Se aplică la
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data publicării inițiale: 14 octombrie 2025

ID KB: 5068202

Acest articol conține instrucțiuni pentru:  

  • Organizații cu dispozitive și actualizări Windows gestionate de IT.

Disponibilitatea acestei asistențe:  

AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut și cheile de registry MicrosoftUpdateManagedOptIn sunt incluse în actualizările lansate la sau după următoarele date:

  • 14 octombrie 2025: Versiunile acceptate includ Windows 10, versiunea 22H2 și versiunile mai noi (inclusiv 21H2 LTSC), toate versiunile acceptate de Windows 11, precum și Windows Server 2022 și versiunile mai recente.

  • 11 noiembrie 2025: Pentru versiunile de Windows care se află încă în asistență.

Modificare dată

Modificare descriere

4 noiembrie 2025

  • S-a adăugat încă o cheie de registry la pagină.

  • Corectată o instrucțiune din "De exemplu, dacă actualizarea BAZEi de date (baza de date cu semnături de încredere) nu a reușit din cauza unei probleme de firmware, această cheie de registry poate afișa un cod de eroare care poate fi mapat la un jurnal de evenimente sau la ID-ul de eroare documentat în" pentru a spune "De exemplu, dacă actualizarea BAZEi de date (baza de date de semnături de încredere) nu a reușit din cauza unei probleme de firmware, această cheie de registry poate afișa un cod de eroare din firmware. Atunci când această cheie există și nu este zero, vă recomandăm să căutați evenimente de bootare securizată în jurnalele de evenimente Windows - consultați (link) pentru mai multe detalii".

  • Am adăugat mai jos două căi separate pentru cheile de registry

11 noiembrie 2025

  • S-a actualizat paragraful de sub Testare dispozitiv utilizând chei de registry cu informații suplimentare: "Cheia de registry ar trebui să se modifice rapid în 0x4100. Repornirea și rularea activității din nou vor face ca managerul de boot să fie actualizat și AvailableUpdates să devină 0x0100. Consultați Depanarea pentru mai multe detalii despre modul în care se comportă AvailableUpdates."

  • Actualizați textul din caseta gri de sub Testare dispozitiv utilizând chei de registry pentru a avea două comenzi PowerShell suplimentare

  • Sub chei de registry, valoarea de registry -MicrosoftUpdateManagedOptIn a fost modificată de la "1 - Optați pentru " la "1 sau la orice valoare non-zero - Optați pentru"

16 noiembrie 2025

S-a actualizat conținutul de sub "Testarea dispozitivelor utilizând chei de registry". Valoarea de actualizare disponibilă a fost modificată din "0x0100" în "0x4000".

În acest articol

Introducere

Acest document descrie suportul pentru implementarea, gestionarea și monitorizarea actualizărilor certificatelor de bootare securizată utilizând chei de registry Windows. Tastele constau în următoarele: 

  • O cheie pentru a declanșa implementarea certificatelor și a managerului de boot pe dispozitiv.

  • Două chei pentru monitorizarea stării implementării.

  • Două chei pentru gestionarea setărilor de optare pentru/renunțare pentru cele două asistări de implementare disponibile.

Aceste chei de registry pot fi setate manual pe dispozitiv sau de la distanță, prin software-ul de gestionare a flotei disponibile. Alte metode de implementare, cum ar fi Politică de grup, Microsoft Intune și WinCS sunt descrise în articolul Dispozitive Windows pentru firme și organizații cu actualizări gestionate de IT.  

Chei de registry Secure Boot

În această secțiune

Chei de registry

Toate cheile de registry Secure Boot descrise mai jos se află sub această cale de registry: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Următorul tabel descrie fiecare dintre valorile de registry:

Valoare registry

Tip

Descriere și utilizare

AvailableUpdates

REG_DWORD (mască de biți)

Actualizați semnalizările de declanșare.

Controlează acțiunile de actualizare Secure Boot de efectuat pe dispozitiv. Setarea câmpului de biți corespunzător aici inițiază implementarea noilor certificate de bootare securizată și a actualizărilor asociate. Pentru implementarea la nivel de întreprindere, aceasta ar trebui să fie setată la 0x5944 (hex) - o valoare care permite toate actualizările relevante (adăugarea noilor certificate CA 2023, actualizarea KEK și instalarea noului manager de boot). 

Setări

  • 0 sau nu setat - Nu s-a efectuat nicio actualizare a cheii Secure Boot.

  • 0x5944 - Implementați toate certificatele necesare și actualizați la managerul de boot semnat PCA2023

HighConfidenceOptOut

REG_DWORD

O opțiune de renunțare.

Pentru întreprinderile care doresc să renunțe la bucketurile de mare încredere care vor fi aplicate automat ca parte a LCU.

Puteți seta această cheie la o valoare non-zero pentru a renunța la bucketurile de mare încredere. 

Setări 

  • 0 sau cheia nu există - Optați pentru

  • 1 – Renunțați

MicrosoftUpdateManagedOptIn

REG_DWORD

O opțiune de înscriere.

Pentru întreprinderile care doresc să opteze pentru servicii controlate de implementare a caracteristicilor (CFR), numită și Microsoft Managed.

În plus față de setarea acestei chei, permiteți trimiterea datelor de diagnosticare necesare (consultați Configurarea datelor de diagnosticare Windows în organizația dvs.). 

Setări

  • 0 sau cheia nu există - Renunțați

  • 1 sau orice valoare   non-zero– Înscrieți-vă

Toate cheile de registry Secure Boot descrise mai jos se află sub această cale de registry: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Următorul tabel descrie fiecare dintre valorile de registry:

Valoare registry

Tip

Descriere și utilizare

UEFICA2023Status

REG_SZ (șir)

Indicator stare implementare.

Reflectă starea curentă a actualizării cheii Secure Boot de pe dispozitiv. Aceasta va fi setată la una dintre următoarele valori text:

  • NotStarted: Actualizarea nu a rulat încă.

  • InProgress: Actualizarea este în curs de desfășurare.

  • Actualizat: Actualizarea s-a terminat cu succes.

Inițial, starea este NotStarted. Se schimbă în InProgress după ce începe actualizarea și, în cele din urmă, la Actualizat atunci când toate tastele noi și noul manager de boot au fost implementate. Dacă există o eroare, atunci valoarea de registry UEFICA2023Error este setată la un cod non-zero.

UEFICA2023Eroare

REG_DWORD (cod)

Codul de eroare (dacă există).

Această valoare rămâne 0 la succes. Dacă procesul de actualizare întâmpină o eroare, UEFICA2023Error este setat la un cod de eroare non-zero corespunzător primei erori întâlnite. O eroare aici implică faptul că actualizarea Secure Boot nu a reușit complet și poate necesita investigație sau remediere pe acel dispozitiv.  

De exemplu, dacă actualizarea bazei de date (baza de date cu semnături de încredere) nu a reușit din cauza unei probleme de firmware, această cheie de registry poate afișa un cod de eroare din firmware. Atunci când această cheie există și nu este zero, vă recomandăm să căutați evenimentele Secure Boot în jurnalele de evenimente Windows - consultați Evenimente de actualizare a variabilelor Secure Boot DB și DBXpentru mai multe detalii.

WindowsUEFICA2023Capable

REG_DWORD (cod)

Această cheie de registry este destinată scenariilor de implementare limitată și nu este recomandată pentru utilizare generală. În majoritatea cazurilor, utilizați cheia de registry UEFICA2023Status.

Valori valide:

0 - sau cheia nu există - Certificatul "Windows UEFI CA 2023" nu se află în baza de date

1 - Certificatul "Windows UEFI CA 2023" se află în baza de date

2 - Certificatul "Windows UEFI CA 2023" se află în baza de date și sistemul pornește de la managerul de boot semnat 2023

Cum funcționează împreună aceste taste

Administratorii IT configurează valoarea de registry AvailableUpdates pentru a 0x5944, ceea ce semnalează Windows să execute actualizarea și instalarea cheii Secure Boot pe dispozitiv.

Pe măsură ce procesul rulează, sistemul actualizează UEFICA2023Status de la NotStarted la InProgress și, în cele din urmă, la Actualizat după succes. Deoarece fiecare bit din 0x5944 este procesat cu succes, este șters.

Dacă vreun pas nu reușește, un cod de eroare este înregistrat în UEFICA2023Error (iar starea rămâne InProgress).

Acest mecanism oferă administratorilor o modalitate clară de a declanșa și a urmări implementarea fiecărui dispozitiv. 

Implementare utilizând chei de registry 

Implementarea pentru un grup de dispozitive constă din următorii pași: 

  1. Setați valoarea de registry AvailableUpdates pentru a 0x5944 pe fiecare dintre dispozitivele care vor fi actualizate.

  2. Monitorizați cheile de registry UEFICA2023Status și UEFICA2023Error pentru a vedea că dispozitivele progresează. Activitatea care procesează aceste actualizări rulează la fiecare 12 ore. Rețineți că actualizarea managerului de boot poate avea loc abia după ce are loc o repornire.

  3. Investigați problemele dacă apar. Dacă UEFICA2023Eroare nu este zero pe un dispozitiv, puteți verifica jurnalul de evenimente pentru evenimente legate de această problemă. Consultați Evenimentele de actualizare a variabilei Secure Boot DB și DBX pentru o listă completă de evenimente secure Boot.

Notă despre reporniri: Deși poate fi necesară o repornire pentru a finaliza procesul, inițierea implementării actualizărilor secure boot nu va provoca o repornire. Dacă este necesară o repornire, implementarea Bootării securizate se bazează pe reporniri care au loc ca un curs normal de utilizare a dispozitivului. 

Testarea dispozitivului utilizând chei de registry 

Atunci când testați dispozitive individuale pentru a vă asigura că dispozitivele vor procesa corect actualizările, cheile de registry pot fi o modalitate simplă de a testa. 

Pentru a testa, rulați fiecare dintre următoarele comenzi separat de o solicitare PowerShell administrator: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Reporniți manual sistemul atunci când AvailableUpdates devine 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Prima comandă inițiază implementarea managerului de certificate și de boot pe dispozitiv. A doua comandă face ca activitatea care procesează cheia de registry AvailableUpdates să ruleze imediat. În mod normal, activitatea rulează la fiecare 12 ore. Cheia de registry ar trebui să se modifice rapid în 0x4100. Repornirea și rularea activității din nou va face ca managerul de boot să fie actualizat și AvailableUpdates să devină 0x4000. Consultați Depanarea pentru mai multe detalii despre modul în care se comportă AvailableUpdates.

Puteți găsi rezultatele observând cheile de registry UEFICA2023Status și UEFICA2023Error și jurnalele de evenimente, așa cum este descris în evenimentele de actualizare a variabilelor Secure Boot DB și DBX

Optați pentru asistență și renunțați la aceasta 

Cheile de registry HighConfidenceOptOut și MicrosoftUpdateManagedOptIn pot fi utilizate pentru a gestiona cele două "asistări" de implementare descrise în dispozitivele Windows cu actualizări gestionate de IT

  • Cheia de registry HighConfidenceOptOut controlează actualizarea automată a dispozitivelor prin intermediul actualizărilor cumulative. Pentru dispozitivele pe care Microsoft a observat actualizarea cu succes a anumitor dispozitive, acestea vor fi considerate dispozitive "de mare încredere", iar actualizările certificatului de bootare securizată vor avea loc automat. Setarea implicită este opțiunea.

  • Cheia de registry MicrosoftUpdateManagedOptIn permite departamentelor IT să opteze pentru implementarea automată gestionată de Microsoft. Această setare este dezactivată în mod implicit și o setează la 1 opțiune de înscriere. Această setare necesită, de asemenea, ca dispozitivul să trimită date de diagnosticare opționale.

Versiuni acceptate de Windows

Acest tabel împarte și mai mult asistența pe baza cheii de registry. 

Cheie 

Versiuni acceptate de Windows 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Eroare 

Toate versiunile de Windows care acceptă Bootarea sigură (Windows Server 2012 și versiunile mai recente de Windows).  

Notă: Deși datele de încredere sunt colectate pe Windows 10, versiunile LTSC, 22H2 și versiunile mai recente de Windows, acestea pot fi aplicate dispozitivelor care rulează pe versiuni anterioare de Windows.    

  • Windows 10, versiunile LTSC și 22H2

  • Windows 11, versiunile 22H2 și 23H2

  • Windows 11, versiunea 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Evenimente de eroare de bootare securizată

​​​​​​​​​​​​​​Evenimentele de eroare au o funcție critică de raportare pentru a informa despre starea de bootare securizată și despre progres.  Pentru informații despre evenimentele de eroare, consultați Evenimente de actualizare a variabilei Secure Boot DB și DBX. Evenimentele de eroare sunt actualizate cu informații suplimentare despre eveniment pentru Bootare sigură. 

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate