Attiecas uz
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Sākotnējais publicētais datums: 2025. gada 14. oktobris

KB ID: 5068202

Šajā rakstā ir norādījumi:  

  • Organizācijas ar IT pārvaldītām Windows ierīcēm un atjauninājumiem.

Šī atbalsta pieejamība:  

  • AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut un MicrosoftUpdateManagedOptIn reģistra atslēgas ir iekļautas atjauninājumos, kas izlaisti pēc šādiem datumiem:

    • 2025. gada 14. oktobris: Atbalstītās versijas ietver Windows 10, 22H2 un jaunākas versijas (tostarp 21H2 LTSC), visas atbalstītās Windows 11 versijas, kā arī Windows Server 2022 un jaunākas versijas.

    • 2025. gada 11. novembris. Windows versijām joprojām tiek nodrošināts atbalsts.

Šajā rakstā

Ievads

Šajā dokumentā aprakstīts atbalsts drošas sāknēšanas sertifikāta atjauninājumu izvietošanai, pārvaldībai un pārraudzībai, izmantojot Windows reģistra atslēgas. Atslēgas sastāv no: 

  • Viena atslēga, kas aktivizē sertifikātu un sāknēšanas pārvaldnieka izvietošanu ierīcē.

  • Divas atslēgas izvietošanas statusa pārraudzībai.

  • Divas atslēgas, lai pārvaldītu pieteikšanās/atteikšanās iestatījumus abiem pieejamajiem izvietošanas palīgiem.

Šīs reģistra atslēgas var iestatīt manuāli ierīcē vai attālināti, izmantojot pieejamo pārvaldības programmatūru. Citas izvietošanas metodes, piemēram, grupas politika, Intune un WinCS, ir aprakstītas rakstā Windows ierīces uzņēmumiem un organizācijām ar IT pārvaldītiem atjauninājumiem.  

Drošas sāknēšanas reģistra atslēgas.

Šajā sadaļā

Reģistra atslēgas

Visas šajā dokumentā aprakstītās drošās sāknēšanas reģistra atslēgas atrodas šajā reģistra ceļā: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Nākamajā tabulā ir aprakstītas visas reģistra vērtības. 

Reģistra vērtība

Veids

Description & Usage

AvailableUpdates

REG_DWORD (bitmask)

Atjaunināt trigera karodziņus.

Kontrolē, kuras drošās sāknēšanas atjaunināšanas darbības tiek veiktas ierīcē. Šeit tiek sākta jauno drošās sāknēšanas sertifikātu un saistīto atjauninājumu izvietošana, izmantojot atbilstošo bitfield. Lai izvietotu uzņēmumu, šim iestatījumam ir jābūt 0x5944 (heksadecimāls) — vērtība, kas iespējo visus atbilstošos atjauninājumus (pievienojot jaunos 2023. gada CA sertifikātus, atjauninot KEK un instalējot jauno sāknēšanas pārvaldnieku). 

Iestatījumus: 

  • 0 vai nav iestatīts — netiek veikta drošas sāknēšanas atslēgas atjaunināšana.

  • 0x5944 — izvietojiet visus nepieciešamos sertifikātus un atjauniniet tos PCA2023 sāknēšanas pārvaldniekā

UEFICA2023Status

REG_SZ (virkne)

Izvietošanas statusa indikators.

Atspoguļo pašreizējo drošas sāknēšanas atslēgas atjauninājuma stāvokli ierīcē. Tam tiks iestatīta kāda no šīm teksta vērtībām:

  • NotStarted:Atjauninājums vēl nav palaists.

  • InProgress:Atjaunināšana notiek aktīvi.

  • Atjaunināts: Atjaunināšana ir sekmīgi pabeigta.

Sākotnējā statusa statuss ir NotStarted. Tā mainās uz InProgress, kad sākas atjaunināšana, un beigās tas tiek atjaunināts, kad ir izvietotas visas jaunās atslēgas un jaunais sāknēšanas pārvaldnieks. Ja rodas kļūda, tad UEFICA2023Kļūdas reģistra vērtība ir iestatīta uz kodu, kas nav nulle.

UEFICA2023Error

REG_DWORD (kods)

Kļūdas kods (ja tāds ir).

Šī vērtība būs sekmīga, un tā būs 0. Ja atjaunināšanas procesa laikā rodas kļūme, UEFICA2023Error ir iestatīts uz kļūdas kodu, kas nav nulle un atbilst pirmajai kļūdai. Šeit rodas kļūda, kas norāda, ka drošais sāknēšanas atjauninājums pilnībā neizdosies, un var būt nepieciešama šīs ierīces izpēte vai labošana.  

Piemēram, ja db (uzticamu parakstu datu bāzes) atjaunināšana neizdevās aparātprogrammatūras problēmas dēļ, šajā reģistra atslēgā var būt redzams kļūdas kods, kuru var kartēt ar notikumu žurnāla vai dokumentētas kļūdas ID Secure Boot DB un DBX mainīgo atjaunināšanas notikumos. 

HighConfidenceOptOut

REG_DWORD

Atteikšanās opcija.

Uzņēmumiem, kuri vēlas atteikties no augstas ticamības intervāliem, kas tiks automātiski lietoti kā LCU daļa.

Lai atteiktos no augstas ticamības intervāliem, šo atslēgu varat iestatīt kā vērtību, kas nav nulle. 

Iestatījumi 

  • 0 vai atslēga nepastāv — pieteikšanas

  • 1 . Pieteikšanās

MicrosoftUpdateManagedOptIn

REG_DWORD

Pieteikšanās opcija.

Uzņēmumiem, kuri vēlas jāpiesakās kontrolētās līdzekļu izvēršes (Controlled Feature Rollout — CFR) apkalpošanas apkopē, kas tiek dēvēta arī par Microsoft Managed.

Papildus šīs atslēgas iestatīšanai atļaujiet sūtīt nepieciešamos diagnostikas datus (skatiet rakstu Windows diagnostikas datu konfigurēšana jūsu organizācijā). 

Iestatījumi

  • 0 vai atslēga nepastāv — atteikšanās

  • 1 . Pieteikšanās

Kā šie taustiņi darbojas kopā

IT administrators konfigurē reģistra vērtību AvailableUpdates tā, 0x5944, kas signalizē Windows drošas sāknēšanas atslēgas atjaunināšanas un instalēšanas izpildei ierīcē.

Procesa laikā sistēmas atjauninājumi UEFICA2023Status no NotStarted uz InProgress un pēc tam atjaunināti pēc veiksmīgas darbības. Tā kā katrs bits 0x5944 sekmīgi apstrādāts, tas tiek notīrīts.

Ja kāda darbība neizdodas, kļūdas kods tiek ierakstīts UEFICA2023Error (un statuss paliek InProgress).

Šis mehānisms sniedz administratoriem skaidru veidu, kā aktivizēt un izsekot izvēršamību ierīcē. 

Izvietošana, izmantojot reģistra atslēgas 

Izvietošanu ierīču grupā veido tālāk norādītās darbības. 

  1. Iestatiet reģistra vērtību AvailableUpdates0x5944 katrā ierīcē, kas jāatjaunina.

  2. UEFICA2023Status un UEFICA2023Error reģistra atslēgu pārraudzība, lai redzētu, kā ierīces virzās uz priekšu. Atcerieties, ka uzdevums, kas apstrādā šos atjauninājumus, tiek izpildīts reizi 12 stundās. Ņemiet vērā, ka sāknēšanas pārvaldnieka atjaunināšana var notikt tikai pēc restartēšanas.

  3. Izpētiet problēmas, ja tās notiek. Ja UEFICA2023Error ierīcē nav nulle, varat pārbaudīt notikumu žurnālu, vai nav notikumu saistībā ar šo problēmu. Pilnu drošas sāknēšanas notikumu sarakstu skatiet sadaļā Secure Boot DB un DBX mainīgā atjaunināšanas notikumi.

Piezīme par restartēšanu. Lai gan restartēšana var būt jāveic, lai pabeigtu procesu, uzsāciet drošas sāknēšanas atjauninājumu izvietošanu, nevis restartējiet datoru. Ja nepieciešama restartēšana, drošās sāknēšanas izvietošana tiek atkarīga no restartēšanas, kas notiek tāpat kā standarta ierīces lietošanas kurss. 

Ierīču testēšana, izmantojot reģistra atslēgas 

Testējot atsevišķas ierīces, lai pārliecinātos, vai ierīces pareizi apstrādās atjauninājumus, reģistra atslēgas var būt vienkāršs veids, kā pārbaudīt. 

Lai pārbaudītu, izpildiet katru no šīm komandām atsevišķi no administratora PowerShell uzvednes: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Pirmā komanda iniciē sertifikātu un sāknēšanas pārvaldnieka izvietošanu ierīcē. Otrā komanda liek uzreiz palaist uzdevumu , kas apstrādā reģistra atslēgu AvailableUpdates . Parasti uzdevums tiek izpildīts ik pēc 12 stundām. 

Rezultātus varat atrast, vērojot UEFICA2023Status un UEFICA2023Error reģistra atslēgas un notikumu žurnālus, kā aprakstīts tēmā Secure Boot DB un DBX mainīgo atjaunināšanas notikumi. 

Atteikšanās un atteikšanās palīdzībai 

Reģistra atslēgas HighConfidenceOptOut un MicrosoftUpdateManagedOptIn var izmantot, lai pārvaldītu divas izvietošanas "palīgus", kas aprakstītas Windows ierīcēs ar IT pārvaldītiem atjauninājumiem. 

  • Reģistra atslēga HighConfidenceOptOut kontrolē ierīču automātisko atjaunināšanu, izmantojot kumulatīvos atjauninājumus. Ierīcēs, kurās korporācija Microsoft ir novēroti konkrētas ierīces, kas veiksmīgi atjauninātas, tās tiek uzskatītas par "augstas ticamības" ierīcēm, un drošās sāknēšanas sertifikāta atjauninājumi tiks automātiski atjaunināti. Šīs pieteikšanās noklusējuma iestatījums.

  • MicrosoftUpdateManagedOptIn reģistra atslēga sniedz IT nodaļām iespēju izmantot automātisko izvietošanu, ko pārvalda Microsoft. Šis iestatījums pēc noklusējuma ir atspējots, un, iestatot 1 pieteikšanās punktu. Šim iestatījumam arī ir nepieciešams, lai ierīce nosūtītu neobligātos diagnostikas datus.

Atbalstītās Windows versijas

Šajā tabulā ir arī papildu informācija par atbalstu, pamatojoties uz reģistra atslēgu. 

Atslēga 

Atbalstītās Windows versijas 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Visas Windows versijas, kas atbalsta drošo sāknēšanas programmu (Windows Server 2012 vai jaunākas Windows versijas).  

Piezīme: Lai gan ticamības dati tiek apkopoti Windows 10, versijās LTSC, 22H2 un jaunākās Windows versijās, tos var lietot ierīcēs, kurās darbojas vecākas Windows versijas.    

  • Windows 10, LTSC un 22H2 versijas

  • Windows 11, 22H2 un 23H2 versija

  • Windows 11, versija 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Drošas sāknēšanas kļūdu notikumi

​​​​​​​​​​​​​​Kļūdu notikumiem ir kritiska atskaišu veidošanas funkcija, lai informētu par drošās sāknēšanas statusu un progresu.  Informāciju par kļūdu notikumiem skatiet rakstā Secure Boot DB un DBX mainīgā atjaunināšanas notikumi. Kļūdas notikumi tiek atjaunināti ar papildu notikuma informāciju drošai sāknēšanai. 

Papildu komponentu izmaiņas drošai palaišanai 

Šajā sadaļā

TPMUzdevumu izmaiņas 

Modificēt TPMUzdevumus, lai noteiktu, vai ierīces stāvoklis ir atjaunināts drošās sāknēšanas sertifikāti. Pašlaik tas var veikt noteikšanu, bet tikai tad, ja CFR atlasa datoru atjaunināšanai. Šis noteikšanas un turpmākās reģistrēšanas notiek katrā sāknēšanas sesijā neatkarīgi no CFR. Ja drošās sāknēšanas sertifikāti nav pilnībā atjaunināti, tie ģenerēs divus iepriekš aprakstītos kļūdu notikumus. Ja sertifikāti ir atjaunināti, tie ģenerēs notikumu Informācija. Tiks pārbaudīti tālākie drošās sāknēšanas sertifikāti.  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 un Microsoft Option ROM UEFI CA 2023 — tām ir jābūt tikai tad, ja ir instalēta Microsoft UEFI CA 2011. Ja Nav Microsoft UEFI CA 2011, pārbaude nav nepieciešama.

  • Microsoft Corporation KEK 2K CA 2023

Datora metadatu notikums 

Šis notikums apkopos datora metadatus un izjutīs šādu notikumu:

  • BucketId + ticamības novērtējuma notikums   

Šis notikums izmantos datora metadatus, lai atbilstošo ierakstu atrastu datoru datu bāzē (intervāla ieraksts). Dators formatēs un ģenerēs notikumu ar šiem datiem kopā ar visu ticamības informāciju par intervālu. ​​​​​​​ 

Droša ierīces palīdzība 

Ierīcēm ar augstas ticamības intervāliem automātiski tiks lietoti drošās sāknēšanas sertifikāti un 2023 parakstītais sāknēšanas pārvaldnieks.   

Atjauninājums tiks aktivizēts vienlaikus ar abu kļūdu notikumiem, un notikumā BucketId + Confidence Rating ir iekļauts augstas ticamības novērtējums.   

Atteikšanās

Klientiem, kuri vēlas atteikties, būs pieejama jauna reģistra atslēga, kā norādīts tālāk.   

Reģistra atrašanās vieta

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Taustiņa nosaukums

HighConfidenceOptOut

Atslēgas tips

DWORD

DWORD vērtība

0 vai atslēga nepastāv — ir iespējota augstas ticamības palīdzība.    

1. Augstas uzticēšanās palīdzība ir atspējota   

Jebkura cita vērtība ir nedefinēta   

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs