Atualizações da chave do Registro para Inicialização Segura: dispositivos Windows com atualizações gerenciadas pela TI

Aplica-se a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Observação

  • Data de publicação original: 14 de outubro de 2025
  • ID da base de dados: 5068202

Este artigo tem diretrizes para:

  • Organizações com atualizações e dispositivos Windows gerenciados por TI.

Observação

  • Disponibilidade deste suporte:

  • As chaves do Registro são incluídas em atualizações lançadas a partir da seguinte data:

  • 11 de novembro de 2025: Para versões do Windows ainda em suporte.

Log de mudanças
Data da alteração Alterar descrição
20 de março de 2026
  • Adicionado o valor do Registro AvailableUpdatesPolicy à primeira tabela na seção "Chaves do registro".
  • Atualizado o valor do Registro WindowsUEFICA2023Capable "Descrição e uso" na segunda tabela na seção "Chaves do registro".
20 de fevereiro de 2026
  • Adicionadas 3 novas chaves de registro ao artigo - "UEFICA2023ErrorEvent", " BucketHash" & " ConfidenceLevel".
  • Atualizada a seção - "Disponibilidade deste suporte".
4 de novembro de 2025
  • Adicionada mais uma chave de registro à página.
  • Corrigida uma instrução de "Por exemplo, se a atualização do DB (banco de dados de assinaturas confiáveis) falhou devido a um problema de firmware, essa chave do registro pode mostrar um código de erro que pode ser mapeado para um log de eventos ou ID de erro documentado em" para dizer "Por exemplo, se a atualização do DB (banco de dados de assinaturas confiáveis) falhou devido a um problema de firmware, Essa chave do Registro pode mostrar um código de erro do firmware. Quando essa chave existe e é diferente de zero, recomendamos que você procure eventos de Inicialização Segura nos Logs de Eventos do Windows - consulte (link) para obter mais detalhes".
  • Foram adicionados dois caminhos separados para as Chaves do Registro abaixo
11 de novembro de 2025
  • Atualizado o parágrafo em Teste de dispositivo usando chaves do registro com informações adicionais: "A chave do registro deve mudar rapidamente para 0x4100. Reinicializar e executar a tarefa novamente fará com que o gerenciador de inicialização seja atualizado e as AvailableUpdates se tornem 0x0100. Consulte Solução de problemas para obter mais detalhes sobre como AvailableUpdates se comporta."
  • Atualize o texto na caixa cinza em Teste de dispositivo usando chaves do registro para ter dois comandos adicionais do PowerShell
  • Nas chaves do registro, o valor do registro -MicrosoftUpdateManagedOptIn foi alterado de "1 - Aceitar" para "1 ou qualquer valor diferente de zero - Aceitar"
16 de novembro de 2025 Atualizado o conteúdo em "Teste de dispositivo usando chaves do registro". O valor de atualização disponível foi alterado de "0x0100" para "0x4000".

Neste artigo

Introdução

Este documento descreve o suporte para implantação, gerenciamento e monitoramento das atualizações de certificado de Inicialização Segura usando chaves do Registro do Windows. As chaves consistem no seguinte:

  • Uma chave para disparar a implantação dos certificados e do gerenciador de inicialização no dispositivo.
  • Duas chaves para monitorar o status da implantação.
  • Duas chaves para gerenciar as configurações de ativação/desativação para as duas assistências de implantação disponíveis.

Essas chaves de registro podem ser definidas manualmente no dispositivo ou remotamente por meio do software de gerenciamento de frota disponível. Outros métodos de implantação, como a Política de Grupo, o Microsoft Intune e o WinCS, são descritos no artigo Dispositivos Windows para empresas e organizações com atualizações gerenciadas por TI.

Chaves do Registro de Inicialização Segura

Nesta seção

Chaves do registro

Todas as chaves do Registro de Inicialização Segura descritas abaixo estão localizadas neste caminho do Registro:

Observação

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

A tabela a seguir descreve cada um dos valores do Registro:

Valor do Registro Tipo Descrição e Uso
Atualizações Disponíveis REG_DWORD (bitmask) Sinalizadores de gatilho de atualização.

Controla quais ações de atualização do Secure Boot devem ser executadas no dispositivo. A definição do campo de bits apropriado aqui inicia a implantação de novos certificados de Inicialização Segura e atualizações relacionadas. Para implantação corporativa, isso deve ser definido como 0x5944 (hex) – um valor que habilita todas as atualizações relevantes (adicionando os novos certificados CA 2023, atualizando o KEK e instalando o novo gerenciador de inicialização).

Configurações:
  • 0 ou não definido - nenhuma atualização de chave do Secure Boot é executada.
  • 0x5944 – Implante todos os certificados necessários e atualize para o gerenciador de inicialização assinado PCA2023
HighConfidenceOptOut REG_DWORD Uma opção de recusa.

Para empresas que desejam recusar buckets de alta confiança que serão aplicados automaticamente como parte da LCU.

Você pode definir essa chave como um valor diferente de zero para recusar os buckets de alta confiança.

Configurações
  • 0 ou a chave não existe – Aceitar
  • 1 – Recusar
MicrosoftUpdateManagedOptIn REG_DWORD Uma opção de aceitação.

Para empresas que desejam aceitar o serviço CFR (Distribuição de Recursos Controlados), também conhecido como gerenciado pela Microsoft.

Além de definir essa chave, permita o envio dos dados de diagnóstico necessários (consulte Configurar os dados de diagnóstico do Windows em sua organização).

Configurações
  • 0 ou a chave não existe – Recusar
  • 1 ou qualquer valor diferente de zero – Aceitar
Política de Atualizações Disponíveis REG_DWORD (bitmask) Apenas para referência, não atualize essa chave por meio do registro.

Essa chave é usada pela Política de Grupo e pelo Intune para comunicar ações relacionadas à Inicialização Segura ao Windows. Ele representa a política definida pelo Intune ou pela Política de Grupo.

Todas as chaves do Registro de Inicialização Segura descritas abaixo estão localizadas neste caminho do Registro:

Observação

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

A tabela a seguir descreve cada um dos valores do Registro:

Valor do Registro Tipo Descrição e Uso
UEFICA2023Status do Voo REG_SZ (string) Indicador de status de implantação.

Reflete o estado atual da atualização da chave de inicialização segura no dispositivo. Ele será definido como um dos seguintes valores de texto:

  • NotStarted: a atualização ainda não foi executada.
  • InProgress: a atualização está ativamente em andamento.
  • Atualizado: a atualização foi concluída com êxito.
Inicialmente, o status é NotStarted. Ele muda para InProgress quando a atualização começa e, finalmente, para Updated quando todas as novas chaves e o novo gerenciador de inicialização são implantados. Se houver um erro, o valor do Registro UEFICA2023Error será definido como um código diferente de zero.
UEFICA2023Erro REG_DWORD (código) Código de erro (se houver).
Esse valor permanece 0 em caso de êxito. Se o processo de atualização encontrar uma falha, UEFICA2023Error será definido como um código de erro diferente de zero correspondente ao primeiro erro encontrado. Um erro aqui implica que a atualização da Inicialização Segura não foi totalmente bem-sucedida e pode exigir investigação ou correção no dispositivo.
Por exemplo, se a atualização do banco de dados (banco de dados de assinaturas confiáveis) falhou devido a um problema de firmware, essa chave do registro pode mostrar um código de erro do firmware. Quando essa chave existe e é diferente de zero, recomendamos que você procure eventos de Inicialização Segura nos Logs de Eventos do Windows - consulte Eventos de atualização de variável DB e DBX de Inicialização Segura para obter mais detalhes.
UEFICA2023ErrorEvent REG_DWORD (código) UEFICA2023ErrorEvent especifica o ID de evento que o Windows usou para relatar um erro relacionado à aplicação das atualizações do Windows UEFI CA 2023 Secure Boot. Esse valor está correlacionado com a chave do Registro UEFICA2023Error e é preenchido quando essa chave é definida, indicando que o Windows encontrou um erro ao tentar aplicar a atualização da Inicialização Segura. Quando isso ocorre, o Windows registra em log o evento de Inicialização Segura correspondente documentado na página pública DB de Inicialização Segura e eventos de atualização de variável DBX, que fornece detalhes adicionais sobre por que a atualização não pôde ser concluída e qual ação pode ser necessária.
WindowsUEFICA2023Compatível REG_DWORD (código) Apenas para referência – não use essa chave ao obter o status das atualizações de Inicialização Segura. Em vez disso, use a chave UEFICA2023Status.
Essa chave do Registro destina-se a cenários de implantação limitados e não é recomendada para uso geral.
Valores válidos:
0 – ou a chave não existe - o certificado "Windows UEFI CA 2023" não está no banco de dados
1 - O certificado "Windows UEFI CA 2023" está no banco de dados
2 - O certificado "Windows UEFI CA 2023" está no banco de dados e o sistema está iniciando a partir do gerenciador de inicialização assinado em 2023
BucketHash REG_SZ (string) O BucketHash identifica o bucket de implantação ao qual um dispositivo está atribuído como parte da distribuição do certificado de Inicialização Segura. O valor é um hash derivado das características do dispositivo e é usado para agrupar dispositivos com atributos semelhantes de firmware e plataforma para implantação em estágios e gerenciamento de risco. Esse é o mesmo hash de bucket que aparece nos eventos específicos do dispositivo documentados na página de eventos de atualização de variável DB e DBX de Inicialização Segura , permitindo que os administradores correlacionem o estado do registro com entradas de log de eventos e entendam como um dispositivo está sendo direcionado durante o processo de atualização de Inicialização Segura.
Nível de confiança REG_SZ (string) ConfidenceLevel indica a avaliação de confiança associada ao bucket de implantação do Secure Boot do dispositivo. Esse valor corresponde ao BucketConfidenceLevel que o Windows atribui ao dispositivo com base no comportamento de atualização observado em configurações de hardware e firmware semelhantes. O mesmo nível de confiança está incluído nos eventos específicos do dispositivo documentados na página de eventos de atualização de variável do Banco de Dados e DBX de Inicialização Segura , permitindo que os administradores correlacionem o valor do registro com as entradas do log de eventos. Para obter mais detalhes sobre os valores possíveis para essa chave, consulte as descrições de evento do log de eventos específico do dispositivo.

Como essas chaves funcionam juntas

Os administradores de TI configuram o valor do Registro AvailableUpdates como 0x5944, o que sinaliza ao Windows para executar a atualização e a instalação da chave de Inicialização Segura no dispositivo.

À medida que o processo é executado, o sistema atualiza UEFICA2023Status de NotStarted para InProgress e, finalmente, para Updated em caso de sucesso. À medida que cada bit em 0x5944 é processado com êxito, ele é limpo.

Se alguma etapa falhar, um código de erro será registrado em UEFICA2023Error (e o status permanecerá InProgress).

Esse mecanismo oferece aos administradores uma maneira clara de disparar e acompanhar a distribuição por dispositivo.

Implantação usando chaves do Registro

A implantação para um grupo de dispositivos consiste nas seguintes etapas:

  1. Defina o valor do Registro AvailableUpdates como 0x5944 em cada um dos dispositivos a serem atualizados.
  2. Monitore as chaves do registro UEFICA2023Status e UEFICA2023Error para ver se os dispositivos estão progredindo. A tarefa que processa essas atualizações é executada a cada 12 horas. Observe que a atualização do gerenciador de inicialização pode não acontecer até que ocorra uma reinicialização.
  3. Investigue os problemas, se eles ocorrerem. Se UEFICA2023Error for diferente de zero em um dispositivo, você poderá marcar o log de eventos para eventos relacionados a esse problema. Consulte Eventos de atualização de variável Secure Boot DB e DBX para obter uma lista completa de eventos Secure Boot.

Uma observação sobre reinicializações: embora uma reinicialização possa ser necessária para concluir o processo, iniciar a implantação das atualizações de Inicialização Segura não causará uma reinicialização. Se for necessária uma reinicialização, a implantação da Inicialização Segura dependerá de reinicializações que ocorrem normalmente durante o uso do dispositivo.

Teste de dispositivo usando chaves do Registro

Ao testar dispositivos individuais para garantir que eles processem as atualizações corretamente, as chaves do Registro podem ser uma maneira simples de testar.

Para testar, execute cada um dos seguintes comandos separadamente de um prompt do PowerShell de administrador:

Observação

  • reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
  • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  • Reinicialize manualmente o sistema quando AvailableUpdates se tornar 0x4100
  • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

O primeiro comando inicia a implantação do gerenciador de certificados e inicialização no dispositivo. O segundo comando faz com que a tarefa que processa a chave do Registro AvailableUpdates seja executada imediatamente. Normalmente, a tarefa é executada a cada 12 horas. A chave do Registro deve mudar rapidamente para 0x4100. Reinicializar e executar a tarefa novamente fará com que o gerenciador de inicialização seja atualizado e as AvailableUpdates se tornem 0x4000. Consulte Solução de problemas para obter mais detalhes sobre como AvailableUpdates se comporta.

Você pode encontrar os resultados observando as chaves de registro UEFICA2023Status e UEFICA2023Error e os logs de eventos, conforme descrito em Eventos de atualização de variável Inicialização Segura DB e DBX.

Ativar e desativar assistências

As chaves do Registro HighConfidenceOptOut e MicrosoftUpdateManagedOptIn podem ser usadas para gerenciar as duas "assistências" de implantação descritas em dispositivos Windows com atualizações gerenciadas por TI.

  • A chave do Registro HighConfidenceOptOut controla a atualização automática de dispositivos por meio das atualizações cumulativas. Para os dispositivos em que a Microsoft observou dispositivos específicos sendo atualizados com êxito, eles serão considerados dispositivos de "alta confiança" e as atualizações de certificado de Inicialização Segura ocorrerão automaticamente. A configuração padrão é aceitação.
  • A chave do Registro MicrosoftUpdateManagedOptIn permite que os departamentos de TI aceitem a implantação automática gerenciada pela Microsoft. Essa configuração é desabilitada por padrão e definida como 1 aceitação. Essa configuração também exige que o dispositivo envie dados de diagnóstico opcionais.

Versões com suporte do Windows

Esta tabela detalha ainda mais o suporte com base na chave do registro.

Tecla Versões com suporte do Windows
Atualizações Disponíveis
UEFICA2023Status do Voo
UEFICA2023Erro
Todas as versões do Windows que dão suporte à Inicialização Segura (Windows Server 2012 e versões posteriores do Windows).

Observação: Embora os dados de confiança sejam coletados no Windows 10, versões LTSC, 22H2 e versões posteriores do Windows, eles podem ser aplicados a dispositivos executados em versões anteriores do Windows.
  • Windows 10, versões LTSC e 22H2
  • Windows 11, versões 22H2 e 23H2
  • Windows 11, versão 24H2
  • Windows Server 2025
HighConfidenceOptOut
MicrosoftUpdateManagedOptIn

Eventos de erro de Inicialização Segura

Os eventos de erro têm uma função de relatório crítica para informar sobre o status e o progresso da inicialização segura.  Para obter informações sobre os eventos de erro, consulte Eventos de atualização de variável do Banco de Dados e DBX de Inicialização Segura. Os eventos de erro estão sendo atualizados com informações adicionais de eventos para Inicialização Segura.