Se aplică la
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data publicării inițiale: 14 octombrie 2025

ID KB: 5068202

Acest articol conține instrucțiuni pentru:  

  • Organizații cu dispozitive și actualizări Windows gestionate de IT.

Disponibilitatea acestei asistențe:  

  • AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut și cheile de registry MicrosoftUpdateManagedOptIn sunt incluse în actualizările lansate la sau după următoarele date:

    • 14 octombrie 2025: Versiunile acceptate includ Windows 10, versiunea 22H2 și versiunile mai noi (inclusiv 21H2 LTSC), toate versiunile acceptate de Windows 11, precum și Windows Server 2022 și versiunile mai recente.

    • 11 noiembrie 2025: Pentru versiunile de Windows care beneficiază încă de asistență.

În acest articol

Introducere

Acest document descrie suportul pentru implementarea, gestionarea și monitorizarea actualizărilor certificatelor de bootare securizată utilizând chei de registry Windows. Tastele constau în următoarele: 

  • O cheie pentru a declanșa implementarea certificatelor și a managerului de boot pe dispozitiv.

  • Două chei pentru monitorizarea stării implementării.

  • Două chei pentru gestionarea setărilor de opt-in/renunțare pentru cele două asistări de implementare disponibile.

Aceste chei de registry pot fi setate manual pe dispozitiv sau de la distanță, prin software-ul de gestionare a flotei disponibile. Alte metode de implementare, cum ar fi Politică de grup, Intune și WinCS sunt descrise în articolul Dispozitive Windows pentru firme și organizații cu actualizări gestionate de IT.  

Chei de registry Secure Boot

În această secțiune

Chei de registry

Toate cheile de registry Secure Boot descrise în acest document se află sub această cale de registry: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Următorul tabel descrie fiecare dintre valorile de registry. 

Valoare registry

Tip

Descriere & utilizare

AvailableUpdates

REG_DWORD (mască de biți)

Actualizați semnalizările de declanșare.

Controlează acțiunile de actualizare Secure Boot de efectuat pe dispozitiv. Setarea câmpului de biți corespunzător aici inițiază implementarea noilor certificate de bootare securizată și a actualizărilor asociate. Pentru implementarea la nivel de întreprindere, aceasta ar trebui să fie setată la 0x5944 (hex) - o valoare care permite toate actualizările relevante (adăugarea noilor certificate CA 2023, actualizarea KEK și instalarea noului manager de boot). 

Setări: 

  • 0 sau nu setat - Nu s-a efectuat nicio actualizare a cheii Secure Boot.

  • 0x5944 - Implementați toate certificatele necesare și actualizați la managerul de boot semnat PCA2023

UEFICA2023Status

REG_SZ (șir)

Indicator stare implementare.

Reflectă starea curentă a actualizării cheii Secure Boot de pe dispozitiv. Aceasta va fi setată la una dintre următoarele valori text:

  • Neîncepeți:Actualizarea nu a rulat încă.

  • InProgress:Actualizarea este în curs de desfășurare.

  • Actualizat: Actualizarea s-a terminat cu succes.

Inițial, starea este NotStarted. Se schimbă în InProgress după ce începe actualizarea și, în cele din urmă, la Actualizat atunci când toate tastele noi și noul manager de boot au fost implementate. Dacă există o eroare, atunci valoarea de registry UEFICA2023Error este setată la un cod non-zero.

UEFICA2023Eroare

REG_DWORD (cod)

Codul de eroare (dacă există).

Această valoare rămâne 0 la succes. Dacă procesul de actualizare întâmpină o eroare, UEFICA2023Error este setat la un cod de eroare non-zero corespunzător primei erori întâlnite. O eroare aici implică faptul că actualizarea Secure Boot nu a reușit complet și poate necesita investigație sau remediere pe acel dispozitiv.  

De exemplu, dacă actualizarea bazei de date (baza de date cu semnături de încredere) nu a reușit din cauza unei probleme de firmware, această cheie de registry poate afișa un cod de eroare care poate fi mapat la un jurnal de evenimente sau id-ul de eroare documentat în evenimentele de actualizare a variabilei Secure Boot DB și DBX

HighConfidenceOptOut

REG_DWORD

O opțiune de renunțare.

Pentru întreprinderile care doresc să renunțe la bucketurile de mare încredere care vor fi aplicate automat ca parte a LCU.

Puteți seta această cheie la o valoare non-zero pentru a renunța la bucketurile de mare încredere. 

Setări 

  • 0 sau cheia nu există - Opt-in

  • 1 – Opt-in

MicrosoftUpdateManagedOptIn

REG_DWORD

O opțiune de înscriere.

Pentru întreprinderile care doresc să opteze pentru servicii controlate de implementare a caracteristicilor (CFR), numită și Microsoft Managed.

În plus față de setarea acestei chei, permiteți trimiterea datelor de diagnosticare necesare (consultați Configurarea datelor de diagnosticare Windows în organizația dvs.). 

Setări

  • 0 sau cheia nu există - Renunțare

  • 1 – Opt-in

Cum funcționează împreună aceste taste

Administratorul IT configurează valoarea de registry AvailableUpdates pentru a 0x5944, ceea ce semnalează Windows să execute actualizarea și instalarea cheii Secure Boot pe dispozitiv.

Pe măsură ce procesul rulează, sistemul actualizează UEFICA2023Status de la NotStarted la InProgress și, în cele din urmă, la Actualizat după succes. Deoarece fiecare bit din 0x5944 este procesat cu succes, este șters.

Dacă vreun pas nu reușește, un cod de eroare este înregistrat în UEFICA2023Error (iar starea rămâne InProgress).

Acest mecanism oferă administratorilor o modalitate clară de a declanșa și a urmări implementarea fiecărui dispozitiv. 

Implementare utilizând chei de registry 

Implementarea pentru un grup de dispozitive constă din următorii pași: 

  1. Setați valoarea de registry AvailableUpdates pentru a 0x5944 pe fiecare dintre dispozitivele care vor fi actualizate.

  2. Monitorizați cheile de registry UEFICA2023Status și UEFICA2023Error pentru a vedea că dispozitivele progresează. Rețineți că activitatea care procesează aceste actualizări rulează o dată la fiecare 12 ore. Rețineți că actualizarea managerului de boot poate avea loc abia după ce are loc o repornire.

  3. Investigați problemele dacă apar. Dacă UEFICA2023Eroare nu este zero pe un dispozitiv, puteți verifica jurnalul de evenimente pentru evenimente legate de această problemă. Consultați Evenimentele de actualizare a variabilei Secure Boot DB și DBX pentru o listă completă de evenimente secure Boot.

Notă despre reporniri: Deși poate fi necesară o repornire pentru a finaliza procesul, inițierea implementării actualizărilor secure boot nu va provoca o repornire. Dacă este necesară o repornire, implementarea Bootării securizate se bazează pe reporniri care au loc ca un curs normal de utilizare a dispozitivului. 

Testarea dispozitivului utilizând chei de registry 

Atunci când testați dispozitive individuale pentru a vă asigura că dispozitivele vor procesa corect actualizările, cheile de registry pot fi o modalitate simplă de a testa. 

Pentru a testa, rulați fiecare dintre următoarele comenzi separat de o solicitare PowerShell administrator: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Prima comandă inițiază implementarea managerului de certificate și de boot pe dispozitiv. A doua comandă face ca activitatea care procesează cheia de registry AvailableUpdates să ruleze imediat. În mod normal, activitatea rulează la fiecare 12 ore. 

Puteți găsi rezultatele observând cheile de registry UEFICA2023Status și UEFICA2023Error și jurnalele de evenimente, așa cum este descris în evenimentele de actualizare a variabilelor Secure Boot DB și DBX

Opt-in and opt-out for assists 

Cheile de registry HighConfidenceOptOut și MicrosoftUpdateManagedOptIn pot fi utilizate pentru a gestiona cele două "asistări" de implementare descrise în dispozitivele Windows cu actualizări gestionate de IT

  • Cheia de registry HighConfidenceOptOut controlează actualizarea automată a dispozitivelor prin intermediul actualizărilor cumulative. Pentru dispozitivele pe care Microsoft a observat actualizarea cu succes a anumitor dispozitive, acestea vor fi considerate dispozitive "de mare încredere", iar actualizările certificatului de bootare securizată vor avea loc automat. Setarea implicită pentru această opțiune a optat.

  • Cheia de registry MicrosoftUpdateManagedOptIn permite departamentelor IT să opteze pentru implementarea automată gestionată de Microsoft. Această setare este dezactivată în mod implicit și o setează la 1 opțiune de înscriere. Această setare necesită, de asemenea, ca dispozitivul să trimită date de diagnosticare opționale.

Versiuni acceptate de Windows

Acest tabel împarte și mai mult asistența pe baza cheii de registry. 

Cheie 

Versiuni acceptate de Windows 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Eroare 

Toate versiunile de Windows care acceptă Bootarea sigură (Windows Server 2012 și versiunile mai recente de Windows).  

Notă: Deși datele de încredere sunt colectate pe Windows 10, versiunile LTSC, 22H2 și versiunile mai recente de Windows, acestea pot fi aplicate dispozitivelor care rulează pe versiuni anterioare de Windows.    

  • Windows 10, versiunile LTSC și 22H2

  • Windows 11, versiunile 22H2 și 23H2

  • Windows 11, versiunea 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Evenimente de eroare de bootare securizată

​​​​​​​​​​​​​​Evenimentele de eroare au o funcție critică de raportare pentru a informa despre starea de bootare securizată și despre progres.  Pentru informații despre evenimentele de eroare, consultați Evenimente de actualizare a variabilei Secure Boot DB și DBX. Evenimentele de eroare sunt actualizate cu informații suplimentare despre eveniment pentru Bootare sigură. 

Modificări suplimentare ale componentelor pentru Bootare sigură 

În această secțiune

Modificări TPMTasks 

Modificați TPMTasks pentru a determina dacă starea dispozitivului are certificatele secure boot actualizate. În prezent, se poate face această determinare, dar numai în cazul în care CFR selectează o mașină de actualizare. Această determinare și înregistrarea ulterioară în jurnal ar trebui să aibă loc în fiecare sesiune de boot, indiferent de CFR. În cazul în care certificatele Secure Boot nu sunt complet actualizate, atunci vor emite cele două evenimente de eroare descrise mai sus. Dacă certificatele sunt actualizate, atunci vor emite evenimentul Informații. Certificatele Secure Boot care vor fi verificate sunt:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 și Microsoft Option ROM UEFI CA 2023 – Aceste două cae trebuie să fie prezente doar dacă Microsoft UEFI CA 2011 este prezent. Dacă Microsoft UEFI CA 2011 nu este prezent, atunci nu este necesară nicio verificare.

  • Microsoft Corporation KEK 2K CA 2023

Eveniment metadate mașină 

Acest eveniment va colecta metadatele computerului și va emite următorul eveniment:

  • Eveniment BucketId + Evaluare de încredere   

Acest eveniment va utiliza meta-datele computerului pentru a găsi intrarea corespunzătoare în baza de date a computerelor (intrare bucket). Mașina va formata și va emite un eveniment cu aceste date, împreună cu orice informații de încredere cu privire la bucket. ​​​​​​​ 

Asistență pentru dispozitive cu încredere mare 

Pentru dispozitivele în bucketuri de mare încredere, se vor aplica automat certificatele secure Boot și managerul de boot semnat 2023.   

Actualizarea va fi declanșată în același timp cu generarea celor două evenimente de eroare, iar evenimentul BucketId + Evaluare de încredere include o evaluare de mare încredere.   

Renunțare

Pentru clienții care doresc să renunțe, o nouă cheie de registry va fi disponibilă după cum urmează:   

Locație registry

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Nume tastă

HighConfidenceOptOut

Tip cheie

DWORD

Valoare DWORD

0 sau cheia nu există - Este activată asistența de mare încredere.    

1 – Asistența de mare încredere este dezactivată   

Orice altă valoare este nedefinită   

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate