Taikoma
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Pradinė publikavimo data: 2026 m. kovo 19 d.

KB ID: 5085046

Šiame straipsnyje

Apžvalga

Šiame puslapyje pateikiami administratorių ir palaikymo specialistų vadovai, kaip diagnozuoti ir spręsti su saugia įkrova susijusias problemas "Windows" įrenginiuose. Temos apima saugiosios įkrovos sertifikato naujinimo triktis, neteisingas saugiosios įkrovos būsenas, netikėtus "BitLocker" atkūrimo raginimus ir paleidimo klaidas pakeitus saugiosios įkrovos konfigūraciją.

Vadove paaiškinama, kaip patikrinti "Windows" priežiūrą ir konfigūraciją, peržiūrėti atitinkamas registro reikšmes ir įvykių žurnalus bei nustatyti, kada programinei-aparatinei įrangai arba platformos apribojimams reikia OĮG naujinimo. Šis turinys skirtas diagnozuoti problemas esamuose įrenginiuose. Jis nėra skirtas naujų diegimų planavimui. Šis dokumentas bus atnaujintas, kai bus nustatyti nauji trikčių šalinimo scenarijai ir rekomendacijos.

Atgal į viršų

Kaip veikia saugiosios įkrovos sertifikato priežiūra

Saugiosios įkrovos sertifikato priežiūra sistemoje "Windows" yra suderintas procesas tarp operacinės sistemos ir įrenginio UEFI programinės-aparatinės įrangos. Tikslas yra atnaujinti kritinius patikimumo prieraišus išsaugant galimybę paleisti kiekviename etape.

Procesą valdo "Windows" suplanuota užduotis, registru pagrįsta naujinimo veiksmų seka ir įtaisytasis registravimas bei bandymas dar kartą. Kartu šie komponentai užtikrina, kad saugiosios įkrovos sertifikatai ir "Windows" įkrovos tvarkytuvas būtų atnaujinti kontroliuojamu, sureduotu būdu ir tik sėkmingai atlikus būtinųjų veiksmų.

Atgal į viršų

Kur pradėti trikčių diagnostiką

Kai atrodo, kad įrenginys neatliks laukiamos eigos taikant saugiosios įkrovos sertifikato naujinimus, pradėkite nustatydami problemos kategoriją. Dauguma problemų kyla vienoje iš keturių sričių: "Windows" priežiūros būsena, saugiosios įkrovos naujinimo mechanizmas, programinės-aparatinės įrangos veikimas arba platformos arba OĮG apribojimai.

Iš eilės pradėkite nuo toliau nurodytų tikrinimų. Daugeliu atvejų šių veiksmų pakanka stebimai elgsenai paaiškinti ir tolesniams veiksmams be gilesnio tyrimo nustatyti.

  1. "Windows" priežiūros ir platformos tinkamumo patvirtinimas

    1. ​​​​​​​Patikrinkite, ar įrenginys atitinka pagrindinius reikalavimus saugiosios įkrovos sertifikato naujinimams gauti:

    2. Įrenginyje veikia palaikoma "Windows" versija.

    3. Įdiegti naujausi būtinieji "Windows" saugos naujinimai.

    4. Saugi įkrova įgalinta UEFI programinėje-aparatinėje įrangoje.

    5. Jei kuri nors iš šių sąlygų netenkinama, prieš tęsdami trikčių diagnostiką, pašalinkite jas.

  2. Patikrinkite saugiosios įkrovos naujinimo užduoties būseną

    1. Įsitikinkite, kad "Windows" mechanizmas, atsakingas už saugiosios įkrovos sertifikato naujinimų taikymą, yra ir veikia:

    2. Saugiosios įkrovos naujinimo suplanuota užduotis yra.

    3. Užduotis yra įjungta ir vykdoma kaip vietinė sistema.

    4. Užduotis buvo vykdoma bent kartą po to, kai buvo įdiegtas naujausias "Windows" saugos naujinimas.

    5. Jei užduotis išjungta, panaikinta arba neveikia, saugiosios įkrovos sertifikato naujinimų taikyti negalima. Trikčių diagnostika turėtų būti sutelkta į užduoties atkūrimą prieš tiriant kitas priežastis.

  3. Patikrinkite registro parametrus, ar nėra numatyto progreso

    Peržiūrėkite įrenginio saugiosios įkrovos priežiūros būseną registre:

    1. Patikrinkite UEFICA2023Status, UEFICA2023Error ir UEFICA2023ErrorEvent.

    2. Išnagrinėkite AvailableUpdates ir palyginkite juos su numatoma progresu (žr. Nuoroda ir vidiniai).

    Kartu šios reikšmės nurodo, ar priežiūra vyksta įprastai, ar bandoma atlikti operaciją iš naujo, ar užstrigo atliekant konkretų veiksmą.

  4. Susieti registro būseną su saugiosios įkrovos įvykiais

    Peržiūrėkite su saugiuoju paleidimu susijusius įvykius sistemos įvykių žurnale ir susiekite juos su registro būsena. Įvykio duomenys paprastai patvirtina, ar įrenginys atlieka persiuntimo eigą, kartoja bandymą dėl laikinos būklės arba blokuoja programinės-aparatinės įrangos ar platformos problemą.

    Kartu registro ir įvykių žurnalai paprastai nurodo, ar veikimas yra numatomas, laikinas, ar reikia imtis taisymo veiksmų.

Atgal į viršų

Saugiosios įkrovos naujinimo suplanuota užduotis

Saugiosios įkrovos sertifikato priežiūra įgyvendinama per "Windows" suplanuotą užduotį, pavadintą Saugiosios įkrovos naujinimas. Užduotis užregistruojama šiuo keliu:

\Microsoft\Windows\PI\Secure-Boot-Update

Užduotis vykdoma kaip vietinė sistema. Pagal numatytuosius nustatymus jis paleidžiamas sistemos paleisties metu ir po to kas 12 valandų. Kiekvieną kartą, kai jis paleidžiamas, patikrina, ar laukia saugaus paleidimo naujinimo veiksmai, ir bando juos taikyti eilės tvarka.

Jei ši užduotis išjungta arba jos nėra, saugiosios įkrovos sertifikato naujinimų taikyti negalima. Saugiosios įkrovos naujinimo užduotis turi likti įgalinta, kad veiktų saugiosios įkrovos priežiūra.

Atgal į viršų

Kodėl naudojama suplanuota užduotis

Saugiosios įkrovos sertifikatų naujinimams būtinas "Windows" ir UEFI programinės-aparatinės įrangos derinimas, įskaitant UEFI kintamųjų, kurie saugo saugiosios įkrovos kodus ir sertifikatus, rašymą. Suplanuota užduotis leidžia "Windows" bandyti šiuos naujinimus, kai sistema yra tokios būsenos, kai programinės-aparatinės įrangos kintamuosius galima modifikuoti.

Pasikartojantis 12 valandų tvarkaraštis suteikia papildomų galimybių kartoti naujinimus, jei ankstesnis bandymas nepavyko arba jei įrenginys liko įjungtas nepaleidžiant iš naujo. Šis dizainas padeda užtikrinti pažangą be rankinio įsikišimo.

Atgal į viršų

"AvailableUpdates" registro šablonas

Užduotį "Secure-Boot-Update" valdo registro reikšmė AvailableUpdates . Ši reikšmė yra 32 bitų šablonas, esantis:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Kiekvienas reikšmės bitas nurodo konkretų saugiosios įkrovos naujinimo veiksmą. Naujinimo procesas pradedamas, kai "AvailableUpdates " nustatoma ne nulinė reikšmė, kurią automatiškai nustato "Windows" arba aiškiai nustato administratorius. Pvz., reikšmė, pvz., 0x5944 nurodo, kad laukia keli naujinimo veiksmai.

Kai saugiosios įkrovos naujinimo užduotis vykdoma, ji nustato rinkinio bitus kaip laukiančius darbus ir apdoroja juos nustatyta tvarka.

Atgal į viršų

Nuoseklūs naujinimai, registravimas ir pakartotinis veikimas

Saugiosios įkrovos sertifikato naujinimai taikomi fiksuota tvarka. Kiekvienas naujinimo veiksmas sukurtas taip, kad būtų saugus kartoti ir baigti nepriklausomai. Saugiosios įkrovos naujinimo užduotis nepereis prie kito veiksmo, kol dabartinis veiksmas pavyksta, o atitinkamas bitas pašalinamas iš AvailableUpdates.

Kiekviena operacija naudoja standartines UEFI sąsajas, kad atnaujintų saugiosios įkrovos kintamuosius, pvz., DB ir KEK, arba įdiegtų atnaujintą "Windows" įkrovos tvarkytuvą. "Windows" įrašo kiekvieno sistemos įvykių žurnalo veiksmo rezultatus. Sėkmės įvykiai patvirtina persiuntimo eigą, o trikčių įvykiai nurodo, kodėl nepavyko atlikti veiksmo.

Jei naujinimo veiksmas nepavyksta, užduotis nustoja apdoroti, užregistruoja klaidą ir palieka susietą bitų rinkinį. Operacija kartojama, kai kitą kartą vykdoma užduotis. Šis pakartotinių bandymų veikimas leidžia įrenginiams automatiškai atkurti iš laikinų sąlygų, pvz., trūkstamo programinės-aparatinės įrangos palaikymo arba uždelstų OĮG naujinimų.

Administratoriai gali sekti eigą koreliuodami registro būseną su įvykių žurnalo įrašais. Registro reikšmės, pvz., UEFICA2023Status, UEFICA2023Error ir UEFICA2023ErrorEvent, kartu su "AvailableUpdates" šablonas , nurodo, kuris veiksmas yra aktyvus, baigtas arba užblokuotas.

Šis derinys rodo, ar įrenginys veikia įprastai, kartoja operaciją arba užstrigo.

Atgal į viršų

Integravimas su OĮG programine-aparatine įranga

Saugiosios įkrovos sertifikato naujinimai priklauso nuo teisingo veikimo ir įrenginio UEFI programinės-aparatinės įrangos palaikymo. Kol "Windows" tvarko naujinimo procesą, programinė-aparatinė įranga yra atsakinga už saugiosios įkrovos strategijos vykdymą ir saugiosios įkrovos duomenų bazių tvarkymą.

OĮG pateikia du kritinius elementus, kurie įgalina saugiosios įkrovos sertifikato priežiūrą:

  • Platformos raktu pasirašyti raktų "Exchange" raktai (KEK), leidžiantys diegti naujus saugiosios įkrovos sertifikatus.

  • Programinės-aparatinės įrangos įdiegtys, kurios naujinimų metu tinkamai išsaugo, prideda ir tikrina apsaugotos įkrovos duomenų bazes.

Jei programinė-aparatinė įranga nevisiškai palaiko šiuos veiksmus, saugiosios įkrovos naujinimai gali užstrigti, kartoti neribotą laiką arba sukelti paleidimo klaidų. Tokiais atvejais "Windows" negali užbaigti naujinimo be programinės-aparatinės įrangos pakeitimų.

"Microsoft" veikia su OĮG, kad nustatytų programinės-aparatinės įrangos problemas ir pateiktų pataisytus naujinimus. Kai trikčių diagnostika nurodo programinės-aparatinės įrangos apribojimą arba defektą, administratoriams gali tekti įdiegti naujausią UEFI programinės-aparatinės įrangos naujinimą, kurį pateikė įrenginio gamintojas, kad būtų galima sėkmingai užbaigti saugiosios įkrovos sertifikato naujinimus.

Atgal į viršų

Įprasti trikčių scenarijai ir sprendimai

Saugiosios įkrovos naujinimai taikomi saugiosios įkrovos naujinimo suplanuotai užduočiai pagal "AvailableUpdates " registro būseną.

Esant įprastoms sąlygoms, šie veiksmai įvyksta automatiškai ir įrašyti sėkmės įvykius, kai baigiamas kiekvienas etapas. Kai kuriais atvejais programinės-aparatinės įrangos veikimas, platformos konfigūracija arba priežiūros būtinosios sąlygos gali užkirsti kelią eigai arba sukelti netikėtą įkrovos veikimą.

Tolesniuose skyriuose aprašyti dažniausiai pasitaikantys trikčių scenarijai, kaip juos atpažinti, kodėl jie įvyksta, ir atitinkami kiti veiksmai, kaip atkurti įprastą operaciją. Scenarijai sutvarkyti iš dažniausiai pasitaikančius rimtesniais įkrovą veikiančius atvejus.

Kai saugiosios įkrovos naujinimai nerodo eigos, paprastai tai reiškia, kad naujinimo procesas niekada nepradėtas. Todėl nėra numatomos saugiosios įkrovos registro reikšmių ir įvykių žurnalų, nes naujinimo mechanizmas nebuvo suaktyvintas.

Kas atsitiko

Nepavyko paleisti saugiosios įkrovos naujinimo proceso, todėl įrenginiui nebuvo pritaikyti jokie saugiosios įkrovos sertifikatai arba atnaujintas įkrovos tvarkytuvas.

Kaip ją atpažinti

  • Nėra saugiosios įkrovos priežiūros registro reikšmių, pvz., UEFICA2023Status.

  • Sistemos įvykių žurnale trūksta numatomos saugiosios įkrovos įvykių (pvz., 1043, 1044, 1045, 1799, 1801).

  • Įrenginys ir toliau naudoja senesnius saugiosios įkrovos sertifikatus ir įkrovos komponentus.

Kodėl taip nutinka

Šis scenarijus paprastai įvyksta, kai tenkinama viena ar daugiau iš šių sąlygų:

  • Saugiosios įkrovos naujinimo suplanuota užduotis išjungta arba jos nėra.

  • UEFI programinė-aparatinėje įrangoje saugiosios įkrovos funkcija išjungta.

  • Įrenginys neatitinka "Windows" būtinųjų priežiūros sąlygų, pvz., veikia palaikoma "Windows" versija arba įdiegti reikiami naujinimai.

Ką daryti toliau

  • Patikrinkite, ar įrenginys atitinka "Windows" priežiūros ir platformos tinkamumo reikalavimus.

  • Įsitikinkite, kad programinėje-aparatinėje įkrovoje įgalinta saugi įkrova.

  • Įsitikinkite, kad SecureBootUpdate suplanuota užduotis yra ir yra įjungta.

Jei suplanuota užduotis išjungta arba jos nėra, vykdykite nurodymus, pateiktus dalyje Saugiosios įkrovos suplanuota užduotis išjungta arba panaikinta , kad ją atkurtumėte. Kai užduotis bus atkurta, iš naujo paleiskite įrenginį arba paleiskite užduotį rankiniu būdu, kad inicijuotumėte saugiosios įkrovos priežiūrą.

Kai kuriais atvejais dėl su saugiuoju paleidimu susijusių naujinimų įrenginys gali įvesti "BitLocker" atkūrimą. Veikimas gali būti trumpalaikis arba nuolatinis, atsižvelgiant į esamą priežastį.

1 scenarijus: Vienkartinis "BitLocker" atkūrimas po saugiosios įkrovos naujinimo

Kas nutinka

Įrenginys įsijungia į "BitLocker" atkūrimą po pirmojo paleidimo po saugiosios įkrovos naujinimo, tačiau paprastai paleidžiamas iš naujo vėliau.

Kodėl taip nutinka

Pirmojo paleidimo po naujinimo metu programinė-aparatinė įranga dar nepraneša apie atnaujintas saugiosios įkrovos reikšmes, kai "Windows" bando iš naujo įdiegti "BitLocker". Dėl to atsiranda laikinas išmatuotų įkrovos reikšmių neatitikimas ir paleidžiamas atkūrimas. Kito paleidimo metu programinė-aparatinė įranga tinkamai praneša atnaujintas reikšmes, "BitLocker" sėkmingai atkuria ir problema nesikartoja.

Kaip ją atpažinti

  • "BitLocker" atkūrimas įvyksta vieną kartą.

  • Įvedus atkūrimo raktą, vėlesni paleidimai neraginti atkūrimo.

  • Nėra vykdomos įkrovos tvarkos arba PXE dalyvavimo.

Ką daryti toliau

  • Įveskite "BitLocker" atkūrimo raktą, kad pratęstumėte "Windows".

  • Patikrinkite, ar yra programinės-aparatinės įrangos naujinimų.

2 scenarijus: pakartotinas "BitLocker" atkūrimas dėl PXE pirmojo paleidimo konfigūracijos

Kas nutinka

Įrenginys įveda "BitLocker" atkūrimą kiekvieną kartą pakraunant.

Kodėl taip nutinka

Įrenginys sukonfigūruotas pirmiausia bandyti PXE (tinklo) įkrovą. PXE įkrovos bandymas nepavyksta, ir programinės-aparatinės įrangos tada grįžta į disko "Windows" įkrovos tvarkytuvą.

Dėl to per vieną įkrovos ciklą matuojamos dvi skirtingos pasirašymo institucijos:

  • PXE įkrovos kelias yra pasirašytas Microsoft UEFI CA 2011.

  • "Windows" sistemos įkrovos tvarkytuvą diske pasirašė "Windows UEFI CA 2023".

"BitLocker" paleidimo metu stebi skirtingas saugiosios įkrovos patikimumo grandines, todėl negalima nustatyti stabilaus TPM matavimų rinkinio, kad būtų galima iš naujo pradėti. Todėl "BitLocker" įveda atkūrimą kiekvieną kartą įkrovą.

Kaip ją atpažinti

  • "BitLocker" atkūrimas paleidžiamas kiekvieną kartą paleidus iš naujo.

  • Atkūrimo kodo įvedimas leidžia paleisti "Windows", tačiau raginimas grąžinamas kitą kartą įkrovą.

  • PXE arba tinklo įkrova sukonfigūruota prieš vietinį diską programinės-aparatinės įrangos paleidimo tvarkoje.

Ką daryti toliau

  • Sukonfigūruokite programinės-aparatinės įrangos paleidimo tvarką, kad pirmiausia būtų įdiegtas "Windows" įkrovos tvarkytuvas diske.

  • Išjunkite PXE įkrovą, jei tai nebūtina.

  • Jei reikia PXE, įsitikinkite, kad PXE infrastruktūra naudoja 2023 m. pasirašytą "Windows" paleidimo įkelties įkrovą.

Kas atsitiko

Tai rodo programinės-aparatinės įrangos lygio pasikeitimą, o ne "Windows" problemą. Saugiosios įkrovos naujinimas buvo sėkmingai baigtas, bet po vėlesnio paleidimo iš naujo įrenginys nebeįkraunamas į "Windows".

Kaip ją atpažinti

  • Įrenginiui nepavyksta paleisti "Windows" ir gali būti rodomas programinės-aparatinės įrangos arba BIOS pranešimas, nurodantis saugiosios įkrovos pažeidimą.

  • Klaida įvyksta , kai saugiosios įkrovos parametrai atkuriami pagal numatytuosius programinės-aparatinės įrangos parametrus.

  • Išjungus saugiąją įkrovą įrenginys gali būti paleistas dar kartą.

Kodėl taip nutinka

Iš naujo nustačius saugiąją įkrovą į numatytąją programinės-aparatinės įrangos reikšmę, išvalomi saugiosios įkrovos duomenų bazės, saugomos programinėje-aparatinėje įrangoje. Įrenginiuose, kurie jau buvo perkelti į "Windows" UEFI CA 2023 pasirašytą įkrovos tvarkytuvą, šis nustatymas iš naujo pašalina sertifikatus, reikalingus norint pasitikėti, kad įkrovos tvarkytuvas.

Todėl programinė-aparatinė įranga nebepapažįsta įdiegtos "Windows" įkrovos tvarkytuvo kaip patikimos ir blokuoja paleidimo procesą.

Šį scenarijų sukelia ne pats saugiosios įkrovos naujinimas, o vėlesnis programinės-aparatinės įrangos veiksmas, kuris pašalina atnaujintus patikimumo prieraišus.

Ką daryti toliau

  • Naudokite saugiosios įkrovos atkūrimo paslaugų programą, kad atkurtumėte reikiamą sertifikatą, kad įrenginys galėtų būti paleistas dar kartą.

  • Atkūrę įsitikinkite, kad įrenginyje įdiegta naujausia iš įrenginio gamintojo įdiegta programinė-aparatinė įranga.

  • Nekurkite saugiosios įkrovos iš naujo į numatytąsias programinės-aparatinės įrangos reikšmes, nebent OĮG programinėje įrangoje yra atnaujintų saugiosios įkrovos numatytųjų parametrų, kuriais pasitikite 2023 m. sertifikatais.

Saugiosios įkrovos atkūrimo priemonė

Norėdami atkurti sistemą:

  1. Antrajame "Windows" kompiuteryje su įdiegtu 2024 m. liepos mėn. arba naujesniu "Windows" naujinimu nukopijuokite SecureBootRecovery.efi iš C:\Windows\Boot\EFI\.

  2. Įdėkite failą į FAT32 suformatuotą USB atmintinę dalyje \EFI\BOOT\ ir pervardykite jį bootx64.efi.

  3. Paleiskite paveiktą įrenginį iš USB atmintinės ir leiskite veikti atkūrimo priemonei. Paslaugų programa įtrauks "Windows UEFI CA 2023" į DB.

Atkūrus sertifikatą ir paleidus sistemą iš naujo, "Windows" turėtų būti paleista įprastai.

Svarbu: Šis procesas iš naujo pritaikys tik vieną iš naujų sertifikatų. Kai įrenginys atkuriamas, įsitikinkite, kad jis turi naujausius sertifikatus ir apsvarstykite galimybę atnaujinti sistemos BIOS/UEFI į naujausią pasiekiamą versiją. Tai gali padėti išvengti apsaugotos įkrovos nustatymo iš naujo problemos pasikartojimo, nes daugelis OĮG išleido šios konkrečios problemos programinės-aparatinės įrangos pataisas.

Kas atsitiko

Pritaikius saugiosios įkrovos sertifikato naujinimą ir paleidus jį iš naujo, įrenginio nepavyksta paleisti ir jis nepasiekė "Windows".

Kaip ją atpažinti

  • Įrenginys nepavyksta iš karto po paleidimo iš naujo, kurio reikia saugiosios įkrovos naujinimui.

  • Gali būti rodoma programinės-aparatinės įrangos arba saugiosios įkrovos klaida arba sistema gali sustoti prieš įkeliant "Windows".

  • Išjungus saugiąją įkrovą įrenginys gali būti paleistas.

Kodėl taip nutinka

Ši problema gali kilti dėl įrenginio UEFI programinės-aparatinės įrangos diegimo defekto.

Kai "Windows" taiko saugiosios įkrovos sertifikato naujinimus, tikimasi, kad programinė-aparatinė įranga pridės naujus sertifikatus esamoje saugiosios įkrovos leidžiamų parašų duomenų bazėje (DB). Kai kurios programinės-aparatinės įrangos įdiegtys netinkamai perrašo DB, o ne prideda prie jos.

Kai taip nutinka,

  • Anksčiau patikimi sertifikatai, įskaitant "Microsoft 2011" paleidimo programos sertifikatą, pašalinami.

  • Jei sistema vis dar naudoja įkrovos tvarkytuvą, tuo metu pasirašytą su 2011 m. sertifikatu, programinė-aparatinė įranga jos nebepalaiko.

  • Programinė-aparatinė įranga atmeta įkrovos tvarkytuvą ir blokuoja paleidimo procesą.

Kai kuriais atvejais duomenų bazė taip pat gali būti sugadinta, o ne aiškiai perrašyta, todėl rezultatas toks pat. Šis veikimas pastebėtas konkrečiose programinės-aparatinės įrangos įdiegtyse ir nesitikima dėl suderinamos programinės-aparatinės įrangos.

Ką daryti toliau

  • Įveskite programinės-aparatinės įrangos sąrankos meniu ir pabandykite iš naujo nustatyti saugiosios įkrovos parametrus.

  • Jei įrenginys paleidžiamas po nustatymo iš naujo, patikrinkite, ar įrenginio gamintojo palaikymo svetainėje yra programinės-aparatinės įrangos naujinimas, pataisantis saugiosios įkrovos DB tvarkymą.

  • Jei yra programinės-aparatinės įrangos naujinimas, įdiekite jį prieš iš naujo įjungdami saugiosios įkrovos ir iš naujo pritaikydami saugiosios įkrovos sertifikato naujinimus.

Jei saugiosios įkrovos nustatymas iš naujo neatkuria įkrovos funkcijos, tolesnis atkūrimas greičiausiai reikalauja OĮG konkrečių nurodymų.

Kas atsitiko

Saugiosios įkrovos sertifikato naujinimas nebaigtas ir lieka užblokuotas rakto "Exchange" rakto (KEK) naujinimo etape.

Kaip ją atpažinti

  • Registro reikšmė AvailableUpdates lieka nustatyta naudojant KEK bitą (0x0004) ir neišvalomas.

  • UEFICA2023Status nepereis į užbaigtą būseną.

  • Sistemos įvykių žurnale pakartotinai įrašomas įvykio ID 1803, nurodantis, kad nepavyko pritaikyti KEK naujinimo.

  • Įrenginys ir toliau kartoja naujinimą neatnaujinus.

Kodėl taip nutinka

Atnaujinant saugiosios įkrovos KEK reikia autorizuoti įrenginio platformos raktą (PK), kuris priklauso OĮG.

Kad naujinimas būtų sėkmingas, įrenginio gamintojas turi pateikti "Microsoft" FK pasirašytą KEK konkrečiai platformai. Šis OĮG pasirašytas KEK yra įtrauktas į "Windows" naujinimus ir leidžia "Windows" atnaujinti programinės-aparatinės įrangos KEK kintamąjį.

Jei OĮG nepateikė įrenginio PK pasirašyto KEK, "Windows" negali užbaigti KEK naujinimo. Esant tokiai būsenai:

  • Saugiosios įkrovos naujinimai blokuojami pagal dizainą.

  • Windows negali apeiti trūkstamo autorizavimo.

  • Įrenginys gali ir toliau visam laikui nepavykti užbaigti saugiosios įkrovos sertifikato priežiūros.

Tai gali įvykti senesniuose arba nepalaikončiuose įrenginiuose, kuriuose OĮG nebeteikia programinės-aparatinės įrangos arba pagrindinių naujinimų. Nėra palaikomo rankinio šios sąlygos atkūrimo kelio.

Atgal į viršų

Kai saugiosios įkrovos sertifikato naujinimų taikyti nepavyksta, "Windows" įrašo diagnostikos įvykius, paaiškinančius, kodėl eiga užblokuota. Šie įvykiai įrašomi atnaujinant saugiosios įkrovos parašo duomenų bazę (DB) arba rakto "Exchange" raktą (KEK) negalima saugiai užbaigti dėl programinės-aparatinės įrangos, platformos būsenos arba konfigūracijos sąlygų. Šiame skyriuje aprašyti scenarijai nurodo šiuos įvykius, kad būtų nustatyti įprasti trikčių modeliai ir nustatytas tinkamas taisymas. Šis skyrius skirtas padėti diagnozuoti ir interpretuoti anksčiau aprašytas problemas, o ne įvesti naujus trikčių scenarijus.

Visą įvykių ID, aprašų ir įrašų pavyzdžių sąrašą žr. Saugiosios įkrovos DB ir DBX kintamųjų naujinimo įvykiai (KB5016061).)

KEK naujinimo triktis (DB naujinimai pavyksta, KEK – ne)

Įrenginys gali sėkmingai atnaujinti sertifikatus saugiosios įkrovos DB, bet nepavyksta naujinant KEK. Kai taip atsitinka, saugiosios įkrovos naujinimo procesas negali būti baigtas.

Požymiai

  • DB sertifikato įvykiai nurodo eigą, bet KEK etapas nebaigtas.

  • AvailableUpdates lieka nustatyta kaip 0x4004 ir paleidus kelias užduotis, 0x0004 bitas neišvalomas.

  • Gali būti 1795 arba 1803 įvykis .

Aiškinimas

  • 1795 paprastai nurodo programinės-aparatinės įrangos triktį bandant atnaujinti apsaugotos įkrovos kintamąjį.

  • 1803 nurodo, kad KEK naujinimo negalima autorizuoti, nes platformoje nėra reikiamo OĮG PK pasirašyto KEK paketo turinio.

Kiti veiksmai

  • Jei naudojate 1795, patikrinkite, ar yra OĮG programinės-aparatinės įrangos naujinimų ir patikrinkite saugiosios įkrovos kintamųjų naujinimų programinės-aparatinės įrangos palaikymą.

  • Jei naudojate 1803, patikrinkite, ar OĮG pateikė "Microsoft" PK pasirašytą KEK, būtiną įrenginio modeliui.

"Hyper-V" nuomojamų svečio VM naujinimo klaida 

"Hyper-V" virtualiosiose mašinose saugiosios įkrovos sertifikato naujinimams reikia, kad 2026 m. kovo mėn. "Windows" naujinimai būtų įdiegti "Hyper-V" pagrindiniame kompiuteryje ir svečio OS.

Svečias praneša apie naujinimo triktis, tačiau įvykis nurodo, kur reikia atlikti taisymą:

  • Įvykis 1795 (pvz., "Medija apsaugota nuo įrašymo" ) nurodo, kad "Hyper-V" pagrindiniam kompiuteriui trūksta 2026 m. kovo mėn. naujinimo ir jį reikia atnaujinti.

  • Svečio praneštas įvykis 1803 nurodo, kad svečio virtualiojoje mašinoje trūksta 2026 m. kovo mėn. naujinimo ir turi būti atnaujintas.

Atgal į viršų 

Nuoroda ir vidiniai

Šiame skyriuje pateikiama išplėstinės nuorodos informacija, skirta trikčių diagnostikai ir palaikymui. Ji nėra skirta diegimo planavimui. Jis išplečia anksčiau apibendrintą saugiosios įkrovos priežiūros mechaniką ir pateikia išsamią informacinę medžiagą, skirtą interpretuoti registro būseną ir įvykių žurnalus.

Pastaba (IT valdomi diegimai): konfigūruojant naudojant Grupės strategija arba „Microsoft Intune“, dviejų panašių parametrų nereikėtų painioti. AvailableUpdatesPolicy reikšmė nurodo sukonfigūruotą strategijos būseną. Tuo tarpu "AvailableUpdates " atspindi vykdomos bitų valymo darbo būseną. Abu rezultatai gali būti tokie patys, tačiau jie veikia kitaip, nes ilgainiui strategija vėl taikoma.

Atgal į viršų 

AvailableUpdates – bitai, naudojami sertifikatų priežiūrai

Toliau nurodyti bitai naudojami sertifikatų ir paleidimo tvarkytuvo veiksmams, aprašytiems šiame dokumente. Stulpelis Užsakymas atspindi seką, kuria apsaugotos įkrovos naujinimo užduotis apdoroja kiekvieną bitą.

Užsakymas

Bitų parametras

Naudojimas

1

0x0040

Šis bitas nurodo suplanuotą užduotį įtraukti "Windows" UEFI CA 2023 sertifikatą į saugiosios įkrovos DB. Tai leidžia Windows pasitikėti paleidimo vadovais, pasirašytais šiuo sertifikatu.

2

0x0800

Šis bitas nurodo suplanuotą užduotį taikyti "Microsoft Option ROM UEFI CA 2023" DB.  

Sąlyginis veikimas: Nustačius vėliavėlę 0x4000 , suplanuota užduotis pirmiausia patikrins, ar duomenų bazėje yra "Microsoft Corporation" UEFI CA 2011 sertifikatas. Jis pritaikys "Microsoft Option ROM UEFI CA 2023 " sertifikatą tik tuo atveju, jei yra 2011 m. sertifikatas.

3

0x1000

Šis bitas nurodo suplanuotą užduotį taikyti "Microsoft" UEFI CA 2023 DB.

Sąlyginis veikimas: kai nustatyta vėliavėlė 0x4000 , suplanuota užduotis pirmiausia patikrins, ar duomenų bazėje yra "Microsoft Corporation" UEFI CA 2011 sertifikatas. "Microsoft" UEFI CA 2023 sertifikatą jis pritaikys tik tuo atveju, jei yra 2011 m. sertifikatas.

Modifikavimo priemonė (veikimo vėliavėlė)

0x4000

Šis bitas modifikuoja 0x0800 ir 0x1000 bitų veikimą, kad "Microsoft" UEFI CA 2023 ir "Microsoft Option ROM UEFI CA 202 CA 2023" būtų taikomos tik tuo atveju, jei DB jau yra "Microsoft Corporation UEFI CA 2011".   Siekiant užtikrinti, kad įrenginio saugos profilis liktų toks pat, šis bitas taiko šiuos naujus sertifikatus tik tuo atveju, jei įrenginys pasitiki "Microsoft Corporation" UEFI CA 2011 sertifikatu. Ne visi "Windows" įrenginiai pasitiki šiuo sertifikatu.

4

0x0004

Šis bitas nurodo suplanuotai užduočiai ieškoti rakto "Exchange" rakto, pasirašyto įrenginio platformos rakto (PK). FK valdo OĮG. OĮG pasirašo "Microsoft" KEK su savo FK ir pateikia jį "Microsoft", kur jis įtrauktas į mėnesio kaupiamuosius naujinimus.

5

0x0100

Šis bitas nurodo suplanuotai užduočiai taikyti įkrovos tvarkytuvą, pasirašytą "Windows UEFI CA 2023", įkrovos skaidiniui. Tai pakeis "Microsoft Windows Production PCA 2011" pasirašytą įkrovos tvarkytuvą.

Pastabos:

  • 0x4000 bitas liks nustatytas, kai visi kiti bitai bus apdoroti.

  • Kiekvieną bitą apdoroja saugiosios įkrovos naujinimo suplanuota užduotis anksčiau nurodyta tvarka.

  • Jei 0x0004 bitų negalima apdoroti dėl trūkstamo PK pasirašyto KEK, suplanuota užduotis vis tiek pritaikys įkrovos tvarkytuvo naujinimą, nurodytą bitų 0x0100.

Atgal į viršų 

Numatoma progresija (AvailableUpdates)

Sėkmingai baigus operaciją, "Windows" išvalo susietą bitą iš AvailableUpdates. Jei operacija nepavyksta, "Windows" registruoja įvykį ir kartoja, kai užduotis paleidžiama dar kartą.

Toliau pateiktoje lentelėje parodyta numatoma AvailableUpdates reikšmių progresija, kai baigiamas kiekvienas saugiosios įkrovos naujinimo veiksmas.

Veiksmas

Bitas apdorotas

Galimi Naujinimai

Aprašas

Užregistruotas sėkmingas įvykis

Galimi klaidų įvykių kodai

Pradžia

0x5944

Pradinė būsena prieš prasidedant saugiosios įkrovos sertifikato priežiūrai.

-

-

1

0x0040

0x5944 → 0x5904

"Windows UEFI CA 2023" įtraukiama į saugiosios įkrovos DB.

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

Įtraukite "Microsoft Option ROM UEFI CA 2023" į DB, jei įrenginys anksčiau pasitikėjo "Microsoft UEFI CA 2011".

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

Microsoft UEFI CA 2023 įtraukiamas į DB, jei įrenginys anksčiau pasitikėjo Microsoft UEFI CA 2011.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

Pritaikomas naujas "Microsoft KEK 2K CA 2023", pasirašytas OĮG platformos raktu.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

Įdiegtas įkrovos tvarkytuvas, pasirašytas "Windows UEFI CA 2023".

1799

1797

Pastabos

  • Sėkmingai užbaigus operaciją, susietą su bitu, tas bitas išvalomas iš AvailableUpdates.

  • Jei viena iš šių operacijų nepavyksta, įvykis užregistruojamas ir operacija kartojama kitą kartą vykdant suplanuotą užduotį.

  • 0x4000 bitas yra modifikatorius ir neišvalomas. Galutinė 0x4000 AvailableUpdates reikšmė nurodo sėkmingą visų taikomų naujinimo veiksmų užbaigimą.

  • Įvykiai 1032, 1795, 1796, 1802 paprastai nurodo programinės-aparatinės įrangos arba platformos apribojimus.

  • Įvykis 1803 nurodo, kad trūksta OĮG PK pasirašyto KEK.

Atgal į viršų 

Taisymo procedūros

Šiame skyriuje pateikiamos nuoseklios procedūros, kaip išspręsti konkrečias saugiosios įkrovos problemas. Kiekviena procedūra taikoma tiksliai apibrėžtai būklei ir ją ketinama taikyti tik po pradinės diagnozės, kuri patvirtina, kad problema taikoma. Atlikite šias procedūras, kad atkurtumėte numatomą saugiosios įkrovos veikimą ir leistumėte saugiai tęsti sertifikatų naujinimus. Netaikyti šių procedūrų plačiai ar pre premptively.

Atgal į viršų

Saugiosios įkrovos įgalinimas programinėje-aparatinėje įrangoje

Jei įrenginio programinėje-aparatinėje įkrovoje saugiosios įkrovos funkcija išjungta, išsamios informacijos apie saugiosios įkrovos įgalinimą žr. Windows 11 ir Saugi įkrova.

Atgal į viršų

Saugiosios įkrovos suplanuota užduotis išjungta arba panaikinta

Saugiosios įkrovos naujinimo suplanuota užduotis yra būtina, kad "Windows" galėtų taikyti saugiosios įkrovos sertifikato naujinimus. Jei užduotis išjungta arba jos nėra, saugiosios įkrovos sertifikato priežiūra nebus vykdoma.

Išsami užduoties informacija

Užduoties pavadinimas

Saugiosios įkrovos naujinimas

Užduoties kelias

\Microsoft\Windows\PI\

Visas kelias

\Microsoft\Windows\PI\Secure-Boot-Update

Veikia kaip

SYSTEM (vietinė sistema)

skirtuką Paleidikliai

Paleisties metu ir kas 12 valandų

Būtina būsena

Įjungtas

Kaip patikrinti užduoties būseną

Vykdykite didesnių teisių "PowerShell" raginimą: schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Ieškokite lauko Būsena:

Būsena

Prasme

paruošti

Užduotis yra ir yra įgalinta.

Išjungta

Užduotis yra, bet turi būti įgalinta.

Klaida / nerasta

Trūksta užduoties ir ji turi būti atkurta iš naujo.

Kaip įgalinti arba iš naujo sukurti užduotį

Jei saugiosios įkrovos naujinimo būsenos laukas išjungtas, klaida arba nerasta, naudokite scenarijaus pavyzdį, kad įgalintumėte užduotį: Enable-SecureBootUpdateTask.ps1pavyzdys

Pastaba: tai scenarijaus pavyzdys ir jo "Microsoft" nepalaiko. Administratoriai turėtų peržiūrėti ir pritaikyti ją savo aplinkai.

Pavyzdys:

.\Enable-SecureBootUpdateTask.ps1 – tylusis

Vykdykite nurodymus

  • Jei matote Prieiga uždrausta, iš naujo paleiskite "PowerShell" administratoriaus teisėmis.

  • Jei scenarijus nebus paleistas dėl vykdymo strategijos, naudokite proceso aprėpties apėjimo funkciją:

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass

Atgal į viršų 

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras