Registersleutelupdates voor Beveiligd opstarten: Windows-apparaten met door IT beheerde updates

Van toepassing op
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Opmerking

  • Oorspronkelijke publicatiedatum: 14 oktober 2025
  • KB-id: 5068202

Dit artikel bevat richtlijnen voor:

  • Organisaties met door IT beheerde Windows-apparaten en -updates.

Opmerking

  • Beschikbaarheid van deze ondersteuning:

  • Registersleutels zijn opgenomen in updates die op of na de volgende datum zijn uitgebracht:

  • 11 november 2025: Voor versies van Windows die nog steeds worden ondersteund.

Wijzigingenlogboek
Datum wijzigen Beschrijving van wijziging
20 maart 2026
  • De registerwaarde AvailableUpdatesPolicy is toegevoegd aan de eerste tabel in de sectie Registersleutels.
  • De WindowsUEFICA2023Capable registerwaarde 'Beschrijving en gebruik' in de tweede tabel in de sectie 'Registersleutels' is bijgewerkt.
20 februari 2026
  • 3 nieuwe registersleutels toegevoegd aan het artikel: 'UEFICA2023ErrorEvent', 'BucketHash' & 'ConfidenceLevel'.
  • De sectie "Beschikbaarheid van deze ondersteuning" is bijgewerkt.
4 november 2025
  • Er is nog een registersleutel aan de pagina toegevoegd.
  • Een instructie gecorrigeerd van 'Als bijvoorbeeld het bijwerken van de database (database met vertrouwde handtekeningen) is mislukt vanwege een firmwareprobleem, kan deze registersleutel een foutcode weergeven die kan worden toegewezen aan een gebeurtenislogboek of gedocumenteerde fout-ID in' om te zeggen 'Bijvoorbeeld als het bijwerken van de database (database met vertrouwde handtekeningen) is mislukt vanwege een firmwareprobleem, Deze registersleutel geeft mogelijk een foutcode van de firmware weer. Wanneer deze sleutel aanwezig is en niet nul is, raden we je aan te zoeken naar Secure Boot-gebeurtenissen in de Windows-gebeurtenislogboeken - zie (link) voor meer informatie'.
  • Hieronder twee afzonderlijke paden voor registersleutels toegevoegd
11 november 2025
  • De alinea onder Apparaat testen met registersleutels bijgewerkt met aanvullende informatie: 'De registersleutel zou snel moeten veranderen in 0x4100. Als u opnieuw opstart en een taak opnieuw uitvoert, wordt Opstartbeheer bijgewerkt en worden de AvailableUpdates 0x0100. Zie Probleemoplossing voor meer informatie over hoe AvailableUpdates zich gedraagt."
  • Werk de tekst in het grijze vak onder Apparaat testen met registersleutels bij om twee extra PowerShell-opdrachten te krijgen
  • Onder registersleutels is de registerwaarde - MicrosoftUpdateManagedOptIn - 1 - Opt in " gewijzigd in "1 or any non-zero value - Opt in"
16 november 2025 De inhoud onder 'Apparaat testen met registersleutels' is bijgewerkt. De waarde van de beschikbare update is gewijzigd van '0x0100' in '0x4000'.

In dit artikel

Inleiding

Dit document beschrijft ondersteuning voor het implementeren, beheren en controleren van de Secure Boot-certificaatupdates met behulp van Windows-registersleutels. De sleutels bestaan uit het volgende:

  • Eén sleutel om de implementatie van de certificaten en opstartbeheer op het apparaat te activeren.
  • Twee sleutels voor het bewaken van de status van de implementatie.
  • Twee sleutels voor het beheren van de opt-in/opt-out-instellingen voor de twee beschikbare implementatieassistenten.

Deze registersleutels kunnen handmatig op het apparaat of op afstand worden ingesteld via beschikbare fleet management-software. Andere implementatiemethoden, zoals groepsbeleid, Microsoft Intune en WinCS worden beschreven in het artikel Windows-apparaten voor bedrijven en organisaties met door IT beheerde updates.

Registersleutels voor beveiligd opstarten

In deze sectie

Registersleutels

Alle registersleutels voor beveiligd opstarten die hieronder worden beschreven, bevinden zich onder dit registerpad:

Opmerking

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

In de volgende tabel worden alle registerwaarden beschreven:

Registerwaarde type_getal Beschrijving en gebruik
Beschikbare updates REG_DWORD (bitmasker) Activeringsvlaggen bijwerken.

Hiermee bepaalt u welke update-acties voor beveiligd opstarten moeten worden uitgevoerd op het apparaat. Als u hier het juiste bitveld instelt, wordt de implementatie van nieuwe certificaten voor beveiligd opstarten en gerelateerde updates gestart. Voor een bedrijfsimplementatie moet dit worden ingesteld op 0x5944 (hex), een waarde waarmee alle relevante updates worden ingeschakeld (de nieuwe CA-certificaten voor 2023 toevoegen, de KEK bijwerken en de nieuwe opstartmanager installeren).

Instellingen:
  • 0 of niet ingesteld - er wordt geen Secure Boot-sleutel bijgewerkt.
  • 0x5944 – Alle benodigde certificaten implementeren en bijwerken naar de PCA2023 Signed Boot Manager
HighConfidenceOptOut REG_DWORD Een optie om u af te wijzen.

Voor ondernemingen die zich willen afmelden voor categorieën met hoge betrouwbaarheid die automatisch worden toegepast als onderdeel van de LCU.

U kunt deze sleutel instellen op een andere waarde dan nul om u af te melden voor de buckets met hoge betrouwbaarheid.

Instellingen
  • 0 of sleutel bestaat niet – Inschrijven
  • 1 – Afmelden
MicrosoftUpdateManagedOptIn REG_DWORD Een optie voor aanmelden.

Voor ondernemingen die zich willen aanmelden voor CFR (Controlled Feature Rollout)-service, ook wel bekend als Microsoft Managed.

Naast het instellen van deze sleutel, kunt u ook het verzenden van de vereiste diagnostische gegevens toestaan (zie Diagnostische Windows-gegevens configureren in uw organisatie).

Instellingen
  • 0 of sleutel bestaat niet – Afmelden
  • 1 of een andere waarde dan nul – Inschrijven
AvailableUpdatesPolicy REG_DWORD (bitmasker) Uitsluitend ter referentie: werk deze sleutel niet bij via het register.

Deze sleutel wordt gebruikt door groepsbeleid en Intune om aan Beveiligd opstarten gerelateerde acties door te geven aan Windows. Het vertegenwoordigt het beleid dat is ingesteld door Intune of het groepsbeleid.

Alle registersleutels voor beveiligd opstarten die hieronder worden beschreven, bevinden zich onder dit registerpad:

Opmerking

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

In de volgende tabel worden alle registerwaarden beschreven:

Registerwaarde type_getal Beschrijving en gebruik
UEFICA2023Status REG_SZ (tekenreeks) Statusindicator voor implementatie.

Geeft de huidige status weer van de update van de Secure Boot-sleutel op het apparaat. Deze waarde wordt ingesteld op een van de volgende tekstwaarden:

  • NotStarted: De update is nog niet uitgevoerd.
  • Wordt uitgevoerd: de update wordt actief uitgevoerd.
  • Bijgewerkt: De update is voltooid.
De status is in eerste instantie Niet gestart. Het verandert in Bezig zodra de update wordt gestart en uiteindelijk in Bijgewerkt wanneer alle nieuwe toetsen en het nieuwe opstartbeheer zijn geïmplementeerd. Als er een fout optreedt, wordt de registerwaarde UEFICA2023Error ingesteld op een niet-nulcode.
UEFICA2023Fout REG_DWORD (code) Foutcode (indien aanwezig).
Deze waarde blijft 0 bij succes. Als tijdens het updateproces een fout optreedt, wordt UEFICA2023Error ingesteld op een foutcode die niet nul is en overeenkomt met de eerste fout die is opgetreden. Een fout in dit artikel impliceert dat de update voor beveiligd opstarten niet volledig is geslaagd en dat er mogelijk onderzoek of herstel op dat apparaat nodig is.
Als het bijwerken van de database (database met vertrouwde handtekeningen) bijvoorbeeld is mislukt vanwege een firmwareprobleem, kan deze registersleutel een foutcode van de firmware weergeven. Wanneer deze sleutel aanwezig is en niet nul is, raden we je aan te zoeken naar gebeurtenissen voor beveiligd opstarten in de Windows-gebeurtenislogboeken. Zie Gebeurtenissen voor Secure Boot DB en variabele DBX-updates voor meer informatie.
UEFICA2023ErrorEvent REG_DWORD (code) UEFICA2023ErrorEvent geeft de gebeurtenis-id op die Windows heeft gebruikt om een fout te rapporteren met betrekking tot de toepassing van de Windows UEFI CA 2023 Secure Boot-updates. Deze waarde is gecorreleerd met de registersleutel UEFICA2023Error en wordt ingevuld wanneer die sleutel is ingesteld, wat aangeeft dat Windows een fout heeft ondervonden tijdens het toepassen van de update voor beveiligd opstarten. Wanneer dit gebeurt, registreert Windows de bijbehorende gebeurtenis voor beveiligd opstarten die wordt beschreven op de openbare pagina Gebeurtenissen voor Secure Boot DB en DBX, waarin aanvullende informatie wordt gegeven over waarom de update niet kon worden voltooid en welke actie mogelijk vereist is.
WindowsUEFICA2023Geschikt REG_DWORD (code) Alleen ter referentie: gebruik deze sleutel niet voor het ophalen van de status van Secure Boot-updates. Gebruik in plaats daarvan de UEFICA2023Status-sleutel.
Deze registersleutel is bedoeld voor scenario's met beperkte implementatie en wordt niet aanbevolen voor algemeen gebruik.
Geldige waarden:
0 – of sleutel bestaat niet – certificaat 'Windows UEFI CA 2023' staat niet in de DB
1 - Het certificaat 'Windows UEFI CA 2023' bevindt zich in de database
2 - Het certificaat 'Windows UEFI CA 2023' bevindt zich in de database en het systeem begint vanaf de ondertekende opstartmanager van 2023
BucketHash REG_SZ (tekenreeks) BucketHash identificeert de implementatiebucket waaraan een apparaat wordt toegewezen als onderdeel van de implementatie van het Secure Boot-certificaat. De waarde is een hash die is afgeleid van apparaatkenmerken en wordt gebruikt om apparaten met vergelijkbare firmware- en platformkenmerken te groeperen voor gefaseerde implementatie en risicobeheer. Dit is dezelfde bucket-hash die wordt weergegeven in de apparaatspecifieke gebeurtenissen die worden beschreven op de pagina met Secure Boot DB- en DBX-variabele updategebeurtenissen , waardoor beheerders de registerstatus kunnen correleren met vermeldingen in het gebeurtenislogboek en kunnen begrijpen hoe een apparaat wordt aangevallen tijdens het updateproces voor beveiligd opstarten.
Betrouwbaarheidsniveau REG_SZ (tekenreeks) ConfidenceLevel geeft de betrouwbaarheidsbeoordeling aan die is gekoppeld aan de Secure Boot-implementatiebucket van het apparaat. Deze waarde komt overeen met het BucketConfidenceLevel dat Windows toewijst aan het apparaat op basis van waargenomen updategedrag in vergelijkbare hardware- en firmwareconfiguraties. Hetzelfde betrouwbaarheidsniveau is opgenomen in de apparaatspecifieke gebeurtenissen die worden beschreven op de pagina met variabele updategebeurtenissen voor Secure Boot DB en DBX , zodat beheerders de registerwaarde kunnen correleren met vermeldingen in het gebeurtenislogboek. Zie de beschrijvingen van gebeurtenissen in het gebeurtenislogboek voor specifieke apparaten over de mogelijke waarden voor deze sleutel.

Hoe deze toetsen samenwerken

IT-beheerders configureren de registerwaarde AvailableUpdates op 0x5944, waarmee Windows het signaal krijgt om de update en installatie van de Secure Boot-sleutel op het apparaat uit te voeren.

Terwijl het proces wordt uitgevoerd, werkt het systeem UEFICA2023Status bij van NotStarted naar InProgress en uiteindelijk naar Updated zodra dit is gelukt. Als elk bit in 0x5944 met succes is verwerkt, wordt het gewist.

Als een stap mislukt, wordt er een foutcode vastgelegd in UEFICA2023Error (en blijft de status In uitvoering).

Dit mechanisme biedt beheerders een duidelijke manier om de implementatie per apparaat te activeren en bij te houden.

Implementatie met registersleutels

Implementatie op een groep apparaten bestaat uit de volgende stappen:

  1. Stel de registerwaarde AvailableUpdates in op 0x5944 op elk apparaat dat moet worden bijgewerkt.
  2. Controleer de registersleutels UEFICA2023Status en UEFICA2023Error om te zien of de apparaten vooruitgang boeken. De taak waarmee deze updates worden verwerkt, wordt elke 12 uur uitgevoerd. Houd er rekening mee dat de update van Opstartbeheer mogelijk pas plaatsvindt nadat opnieuw is opgestart.
  3. Onderzoek eventuele problemen. Als UEFICA2023Error niet nul is op een apparaat, kun je het gebeurtenislogboek controleren op gebeurtenissen met betrekking tot dit probleem. Zie Variabele-updategebeurtenissen voor Secure Boot DB en DBX voor een volledige lijst met Secure Boot-gebeurtenissen.

Een opmerking over opnieuw opstarten: hoewel opnieuw opstarten nodig kan zijn om het proces te voltooien, zal het initiëren van de implementatie van de updates voor beveiligd opstarten niet leiden tot opnieuw opstarten. Als een herstart nodig is, is de Secure Boot-implementatie afhankelijk van het opnieuw opstarten zoals de normale gang van zaken van het apparaat.

Apparaat testen met registersleutels

Bij het testen van afzonderlijke apparaten om ervoor te zorgen dat de apparaten de updates correct verwerken, kunnen de registersleutels een eenvoudige manier zijn om te testen.

Om te testen, voert u elk van de volgende opdrachten afzonderlijk van een PowerShell-beheerdersprompt uit:

Opmerking

  • reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
  • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  • Start het systeem handmatig opnieuw op wanneer AvailableUpdates wordt 0x4100
  • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Met de eerste opdracht worden de implementatie van het certificaat en opstartbeheer op het apparaat gestart. Met de tweede opdracht wordt de taak die de registersleutel AvailableUpdates verwerkt, meteen uitgevoerd. Normaal gesproken wordt de taak elke 12 uur uitgevoerd. De registersleutel zou snel moeten veranderen in 0x4100. Als u opnieuw opstart en een taak opnieuw uitvoert, wordt Opstartbeheer bijgewerkt en worden de AvailableUpdates 0x4000. Zie Probleemoplossing voor meer informatie over de werking van AvailableUpdates.

U kunt de resultaten vinden door de registersleutels UEFICA2023Status en UEFICA2023Error en de gebeurtenislogboeken te observeren, zoals beschreven in de variabele updategebeurtenissen van Secure Boot DB en DBX.

Aan- en afmelden voor assistenten

De registersleutels HighConfidenceOptOut en MicrosoftUpdateManagedOptIn kunnen worden gebruikt voor het beheren van de twee 'assistenten' bij de implementatie die worden beschreven op Windows-apparaten met door IT beheerde updates.

  • De registersleutel HighConfidenceOptOut regelt de automatische update van apparaten via de cumulatieve updates. Voor de apparaten waarvoor Microsoft heeft waargenomen dat specifieke apparaten met succes zijn bijgewerkt, worden deze beschouwd als apparaten met "hoge betrouwbaarheid" en worden de certificaatupdates voor beveiligd opstarten automatisch uitgevoerd. De standaardinstelling is opt-in.
  • Met de registersleutel MicrosoftUpdateManagedOptIn kunnen IT-afdelingen zich aanmelden voor automatische implementatie die wordt beheerd door Microsoft. Deze instelling is standaard uitgeschakeld en wordt ingesteld op 1 opt-in. Deze instelling vereist ook dat het apparaat optionele diagnostische gegevens verzendt.

Ondersteunde versies van Windows

Deze tabel specificeert de ondersteuning verder op basis van de registersleutel.

Toets Ondersteunde versies van Windows
Beschikbare updates
UEFICA2023Status
UEFICA2023Fout
Alle versies van Windows die Secure Boot ondersteunen (Windows Server 2012 en hoger Windows-versies).

Opmerking: Hoewel de betrouwbaarheidsgegevens worden verzameld op Windows 10, versies LTSC, 22H2 en latere versies van Windows, kunnen deze worden toegepast op apparaten die worden uitgevoerd op eerdere versies van Windows.
  • Windows 10, versies LTSC en 22H2
  • Windows 11, versies 22H2 en 23H2
  • Windows 11, versie 24H2
  • Windows Server 2025
HighConfidenceOptOut
MicrosoftUpdateManagedOptIn

Foutgebeurtenissen voor beveiligd opstarten

Foutgebeurtenissen hebben een essentiële rapportagefunctie om informatie te verstrekken over de status en voortgang van beveiligd opstarten.  Zie Variabele-updategebeurtenissen voor Secure Boot DB en DBX voor informatie over de foutgebeurtenissen. De foutgebeurtenissen worden bijgewerkt met aanvullende gebeurtenisinformatie voor Beveiligd opstarten.