Observação
- Data de publicação original: 14 de outubro de 2025
- ID da base de dados: 5068202
Este artigo tem diretrizes para:
- Organizações com atualizações e dispositivos Windows gerenciados por TI.
Observação
Disponibilidade deste suporte:
As chaves do Registro são incluídas em atualizações lançadas a partir da seguinte data:
11 de novembro de 2025: Para versões do Windows ainda em suporte.
Log de mudanças
| Data da alteração | Alterar descrição |
|---|---|
| 20 de março de 2026 |
|
| 20 de fevereiro de 2026 |
|
| 4 de novembro de 2025 |
|
| 11 de novembro de 2025 |
|
| 16 de novembro de 2025 | Atualizado o conteúdo em "Teste de dispositivo usando chaves do registro". O valor de atualização disponível foi alterado de "0x0100" para "0x4000". |
Neste artigo
Introdução
Este documento descreve o suporte para implantação, gerenciamento e monitoramento das atualizações de certificado de Inicialização Segura usando chaves do Registro do Windows. As chaves consistem no seguinte:
- Uma chave para disparar a implantação dos certificados e do gerenciador de inicialização no dispositivo.
- Duas chaves para monitorar o status da implantação.
- Duas chaves para gerenciar as configurações de ativação/desativação para as duas assistências de implantação disponíveis.
Essas chaves de registro podem ser definidas manualmente no dispositivo ou remotamente por meio do software de gerenciamento de frota disponível. Outros métodos de implantação, como a Política de Grupo, o Microsoft Intune e o WinCS, são descritos no artigo Dispositivos Windows para empresas e organizações com atualizações gerenciadas por TI.
Chaves do Registro de Inicialização Segura
Nesta seção
- Chaves do registro
- Como essas chaves funcionam juntas
- Implantação usando chaves do Registro
- Teste de dispositivo usando chaves do Registro
- Aceitação e recusa de assistências
- Versões com suporte do Windows
Chaves do registro
Todas as chaves do Registro de Inicialização Segura descritas abaixo estão localizadas neste caminho do Registro:
Observação
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
A tabela a seguir descreve cada um dos valores do Registro:
| Valor do Registro | Tipo | Descrição e Uso |
|---|---|---|
| Atualizações Disponíveis | REG_DWORD (bitmask) | Sinalizadores de gatilho de atualização. Controla quais ações de atualização do Secure Boot devem ser executadas no dispositivo. A definição do campo de bits apropriado aqui inicia a implantação de novos certificados de Inicialização Segura e atualizações relacionadas. Para implantação corporativa, isso deve ser definido como 0x5944 (hex) – um valor que habilita todas as atualizações relevantes (adicionando os novos certificados CA 2023, atualizando o KEK e instalando o novo gerenciador de inicialização). Configurações:
|
| HighConfidenceOptOut | REG_DWORD | Uma opção de recusa. Para empresas que desejam recusar buckets de alta confiança que serão aplicados automaticamente como parte da LCU. Você pode definir essa chave como um valor diferente de zero para recusar os buckets de alta confiança. Configurações
|
| MicrosoftUpdateManagedOptIn | REG_DWORD | Uma opção de aceitação. Para empresas que desejam aceitar o serviço CFR (Distribuição de Recursos Controlados), também conhecido como gerenciado pela Microsoft. Além de definir essa chave, permita o envio dos dados de diagnóstico necessários (consulte Configurar os dados de diagnóstico do Windows em sua organização). Configurações
|
| Política de Atualizações Disponíveis | REG_DWORD (bitmask) |
Apenas para referência, não atualize essa chave por meio do registro. Essa chave é usada pela Política de Grupo e pelo Intune para comunicar ações relacionadas à Inicialização Segura ao Windows. Ele representa a política definida pelo Intune ou pela Política de Grupo. |
Todas as chaves do Registro de Inicialização Segura descritas abaixo estão localizadas neste caminho do Registro:
Observação
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
A tabela a seguir descreve cada um dos valores do Registro:
| Valor do Registro | Tipo | Descrição e Uso |
|---|---|---|
| UEFICA2023Status do Voo | REG_SZ (string) | Indicador de status de implantação. Reflete o estado atual da atualização da chave de inicialização segura no dispositivo. Ele será definido como um dos seguintes valores de texto:
|
| UEFICA2023Erro | REG_DWORD (código) | Código de erro (se houver). Esse valor permanece 0 em caso de êxito. Se o processo de atualização encontrar uma falha, UEFICA2023Error será definido como um código de erro diferente de zero correspondente ao primeiro erro encontrado. Um erro aqui implica que a atualização da Inicialização Segura não foi totalmente bem-sucedida e pode exigir investigação ou correção no dispositivo. Por exemplo, se a atualização do banco de dados (banco de dados de assinaturas confiáveis) falhou devido a um problema de firmware, essa chave do registro pode mostrar um código de erro do firmware. Quando essa chave existe e é diferente de zero, recomendamos que você procure eventos de Inicialização Segura nos Logs de Eventos do Windows - consulte Eventos de atualização de variável DB e DBX de Inicialização Segura para obter mais detalhes. |
| UEFICA2023ErrorEvent | REG_DWORD (código) | UEFICA2023ErrorEvent especifica o ID de evento que o Windows usou para relatar um erro relacionado à aplicação das atualizações do Windows UEFI CA 2023 Secure Boot. Esse valor está correlacionado com a chave do Registro UEFICA2023Error e é preenchido quando essa chave é definida, indicando que o Windows encontrou um erro ao tentar aplicar a atualização da Inicialização Segura. Quando isso ocorre, o Windows registra em log o evento de Inicialização Segura correspondente documentado na página pública DB de Inicialização Segura e eventos de atualização de variável DBX, que fornece detalhes adicionais sobre por que a atualização não pôde ser concluída e qual ação pode ser necessária. |
| WindowsUEFICA2023Compatível | REG_DWORD (código) | Apenas para referência – não use essa chave ao obter o status das atualizações de Inicialização Segura. Em vez disso, use a chave UEFICA2023Status. Essa chave do Registro destina-se a cenários de implantação limitados e não é recomendada para uso geral. Valores válidos: 0 – ou a chave não existe - o certificado "Windows UEFI CA 2023" não está no banco de dados 1 - O certificado "Windows UEFI CA 2023" está no banco de dados 2 - O certificado "Windows UEFI CA 2023" está no banco de dados e o sistema está iniciando a partir do gerenciador de inicialização assinado em 2023 |
| BucketHash | REG_SZ (string) | O BucketHash identifica o bucket de implantação ao qual um dispositivo está atribuído como parte da distribuição do certificado de Inicialização Segura. O valor é um hash derivado das características do dispositivo e é usado para agrupar dispositivos com atributos semelhantes de firmware e plataforma para implantação em estágios e gerenciamento de risco. Esse é o mesmo hash de bucket que aparece nos eventos específicos do dispositivo documentados na página de eventos de atualização de variável DB e DBX de Inicialização Segura , permitindo que os administradores correlacionem o estado do registro com entradas de log de eventos e entendam como um dispositivo está sendo direcionado durante o processo de atualização de Inicialização Segura. |
| Nível de confiança | REG_SZ (string) | ConfidenceLevel indica a avaliação de confiança associada ao bucket de implantação do Secure Boot do dispositivo. Esse valor corresponde ao BucketConfidenceLevel que o Windows atribui ao dispositivo com base no comportamento de atualização observado em configurações de hardware e firmware semelhantes. O mesmo nível de confiança está incluído nos eventos específicos do dispositivo documentados na página de eventos de atualização de variável do Banco de Dados e DBX de Inicialização Segura , permitindo que os administradores correlacionem o valor do registro com as entradas do log de eventos. Para obter mais detalhes sobre os valores possíveis para essa chave, consulte as descrições de evento do log de eventos específico do dispositivo. |
Como essas chaves funcionam juntas
Os administradores de TI configuram o valor do Registro AvailableUpdates como 0x5944, o que sinaliza ao Windows para executar a atualização e a instalação da chave de Inicialização Segura no dispositivo.
À medida que o processo é executado, o sistema atualiza UEFICA2023Status de NotStarted para InProgress e, finalmente, para Updated em caso de sucesso. À medida que cada bit em 0x5944 é processado com êxito, ele é limpo.
Se alguma etapa falhar, um código de erro será registrado em UEFICA2023Error (e o status permanecerá InProgress).
Esse mecanismo oferece aos administradores uma maneira clara de disparar e acompanhar a distribuição por dispositivo.
Implantação usando chaves do Registro
A implantação para um grupo de dispositivos consiste nas seguintes etapas:
- Defina o valor do Registro AvailableUpdates como 0x5944 em cada um dos dispositivos a serem atualizados.
- Monitore as chaves do registro UEFICA2023Status e UEFICA2023Error para ver se os dispositivos estão progredindo. A tarefa que processa essas atualizações é executada a cada 12 horas. Observe que a atualização do gerenciador de inicialização pode não acontecer até que ocorra uma reinicialização.
- Investigue os problemas, se eles ocorrerem. Se UEFICA2023Error for diferente de zero em um dispositivo, você poderá marcar o log de eventos para eventos relacionados a esse problema. Consulte Eventos de atualização de variável Secure Boot DB e DBX para obter uma lista completa de eventos Secure Boot.
Uma observação sobre reinicializações: embora uma reinicialização possa ser necessária para concluir o processo, iniciar a implantação das atualizações de Inicialização Segura não causará uma reinicialização. Se for necessária uma reinicialização, a implantação da Inicialização Segura dependerá de reinicializações que ocorrem normalmente durante o uso do dispositivo.
Teste de dispositivo usando chaves do Registro
Ao testar dispositivos individuais para garantir que eles processem as atualizações corretamente, as chaves do Registro podem ser uma maneira simples de testar.
Para testar, execute cada um dos seguintes comandos separadamente de um prompt do PowerShell de administrador:
Observação
- reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
- Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
- Reinicialize manualmente o sistema quando AvailableUpdates se tornar 0x4100
- Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
O primeiro comando inicia a implantação do gerenciador de certificados e inicialização no dispositivo. O segundo comando faz com que a tarefa que processa a chave do Registro AvailableUpdates seja executada imediatamente. Normalmente, a tarefa é executada a cada 12 horas. A chave do Registro deve mudar rapidamente para 0x4100. Reinicializar e executar a tarefa novamente fará com que o gerenciador de inicialização seja atualizado e as AvailableUpdates se tornem 0x4000. Consulte Solução de problemas para obter mais detalhes sobre como AvailableUpdates se comporta.
Você pode encontrar os resultados observando as chaves de registro UEFICA2023Status e UEFICA2023Error e os logs de eventos, conforme descrito em Eventos de atualização de variável Inicialização Segura DB e DBX.
Ativar e desativar assistências
As chaves do Registro HighConfidenceOptOut e MicrosoftUpdateManagedOptIn podem ser usadas para gerenciar as duas "assistências" de implantação descritas em dispositivos Windows com atualizações gerenciadas por TI.
- A chave do Registro HighConfidenceOptOut controla a atualização automática de dispositivos por meio das atualizações cumulativas. Para os dispositivos em que a Microsoft observou dispositivos específicos sendo atualizados com êxito, eles serão considerados dispositivos de "alta confiança" e as atualizações de certificado de Inicialização Segura ocorrerão automaticamente. A configuração padrão é aceitação.
- A chave do Registro MicrosoftUpdateManagedOptIn permite que os departamentos de TI aceitem a implantação automática gerenciada pela Microsoft. Essa configuração é desabilitada por padrão e definida como 1 aceitação. Essa configuração também exige que o dispositivo envie dados de diagnóstico opcionais.
Versões com suporte do Windows
Esta tabela detalha ainda mais o suporte com base na chave do registro.
| Tecla | Versões com suporte do Windows |
|---|---|
|
Atualizações Disponíveis UEFICA2023Status do Voo UEFICA2023Erro |
Todas as versões do Windows que dão suporte à Inicialização Segura (Windows Server 2012 e versões posteriores do Windows). Observação: Embora os dados de confiança sejam coletados no Windows 10, versões LTSC, 22H2 e versões posteriores do Windows, eles podem ser aplicados a dispositivos executados em versões anteriores do Windows.
|
| HighConfidenceOptOut | |
| MicrosoftUpdateManagedOptIn |
Eventos de erro de Inicialização Segura
Os eventos de erro têm uma função de relatório crítica para informar sobre o status e o progresso da inicialização segura. Para obter informações sobre os eventos de erro, consulte Eventos de atualização de variável do Banco de Dados e DBX de Inicialização Segura. Os eventos de erro estão sendo atualizados com informações adicionais de eventos para Inicialização Segura.