Gjelder for
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Opprinnelig publiseringsdato: 19. mars 2026 kl.

KB-ID: 5085046

I denne artikkelen

Oversikt

Denne siden veileder administratorer og kundestøtteteknikere med å diagnostisere og løse problemer relatert til sikker oppstart på Windows-enheter. Emnene omfatter feil ved sikker oppstart av sertifikatoppdatering, feil sikkerhetsoppstartstilstander, uventede BitLocker-gjenopprettingsmeldinger og oppstartsfeil etter endringer i konfigurasjonen av sikker oppstart.

Veiledningen forklarer hvordan du bekrefter Windows-service og -konfigurasjon, ser gjennom relevante registerverdier og hendelseslogger og identifiserer når fastvare- eller plattformbegrensninger krever en OEM-oppdatering. Dette innholdet er ment for å diagnostisere problemer på eksisterende enheter. Det er ikke ment for planlegging av nye distribusjoner. Dette dokumentet oppdateres etter hvert som nye feilsøkingsscenarioer og veiledning identifiseres.

tilbake til toppen

Slik fungerer sertifikatservice for sikker oppstart

Sikker oppstart av sertifikatservice på Windows er en koordinert prosess mellom operativsystemet og UEFI-fastvaren til en enhet. Målet er å oppdatere kritiske klareringsankere samtidig som du beholder muligheten til å starte på hvert trinn.

Prosessen drives av en planlagt Windows-oppgave, en registerbasert sekvens med oppdateringshandlinger og innebygd virkemåte for logging og prøving på nytt. Sammen sikrer disse komponentene at sertifikater for sikker oppstart og Windows-oppstartsbehandling oppdateres på en kontrollert, sortert måte, og bare etter at nødvendige trinn lykkes.

tilbake til toppen

Hvor du starter når du feilsøker

Når en enhet ikke ser ut til å gjøre forventede fremdrifter ved bruk av sertifikatoppdateringer for sikker oppstart, begynner du med å identifisere kategorien for problemet. De fleste problemene faller inn i ett av fire områder: Windows-vedlikeholdstilstand, mekanismen for sikker oppstartsoppdatering, fastvareatferd eller en plattform eller OEM-begrensning.

Begynn med kontrollene nedenfor, i rekkefølge. I mange tilfeller er disse trinnene tilstrekkelige til å forklare den observerte atferden og bestemme neste handlinger uten dypere undersøkelse.

  1. Bekreft at Windows-service og plattformkvalifisering er kvalifisert

    1. ​​​​​​​Kontroller at enheten oppfyller de grunnleggende kravene for å motta sertifikatoppdateringer for sikker oppstart:

    2. Enheten kjører en støttet versjon av Windows.

    3. De nyeste nødvendige Windows-sikkerhetsoppdateringene er installert.

    4. Sikker oppstart er aktivert i UEFI-fastvaren.

    5. Hvis noen av disse betingelsene ikke er oppfylt, må du adressere dem før du fortsetter med videre feilsøking.

  2. Bekreft oppgavestatusen sikker oppstartsoppdatering

    1. Bekreft at Windows-mekanismen som er ansvarlig for å bruke sertifikatoppdateringer for sikker oppstart, finnes og fungerer:

    2. Den planlagte oppgaven for sikker oppstartsoppdatering finnes.

    3. Oppgaven er aktivert og kjører som lokalt system.

    4. Oppgaven har kjørt minst én gang siden den nyeste windows-sikkerhetsoppdateringen ble installert.

    5. Hvis oppgaven er deaktivert, slettet eller ikke kjører, kan ikke oppdateringer av sertifikat for sikker oppstart brukes. Feilsøking bør fokusere på å gjenopprette oppgaven før du undersøker andre årsaker.

  3. Kontroller registerinnstillingene for forventet fremdrift

    Se gjennom enhetens tjenestetilstand for sikker oppstart i registeret:

    1. Undersøk UEFICA2023Status, UEFICA2023Error og UEFICA2023ErrorEvent.

    2. Undersøk Tilgjengelige Oppdateringer , og sammenlign den med forventet fremdrift (se Referanse og Interne).

    Sammen angir disse verdiene om servicen utvikler seg normalt, prøver en operasjon på nytt eller stopper opp ved et bestemt trinn.

  4. Korreler registertilstand med sikker oppstart-hendelser

    Se gjennom hendelser relatert til sikker oppstart i systemhendelsesloggen, og korreler dem med registertilstanden. Hendelsesdata bekrefter vanligvis om enheten gjør fremdrift, prøver på nytt på grunn av en midlertidig tilstand eller er blokkert av et fastvare- eller plattformproblem.

    Sammen angir register- og hendelsesloggene vanligvis om virkemåten er forventet, midlertidig eller krever korrigerende handling.

tilbake til toppen

Planlagt oppgave for sikker oppstartsoppdatering

Sikker oppstart av sertifikatservice implementeres gjennom en Windows-planlagt oppgave kalt Secure-Boot-Update. Oppgaven er registrert på følgende bane:

\Microsoft\Windows\PI\Secure-Boot-Update

Oppgaven kjører som lokalt system. Som standard kjører den ved systemoppstart og deretter hver 12. time. Hver gang den kjøres, kontrollerer den om oppdateringshandlinger for sikker oppstart venter og forsøker å bruke dem i rekkefølge.

Hvis denne oppgaven er deaktivert eller mangler, kan ikke oppdateringer av sertifikat for sikker oppstart brukes. Oppgaven Secure-Boot-Update må være aktivert for at sikker oppstart-service skal fungere.

tilbake til toppen

Hvorfor en planlagt aktivitet brukes

Oppdateringer av sertifikat for sikker oppstart krever koordinering mellom Windows- og UEFI-fastvaren, inkludert skriving av UEFI-variabler som lagrer sikker oppstart-nøkler og sertifikater. En planlagt oppgave gjør det mulig for Windows å prøve disse oppdateringene når systemet er i en tilstand der fastvarevarvariabler kan endres.

Den regelmessige tidsplanen på 12 timer gir flere muligheter til å prøve oppdateringer på nytt hvis et tidligere forsøk mislyktes, eller hvis enheten fortsatt var slått på uten å starte på nytt. Denne utformingen bidrar til å sikre fremdrift fremover uten å kreve manuell innblanding.

tilbake til toppen

Registerbitmasken AvailableUpdates

Oppgaven Secure-Boot-Update drives av registerverdien AvailableUpdates . Denne verdien er en 32-biters bitmaske plassert på:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Hver bit i verdien representerer en bestemt oppdateringshandling for sikker oppstart. Oppdateringsprosessen begynner når AvailableUpdates er satt til en verdi som ikke er null, enten automatisk av Windows eller eksplisitt av en administrator. En verdi som for eksempel 0x5944 angir at flere oppdateringshandlinger venter.

Når oppgaven sikker oppstartsoppdatering kjører, tolker den settet biter som ventende arbeid og behandler dem i en definert rekkefølge.

tilbake til toppen

Sekvensielle oppdateringer, logging og virkemåte for ny rettssak

Sertifikatoppdateringer for sikker oppstart brukes i en fast rekkefølge. Hver oppdateringshandling er utformet for å være trygg for å prøve på nytt og fullføres uavhengig av hverandre. Oppgaven Secure-Boot-Update går ikke videre til neste trinn før gjeldende handling lykkes, og den tilhørende biten fjernes fra AvailableUpdates.

Hver operasjon bruker standard UEFI-grensesnitt til å oppdatere variabler for sikker oppstart, for eksempel DB og KEK, eller til å installere den oppdaterte Oppstartsbehandling for Windows. Windows registrerer resultatet av hvert trinn i systemhendelsesloggen. Vellykkede hendelser bekrefter fremdrift fremover, mens feilhendelser angir hvorfor en handling ikke kan fullføres.

Hvis et oppdateringstrinn mislykkes, slutter oppgaven å behandle, logger feilen og lar den tilknyttede biten være angitt. Operasjonen prøves på nytt neste gang oppgaven kjøres. Denne virkemåten for ny rettssak gjør det mulig for enheter å gjenopprette automatisk fra midlertidige forhold, for eksempel manglende fastvarestøtte eller forsinkede OEM-oppdateringer.

Administratorer kan spore fremdriften ved å koordinere registertilstanden med oppføringer i hendelsesloggen. Registerverdier som UEFICA2023Status, UEFICA2023Error og UEFICA2023ErrorEvent, sammen med AvailableUpdates-bitmasken , angir hvilket trinn som er aktivt, fullført eller blokkert.

Denne kombinasjonen viser om enheten utvikler seg normalt, prøver en operasjon på nytt eller er stoppet.

tilbake til toppen

Integrering med OEM-fastvare

Oppdateringer av sertifikat for sikker oppstart avhenger av riktig virkemåte og støtte i UEFI-fastvaren til en enhet. Mens Windows orkestrerer oppdateringsprosessen, er fastvaren ansvarlig for å håndheve policyen for sikker oppstart og vedlikehold av secure boot-databaser.

OEMer inneholder to kritiske elementer som aktiverer sikker oppstart av sertifikatservice:

  • Platform Key–signed Key Exchange Keys (KEKs) som godkjenner installasjon av nye sertifikater for sikker oppstart.

  • Fastvareimplementeringer som bevarer, tilføyer og validerer databaser for sikker oppstart under oppdateringer.

Hvis fastvaren ikke støtter disse virkemåtene fullt ut, kan oppdateringer for sikker oppstart stoppe, prøve på nytt på ubestemt tid eller føre til oppstartsfeil. I slike tilfeller kan ikke Windows fullføre oppdateringen uten endringer i fastvaren.

Microsoft samarbeider med operativsystemet for å identifisere problemer med fastvaren og gjøre korrigerte oppdateringer tilgjengelige. Når feilsøking indikerer en fastvarebegrensning eller defekt, kan det hende at administratorer må installere den nyeste UEFI-fastvareoppdateringen som leveres av enhetsprodusenten, før oppdateringer av sertifikater for sikker oppstart kan fullføres.

tilbake til toppen

Vanlige feilscenarioer og -løsninger

Oppdateringer for sikker oppstart brukes av den planlagte oppgaven secure-boot-update basert på registertilstanden AvailableUpdates .

Under normale forhold forekommer disse trinnene automatisk og registrerer suksesshendelser når hvert trinn fullføres. I noen tilfeller kan fastvarevirkemåte, plattformkonfigurasjon eller vedlikeholdskrav forhindre fremdrift eller føre til uventet oppstartsvirkemåte.

Avsnittene nedenfor beskriver de vanligste feilscenarioene, hvordan du gjenkjenner dem, hvorfor de oppstår, og de riktige neste trinnene for å gjenopprette normal drift. Scenarioer er ordnet fra oftest oppstått til mer alvorlige oppstartsinnvirkningstilfeller.

Når oppdateringer for sikker oppstart ikke viser noen fremdrift, betyr det vanligvis at oppdateringsprosessen aldri har startet. Som et resultat mangler de forventede registerverdiene og hendelsesloggene for sikker oppstart fordi oppdateringsmekanismen aldri ble utløst.

Hva har skjedd

Oppdateringsprosessen for sikker oppstart startet ikke, så ingen sertifikater for sikker oppstart eller oppdatert oppstartsbehandling ble brukt på enheten.

Slik gjenkjenner du den

  • Det finnes ingen registerverdier for sikker oppstartsservice, for eksempel UEFICA2023Status.

  • Forventede secure boot-hendelser (for eksempel 1043, 1044, 1045, 1799, 1801) mangler i systemhendelsesloggen.

  • Enheten fortsetter å bruke eldre sertifikater for sikker oppstart og oppstartskomponenter.

Hvorfor det skjer

Dette scenarioet oppstår vanligvis når én eller flere av følgende betingelser er oppfylt:

  • Den planlagte oppgaven for sikker oppstartsoppdatering er deaktivert eller mangler.

  • Sikker oppstart er deaktivert i UEFI-fastvaren.

  • Enheten oppfyller ikke forutsetninger for Windows-service, for eksempel kjøring av en støttet Windows-versjon eller å ha nødvendige oppdateringer installert.

Hva du må gjøre videre

  • Kontroller at enheten oppfyller kravene til Windows-service og plattformkvalifisering.

  • Bekreft at sikker oppstart er aktivert i fastvaren.

  • Kontroller at den planlagte aktiviteten SecureBootUpdate finnes og er aktivert.

Hvis den planlagte oppgaven er deaktivert eller mangler, følger du veiledningen i den planlagte oppgaven for sikker oppstart deaktivert eller slettet for å gjenopprette den. Når oppgaven er gjenopprettet, starter du enheten på nytt eller kjører oppgaven manuelt for å starte sikker oppstartsservice.

I noen tilfeller kan sikre oppstartsrelaterte oppdateringer føre til at en enhet angir BitLocker-gjenoppretting. Virkemåten kan være forbigående eller vedvarende, avhengig av den underliggende årsaken.

Scenario 1: Engangs BitLocker-gjenoppretting etter sikker oppstartsoppdatering

Hva skjer

Enheten går inn i BitLocker-gjenoppretting ved første oppstart etter sikker oppstart-oppdateringen, men starter normalt ved påfølgende omstarter.

Hvorfor det skjer

Under den første oppstarten etter oppdateringen rapporterer fastvaren ennå ikke de oppdaterte verdiene for sikker oppstart når Windows prøver å sende BitLocker på nytt. Dette fører til en midlertidig feil i målte oppstartsverdier og utløser gjenoppretting. Ved neste oppstart rapporterer fastvare de oppdaterte verdiene riktig, BitLocker reseals vellykket, og problemet skjer ikke.

Slik gjenkjenner du den

  • BitLocker-gjenoppretting skjer én gang.

  • Etter at du har skrevet inn gjenopprettingsnøkkelen, vil ikke etterfølgende støvler be om gjenoppretting.

  • Ingen pågående oppstartsordre eller PXE-involvering er til stede.

Hva du må gjøre videre

  • Skriv inn BitLocker-gjenopprettingsnøkkelen for å gjenoppta Windows.

  • Se etter fastvareoppdateringer.

Scenario 2: Gjentatt BitLocker-gjenoppretting på grunn av PXE-konfigurasjon for første oppstart

Hva skjer

Enheten går inn i BitLocker-gjenoppretting ved hver oppstart.

Hvorfor det skjer

Enheten er konfigurert til å prøve PXE -oppstart (nettverk) først. PXE-oppstartsforsøket mislykkes, og fastvaren faller deretter tilbake til Windows oppstartsbehandling på disken.

Dette resulterer i at to forskjellige signeringsmyndigheter måles i løpet av en enkelt oppstartssyklus:

  • PXE-oppstartsbanen er signert av Microsoft UEFI CA 2011.

  • Windows oppstartsbehandling på disken er signert av Windows UEFI CA 2023.

Siden BitLocker observerer forskjellige klareringskjeder for sikker oppstart under oppstart, kan det ikke etablere et stabilt sett med TPM-målinger å reseal mot. Som et resultat går BitLocker inn i gjenoppretting på hver oppstart.

Slik gjenkjenner du den

  • BitLocker-gjenoppretting utløses ved hver omstart.

  • Når du skriver inn gjenopprettingsnøkkelen, kan Windows starte, men ledeteksten returneres ved neste oppstart.

  • PXE eller nettverksoppstart er konfigurert foran den lokale disken i fastvareoppstartsrekkefølge.

Hva du må gjøre videre

  • Konfigurer oppstartsrekkefølgen for fastvaren, slik at oppstartsbehandlingen for Windows på disken er først.

  • Deaktiver PXE-oppstart hvis det ikke er nødvendig.

  • Hvis PXE er nødvendig, må du sørge for at PXE-infrastrukturen bruker en 2023-signert Windows-oppstartslaster.

Hva har skjedd

Dette gjenspeiler en fastvarenivåendring i stedet for et Windows-problem. Oppdateringen for sikker oppstart ble fullført, men etter en senere omstart starter ikke enheten lenger i Windows.

Slik gjenkjenner du den

  • Enheten starter ikke Windows og kan vise en fastvare- eller BIOS-melding som angir brudd på sikker oppstart.

  • Feilen oppstår etter at innstillingene for sikker oppstart tilbakestilles til fastvarestandarder.

  • Deaktivering av sikker oppstart kan tillate at enheten starter på nytt.

Hvorfor det skjer

Tilbakestilling av sikker oppstart til fastvarestandarder fjerner sikker oppstart-databasene som er lagret i fastvaren. På enheter som allerede har gått over til Windows UEFI CA 2023–signert oppstartsbehandling, fjerner denne tilbakestillingen sertifikatene som kreves for å klarere oppstartsbehandlingen.

Som et resultat gjenkjenner fastvaren ikke lenger den installerte Oppstartsbehandling for Windows som klarert og blokkerer oppstartsprosessen.

Dette scenarioet er ikke forårsaket av selve oppdateringen for sikker oppstart, men av en etterfølgende fastvarehandling som fjerner de oppdaterte klareringsankerne.

Hva du må gjøre videre

  • Bruk gjenopprettingsverktøyet for sikker oppstart til å gjenopprette det nødvendige sertifikatet, slik at enheten kan starte på nytt.

  • Sørg for at enheten har den nyeste tilgjengelige fastvaren installert fra enhetsprodusenten etter gjenoppretting.

  • Unngå å tilbakestille sikker oppstart til fastvarestandarder med mindre OEM-fastvaren inneholder oppdaterte standarder for sikker oppstart som klarerer 2023-sertifikatene.

Verktøy for sikker oppstartsoppretting

Slik gjenoppretter du systemet:

  1. Kopier SecureBootRecovery.efi fra C:\Windows\Boot\EFI\, på en annen Windows-PC med windows-oppdateringen fra juli 2024 eller nyere installert.

  2. Plasser filen på en FAT32-formatert USB-stasjon under \EFI\BOOT\ og gi den nytt navn til bootx64.efi.

  3. Start den berørte enheten fra USB-stasjonen, og la gjenopprettingsverktøyet kjøre. Verktøyet legger til Windows UEFI CA 2023 i databasen.

Når sertifikatet er gjenopprettet og systemet starter på nytt, bør Windows starte på vanlig måte.

Viktig: Denne prosessen vil bare bruke ett av de nye sertifikatene på nytt. Når enheten er gjenopprettet, må du sørge for at den har de nyeste sertifikatene på nytt, og vurder å oppdatere systemets BIOS/UEFI til den nyeste versjonen som er tilgjengelig. Dette kan bidra til å forhindre regelmessighet av problemet med tilbakestilling av sikker oppstart, ettersom mange OPERATIVSYSTEMET-er har gitt ut fastvareløsninger for dette spesifikke problemet.

Hva har skjedd

Når du har tatt i bruk sertifikatoppdateringen for sikker oppstart og startet på nytt, kan ikke enheten startes opp og kommer ikke til Windows.

Slik gjenkjenner du den

  • Enheten mislykkes umiddelbart etter omstarten som kreves av oppdateringen for sikker oppstart.

  • En fastvare- eller sikker oppstartsfeil kan vises, eller systemet kan stoppe før Windows lastes inn.

  • Deaktivering av sikker oppstart kan tillate at enheten starter opp.

Hvorfor det skjer

Dette problemet kan skyldes en feil i enhetens UEFI-fastvareimplementering.

Når Windows bruker sertifikatoppdateringer for sikker oppstart, forventes fastvaren å tilføye nye sertifikater til den eksisterende sikre oppstartsdatabasen (DB). Noen fastvareimplementeringer overskriver feil DB i stedet for å tilføye den.

Når dette skjer,

  • Tidligere klarerte sertifikater, inkludert Microsoft 2011 bootloader-sertifikatet, fjernes.

  • Hvis systemet fortsatt bruker en oppstartsbehandling signert med 2011-sertifikatet på det tidspunktet, klarerer ikke fastvaren lenger den.

  • Fastvaren avviser oppstartsbehandlingen og blokkerer oppstartsprosessen.

I noen tilfeller kan DB også bli skadet i stedet for å overskrives rent, noe som fører til samme resultat. Denne virkemåten er observert på bestemte fastvareimplementeringer og forventes ikke på kompatibel fastvare.

Hva du må gjøre videre

  • Skriv inn konfigurasjonsmenyene for fastvare, og prøv å tilbakestille innstillingene for sikker oppstart.

  • Hvis enheten starter opp etter tilbakestillingen, kan du kontrollere enhetsprodusentens støtteområde for en fastvareoppdatering som korrigerer behandling av sikker oppstart av DB.

  • Hvis en fastvareoppdatering er tilgjengelig, installerer du den før du aktiverer sikker oppstart på nytt og bruker oppdateringene for sertifikatet for sikker oppstart på nytt.

Hvis tilbakestilling av sikker oppstart ikke gjenoppretter oppstartsfunksjonalitet, krever sannsynligvis ytterligere gjenoppretting OEM-spesifikk veiledning.

Hva har skjedd

Oppdateringen av sertifikatet for sikker oppstart er ikke fullført og forblir blokkert i oppdateringsfasen for Key Exchange Key (KEK).

Slik gjenkjenner du den

  • Registerverdien AvailableUpdates forblir angitt med KEK-biten (0x0004) og fjernes ikke.

  • UEFICA2023Status går ikke videre til en fullført tilstand.

  • Systemhendelsesloggen registrerer hendelses-ID 1803 gjentatte ganger, noe som indikerer at KEK-oppdateringen ikke kunne brukes.

  • Enheten fortsetter å prøve oppdateringen på nytt uten å gjøre fremdrift.

Hvorfor det skjer

Oppdatering av KEK for sikker oppstart krever autorisasjon fra enhetens plattformnøkkel (PK), som eies av OEM.

For at oppdateringen skal lykkes, må enhetsprodusenten gi Microsoft en PK-signert KEK for den bestemte plattformen. Denne OEM-signerte KEK-en er inkludert i Windows-oppdateringer og gjør det mulig for Windows å oppdatere KEK-variabelen for fastvare.

Hvis OEM ikke har angitt en PK-signert KEK for enheten, kan ikke Windows fullføre KEK-oppdateringen. I denne tilstanden:

  • Oppdateringer for sikker oppstart blokkeres av utformingen.

  • Windows kan ikke omgå den manglende autorisasjonen.

  • Enheten kan forbli permanent ute av stand til å fullføre sikker oppstart av sertifikatservice.

Dette kan skje på eldre eller ikke-støttende enheter der OEM ikke lenger leverer fastvare eller viktige oppdateringer. Det finnes ingen støttet manuell gjenopprettingsbane for denne betingelsen.

tilbake til toppen

Når oppdateringer av sertifikat for sikker oppstart ikke gjelder, registrerer Windows diagnosehendelser som forklarer hvorfor fremdriften ble blokkert. Disse hendelsene skrives når du oppdaterer signaturdatabasen for sikker oppstart (DB) eller Key Exchange Key (KEK) kan ikke fullføres trygt på grunn av fastvare, plattformtilstand eller konfigurasjonsbetingelser. Scenariene i denne delen refererer til disse hendelsene for å identifisere vanlige feilmønstre og bestemme riktig utbedring. Denne delen er ment å støtte diagnose og tolkning av problemer som er beskrevet tidligere, for ikke å innføre nye feilscenarioer.

Hvis du vil ha en fullstendig liste over hendelses-ID-er, beskrivelser og eksempeloppføringer, kan du se hendelser for sikker oppstart av DB og DBX-variabeloppdatering (KB5016061).

KEK-oppdateringsfeil (DB-oppdateringer lykkes, KEK gjør det ikke)

En enhet kan oppdatere sertifikater i den sikre oppstartsdatabasen, men mislykkes under KEK-oppdateringen. Når dette skjer, kan ikke oppdateringsprosessen for sikker oppstart fullføres.

Symptomer

  • DB-sertifikathendelser angir fremdriften, men KEK-fasen er ikke fullført.

  • Tilgjengelige oppdateringer er fortsatt satt til 0x4004, og 0x0004 bit fjernes ikke etter at flere oppgaver kjøres.

  • Hendelse 1795 eller 1803 kan være til stede.

Tolkning

  • 1795 angir vanligvis fastvarefeil under forsøk på å oppdatere en variabel for sikker oppstart.

  • 1803 indikerer at KEK-oppdateringen ikke kan godkjennes fordi en nødvendig OEM PK-signert KEK-nyttelast ikke er tilgjengelig for plattformen.

Neste trinn

  • For 1795 kan du se etter oppdateringer for OEM-fastvare og validere fastvarestøtte for variable oppdateringer for sikker oppstart.

  • For 1803 må du bekrefte om OEM har gitt Microsoft den PK-signerte KEK-en som kreves for enhetsmodellen.

KEK-oppdateringsfeil på gjeste-VM-er driftet på Hyper-V 

På virtuelle Hyper-V-maskiner krever sikkerhetsoppstartssertifikatoppdateringer at Windows-oppdateringene for mars 2026 installeres på både Hyper-V-verten og gjesteoperativsystemet.

Oppdateringsfeil rapporteres fra gjesten, men hendelsen angir hvor utbedring er nødvendig:

  • Hendelse 1795 (for eksempel «Mediet er skrivebeskyttet») rapportert i gjesten indikerer at Hyper-V-verten mangler oppdateringen for mars 2026 og må oppdateres.

  • Hendelse 1803 rapportert i gjesten indikerer at den virtuelle gjestemaskinen mangler oppdateringen for mars 2026 og må oppdateres.

tilbake til toppen 

Referanse og interne

Denne delen inneholder avansert referanseinformasjon som er ment for feilsøking og støtte. Den er ikke ment for distribusjonsplanlegging. Den utvides på secure boot service mekanikere oppsummert tidligere og gir detaljert referansemateriale for å tolke registertilstand og hendelseslogger.

Obs! (IT-administrerte distribusjoner): Når konfigurert via gruppepolicy eller Microsoft Intune, må to lignende innstillinger ikke forveksles. AvailableUpdatesPolicy-verdien representerer den konfigurerte policytilstanden. I mellomtiden gjenspeiler AvailableUpdates den pågående, bit-clearing-arbeidstilstanden. Begge kan drive det samme resultatet, men de oppfører seg annerledes fordi policyen gjelder på nytt over tid.

tilbake til toppen 

Tilgjengelige Oppdateringer-biter som brukes til sertifikatservice

Bitene nedenfor brukes for handlingene for sertifikat- og oppstartsbehandling som er beskrevet i dette dokumentet. Order-kolonnen gjenspeiler sekvensen der oppgaven Secure-Boot-Update behandler hver bit.

Bestilling

Bitinnstilling

Bruk

1

0x0040

Denne biten forteller den planlagte oppgaven om å legge til Windows UEFI CA 2023-sertifikatet i DB for sikker oppstart. Dette gjør at Windows kan klarere oppstartsansvarlige som er signert av dette sertifikatet.

2.

0x0800

Denne biten forteller den planlagte oppgaven å bruke Microsoft Option ROM UEFI CA 2023 på DB.  

Betinget virkemåte: Når 0x4000-flagget er angitt, kontrollerer den planlagte oppgaven først databasen for Microsoft Corporation UEFI CA 2011-sertifikatet . Det gjelder bare Microsoft Option ROM UEFI CA 2023-sertifikatethvis 2011-sertifikatet finnes.

3

0x1000

Denne biten forteller den planlagte oppgaven å bruke Microsoft UEFI CA 2023 på DB.

Betinget virkemåte: Når 0x4000 flagg er angitt, kontrollerer den planlagte oppgaven først databasen for Microsoft Corporation UEFI CA 2011-sertifikatet . Det gjelder bare Microsoft UEFI CA 2023-sertifikatethvis 2011-sertifikatet finnes.

Endringsprogram (virkemåteflagg)

0x4000

Denne biten endrer virkemåten til 0x0800 og 0x1000 biter slik at Microsoft UEFI CA 2023 og Microsoft Option ROM UEFI CA 2023 bare brukes hvis DB allerede inneholder Microsoft Corporation UEFI CA 2011  For å sikre at enhetens sikkerhetsprofil forblir den samme, gjelder denne biten bare disse nye sertifikatene hvis enheten klarerer Microsoft Corporation UEFI CA 2011-sertifikatet. Ikke alle Windows-enheter stoler på dette sertifikatet.

4

0x0004

Denne biten forteller den planlagte oppgaven å se etter en Key Exchange-nøkkel signert av enhetens plattformnøkkel (PK). PK-en administreres av OEM. OEMer signerer Microsoft KEK med sin PK og leverer den til Microsoft der den er inkludert i månedlige kumulative oppdateringer.

5

0x0100

Denne biten forteller den planlagte oppgaven om å bruke oppstartsbehandlingen, signert av Windows UEFI CA 2023, til oppstartspartisjonen. Dette erstatter microsoft Windows Production PCA 2011 signert oppstartsbehandling.

Merknader:

  • Den 0x4000 biten forblir angitt etter at alle andre biter er behandlet.

  • Hver bit behandles av den planlagte oppgaven secure-boot-update i rekkefølgen som vises ovenfor.

  • Hvis den 0x0004 biten ikke kan behandles på grunn av en manglende PK-signert KEK, vil den planlagte oppgaven fortsatt bruke oppstartsbehandlingsoppdateringen angitt av bit 0x0100.

tilbake til toppen 

Forventet fremdrift (AvailableUpdates)

Når en operasjon er fullført, fjerner Windows den tilknyttede biten fra AvailableUpdates. Hvis en operasjon mislykkes, logger Windows en hendelse og starter på nytt når oppgaven kjøres på nytt.

Tabellen nedenfor viser den forventede fremdriften til AvailableUpdates-verdier når hver oppdateringshandling for sikker oppstart fullføres.

Trinn

Bit behandlet

Tilgjengelige Oppdateringer

Beskrivelse

Vellykket hendelse loggført

Mulige feilhendelseskoder

Start

0x5944

Første tilstand før sikker oppstart av sertifikatservice begynner.

-

-

1

0x0040

0x5944 → 0x5904

Windows UEFI CA 2023 legges til ID-en for sikker oppstart.

1036

1032, 1795, 1796, 1802

2.

0x0800

0x5904 → 0x5104

Legg til Microsoft Option ROM UEFI CA 2023 i DB hvis enheten tidligere klarerte Microsoft UEFI CA 2011.

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

Microsoft UEFI CA 2023 legges til DB hvis enheten tidligere klarerte Microsoft UEFI CA 2011.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

Ny Microsoft KEK 2K CA 2023 signert av OEM-plattformnøkkelen brukes.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

Oppstartsbehandling signert av Windows UEFI CA 2023 er installert.

1799

1797

Merknader

  • Når operasjonen som er knyttet til en bit er fullført, fjernes denne biten fra AvailableUpdates.

  • Hvis en av disse operasjonene mislykkes, logges en hendelse, og operasjonen prøves på nytt neste gang den planlagte oppgaven kjøres.

  • Den 0x4000 biten er en endring og er ikke fjernet. En endelig AvailableUpdates-verdi for 0x4000 indikerer vellykket fullføring av alle gjeldende oppdateringshandlinger.

  • Hendelser 1032, 1795, 1796, 1802 indikerer vanligvis fastvare- eller plattformbegrensninger.

  • Hendelse 1803 angir manglende OEM PK-signert KEK.

tilbake til toppen 

Utbedringsprosedyrer

Denne delen inneholder trinnvise prosedyrer for å utbedre spesifikke problemer med sikker oppstart. Hver prosedyre er begrenset til en veldefinert tilstand og er ment å følges først etter første diagnose bekrefter at problemet gjelder. Bruk disse prosedyrene til å gjenopprette forventet virkemåte for sikker oppstart og tillate sertifikatoppdateringer å fortsette på en trygg måte. Ikke bruk disse prosedyrene bredt eller forkjøpsrett.

tilbake til toppen

Aktivering av sikker oppstart i fastvare

Hvis sikker oppstart er deaktivert i fastvaren til en enhet, kan du se Windows 11 og sikker oppstart for mer informasjon om hvordan du aktiverer sikker oppstart.

tilbake til toppen

Planlagt oppgave for sikker oppstart deaktivert eller slettet

Den planlagte oppgaven for sikker oppstartsoppdatering kreves for at Windows skal kunne bruke sertifikatoppdateringer for sikker oppstart. Hvis oppgaven er deaktivert eller mangler, vil ikke sikker oppstart av sertifikatet gå videre.

Oppgavedetaljer

Aktivitetsnavn

Sikker oppstart-oppdatering

Aktivitetsbane

\Microsoft\Windows\PI\

Fullstendig bane

\Microsoft\Windows\PI\Secure-Boot-Update

Kjører som

SYSTEM (lokalt system)

Utløsere

Ved oppstart og hver 12. time

Obligatorisk tilstand

Enabled

Slik kontrollerer du aktivitetsstatus

Kjør fra en hevet PowerShell-ledetekst: schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Se etter Status-feltet:

Status

Betydning

Klart

Oppgaven finnes og er aktivert.

Deaktiverte

Aktiviteten finnes, men må være aktivert.

Feil / finner ikke

Oppgaven mangler og må opprettes på nytt.

Slik aktiverer eller gjenoppretter du oppgaven

Hvis statusfeltet for sikker oppstartsoppdatering er deaktivert, feil eller ikke funnet, bruker du eksempelskriptet til å aktivere oppgaven: Eksempel på Enable-SecureBootUpdateTask.ps1

Obs! Dette er et eksempelskript og støttes ikke av Microsoft. Administratorer bør se gjennom og tilpasse det til miljøet sitt.

Eksempel:

.\Enable-SecureBootUpdateTask.ps1 -Quiet

Kjør veiledning

  • Hvis du ser ingen tilgang, kjører du PowerShell på nytt som administrator.

  • Hvis skriptet ikke kjøres på grunn av kjøringspolicy, kan du bruke en forbikobling av prosessomfang:

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass

tilbake til toppen 

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter