Attiecas uz
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Sākotnējais publicētais datums: 2025. gada 14. oktobris

KB ID: 5068202

Šajā rakstā ir norādījumi:  

  • Organizācijas ar IT pārvaldītām Windows ierīcēm un atjauninājumiem.

Šī atbalsta pieejamība:  

AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut un MicrosoftUpdateManagedOptIn reģistra atslēgas ir iekļautas atjauninājumos, kas izlaisti pēc šādiem datumiem:

  • 2025. gada 14. oktobris: Atbalstītās versijas ietver Windows 10, 22H2 un jaunākas versijas (tostarp 21H2 LTSC), visas atbalstītās Windows 11 versijas, kā arī Windows Server 2022 un jaunākas versijas.

  • 2025. gada 11. novembris. Windows versijām, kas joprojām tiek atbalstītas.

Datuma maiņa

Apraksta maiņa

2025. gada 4. novembris

  • Lapā pievienota vēl viena reģistra atslēga.

  • Izlabots priekšraksts no "Piemēram, ja db (uzticamu parakstu datu bāzes) atjaunināšana neizdevās aparātprogrammatūras problēmas dēļ, šī reģistra atslēga var parādīt kļūdas kodu, kuru var kartēt uz notikumu žurnālu vai dokumentētu kļūdas ID" ar tekstu "Piemēram, ja DB (uzticamu parakstu datu bāzes) atjaunināšana neizdevās aparātprogrammatūras problēmas dēļ, šajā reģistra atslēgā var būt redzams aparātprogrammatūras kļūdas kods. Ja šī atslēga pastāv un nav nulle, drošas sāknēšanas notikumus ieteicams meklēt Windows notikumu žurnālos — papildinformāciju skatiet (saite).

  • Pievienoja divus atsevišķus ceļus reģistra atslēgām tālāk

2025. gada 11. novembris

  • Atjaunināja rindkopu sadaļā Ierīču testēšana, izmantojot reģistra atslēgas ar papildinformāciju: "Reģistra atslēgai vajadzētu ātri mainīties uz 0x4100. Atkārtota uzdevuma palaišana un palaišana izraisa sāknēšanas pārvaldnieka atjaunināšanu un Pieejamo atjauninājumu 0x0100. Lai iegūtu papildinformāciju par AvailableUpdates darbību, skatiet problēmu novēršanu."

  • Atjauniniet tekstu pelēkajā lodziņā zem Ierīču testēšana, izmantojot reģistra atslēgas, lai būtu divas papildu PowerShell komandas

  • Reģistra atslēgu sadaļā reģistra vērtība -MicrosoftUpdateManagedOptIn tika mainīta no "1 - Opt in " uz "1 vai jebkura vērtība, kas nav nulle — pieteikšanās"

2025. gada 16. novembris

Atjaunināja saturu sadaļā "Ierīču testēšana, izmantojot reģistra atslēgas". Pieejamās atjaunināšanas vērtība tika mainīta no "0x0100" uz "0x4000".

Šajā rakstā

Ievads

Šajā dokumentā aprakstīts atbalsts drošas sāknēšanas sertifikāta atjauninājumu izvietošanai, pārvaldībai un pārraudzībai, izmantojot Windows reģistra atslēgas. Atslēgas sastāv no: 

  • Viena atslēga, kas aktivizē sertifikātu un sāknēšanas pārvaldnieka izvietošanu ierīcē.

  • Divas atslēgas izvietošanas statusa pārraudzībai.

  • Divas atslēgas, lai pārvaldītu atteikšanās/atteikšanās iestatījumus diviem pieejamajiem izvietošanas palīgiem.

Šīs reģistra atslēgas var iestatīt manuāli ierīcē vai attālināti, izmantojot pieejamo pārvaldības programmatūru. Citas izvietošanas metodes, piemēram, grupas politika, Microsoft Intune un WinCS, ir aprakstītas rakstā Windows ierīces uzņēmumiem un organizācijām, kurās ir IT pārvaldīti atjauninājumi.  

Drošas sāknēšanas reģistra atslēgas.

Šajā sadaļā

Reģistra atslēgas

Visas tālāk aprakstītās drošās sāknēšanas reģistra atslēgas atrodas šajā reģistra ceļā: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Nākamajā tabulā ir aprakstītas visas reģistra vērtības:

Reģistra vērtība

Veids

Apraksts un lietojums

AvailableUpdates

REG_DWORD (bitmask)

Atjaunināt trigera karodziņus.

Kontrolē, kuras drošās sāknēšanas atjaunināšanas darbības tiek veiktas ierīcē. Šeit tiek sākta jauno drošās sāknēšanas sertifikātu un saistīto atjauninājumu izvietošana, izmantojot atbilstošo bitfield. Lai izvietotu uzņēmumu, šim iestatījumam ir jābūt iestatītam kā 0x5944 (heksadecimāls) — vērtība, kas iespējo visus atbilstošos atjauninājumus (pievienojot jaunos 2023. gada CA sertifikātus, atjauninot KEK un instalējot jauno sāknēšanas pārvaldnieku). 

Iestatījumi

  • 0 vai nav iestatīts — netiek veikta drošas sāknēšanas atslēgas atjaunināšana.

  • 0x5944 — izvietojiet visus nepieciešamos sertifikātus un atjauniniet tos PCA2023 palaišanas pārvaldniekā

HighConfidenceOptOut

REG_DWORD

Atteikšanās opcija.

Uzņēmumiem, kuri vēlas atteikties no augstas ticamības intervāliem, kas tiks automātiski lietoti kā LCU daļa.

Lai atteiktos no augstas ticamības intervāliem, šo atslēgu varat iestatīt kā vērtību, kas nav nulle. 

Iestatījumi 

  • 0 vai atslēga nepastāv — pieteiksies

  • 1 . Nepieteikšanas

MicrosoftUpdateManagedOptIn

REG_DWORD

Pieteikšanās opcija.

Uzņēmumiem, kuri vēlas jāpiesakās kontrolētās līdzekļu izvēršes (Controlled Feature Rollout — CFR) apkalpošanas apkopē, kas tiek dēvēta arī par Microsoft Managed.

Papildus šīs atslēgas iestatīšanai atļaujiet sūtīt nepieciešamos diagnostikas datus (skatiet rakstu Windows diagnostikas datu konfigurēšana jūsu organizācijā). 

Iestatījumi

  • 0 vai atslēga nepastāv — atteikties

  • 1 vai jebkura vērtība, kas nav nulle  – Pieteikšanās

Visas tālāk aprakstītās drošās sāknēšanas reģistra atslēgas atrodas šajā reģistra ceļā: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Nākamajā tabulā ir aprakstītas visas reģistra vērtības:

Reģistra vērtība

Veids

Apraksts un lietojums

UEFICA2023Status

REG_SZ (virkne)

Izvietošanas statusa indikators.

Atspoguļo pašreizējo drošas sāknēšanas atslēgas atjauninājuma stāvokli ierīcē. Tam tiks iestatīta kāda no šīm teksta vērtībām:

  • NotStarted: atjauninājums vēl nav palaists.

  • InProgress: notiek atjaunināšana.

  • Atjaunināts: atjaunināšana ir sekmīgi pabeigta.

Sākotnējā statusa statuss ir NotStarted. Tā mainās uz InProgress, kad sākas atjaunināšana, un beigās tas tiek atjaunināts, kad ir izvietotas visas jaunās atslēgas un jaunais sāknēšanas pārvaldnieks. Ja rodas kļūda, tad UEFICA2023Kļūdas reģistra vērtība ir iestatīta uz kodu, kas nav nulle.

UEFICA2023Error

REG_DWORD (kods)

Kļūdas kods (ja tāds ir).

Šī vērtība būs sekmīga, un tā būs 0. Ja atjaunināšanas procesa laikā rodas kļūme, UEFICA2023Error ir iestatīts uz kļūdas kodu, kas nav nulle un atbilst pirmajai kļūdai. Šeit rodas kļūda, kas norāda, ka drošais sāknēšanas atjauninājums pilnībā neizdosies, un var būt nepieciešama šīs ierīces izpēte vai labošana.  

Piemēram, ja db (uzticamu parakstu datu bāzes) atjaunināšana neizdevās aparātprogrammatūras problēmas dēļ, šajā reģistra atslēgā var būt redzams kļūdas kods no aparātprogrammatūras. Ja šī atslēga ir izveidota un nav nulle, ieteicams meklēt drošas sāknēšanas notikumus Windows notikumu žurnālos — skatiet rakstu Drošas sāknēšanas DB un DBX mainīgo atjaunināšanas notikumi, lai iegūtu papildinformāciju.

WindowsUEFICA2023Capable

REG_DWORD (kods)

Šī reģistra atslēga ir paredzēta ierobežotam izvietošanas scenārijam un nav ieteicama vispārīgai lietošanai. Lielākajā daļā gadījumu tā vietā izmantojiet reģistra atslēgu UEFICA2023Status.

Derīgas vērtības:

0 vai atslēga nepastāv - "Windows UEFI CA 2023" sertifikāts nav DB

1. DB ir sertifikāts "Windows UEFI CA 2023"

2. Sertifikāts "Windows UEFI CA 2023" atrodas DB, un sistēma tiek startēta no 2023. gada parakstītā palaišanas pārvaldnieka

Kā šie taustiņi darbojas kopā

IT administratori konfigurē reģistra vērtību AvailableUpdates tā, 0x5944, kas signalizē Windows drošas sāknēšanas atslēgas atjaunināšanas un instalēšanas izpildei ierīcē.

Procesa laikā sistēmas atjauninājumi UEFICA2023Status no NotStarted uz InProgress un pēc tam atjaunināti pēc veiksmīgas darbības. Tā kā katrs bits 0x5944 sekmīgi apstrādāts, tas tiek notīrīts.

Ja kāda darbība neizdodas, kļūdas kods tiek ierakstīts UEFICA2023Error (un statuss paliek InProgress).

Šis mehānisms sniedz administratoriem skaidru veidu, kā aktivizēt un izsekot izvēršamību ierīcē. 

Izvietošana, izmantojot reģistra atslēgas 

Izvietošanu ierīču grupā veido tālāk norādītās darbības. 

  1. Iestatiet reģistra vērtību AvailableUpdates0x5944 katrā ierīcē, kas jāatjaunina.

  2. UEFICA2023Status un UEFICA2023Error reģistra atslēgu pārraudzība, lai redzētu, kā ierīces virzās uz priekšu. Uzdevums, kas apstrādā šos atjauninājumus, tiek izpildīts ik pēc 12 stundām. Ņemiet vērā, ka sāknēšanas pārvaldnieka atjaunināšana var notikt tikai pēc restartēšanas.

  3. Izpētiet problēmas, ja tās notiek. Ja UEFICA2023Error ierīcē nav nulle, varat pārbaudīt notikumu žurnālu, vai nav notikumu saistībā ar šo problēmu. Pilnu drošas sāknēšanas notikumu sarakstu skatiet sadaļā Secure Boot DB un DBX mainīgā atjaunināšanas notikumi.

Piezīme par restartēšanu. Lai gan restartēšana var būt jāveic, lai pabeigtu procesu, uzsāciet drošas sāknēšanas atjauninājumu izvietošanu, nevis restartējiet datoru. Ja nepieciešama restartēšana, drošās sāknēšanas izvietošana tiek atkarīga no restartēšanas, kas notiek tāpat kā standarta ierīces lietošanas kurss. 

Ierīču testēšana, izmantojot reģistra atslēgas 

Testējot atsevišķas ierīces, lai pārliecinātos, vai ierīces pareizi apstrādās atjauninājumus, reģistra atslēgas var būt vienkāršs veids, kā pārbaudīt. 

Lai pārbaudītu, izpildiet katru no šīm komandām atsevišķi no administratora PowerShell uzvednes: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Manuāla sistēmas restartēšana, kad tiek 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Pirmā komanda iniciē sertifikātu un sāknēšanas pārvaldnieka izvietošanu ierīcē. Otrā komanda liek uzreiz palaist uzdevumu , kas apstrādā reģistra atslēgu AvailableUpdates . Parasti uzdevums tiek izpildīts ik pēc 12 stundām. Reģistra atslēgai ātri vajadzētu mainīties uz 0x4100. Atkārtota uzdevuma restartēšana un palaišana izraisa sāknēšanas pārvaldnieka atjaunināšanu, kā arī pieejamos atjauninājumus 0x4000. Papildinformāciju par AvailableUpdates darbību skatiet rakstā Problēmu novēršana.

Rezultātus varat atrast, vērojot UEFICA2023Status un UEFICA2023Error reģistra atslēgas un notikumu žurnālus, kā aprakstīts tēmā Secure Boot DB un DBX mainīgo atjaunināšanas notikumi. 

Atteikšanās un atteikšanās palīgiem 

Reģistra atslēgas HighConfidenceOptOut un MicrosoftUpdateManagedOptIn var izmantot, lai pārvaldītu divas izvietošanas "palīgus", kas aprakstītas Windows ierīcēs ar IT pārvaldītiem atjauninājumiem. 

  • Reģistra atslēga HighConfidenceOptOut kontrolē ierīču automātisko atjaunināšanu, izmantojot kumulatīvos atjauninājumus. Ierīcēs, kurās korporācija Microsoft ir novēroti konkrētas ierīces, kas veiksmīgi atjauninātas, tās tiek uzskatītas par "augstas ticamības" ierīcēm, un drošās sāknēšanas sertifikāta atjauninājumi tiks automātiski atjaunināti. Noklusējuma iestatījums ir pieteikšanās.

  • MicrosoftUpdateManagedOptIn reģistra atslēga sniedz IT nodaļām iespēju izmantot automātisko izvietošanu, ko pārvalda Microsoft. Šis iestatījums pēc noklusējuma ir atspējots, un, iestatot 1 pieteikšanās punktu. Šim iestatījumam arī ir nepieciešams, lai ierīce nosūtītu neobligātos diagnostikas datus.

Atbalstītās Windows versijas

Šajā tabulā ir arī papildu informācija par atbalstu, pamatojoties uz reģistra atslēgu. 

Atslēga 

Atbalstītās Windows versijas 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Visas Windows versijas, kas atbalsta drošo sāknēšanas programmu (Windows Server 2012 vai jaunākas Windows versijas).  

Piezīme: Lai gan ticamības dati tiek apkopoti Windows 10, versijās LTSC, 22H2 un jaunākās Windows versijās, tos var lietot ierīcēs, kurās darbojas vecākas Windows versijas.    

  • Windows 10, LTSC un 22H2 versijas

  • Windows 11, 22H2 un 23H2 versija

  • Windows 11, versija 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Drošas sāknēšanas kļūdu notikumi

​​​​​​​​​​​​​​Kļūdu notikumiem ir kritiska atskaišu veidošanas funkcija, lai informētu par drošās sāknēšanas statusu un progresu.  Informāciju par kļūdu notikumiem skatiet rakstā Secure Boot DB un DBX mainīgā atjaunināšanas notikumi. Kļūdas notikumi tiek atjaunināti ar papildu notikuma informāciju drošai sāknēšanai. 

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs