Registernøkkeloppdateringer for sikker oppstart: Windows-enheter med IT-administrerte oppdateringer

Gjelder for
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Obs!

  • Opprinnelig publiseringsdato: 14. oktober 2025
  • KB-ID: 5068202

Denne artikkelen har veiledning for:

  • Organisasjoner med IT-administrerte Windows-enheter og oppdateringer.

Obs!

  • Tilgjengelighet av denne støtten:

  • Registernøkler er inkludert i oppdateringer utgitt på eller etter følgende dato:

  • 11. november 2025: For versjoner av Windows som fortsatt støttes.

Endringslogg
Endre dato Endre beskrivelse
Mars 20, 2026
  • La til registerverdien AvailableUpdatesPolicy i den første tabellen i delen «Registernøkler».
  • Oppdaterte WindowsUEFICA2023Compable-registerverdien «Beskrivelse og bruk» i den andre tabellen i «Registernøkler»-delen.
20. februar 2026
  • La til tre nye registernøkler i artikkelen – «UEFICA2023ErrorEvent», « BucketHash» & « ConfidenceLevel».
  • Oppdaterte delen – «Tilgjengelighet av denne støtten».
4. november 2025 kl.
  • La til enda en registernøkkel på siden.
  • Rettet en setning fra "Hvis for eksempel oppdatering av DB (database med klarerte signaturer) mislyktes på grunn av et fastvareproblem, kan denne registernøkkelen vise en feilkode som kan tilordnes til en hendelseslogg eller dokumentert feil-ID i" med teksten «For eksempel, hvis oppdatering av DB (database med klarerte signaturer) mislyktes på grunn av et problem med fastvaren, Denne registernøkkelen kan vise en feilkode fra fastvaren. Når denne nøkkelen finnes og ikke er null, anbefaler vi at du ser etter Secure Boot-hendelser i Windows-hendelsesloggene – se (kobling) for mer informasjon».
  • La til to separate baner for registernøkler nedenfor
11. november 2025 kl.
  • Oppdaterte avsnittet under Enhetstesting ved hjelp av registernøkler med tilleggsinformasjon: «Registernøkkelen skal raskt endres til 0x4100. Hvis du starter på nytt og kjører oppgaven på nytt, oppdateres oppstartsbehandlingen og AvailableUpdates blir 0x0100. Se Feilsøking for mer informasjon om hvordan Tilgjengelige oppdateringer oppfører seg.»
  • Oppdater teksten i den grå boksen under Enhetstesting ved hjelp av registernøkler for å få to ekstra PowerShell-kommandoer
  • Under registernøkler ble registerverdien -MicrosoftUpdateManagedOptIn, endret fra «1 – Velg i» til «1 eller en verdi som ikke er null – velg inn»
16. november 2025 kl. Oppdaterte innholdet under «Enhetstesting ved hjelp av registernøkler». Verdien for tilgjengelig oppdatering ble endret fra 0x0100 til 0x4000.

I denne artikkelen

Innføring

Dette dokumentet beskriver støtte for distribusjon, administrasjon og overvåking av oppdateringer for Secure Boot-sertifikater ved hjelp av Windows-registernøkler. Nøklene består av følgende:

  • Én tast for å utløse distribusjon av sertifikater og oppstartsbehandling på enheten.
  • To taster for å overvåke statusen til distribusjonen.
  • To taster for å administrere innstillingene for å velge eller bort for de to tilgjengelige distribusjonsassistene.

Disse registernøklene kan stilles inn manuelt på enheten eller eksternt gjennom tilgjengelig programvare for flåtestyring. Andre distribusjonsmetoder, for eksempel gruppepolicy, Microsoft Intune og WinCS, er beskrevet i artikkelen Windows-enheter for bedrifter og organisasjoner med IT-administrerte oppdateringer.

Registernøkler for sikker oppstart

I denne delen

Registernøkler

Alle registernøkler for Secure Boot som er beskrevet nedenfor, er plassert under denne registerbanen:

Obs!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Tabellen nedenfor beskriver hver av registerverdiene:

Registerverdi Type Beskrivelse og bruk
TilgjengeligeOppdateringer REG_DWORD (bitmaske) Oppdater utløserflagg.

Kontrollerer hvilke Sikker oppstart-oppdateringshandlinger som skal utføres på enheten. Hvis du angir riktig bitfelt her, starter distribusjonen av nye Secure Boot-sertifikater og relaterte oppdateringer. For bedriftsdistribusjon bør dette settes til 0x5944 (hex) – en verdi som aktiverer alle relevante oppdateringer (legge til de nye 2023 CA-sertifikatene, oppdatere KEK og installere den nye oppstartsbehandlingen).

Innstillinger:
  • 0 eller ikke angitt – Ingen Sikker oppstart-nøkkeloppdatering utføres.
  • 0x5944 – distribuer alle nødvendige sertifikater, og oppdater til PCA2023 signerte oppstartsbehandlingen
HighConfidenceOptOut REG_DWORD Et alternativ for å velge bort dette.

For virksomheter som ønsker å velge bort samlinger med høy konfidens som automatisk vil bli brukt som en del av LCU.

Du kan angi denne nøkkelen til en annen verdi enn null for å velge bort samlinger med høy konfidens.

Innstillinger
  • 0 eller nøkkelen finnes ikke – velg å delta
  • 1 – Velg bort
MicrosoftUpdateManagedOptIn REG_DWORD Et alternativ for å velge inn.

For bedrifter som ønsker å melde seg på CFR-vedlikehold (Controlled Feature Rollout), også kjent som Microsoft Managed.

I tillegg til å angi denne nøkkelen, tillater du sending av nødvendige diagnosedata (se Konfigurere Windows-diagnosedata i organisasjonen).

Innstillinger
  • 0 eller nøkkelen finnes ikke – velg bort
  • 1 eller en verdi som ikke er null – Meld deg på
AvailableUpdatesPolicy REG_DWORD (bitmaske) Bare for referanse – ikke oppdater denne nøkkelen via registret.

Denne nøkkelen brukes av gruppepolicy og Intune til å kommunisere handlinger relatert til sikker oppstart til Windows. Den representerer policyen som er angitt av Intune eller gruppepolicy.

Alle registernøkler for Secure Boot som er beskrevet nedenfor, er plassert under denne registerbanen:

Obs!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Tabellen nedenfor beskriver hver av registerverdiene:

Registerverdi Type Beskrivelse og bruk
UEFICA2023Status REG_SZ (streng) Indikator for distribusjonsstatus.

Gjenspeiler gjeldende tilstand for oppdateringen av Secure Boot-nøkkelen på enheten. Den vil bli satt til én av følgende tekstverdier:

  • NotStarted: Oppdateringen har ennå ikke kjørt.
  • Pågår: Oppdateringen pågår aktivt.
  • Oppdatert: Oppdateringen er fullført.
I utgangspunktet er statusen IkkeStartet. Den endres til InProgress når oppdateringen starter, og til slutt til Oppdatert når alle nye nøkler og den nye oppstartsbehandlingen er distribuert. Hvis det oppstår en feil, er registerverdien UEFICA2023Error satt til en kode som ikke er null.
UEFICA2023Error REG_DWORD (kode) Feilkode (hvis aktuelt).
Denne verdien forblir 0 ved vellykket. Hvis det oppstår en feil i oppdateringsprosessen, settes UEFICA2023Error til en feilkode som ikke er null, og tilsvarer den første feilen som oppstod. En feil her antyder at Sikker oppstart-oppdateringen ikke var fullstendig vellykket og kan kreve undersøkelse eller utbedring på enheten.
Hvis for eksempel oppdatering av DB (database med klarerte signaturer) mislyktes på grunn av et fastvareproblem, kan denne registernøkkelen vise en feilkode fra fastvaren. Når denne nøkkelen finnes og ikke er null, anbefaler vi at du ser etter Secure Boot-hendelser i Windows-hendelsesloggene – se Secure Boot DB- og DBX-variabeloppdateringshendelser for mer informasjon.
UEFICA2023ErrorEvent REG_DWORD (kode) UEFICA2023ErrorEvent angir hendelses-ID-en som Windows brukte til å rapportere en feil knyttet til bruken av oppdateringene for sikker oppstart av Windows UEFI CA 2023. Denne verdien er korrelert med registernøkkelen UEFICA2023Error og fylles ut når denne nøkkelen er angitt, noe som indikerer at Windows oppdaget en feil under forsøk på å bruke Secure Boot-oppdateringen. Når dette skjer, logger Windows den tilsvarende Secure Boot-hendelsen som er dokumentert på den offentlige siden Secure Boot DB- og DBX-variable oppdateringshendelser, som gir ytterligere detaljer om hvorfor oppdateringen ikke kunne fullføres, og hvilken handling som kan kreves.
WindowsUEFICA2023Capable REG_DWORD (kode) Bare for referanse – ikke bruk denne tasten når du får status på Secure Boot-oppdateringer. Bruk UEFICA2023Status-nøkkelen i stedet.
Denne registernøkkelen er ment for begrensede distribusjonsscenarier og anbefales ikke for generell bruk.
Gyldige verdier:
0 – eller nøkkelen finnes ikke – «Windows UEFI CA 2023»-sertifikatet er ikke i DB
1 – «Windows UEFI CA 2023»-sertifikatet er i DB
2 – Sertifikatet «Windows UEFI CA 2023» er i databasefilen, og systemet starter fra den signerte oppstartsbehandlingen for 2023
BucketHash REG_SZ (streng) BucketHash identifiserer distribusjonssamlingen som en enhet er tilordnet til som en del av utrullingen av Secure Boot-sertifikatet. Verdien er en hash-kode avledet fra enhetsegenskaper og brukes til å gruppere enheter med lignende fastvare- og plattformattributter for trinnvis distribusjon og risikostyring. Dette er den samme bucket-hashen som vises i de enhetsspesifikke hendelsene som er dokumentert på siden for Secure Boot DB- og DBX-variabeloppdateringshendelser , slik at administratorer kan koordinere registertilstanden med hendelsesloggoppføringer og forstå hvordan en enhet målrettes under oppdateringsprosessen for Secure Boot.
Konfidensnivå REG_SZ (streng) ConfidenceLevel angir konfidensvurderingen som er knyttet til enhetens distribusjonssamling for sikker oppstart. Denne verdien tilsvarer BucketConfidenceLevel som Windows tilordner til enheten basert på observert oppdateringsvirkemåte på tvers av lignende maskinvare- og fastvarekonfigurasjoner. Det samme konfidensnivået er inkludert i de enhetsspesifikke hendelsene som er dokumentert på siden for oppdateringshendelser for Secure Boot DB og DBX-variabel, slik at administratorer kan koordinere registerverdien med oppføringer i hendelsesloggen. Hvis du vil ha mer informasjon om mulige verdier for denne nøkkelen, kan du se hendelsesbeskrivelsene for den enhetsspesifikke hendelsesloggen.

Hvordan disse tastene fungerer sammen

IT-administratorer konfigurerer registerverdien AvailableUpdates til 0x5944, noe som signaliserer at Windows skal utføre oppdateringen og installasjonen av Secure Boot-nøkkelen på enheten.

Etter hvert som prosessen kjøres, oppdaterer systemet UEFICA2023Status fra NotStarted til InProgress, og til slutt til Oppdatert når den er vellykket. Etter hvert som hver bit i 0x5944 behandles riktig, tømmes den.

Hvis et trinn mislykkes, registreres en feilkode i UEFICA2023Error (og statusen forblir pågår).

Denne mekanismen gir administratorer en klar måte å utløse og spore utrullingen per enhet.

Distribusjon ved hjelp av registernøkler

Distribusjon til en gruppe enheter består av følgende trinn:

  1. Angi registerverdien AvailableUpdates til 0x5944 på hver av enhetene som skal oppdateres.
  2. Overvåk registernøklene UEFICA2023Status og UEFICA2023Error for å se at enhetene gjør fremdrift. Oppgaven som behandler disse oppdateringene, kjører hver 12. time. Vær oppmerksom på at boot manager-oppdateringen kanskje ikke skjer før etter at en omstart har skjedd.
  3. Undersøk problemer hvis de oppstår. Hvis UEFICA2023Error ikke er null på en enhet, kan du sjekke hendelsesloggen for hendelser relatert til dette problemet. Se Secure Boot DB- og DBX-variable oppdateringshendelser for en fullstendig liste over Secure Boot-hendelser.

En merknad om omstarter: Selv om det kan være nødvendig med en omstart for å fullføre prosessen, vil ikke start på nytt før du starter distribusjonen av oppdateringer for sikker oppstart. Hvis en omstart er nødvendig, er Sikker oppstart-distribusjonen avhengig av omstarter som skjer som det normale forløpet av bruk av enheten.

Enhetstesting ved hjelp av registernøkler

Når du tester enkeltenheter for å sikre at enhetene behandler oppdateringene riktig, kan registernøklene være en enkel måte å teste på.

Hvis du vil teste, kjører du hver av følgende kommandoer separat fra en administrator PowerShell-ledetekst:

Obs!

  • reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
  • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  • Start systemet på nytt manuelt når AvailableUpdates blir 0x4100
  • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Den første kommandoen starter distribusjonen av sertifikat- og oppstartsbehandling på enheten. Den andre kommandoen gjør at oppgaven som behandler registernøkkelen AvailableUpdates , kjører umiddelbart. Vanligvis kjøres aktiviteten hver 12. time. Registernøkkelen skal raskt endres til 0x4100. Hvis du starter på nytt og kjører oppgaven på nytt, oppdateres oppstartsbehandlingen og AvailableUpdates blir 0x4000. Se Feilsøking for mer informasjon om hvordan AvailableUpdates fungerer.

Du kan finne resultatene ved å observere registernøklene UEFICA2023Status og UEFICA2023Error og hendelsesloggene som beskrevet i Oppdateringshendelser for Secure Boot DB og DBX-variabler.

Meld deg på og av assistanse

Registernøklene HighConfidenceOptOut og MicrosoftUpdateManagedOptIn kan brukes til å administrere de to distribusjonsassistene som beskrives i Windows-enheter med IT-administrerte oppdateringer.

  • Registernøkkelen HighConfidenceOptOut styrer den automatiske oppdateringen av enheter gjennom de kumulative oppdateringene. For enheter der Microsoft har observert at bestemte enheter oppdateres, anses de som enheter med høy konfidens, og sertifikatoppdateringer for sikker oppstart skjer automatisk. Standardinnstillingen er opt-in.
  • Med MicrosoftUpdateManagedOptIn-registernøkkelen kan IT-avdelinger velge automatisk distribusjon som administreres av Microsoft. Denne innstillingen er deaktivert som standard, og setter den til 1 opt-in. Denne innstillingen krever også at enheten sender valgfrie diagnosedata.

Støttede versjoner av Windows

Denne tabellen bryter ned støtten ytterligere basert på registernøkkelen.

Tast Støttede versjoner av Windows
TilgjengeligeOppdateringer
UEFICA2023Status
UEFICA2023Error
Alle versjoner av Windows som støtter Sikker oppstart (Windows Server 2012 og nyere Windows-versjoner).

Obs! Konfidensdataene samles inn på Windows 10, LTSC-versjoner 22H2 og nyere versjoner av Windows, men kan brukes på enheter som kjører på tidligere versjoner av Windows.
  • Windows 10, versjoner LTSC og 22H2
  • Windows 11, versjon 22H2 og 23H2
  • Windows 11, versjon 24H2
  • Windows Server 2025
HighConfidenceOptOut
MicrosoftUpdateManagedOptIn

Feilhendelser for sikker oppstart

Feilhendelser har en kritisk rapporteringsfunksjon for å informere om status og fremdrift for sikker oppstart.  Hvis du vil ha informasjon om feilhendelsene, kan du se Oppdateringshendelser for Secure Boot DB og DBX-variabel. Feilhendelsene oppdateres med ekstra hendelsesinformasjon for sikker oppstart.