Dotyczy
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Oryginalna data publikacji: 19 marca 2026 r.

Identyfikator bazy wiedzy: 5085046

W tym artykule

Przegląd

Ta strona zawiera przewodniki dla administratorów i pracowników pomocy technicznej w zakresie diagnozowania i rozwiązywania problemów związanych z bezpiecznym rozruchem na urządzeniach z systemem Windows. Tematy obejmują błędy aktualizacji certyfikatu bezpiecznego rozruchu, niepoprawne stany bezpiecznego rozruchu, nieoczekiwane monity odzyskiwania funkcji BitLocker i awarie rozruchu po zmianach w konfiguracji bezpiecznego rozruchu.

W wytycznych wyjaśniono, jak weryfikować serwis i konfigurację systemu Windows, przeglądać odpowiednie wartości rejestru i dzienniki zdarzeń oraz określać, kiedy oprogramowanie układowe lub ograniczenia platformy wymagają aktualizacji OEM. Ta zawartość jest przeznaczona do diagnozowania problemów na istniejących urządzeniach. Nie jest przeznaczona do planowania nowych wdrożeń. Ten dokument zostanie zaktualizowany w miarę identyfikowania nowych scenariuszy rozwiązywania problemów i wskazówek.

powrót do początku

Jak działa obsługa certyfikatów bezpiecznego rozruchu

Obsługa certyfikatów bezpiecznego rozruchu w systemie Windows to skoordynowany proces między systemem operacyjnym a oprogramowaniem układowym UEFI urządzenia. Celem jest zaktualizowanie krytycznych kotwic zaufania przy jednoczesnym zachowaniu możliwości rozruchu na każdym etapie.

Proces jest określany przez zaplanowane zadanie systemu Windows, opartą na rejestrze sekwencję akcji aktualizacji oraz wbudowane rejestrowanie i ponawianie prób. Razem te składniki zapewniają, że certyfikaty bezpiecznego rozruchu i menedżer rozruchu systemu Windows są aktualizowane w kontrolowany, uporządkowany sposób i dopiero po pomyślnym wykonaniu wymaganych czynności.

powrót do początku

Od czego zacząć podczas rozwiązywania problemów

Jeśli wydaje się, że urządzenie nie czyni oczekiwanego postępu w stosowaniu aktualizacji certyfikatu bezpiecznego rozruchu, zacznij od zidentyfikowania kategorii problemu. Większość problemów dotyczy jednego z czterech obszarów: stanu obsługi systemu Windows, mechanizmu aktualizacji bezpiecznego rozruchu, zachowania oprogramowania układowego lub ograniczenia platformy lub OEM.

Rozpocznij od poniższych testów w poczcie. W wielu przypadkach te kroki są wystarczające, aby wyjaśnić obserwowane zachowanie i określić kolejne akcje bez głębszego badania.

  1. Potwierdź uprawnienia do obsługi i platformy systemu Windows

    1. ​​​​​​​Sprawdź, czy urządzenie spełnia podstawowe wymagania dotyczące otrzymywania aktualizacji certyfikatu bezpiecznego rozruchu:

    2. Na urządzeniu działa obsługiwana wersja systemu Windows.

    3. Zainstalowane są najnowsze wymagane aktualizacje zabezpieczeń systemu Windows.

    4. Bezpieczny rozruch jest włączony w oprogramowaniu układowym UEFI.

    5. Jeśli którykolwiek z tych warunków nie jest spełniony, zaadresuj je przed kontynuowaniem dalszego rozwiązywania problemów.

  2. Sprawdzanie stanu zadania Secure-Boot-Update

    1. Upewnij się, że mechanizm systemu Windows odpowiedzialny za stosowanie aktualizacji certyfikatu bezpiecznego rozruchu jest obecny i działa:

    2. Zaplanowane zadanie Secure-Boot-Update istnieje.

    3. Zadanie jest włączone i działa jako system lokalny.

    4. Zadanie zostało uruchomione co najmniej raz od czasu zainstalowania najnowszej aktualizacji zabezpieczeń systemu Windows.

    5. Jeśli zadanie jest wyłączone, usunięte lub nie jest uruchomione, nie można zastosować aktualizacji certyfikatu bezpiecznego rozruchu. Rozwiązywanie problemów powinno koncentrować się na przywróceniu zadania przed zbadaniem innych przyczyn.

  3. Sprawdzanie ustawień rejestru pod kątem oczekiwanego postępu

    Przejrzyj stan obsługi bezpiecznego rozruchu urządzenia w rejestrze:

    1. Sprawdź uefica2023Status, UEFICA2023Error i UEFICA2023ErrorEvent.

    2. Przejrzyj pozycję AvailableUpdates i porównaj ją z oczekiwanym postępem (zobacz Dokumentacja i Wewnętrzne).

    Razem te wartości wskazują, czy obsługa przebiega normalnie, ponawia próbę operacji, czy zatrzymuje się na określonym etapie.

  4. Korelowanie stanu rejestru z zdarzeniami bezpiecznego rozruchu

    Przejrzyj zdarzenia związane z bezpiecznym rozruchem w dzienniku zdarzeń systemu i skoreluj je ze stanem rejestru. Dane o zdarzeniach zwykle potwierdzają, czy urządzenie przechodzi dalej, ponawia próbę z powodu przejściowego stanu lub jest blokowane przez problem z oprogramowaniem układowym lub platformą.

    Razem dzienniki rejestru i zdarzeń zwykle wskazują, czy zachowanie jest oczekiwane, tymczasowe, czy wymaga działania naprawczego.

powrót do początku

Zaplanowane zadanie w programie Secure-Boot-Update

Obsługa certyfikatów bezpiecznego rozruchu jest realizowana za pośrednictwem zaplanowanego zadania systemu Windows o nazwie Secure-Boot-Update. Zadanie zostanie zarejestrowane w następującej ścieżce:

\Microsoft\Windows\PI\Secure-Boot-Update

Zadanie jest uruchamiane jako system lokalny. Domyślnie działa przy uruchamianiu systemu i co 12 godzin później. Przy każdym uruchomieniu sprawdza, czy oczekują akcje aktualizacji bezpiecznego rozruchu i próbuje zastosować je w sekwencji.

Jeśli to zadanie jest wyłączone lub brakuje, nie można zastosować aktualizacji certyfikatu bezpiecznego rozruchu. Aby obsługa bezpiecznego rozruchu działała, zadanie Secure-Boot-Update musi pozostać włączone.

powrót do początku

Dlaczego jest używane zaplanowane zadanie

Aktualizacje certyfikatów bezpiecznego rozruchu wymagają koordynacji między systemem Windows a oprogramowaniem układowym UEFI, w tym zapisywaniem zmiennych UEFI przechowujących klucze bezpiecznego rozruchu i certyfikaty. Zaplanowane zadanie umożliwia systemowi Windows podjęcie próby tych aktualizacji, gdy system znajduje się w stanie, w którym można modyfikować zmienne oprogramowania układowego.

Cykliczny 12-godzinny harmonogram zapewnia dodatkowe możliwości ponownej próby aktualizacji, jeśli poprzednia próba nie powiodła się lub urządzenie pozostało włączone bez ponownego uruchamiania. Ten projekt pomaga zapewnić postęp do przodu bez konieczności ręcznego interwencji.

powrót do początku

Maska bitowa AvailableUpdates rejestru

Zadanie Secure-Boot-Update jest oparte na wartości rejestru AvailableUpdates . Ta wartość to maska bitowa 32-bitowa znajdująca się pod adresem:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Każdy bit w wartości reprezentuje określoną akcję aktualizacji bezpiecznego rozruchu. Proces aktualizacji rozpoczyna się, gdy wartość AvailableUpdates jest ustawiana na wartość różną od zera, automatycznie przez system Windows lub jawnie przez administratora. Na przykład wartość, taka jak 0x5944 oznacza, że oczekuje na aktualizację wiele akcji aktualizacji.

Po uruchomieniu zadania Secure-Boot-Update interpretuje bity zestawu jako oczekującą pracę i przetwarza je w określonej kolejności.

powrót do początku

Sekwencyjne aktualizacje, rejestrowanie i zachowanie ponownej próby

Aktualizacje certyfikatu bezpiecznego rozruchu są stosowane w stałej kolejności. Każda akcja aktualizacji została zaprojektowana tak, aby była bezpieczna do ponownej próby i ukończona niezależnie. Zadanie Secure-Boot-Update nie przechodzi do następnego kroku, dopóki bieżąca akcja nie zakończy się pomyślnie, a odpowiedni bit zostanie wyczyszczony z obszaru AvailableUpdates.

Każda operacja używa standardowych interfejsów UEFI do aktualizowania zmiennych bezpiecznego rozruchu, takich jak DB i KEK, lub do instalowania zaktualizowanego menedżera rozruchu systemu Windows. System Windows rejestruje wyniki każdego kroku w dzienniku zdarzeń systemowych. Zdarzenia sukcesu potwierdzają postęp przesyłania dalej, natomiast zdarzenia niepowodzenia wskazują, dlaczego nie można ukończyć akcji.

Jeśli aktualizacja nie powiedzie się, zadanie przestanie być przetwarzane, zarejestruje błąd i opuści skojarzony zestaw bitów. Operacja zostanie ponowiena przy następnym uruchomieniu zadania. To zachowanie ponownego procesu umożliwia urządzeniom automatyczne odzyskiwanie po tymczasowych warunkach, takich jak brak obsługi oprogramowania układowego lub opóźnione aktualizacje OEM.

Administratorzy mogą śledzić postęp, korelując stan rejestru z wpisami dziennika zdarzeń. Wartości rejestru, takie jak UEFICA2023Status, UEFICA2023Error i UEFICA2023ErrorEvent wraz z maską bitowej AvailableUpdates , wskazują, który krok jest aktywny, ukończony lub zablokowany.

Ta kombinacja pokazuje, czy urządzenie postępuje normalnie, ponawia próbę operacji, czy utknęło w martwym punkcie.

powrót do początku

Integracja z oprogramowaniem układowym OEM

Aktualizacje certyfikatu bezpiecznego rozruchu zależą od prawidłowego zachowania i obsługi oprogramowania układowego UEFI urządzenia. Podczas gdy system Windows aranżuje proces aktualizacji, oprogramowanie układowe jest odpowiedzialne za wymuszanie zasad bezpiecznego rozruchu i obsługę baz danych bezpiecznego rozruchu.

OEM udostępniają dwa krytyczne elementy, które umożliwiają obsługę certyfikatu bezpiecznego rozruchu:

  • Klucz platformy podpisane klucze wymiany kluczy (KEK), które autoryzowały instalację nowych certyfikatów bezpiecznego rozruchu.

  • Implementacje oprogramowania układowego, które prawidłowo zachowują, dołączają i sprawdzają poprawność baz danych bezpiecznego rozruchu podczas aktualizacji.

Jeśli oprogramowanie układowe nie obsługuje w pełni tych zachowań, aktualizacje bezpiecznego rozruchu mogą się zatrzymać, ponowić próbę przez czas nieokreślony lub spowodować awarie rozruchu. W takich przypadkach system Windows nie może ukończyć aktualizacji bez zmian w oprogramowaniu układowym.

Firma Microsoft współpracuje z producentami OEM w celu identyfikowania problemów z oprogramowaniem układowym i udostępniania poprawionych aktualizacji. Gdy rozwiązywanie problemów wskazuje na ograniczenie lub wadę oprogramowania układowego, administratorzy mogą potrzebować zainstalowania najnowszej aktualizacji oprogramowania układowego UEFI dostarczonej przez producenta urządzenia, zanim aktualizacje certyfikatu bezpiecznego rozruchu zostaną pomyślnie ukończone.

powrót do początku

Typowe scenariusze błędów i rozwiązania

Aktualizacje bezpiecznego rozruchu są stosowane przez zaplanowane zadanie Secure-Boot-Update na podstawie stanu rejestru AvailableUpdates .

W normalnych warunkach te kroki występują automatycznie i rejestrują zdarzenia sukcesu po zakończeniu każdego etapu. W niektórych przypadkach zachowanie oprogramowania układowego, konfiguracja platformy lub wymagania wstępne obsługi mogą uniemożliwiać postęp lub prowadzić do nieoczekiwanego zachowania rozruchu.

W poniższych sekcjach opisano najbardziej typowe scenariusze awarii, sposoby ich rozpoznawania, dlaczego występują, oraz odpowiednie następne kroki przywracania normalnego działania. Scenariusze są uporządkowane od najczęściej spotykanych do poważniejszych przypadków uruchamiania.

Jeśli aktualizacje bezpiecznego rozruchu nie wykazują postępu, zazwyczaj oznacza to, że proces aktualizacji nigdy się nie rozpoczął. W związku z tym brakuje oczekiwanych wartości rejestru bezpiecznego rozruchu i dzienników zdarzeń, ponieważ mechanizm aktualizacji nigdy nie został wyzwolony.

Co się stało

Proces aktualizacji bezpiecznego rozruchu nie został uruchomiony, więc na urządzeniu nie zastosowano żadnych certyfikatów bezpiecznego rozruchu ani zaktualizowanego menedżera rozruchu.

Jak ją rozpoznać

  • Nie są dostępne żadne wartości rejestru obsługi bezpiecznego rozruchu, takie jak uefica2023Status.

  • W dzienniku zdarzeń systemowych brakuje oczekiwanych zdarzeń bezpiecznego rozruchu (na przykład 1043, 1044, 1045, 1799 i 1801).

  • Urządzenie nadal używa starszych certyfikatów bezpiecznego rozruchu i składników rozruchu.

Dlaczego tak się dzieje

Ten scenariusz występuje zazwyczaj, gdy spełniony jest co najmniej jeden z następujących warunków:

  • Zaplanowane zadanie Secure-Boot-Update jest wyłączone lub brakuje.

  • Bezpieczny rozruch jest wyłączony w oprogramowaniu układowym UEFI.

  • Urządzenie nie spełnia wymagań wstępnych obsługi systemu Windows, takich jak uruchomienie obsługiwanej wersji systemu Windows lub zainstalowanie wymaganych aktualizacji.

Co zrobić dalej

  • Sprawdź, czy urządzenie spełnia wymagania dotyczące obsługi systemu Windows i uprawnień do platformy.

  • Upewnij się, że w oprogramowaniu układowym włączono bezpieczny rozruch.

  • Upewnij się, że zaplanowane zadanie SecureBootUpdate istnieje i jest włączone.

Jeśli zaplanowane zadanie jest wyłączone lub nie ma go, postępuj zgodnie ze wskazówkami zawartymi w artykule Bezpieczny rozruch zaplanowane zadanie jest wyłączone lub usunięte , aby je przywrócić. Po przywróceniu zadania uruchom ponownie urządzenie lub uruchom je ręcznie, aby zainicjować obsługę bezpiecznego rozruchu.

W niektórych przypadkach aktualizacje związane z bezpiecznym rozruchem mogą spowodować, że urządzenie wprowadzi funkcję odzyskiwania funkcji BitLocker. Zachowanie może być przejściowe lub trwałe, w zależności od przyczyny źródłowej.

Scenariusz 1: Jednorazowe odzyskiwanie funkcji BitLocker po aktualizacji bezpiecznego rozruchu

Co się dzieje

Urządzenie przechodzi do odzyskiwania funkcji BitLocker podczas pierwszego rozruchu po aktualizacji bezpiecznego rozruchu, ale uruchamia się normalnie po kolejnych ponownych uruchomieniach.

Dlaczego tak się dzieje

Podczas pierwszego rozruchu po aktualizacji oprogramowanie układowe nie zgłasza jeszcze zaktualizowanych wartości bezpiecznego rozruchu, gdy system Windows próbuje ponownie uruchomić funkcję BitLocker. Powoduje to tymczasowe niedopasowanie wartości mierzonego rozruchu i wyzwala odzyskiwanie. Podczas następnego rozruchu oprogramowanie układowe prawidłowo zgłasza zaktualizowane wartości, funkcja BitLocker pomyślnie zapisuje ponownie, a problem nie występuje ponownie.

Jak ją rozpoznać

  • Odzyskiwanie funkcji BitLocker występuje raz.

  • Po wprowadzeniu klucza odzyskiwania kolejne buty nie monitują o odzyskanie.

  • Nie ma bieżącego zlecenia rozruchu ani zaangażowania środowiska PXE.

Co zrobić dalej

  • Wprowadź klucz odzyskiwania funkcji BitLocker, aby wznowić działanie systemu Windows.

  • Sprawdź, czy są dostępne aktualizacje oprogramowania układowego.

Scenariusz 2: Powtarzające się odzyskiwanie funkcji BitLocker z powodu pierwszej konfiguracji rozruchu PXE

Co się dzieje

Urządzenie przechodzi do odzyskiwania funkcji BitLocker przy każdym rozruchu.

Dlaczego tak się dzieje

Urządzenie jest skonfigurowane do próby rozruchu PXE (sieciowego). Próba rozruchu PXE kończy się niepowodzeniem, a następnie oprogramowanie układowe wraca do menedżera rozruchu systemu Windows na dysku.

W wyniku tego podczas jednego cyklu rozruchu mierzone są dwa różne organy podpisywania:

  • Ścieżka rozruchu środowiska PXE jest podpisana przez microsoft UEFI CA 2011.

  • Menedżer rozruchu systemu Windows na dysku jest podpisany przez windows UEFI CA 2023.

Ponieważ funkcja BitLocker obserwuje różne łańcuchy zaufania bezpiecznego rozruchu podczas uruchamiania, nie może ustanowić stabilnego zestawu pomiarów modułu TPM do ponownego zabezpieczenia. W wyniku tego funkcja BitLocker wprowadza odzyskiwanie przy każdym rozruchu.

Jak ją rozpoznać

  • Odzyskiwanie funkcji BitLocker jest wyzwalane przy każdym ponownym uruchomieniu.

  • Wprowadzenie klucza odzyskiwania umożliwia uruchomienie systemu Windows, ale monit wraca do następnego rozruchu.

  • Środowisko PXE lub rozruch sieciowy jest skonfigurowany przed dyskami lokalnymi w kolejności rozruchu oprogramowania układowego.

Co zrobić dalej

  • Skonfiguruj kolejność rozruchu oprogramowania układowego, aby najpierw był menedżer rozruchu systemu Windows na dysku.

  • Wyłącz rozruch środowiska PXE, jeśli nie jest wymagany.

  • Jeśli jest wymagane środowisko PXE, upewnij się, że infrastruktura środowiska PXE używa modułu ładującego rozruchu systemu Windows z podpisem 2023.

Co się stało

Odzwierciedla to zmianę na poziomie oprogramowania układowego, a nie problem z systemem Windows. Aktualizacja bezpiecznego rozruchu została ukończona pomyślnie, ale po późniejszym ponownym uruchomieniu urządzenie nie uruchamia się już w systemie Windows.

Jak ją rozpoznać

  • Na urządzeniu nie można uruchomić systemu Windows i może zostać wyświetlony komunikat oprogramowania układowego lub systemu BIOS wskazujący na naruszenie zasad bezpiecznego rozruchu.

  • Błąd występuje po zresetowaniu ustawień bezpiecznego rozruchu do ustawień oprogramowania układowego.

  • Wyłączenie bezpiecznego rozruchu może umożliwić ponowne uruchomienie urządzenia.

Dlaczego tak się dzieje

Zresetowanie bezpiecznego rozruchu do stanu domyślnego powoduje wyczyszczenie baz danych bezpiecznego rozruchu przechowywanych w oprogramowaniu układowym. Na urządzeniach, które już przeszły do menedżera rozruchu z podpisem interfejsu UEFI systemu Windows 2023, to zresetowanie usuwa certyfikaty wymagane do zaufania temu menedżerowi rozruchu.

W związku z tym oprogramowanie układowe nie rozpoznaje już zainstalowanego Menedżera rozruchu systemu Windows jako zaufanego i blokuje proces rozruchu.

Ten scenariusz nie jest spowodowany przez samą aktualizację bezpiecznego rozruchu, ale przez kolejne działanie oprogramowania układowego, które usuwa zaktualizowane kotwice zaufania.

Co zrobić dalej

  • Użyj narzędzia odzyskiwania bezpiecznego rozruchu, aby przywrócić wymagany certyfikat, aby urządzenie było możliwe do ponownego rozruchu.

  • Po odzyskaniu upewnij się, że urządzenie ma zainstalowane najnowsze dostępne oprogramowanie układowe od producenta urządzenia.

  • Unikaj resetowania ustawień bezpiecznego rozruchu do stanu domyślnego oprogramowania układowego, chyba że oprogramowanie układowe producenta OEM zawiera zaktualizowane ustawienia domyślne bezpiecznego rozruchu, które są zaufane certyfikatom z wersji 2023.

Narzędzie odzyskiwania bezpiecznego rozruchu

Aby odzyskać system:

  1. Na drugim komputerze z systemem Windows z zainstalowaną aktualizacją z lipca 2024 r. lub nowszą aktualizacją systemu Windows skopiuj plik SecureBootRecovery.efi z folderu C:\Windows\Boot\EFI\.

  2. Umieść plik na dysku USB w formacie FAT32 w obszarze \EFI\BOOT\ i zmień jego nazwę na bootx64.efi.

  3. Uruchom urządzenie, którego dotyczy problem, z dysku USB i zezwól na uruchomienie narzędzia odzyskiwania. Narzędzie doda interfejs UEFI SYSTEMU Windows CA 2023 do bazy danych.

Po przywróceniu certyfikatu i ponownym uruchomieniu systemu system Windows powinien uruchomić się normalnie.

Ważne: Ten proces spowoduje ponowne zastosowanie tylko jednego z nowych certyfikatów. Po odzyskaniu urządzenia upewnij się, że ma ono ponownie zainstalowane najnowsze certyfikaty, i rozważ zaktualizowanie systemu BIOS/UEFI do najnowszej dostępnej wersji. Może to pomóc zapobiec ponownemu wystąpieniu problemu z zresetowaniem bezpiecznego rozruchu, ponieważ wielu producentach OEM wydało poprawki oprogramowania układowego dla tego konkretnego problemu.

Co się stało

Po zastosowaniu aktualizacji certyfikatu bezpiecznego rozruchu i ponownym uruchomieniu urządzenie nie uruchamia się i nie dociera do systemu Windows.

Jak ją rozpoznać

  • Urządzenie kończy się niepowodzeniem natychmiast po ponownym uruchomieniu wymaganym przez aktualizację bezpiecznego rozruchu.

  • Może zostać wyświetlony błąd oprogramowania układowego lub bezpiecznego rozruchu albo system może zatrzymać się przed załadowaniem systemu Windows.

  • Wyłączenie bezpiecznego rozruchu może umożliwić rozruch urządzenia.

Dlaczego tak się dzieje

Ten problem może być spowodowany przez wadę implementacji oprogramowania układowego UEFI urządzenia.

Gdy system Windows zastosuje aktualizacje certyfikatu bezpiecznego rozruchu, oprogramowanie układowe powinno dołączyć nowe certyfikaty do istniejącej bazy danych z dozwolonym podpisem bezpiecznego rozruchu (DB). Niektóre implementacje oprogramowania układowego nieprawidłowo zastępują DB zamiast dołączać do niego.

W takim przypadku

  • Wcześniej zaufane certyfikaty, w tym certyfikat bootloadera firmy Microsoft 2011, są usuwane.

  • Jeśli system nadal używa menedżera rozruchu podpisanego certyfikatem 2011 w tym momencie, oprogramowanie układowe nie jest już zaufane.

  • Oprogramowanie układowe odrzuca menedżera rozruchu i blokuje proces rozruchu.

W niektórych przypadkach baza danych może również ulec uszkodzeniu, a nie czysto zastąpić, co prowadzi do takiego samego wyniku. To zachowanie zaobserwowano w przypadku określonych implementacji oprogramowania układowego i nie jest oczekiwane w przypadku zgodnego oprogramowania układowego.

Co zrobić dalej

  • Wprowadź menu konfiguracji oprogramowania układowego i spróbuj zresetować ustawienia bezpiecznego rozruchu.

  • Jeśli urządzenie zostanie uruchomione po zresetowaniu, poszukaj w witrynie pomocy technicznej producenta urządzenia aktualizacji oprogramowania układowego, która poprawia obsługę bazy danych bezpiecznego rozruchu.

  • Jeśli jest dostępna aktualizacja oprogramowania układowego, zainstaluj ją przed ponownym włączeniem bezpiecznego rozruchu i ponowne zastosowanie aktualizacji certyfikatu bezpiecznego rozruchu.

Jeśli zresetowanie bezpiecznego rozruchu nie przywróci funkcji rozruchu, dalsze odzyskiwanie prawdopodobnie wymaga wskazówek specyficznych dla producenta OEM.

Co się stało

Aktualizacja certyfikatu bezpiecznego rozruchu nie została ukończona i pozostaje zablokowana na etapie aktualizacji klucza wymiany kluczy (KEK).

Jak ją rozpoznać

  • Wartość rejestru AvailableUpdates pozostaje ustawiona na bit KEK (0x0004) i nie jest czyszczona.

  • Interfejs UEFICA2023Status nie jest w stanie ukończonym.

  • Dziennik zdarzeń systemowych wielokrotnie rejestruje identyfikator zdarzenia 1803, co oznacza, że nie można zastosować aktualizacji KEK.

  • Urządzenie będzie nadal ponawiać próbę aktualizacji bez postępów.

Dlaczego tak się dzieje

Aktualizacja klucza KEK bezpiecznego rozruchu wymaga autoryzacji z klucza platformy (PK) urządzenia, który jest własnością producenta OEM.

Aby aktualizacja powiodła się, producent urządzenia musi dostarczyć firmie Microsoft KEK z podpisem PK dla tej konkretnej platformy. Ten KEK podpisany przez producenta OEM jest dołączony do aktualizacji systemu Windows i umożliwia systemowi Windows aktualizowanie zmiennej KEK oprogramowania układowego.

Jeśli OEM nie dostarczył KEK z podpisem KEK dla urządzenia, system Windows nie może ukończyć aktualizacji KEK. W tym stanie:

  • Aktualizacje bezpiecznego rozruchu są blokowane z założenia.

  • System Windows nie może obejść braku autoryzacji.

  • Urządzenie może trwale nie być w stanie ukończyć obsługi certyfikatu bezpiecznego rozruchu.

Może się tak zdarzyć na starszych lub nieobsłużanych urządzeniach, na których OEM nie udostępnia już aktualizacji oprogramowania układowego ani kluczowych. Dla tego warunku nie ma obsługiwanej ścieżki odzyskiwania ręcznego.

powrót do początku

Gdy nie można zastosować aktualizacji certyfikatu bezpiecznego rozruchu, system Windows rejestruje zdarzenia diagnostyczne wyjaśniające przyczynę zablokowania postępu. Te zdarzenia są zapisywane podczas aktualizowania bazy danych podpisu bezpiecznego rozruchu (DB) lub klucza KEK (Key Exchange Key) nie mogą zostać bezpiecznie ukończone ze względu na stan oprogramowania układowego, stan platformy lub warunki konfiguracji. Scenariusze w tej sekcji odwołują się do tych zdarzeń w celu zidentyfikowania typowych wzorców błędów i określenia odpowiedniego rozwiązania. Ta sekcja ma na celu wsparcie diagnostyki i interpretacji opisanych wcześniej problemów, a nie wprowadzenie nowych scenariuszy niepowodzeń.

Aby uzyskać pełną listę identyfikatorów zdarzeń, opisów i przykładowych wpisów, zobacz Zdarzenia aktualizacji zmiennych DB i DBX dotyczące bezpiecznego rozruchu (KB5016061).

Niepowodzenie aktualizacji KEK (aktualizacje bazy danych powiodły się, KEK nie)

Urządzenie może pomyślnie zaktualizować certyfikaty w bazie danych bezpiecznego rozruchu, ale kończy się niepowodzeniem podczas aktualizacji KEK. W takim przypadku nie można ukończyć procesu aktualizacji bezpiecznego rozruchu.

Oznaki

  • Zdarzenia certyfikatu bazy danych wskazują postęp, ale etap KEK nie jest ukończony.

  • Funkcja AvailableUpdates pozostaje ustawiona na wartość 0x4004, a 0x0004 bit nie jest czyszczony po wielu uruchomieniach zadań.

  • Zdarzenie 1795 lub 1803 może być obecne.

Interpretacji

  • System 1795 zazwyczaj wskazuje na błąd oprogramowania układowego podczas próby zaktualizowania zmiennej bezpiecznego rozruchu.

  • 1803 wskazuje, że aktualizacja KEK nie może być autoryzowana, ponieważ wymagany ładunek KEK podpisany przez OEM PK nie jest dostępny dla platformy.

Następne kroki

  • W systemie 1795 sprawdź dostępność aktualizacji oprogramowania układowego OEM i sprawdź, czy są dostępne aktualizacje zmiennych bezpiecznego rozruchu.

  • W systemie 1803 potwierdź, czy OEM dostarczył firmie Microsoft KEK podpisane przez PK wymagane dla modelu urządzenia.

Błąd aktualizacji KEK na maszynach wirtualnych gości hostowanych w funkcji Hyper-V 

Na maszynach wirtualnych Hyper-V aktualizacje certyfikatu bezpiecznego rozruchu wymagają zainstalowania aktualizacji systemu Windows z marca 2026 r. zarówno na hostze Hyper-V, jak i na systemie operacyjnym gościa.

Błędy aktualizacji są zgłaszane z poziomu gościa, ale zdarzenie wskazuje, gdzie wymagane jest rozwiązywanie problemów:

  • Zdarzenie 1795 (na przykład "Multimedia są chronione zapisem") zgłoszone przez gościa wskazuje, że host Hyper-V nie ma aktualizacji z marca 2026 r. i musi zostać zaktualizowany.

  • Zdarzenie 1803 zgłoszone w gościu wskazuje, że na maszynie wirtualnej gościa brakuje aktualizacji z marca 2026 r. i musi zostać zaktualizowana.

powrót do początku 

Dokumentacja i wewnętrzne

Ta sekcja zawiera zaawansowane informacje referencyjne przeznaczone do rozwiązywania problemów i pomocy technicznej. Nie jest przeznaczona do planowania wdrożenia. Rozszerza się na mechanikę obsługi bezpiecznego rozruchu podsumowywane wcześniej i dostarcza szczegółowy materiał referencyjny do interpretacji stanu rejestru i dzienników zdarzeń.

Uwaga (wdrożenia zarządzane przez dział informatyczny): W przypadku konfiguracji za pośrednictwem zasady grupy lub Microsoft Intune nie należy mylić dwóch podobnych ustawień. Wartość AvailableUpdatesPolicy oznacza stan skonfigurowanych zasad. Tymczasem AvailableUpdates odzwierciedla w toku, bit-rozliczeń stanu pracy. Oba mogą prowadzić do tego samego wyniku, ale zachowują się inaczej, ponieważ zasady są z czasem ponownie stosowane.

powrót do początku 

AvailableUpdates bits used for certificate servicing

Poniższe bity są używane do akcji menedżera certyfikatów i rozruchu opisanych w tym dokumencie. Kolumna Kolejność odzwierciedla sekwencję przetwarzania każdego bitu zadania Bezpieczna aktualizacja rozruchu.

Zamówienie

Ustawienie bitowe

użytkowanie

1

0x0040

Ten bit informuje zaplanowane zadanie o dodaniu certyfikatu WINDOWS UEFI CA 2023 do bazy danych bezpiecznego rozruchu. Dzięki temu system Windows może ufać menedżerom rozruchu podpisanym za pomocą tego certyfikatu.

2

0x0800

Ten bit informuje o zaplanowanym zadaniu, aby zastosować interfejs UEFI INTERFEJSU UEFI firmy Microsoft w wersji CA 2023 do bazy danych.  

Zachowanie warunkowe: Po ustawieniu flagi 0x4000 zaplanowane zadanie najpierw sprawdzi bazę danych certyfikatu Microsoft Corporation UEFI CA 2011. Certyfikat MICROSOFT Option ROM UEFI CA 2023 będzie stosowany tylko wtedy, gdy certyfikat 2011 jest obecny.

3

0x1000

Ten bit informuje zaplanowane zadanie o zastosowaniu interfejsu MICROSOFT UEFI CA 2023 do bazy danych.

Zachowanie warunkowe: Po ustawieniu flagi 0x4000 zaplanowane zadanie najpierw sprawdzi bazę danych certyfikatu Microsoft Corporation UEFI CA 2011 . Certyfikat Microsoft UEFI CA 2023 będzie stosowany tylko wtedy, gdy certyfikat 2011 jest obecny.

Modyfikator (flaga zachowania)

0x4000

Ten bit modyfikuje zachowanie 0x0800 i 0x1000 bitów, tak aby interfejsy MICROSOFT UEFI CA 2023 i Microsoft Option ROM UEFI CA 2023 były stosowane tylko wtedy, gdy baza danych zawiera już pakiet MICROSOFT Corporation UEFI CA 2011  Aby zapewnić, że profil zabezpieczeń urządzenia pozostanie taki sam, ten bit zastosuje te nowe certyfikaty tylko wtedy, gdy urządzenie jest zaufane certyfikatowi MICROSOFT Corporation UEFI CA 2011. Nie wszystkie urządzenia z systemem Windows ufają temu certyfikatowi.

4

0x0004

Ten bit informuje zaplanowane zadanie o wyszukaniu klucza wymiany klucza podpisanego przez klucz platformy (PK) urządzenia. PK jest zarządzana przez OEM. OEM podpisują kEK firmy Microsoft za pomocą swojego PK i dostarczają je do firmy Microsoft, gdzie są zawarte w comiesięcznych aktualizacjach zbiorczych.

5

0x0100

Ten bit informuje o zaplanowanym zadaniu, aby zastosować menedżera rozruchu podpisanego przez interfejs UEFI CA 2023 systemu Windows do partycji rozruchowej. Spowoduje to zastąpienie podpisanego menedżera rozruchu microsoft Windows Production PCA 2011.

Uwagi:

  • Po przetworzeniu wszystkich pozostałych bitów 0x4000 bit pozostanie ustawiony.

  • Każdy bit jest przetwarzany przez zaplanowane zadanie Secure-Boot-Update w podanej kolejności.

  • Jeśli nie można przetworzyć 0x0004 bitu z powodu braku KEK podpisanego kluczem PK, zaplanowane zadanie nadal będzie stosować aktualizację menedżera rozruchu wskazaną przez 0x0100 bitową.

powrót do początku 

Oczekiwany postęp (AvailableUpdates)

Po pomyślnym zakończeniu operacji system Windows wyczyści skojarzony bit z witryny AvailableUpdates. Jeśli operacja nie powiedzie się, system Windows zarejestruje zdarzenie i ponownie uruchamia je po ponownym uruchomieniu zadania.

W poniższej tabeli przedstawiono oczekiwany postęp wartości AvailableUpdates po zakończeniu każdej akcji aktualizacji bezpiecznego rozruchu.

Krok

Przetworzone bity

Dostępne Aktualizacje

Opis

Zarejestrowano zdarzenie sukcesu

Możliwe kody zdarzeń błędów

Ekran startowy

0x5944

Stan początkowy przed rozpoczęciem obsługi certyfikatu bezpiecznego rozruchu.

-

-

1

0x0040

0x5944 → 0x5904

Interfejs UEFI systemu Windows CA 2023 został dodany do bazy danych bezpiecznego rozruchu.

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

Dodaj do bazy danych microsoft option ROM UEFI CA 2023, jeśli urządzenie wcześniej zaufało firmie Microsoft UEFI CA 2011.

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

Microsoft UEFI CA 2023 jest dodawany do bazy danych, jeśli urządzenie wcześniej zaufało firmie Microsoft UEFI CA 2011.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

Zastosowano nowy pakiet Microsoft KEK 2K CA 2023 podpisany za pomocą klucza platformy OEM.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

Menedżer rozruchu podpisany przez windows UEFI CA 2023 jest zainstalowany.

1799

1797

Notatki

  • Po pomyślnym zakończeniu operacji skojarzonej z bitem ten bit zostanie wyczyszczony z obszaru AvailableUpdates.

  • Jeśli jedna z tych operacji zakończy się niepowodzeniem, zdarzenie zostanie zarejestrowane i operacja zostanie ponowiena przy następnym uruchomieniu zaplanowanego zadania.

  • 0x4000 bit jest modyfikatorem i nie jest czyszczony. Ostateczna wartość AvailableUpdates 0x4000 oznacza pomyślne wykonanie wszystkich odpowiednich akcji aktualizacji.

  • Zdarzenia 1032, 1795, 1796, 1802 zazwyczaj wskazują ograniczenia oprogramowania układowego lub platformy.

  • Zdarzenie 1803 wskazuje na brak KEK podpisanego przez OEM PK.

powrót do początku 

Procedury rozwiązywania problemów

Ta sekcja zawiera procedury krok po kroku w celu rozwiązania określonych problemów z bezpiecznym rozruchem. Każda procedura podlega dobrze zdefiniowanemu warunkowi i ma być stosowana dopiero po wstępnej diagnozie potwierdzającej, że problem ma zastosowanie. Wykonaj poniższe procedury, aby przywrócić oczekiwane zachowanie bezpiecznego rozruchu i zezwolić na bezpieczne aktualizowanie certyfikatów. Nie stosuj tych procedur w sposób szeroki lub wywłaszczujący.

powrót do początku

Włączanie bezpiecznego rozruchu w oprogramowaniu układowym

Jeśli w oprogramowaniu układowym urządzenia jest wyłączony bezpieczny rozruch, zobacz Windows 11 i bezpieczny rozruch, aby uzyskać szczegółowe informacje na temat włączania bezpiecznego rozruchu.

powrót do początku

Wyłączone lub usunięte zaplanowane zadanie bezpiecznego rozruchu

Zaplanowane zadanie Secure-Boot-Update jest wymagane, aby system Windows stosował aktualizacje certyfikatu bezpiecznego rozruchu. Jeśli zadanie jest wyłączone lub nie można go wykonać, obsługa certyfikatu bezpiecznego rozruchu nie będzie się rozwijać.

Szczegóły zadania

Nazwa zadania

Aktualizacja bezpiecznego rozruchu

Ścieżka zadania

\Microsoft\Windows\PI\

Pełna ścieżka

\Microsoft\Windows\PI\Secure-Boot-Update

Działa jako

SYSTEM (system lokalny)

Wyzwalacze,

Przy uruchamianiu i co 12 godzin

Stan wymagany

Włączone

Jak sprawdzić stan zadania

Uruchom z poziomu wiersza programu PowerShell z podwyższonym poziomem uprawnień: schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Poszukaj pola Stan:

Status

Znaczenie

Gotowy

Zadanie istnieje i jest włączone.

Wyłączone

Zadanie istnieje, ale musi być włączone.

Błąd / Nie można odnaleźć

Zadanie nie jest widoczne i musi zostać utworzone ponownie.

Jak włączyć lub ponownie utworzyć zadanie

Jeśli pole stanu bezpiecznego rozruchu jest wyłączone, jest wyłączone lub nie odnaleziono błędu, użyj skryptu przykładowego, aby włączyć zadanie: przykładowe Enable-SecureBootUpdateTask.ps1

Uwaga: jest to przykładowy skrypt, który nie jest obsługiwany przez firmę Microsoft. Administratorzy powinni je przejrzeć i dostosować do swojego środowiska.

Przykład:

.\Enable-SecureBootUpdateTask.ps1 -Quiet

Uruchom wskazówki

  • Jeśli widzisz odmowę dostępu, uruchom ponownie program PowerShell jako administrator.

  • Jeśli skrypt nie zostanie uruchomiony z powodu zasad wykonywania, użyj obejścia zakresu procesu:

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass

powrót do początku 

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu