Opmerking
- Oorspronkelijke publicatiedatum: 14 oktober 2025
- KB-id: 5068202
Dit artikel bevat richtlijnen voor:
- Organisaties met door IT beheerde Windows-apparaten en -updates.
Opmerking
Beschikbaarheid van deze ondersteuning:
Registersleutels zijn opgenomen in updates die op of na de volgende datum zijn uitgebracht:
11 november 2025: Voor versies van Windows die nog steeds worden ondersteund.
Wijzigingenlogboek
| Datum wijzigen | Beschrijving van wijziging |
|---|---|
| 20 maart 2026 |
|
| 20 februari 2026 |
|
| 4 november 2025 |
|
| 11 november 2025 |
|
| 16 november 2025 | De inhoud onder 'Apparaat testen met registersleutels' is bijgewerkt. De waarde van de beschikbare update is gewijzigd van '0x0100' in '0x4000'. |
In dit artikel
Inleiding
Dit document beschrijft ondersteuning voor het implementeren, beheren en controleren van de Secure Boot-certificaatupdates met behulp van Windows-registersleutels. De sleutels bestaan uit het volgende:
- Eén sleutel om de implementatie van de certificaten en opstartbeheer op het apparaat te activeren.
- Twee sleutels voor het bewaken van de status van de implementatie.
- Twee sleutels voor het beheren van de opt-in/opt-out-instellingen voor de twee beschikbare implementatieassistenten.
Deze registersleutels kunnen handmatig op het apparaat of op afstand worden ingesteld via beschikbare fleet management-software. Andere implementatiemethoden, zoals groepsbeleid, Microsoft Intune en WinCS worden beschreven in het artikel Windows-apparaten voor bedrijven en organisaties met door IT beheerde updates.
Registersleutels voor beveiligd opstarten
In deze sectie
- Registersleutels
- Hoe deze toetsen samenwerken
- Implementatie met registersleutels
- Apparaat testen met registersleutels
- Aan- en afmelden voor assistentie
- Ondersteunde versies van Windows
Registersleutels
Alle registersleutels voor beveiligd opstarten die hieronder worden beschreven, bevinden zich onder dit registerpad:
Opmerking
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
In de volgende tabel worden alle registerwaarden beschreven:
| Registerwaarde | type_getal | Beschrijving en gebruik |
|---|---|---|
| Beschikbare updates | REG_DWORD (bitmasker) | Activeringsvlaggen bijwerken. Hiermee bepaalt u welke update-acties voor beveiligd opstarten moeten worden uitgevoerd op het apparaat. Als u hier het juiste bitveld instelt, wordt de implementatie van nieuwe certificaten voor beveiligd opstarten en gerelateerde updates gestart. Voor een bedrijfsimplementatie moet dit worden ingesteld op 0x5944 (hex), een waarde waarmee alle relevante updates worden ingeschakeld (de nieuwe CA-certificaten voor 2023 toevoegen, de KEK bijwerken en de nieuwe opstartmanager installeren). Instellingen:
|
| HighConfidenceOptOut | REG_DWORD | Een optie om u af te wijzen. Voor ondernemingen die zich willen afmelden voor categorieën met hoge betrouwbaarheid die automatisch worden toegepast als onderdeel van de LCU. U kunt deze sleutel instellen op een andere waarde dan nul om u af te melden voor de buckets met hoge betrouwbaarheid. Instellingen
|
| MicrosoftUpdateManagedOptIn | REG_DWORD | Een optie voor aanmelden. Voor ondernemingen die zich willen aanmelden voor CFR (Controlled Feature Rollout)-service, ook wel bekend als Microsoft Managed. Naast het instellen van deze sleutel, kunt u ook het verzenden van de vereiste diagnostische gegevens toestaan (zie Diagnostische Windows-gegevens configureren in uw organisatie). Instellingen
|
| AvailableUpdatesPolicy | REG_DWORD (bitmasker) |
Uitsluitend ter referentie: werk deze sleutel niet bij via het register. Deze sleutel wordt gebruikt door groepsbeleid en Intune om aan Beveiligd opstarten gerelateerde acties door te geven aan Windows. Het vertegenwoordigt het beleid dat is ingesteld door Intune of het groepsbeleid. |
Alle registersleutels voor beveiligd opstarten die hieronder worden beschreven, bevinden zich onder dit registerpad:
Opmerking
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
In de volgende tabel worden alle registerwaarden beschreven:
| Registerwaarde | type_getal | Beschrijving en gebruik |
|---|---|---|
| UEFICA2023Status | REG_SZ (tekenreeks) | Statusindicator voor implementatie. Geeft de huidige status weer van de update van de Secure Boot-sleutel op het apparaat. Deze waarde wordt ingesteld op een van de volgende tekstwaarden:
|
| UEFICA2023Fout | REG_DWORD (code) | Foutcode (indien aanwezig). Deze waarde blijft 0 bij succes. Als tijdens het updateproces een fout optreedt, wordt UEFICA2023Error ingesteld op een foutcode die niet nul is en overeenkomt met de eerste fout die is opgetreden. Een fout in dit artikel impliceert dat de update voor beveiligd opstarten niet volledig is geslaagd en dat er mogelijk onderzoek of herstel op dat apparaat nodig is. Als het bijwerken van de database (database met vertrouwde handtekeningen) bijvoorbeeld is mislukt vanwege een firmwareprobleem, kan deze registersleutel een foutcode van de firmware weergeven. Wanneer deze sleutel aanwezig is en niet nul is, raden we je aan te zoeken naar gebeurtenissen voor beveiligd opstarten in de Windows-gebeurtenislogboeken. Zie Gebeurtenissen voor Secure Boot DB en variabele DBX-updates voor meer informatie. |
| UEFICA2023ErrorEvent | REG_DWORD (code) | UEFICA2023ErrorEvent geeft de gebeurtenis-id op die Windows heeft gebruikt om een fout te rapporteren met betrekking tot de toepassing van de Windows UEFI CA 2023 Secure Boot-updates. Deze waarde is gecorreleerd met de registersleutel UEFICA2023Error en wordt ingevuld wanneer die sleutel is ingesteld, wat aangeeft dat Windows een fout heeft ondervonden tijdens het toepassen van de update voor beveiligd opstarten. Wanneer dit gebeurt, registreert Windows de bijbehorende gebeurtenis voor beveiligd opstarten die wordt beschreven op de openbare pagina Gebeurtenissen voor Secure Boot DB en DBX, waarin aanvullende informatie wordt gegeven over waarom de update niet kon worden voltooid en welke actie mogelijk vereist is. |
| WindowsUEFICA2023Geschikt | REG_DWORD (code) | Alleen ter referentie: gebruik deze sleutel niet voor het ophalen van de status van Secure Boot-updates. Gebruik in plaats daarvan de UEFICA2023Status-sleutel. Deze registersleutel is bedoeld voor scenario's met beperkte implementatie en wordt niet aanbevolen voor algemeen gebruik. Geldige waarden: 0 – of sleutel bestaat niet – certificaat 'Windows UEFI CA 2023' staat niet in de DB 1 - Het certificaat 'Windows UEFI CA 2023' bevindt zich in de database 2 - Het certificaat 'Windows UEFI CA 2023' bevindt zich in de database en het systeem begint vanaf de ondertekende opstartmanager van 2023 |
| BucketHash | REG_SZ (tekenreeks) | BucketHash identificeert de implementatiebucket waaraan een apparaat wordt toegewezen als onderdeel van de implementatie van het Secure Boot-certificaat. De waarde is een hash die is afgeleid van apparaatkenmerken en wordt gebruikt om apparaten met vergelijkbare firmware- en platformkenmerken te groeperen voor gefaseerde implementatie en risicobeheer. Dit is dezelfde bucket-hash die wordt weergegeven in de apparaatspecifieke gebeurtenissen die worden beschreven op de pagina met Secure Boot DB- en DBX-variabele updategebeurtenissen , waardoor beheerders de registerstatus kunnen correleren met vermeldingen in het gebeurtenislogboek en kunnen begrijpen hoe een apparaat wordt aangevallen tijdens het updateproces voor beveiligd opstarten. |
| Betrouwbaarheidsniveau | REG_SZ (tekenreeks) | ConfidenceLevel geeft de betrouwbaarheidsbeoordeling aan die is gekoppeld aan de Secure Boot-implementatiebucket van het apparaat. Deze waarde komt overeen met het BucketConfidenceLevel dat Windows toewijst aan het apparaat op basis van waargenomen updategedrag in vergelijkbare hardware- en firmwareconfiguraties. Hetzelfde betrouwbaarheidsniveau is opgenomen in de apparaatspecifieke gebeurtenissen die worden beschreven op de pagina met variabele updategebeurtenissen voor Secure Boot DB en DBX , zodat beheerders de registerwaarde kunnen correleren met vermeldingen in het gebeurtenislogboek. Zie de beschrijvingen van gebeurtenissen in het gebeurtenislogboek voor specifieke apparaten over de mogelijke waarden voor deze sleutel. |
Hoe deze toetsen samenwerken
IT-beheerders configureren de registerwaarde AvailableUpdates op 0x5944, waarmee Windows het signaal krijgt om de update en installatie van de Secure Boot-sleutel op het apparaat uit te voeren.
Terwijl het proces wordt uitgevoerd, werkt het systeem UEFICA2023Status bij van NotStarted naar InProgress en uiteindelijk naar Updated zodra dit is gelukt. Als elk bit in 0x5944 met succes is verwerkt, wordt het gewist.
Als een stap mislukt, wordt er een foutcode vastgelegd in UEFICA2023Error (en blijft de status In uitvoering).
Dit mechanisme biedt beheerders een duidelijke manier om de implementatie per apparaat te activeren en bij te houden.
Implementatie met registersleutels
Implementatie op een groep apparaten bestaat uit de volgende stappen:
- Stel de registerwaarde AvailableUpdates in op 0x5944 op elk apparaat dat moet worden bijgewerkt.
- Controleer de registersleutels UEFICA2023Status en UEFICA2023Error om te zien of de apparaten vooruitgang boeken. De taak waarmee deze updates worden verwerkt, wordt elke 12 uur uitgevoerd. Houd er rekening mee dat de update van Opstartbeheer mogelijk pas plaatsvindt nadat opnieuw is opgestart.
- Onderzoek eventuele problemen. Als UEFICA2023Error niet nul is op een apparaat, kun je het gebeurtenislogboek controleren op gebeurtenissen met betrekking tot dit probleem. Zie Variabele-updategebeurtenissen voor Secure Boot DB en DBX voor een volledige lijst met Secure Boot-gebeurtenissen.
Een opmerking over opnieuw opstarten: hoewel opnieuw opstarten nodig kan zijn om het proces te voltooien, zal het initiëren van de implementatie van de updates voor beveiligd opstarten niet leiden tot opnieuw opstarten. Als een herstart nodig is, is de Secure Boot-implementatie afhankelijk van het opnieuw opstarten zoals de normale gang van zaken van het apparaat.
Apparaat testen met registersleutels
Bij het testen van afzonderlijke apparaten om ervoor te zorgen dat de apparaten de updates correct verwerken, kunnen de registersleutels een eenvoudige manier zijn om te testen.
Om te testen, voert u elk van de volgende opdrachten afzonderlijk van een PowerShell-beheerdersprompt uit:
Opmerking
- reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
- Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
- Start het systeem handmatig opnieuw op wanneer AvailableUpdates wordt 0x4100
- Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Met de eerste opdracht worden de implementatie van het certificaat en opstartbeheer op het apparaat gestart. Met de tweede opdracht wordt de taak die de registersleutel AvailableUpdates verwerkt, meteen uitgevoerd. Normaal gesproken wordt de taak elke 12 uur uitgevoerd. De registersleutel zou snel moeten veranderen in 0x4100. Als u opnieuw opstart en een taak opnieuw uitvoert, wordt Opstartbeheer bijgewerkt en worden de AvailableUpdates 0x4000. Zie Probleemoplossing voor meer informatie over de werking van AvailableUpdates.
U kunt de resultaten vinden door de registersleutels UEFICA2023Status en UEFICA2023Error en de gebeurtenislogboeken te observeren, zoals beschreven in de variabele updategebeurtenissen van Secure Boot DB en DBX.
Aan- en afmelden voor assistenten
De registersleutels HighConfidenceOptOut en MicrosoftUpdateManagedOptIn kunnen worden gebruikt voor het beheren van de twee 'assistenten' bij de implementatie die worden beschreven op Windows-apparaten met door IT beheerde updates.
- De registersleutel HighConfidenceOptOut regelt de automatische update van apparaten via de cumulatieve updates. Voor de apparaten waarvoor Microsoft heeft waargenomen dat specifieke apparaten met succes zijn bijgewerkt, worden deze beschouwd als apparaten met "hoge betrouwbaarheid" en worden de certificaatupdates voor beveiligd opstarten automatisch uitgevoerd. De standaardinstelling is opt-in.
- Met de registersleutel MicrosoftUpdateManagedOptIn kunnen IT-afdelingen zich aanmelden voor automatische implementatie die wordt beheerd door Microsoft. Deze instelling is standaard uitgeschakeld en wordt ingesteld op 1 opt-in. Deze instelling vereist ook dat het apparaat optionele diagnostische gegevens verzendt.
Ondersteunde versies van Windows
Deze tabel specificeert de ondersteuning verder op basis van de registersleutel.
| Toets | Ondersteunde versies van Windows |
|---|---|
|
Beschikbare updates UEFICA2023Status UEFICA2023Fout |
Alle versies van Windows die Secure Boot ondersteunen (Windows Server 2012 en hoger Windows-versies). Opmerking: Hoewel de betrouwbaarheidsgegevens worden verzameld op Windows 10, versies LTSC, 22H2 en latere versies van Windows, kunnen deze worden toegepast op apparaten die worden uitgevoerd op eerdere versies van Windows.
|
| HighConfidenceOptOut | |
| MicrosoftUpdateManagedOptIn |
Foutgebeurtenissen voor beveiligd opstarten
Foutgebeurtenissen hebben een essentiële rapportagefunctie om informatie te verstrekken over de status en voortgang van beveiligd opstarten. Zie Variabele-updategebeurtenissen voor Secure Boot DB en DBX voor informatie over de foutgebeurtenissen. De foutgebeurtenissen worden bijgewerkt met aanvullende gebeurtenisinformatie voor Beveiligd opstarten.