Van toepassing op
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Oorspronkelijke publicatiedatum: 14 oktober 2025

KB-id: 5068202

Dit artikel bevat richtlijnen voor:  

  • Organisaties met door IT beheerde Windows-apparaten en -updates.

Beschikbaarheid van deze ondersteuning:  

De registersleutels AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut en MicrosoftUpdateManagedOptIn zijn opgenomen in updates die zijn uitgebracht op of na de volgende datums:

  • 14 oktober 2025: Ondersteunde versies zijn Windows 10, versie 22H2 en nieuwere versies (inclusief 21H2 LTSC), alle ondersteunde versies van Windows 11 en Windows Server 2022 en hoger.

  • 11 november 2025: Voor versies van Windows die nog steeds worden ondersteund.

Datum wijzigen

Beschrijving wijzigen

dinsdag 4 november 2025

  • Er is nog een registersleutel toegevoegd aan de pagina.

  • De instructie 'Als het bijwerken van de database (database met vertrouwde handtekeningen) bijvoorbeeld is mislukt vanwege een firmwareprobleem, kan deze registersleutel een foutcode weergeven die kan worden toegewezen aan een gebeurtenislogboek of een gedocumenteerde fout-id in. Als bijvoorbeeld het bijwerken van de database (database met vertrouwde handtekeningen) is mislukt vanwege een firmwareprobleem, Deze registersleutel kan een foutcode van de firmware weergeven. Wanneer deze sleutel bestaat en niet-nul is, raden we u aan te zoeken naar gebeurtenissen voor beveiligd opstarten in de Windows-gebeurtenislogboeken . Zie (koppeling) voor meer informatie.'

  • Hieronder twee afzonderlijke paden voor registersleutels toegevoegd

dinsdag 11 november 2025

  • De alinea onder Apparaat testen met registersleutels bijgewerkt met aanvullende informatie: 'De registersleutel moet snel worden gewijzigd in 0x4100. Als u de taak opnieuw opstart en opnieuw uitvoert, wordt het opstartbeheer bijgewerkt en worden de AvailableUpdates 0x0100. Zie Probleemoplossing voor meer informatie over het gedrag van AvailableUpdates.

  • Werk de tekst in het grijze vak onder Apparaat testen met registersleutels bij om twee extra PowerShell-opdrachten te hebben

  • Onder registersleutels is de registerwaarde -MicrosoftUpdateManagedOptIn, gewijzigd van '1 - Aanmelden ' in '1 of een niet-nulwaarde – Aanmelden'

dinsdag 16 november 2025

De inhoud is bijgewerkt onder 'Apparaat testen met registersleutels'. De waarde van Beschikbare update is gewijzigd van '0x0100' in '0x4000'.

In dit artikel

Inleiding

In dit document wordt ondersteuning beschreven voor het implementeren, beheren en bewaken van de certificaatupdates voor beveiligd opstarten met behulp van Windows-registersleutels. De sleutels bestaan uit het volgende: 

  • Eén sleutel om de implementatie van de certificaten en opstartbeheer op het apparaat te activeren.

  • Twee sleutels voor het bewaken van de status van de implementatie.

  • Twee sleutels voor het beheren van de instellingen voor opt-in/opt-out voor de twee beschikbare implementatiehulpen.

Deze registersleutels kunnen handmatig worden ingesteld op het apparaat of op afstand via beschikbare fleetbeheersoftware. Andere implementatiemethoden, zoals groepsbeleid, Microsoft Intune en WinCS, worden beschreven in het artikel Windows-apparaten voor bedrijven en organisaties met door IT beheerde updates.  

Registersleutels voor beveiligd opstarten

In deze sectie

Registersleutels

Alle registersleutels voor beveiligd opstarten die hieronder worden beschreven, bevinden zich onder dit registerpad: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

In de volgende tabel worden alle registerwaarden beschreven:

Registerwaarde

Type

Beschrijving en gebruik

AvailableUpdates

REG_DWORD (bitmasker)

Triggervlagmen bijwerken.

Hiermee bepaalt u welke beveiligde opstartbewerkingen moeten worden uitgevoerd op het apparaat. Als u hier het juiste bitveld instelt, wordt de implementatie van nieuwe Certificaten voor beveiligd opstarten en gerelateerde updates gestart. Voor bedrijfsimplementatie moet dit worden ingesteld op 0x5944 (hex) – een waarde die alle relevante updates inschakelt (het toevoegen van de nieuwe 2023-CA-certificaten, het bijwerken van de KEK en het installeren van het nieuwe opstartbeheer). 

Instellingen

  • 0 of niet ingesteld: er wordt geen sleutelupdate voor beveiligd opstarten uitgevoerd.

  • 0x5944 : alle benodigde certificaten implementeren en bijwerken naar de PCA2023 ondertekende opstartmanager

HighConfidenceOptOut

REG_DWORD

Een afmeldingsoptie.

Voor ondernemingen die zich willen afmelden voor buckets met een hoge betrouwbaarheid die automatisch worden toegepast als onderdeel van de LCU.

U kunt deze sleutel instellen op een niet-nulwaarde als u zich wilt afmelden voor de buckets met hoge betrouwbaarheid. 

Instellingen 

  • 0 of sleutel bestaat niet – Aanmelden

  • 1 – Afmelden

MicrosoftUpdateManagedOptIn

REG_DWORD

Een opt-in-optie.

Voor ondernemingen die zich willen aanmelden voor CFR-onderhoud (Controlled Feature Rollout), ook wel bekend als Microsoft Managed.

Naast het instellen van deze sleutel staat u het verzenden van vereiste diagnostische gegevens toe (zie Diagnostische Windows-gegevens configureren in uw organisatie). 

Instellingen

  • 0 of sleutel bestaat niet – Afmelden

  • 1 of een niet-nulwaarde  – Aanmelden

Alle registersleutels voor beveiligd opstarten die hieronder worden beschreven, bevinden zich onder dit registerpad: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

In de volgende tabel worden alle registerwaarden beschreven:

Registerwaarde

Type

Beschrijving en gebruik

UEFICA2023Status

REG_SZ (tekenreeks)

Indicator implementatiestatus.

Geeft de huidige status weer van de update van de sleutel voor beveiligd opstarten op het apparaat. Deze wordt ingesteld op een van de volgende tekstwaarden:

  • NotStarted: de update is nog niet uitgevoerd.

  • InProgress: de update wordt actief uitgevoerd.

  • Bijgewerkt: de update is voltooid.

In eerste instantie is de status NotStarted. Het verandert in InProgress zodra de update begint en ten slotte in Bijgewerkt wanneer alle nieuwe sleutels en de nieuwe opstartmanager zijn geïmplementeerd. Als er een fout optreedt, wordt de registerwaarde UEFICA2023Error ingesteld op een niet-nulcode.

UEFICA2023Error

REG_DWORD (code)

Foutcode (indien aanwezig).

Deze waarde blijft 0 bij succes. Als het updateproces een fout optreedt, wordt UEFICA2023Error ingesteld op een niet-nul foutcode die overeenkomt met de eerste fout die is opgetreden. Een fout hier impliceert dat de update voor beveiligd opstarten niet volledig is geslaagd en mogelijk onderzoek of herstel op dat apparaat vereist.  

Als het bijwerken van de database (database met vertrouwde handtekeningen) bijvoorbeeld is mislukt vanwege een firmwareprobleem, kan deze registersleutel een foutcode van de firmware weergeven. Wanneer deze sleutel bestaat en niet-nul is, raden we u aan te zoeken naar gebeurtenissen voor beveiligd opstarten in de Windows-gebeurtenislogboeken. Zie Updategebeurtenissen van Secure Boot DB en DBX-variabele voor meer informatie.

WindowsUEFICA2023Capable

REG_DWORD (code)

Deze registersleutel is bedoeld voor beperkte implementatiescenario's en wordt niet aanbevolen voor algemeen gebruik. In de meeste gevallen gebruikt u in plaats daarvan de registersleutel UEFICA2023Status.

Geldige waarden:

0 – of de sleutel bestaat niet - Het certificaat 'Windows UEFI CA 2023' bevindt zich niet in de database

1 - Het certificaat 'Windows UEFI CA 2023' bevindt zich in de database

2 - Het certificaat 'Windows UEFI CA 2023' bevindt zich in de database en het systeem begint vanaf de door 2023 ondertekende opstartmanager

Hoe deze sleutels samenwerken

IT-beheerders configureren de registerwaarde AvailableUpdates voor 0x5944, waarmee Windows wordt signalen geeft om de update en installatie van de Secure Boot-sleutel op het apparaat uit te voeren.

Terwijl het proces wordt uitgevoerd, werkt het systeem UEFICA2023Status bij van NotStarted naar InProgress en ten slotte naar Bijgewerkt wanneer dit is gelukt. Als elke bit in 0x5944 is verwerkt, wordt deze gewist.

Als een stap mislukt, wordt een foutcode vastgelegd in UEFICA2023Error (en blijft de status InProgress).

Dit mechanisme biedt beheerders een duidelijke manier om de implementatie per apparaat te activeren en bij te houden. 

Implementatie met behulp van registersleutels 

Implementatie naar een groep apparaten bestaat uit de volgende stappen: 

  1. Stel de registerwaarde AvailableUpdates in op 0x5944 op elk van de apparaten die moeten worden bijgewerkt.

  2. Controleer de registersleutels UEFICA2023Status en UEFICA2023Error om te zien dat de apparaten vooruitgang boeken. De taak die deze updates verwerkt, wordt elke 12 uur uitgevoerd. Houd er rekening mee dat de update van opstartbeheer mogelijk pas plaatsvindt nadat het opnieuw is opgestart.

  3. Problemen onderzoeken als ze optreden. Als UEFICA2023Error niet nul is op een apparaat, kunt u het gebeurtenislogboek controleren op gebeurtenissen die betrekking hebben op dit probleem. Zie Updategebeurtenissen voor Secure Boot DB en DBX-variabelen voor een volledige lijst met gebeurtenissen voor beveiligd opstarten.

Een opmerking over opnieuw opstarten: hoewel opnieuw opstarten mogelijk vereist is om het proces te voltooien, zal het initiëren van de implementatie van de Secure Boot-updates niet leiden tot opnieuw opstarten. Als een herstart nodig is, is de implementatie van Beveiligd opstarten afhankelijk van het opnieuw opstarten als de normale manier waarop het apparaat wordt gebruikt. 

Apparaattests met behulp van registersleutels 

Wanneer u afzonderlijke apparaten test om ervoor te zorgen dat de apparaten de updates correct verwerken, kunnen de registersleutels een eenvoudige manier zijn om te testen. 

Als u wilt testen, voert u elk van de volgende opdrachten afzonderlijk uit van een PowerShell-prompt van de beheerder: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Start het systeem handmatig opnieuw op wanneer de AvailableUpdates wordt 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

De eerste opdracht initieert de implementatie van het certificaat en opstartbeheer op het apparaat. De tweede opdracht zorgt ervoor dat de taak die de registersleutel AvailableUpdates verwerkt, direct wordt uitgevoerd. Normaal gesproken wordt de taak elke 12 uur uitgevoerd. De registersleutel moet snel worden gewijzigd in 0x4100. Als u de taak opnieuw opstart en opnieuw uitvoert, wordt het opstartbeheer bijgewerkt en worden de AvailableUpdates 0x4000. Zie Probleemoplossing voor meer informatie over de werking van AvailableUpdates.

U kunt de resultaten vinden door de registersleutels UEFICA2023Status en UEFICA2023Error en de gebeurtenislogboeken te observeren, zoals beschreven in Updategebeurtenissen van Secure Boot DB en DBX-variabelen

Aanmelden en afmelden voor hulp 

De registersleutels HighConfidenceOptOut en MicrosoftUpdateManagedOptIn kunnen worden gebruikt voor het beheren van de twee implementatiehulpen die worden beschreven in Windows-apparaten met door IT beheerde updates

  • De registersleutel HighConfidenceOptOut bepaalt het automatisch bijwerken van apparaten via de cumulatieve updates. Voor de apparaten waarvan Microsoft heeft vastgesteld dat specifieke apparaten zijn bijgewerkt, worden ze beschouwd als apparaten met een hoge betrouwbaarheid en worden de certificaatupdates voor beveiligd opstarten automatisch uitgevoerd. De standaardinstelling is opt-in.

  • Met de registersleutel MicrosoftUpdateManagedOptIn kunnen IT-afdelingen zich aanmelden voor automatische implementatie die wordt beheerd door Microsoft. Deze instelling is standaard uitgeschakeld en ingesteld op 1 opts-in. Voor deze instelling moet het apparaat ook optionele diagnostische gegevens verzenden.

Ondersteunde versies van Windows

In deze tabel wordt de ondersteuning verder uitgesplitst op basis van de registersleutel. 

Sleutel 

Ondersteunde versies van Windows 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Alle versies van Windows die beveiligd opstarten ondersteunen (Windows Server 2012 en latere Versies van Windows).  

Opmerking: Hoewel de betrouwbaarheidsgegevens worden verzameld op Windows 10, versies LTSC, 22H2 en latere versies van Windows, kunnen deze worden toegepast op apparaten waarop eerdere versies van Windows worden uitgevoerd.    

  • Windows 10, versies LTSC en 22H2

  • Windows 11, versies 22H2 en 23H2

  • Windows 11, versie 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Fouten bij beveiligd opstarten

​​​​​​​​​​​​​​Foutevenementen hebben een kritieke rapportagefunctie om te informeren over de status en voortgang van beveiligd opstarten.  Zie Updategebeurtenissen van Secure Boot DB en DBX-variabele voor meer informatie over de foutgebeurtenissen. De foutgebeurtenissen worden bijgewerkt met aanvullende gebeurtenisgegevens voor Beveiligd opstarten. 

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum