Dotyczy
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Oryginalna data publikacji: 14 października 2025 r.

Identyfikator BAZY WIEDZY: 5068202

Ten artykuł zawiera wskazówki dotyczące:  

  • Organizacje z zarządzanymi przez IT urządzeniami z systemem Windows i aktualizacjami.

Dostępność tej pomocy technicznej:  

Klucze rejestru AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut i MicrosoftUpdateManagedOptIn są zawarte w aktualizacjach wydanych w następujących datach lub później:

  • 14 października 2025 r.: Obsługiwane wersje obejmują Windows 10, wersję 22H2 i nowsze wersje (w tym 21H2 LTSC), wszystkie obsługiwane wersje Windows 11, a także Windows Server 2022 i nowsze.

  • 11 listopada 2025 r.: W przypadku wersji systemu Windows nadal obsługiwanych.

Zmień datę

Zmień opis

4 listopada 2025 r.

  • Do strony dodano jeszcze jeden klucz rejestru.

  • Poprawiono instrukcję "Jeśli na przykład aktualizacja bazy danych (bazy danych zaufanych podpisów) nie powiodła się z powodu problemu z oprogramowaniem układowym, ten klucz rejestru może zawierać kod błędu, który można zamapować na dziennik zdarzeń lub udokumentowany identyfikator błędu w", aby powiedzieć "Na przykład jeśli aktualizacja bazy danych (bazy danych zaufanych podpisów) nie powiodła się z powodu problemu z oprogramowaniem układowym, ten klucz rejestru może zawierać kod błędu oprogramowania układowego. Jeśli ten klucz istnieje i nie wynosi zero, zalecamy wyszukanie zdarzeń bezpiecznego rozruchu w dziennikach zdarzeń systemu Windows — zobacz (link), aby uzyskać więcej informacji".

  • Poniżej dodano dwie oddzielne ścieżki kluczy rejestru

11 listopada 2025 r.

  • Zaktualizowano akapit w obszarze Testowanie urządzeń przy użyciu kluczy rejestru z dodatkowymi informacjami: "Klucz rejestru powinien szybko zmienić się na 0x4100. Ponowne uruchomienie i ponowne uruchomienie zadania spowoduje zaktualizowanie menedżera rozruchu i 0x0100 AvailableUpdates. Zobacz Rozwiązywanie problemów, aby uzyskać więcej szczegółowych informacji na temat zachowania funkcji AvailableUpdates".

  • Zaktualizuj tekst w szarym polu w obszarze Testowanie urządzeń przy użyciu kluczy rejestru, aby mieć dwa dodatkowe polecenia programu PowerShell

  • W obszarze Klucze rejestru wartość rejestru —MicrosoftUpdateManagedOptIn została zmieniona z "1 — Opt in " na "1 lub dowolną wartość inną niż zero — opt in"

16 listopada 2025 r.

Zaktualizowano zawartość w obszarze "Testowanie urządzeń przy użyciu kluczy rejestru". Wartość dostępnej aktualizacji została zmieniona z "0x0100" na "0x4000".

W tym artykule

Wprowadzenie

W tym dokumencie opisano obsługę wdrażania aktualizacji certyfikatu bezpiecznego rozruchu oraz zarządzania nimi przy użyciu kluczy rejestru systemu Windows. Klucze składają się z następujących elementów: 

  • Jeden klucz wyzwalający wdrożenie certyfikatów i menedżera rozruchu na urządzeniu.

  • Dwa klucze monitorowania stanu wdrożenia.

  • Dwa klucze do zarządzania ustawieniami opt-in/opt-out dla dwóch dostępnych asystentów wdrażania.

Te klucze rejestru można ustawić ręcznie na urządzeniu lub zdalnie za pośrednictwem dostępnego oprogramowania do zarządzania flotą. Inne metody wdrażania, takie jak zasady grupy, Microsoft Intune i WinCS, opisano w artykule Urządzenia z systemem Windows dla firm i organizacji z aktualizacjami zarządzanymi przez dział informatyczny.  

Klucze rejestru bezpiecznego rozruchu

W tej sekcji

Klucze rejestru

Wszystkie opisane poniżej klucze rejestru bezpiecznego rozruchu znajdują się w następującej ścieżce rejestru: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

W poniższej tabeli opisano każdą z wartości rejestru:

Wartość rejestru

Typ

Opis i użycie

DostępneUpdates

REG_DWORD (maska bitowa)

Zaktualizuj flagi wyzwalacza.

Określa, które akcje aktualizacji bezpiecznego rozruchu mają być wykonywane na urządzeniu. Ustawienie odpowiedniego pola bitowego inicjuje wdrażanie nowych certyfikatów bezpiecznego rozruchu i powiązanych aktualizacji. W przypadku wdrożenia w przedsiębiorstwie należy ustawić 0x5944 (szesnastkowa) — wartość umożliwiającą wszystkie odpowiednie aktualizacje (dodanie nowych certyfikatów urzędu certyfikacji w 2023 r., zaktualizowanie KEK i zainstalowanie nowego menedżera rozruchu). 

Ustawienia

  • 0 lub nie ustawiono — nie są wykonywane żadne aktualizacje klucza bezpiecznego rozruchu.

  • 0x5944 — wdróż wszystkie wymagane certyfikaty i zaktualizuj do PCA2023 podpisanego menedżera rozruchu

HighConfidenceOptOut

REG_DWORD

Opcja rezygnacji.

W przypadku przedsiębiorstw, które chcą zrezygnować z zasobników z dużą pewnością siebie, które zostaną automatycznie zastosowane jako część LCU.

Ten klucz można ustawić na wartość inną niż zero, aby zrezygnować z zasobników z dużą ufnością. 

Ustawienia 

  • 0 lub nie istnieje — zaloguj się

  • 1 — zrezygnować

MicrosoftUpdateManagedOptIn

REG_DWORD

Opcja wyboru.

W przypadku przedsiębiorstw, które chcą włączyć obsługę kontrolowanych funkcji (CFR, Controlled Feature Rollout), nazywaną również usługą Zarządzaną przez firmę Microsoft.

Oprócz ustawienia tego klucza zezwalaj na wysyłanie wymaganych danych diagnostycznych (zobacz Konfigurowanie danych diagnostycznych systemu Windows w organizacji). 

Ustawienia

  • 0 lub klucz nie istnieje — zrezygnować

  • 1 lub dowolna wartość   różna od zera– Wybierz opcję

Wszystkie opisane poniżej klucze rejestru bezpiecznego rozruchu znajdują się w następującej ścieżce rejestru: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

W poniższej tabeli opisano każdą z wartości rejestru:

Wartość rejestru

Typ

Opis i użycie

UEFICA2023Status

REG_SZ (ciąg)

Wskaźnik stanu wdrożenia.

Odzwierciedla bieżący stan aktualizacji klucza bezpiecznego rozruchu na urządzeniu. Zostanie ustawiona jedna z następujących wartości tekstowych:

  • Nierozpoczęcie: Aktualizacja nie została jeszcze uruchomiona.

  • InProgress: Aktualizacja jest aktywnie w toku.

  • Zaktualizowano: Aktualizacja została pomyślnie ukończona.

Początkowo stan to Nierozpoczęcie. Po rozpoczęciu aktualizacji zmienia się na InProgress, a na koniec na Zaktualizowany po wdrożeniu wszystkich nowych kluczy i nowego menedżera rozruchu. W przypadku wystąpienia błędu wartość rejestru UEFICA2023Error jest ustawiona na kod niezerowy.

UEFICA2023Error

REG_DWORD (kod)

Kod błędu (jeśli istnieją).

Ta wartość pozostaje 0 na sukces. Jeśli proces aktualizacji napotka błąd, w programie UEFICA2023Error zostanie ustawiony kod błędu niezerowy odpowiadający pierwszemu napotkaniu błędu. Błąd oznacza, że aktualizacja bezpiecznego rozruchu nie powiodła się w pełni i może wymagać badania lub podjęcia działań naprawczych na tym urządzeniu.  

Jeśli na przykład aktualizacja bazy danych (bazy danych zaufanych podpisów) nie powiodła się z powodu problemu z oprogramowaniem układowym, ten klucz rejestru może zawierać kod błędu z oprogramowania układowego. Jeśli ten klucz istnieje i nie wynosi zero, zalecamy wyszukanie zdarzeń bezpiecznego rozruchu w dziennikach zdarzeń systemu Windows — zobacz Zdarzenia aktualizacji zmiennej DB bezpiecznego rozruchu i DBX, aby uzyskać więcej szczegółów.

WindowsUEFICA2023Capable

REG_DWORD (kod)

Ten klucz rejestru jest przeznaczony do ograniczonych scenariuszy wdrażania i nie jest zalecany do użytku ogólnego. W większości przypadków należy użyć klucza rejestru UEFICA2023Status.

Prawidłowe wartości:

0 — lub klucz nie istnieje — certyfikat "Windows UEFI CA 2023" nie znajduje się w bazie danych

1 — certyfikat "Windows UEFI CA 2023" znajduje się w bazie danych

2 — Certyfikat "Windows UEFI CA 2023" znajduje się w bazie danych, a system zaczyna się od podpisanego menedżera rozruchu w 2023 r.

Jak te współpracują ze sobą

Administratorzy IT konfigurują wartość rejestru AvailableUpdates do 0x5944, co sygnalizuje systemowi Windows wykonanie aktualizacji klucza bezpiecznego rozruchu i zainstalowanie jej na urządzeniu.

W trakcie tego procesu system aktualizuje stan UEFICA2023 z NotStarted do InProgress, a na koniec do aktualizacji po sukcesie. Ponieważ każdy bit w 0x5944 jest przetwarzany pomyślnie, jest czyszczony.

Jeśli jakikolwiek krok zakończy się niepowodzeniem, kod błędu jest rejestrowany w programie UEFICA2023Error (a stan pozostaje inProgress).

Ten mechanizm zapewnia administratorom jasny sposób wyzwalania i śledzenia wdrożenia na każdym urządzeniu. 

Wdrażanie przy użyciu kluczy rejestru 

Wdrożenie na grupie urządzeń składa się z następujących kroków: 

  1. Ustaw wartość rejestru AvailableUpdates na 0x5944 na każdym z urządzeń, które mają zostać zaktualizowane.

  2. Monitoruj klucze rejestru UEFICA2023Status i UEFICA2023Error , aby sprawdzić, czy urządzenia robią postępy. Zadanie, które przetwarza te aktualizacje, jest uruchamiane co 12 godzin. Pamiętaj, że aktualizacja menedżera rozruchu może nastąpić dopiero po ponownym uruchomieniu.

  3. Zbadaj problemy, jeśli wystąpią. Jeśli uefica2023Error nie jest zero na urządzeniu, możesz sprawdzić dziennik zdarzeń pod kątem zdarzeń związanych z tym problemem. Zobacz Zdarzenia aktualizacji zmiennych DB i DBX bezpiecznego rozruchu , aby uzyskać pełną listę zdarzeń bezpiecznego rozruchu.

Uwaga dotycząca ponownych uruchomień: Ponowne uruchomienie może być wymagane do ukończenia tego procesu, jednak rozpoczęcie wdrażania aktualizacji bezpiecznego rozruchu nie spowoduje ponownego uruchomienia. Jeśli konieczne jest ponowne uruchomienie, wdrożenie bezpiecznego rozruchu polega na ponownym uruchomieniu w normalnym trakcie korzystania z urządzenia. 

Testowanie urządzenia przy użyciu kluczy rejestru 

Podczas testowania poszczególnych urządzeń w celu zapewnienia, że urządzenia będą prawidłowo przetwarzać aktualizacje, klucze rejestru mogą być prostym sposobem testowania. 

Aby to sprawdzić, uruchom każde z następujących poleceń oddzielnie od wiersza administratora programu PowerShell: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask —Nazwa_zadania "\Microsoft\Windows\PI\Secure-Boot-Update"

Ręczne ponowne uruchamianie systemu, gdy funkcja AvailableUpdates stanie się 0x4100

Start-ScheduledTask —Nazwa_zadania "\Microsoft\Windows\PI\Secure-Boot-Update"

Pierwsze polecenie inicjuje wdrożenie menedżera certyfikatu i rozruchu na urządzeniu. Drugie polecenie powoduje, że zadanie przetwarzające klucz rejestru AvailableUpdates natychmiast się uruchamia. Zwykle zadanie jest uruchamiane co 12 godzin. Klucz rejestru powinien szybko zostać zmieniony na 0x4100. Ponowne uruchomienie i ponowne uruchomienie zadania spowoduje, że menedżer rozruchu zostanie zaktualizowany, a dostępneUpdates zostaną 0x4000. Zobacz Rozwiązywanie problemów, aby uzyskać więcej szczegółowych informacji na temat zachowania funkcji AvailableUpdates.

Wyniki można znaleźć, obserwując klucze rejestru UEFICA2023Status i UEFICA2023Error oraz dzienniki zdarzeń zgodnie z opisem w zdarzeniach aktualizacji zmiennych DB bezpiecznego rozruchu i DBX

Rezygnuj z otrzymywania asyst i zrezygnować z otrzymywania pomocy 

Klucze rejestru HighConfidenceOptOut i MicrosoftUpdateManagedOptIn mogą być używane do zarządzania dwoma "asystami" wdrażania opisanymi na urządzeniach z systemem Windows z aktualizacjami zarządzanymi przez dział informatyczny

  • Klucz rejestru HighConfidenceOptOut steruje automatyczną aktualizacją urządzeń za pośrednictwem aktualizacji zbiorczych. W przypadku urządzeń, na których firma Microsoft pomyślnie obserwowała aktualizację konkretnych urządzeń, zostaną one uznane za urządzenia o dużej pewności siebie, a aktualizacje certyfikatu bezpiecznego rozruchu będą wykonywane automatycznie. Ustawieniem domyślnym jest zgoda.

  • Klucz rejestru MicrosoftUpdateManagedOptIn umożliwia działom IT zgodę na automatyczne wdrażanie zarządzane przez firmę Microsoft. To ustawienie jest domyślnie wyłączone i ma wartość 1 opts-in. To ustawienie wymaga również, aby urządzenie wysyłało opcjonalne dane diagnostyczne.

Obsługiwane wersje systemu Windows

W poniższej tabeli przedstawiono dalszą listę wyników pomocy technicznej opartej na kluczu rejestru. 

Klucz 

Obsługiwane wersje systemu Windows 

DostępneUpdates 

UEFICA2023Status 

UEFICA2023Error 

Wszystkie wersje systemu Windows obsługują bezpieczny rozruch (Windows Server 2012 i nowsze wersje systemu Windows).  

Nuta: Dane dotyczące ufności są zbierane na Windows 10, wersjach LTSC, 22H2 i nowszych wersjach systemu Windows, ale można je stosować na urządzeniach z wcześniejszymi wersjami systemu Windows.    

  • Windows 10, wersje LTSC i 22H2

  • Windows 11, wersje 22H2 i 23H2

  • Windows 11, wersja 24H2

  • Windows Server 2025 r.

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Zdarzenia błędu bezpiecznego rozruchu

​​​​​​​​​​​​​​Zdarzenia błędów mają funkcję raportowania krytycznego informującą o stanie bezpiecznego rozruchu i postępie.  Aby uzyskać informacje o zdarzeniach błędów, zobacz Zdarzenia aktualizacji zmiennych DB bezpiecznego rozruchu i DBX. Zdarzenia błędów są aktualizowane o dodatkowe informacje o zdarzeniach dla bezpiecznego rozruchu. 

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu