Obs!
- Opprinnelig publiseringsdato: 14. oktober 2025
- KB-ID: 5068202
Denne artikkelen har veiledning for:
- Organisasjoner med IT-administrerte Windows-enheter og oppdateringer.
Obs!
Tilgjengelighet av denne støtten:
Registernøkler er inkludert i oppdateringer utgitt på eller etter følgende dato:
11. november 2025: For versjoner av Windows som fortsatt støttes.
Endringslogg
| Endre dato | Endre beskrivelse |
|---|---|
| Mars 20, 2026 |
|
| 20. februar 2026 |
|
| 4. november 2025 kl. |
|
| 11. november 2025 kl. |
|
| 16. november 2025 kl. | Oppdaterte innholdet under «Enhetstesting ved hjelp av registernøkler». Verdien for tilgjengelig oppdatering ble endret fra 0x0100 til 0x4000. |
I denne artikkelen
Innføring
Dette dokumentet beskriver støtte for distribusjon, administrasjon og overvåking av oppdateringer for Secure Boot-sertifikater ved hjelp av Windows-registernøkler. Nøklene består av følgende:
- Én tast for å utløse distribusjon av sertifikater og oppstartsbehandling på enheten.
- To taster for å overvåke statusen til distribusjonen.
- To taster for å administrere innstillingene for å velge eller bort for de to tilgjengelige distribusjonsassistene.
Disse registernøklene kan stilles inn manuelt på enheten eller eksternt gjennom tilgjengelig programvare for flåtestyring. Andre distribusjonsmetoder, for eksempel gruppepolicy, Microsoft Intune og WinCS, er beskrevet i artikkelen Windows-enheter for bedrifter og organisasjoner med IT-administrerte oppdateringer.
Registernøkler for sikker oppstart
I denne delen
- Registernøkler
- Hvordan disse tastene fungerer sammen
- Distribusjon ved hjelp av registernøkler
- Enhetstesting ved hjelp av registernøkler
- Meld deg på og av assister
- Støttede versjoner av Windows
Registernøkler
Alle registernøkler for Secure Boot som er beskrevet nedenfor, er plassert under denne registerbanen:
Obs!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Tabellen nedenfor beskriver hver av registerverdiene:
| Registerverdi | Type | Beskrivelse og bruk |
|---|---|---|
| TilgjengeligeOppdateringer | REG_DWORD (bitmaske) | Oppdater utløserflagg. Kontrollerer hvilke Sikker oppstart-oppdateringshandlinger som skal utføres på enheten. Hvis du angir riktig bitfelt her, starter distribusjonen av nye Secure Boot-sertifikater og relaterte oppdateringer. For bedriftsdistribusjon bør dette settes til 0x5944 (hex) – en verdi som aktiverer alle relevante oppdateringer (legge til de nye 2023 CA-sertifikatene, oppdatere KEK og installere den nye oppstartsbehandlingen). Innstillinger:
|
| HighConfidenceOptOut | REG_DWORD | Et alternativ for å velge bort dette. For virksomheter som ønsker å velge bort samlinger med høy konfidens som automatisk vil bli brukt som en del av LCU. Du kan angi denne nøkkelen til en annen verdi enn null for å velge bort samlinger med høy konfidens. Innstillinger
|
| MicrosoftUpdateManagedOptIn | REG_DWORD | Et alternativ for å velge inn. For bedrifter som ønsker å melde seg på CFR-vedlikehold (Controlled Feature Rollout), også kjent som Microsoft Managed. I tillegg til å angi denne nøkkelen, tillater du sending av nødvendige diagnosedata (se Konfigurere Windows-diagnosedata i organisasjonen). Innstillinger
|
| AvailableUpdatesPolicy | REG_DWORD (bitmaske) |
Bare for referanse – ikke oppdater denne nøkkelen via registret. Denne nøkkelen brukes av gruppepolicy og Intune til å kommunisere handlinger relatert til sikker oppstart til Windows. Den representerer policyen som er angitt av Intune eller gruppepolicy. |
Alle registernøkler for Secure Boot som er beskrevet nedenfor, er plassert under denne registerbanen:
Obs!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Tabellen nedenfor beskriver hver av registerverdiene:
| Registerverdi | Type | Beskrivelse og bruk |
|---|---|---|
| UEFICA2023Status | REG_SZ (streng) | Indikator for distribusjonsstatus. Gjenspeiler gjeldende tilstand for oppdateringen av Secure Boot-nøkkelen på enheten. Den vil bli satt til én av følgende tekstverdier:
|
| UEFICA2023Error | REG_DWORD (kode) | Feilkode (hvis aktuelt). Denne verdien forblir 0 ved vellykket. Hvis det oppstår en feil i oppdateringsprosessen, settes UEFICA2023Error til en feilkode som ikke er null, og tilsvarer den første feilen som oppstod. En feil her antyder at Sikker oppstart-oppdateringen ikke var fullstendig vellykket og kan kreve undersøkelse eller utbedring på enheten. Hvis for eksempel oppdatering av DB (database med klarerte signaturer) mislyktes på grunn av et fastvareproblem, kan denne registernøkkelen vise en feilkode fra fastvaren. Når denne nøkkelen finnes og ikke er null, anbefaler vi at du ser etter Secure Boot-hendelser i Windows-hendelsesloggene – se Secure Boot DB- og DBX-variabeloppdateringshendelser for mer informasjon. |
| UEFICA2023ErrorEvent | REG_DWORD (kode) | UEFICA2023ErrorEvent angir hendelses-ID-en som Windows brukte til å rapportere en feil knyttet til bruken av oppdateringene for sikker oppstart av Windows UEFI CA 2023. Denne verdien er korrelert med registernøkkelen UEFICA2023Error og fylles ut når denne nøkkelen er angitt, noe som indikerer at Windows oppdaget en feil under forsøk på å bruke Secure Boot-oppdateringen. Når dette skjer, logger Windows den tilsvarende Secure Boot-hendelsen som er dokumentert på den offentlige siden Secure Boot DB- og DBX-variable oppdateringshendelser, som gir ytterligere detaljer om hvorfor oppdateringen ikke kunne fullføres, og hvilken handling som kan kreves. |
| WindowsUEFICA2023Capable | REG_DWORD (kode) | Bare for referanse – ikke bruk denne tasten når du får status på Secure Boot-oppdateringer. Bruk UEFICA2023Status-nøkkelen i stedet. Denne registernøkkelen er ment for begrensede distribusjonsscenarier og anbefales ikke for generell bruk. Gyldige verdier: 0 – eller nøkkelen finnes ikke – «Windows UEFI CA 2023»-sertifikatet er ikke i DB 1 – «Windows UEFI CA 2023»-sertifikatet er i DB 2 – Sertifikatet «Windows UEFI CA 2023» er i databasefilen, og systemet starter fra den signerte oppstartsbehandlingen for 2023 |
| BucketHash | REG_SZ (streng) | BucketHash identifiserer distribusjonssamlingen som en enhet er tilordnet til som en del av utrullingen av Secure Boot-sertifikatet. Verdien er en hash-kode avledet fra enhetsegenskaper og brukes til å gruppere enheter med lignende fastvare- og plattformattributter for trinnvis distribusjon og risikostyring. Dette er den samme bucket-hashen som vises i de enhetsspesifikke hendelsene som er dokumentert på siden for Secure Boot DB- og DBX-variabeloppdateringshendelser , slik at administratorer kan koordinere registertilstanden med hendelsesloggoppføringer og forstå hvordan en enhet målrettes under oppdateringsprosessen for Secure Boot. |
| Konfidensnivå | REG_SZ (streng) | ConfidenceLevel angir konfidensvurderingen som er knyttet til enhetens distribusjonssamling for sikker oppstart. Denne verdien tilsvarer BucketConfidenceLevel som Windows tilordner til enheten basert på observert oppdateringsvirkemåte på tvers av lignende maskinvare- og fastvarekonfigurasjoner. Det samme konfidensnivået er inkludert i de enhetsspesifikke hendelsene som er dokumentert på siden for oppdateringshendelser for Secure Boot DB og DBX-variabel, slik at administratorer kan koordinere registerverdien med oppføringer i hendelsesloggen. Hvis du vil ha mer informasjon om mulige verdier for denne nøkkelen, kan du se hendelsesbeskrivelsene for den enhetsspesifikke hendelsesloggen. |
Hvordan disse tastene fungerer sammen
IT-administratorer konfigurerer registerverdien AvailableUpdates til 0x5944, noe som signaliserer at Windows skal utføre oppdateringen og installasjonen av Secure Boot-nøkkelen på enheten.
Etter hvert som prosessen kjøres, oppdaterer systemet UEFICA2023Status fra NotStarted til InProgress, og til slutt til Oppdatert når den er vellykket. Etter hvert som hver bit i 0x5944 behandles riktig, tømmes den.
Hvis et trinn mislykkes, registreres en feilkode i UEFICA2023Error (og statusen forblir pågår).
Denne mekanismen gir administratorer en klar måte å utløse og spore utrullingen per enhet.
Distribusjon ved hjelp av registernøkler
Distribusjon til en gruppe enheter består av følgende trinn:
- Angi registerverdien AvailableUpdates til 0x5944 på hver av enhetene som skal oppdateres.
- Overvåk registernøklene UEFICA2023Status og UEFICA2023Error for å se at enhetene gjør fremdrift. Oppgaven som behandler disse oppdateringene, kjører hver 12. time. Vær oppmerksom på at boot manager-oppdateringen kanskje ikke skjer før etter at en omstart har skjedd.
- Undersøk problemer hvis de oppstår. Hvis UEFICA2023Error ikke er null på en enhet, kan du sjekke hendelsesloggen for hendelser relatert til dette problemet. Se Secure Boot DB- og DBX-variable oppdateringshendelser for en fullstendig liste over Secure Boot-hendelser.
En merknad om omstarter: Selv om det kan være nødvendig med en omstart for å fullføre prosessen, vil ikke start på nytt før du starter distribusjonen av oppdateringer for sikker oppstart. Hvis en omstart er nødvendig, er Sikker oppstart-distribusjonen avhengig av omstarter som skjer som det normale forløpet av bruk av enheten.
Enhetstesting ved hjelp av registernøkler
Når du tester enkeltenheter for å sikre at enhetene behandler oppdateringene riktig, kan registernøklene være en enkel måte å teste på.
Hvis du vil teste, kjører du hver av følgende kommandoer separat fra en administrator PowerShell-ledetekst:
Obs!
- reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
- Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
- Start systemet på nytt manuelt når AvailableUpdates blir 0x4100
- Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Den første kommandoen starter distribusjonen av sertifikat- og oppstartsbehandling på enheten. Den andre kommandoen gjør at oppgaven som behandler registernøkkelen AvailableUpdates , kjører umiddelbart. Vanligvis kjøres aktiviteten hver 12. time. Registernøkkelen skal raskt endres til 0x4100. Hvis du starter på nytt og kjører oppgaven på nytt, oppdateres oppstartsbehandlingen og AvailableUpdates blir 0x4000. Se Feilsøking for mer informasjon om hvordan AvailableUpdates fungerer.
Du kan finne resultatene ved å observere registernøklene UEFICA2023Status og UEFICA2023Error og hendelsesloggene som beskrevet i Oppdateringshendelser for Secure Boot DB og DBX-variabler.
Meld deg på og av assistanse
Registernøklene HighConfidenceOptOut og MicrosoftUpdateManagedOptIn kan brukes til å administrere de to distribusjonsassistene som beskrives i Windows-enheter med IT-administrerte oppdateringer.
- Registernøkkelen HighConfidenceOptOut styrer den automatiske oppdateringen av enheter gjennom de kumulative oppdateringene. For enheter der Microsoft har observert at bestemte enheter oppdateres, anses de som enheter med høy konfidens, og sertifikatoppdateringer for sikker oppstart skjer automatisk. Standardinnstillingen er opt-in.
- Med MicrosoftUpdateManagedOptIn-registernøkkelen kan IT-avdelinger velge automatisk distribusjon som administreres av Microsoft. Denne innstillingen er deaktivert som standard, og setter den til 1 opt-in. Denne innstillingen krever også at enheten sender valgfrie diagnosedata.
Støttede versjoner av Windows
Denne tabellen bryter ned støtten ytterligere basert på registernøkkelen.
| Tast | Støttede versjoner av Windows |
|---|---|
|
TilgjengeligeOppdateringer UEFICA2023Status UEFICA2023Error |
Alle versjoner av Windows som støtter Sikker oppstart (Windows Server 2012 og nyere Windows-versjoner). Obs! Konfidensdataene samles inn på Windows 10, LTSC-versjoner 22H2 og nyere versjoner av Windows, men kan brukes på enheter som kjører på tidligere versjoner av Windows.
|
| HighConfidenceOptOut | |
| MicrosoftUpdateManagedOptIn |
Feilhendelser for sikker oppstart
Feilhendelser har en kritisk rapporteringsfunksjon for å informere om status og fremdrift for sikker oppstart. Hvis du vil ha informasjon om feilhendelsene, kan du se Oppdateringshendelser for Secure Boot DB og DBX-variabel. Feilhendelsene oppdateres med ekstra hendelsesinformasjon for sikker oppstart.