Gjelder for
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Opprinnelig publisert dato: 14. oktober 2025

KB-ID: 5068202

Denne artikkelen har veiledning for:  

  • Organisasjoner med IT-administrerte Windows-enheter og oppdateringer.

Tilgjengelighet for denne støtten:  

AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut og MicrosoftUpdateManagedOptIn registernøkler er inkludert i oppdateringer utgitt på eller etter følgende datoer:

  • 14. oktober 2025: Støttede versjoner inkluderer Windows 10, versjon 22H2 og nyere versjoner (inkludert 21H2 LTSC), alle støttede versjoner av Windows 11 samt Windows Server 2022 og nyere.

  • 11. november 2025: For versjoner av Windows som fortsatt støttes.

Endre dato

Endre beskrivelse

4. november 2025 kl.

  • La til enda en registernøkkel på siden.

  • Rettet en setning fra For eksempel hvis oppdatering av DB (database med klarerte signaturer) mislyktes på grunn av et fastvareproblem, kan denne registernøkkelen vise en feilkode som kan tilordnes til en hendelseslogg eller dokumentert feil-ID i, for å si «Hvis for eksempel oppdatering av DB (database med klarerte signaturer) mislyktes på grunn av et fastvareproblem, denne registernøkkelen kan vise en feilkode fra fastvaren. Når denne nøkkelen finnes og ikke er null, anbefaler vi at du ser etter sikker oppstart-hendelser i Windows-hendelsesloggene – se (kobling) for mer informasjon».

  • Lagt til to separate baner for registernøkler nedenfor

11. november 2025 kl.

  • Oppdaterte avsnittet under Enhetstesting ved hjelp av registernøkler med tilleggsinformasjon: «Registernøkkelen bør raskt endres til 0x4100. Omstart og kjøring av oppgaven på nytt vil føre til at oppstartsbehandlingen oppdateres og AvailableUpdates blir 0x0100. Se Feilsøking for mer informasjon om hvordan AvailableUpdates fungerer.»

  • Oppdater teksten i den grå boksen under Enhetstesting ved hjelp av registernøkler for å ha to ekstra PowerShell-kommandoer

  • Under registernøkler ble registerverdien -MicrosoftUpdateManagedOptIn endret fra «1 – Opt in» til «1 eller en hvilken som helst verdi som ikke er null – Opt in»

16. november 2025 kl.

Oppdaterte innholdet under Enhetstesting ved hjelp av registernøkler. Den tilgjengelige oppdateringsverdien ble endret fra 0x0100 til 0x4000.

I denne artikkelen

Innledning

Dette dokumentet beskriver støtte for distribusjon, administrasjon og overvåking av sertifikatoppdateringer for sikker oppstart ved hjelp av Windows-registernøkler. Nøklene består av følgende: 

  • Én nøkkel for å utløse distribusjon av sertifikater og oppstartsbehandling på enheten.

  • To nøkler for overvåking av status for distribusjonen.

  • To nøkler for å administrere innstillingene for valg av/utmelding for de to tilgjengelige distribusjonsassister.

Disse registernøklene kan angis manuelt på enheten eller eksternt via tilgjengelig programvare for flåteadministrasjon. Andre distribusjonsmetoder, for eksempel gruppepolicy, Microsoft Intune og WinCS, er beskrevet i artikkelen Windows-enheter for bedrifter og organisasjoner med IT-administrerte oppdateringer.  

Registernøkler for sikker oppstart

I dette avsnittet

Registernøkler

Alle registernøkler for sikker oppstart som er beskrevet nedenfor, er plassert under denne registerbanen: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Tabellen nedenfor beskriver hver av registerverdiene:

Registerverdi

Type

Beskrivelse og bruk

Tilgjengelige oppdateringer

REG_DWORD (bitmaske)

Oppdater utløserflagg.

Kontrollerer hvilke oppdateringshandlinger for sikker oppstart som skal utføres på enheten. Hvis du angir riktig bitfelt her, startes distribusjonen av nye sertifikater for sikker oppstart og relaterte oppdateringer. For virksomhetsdistribusjon bør dette settes til 0x5944 (heksadesimal) – en verdi som aktiverer alle relevante oppdateringer (legge til de nye CA-sertifikatene for 2023, oppdatere KEK og installere den nye oppstartsbehandlingen). 

Innstillinger

  • 0 eller ikke angitt – Ingen sikker oppstartsnøkkeloppdatering utføres.

  • 0x5944 – distribuer alle nødvendige sertifikater og oppdater til PCA2023 signert oppstartsbehandling

HighConfidenceOptOut

REG_DWORD

Et alternativ for å velge bort.

For virksomheter som ønsker å melde seg ut av samlinger med høy visshet som automatisk vil bli brukt som en del av LCU.

Du kan angi denne nøkkelen til en verdi som ikke er null, for å velge bort samlinger med høy konfidens. 

Innstillinger 

  • 0 eller nøkkelen finnes ikke – Aktiver

  • 1 – Velg bort

MicrosoftUpdateManagedOptIn

REG_DWORD

Et alternativ for å velge.

For virksomheter som ønsker å melde seg på kontrollert funksjonsutrulling (CFR)-service, også kjent som Microsoft Managed.

I tillegg til å angi denne nøkkelen, kan du tillate sending av nødvendige diagnosedata (se Konfigurere Windows-diagnosedata i organisasjonen). 

Innstillinger

  • 0 eller nøkkelen finnes ikke – Velg bort

  • 1 eller en annen verdi   som ikke er null– Melde deg på

Alle registernøkler for sikker oppstart som er beskrevet nedenfor, er plassert under denne registerbanen: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Tabellen nedenfor beskriver hver av registerverdiene:

Registerverdi

Type

Beskrivelse og bruk

UEFICA2023Status

REG_SZ (streng)

Indikator for distribusjonsstatus.

Gjenspeiler gjeldende tilstand for nøkkeloppdateringen for sikker oppstart på enheten. Den settes til én av følgende tekstverdier:

  • NotStarted: Oppdateringen er ikke kjørt ennå.

  • InProgress: Oppdateringen pågår aktivt.

  • Oppdatert: Oppdateringen er fullført.

I utgangspunktet er statusen NotStarted. Den endres til InProgress når oppdateringen begynner, og til slutt til Oppdatert når alle nye nøkler og den nye oppstartsbehandlingen er distribuert. Hvis det oppstår en feil, er UEFICA2023Error-registerverdien satt til en kode som ikke er null.

UEFICA2023Error

REG_DWORD (kode)

Feilkode (hvis aktuelt).

Denne verdien forblir 0 ved vellykket. Hvis oppdateringsprosessen støter på en feil, er UEFICA2023Error satt til en feilkode som ikke er null, som tilsvarer den første feilen som oppstod. En feil her innebærer at oppdateringen for sikker oppstart ikke lyktes fullstendig, og kan kreve undersøkelse eller utbedring på den enheten.  

Hvis oppdatering av databasen for klarerte signaturer for eksempel mislyktes på grunn av et fastvareproblem, kan det hende at denne registernøkkelen viser en feilkode fra fastvaren. Når denne nøkkelen finnes og ikke er null, anbefaler vi at du ser etter hendelser for sikker oppstart i Hendelseslogger for Windows – se hendelser for variabel oppdatering av sikker oppstart og DBX for flere detaljer.

WindowsUEFICA2023Capable

REG_DWORD (kode)

Denne registernøkkelen er ment for begrensede distribusjonsscenarioer og anbefales ikke for generell bruk. I de fleste tilfeller kan du bruke UEFICA2023Status-registernøkkelen i stedet.

Gyldige verdier:

0 – eller nøkkelen finnes ikke – «Windows UEFI CA 2023»-sertifikatet er ikke i DB

1 – «Windows UEFI CA 2023»-sertifikatet er i DB

2 – «Windows UEFI CA 2023»-sertifikatet er i DB og systemet starter fra den signerte oppstartsbehandlingen for 2023

Slik fungerer disse nøklene sammen

IT-administratorer konfigurerer registerverdien AvailableUpdates til 0x5944, noe som signaliserer at Windows kjører nøkkeloppdateringen for sikker oppstart og installasjon på enheten.

Når prosessen kjører, oppdaterer systemet UEFICA2023Status fra NotStarted til InProgress, og til slutt til Oppdatert etter suksess. Ettersom hver bit i 0x5944 behandles, fjernes den.

Hvis et trinn mislykkes, registreres en feilkode i UEFICA2023Error (og statusen forblir InProgress).

Denne mekanismen gir administratorer en klar måte å utløse og spore utrullingen per enhet på. 

Distribusjon ved hjelp av registernøkler 

Distribusjon til en gruppe enheter består av følgende trinn: 

  1. Angi registerverdien AvailableUpdates til å 0x5944 på hver av enhetene som skal oppdateres.

  2. Overvåk UEFICA2023Status - og UEFICA2023Error-registernøklene for å se at enhetene går fremover. Oppgaven som behandler disse oppdateringene, kjører hver 12. time. Vær oppmerksom på at oppstartsbehandlingsoppdateringen kanskje ikke skjer før etter en omstart.

  3. Undersøk problemer hvis de oppstår. Hvis UEFICA2023Error ikke er null på en enhet, kan du kontrollere hendelsesloggen for hendelser relatert til dette problemet. Se hendelser for variabel oppdatering av sikker oppstart og DBX for en fullstendig liste over hendelser for sikker oppstart.

Et notat om omstarter: Selv om en omstart kan være nødvendig for å fullføre prosessen, vil ikke det å starte distribusjonen av oppdateringene for sikker oppstart føre til en omstart. Hvis en omstart er nødvendig, er sikker oppstart-distribusjonen avhengig av omstarter som vanlig bruk av enheten. 

Enhetstesting ved hjelp av registernøkler 

Når du tester individuelle enheter for å sikre at enhetene behandler oppdateringene på riktig måte, kan registernøklene være en enkel måte å teste på. 

Kjør hver av følgende kommandoer separat fra en PowerShell-ledetekst for administrator for å teste: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Start systemet på nytt manuelt når AvailableUpdates blir 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Den første kommandoen starter distribusjonen av sertifikatet og oppstartsbehandlingen på enheten. Den andre kommandoen fører til at oppgaven som behandler registernøkkelen AvailableUpdates, kjøres umiddelbart. Vanligvis kjører oppgaven hver 12. time. Registernøkkelen bør raskt endres til 0x4100. Omstart og kjøring av oppgaven på nytt vil føre til at oppstartsbehandlingen oppdateres og AvailableUpdates blir 0x4000. Se Feilsøking hvis du vil ha mer informasjon om hvordan AvailableUpdates fungerer.

Du finner resultatene ved å observere UEFICA2023Status - og UEFICA2023Error-registernøklene og hendelsesloggene som beskrevet i variable oppdateringshendelser for sikker oppstart og DBX

Melde deg på og velge bort assister 

Registernøklene HighConfidenceOptOut og MicrosoftUpdateManagedOptIn kan brukes til å administrere de to distribusjonsassister som er beskrevet i Windows-enheter med IT-administrerte oppdateringer

  • Registernøkkelen HighConfidenceOptOut styrer den automatiske oppdateringen av enheter gjennom de kumulative oppdateringene. For enhetene der Microsoft har observert at spesifikke enheter oppdateres, anses de som «høy visshet»-enheter, og oppdateringene for sertifikatet for sikker oppstart skjer automatisk. Standardinnstillingen er aktivert.

  • MicrosoftUpdateManagedOptIn-registernøkkelen gjør det mulig for IT-avdelinger å melde seg på automatisk distribusjon som administreres av Microsoft. Denne innstillingen er deaktivert som standard og setter den til 1 valgfri. Denne innstillingen krever også at enheten sender valgfrie diagnosedata.

Støttede versjoner av Windows

Denne tabellen bryter ytterligere ned støtten basert på registernøkkelen. 

Nøkkel 

Støttede versjoner av Windows 

Tilgjengelige oppdateringer 

UEFICA2023Status 

UEFICA2023Error 

Alle versjoner av Windows som støtter sikker oppstart (Windows Server 2012 og nyere Windows-versjoner).  

Merk: Selv om konfidensdataene samles inn på Windows 10, versjoner LTSC, 22H2 og nyere versjoner av Windows, kan de brukes på enheter som kjører på tidligere versjoner av Windows.    

  • Windows 10, versjonER LTSC og 22H2

  • Windows 11, versjon 22H2 og 23H2

  • Windows 11, versjon 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Feilhendelser for sikker oppstart

​​​​​​​​​​​​​​Feilhendelser har en kritisk rapporteringsfunksjon for å informere om status for sikker oppstart og fremdrift.  Hvis du vil ha informasjon om feilhendelsene, kan du se hendelser for variabel oppdatering av sikker oppstart og DBX. Feilhendelsene oppdateres med tilleggshendelsesinformasjon for sikker oppstart. 

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter