Dotyczy
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Oryginalna data publikacji: 14 października 2025 r.

Identyfikator BAZY WIEDZY: 5068202

Ten artykuł zawiera wskazówki dotyczące:  

  • Organizacje z zarządzanymi przez IT urządzeniami z systemem Windows i aktualizacjami.

Dostępność tej pomocy technicznej:  

  • Klucze rejestru AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut i MicrosoftUpdateManagedOptIn są zawarte w aktualizacjach wydanych w następujących datach lub później:

    • 14 października 2025 r.: Obsługiwane wersje obejmują Windows 10, wersję 22H2 i nowsze wersje (w tym 21H2 LTSC), wszystkie obsługiwane wersje Windows 11, a także Windows Server 2022 i nowsze.

    • 11 listopada 2025 r.: W przypadku wersji systemu Windows nadal obsługiwanych.

W tym artykule

Wprowadzenie

W tym dokumencie opisano obsługę wdrażania aktualizacji certyfikatu bezpiecznego rozruchu oraz zarządzania nimi przy użyciu kluczy rejestru systemu Windows. Klucze składają się z następujących elementów: 

  • Jeden klucz wyzwalający wdrożenie certyfikatów i menedżera rozruchu na urządzeniu.

  • Dwa klucze monitorowania stanu wdrożenia.

  • Dwa klucze do zarządzania ustawieniami opt-in/opt-out dla dwóch dostępnych asystentów wdrażania.

Te klucze rejestru można ustawić ręcznie na urządzeniu lub zdalnie za pośrednictwem dostępnego oprogramowania do zarządzania flotą. Inne metody wdrażania, takie jak zasady grupy, Intune i WinCS, opisano w artykule Urządzenia z systemem Windows dla firm i organizacji z aktualizacjami zarządzanymi przez DZIAŁ IT.  

Klucze rejestru bezpiecznego rozruchu

W tej sekcji

Klucze rejestru

Wszystkie klucze rejestru bezpiecznego rozruchu opisane w tym dokumencie znajdują się w następującej ścieżce rejestru: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

W poniższej tabeli opisano każdą z wartości rejestru. 

Wartość rejestru

Typ

Opis & Użycia

DostępneUpdates

REG_DWORD (maska bitowa)

Zaktualizuj flagi wyzwalacza.

Określa, które akcje aktualizacji bezpiecznego rozruchu mają być wykonywane na urządzeniu. Ustawienie odpowiedniego pola bitowego inicjuje wdrażanie nowych certyfikatów bezpiecznego rozruchu i powiązanych aktualizacji. W przypadku wdrożenia w przedsiębiorstwie należy ustawić 0x5944 (szesnastkowa) — wartość umożliwiającą wszystkie odpowiednie aktualizacje (dodanie nowych certyfikatów urzędu certyfikacji w 2023 r., zaktualizowanie KEK i zainstalowanie nowego menedżera rozruchu). 

ustawieniach: 

  • 0 lub nie ustawiono — nie są wykonywane żadne aktualizacje klucza bezpiecznego rozruchu.

  • 0x5944 — wdróż wszystkie wymagane certyfikaty i zaktualizuj do PCA2023 podpisanego menedżera rozruchu

UEFICA2023Status

REG_SZ (ciąg)

Wskaźnik stanu wdrożenia.

Odzwierciedla bieżący stan aktualizacji klucza bezpiecznego rozruchu na urządzeniu. Zostanie ustawiona jedna z następujących wartości tekstowych:

  • Nierozpoczęcie:Aktualizacja nie została jeszcze uruchomiona.

  • InProgress:Aktualizacja jest w toku.

  • Aktualizowano: Aktualizacja została pomyślnie ukończona.

Początkowo stan to Nierozpoczęcie. Po rozpoczęciu aktualizacji zmienia się na InProgress, a na koniec na Zaktualizowany po wdrożeniu wszystkich nowych kluczy i nowego menedżera rozruchu. W przypadku wystąpienia błędu wartość rejestru UEFICA2023Error jest ustawiona na kod niezerowy.

UEFICA2023Error

REG_DWORD (kod)

Kod błędu (jeśli istnieją).

Ta wartość pozostaje 0 na sukces. Jeśli proces aktualizacji napotka błąd, w programie UEFICA2023Error zostanie ustawiony kod błędu niezerowy odpowiadający pierwszemu napotkaniu błędu. Błąd oznacza, że aktualizacja bezpiecznego rozruchu nie powiodła się w pełni i może wymagać badania lub podjęcia działań naprawczych na tym urządzeniu.  

Jeśli na przykład aktualizacja bazy danych (bazy danych zaufanych podpisów) nie powiodła się z powodu problemu z oprogramowaniem układowym, ten klucz rejestru może zawierać kod błędu, który można zamapować na dziennik zdarzeń lub udokumentowany identyfikator błędu w zdarzeniach aktualizacji zmiennych DB bezpiecznego rozruchu i DBX

HighConfidenceOptOut

REG_DWORD

Opcja rezygnacji.

W przypadku przedsiębiorstw, które chcą zrezygnować z zasobników z dużą pewnością siebie, które zostaną automatycznie zastosowane jako część LCU.

Ten klucz można ustawić na wartość inną niż zero, aby zrezygnować z zasobników z dużą ufnością. 

Ustawienia 

  • 0 lub klucz nie istnieje — zgoda

  • 1 — zgoda

MicrosoftUpdateManagedOptIn

REG_DWORD

Opcja zgody.

W przypadku przedsiębiorstw, które chcą włączyć obsługę kontrolowanych funkcji (CFR, Controlled Feature Rollout), nazywaną również usługą Zarządzaną przez firmę Microsoft.

Oprócz ustawienia tego klucza zezwalaj na wysyłanie wymaganych danych diagnostycznych (zobacz Konfigurowanie danych diagnostycznych systemu Windows w organizacji). 

Ustawienia

  • 0 lub klucz nie istnieje — rezygnacja

  • 1 — zgoda

Jak te współpracują ze sobą

Administrator IT konfiguruje wartość rejestru AvailableUpdates do 0x5944, co sygnalizuje systemowi Windows wykonanie aktualizacji klucza bezpiecznego rozruchu i zainstalowanie jej na urządzeniu.

W trakcie tego procesu system aktualizuje stan UEFICA2023 z NotStarted do InProgress, a na koniec do aktualizacji po sukcesie. Ponieważ każdy bit w 0x5944 jest przetwarzany pomyślnie, jest czyszczony.

Jeśli jakikolwiek krok zakończy się niepowodzeniem, kod błędu jest rejestrowany w programie UEFICA2023Error (a stan pozostaje inProgress).

Ten mechanizm zapewnia administratorom jasny sposób wyzwalania i śledzenia wdrożenia na każdym urządzeniu. 

Wdrażanie przy użyciu kluczy rejestru 

Wdrożenie na grupie urządzeń składa się z następujących kroków: 

  1. Ustaw wartość rejestru AvailableUpdates na 0x5944 na każdym z urządzeń, które mają zostać zaktualizowane.

  2. Monitoruj klucze rejestru UEFICA2023Status i UEFICA2023Error , aby sprawdzić, czy urządzenia robią postępy. Pamiętaj, że zadanie, które przetwarza te aktualizacje, jest uruchamiane raz na 12 godzin. Pamiętaj, że aktualizacja menedżera rozruchu może nastąpić dopiero po ponownym uruchomieniu.

  3. Zbadaj problemy, jeśli wystąpią. Jeśli uefica2023Error nie jest zero na urządzeniu, możesz sprawdzić dziennik zdarzeń pod kątem zdarzeń związanych z tym problemem. Zobacz Zdarzenia aktualizacji zmiennych DB i DBX bezpiecznego rozruchu , aby uzyskać pełną listę zdarzeń bezpiecznego rozruchu.

Uwaga dotycząca ponownych uruchomień: Ponowne uruchomienie może być wymagane do ukończenia tego procesu, jednak rozpoczęcie wdrażania aktualizacji bezpiecznego rozruchu nie spowoduje ponownego uruchomienia. Jeśli konieczne jest ponowne uruchomienie, wdrożenie bezpiecznego rozruchu polega na ponownym uruchomieniu w normalnym trakcie korzystania z urządzenia. 

Testowanie urządzenia przy użyciu kluczy rejestru 

Podczas testowania poszczególnych urządzeń w celu zapewnienia, że urządzenia będą prawidłowo przetwarzać aktualizacje, klucze rejestru mogą być prostym sposobem testowania. 

Aby to sprawdzić, uruchom każde z następujących poleceń oddzielnie od wiersza administratora programu PowerShell: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask —Nazwa_zadania "\Microsoft\Windows\PI\Secure-Boot-Update"

Pierwsze polecenie inicjuje wdrożenie menedżera certyfikatu i rozruchu na urządzeniu. Drugie polecenie powoduje, że zadanie przetwarzające klucz rejestru AvailableUpdates natychmiast się uruchamia. Zwykle zadanie jest uruchamiane co 12 godzin. 

Wyniki można znaleźć, obserwując klucze rejestru UEFICA2023Status i UEFICA2023Error oraz dzienniki zdarzeń zgodnie z opisem w zdarzeniach aktualizacji zmiennych DB bezpiecznego rozruchu i DBX

Opt-in and opt-out for assists 

Klucze rejestru HighConfidenceOptOut i MicrosoftUpdateManagedOptIn mogą być używane do zarządzania dwoma "asystami" wdrażania opisanymi na urządzeniach z systemem Windows z aktualizacjami zarządzanymi przez dział informatyczny

  • Klucz rejestru HighConfidenceOptOut steruje automatyczną aktualizacją urządzeń za pośrednictwem aktualizacji zbiorczych. W przypadku urządzeń, na których firma Microsoft pomyślnie obserwowała aktualizację konkretnych urządzeń, zostaną one uznane za urządzenia o dużej pewności siebie, a aktualizacje certyfikatu bezpiecznego rozruchu będą wykonywane automatycznie. Ustawienie domyślne dla tej opcji.

  • Klucz rejestru MicrosoftUpdateManagedOptIn umożliwia działom IT zgodę na automatyczne wdrażanie zarządzane przez firmę Microsoft. To ustawienie jest domyślnie wyłączone i ma wartość 1 opts-in. To ustawienie wymaga również, aby urządzenie wysyłało opcjonalne dane diagnostyczne.

Obsługiwane wersje systemu Windows

W poniższej tabeli przedstawiono dalszą listę wyników pomocy technicznej opartej na kluczu rejestru. 

Klucz 

Obsługiwane wersje systemu Windows 

DostępneUpdates 

UEFICA2023Status 

UEFICA2023Error 

Wszystkie wersje systemu Windows obsługują bezpieczny rozruch (Windows Server 2012 i nowsze wersje systemu Windows).  

Nuta: Dane dotyczące ufności są zbierane na Windows 10, wersjach LTSC, 22H2 i nowszych wersjach systemu Windows, ale można je stosować na urządzeniach z wcześniejszymi wersjami systemu Windows.    

  • Windows 10, wersje LTSC i 22H2

  • Windows 11, wersje 22H2 i 23H2

  • Windows 11, wersja 24H2

  • Windows Server 2025 r.

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Zdarzenia błędu bezpiecznego rozruchu

​​​​​​​​​​​​​​Zdarzenia błędów mają funkcję raportowania krytycznego informującą o stanie bezpiecznego rozruchu i postępie.  Aby uzyskać informacje o zdarzeniach błędów, zobacz Zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu i DBX. Zdarzenia błędów są aktualizowane o dodatkowe informacje o zdarzeniach dla bezpiecznego rozruchu. 

Dodatkowe zmiany składników dla bezpiecznego rozruchu 

W tej sekcji

Zmiany w TPMTasks 

Zmodyfikuj zadania modułu TPM, aby określić, czy stan urządzenia ma zaktualizowane certyfikaty bezpiecznego rozruchu. Obecnie może dokonać tego określenia, ale tylko wtedy, gdy CFR wybierze komputer do aktualizacji. To określenie i kolejne rejestrowanie powinny odbywać się w każdej sesji rozruchu bez względu na rekord CFR. Jeśli certyfikaty bezpiecznego rozruchu nie są w pełni aktualne, emitują dwa opisane powyżej zdarzenia błędu. Jeśli certyfikaty są aktualne, emitują zdarzenie Informacje. Certyfikaty bezpiecznego rozruchu, które zostaną sprawdzone, to:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 i Microsoft Option ROM UEFI CA 2023 — te dwa urzędy certyfikacji muszą być obecne tylko wtedy, gdy istnieje interfejs UEFI CA 2011 firmy Microsoft. Jeśli microsoft UEFI CA 2011 nie jest obecny, to nie jest konieczne sprawdzenie.

  • Microsoft Corporation KEK 2K CA 2023

Zdarzenie metadanych komputera 

To zdarzenie zbierze metadane komputera i wystawi następujące zdarzenie:

  • Zdarzenie BucketId + Ocena ufności   

To zdarzenie użyje metadanych komputera do znalezienia odpowiedniego wpisu w bazie danych komputerów (wpis zasobnika). Urządzenie sformatuje i emituje zdarzenie z danymi wraz z wszelkimi informacjami dotyczącymi ufności zasobnika. ​​​​​​​ 

Pomoc urządzenia o dużej pewności siebie 

W przypadku urządzeń z zasobnikami o dużej pewności, certyfikaty bezpiecznego rozruchu i menedżer rozruchu z podpisem w wersji 2023 zostaną automatycznie zastosowane.   

Aktualizacja zostanie uruchomiona w tym samym czasie, w jakim są generowane dwa zdarzenia błędu, a zdarzenie BucketId + Ocena ufności zawiera ocenę wysokiej ufności.   

Rezygnacja

Dla klientów, którzy chcą zrezygnować, nowy klucz rejestru będzie dostępny w następujący sposób:   

Lokalizacja rejestru

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Nazwa klawisza

HighConfidenceOptOut

Typ

DWORD

Wartość DWORD

0 lub nie istnieje — włączona jest funkcja wspomagania dużej pewności siebie.    

1 — Asystent wysokiego ufności jest wyłączony   

Każda inna wartość jest niezdefiniowana   

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu