Применяется к
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Исходная дата публикации: 19 марта 2026 г.

Идентификатор базы знаний: 5085046

В этой статье

Обзор

На этой странице содержатся инструкции по администраторам и специалистам по поддержке по диагностике и устранению проблем, связанных с безопасной загрузкой на устройствах Windows. Разделы включают сбои обновления сертификата безопасной загрузки, неправильные состояния безопасной загрузки, непредвиденные запросы на восстановление BitLocker и сбои загрузки после изменения конфигурации безопасной загрузки.

В этом руководстве объясняется, как проверить обслуживание и конфигурацию Windows, просмотреть соответствующие значения реестра и журналы событий, а также определить, когда для ограничений встроенного ПО или платформы требуется обновление OEM. Это содержимое предназначено для диагностики проблем на существующих устройствах. Он не предназначен для планирования новых развертываний. Этот документ будет обновлен по мере выявления новых сценариев устранения неполадок и рекомендаций.

в начало

Как работает обслуживание сертификатов безопасной загрузки

Обслуживание сертификатов безопасной загрузки в Windows — это скоординированный процесс между операционной системой и встроенным по UEFI устройства. Цель заключается в обновлении критически важных привязок доверия, сохраняя возможность загрузки на каждом этапе.

Процесс управляется запланированной задачей Windows, последовательностью действий обновления на основе реестра, а также встроенным поведением ведения журнала и повторных попыток. Вместе эти компоненты гарантируют, что сертификаты безопасной загрузки и диспетчер загрузки Windows обновляются управляемым, упорядоченным образом и только после выполнения необходимых действий.

в начало

С чего начать при устранении неполадок

Если на устройстве нет ожидаемого прогресса при применении обновлений сертификатов безопасной загрузки, начните с определения категории проблемы. Большинство проблем относятся к одной из четырех областей: состояние обслуживания Windows, механизм безопасного обновления, поведение встроенного ПО или ограничение платформы или изготовителя оборудования.

Начните с приведенных ниже проверок по порядку. Во многих случаях этих действий достаточно, чтобы объяснить наблюдаемое поведение и определить дальнейшие действия без более глубокого изучения.

  1. Подтверждение соответствия требованиям для обслуживания и платформы Windows

    1. ​​​​​​​Убедитесь, что устройство соответствует основным требованиям для получения обновлений сертификатов безопасной загрузки:

    2. Устройство работает под управлением поддерживаемой версии Windows.

    3. Установлены последние необходимые обновления для системы безопасности Windows.

    4. Безопасная загрузка включена в встроенном ПО UEFI.

    5. Если какое-либо из этих условий не выполняется, устраните их, прежде чем продолжить устранение неполадок.

  2. Проверка состояния задачи Secure-Boot-Update

    1. Убедитесь, что механизм Windows, отвечающий за применение обновлений сертификатов безопасной загрузки, существует и работает:

    2. Запланированная задача безопасной загрузки и обновления существует.

    3. Задача включена и выполняется как локальная система.

    4. Задача выполнялась по крайней мере один раз с момента установки последнего обновления для системы безопасности Windows.

    5. Если задача отключена, удалена или не выполняется, обновления сертификатов безопасной загрузки применить нельзя. Устранение неполадок должно быть сосредоточено на восстановлении задачи перед изучением других причин.

  3. Проверка параметров реестра для ожидаемого прогресса

    Проверьте состояние обслуживания безопасной загрузки устройства в реестре:

    1. Изучите UEFICA2023Status, UEFICA2023Error и UEFICA2023ErrorEvent.

    2. Изучите AvailableUpdates и сравните их с ожидаемым прогрессом (см. справочник и внутренние компоненты).

    Вместе эти значения указывают, выполняется ли обслуживание в обычном режиме, повторяется ли операция или зависла на определенном шаге.

  4. Корреляция состояния реестра с событиями безопасной загрузки

    Просмотрите события, связанные с безопасной загрузкой, в журнале системных событий и соотнесите их с состоянием реестра. Данные о событиях обычно подтверждают, выполняется ли устройство вперед, выполняется ли повторная попытка из-за временного состояния или заблокировано ли встроенное ПО или проблема с платформой.

    Вместе реестр и журналы событий обычно указывают, является ли поведение ожидаемым, временным или требует корректирующих действий.

в начало

Запланированная задача безопасной загрузки и обновления

Обслуживание сертификатов безопасной загрузки реализуется с помощью запланированной задачи Windows с именем Secure-Boot-Update. Задача регистрируется по следующему пути:

\Microsoft\Windows\PI\Secure-Boot-Update

Задача выполняется как локальная система. По умолчанию он запускается при запуске системы и каждые 12 часов после этого. При каждом запуске он проверяет, находятся ли действия безопасного обновления в ожидании, и пытается применить их последовательно.

Если эта задача отключена или отсутствует, обновления сертификатов безопасной загрузки не могут быть применены. Задача Secure-Boot-Update должна оставаться включенной, чтобы обслуживание безопасной загрузки функционировал.

в начало

Почему используется запланированная задача

Обновления сертификатов безопасной загрузки требуют координации между встроенного ПО Windows и UEFI, включая запись переменных UEFI, в которых хранятся ключи и сертификаты безопасной загрузки. Запланированная задача позволяет Windows выполнять эти обновления, когда система находится в состоянии, в котором можно изменить переменные встроенного ПО.

Повторяющееся 12-часовое расписание предоставляет дополнительные возможности для повторных попыток обновления, если предыдущая попытка завершилась ошибкой или если устройство оставалось включено без перезапуска. Такая конструкция помогает обеспечить дальнейший прогресс без вмешательства вручную.

в начало

Битовая маска реестра AvailableUpdates

Задача Secure-Boot-Update управляется значением реестра AvailableUpdates . Это значение представляет собой 32-разрядную маску, расположенную по адресу:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Каждый бит в значении представляет определенное действие безопасного обновления. Процесс обновления начинается, когда параметр AvailableUpdates имеет значение, отличное от нуля, автоматически в Windows или явным образом администратором. Например, значение , например 0x5944 , указывает на ожидание нескольких действий по обновлению.

При выполнении задачи Secure-Boot-Update она интерпретирует заданные биты как ожидающие работы и обрабатывает их в определенном порядке.

в начало

Последовательные обновления, ведение журнала и поведение повторных действий

Обновления сертификатов безопасной загрузки применяются в фиксированном порядке. Каждое действие обновления предназначено для безопасного повтора и выполняется независимо. Задача Secure-Boot-Update не переходит к следующему шагу до тех пор, пока текущее действие не будет успешно выполнено, а ее соответствующий бит будет очищен из AvailableUpdates.

Каждая операция использует стандартные интерфейсы UEFI для обновления переменных безопасной загрузки, таких как база данных и KEK, или для установки обновленного диспетчера загрузки Windows. Windows записывает результаты каждого шага в журнал событий системы. События успешного выполнения подтверждают прогресс вперед, а события сбоя указывают, почему не удалось выполнить действие.

Если шаг обновления завершается сбоем, задача останавливает обработку, регистрирует ошибку и оставляет соответствующий набор битов. Операция выполняется повторно при следующем запуске задачи. Это поведение позволяет устройствам автоматически восстанавливаться после временных условий, таких как отсутствие поддержки встроенного ПО или задержка обновлений OEM.

Администраторы могут отслеживать ход выполнения, сопоставляя состояние реестра с записями журнала событий. Значения реестра, такие как UEFICA2023Status, UEFICA2023Error и UEFICA2023ErrorEvent, а также битовая маска AvailableUpdates указывают, какой шаг является активным, завершенным или заблокированным.

Это сочетание показывает, работает ли устройство нормально, повторяет операцию или зависла.

в начало

Интеграция с встроенным ПО OEM

Обновления сертификатов безопасной загрузки зависят от правильного поведения и поддержки встроенного ПО UEFI устройства. Хотя Windows управляет процессом обновления, встроенное ПО отвечает за применение политики безопасной загрузки и обслуживание баз данных безопасной загрузки.

Изготовители оборудования предоставляют два критически важных элемента, которые обеспечивают обслуживание сертификатов безопасной загрузки:

  • Ключ платформы — ключи обмена ключами (KEK), которые разрешают установку новых сертификатов безопасной загрузки.

  • Реализации встроенного ПО, которые правильно сохраняют, добавляют и проверяют базы данных безопасной загрузки во время обновлений.

Если встроенное ПО не полностью поддерживает это поведение, обновления безопасной загрузки могут зависнуть, повторить попытку на неопределенный срок или привести к сбою загрузки. В таких случаях Windows не может завершить обновление без изменения встроенного ПО.

Корпорация Майкрософт сотрудничает с изготовителями оборудования для выявления проблем с встроенным ПО и обеспечения доступности исправленных обновлений. Если устранение неполадок указывает на ограничение или дефект встроенного ПО, администраторам может потребоваться установить последнее обновление встроенного ПО UEFI, предоставленное производителем устройства, прежде чем обновления сертификата безопасной загрузки смогут успешно завершиться.

в начало

Распространенные сценарии сбоев и способы их устранения

Обновления безопасной загрузки применяются запланированной задачей Secure-Boot-Update в зависимости от состояния реестра AvailableUpdates .

В обычных условиях эти шаги выполняются автоматически и записывают события успешного выполнения по мере завершения каждого этапа. В некоторых случаях поведение встроенного ПО, конфигурация платформы или предварительные требования для обслуживания могут предотвратить ход выполнения или привести к непредвиденному поведению загрузки.

В разделах ниже описаны наиболее распространенные сценарии сбоя, способы их распознавания, причины их возникновения и соответствующие дальнейшие шаги для восстановления нормальной работы. Сценарии упорядочены от наиболее часто встречающихся до более серьезных случаев, влияющих на загрузку.

Если обновления безопасной загрузки не показывают прогресса, это обычно означает, что процесс обновления так и не был запущен. В результате отсутствуют ожидаемые значения реестра и журналы событий безопасной загрузки, так как механизм обновления никогда не активировался.

Что случилось

Процесс обновления безопасной загрузки не был запущен, поэтому сертификаты безопасной загрузки или обновленный диспетчер загрузки не были применены к устройству.

Как распознать его

  • Отсутствуют значения реестра для обслуживания безопасной загрузки, например UEFICA2023Status.

  • В журнале событий системы отсутствуют ожидаемые события безопасной загрузки (например, 1043, 1044, 1045, 1799, 1801).

  • Устройство продолжает использовать более старые сертификаты безопасной загрузки и компоненты загрузки.

Почему это происходит

Этот сценарий обычно возникает при выполнении одного или нескольких из следующих условий:

  • Запланированная задача безопасной загрузки и обновления отключена или отсутствует.

  • Безопасная загрузка отключена в встроенном ПО UEFI.

  • Устройство не соответствует предварительным требованиям для обслуживания Windows, например с поддерживаемой версией Windows или установленными необходимыми обновлениями.

Дальнейшие действия

  • Убедитесь, что устройство соответствует требованиям к обслуживанию Windows и требованиям к использованию платформы.

  • Убедитесь, что в встроенном ПО включена безопасная загрузка.

  • Убедитесь, что запланированная задача SecureBootUpdate существует и включена.

Если запланированная задача отключена или отсутствует, следуйте указаниям в статье Безопасная загрузка запланированной задачи отключена или удалена , чтобы восстановить ее. После восстановления задачи перезапустите устройство или запустите задачу вручную, чтобы инициировать обслуживание безопасной загрузки.

В некоторых случаях обновления, связанные с безопасной загрузкой, могут привести к переходу устройства на восстановление BitLocker. Поведение может быть временным или постоянным в зависимости от основной причины.

Сценарий 1. Однократное восстановление BitLocker после обновления безопасной загрузки

Что происходит

Устройство переходит в восстановление BitLocker при первой загрузке после обновления безопасной загрузки, но обычно загружается при последующих перезапусках.

Почему это происходит

Во время первой загрузки после обновления встроенное ПО пока не сообщает об обновленных значениях безопасной загрузки при попытке Повторной загрузки BitLocker. Это приводит к временному несоответствию измеряемых значений загрузки и запускает восстановление. При следующей загрузке встроенное ПО сообщает об обновленных значениях правильно, BitLocker успешно выполняет повторную проверку, и проблема не повторяется.

Как распознать его

  • Восстановление BitLocker выполняется один раз.

  • После ввода ключа восстановления последующие загрузки не запрашивают восстановление.

  • Текущий порядок загрузки или участие PXE отсутствует.

Дальнейшие действия

  • Введите ключ восстановления BitLocker, чтобы возобновить работу Windows.

  • Проверьте наличие обновлений встроенного ПО.

Сценарий 2. Повторное восстановление BitLocker из-за конфигурации первой загрузки PXE

Что происходит

Устройство входит в восстановление BitLocker при каждой загрузке.

Почему это происходит

Устройство настроено для первой попытки загрузки PXE (сети). Попытка загрузки PXE завершается сбоем, и встроенное ПО возвращается к диспетчеру загрузки Windows на диске.

Это приводит к измерению двух разных центров подписывания в течение одного цикла загрузки:

  • Путь загрузки PXE подписан microsoft UEFI CA 2011.

  • Диспетчер загрузки Windows на диске подписан windows UEFI CA 2023.

Так как BitLocker наблюдает различные цепочки доверия безопасной загрузки во время запуска, он не может установить стабильный набор измерений доверенного платформенного модуля для повторного выполнения. В результате BitLocker входит в восстановление при каждой загрузке.

Как распознать его

  • Восстановление BitLocker активируется при каждом перезапуске.

  • Ввод ключа восстановления позволяет запустить Windows, но запрос возвращается при следующей загрузке.

  • PXE или сетевая загрузка настраивается перед локальным диском в порядке загрузки встроенного ПО.

Дальнейшие действия

  • Настройте порядок загрузки встроенного ПО, чтобы сначала был установлен диспетчер загрузки Windows на диске.

  • Отключите загрузку PXE, если она не требуется.

  • Если требуется PXE, убедитесь, что инфраструктура PXE использует загрузчик Windows со знаком 2023 года.

Что случилось

Это отражает изменение на уровне встроенного ПО, а не проблему Windows. Обновление безопасной загрузки было успешно завершено, но после последующей перезагрузки устройство больше не загружается в Windows.

Как распознать его

  • Устройство не запускает Windows и может отображать сообщение встроенного ПО или BIOS, указывающее на нарушение безопасной загрузки.

  • Сбой происходит после сброса параметров безопасной загрузки до значений по умолчанию встроенного ПО.

  • Отключение безопасной загрузки может позволить устройству снова загрузиться.

Почему это происходит

Сброс безопасной загрузки до встроенного ПО по умолчанию очищает базы данных безопасной загрузки, хранящиеся в встроенном ПО. На устройствах, которые уже перешли на диспетчер загрузки windows UEFI CA 2023, этот сброс удаляет сертификаты, необходимые для доверия этому диспетчеру загрузки.

В результате встроенное ПО больше не распознает установленный диспетчер загрузки Windows как доверенный и блокирует процесс загрузки.

Этот сценарий вызван не самим обновлением безопасной загрузки, а последующим действием встроенного ПО, которое удаляет обновленные привязки доверия.

Дальнейшие действия

  • Используйте служебную программу восстановления безопасной загрузки, чтобы восстановить необходимый сертификат, чтобы устройство снова загрузилось.

  • После восстановления убедитесь, что на устройстве установлено последнее доступное встроенное ПО от изготовителя устройства.

  • Избегайте сброса значения по умолчанию для безопасной загрузки, если встроенное ПО oem не содержит обновленные значения по умолчанию безопасной загрузки, которые доверяют сертификатам 2023.

Служебная программа восстановления безопасной загрузки

Чтобы восстановить систему, выполните следующие действия:

  1. На втором компьютере с Windows с установленным обновлением Windows за июль 2024 г. или более поздней версии скопируйте SecureBootRecovery.efi из C:\Windows\Boot\EFI\.

  2. Поместите файл на USB-накопитель в формате FAT32 в папку \EFI\BOOT\ и переименуйте его в bootx64.efi.

  3. Загрузите затронутого устройства с USB-диска и разрешите запуск программы восстановления. Служебная программа добавит windows UEFI CA 2023 в базу данных.

После восстановления сертификата и перезапуска системы Windows должна запуститься в обычном режиме.

Важно: Этот процесс будет повторно применить только один из новых сертификатов. После восстановления устройства убедитесь, что на нем повторно применяется последняя версия сертификатов, и рассмотрите возможность обновления BIOS/UEFI системы до последней доступной версии. Это может помочь предотвратить повторение проблемы сброса безопасной загрузки, так как многие изготовители оборудования выпустили исправления встроенного ПО для этой конкретной проблемы.

Что случилось

После применения обновления и перезапуска сертификата безопасной загрузки устройство не загружается и не достигает Windows.

Как распознать его

  • Устройство завершается сбоем сразу после перезагрузки, необходимой для обновления безопасной загрузки.

  • Может отобразиться встроенное ПО или ошибка безопасной загрузки, или система может остановиться перед загрузкой Windows.

  • Отключение безопасной загрузки может разрешить загрузку устройства.

Почему это происходит

Эта проблема может быть вызвана дефектом в реализации встроенного ПО UEFI устройства.

Когда Windows применяет обновления сертификатов безопасной загрузки, встроенное ПО должно добавлять новые сертификаты в существующую базу данных с разрешениями безопасной загрузки. Некоторые реализации встроенного ПО неправильно перезаписывают базу данных вместо добавления в нее.

Когда это происходит,

  • Ранее доверенные сертификаты, включая сертификат загрузчика Microsoft 2011, удаляются.

  • Если в системе по-прежнему используется диспетчер загрузки, подписанный сертификатом 2011, встроенное ПО больше не доверяет ему.

  • Встроенное ПО отклоняет диспетчер загрузки и блокирует процесс загрузки.

В некоторых случаях база данных также может быть повреждена, а не перезаписана, что приводит к тому же результату. Это поведение наблюдалось в определенных реализациях встроенного ПО и не ожидается для соответствующего встроенного ПО.

Дальнейшие действия

  • Войдите в меню настройки встроенного ПО и попытайтесь сбросить параметры безопасной загрузки.

  • Если устройство загружается после сброса, проверка сайт поддержки изготовителя устройства для обновления встроенного ПО, которое исправляет обработку базы данных безопасной загрузки.

  • Если доступно обновление встроенного ПО, установите его перед повторным включением безопасной загрузки и повторным применением обновлений сертификата безопасной загрузки.

Если при сбросе безопасной загрузки не восстанавливается функциональность загрузки, для дальнейшего восстановления, скорее всего, потребуется руководство по изготовителю оборудования.

Что случилось

Обновление сертификата безопасной загрузки не завершено и остается заблокированным на этапе обновления ключа обмена ключами (KEK).

Как распознать его

  • Значение реестра AvailableUpdates остается заданным с битом KEK (0x0004) и не очищается.

  • UEFICA2023Status не переходит в завершенное состояние.

  • Системный журнал событий неоднократно записывает идентификатор события 1803, указывающий, что не удалось применить обновление KEK.

  • Устройство продолжает повторную попытку обновления, не выполняя прогресс.

Почему это происходит

Для обновления KEK безопасной загрузки требуется авторизация из ключа платформы (PK) устройства, который принадлежит изготовителю оборудования.

Для успешного обновления производитель устройства должен предоставить корпорации Майкрософт KEK с подписью PK для этой конкретной платформы. Этот KEK со знаком OEM входит в обновления Windows и позволяет Windows обновлять переменную KEK встроенного ПО.

Если изготовитель оборудования не предоставил для устройства KEK с подписью PK, Windows не сможет завершить обновление KEK. В этом состоянии:

  • Обновления безопасной загрузки блокируются по умолчанию.

  • Windows не может обойти недостающую авторизацию.

  • Устройство может оставаться безвозвратно неспособным завершить обслуживание сертификатов безопасной загрузки.

Это может произойти на старых или не поддерживающих устройствах, где изготовитель оборудования больше не предоставляет встроенное ПО или обновления ключей. Для этого условия не поддерживается путь восстановления вручную.

в начало

Если не удается применить обновления сертификатов безопасной загрузки, Windows записывает диагностические события, объясняющие причину блокировки хода выполнения. Эти события записываются при обновлении базы данных сигнатур безопасной загрузки (БД) или ключа обмена ключами (KEK) из-за состояния встроенного ПО, состояния платформы или условий конфигурации. Сценарии в этом разделе ссылаться на эти события для выявления распространенных шаблонов сбоев и определения соответствующих исправлений. Этот раздел предназначен для поддержки диагностики и интерпретации проблем, описанных ранее, а не для внедрения новых сценариев сбоя.

Полный список идентификаторов событий, описаний и примеров записей см. в статье События обновления переменной базы данных безопасной загрузки и DBX (KB5016061).

Сбой обновления KEK (обновления базы данных успешно, KEK — нет)

Устройство может успешно обновить сертификаты в базе данных безопасной загрузки, но во время обновления KEK завершится ошибкой. В этом случае процесс безопасной загрузки не может быть завершен.

Признаки

  • События сертификата базы данных указывают на ход выполнения, но этап KEK не завершен.

  • Значение AvailableUpdates остается 0x4004, а бит 0x0004 не очищается после нескольких запусков задач.

  • Может присутствовать событие 1795 или 1803 .

Интерпретации

  • 1795 обычно указывает на сбой встроенного ПО при попытке обновить переменную безопасной загрузки.

  • 1803 указывает, что обновление KEK не может быть авторизовано, так как для платформы недоступны необходимые полезные данные KEK с подписью OEM PK.

Дальнейшие действия

  • Для версии 1795 проверка обновления встроенного ПО oem и проверить поддержку встроенного ПО для обновлений переменных безопасной загрузки.

  • Для версии 1803 убедитесь, что изготовитель оборудования предоставил корпорации Майкрософт подписанный PK KEK, необходимый для модели устройства.

Сбой обновления KEK на гостевых виртуальных машинах, размещенных в Hyper-V 

На виртуальных машинах Hyper-V обновления сертификатов безопасной загрузки требуют установки обновлений Windows за март 2026 г. как на узле Hyper-V, так и на гостевой ОС.

О сбоях обновления сообщается из гостевого сайта, но событие указывает, где требуется исправление:

  • Событие 1795 (например, "Носитель защищен записью"), о котором сообщается в гостевой системе , указывает, что узел Hyper-V отсутствует обновление за март 2026 г., и его необходимо обновить.

  • Событие 1803 , о котором сообщается в гостевой системе, указывает, что сама гостевая виртуальная машина не имеет обновления за март 2026 г. и должна быть обновлена.

в начало 

Справочник и внутренние компоненты

Этот раздел содержит дополнительные справочные сведения, предназначенные для устранения неполадок и поддержки. Он не предназначен для планирования развертывания. В нем подробно описана описанная выше механика обслуживания безопасной загрузки, а также подробные справочные материалы по интерпретации состояния реестра и журналов событий.

Примечание (управляемые ИТ-управлением развертывания). При настройке с помощью групповая политика или Microsoft Intune не следует путать два похожих параметра. Значение AvailableUpdatesPolicy представляет состояние настроенной политики. В то же время AvailableUpdates отражает состояние выполнения работы по очистке битов. Оба могут привести к одному и тому же результату, но они ведут себя по-разному, так как политика со временем применяется повторно.

в начало 

ДоступноОбновляет биты, используемые для обслуживания сертификатов

Приведенные ниже биты используются для действий диспетчера сертификатов и загрузки, описанных в этом документе. Столбец Order отражает последовательность, в которой задача Secure-Boot-Update обрабатывает каждый бит.

Заказ

Параметр бита

Использование

1

0x0040

Этот бит сообщает запланированной задаче добавить сертификат Windows UEFI CA 2023 в базу данных безопасной загрузки. Это позволяет Windows доверять диспетчерам загрузки, подписанным этим сертификатом.

2

0x0800

Этот бит сообщает запланированной задаче применить к базе данных дополнительный ПЗУ Microsoft UEFI CA 2023.  

Условное поведение. При установке флага 0x4000 запланированная задача сначала проверка базу данных для сертификата Microsoft Corporation UEFI CA 2011. Он будет применять сертификат Microsoft Option ROM UEFI CA 2023только при наличии сертификата 2011.

3

0x1000

Этот бит сообщает запланированной задаче применить microsoft UEFI CA 2023 к базе данных.

Условное поведение. При установке флага 0x4000 запланированная задача сначала проверка базу данных для сертификата Microsoft Corporation UEFI CA 2011. Он будет применять сертификат Microsoft UEFI CA 2023только при наличии сертификата 2011.

Модификатор (флаг поведения)

0x4000

Этот бит изменяет поведение 0x0800 и 0x1000 битов таким образом, что microsoft UEFI CA 2023 и Microsoft Option ROM UEFI CA 2023 применяются только в том случае, если база данных уже содержит microsoft Corporation UEFI CA 2011  Чтобы гарантировать, что профиль безопасности устройства остается неизменным, этот бит применяет эти новые сертификаты только в том случае, если устройство доверяет сертификату Microsoft Corporation UEFI CA 2011. Не все устройства Windows доверяют этому сертификату.

4

0x0004

Этот бит сообщает запланированной задаче найти ключ обмена ключами, подписанный ключом платформы (PK) устройства. PK управляется изготовителем оборудования. Изготовители оборудования подписывают microsoft KEK с помощью своего PK и доставляют его в корпорацию Майкрософт, где она включена в ежемесячные накопительные обновления.

5

0x0100

Этот бит сообщает запланированной задаче применить диспетчер загрузки, подписанный windows UEFI CA 2023, к загрузочному разделу. Это заменит подписанный диспетчер загрузки Microsoft Windows Production PCA 2011.

Примечания.

  • Бит 0x4000 останется заданным после обработки всех остальных битов.

  • Каждый бит обрабатывается запланированной задачей Secure-Boot-Update в порядке, указанном выше.

  • Если 0x0004 бит не может быть обработан из-за отсутствия KEK со знаком PK, запланированная задача по-прежнему будет применять обновление диспетчера загрузки, указанное битовой 0x0100.

в начало 

Ожидаемое прогрессирование (AvailableUpdates)

После успешного завершения операции Windows очищает связанный бит из AvailableUpdates. Если операция завершается сбоем, Windows регистрирует событие и повторяет попытку при повторном запуске задачи.

В таблице ниже показано ожидаемое последовательность значений AvailableUpdates по мере завершения каждого действия безопасного обновления.

Шаг

Битовая обработка

Доступные Обновления

Описание

Событие успешного выполнения зарегистрировано

Возможные коды событий ошибок

Пуск

0x5944

Начальное состояние перед началом обслуживания сертификата безопасной загрузки.

-

-

1

0x0040

0x5944 → 0x5904

Windows UEFI CA 2023 добавляется в базу данных безопасной загрузки.

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

Добавьте Microsoft Option ROM UEFI CA 2023 в базу данных, если устройство ранее доверял microsoft UEFI CA 2011.

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

Microsoft UEFI CA 2023 добавляется в базу данных, если устройство ранее доверял microsoft UEFI CA 2011.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

Применяется новый microsoft KEK 2K CA 2023, подписанный ключом платформы OEM.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

Установлен диспетчер загрузки, подписанный windows UEFI CA 2023.

1799

1797

Примечания

  • После успешного завершения операции, связанной с битом, этот бит удаляется из AvailableUpdates.

  • Если одна из этих операций завершается сбоем, событие регистрируется, и операция повторно выполняется при следующем запуске запланированной задачи.

  • Бит 0x4000 является модификатором и не очищается. Окончательное значение AvailableUpdates 0x4000 указывает на успешное завершение всех применимых действий по обновлению.

  • События 1032, 1795, 1796, 1802 обычно указывают на ограничения встроенного ПО или платформы.

  • Событие 1803 указывает на отсутствие KEK со знаком OEM PK.

в начало 

Процедуры исправления

В этом разделе приведены пошаговые процедуры по устранению конкретных проблем с безопасной загрузкой. Каждая процедура ограничена четко определенным условием и предназначена для выполнения только после того, как первоначальный диагноз подтвердит, что проблема применима. Используйте эти процедуры для восстановления ожидаемого поведения безопасной загрузки и безопасного обновления сертификатов. Не применяйте эти процедуры широко или упреждающ.

в начало

Включение безопасной загрузки в встроенном ПО

Если безопасная загрузка отключена в встроенном ПО устройства, дополнительные сведения о включении безопасной загрузки см. в разделах Windows 11 и безопасная загрузка.

в начало

Запланированная задача безопасной загрузки отключена или удалена

Для применения обновлений сертификатов безопасной загрузки Windows требуется запланированная задача Secure-Boot-Update . Если задача отключена или отсутствует, обслуживание сертификатов безопасной загрузки не будет выполняться.

Сведения о задаче

Имя задачи

Secure-Boot-Update

Путь к задаче

\Microsoft\Windows\PI\

Полный путь

\Microsoft\Windows\PI\Secure-Boot-Update

Выполняется как

SYSTEM (локальная система)

"Триггеры",

При запуске и каждые 12 часов

Обязательное состояние

Включен

Как проверка состояние задачи

Запустите из командной строки PowerShell с повышенными привилегиями: schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Найдите поле Состояние:

Состояние

Смысл

готово

Задача существует и включена.

Отключено

Задача существует, но должна быть включена.

Ошибка / Не найдено

Задача отсутствует и ее необходимо воссоздать.

Включение или повторное создание задачи

Если поле состояния для параметра Secure-Boot-Update имеет значение Отключено, Ошибка или Не найдено, используйте пример скрипта, чтобы включить задачу: Пример Enable-SecureBootUpdateTask.ps1

Примечание. Это пример сценария, который не поддерживается корпорацией Майкрософт. Администраторы должны проверить и адаптировать его к своей среде.

Пример:

.\Enable-SecureBootUpdateTask.ps1 -Quiet

Руководство по выполнению

  • Если отображается параметр "Доступ запрещен", повторно запустите PowerShell с правами администратора.

  • Если скрипт не будет выполняться из-за политики выполнения, используйте обход область процесса:

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass

в начало 

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей