamuosius naujinimus. Įrenginiuose, kuriuose "Microsoft" sėkmingai atnaujinome konkrečius įrenginius, jie bus laikomi "didelio patikimumo" įrenginiais, o saugiosios įkrovos sertifikato naujinimai bus atliekami automatiškai. Numatytasis parametras yra pasirinkti.
-
"MicrosoftUpdateManagedOptIn" registro raktas leidžia IT skyriams pasirinkti automatinį diegimą, kurį valdo "Microsoft". Šis parametras išjungtas pagal numatytuosius parametrus ir nustatomas kaip 1 pasirinkimas. Šis parametras taip pat reikalauja, kad įrenginys siųstų pasirinktinius diagnostikos duomenis.
Palaikomos "Windows" versijos
Ši lentelė toliau suskaidys palaikymą pagal registro raktą.
|
Raktas |
Palaikomos "Windows" versijos |
|
Galimi naujinimai UEFICA2023Status UEFICA2023Error |
Visos "Windows" versijos, palaikančios saugią įkrovą (Windows Server 2012 m. ir naujesnes "Windows" versijas). Nata: Nors patikimumo duomenys renkami Windows 10, LTSC, 22H2 ir naujesnėse "Windows" versijose, jie gali būti taikomi įrenginiams, kuriuose veikia ankstesnės "Windows" versijos.
|
|
HighConfidenceOptOut |
|
|
MicrosoftUpdateManagedOptIn |
Saugiosios įkrovos klaidos įvykiai
Klaidų įvykiai turi kritinę ataskaitų funkciją, informuojančią apie saugiosios įkrovos būseną ir eigą. Informacijos apie klaidos įvykius žr. Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai. Klaidos įvykiai atnaujinami papildoma saugiosios įkrovos įvykio informacija.
Reikia daugiau pagalbos?
Norite daugiau parinkčių?
Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.
Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.
