Gjelder for
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Opprinnelig publisert dato: 14. oktober 2025

KB-ID: 5068202

Denne artikkelen har veiledning for:  

  • Organisasjoner med IT-administrerte Windows-enheter og oppdateringer.

Tilgjengelighet for denne støtten:  

  • AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut og MicrosoftUpdateManagedOptIn registernøkler er inkludert i oppdateringer utgitt på eller etter følgende datoer:

    • 14. oktober 2025: Støttede versjoner inkluderer Windows 10, versjon 22H2 og nyere versjoner (inkludert 21H2 LTSC), alle støttede versjoner av Windows 11 samt Windows Server 2022 og nyere.

    • 11. november 2025: For versjoner av Windows som fortsatt støttes.

I denne artikkelen

Innledning

Dette dokumentet beskriver støtte for distribusjon, administrasjon og overvåking av sertifikatoppdateringer for sikker oppstart ved hjelp av Windows-registernøkler. Nøklene består av følgende: 

  • Én nøkkel for å utløse distribusjon av sertifikater og oppstartsbehandling på enheten.

  • To nøkler for overvåking av status for distribusjonen.

  • To nøkler for å administrere innstillingene for valg/avvalg for de to tilgjengelige distribusjonsassister.

Disse registernøklene kan angis manuelt på enheten eller eksternt via tilgjengelig programvare for flåteadministrasjon. Andre distribusjonsmetoder, for eksempel gruppepolicy, Intune og WinCS, er beskrevet i artikkelen Windows-enheter for bedrifter og organisasjoner med IT-administrerte oppdateringer.  

Registernøkler for sikker oppstart

I dette avsnittet

Registernøkler

Alle registernøkler for sikker oppstart som er beskrevet i dette dokumentet, er plassert under denne registerbanen: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Tabellen nedenfor beskriver hver av registerverdiene. 

Registerverdi

Type

Beskrivelse & bruk

Tilgjengelige oppdateringer

REG_DWORD (bitmaske)

Oppdater utløserflagg.

Kontrollerer hvilke oppdateringshandlinger for sikker oppstart som skal utføres på enheten. Hvis du angir riktig bitfelt her, startes distribusjonen av nye sertifikater for sikker oppstart og relaterte oppdateringer. For virksomhetsdistribusjon bør dette settes til 0x5944 (heksadesimal) – en verdi som aktiverer alle relevante oppdateringer (legge til de nye CA-sertifikatene for 2023, oppdatere KEK og installere den nye oppstartsbehandlingen). 

Innstillinger: 

  • 0 eller ikke angitt – Ingen sikker oppstartsnøkkeloppdatering utføres.

  • 0x5944 – distribuer alle nødvendige sertifikater og oppdater til PCA2023 signert oppstartsbehandling

UEFICA2023Status

REG_SZ (streng)

Indikator for distribusjonsstatus.

Gjenspeiler gjeldende tilstand for nøkkeloppdateringen for sikker oppstart på enheten. Den settes til én av følgende tekstverdier:

  • NotStarted:Oppdateringen er ikke kjørt ennå.

  • InProgress:Oppdateringen pågår aktivt.

  • Oppdatert: Oppdateringen er fullført.

I utgangspunktet er statusen NotStarted. Den endres til InProgress når oppdateringen begynner, og til slutt til Oppdatert når alle nye nøkler og den nye oppstartsbehandlingen er distribuert. Hvis det oppstår en feil, er UEFICA2023Error-registerverdien satt til en kode som ikke er null.

UEFICA2023Error

REG_DWORD (kode)

Feilkode (hvis aktuelt).

Denne verdien forblir 0 ved vellykket. Hvis oppdateringsprosessen støter på en feil, er UEFICA2023Error satt til en feilkode som ikke er null, som tilsvarer den første feilen som oppstod. En feil her innebærer at oppdateringen for sikker oppstart ikke lyktes fullstendig, og kan kreve undersøkelse eller utbedring på den enheten.  

Hvis oppdatering av databasen (databasen med klarerte signaturer) for eksempel mislyktes på grunn av et fastvareproblem, kan denne registernøkkelen vise en feilkode som kan tilordnes til en hendelseslogg eller dokumentert feil-ID i hendelser for sikker oppstart db og DBX variabel oppdatering

HighConfidenceOptOut

REG_DWORD

Et alternativ for å velge bort.

For virksomheter som ønsker å melde seg ut av samlinger med høy visshet som automatisk vil bli brukt som en del av LCU.

Du kan angi denne nøkkelen til en verdi som ikke er null, for å velge bort samlinger med høy konfidens. 

Innstillinger 

  • 0 eller nøkkelen finnes ikke – opt-in

  • 1 – Påmelding

MicrosoftUpdateManagedOptIn

REG_DWORD

Et alternativ for påmelding.

For virksomheter som ønsker å melde seg på kontrollert funksjonsutrulling (CFR)-service, også kjent som Microsoft Managed.

I tillegg til å angi denne nøkkelen, kan du tillate sending av nødvendige diagnosedata (se Konfigurere Windows-diagnosedata i organisasjonen). 

Innstillinger

  • 0 eller nøkkelen finnes ikke – utmelding

  • 1 – Påmelding

Slik fungerer disse nøklene sammen

IT-administratoren konfigurerer registerverdien AvailableUpdates til 0x5944, noe som signaliserer windows til å kjøre sikker oppstart-nøkkeloppdatering og installasjon på enheten.

Når prosessen kjører, oppdaterer systemet UEFICA2023Status fra NotStarted til InProgress, og til slutt til Oppdatert etter suksess. Ettersom hver bit i 0x5944 behandles, fjernes den.

Hvis et trinn mislykkes, registreres en feilkode i UEFICA2023Error (og statusen forblir InProgress).

Denne mekanismen gir administratorer en klar måte å utløse og spore utrullingen per enhet på. 

Distribusjon ved hjelp av registernøkler 

Distribusjon til en gruppe enheter består av følgende trinn: 

  1. Angi registerverdien AvailableUpdates til å 0x5944 på hver av enhetene som skal oppdateres.

  2. Overvåk UEFICA2023Status - og UEFICA2023Error-registernøklene for å se at enhetene går fremover. Husk at oppgaven som behandler disse oppdateringene, kjører én gang hver 12. time. Vær oppmerksom på at oppstartsbehandlingsoppdateringen kanskje ikke skjer før etter en omstart.

  3. Undersøk problemer hvis de oppstår. Hvis UEFICA2023Error ikke er null på en enhet, kan du kontrollere hendelsesloggen for hendelser relatert til dette problemet. Se hendelser for variabel oppdatering av sikker oppstart og DBX for en fullstendig liste over hendelser for sikker oppstart.

Et notat om omstarter: Selv om en omstart kan være nødvendig for å fullføre prosessen, vil ikke det å starte distribusjonen av oppdateringene for sikker oppstart føre til en omstart. Hvis en omstart er nødvendig, er sikker oppstart-distribusjonen avhengig av omstarter som vanlig bruk av enheten. 

Enhetstesting ved hjelp av registernøkler 

Når du tester individuelle enheter for å sikre at enhetene behandler oppdateringene på riktig måte, kan registernøklene være en enkel måte å teste på. 

Kjør hver av følgende kommandoer separat fra en PowerShell-ledetekst for administrator for å teste: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Den første kommandoen starter distribusjonen av sertifikatet og oppstartsbehandlingen på enheten. Den andre kommandoen fører til at oppgaven som behandler registernøkkelen AvailableUpdates, kjøres umiddelbart. Vanligvis kjører oppgaven hver 12. time. 

Du finner resultatene ved å observere UEFICA2023Status - og UEFICA2023Error-registernøklene og hendelsesloggene som beskrevet i variable oppdateringshendelser for sikker oppstart og DBX

Melde deg på og velge bort assister 

Registernøklene HighConfidenceOptOut og MicrosoftUpdateManagedOptIn kan brukes til å administrere de to distribusjonsassister som er beskrevet i Windows-enheter med IT-administrerte oppdateringer

  • Registernøkkelen HighConfidenceOptOut styrer den automatiske oppdateringen av enheter gjennom de kumulative oppdateringene. For enhetene der Microsoft har observert at spesifikke enheter oppdateres, anses de som «høy visshet»-enheter, og oppdateringene for sertifikatet for sikker oppstart skjer automatisk. Standardinnstillingen for dette er valgt.

  • MicrosoftUpdateManagedOptIn-registernøkkelen gjør det mulig for IT-avdelinger å melde seg på automatisk distribusjon som administreres av Microsoft. Denne innstillingen er deaktivert som standard og setter den til 1 valgfri. Denne innstillingen krever også at enheten sender valgfrie diagnosedata.

Støttede versjoner av Windows

Denne tabellen bryter ytterligere ned støtten basert på registernøkkelen. 

Nøkkel 

Støttede versjoner av Windows 

Tilgjengelige oppdateringer 

UEFICA2023Status 

UEFICA2023Error 

Alle versjoner av Windows som støtter sikker oppstart (Windows Server 2012 og nyere Windows-versjoner).  

Notat: Selv om konfidensdataene samles inn på Windows 10, versjoner LTSC, 22H2 og nyere versjoner av Windows, kan de brukes på enheter som kjører på tidligere versjoner av Windows.    

  • Windows 10, versjonER LTSC og 22H2

  • Windows 11, versjon 22H2 og 23H2

  • Windows 11, versjon 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Feilhendelser for sikker oppstart

​​​​​​​​​​​​​​Feilhendelser har en kritisk rapporteringsfunksjon for å informere om status for sikker oppstart og fremdrift.  Hvis du vil ha informasjon om feilhendelsene, kan du se hendelser for variabel oppdatering av sikker oppstart og DBX. Feilhendelsene oppdateres med tilleggshendelsesinformasjon for sikker oppstart. 

Flere komponentendringer for sikker oppstart 

I dette avsnittet

TPMTasks-endringer 

Endre TPMTasks for å finne ut om tilstanden til enheten har de oppdaterte sertifikatene for sikker oppstart. For øyeblikket kan det bestemme, men bare hvis CFR velger en maskin for oppdatering. Denne besluttsomheten og påfølgende logging skal skje i hver oppstartsøkt uavhengig av CFR. Hvis sertifikatene for sikker oppstart ikke er helt oppdatert, vil de avgi de to feilhendelsene som er beskrevet ovenfor. Hvis sertifikatene er oppdatert, avgir de informasjonshendelsen. Sertifikatene for sikker oppstart som skal kontrolleres, er:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 og Microsoft Option ROM UEFI CA 2023 – disse to CAene må bare finnes hvis Microsoft UEFI CA 2011 finnes. Hvis Microsoft UEFI CA 2011 ikke finnes, er ingen kontroll nødvendig.

  • Microsoft Corporation KEK 2K CA 2023

Hendelse for maskinmetadata 

Denne hendelsen samler inn maskinmetadata og utsteder følgende hendelse:

  • BucketId + Konfidensvurderingshendelse   

Denne hendelsen bruker metadataene for maskinen til å finne den tilsvarende oppføringen i databasen med maskiner (samlingsoppføring). Maskinen vil formatere og avgi en hendelse med disse dataene sammen med eventuell konfidensinformasjon om samlingen. ​​​​​​​ 

Høy-trygg enhetsassistent 

For enheter i samlinger med høy visshet brukes sertifikatene for sikker oppstart og 2023-signert oppstartsbehandling automatisk.   

Oppdateringen utløses samtidig som de to feilhendelsene genereres, og hendelsen BucketId + Confidence Rating inkluderer en vurdering med høy konfidens.   

Melde deg ut

For kunder som ønsker å melde seg ut, vil en ny registernøkkel være tilgjengelig på følgende måte:   

Registerplassering

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Tastenavn

HighConfidenceOptOut

Nøkkeltype

DWORD

DWORD-verdi

0 eller nøkkelen finnes ikke . Assistent for høy visshet er aktivert.    

1 – Assistent for høy visshet er deaktivert   

Alle andre verdier er ikke definert   

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter