Attiecas uz
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Sākotnējās publicēšanas datums: 2026. gada 19. marts

KB ID: 5085046

Šajā rakstā

Kopsavilkums

Šajā lapā administratori un atbalsta speciālisti ir palīdz noteikt un novērst ar drošo sāknēšanu saistītās problēmas Windows ierīcēs. Tēmas ietver drošas sāknēšanas sertifikāta atjaunināšanas kļūmes, nepareizus drošās sāknēšanas iemeslus, neparedzētas BitLocker atkopšanas uzvednes un palaišanas kļūmes pēc drošās sāknēšanas konfigurācijas izmaiņām.

Norādījumos ir paskaidrots, kā pārbaudīt Windows apkalpošanas un konfigurāciju, pārskatīt atbilstošās reģistra vērtības un notikumu žurnālus un noteikt, kad aparātprogrammatūras vai platformas ierobežojumiem ir nepieciešams OEM atjauninājums. Šis saturs ir paredzēts problēmu diagnosticēšanai esošajās ierīcēs. Tas nav paredzēts jaunu izvietojumu plānošanai. Šis dokuments tiks atjaunināts, jo tiek identificēti jauni problēmu novēršanas scenāriji un norādījumi.

atpakaļ uz sākumu

Kā darbojas drošā sāknēšanas sertifikāta apkalpošana

Drošas sāknēšanas sertifikāta apkope operētājsistēmā Windows ir koordinēts process starp operētājsistēmu un ierīces UEFI aparātprogrammatūru. Mērķis ir atjaunināt kritiskos drošības kontroles enkurus, saglabājot iespēju veikt sāknēšanu katrā posmā.

Procesu nosaka Windows ieplānots uzdevums, atjaunināšanas darbību reģistra secība un iebūvēta reģistrēšana un atkārtota darbība. Kopā šie komponenti nodrošina, ka drošās sāknēšanas sertifikāti un Windows sāknēšanas pārvaldnieks tiek atjaunināti kontrolētā veidā, sakārtotā veidā un tikai pēc priekšnosacījuma darbību izpildījuma ir veiksmīga.

atpakaļ uz sākumu

Kur sākt problēmu novēršanu

Ja šķiet, ka ierīce virzās uz priekšu, lietojot drošas sāknēšanas sertifikāta atjauninājumus, sāciet, identificējot problēmas kategoriju. Lielākā daļa problēmu rodas vienā no četrām zonām: Windows apkalpošanas stāvoklis, drošās sāknēšanas atjaunināšanas mehānisms, aparātprogrammatūras darbība vai platforma vai OEM ierobežojums.

Sākt ar tālāk norādītās pārbaudes secībā. Daudzos gadījumos šīs darbības ir pietiekamas, lai izskaidrotu novēroto uzvedību un noteiktu nākamās darbības bez padziļinātas izpētes.

  1. Windows apkalpošanas un platformas piemērotības apstiprināšana

    1. ​​​​​​​Pārliecinieties, vai ierīce atbilst pamatprasībām drošas sāknēšanas sertifikāta atjauninājumu saņemšanai:

    2. Ierīcē darbojas atbalstīta Windows versija.

    3. Tiek instalēti jaunākie nepieciešamie Windows drošības atjauninājumi.

    4. Secure Boot ir iespējots UEFI aparātprogrammatūra.

    5. Ja kāds no šiem nosacījumiem netiek izpildīts, novērsiet tos, pirms turpināt veikt tālāku problēmu novēršanu.

  2. Drošas sāknēšanas-atjaunināšanas uzdevuma statusa pārbaude

    1. Pārliecinieties, vai ir palaists un darbojas Windows mehānisms, kas atbild par drošas sāknēšanas sertifikāta atjauninājumu instalēšanu:

    2. Pastāv ieplānotais drošas sāknēšanas atjaunināšanas uzdevums.

    3. Uzdevums ir iespējots un darbojas kā lokālā sistēma.

    4. Uzdevums ir palaists vismaz vienreiz kopš pēdējā Windows drošības atjauninājuma instalēšanas.

    5. Ja uzdevums ir atspējots, dzēsts vai nedarbojas, drošas sāknēšanas sertifikāta atjauninājumus nevar lietot. Problēmu novēršanai jākoncentrējas uz uzdevuma atjaunošanu, pirms pēta citus cēloņus.

  3. Pārbaudiet reģistra iestatījumus, vai nav paredzamas norises

    Pārskatiet ierīces drošās sāknēšanas apkalpošanas stāvokli reģistrā:

    1. Pārbaudīt UEFICA2023Status, UEFICA2023Error un UEFICA2023ErrorEvent.

    2. Izpētiet pieejamos atjauninājumus un salīdziniet to ar gaidāmo virzību (skatiet atsauces un iekšējie).

    Šīs vērtības kopā norāda, vai apkalpošana parasti tiek veikta, atkārtoti mēģinot veikt darbību vai ir apturēta noteiktā solī.

  4. Reģistra stāvokļa korelācija ar drošās sāknēšanas notikumiem

    Pārskatiet ar drošo sāknēšanas sistēmu saistītos notikumus sistēmas notikumu žurnālā un saistiet tos ar reģistra stāvokli. Notikuma dati parasti apstiprina, vai ierīce virzās uz priekšu, mēģināt vēlreiz, jo pastāv pārejošs stāvoklis, vai to bloķē aparātprogrammatūra vai platformas problēma.

    Reģistra un notikumu žurnāli kopā parasti norāda, vai darbība ir paredzama, īslaicīga vai nepieciešama darbības labošana.

atpakaļ uz sākumu

Drošas sāknēšanas-atjaunināšanas ieplānots uzdevums

Drošās sāknēšanas sertifikāta apkope tiek ieviesta, izmantojot Windows ieplānotu uzdevumu ar nosaukumu Droša sāknēšanas-atjaunināšana. Uzdevums tiek reģistrēts šādā ceļā:

\Microsoft\Windows\PI\Secure-Boot-Update

Uzdevums darbojas kā lokālā sistēma. Pēc noklusējuma tā tiek palaista sistēmas startēšanas laikā un pēc tam ik pēc 12 stundām. Katrā palaišanas reizē tiek pārbaudīts, vai nav pabeigtas drošās sāknēšanas atjaunināšanas darbības, un mēģina tās lietot secīgi.

Ja šis uzdevums ir atspējots vai trūkst, drošās sāknēšanas sertifikāta atjauninājumus nevar lietot. Drošas sāknēšanas atjaunināšanas uzdevumam ir jāpaliek iespējotam drošas sāknēšanas apkalpošanai, lai tas darbotos.

atpakaļ uz sākumu

Kāpēc tiek izmantots ieplānots uzdevums

Drošas sāknēšanas sertifikātu atjauninājumi ir jākoordinē starp Windows un UEFI aparātprogrammatūru, tostarp UEFI mainīgajiem, kas saglabā drošās sāknēšanas atslēgas un sertifikātus. Ieplānots uzdevums ļauj Operētājsistēmai Windows mēģināt šos atjauninājumus, ja sistēma ir tādā stāvoklī, kurā var modificēt aparātprogrammatūras mainīgos.

Periodiskais 12 stundu grafiks nodrošina papildu iespējas atkārtoti mēģināt atjaunināt, ja iepriekšējais mēģinājums neizdevās vai ja ierīce palika darbojas bez restartēšanas. Šis noformējums palīdz nodrošināt norisi bez manuālas iejaukšanās.

atpakaļ uz sākumu

The AvailableUpdates registry bitmask

Drošas sāknēšanas atjaunināšanas uzdevumu nosaka reģistra vērtība AvailableUpdates . Šī vērtība ir 32 bitu komats, kas atrodas šeit:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Katrs bits vērtībā apzīmē noteiktu drošas sāknēšanas atjaunināšanas darbību. Atjaunināšanas process tiek sākts, kad AvailableUpdates ir iestatīta vērtība, kas nav nulle, vai nu automātiski, ko veic Windows vai tieši administrators. Piemēram, vērtība, piemēram , 0x5944, norāda, ka ir gaidošas vairākas atjaunināšanas darbības.

Kad tiek palaists drošas sāknēšanas atjaunināšanas uzdevums, iestatītie biti tiek interpretēti kā nepabeigts darbs un apstrādā tos definētā secībā.

atpakaļ uz sākumu

Secīgi atjauninājumi, reģistrēšana un atkārtota darbība

Drošās sāknēšanas sertifikāta atjauninājumi tiek lietoti noteiktā secībā. Katra atjaunināšanas darbība ir izstrādāta tā, lai to varētu droši mēģināt vēlreiz un veikt neatkarīgi. Drošas sāknēšanas atjaunināšanas uzdevums netiek pāriets uz nākamo darbību, līdz pašreizējā darbība ir veiksmīga, un tā atbilstošais bits tiek notīrīts no AvailableUpdates.

Katra darbība izmanto standarta UEFI interfeisus, lai atjauninātu drošās sāknēšanas mainīgos, piemēram, DB un KEK, vai lai instalētu atjaunināto Windows sāknēšanas pārvaldnieku. Windows reģistrē katras sistēmas notikumu žurnāla darbības rezultātu. Success events confirm forward progress, while failure events indicate why an action couldn be completed.

Ja atjaunināšanas darbība neizdodas, uzdevums pārtrauc apstrādi, reģistrē kļūdu un atstāj saistīto bitu kopu. Nākamreiz, kad uzdevums tiek palaists, šī darbība tiek atkārtoti palaista. Šī atkārtotā darbība ļauj ierīcēm automātiski atkopt datus no pagaidu nosacījumiem, piemēram, trūkstošā aparātprogrammatūras atbalsta vai aizkavēti OEM atjauninājumi.

Administratori var izsekot norisi, veicot reģistra stāvokļa korelēšanu ar notikumu žurnāla ierakstiem. Reģistra vērtības, piemēram, UEFICA2023Status, UEFICA2023Error un UEFICA2023ErrorEvent kopā ar bitmask AvailableUpdates , norāda, kura darbība ir aktīva, pabeigta vai bloķēta.

Šī kombinācija parāda, vai ierīce tiek no norises normāli, atkārtoti mēģinātu veikt darbību vai tās darbība ir apturēta.

atpakaļ uz sākumu

Integrācija ar OEM aparātprogrammatūru

Drošas sāknēšanas sertifikāta atjauninājumi ir atkarīgi no pareizas darbības un atbalsta ierīces UEFI aparātprogrammatūras. Kamēr Windows frāzēja atjaunināšanas procesu, aparātprogrammatūra atbild par drošas sāknēšanas politikas uzspiešanu un drošas sāknēšanas datu bāzes uzturēšanu.

OEMs nodrošina divus kritiskus elementus, kas nodrošina drošas sāknēšanas sertifikāta apkalpošanu:

  • Platformas atslēgas parakstītās atslēgu apmaiņas atslēgas (Key Exchange Keys — KEK), kas autorizē jaunu drošās sāknēšanas sertifikātu instalēšanu.

  • Aparātprogrammatūras implementēšanas, kas tiek pareizi saglabātas, pievienotas un validē drošās sāknēšanas datu bāzes atjaunināšanas laikā.

Ja aparātprogrammatūra pilnībā neatbalsta šīs darbības, drošās sāknēšanas atjauninājumi var apturēt, mēģināt uz nenoteiktu laiku vai izraisīt sāknēšanas kļūmes. Šādos gadījumos Windows nevar pabeigt atjaunināšanu bez aparātprogrammatūras izmaiņām.

Microsoft darbojas ar OEMs, lai identificētu aparātprogrammatūras problēmas un padarītu pieejamus izlabotus atjauninājumus. Ja problēmu novēršana norāda aparātprogrammatūras ierobežojumu vai defektu, administratoriem, iespējams, būs jāinstalē jaunākais ierīces ražotāja nodrošinātais UEFI aparātprogrammatūras atjauninājums, lai drošas sāknēšanas sertifikāta atjauninājumi varētu sekmīgi tikt pabeigti.

atpakaļ uz sākumu

Biežāk sastopamie kļūmes scenāriji un risinājums

Drošās sāknēšanas atjauninājumus lieto drošas sāknēšanas-atjaunināšanas ieplānotais uzdevums, ņemot vērā reģistra stāvokli AvailableUpdates .

Parastos apstākļos šīs darbības tiek izpildīti automātiski un, pabeidzot katru posmu, reģistrē sekmīgus notikumus. Dažos gadījumos aparātprogrammatūras darbība, platformas konfigurācija vai apkalpošanas priekšnosacījumi var novērst norisi vai izraisīt neparedzētu sāknēšanas darbību.

Tālāk redzamajās sadaļās ir aprakstīti biežāk sastopamie kļūmes scenāriji, kā tos atpazīt, kāpēc tie notiek, un atbilstošās nākamās darbības, lai atjaunotu parasto operāciju. Scenāriji ir sakārtoti visbiežāk sastopamos gadījumos, kad tas ietekmē sāknēšanas sistēmu.

Ja drošās sāknēšanas atjauninājumi netiek atjaunināti, parasti tas nozīmē, ka atjaunināšanas process nekad netiek sākts. Tāpēc trūkst paredzētās drošās sāknēšanas reģistra vērtības un notikumu žurnāli, jo atjaunināšanas mehānisms nekad netika aktivizēts.

Kas notika

Nevar startēt drošas sāknēšanas atjaunināšanas procesu, tāpēc ierīcē netika lietots neviens drošas sāknēšanas sertifikāts vai atjaunināts sāknēšanas pārvaldnieks.

Kā to atpazīt

  • Nav nevienas drošas sāknēšanas apkalpošanas reģistra vērtības, piemēram, UEFICA2023Status.

  • Sistēmas notikumu žurnālā trūkst gaidāmie drošās sāknēšanas notikumi (piemēram, 1043, 1044, 1045, 1799, 1801).

  • Ierīce turpina izmantot vecākus drošās sāknēšanas sertifikātus un sāknējuma komponentus.

Iemesls

Šis scenārijs parasti notiek, ja ir spēkā viens vai vairāki no šiem nosacījumiem:

  • Drošas sāknēšanas atjaunināšanas ieplānotais uzdevums ir atspējots vai trūkst.

  • Secure Boot ir atspējots UEFI aparātprogrammatūra.

  • Ierīce neatbilst Windows apkalpošanas priekšnosacījumi, piemēram, atbalsta Windows versijai vai ir instalēti obligātie atjauninājumi.

Kā rīkoties tālāk?

  • Pārliecinieties, vai ierīce atbilst Windows apkalpošanas un platformas atbilstības prasībām.

  • Pārliecinieties, vai aparātprogrammatūra ir iespējota drošai palaišanai.

  • Pārliecinieties, vai SecureBootUpdate ieplānotais uzdevums pastāv un ir iespējots.

Ja ieplānotais uzdevums ir atspējots vai trūkst, izpildiet norādījumus, kas sniegti dokumentā Droša sāknēšanas ieplānotais uzdevums atspējots vai izdzēsts, lai to atjaunotu. Kad uzdevums ir atjaunots, restartējiet ierīci vai palaidiet uzdevumu manuāli, lai uzsāktu drošas sāknēšanas apkalpošanu.

Dažos gadījumos ar drošo sāknēšanas programmu saistītie atjauninājumi var izraisīt ierīces ievadi BitLocker atkopšanu. Darbība var būt pārejoša vai pastāvīga atkarībā no pamatā esošā iemesla.

1. scenārijs. Onetime BitLocker atkopšana pēc drošās sāknēšanas atjaunināšanas

Kas notiek

Ierīce pirmajai sāknēšanas reizei pēc drošās sāknēšanas atjaunināšanas ievada BitLocker atkopšanu, bet parasti pēc restartēšanas parasti tiek palaista palaišana.

Iemesls

Pirmās sāknēšanas laikā pēc atjaunināšanas aparātprogrammatūra vēl neatjaunina drošās sāknēšanas vērtības, kad Windows mēģina atkārtoti lietot BitLocker. Tas izraisa īslaicīgu neatbilstību mērītās palaišanas vērtībās un izraisa atkopšanu. Nākamajā startēšanas reizē aparātprogrammatūra ziņo par atjauninātajām vērtībām pareizi, BitLocker sekmīgi no jauna nedarbojas un problēma atkārtojas.

Kā to atpazīt

  • BitLocker atkopšana notiek vienreiz.

  • Pēc atkopšanas atslēgas ievadīšanas turpmākajiem sākniem netiek prasīta atkopšana.

  • Pašlaik netiek sasniegta neviena sāknēšanas secība vai PXE netiek sasniegta.

Kā rīkoties tālāk?

  • Ievadiet BitLocker atkopšanas atslēgu, lai atsāktu Windows.

  • Pārbaudiet, vai nav aparātprogrammatūras atjauninājumu.

2. scenārijs. Atkārtota BitLocker atkopšana PXE pirmās palaišanas konfigurācijas dēļ

Kas notiek

Ierīce ievada BitLocker atkopšanu katrā sāknē.

Iemesls

Ierīce ir konfigurēta, lai vispirms mēģinātu veikt PXE (tīkla) sāknēšanu. PXE palaišanas mēģinājums neizdodas, un aparātprogrammatūra pēc tam nokrītas diska Windows sāknēšanas pārvaldniekā.

Rezultātā viena sāknēšanas cikla laikā jāmēra divas dažādas parakstīšanas iestādes:

  • PXE sāknēšanas ceļu parakstīja Microsoft UEFI CA 2011.

  • Windows sāknēšanas pārvaldnieku parakstīja Windows UEFI CA 2023.

Tā kā BitLocker konstatē dažādas drošās sāknēšanas uzticamības ķēdes startēšanas laikā, tas nevar izveidot stabilu TPM mērījumu kopu, lai no jauna slēgtu datoru. Līdz ar to BitLocker ievada atkopšanu katrā sāknē.

Kā to atpazīt

  • BitLocker atkopšana tiek izraisīta katrā restartējot.

  • Atkopšanas atslēgas ievadīšana ļauj startēt sistēmu Windows, taču uzvedne tiek atgriezta, kad tiek sākta nākamā palaišana.

  • PXE vai tīkla palaišana ir konfigurēta pirms lokālā diska aparātprogrammatūras sāknēšanas secībā.

Kā rīkoties tālāk?

  • Konfigurējiet aparātprogrammatūras sāknēšanas secību, lai Windows sāknēšanas pārvaldnieks vispirms būtu ieslēgts diskā.

  • Atspējojiet PXE sāknēšanu, ja tā nav nepieciešama.

  • Ja ir nepieciešama PXE, pārliecinieties, vai PXE infrastruktūra izmanto 2023 parakstītu Windows palaišanas ielādētāju.

Kas notika

Tas atspoguļo aparātprogrammatūras līmeņa izmaiņas, nevis Windows problēmu. Drošās sāknēšanas atjaunināšana tika sekmīgi pabeigta, bet pēc jaunākas restartēšanas ierīce vairs netiek palaista sistēmā Windows.

Kā to atpazīt

  • Ierīci neizdodas startēt sistēmā Windows, un tā var parādīt aparātprogrammatūru vai BIOS ziņojumu, kas norāda drošas palaišanas pārkāpumu.

  • Kļūme rodas pēc drošas sāknēšanas iestatījumu atiestatīšanas uz aparātprogrammatūras noklusējuma iestatījumiem.

  • Ja tiek atspējota drošā sāknēšana, ierīcei var atkal veikt sāknēšanu.

Iemesls

Atiestatot secure Boot līdz aparātprogrammatūras noklusējumam, tiek notīrītas aparātprogrammatūras glabātās drošās sāknēšanas datu bāzes. Ierīcēs, kurās jau ir pāriets uz Windows UEFI CA 2023 parakstītu sāknēšanas pārvaldnieku, tiek noņemti sertifikāti, kas nepieciešami, lai uzticētos sāknēšanas pārvaldniekam.

Rezultātā aparātprogrammatūra vairs neatpazīst instalēto Windows sāknēšanas pārvaldnieku kā uzticamu un bloķē sāknēšanas procesu.

Šo scenāriju izraisa pati drošā sāknēšanas atjaunināšana, bet gan turpmākā aparātprogrammatūras darbība, kas noņem atjauninātos drošības kontroles enkurus.

Kā rīkoties tālāk?

  • Izmantojiet drošās sāknēšanas atkopšanas utilītu, lai atjaunotu nepieciešamo sertifikātu, lai ierīci varētu palaist vēlreiz.

  • Pēc atkopšanas pārliecinieties, vai ierīces ierīcē ir instalēta jaunākā pieejamā aparātprogrammatūra, ko instalējis ierīces ražotājs.

  • Izvairieties no drošas sāknēšanas atiestatīšanas uz aparātprogrammatūras noklusējuma iestatījumiem, ja vien OEM aparātprogrammatūra ietver atjauninātus drošās sāknēšanas noklusējumus, kuri uzticas 2023. gada sertifikātiem.

Drošās sāknēšanas atkopšanas utilīta

Lai atkoptu sistēmu:

  1. Otrā Windows datorā, kurā instalēts 2024. gada jūlija vai jaunāks Windows atjauninājums, kopējiet SecureBootRecovery.efi no C:\Windows\Boot\EFI\.

  2. Novietojiet failu FAT32 formatētā USB diskā sadaļā \EFI\BOOT\ un pārdēvējiet to par bootx64.efi.

  3. Palaidiet ietekmēto ierīci USB diskā un atļaujiet atkopšanas utilītas padarbību. Utilīta pievienos Windows UEFI CA 2023 DB.

Kad sertifikāts ir atjaunots un sistēma tiek restartēta, operētājsistēmai Windows ir jāsākas kā parasti.

Svarīgi! Šis process atkārtoti izmantos tikai vienu no jaunajiem sertifikātiem. Pēc ierīces atkopšanas pārliecinieties, vai tajā atkārtoti ir jaunākie sertifikāti, un apsveriet iespēju atjaunināt sistēmas BIOS/UEFI uz jaunāko pieejamo versiju. Tas var palīdzēt novērst drošas sāknēšanas atiestatīšanas problēmas atkārtošanos, jo daudziem OEM ir izlaisti aparātprogrammatūras labojumi šai problēmai.

Kas notika

Pēc drošas sāknēšanas sertifikāta atjauninājuma lietošanas un restartēšanas ierīci neizdodas palaist, un tā nevar piekļūt sistēmai Windows.

Kā to atpazīt

  • Ierīce neizdodas uzreiz pēc drošas sāknēšanas atjauninājuma nepieciešamās restartēšanas.

  • Iespējams, tiks parādīta aparātprogrammatūra vai drošā sāknēšanas kļūda, vai sistēma var apturēt darbību pirms Windows ielādes.

  • Drošas sāknēšanas atspējošana var ļaut ierīcei veikt sāknēšanu.

Iemesls

Šo problēmu var izraisīt defekts ierīces UEFI aparātprogrammatūras ieviešanai.

Ja Windows lieto drošās sāknēšanas sertifikāta atjauninājumus, aparātprogrammatūrai ir jāpievieno jauni sertifikāti esošajā drošas sāknēšanas atļautā paraksta datu bāzē (DB). Dažas aparātprogrammatūras implementēšanas nepareizi pārraksta DB, nevis pievieno tai.

Kad tas notiek,

  • Tiek noņemti iepriekš uzticami sertifikāti, ieskaitot Microsoft 2011 bootloader sertifikātu.

  • Ja sistēma joprojām izmanto palaišanas pārvaldnieku, kas šajā brīdī ir parakstīts ar 2011. gada sertifikātu, aparātprogrammatūra tam vairs neuzticas.

  • Aparātprogrammatūra noraida sāknēšanas pārvaldnieku un bloķē sāknēšanas procesu.

Dažos gadījumos db var tikt arī bojāts, nevis pārrakstīts, kā rezultātā tiek radīts tāds pats rezultāts. Šī darbība ir novērota konkrētās aparātprogrammatūras ieviešanas gadījumā, un tā nav paredzama atbilstošā aparātprogrammatūra.

Kā rīkoties tālāk?

  • Ievadiet aparātprogrammatūras iestatīšanas izvēlnes un mēģiniet atiestatīt drošās sāknēšanas iestatījumus.

  • Ja pēc atiestatīšanas ierīces palaišana tiek palaista, pārbaudiet ierīces ražotāja atbalsta vietni, lai iegūtu aparātprogrammatūras atjauninājumu, kas izlabo drošas sāknēšanas DB apstrādi.

  • Ja ir pieejams aparātprogrammatūras atjauninājums, instalējiet to pirms drošas sāknēšanas atkārtotas iespējošanas un drošas palaišanas sertifikāta atjauninājumu atkārtotas lietošanas.

Ja drošās sāknēšanas atiestatīšana neatjauno sāknēšanas funkcionalitāti, tālākai atkopšanai visdrīzāk nepieciešami OEM norādījumi.

Kas notika

Drošās sāknēšanas sertifikāta atjaunināšana nav pabeigta un paliek bloķēta atslēgu Exchange atslēgas (KEK) atjaunināšanas posmā.

Kā to atpazīt

  • Reģistra vērtība AvailableUpdates paliek iestatīta ar KEK bitu (kek bit 0x0004) un netiek notīrīta.

  • UEFICA2023Status netiek virzība uz pabeigtu stāvokli.

  • Sistēmas notikumu žurnāls atkārtoti ieraksta notikuma ID 1803, kas norāda, ka NEVAR lietot KEK atjauninājumu.

  • Ierīce turpina atkārtot atjaunināšanas mēģinājumu, nesācot uz priekšu.

Iemesls

Lai atjauninātu drošās sāknēšanas KEK, ir nepieciešama autorizācija no ierīces platformas atslēgas (Platform Key — PK), kas pieder OEM.

Lai atjauninājums izdotos, ierīces ražotājam konkrētajam platformai ir jānodrošina korporācijai Microsoft AR PF parakstītu KEK . Šis OEM parakstītais KEK ir iekļauts Windows atjauninājumos un ļauj windows atjaunināt aparātprogrammatūras KEK mainīgo.

Ja OEM nav nodrošinājusi ierīcei PF parakstītu KEK, Windows nevar pabeigt KEK atjaunināšanu. Šajā stāvoklī:

  • Drošas sāknēšanas atjauninājumi tiek bloķēti pēc noformējuma.

  • Windows nevar apiet trūkstošo autorizāciju.

  • Ierīce var palikt neatgriezeniski nevar pabeigt drošās sāknēšanas sertifikāta pakopšanu.

Tas var notikt vecākās vai ārpus atbalsta ierīcēs, kur OEM vairs nea nodrošinātu aparātprogrammatūras vai galvenos atjauninājumus. Šim nosacījumam netiek atbalstīts manuālas atkopšanas ceļš.

atpakaļ uz sākumu

Ja nevar lietot drošas sāknēšanas sertifikāta atjauninājumus, Windows ieraksta diagnostikas notikumus, kas izskaidro, kāpēc norise tika bloķēta. Šos notikumus raksta, atjauninot drošās sāknēšanas paraksta datu bāzi (DB) vai atslēgu Exchange atslēgu (Key Exchange Key – KEK), nevar droši pabeigt aparātprogrammatūras, platformas stāvokļa vai konfigurācijas nosacījumu dēļ. Scenārijos šajā sadaļā ir atsauce uz šiem notikumiem, lai noteiktu biežāk sastopamās kļūmes modeļus un noteiktu atbilstošu koriģēšanu. Šī sadaļa atbalsta iepriekš aprakstīto problēmu iztajāšanu un interpretāciju, lai neatstāts jaunu kļūmes scenāriju.

Pilnu notikuma ID, aprakstu un ierakstu piemēru sarakstu skatiet rakstā Droša sāknēšanas DB un DBX mainīgās atjaunināšanas notikumi (variable update events — KB5016061)).

KEK atjaunināšanas kļūme (DB atjauninājumi ir veiksmīgi, funkcija KEK nav)

Ierīce var veiksmīgi atjaunināt sertifikātus drošajā sāknēšanas DB, bet neizdosies KEK atjaunināšanas laikā. Kad tas notiek, drošās sāknēšanas atjaunināšanas procesu nevar pabeigt.

Pazīmes

  • DB sertifikāta notikumi norāda norisi, bet KEK posms nav pabeigts.

  • Opcija AvailableUpdates paliek iestatīta 0x4004 un 0x0004 bits netiek notīrīts pēc vairāku uzdevumu izpildes.

  • Iespējams , ka pastāv notikums 1795 vai 1803 .

Skaidrojums

  • 1795 parasti norāda aparātprogrammatūras kļūmi, mēģinot atjaunināt drošas sāknēšanas mainīgo.

  • 1803 norāda, ka KEK atjauninājumu nevar autorizēt, jo platformai nav pieejama nepieciešamā OEM PK parakstīta KEK lietderīgā vērtība.

Nākamās darbības

  • 1795. gadā pārbaudiet, vai nav OEM aparātprogrammatūras atjauninājumu, un pārbaudiet aparātprogrammatūras atbalstu drošas sāknēšanas mainīgo atjauninājumu instalēšanai.

  • 1803. gadā pārliecinieties, vai OEM ir nodrošinājusi microsoft ar PF parakstītu KEK, kas nepieciešams ierīces modelim.

Hyper-V viesoto viesoto viesu VM KEK atjaunināšanas kļūme 

Hyper-V virtuālajos datoros drošās sāknēšanas sertifikāta atjauninājumi pieprasa 2026. gada marta Windows atjauninājumu instalēšanu gan Hyper-V resursdatorā, gan viesošanas operētājsistēmā.

Par atjaunināšanas kļūmēm tiek ziņots no viesa, taču notikums norāda, kur nepieciešama labošana:

  • Notikums 1795 (piemēram, "Datu nesējs ir aizsargāts ar rakstīšanu") tiek norādīts , ka Hyper-V resursdatorā trūkst 2026. gada marta atjauninājuma, un tas ir jāatjaunina.

  • Notikums 1803, par kuru ziņots viesim, norāda, ka pašam viesa virtuālajam datoram trūkst 2026. gada marta atjauninājuma, un tas ir jāatjaunina.

atpakaļ uz sākumu 

Atsauce un iekšēji

Šajā sadaļā iekļauta detalizēta atsauču informācija, kas paredzēta problēmu novēršanai un atbalstam. Tas nav paredzēts izvietošanas plānošanai. Tā paplašina informāciju par secure Boot apkalpošanas apkopjiem, kas apkopoti iepriekš, un nodrošina detalizētu atsauces materiālu reģistra stāvokļa un notikumu žurnālu interpretšanai.

Piezīme (IT pārvaldīti izvietojumi): Ja iestatījumi ir konfigurēti, grupas politika vai Microsoft Intune, divus līdzīgus iestatījumus nedrīkst sajaukt. Vērtība AvailableUpdatesPolicy attēlo konfigurētās politikas stāvokli. Pagaidām pieejamie atjaunināšanas dati atspoguļo norises un bitu notīrīšanas darbu stāvokli. Abi var izmantot vienu un to pašu rezultātu, bet tie darbojas atšķirīgi, jo politika tiek lietota atkārtoti laika gaitā.

atpakaļ uz sākumu 

Pieejamie atjaunināšanas biti, kas tiek izmantoti sertifikātu apkalpošanai

Tālāk aprakstītie biti tiek izmantoti šajā dokumentā aprakstītajām sertifikātu un sāknēšanas pārvaldnieka darbībām. Kolonna Secība atspoguļo secību, kādā tiek veikts drošas sāknēšanas atjaunināšanas uzdevums katru bitu.

Pasūtījums

Bit setting

Lietošana

1

0x0040

Šis bits norāda ieplānotajam uzdevumam pievienot Windows UEFI CA 2023 sertifikātu secure boot DB. Tādējādi Windows var uzticēties palaišanas pārvaldniekiem, kas ir parakstīti ar šo sertifikātu.

2

0x0800

Šis bits norāda ieplānotajam uzdevumam lietot DB Microsoft Option ROM UEFI CA 2023.  

Nosacījumformatēšana : 0x4000 karodziņš ir iestatīts, vispirms ieplānotais uzdevums vispirms meklēs Microsoft Corporation UEFI CA 2011 sertifikāta datu bāzi. Tas lietos Microsoft Option ROM UEFI CA 2023 sertifikātu tikai tad, ja ir 2011. gada sertifikāts.

3

0x1000

Šis bits norāda ieplānotajam uzdevumam lietot Microsoft UEFI CA 2023 db.

Nosacījuma darbība: ja 0x4000 karodziņš, ieplānotais uzdevums vispirms pārbauda Microsoft Corporation UEFI CA 2011 sertifikāta datu bāzi. Tas lietos Microsoft UEFI CA 2023 sertifikātu tikai tad, ja ir 2011. gada sertifikāts.

Modifikators (uzvedības karodziņš)

0x4000

Šī bits modificē 0x0800 un 0x1000 bitu darbību, lai Microsoft UEFI CA 2023 un Microsoft Option ROM UEFI CA 2023 lietotos tikai tad, ja DB jau satur microsoft Corporation UEFI CA 2011  Lai nodrošinātu, ka ierīces drošības profils paliek tāds pats, šis bits lieto šos jaunos sertifikātus tikai tad, ja ierīce uzticas Microsoft Corporation UEFI CA 2011 sertifikātam. Ne visas Windows ierīces uzticas šim sertifikātam.

4

0x0004

Šis bits norāda ieplānotajam uzdevumam meklēt atslēgu Apmaiņas atslēgu, ko parakstīja ierīces platformas atslēga (PK). PK pārvalda OEM. OEMs paraksta Microsoft KEK ar savu PK un piegādāt to korporācijai Microsoft, kur tā ir iekļauta ikmēneša kumulatīvajā atjauninājumā.

5

0x0100

Šis bits norāda ieplānotajam uzdevumam lietot sāknēšanas pārvaldnieku, ko parakstīja Windows UEFI CA 2023, uz palaišanas nodalījumu. Tas aizstās Microsoft Windows Production PCA 2011 parakstītu palaišanas pārvaldnieku.

Piezīmes:

  • Bits 0x4000 iestatīts arī pēc pārējo bitu apstrādes.

  • Katru bitu apstrādā drošas sāknēšanas-atjaunināšanas ieplānotais uzdevums iepriekš norādītajā secībā.

  • Ja 0x0004 bitu nevar apstrādāt, jo trūkst PK parakstīta KEK, ieplānotais uzdevums joprojām lieto sāknēšanas pārvaldnieka atjauninājumu, ko norāda 0x0100.

atpakaļ uz sākumu 

Sagaidāmā norise (AvailableUpdates)

Kad operācija ir sekmīgi pabeigta, Windows notīra saistīto bitu no AvailableUpdates. Ja operācija neizdodas, Windows reģistrē notikumu un atkārtoti mēģinājumus, kad uzdevums tiek izpildīts vēlreiz.

Tālāk esošajā tabulā ir parādīta sagaidāmā AvailableUpdates vērtību norise, kad katra drošā sāknēšanas atjaunināšanas darbība ir pabeigta.

Darbība

Bit apstrādāts

Pieejamās Atjauninājumi

Apraksts

Sekmīgs notikumu reģistrēts

Iespējamie kļūdu notikumu kodi

Sākums

0x5944

Sākotnējais stāvoklis pirms tiek sākta drošas sāknēšanas sertifikāta apkalpošana.

-

-

1

0x0040

0x5944 → 0x5904

Operētājsistēma Windows UEFI CA 2023 tiek pievienota secure boot DB.

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

Pievienojiet DB Microsoft Option ROM UEFI CA 2023, ja šī ierīce iepriekš uzticēja Microsoft UEFI CA 2011.

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

Ierīcei DB tiek pievienots Microsoft UEFI CA 2023, ja šī ierīce iepriekš uzticējas Microsoft UEFI CA 2011.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

Tiek lietota jauna Microsoft KEK 2K CA 2023, ko parakstīja OEM platformas atslēga.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

Tiek instalēts palaišanas pārvaldnieks, kuru parakstīja Windows UEFI CA 2023.

1799

1797

Piezīmes

  • Kad ar bitu saistītā darbība ir sekmīgi pabeigta, šis bits tiek notīrīts no AvailableUpdates.

  • Ja kāda no šīm darbībām neizdodas, notikums tiek reģistrēts un operācija tiek atkārtoti palaista nākamajā ieplānotā uzdevuma izpildes reizē.

  • Datu 0x4000 bits ir modifikators un netiek notīrīts. Gala pieejamo atjauninājumu vērtība norāda 0x4000 ka visas attiecināmās atjaunināšanas darbības būs sekmīgi pabeigtas.

  • Notikumi 1032, 1795, 1796, 1802 parasti norāda aparātprogrammatūras vai platformas ierobežojumus.

  • Notikums 1803 norāda, ka trūkst OEM PK parakstītas KEK.

atpakaļ uz sākumu 

Labošanas procedūras

Šajā sadaļā sniegtas pakāpeniskas procedūras konkrētu drošās sāknēšanas problēmu novēršanai. Katras procedūras tvērums ir labi definēts nosacījums, un tai paredzēta sekošanu tikai pēc sākotnējās uztvēruma, kas apstiprina, ka problēma ir spēkā. Izmantojiet šīs procedūras, lai atjaunotu paredzamo drošās sāknēšanas darbību un atļautu sertifikātu atjaunināšanai droši turpināties. Nelietojiet šīs procedūras plaši vai iepriekš.

atpakaļ uz sākumu

Drošas sāknēšanas iespējošana aparātprogrammatūras programmā

Ja secure boot ir atspējots ierīces aparātprogrammatūras, informāciju par drošās sāknēšanas iespējošanu Windows 11 sadaļā Droša palaišana un drošā palaišana.

atpakaļ uz sākumu

Drošas palaišanas ieplānots uzdevums atspējots vai izdzēsts

Drošas sāknēšanas atjaunināšanas ieplānotais uzdevums sistēmai Windows ir nepieciešams, lai lietotu drošas sāknēšanas sertifikāta atjauninājumus. Ja uzdevums ir atspējots vai trūkst, drošas sāknēšanas sertifikāta apkalpošana netiek paveikta.

Detalizēta informācija par uzdevumu

Uzdevuma nosaukums

Droša sāknēšanas atjaunināšana

Uzdevuma ceļš

\Microsoft\Windows\PI\

Pilns ceļš

\Microsoft\Windows\PI\Secure-Boot-Update

Darbojas kā

SYSTEM (lokālā sistēma)

Trigeri

Startēšanas laikā un ik pēc 12 stundām

Obligātais stāvoklis

Iespējots

Kā pārbaudīt uzdevuma statusu

Palaidiet, izmantojot priviliģētu PowerShell uzvedni. schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Meklējiet lauku Statuss:

Statuss

Nozīme

gatavi

Uzdevums pastāv un ir iespējots.

Atspējotas

Uzdevums pastāv, bet tas ir jāiespējo.

Kļūda/nav atrasta

Trūkst uzdevuma, un tas ir jāveido no jauna.

Kā iespējot vai atkārtoti izveidot uzdevumu

Ja drošas sāknēšanas-atjaunināšanas statusa lauks ir atspējots, Kļūda vai Nav atrasts, izmantojiet skripta paraugu, lai iespējotu uzdevumu: Sāknēšanas Enable-SecureBootUpdateTask.ps1

Piezīme. Šis ir skripta piemērs, un Microsoft to neatbalsta. Administratoriem ir jāpārskata un jāpielāgojas videi.

Piemērs:

.\Enable-SecureBootUpdateTask.ps1 -Quiet

Izpildiet norādījumus

  • Ja redzat Piekļuve liegta, vēlreiz palaidiet PowerShell kā administrators.

  • Ja skripts netiks izpildīts izpildes politikas dēļ, izmantojiet procesa tvēruma apiešanu:

Set-ExecutionPolicy -Scope process -ExecutionPolicy Bypass

atpakaļ uz sākumu 

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs