Van toepassing op
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Oorspronkelijke publicatiedatum: 14 oktober 2025

KB-id: 5068202

Dit artikel bevat richtlijnen voor:  

  • Organisaties met door IT beheerde Windows-apparaten en -updates.

Beschikbaarheid van deze ondersteuning:  

  • De registersleutels AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut en MicrosoftUpdateManagedOptIn zijn opgenomen in updates die zijn uitgebracht op of na de volgende datums:

    • 14 oktober 2025: Ondersteunde versies omvatten Windows 10, versie 22H2 en nieuwere versies (inclusief 21H2 LTSC), alle ondersteunde versies van Windows 11 en Windows Server 2022 en hoger.

    • 11 november 2025: voor versies van Windows die nog steeds worden ondersteund.

In dit artikel

Inleiding

In dit document wordt ondersteuning beschreven voor het implementeren, beheren en bewaken van de certificaatupdates voor beveiligd opstarten met behulp van Windows-registersleutels. De sleutels bestaan uit het volgende: 

  • Eén sleutel om de implementatie van de certificaten en opstartbeheer op het apparaat te activeren.

  • Twee sleutels voor het bewaken van de status van de implementatie.

  • Twee sleutels voor het beheren van de instellingen voor opt-in/opt-out voor de twee beschikbare implementatiehulpen.

Deze registersleutels kunnen handmatig worden ingesteld op het apparaat of op afstand via beschikbare fleetbeheersoftware. Andere implementatiemethoden, zoals groepsbeleid, Intune en WinCS, worden beschreven in het artikel Windows-apparaten voor bedrijven en organisaties met door IT beheerde updates.  

Registersleutels voor beveiligd opstarten

In deze sectie

Registersleutels

Alle registersleutels voor beveiligd opstarten die in dit document worden beschreven, bevinden zich onder dit registerpad: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

In de volgende tabel worden alle registerwaarden beschreven. 

Registerwaarde

Type

Beschrijving & gebruik

AvailableUpdates

REG_DWORD (bitmasker)

Triggervlagmen bijwerken.

Hiermee bepaalt u welke beveiligde opstartbewerkingen moeten worden uitgevoerd op het apparaat. Als u hier het juiste bitveld instelt, wordt de implementatie van nieuwe Certificaten voor beveiligd opstarten en gerelateerde updates gestart. Voor bedrijfsimplementatie moet dit worden ingesteld op 0x5944 (hex), een waarde die alle relevante updates inschakelt (het toevoegen van de nieuwe 2023-CA-certificaten, het bijwerken van de KEK en het installeren van de nieuwe opstartmanager). 

Instellingen: 

  • 0 of niet ingesteld: er wordt geen sleutelupdate voor beveiligd opstarten uitgevoerd.

  • 0x5944 : alle benodigde certificaten implementeren en bijwerken naar de PCA2023 ondertekende opstartmanager

UEFICA2023Status

REG_SZ (tekenreeks)

Indicator implementatiestatus.

Geeft de huidige status weer van de update van de sleutel voor beveiligd opstarten op het apparaat. Deze wordt ingesteld op een van de volgende tekstwaarden:

  • NotStarted:De update is nog niet uitgevoerd.

  • InProgress:De update wordt actief uitgevoerd.

  • Bijgewerkt: De update is voltooid.

In eerste instantie is de status NotStarted. Het verandert in InProgress zodra de update begint en ten slotte in Bijgewerkt wanneer alle nieuwe sleutels en de nieuwe opstartmanager zijn geïmplementeerd. Als er een fout optreedt, wordt de registerwaarde UEFICA2023Error ingesteld op een niet-nulcode.

UEFICA2023Error

REG_DWORD (code)

Foutcode (indien aanwezig).

Deze waarde blijft 0 bij succes. Als het updateproces een fout optreedt, wordt UEFICA2023Error ingesteld op een niet-nul foutcode die overeenkomt met de eerste fout die is opgetreden. Een fout hier impliceert dat de update voor beveiligd opstarten niet volledig is geslaagd en mogelijk onderzoek of herstel op dat apparaat vereist.  

Als het bijwerken van de database (database met vertrouwde handtekeningen) bijvoorbeeld is mislukt vanwege een firmwareprobleem, kan deze registersleutel een foutcode weergeven die kan worden toegewezen aan een gebeurtenislogboek of gedocumenteerde fout-id in updategebeurtenissen van Secure Boot DB en DBX-variabele

HighConfidenceOptOut

REG_DWORD

Een opt-outoptie.

Voor ondernemingen die zich willen afmelden voor buckets met een hoge betrouwbaarheid die automatisch worden toegepast als onderdeel van de LCU.

U kunt deze sleutel instellen op een niet-nulwaarde als u zich wilt afmelden voor de buckets met hoge betrouwbaarheid. 

Instellingen 

  • 0 of sleutel bestaat niet – Opt-in

  • 1 – Aanmelden

MicrosoftUpdateManagedOptIn

REG_DWORD

Een opt-in-optie.

Voor ondernemingen die zich willen aanmelden voor CFR-onderhoud (Controlled Feature Rollout), ook wel bekend als Microsoft Managed.

Naast het instellen van deze sleutel staat u het verzenden van vereiste diagnostische gegevens toe (zie Diagnostische Windows-gegevens configureren in uw organisatie). 

Instellingen

  • 0 of sleutel bestaat niet – Afmelden

  • 1 – Aanmelden

Hoe deze sleutels samenwerken

De IT-beheerder configureert de registerwaarde AvailableUpdates voor 0x5944, waarmee Windows wordt signalen geeft om de update en installatie van de Secure Boot-sleutel op het apparaat uit te voeren.

Terwijl het proces wordt uitgevoerd, werkt het systeem UEFICA2023Status bij van NotStarted naar InProgress en ten slotte naar Bijgewerkt wanneer dit is gelukt. Als elke bit in 0x5944 is verwerkt, wordt deze gewist.

Als een stap mislukt, wordt een foutcode vastgelegd in UEFICA2023Error (en blijft de status InProgress).

Dit mechanisme biedt beheerders een duidelijke manier om de implementatie per apparaat te activeren en bij te houden. 

Implementatie met behulp van registersleutels 

Implementatie naar een groep apparaten bestaat uit de volgende stappen: 

  1. Stel de registerwaarde AvailableUpdates in op 0x5944 op elk van de apparaten die moeten worden bijgewerkt.

  2. Controleer de registersleutels UEFICA2023Status en UEFICA2023Error om te zien dat de apparaten vooruitgang boeken. Houd er rekening mee dat de taak die deze updates verwerkt eens per 12 uur wordt uitgevoerd. Houd er rekening mee dat de update van opstartbeheer mogelijk pas plaatsvindt nadat het opnieuw is opgestart.

  3. Problemen onderzoeken als ze optreden. Als UEFICA2023Error niet nul is op een apparaat, kunt u het gebeurtenislogboek controleren op gebeurtenissen die betrekking hebben op dit probleem. Zie Updategebeurtenissen voor Secure Boot DB en DBX-variabelen voor een volledige lijst met gebeurtenissen voor beveiligd opstarten.

Een opmerking over opnieuw opstarten: hoewel opnieuw opstarten mogelijk vereist is om het proces te voltooien, zal het initiëren van de implementatie van de Secure Boot-updates niet leiden tot opnieuw opstarten. Als een herstart nodig is, is de implementatie van Beveiligd opstarten afhankelijk van het opnieuw opstarten als de normale manier waarop het apparaat wordt gebruikt. 

Apparaattests met behulp van registersleutels 

Wanneer u afzonderlijke apparaten test om ervoor te zorgen dat de apparaten de updates correct verwerken, kunnen de registersleutels een eenvoudige manier zijn om te testen. 

Als u wilt testen, voert u elk van de volgende opdrachten afzonderlijk uit van een PowerShell-prompt van de beheerder: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

De eerste opdracht initieert de implementatie van het certificaat en opstartbeheer op het apparaat. De tweede opdracht zorgt ervoor dat de taak die de registersleutel AvailableUpdates verwerkt, direct wordt uitgevoerd. Normaal gesproken wordt de taak elke 12 uur uitgevoerd. 

U kunt de resultaten vinden door de registersleutels UEFICA2023Status en UEFICA2023Error en de gebeurtenislogboeken te observeren, zoals beschreven in Updategebeurtenissen van Secure Boot DB en DBX-variabelen

Aanmelden en afmelden voor hulp 

De registersleutels HighConfidenceOptOut en MicrosoftUpdateManagedOptIn kunnen worden gebruikt voor het beheren van de twee implementatiehulpen die worden beschreven in Windows-apparaten met door IT beheerde updates

  • De registersleutel HighConfidenceOptOut bepaalt het automatisch bijwerken van apparaten via de cumulatieve updates. Voor de apparaten waarvan Microsoft heeft vastgesteld dat specifieke apparaten zijn bijgewerkt, worden ze beschouwd als apparaten met een hoge betrouwbaarheid en worden de certificaatupdates voor beveiligd opstarten automatisch uitgevoerd. De standaardinstelling hiervoor is aangemeld.

  • Met de registersleutel MicrosoftUpdateManagedOptIn kunnen IT-afdelingen zich aanmelden voor automatische implementatie die wordt beheerd door Microsoft. Deze instelling is standaard uitgeschakeld en ingesteld op 1 opts-in. Voor deze instelling moet het apparaat ook optionele diagnostische gegevens verzenden.

Ondersteunde versies van Windows

In deze tabel wordt de ondersteuning verder uitgesplitst op basis van de registersleutel. 

Sleutel 

Ondersteunde versies van Windows 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Alle versies van Windows die beveiligd opstarten ondersteunen (Windows Server 2012 en latere Versies van Windows).  

Notitie: Hoewel de betrouwbaarheidsgegevens worden verzameld op Windows 10, versies LTSC, 22H2 en latere versies van Windows, kunnen deze worden toegepast op apparaten waarop eerdere versies van Windows worden uitgevoerd.    

  • Windows 10, versies LTSC en 22H2

  • Windows 11, versies 22H2 en 23H2

  • Windows 11, versie 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Fouten bij beveiligd opstarten

​​​​​​​​​​​​​​Foutevenementen hebben een kritieke rapportagefunctie om te informeren over de status en voortgang van beveiligd opstarten.  Zie Updategebeurtenissen van Secure Boot DB en DBX-variabele voor meer informatie over de foutgebeurtenissen. De foutgebeurtenissen worden bijgewerkt met aanvullende gebeurtenisgegevens voor Beveiligd opstarten. 

Aanvullende onderdelenwijzigingen voor Beveiligd opstarten 

In deze sectie

TPMTaken wijzigen 

Wijzig TPMTasks om te bepalen of de status van het apparaat de bijgewerkte Certificaten voor beveiligd opstarten heeft. Momenteel kan deze bepaling worden uitgevoerd, maar alleen als CFR een computer selecteert voor update. Deze bepaling en daaropvolgende logboekregistratie moeten in elke opstartsessie plaatsvinden, ongeacht de CFR. Als de certificaten voor beveiligd opstarten niet volledig up-to-date zijn, worden de twee hierboven beschreven fout gebeurtenissen verzonden. Als de certificaten up-to-date zijn, wordt de gebeurtenis Information verzonden. De certificaten voor beveiligd opstarten die worden gecontroleerd, zijn:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 en Microsoft Option ROM UEFI CA 2023: deze twee CA's mogen alleen aanwezig zijn als de Microsoft UEFI CA 2011 aanwezig is. Als de Microsoft UEFI CA 2011 niet aanwezig is, is er geen controle nodig.

  • Microsoft Corporation KEK 2K CA 2023

Metagegevens-gebeurtenis van machine 

Met deze gebeurtenis worden de metagegevens van de machine verzameld en wordt de volgende gebeurtenis uitgevoerd:

  • BucketId + betrouwbaarheidsclassificatie-gebeurtenis   

Deze gebeurtenis gebruikt de metagegevens van de machine om de bijbehorende vermelding in de database van machines (bucket-vermelding) te vinden. De machine formatteert en verzendt een gebeurtenis met deze gegevens, samen met eventuele betrouwbaarheidsinformatie met betrekking tot de bucket. ​​​​​​​ 

Zeer betrouwbare apparaathulp 

Voor apparaten in buckets met hoge betrouwbaarheid worden de certificaten voor beveiligd opstarten en het 2023-ondertekende opstartbeheer automatisch toegepast.   

De update wordt op hetzelfde moment geactiveerd als de twee foutgebeurtenissen worden gegenereerd en de gebeurtenis BucketId + Betrouwbaarheidsbeoordeling bevat een hoge betrouwbaarheidsclassificatie.   

Afmelden

Voor klanten die zich willen afmelden, is er als volgt een nieuwe registersleutel beschikbaar:   

Registerlocatie

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Naam van toets

HighConfidenceOptOut

Sleuteltype

DWORD

DWORD-waarde

0 of de sleutel bestaat niet: hulp met hoge betrouwbaarheid is ingeschakeld.    

1 – High-confidence assist is uitgeschakeld   

Elke andere waarde is niet gedefinieerd   

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum