Применяется к
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Дата публикации: 14 октября 2025 г.

Идентификатор базы знаний: 5068202

В этой статье содержатся рекомендации по следующим вопросам:  

  • Организации с управляемыми ИТ-клиентами устройствами и обновлениями Windows.

Доступность этой поддержки:  

Разделы реестра AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut и MicrosoftUpdateManagedOptIn включены в обновления, выпущенные в следующие даты или позже:

  • 14 октября 2025 г.: Поддерживаемые версии включают Windows 10, версии 22H2 и более поздних версий (включая 21H2 LTSC), все поддерживаемые версии Windows 11, а также Windows Server 2022 и более поздних версиях.

  • 11 ноября 2025 г.: Для версий Windows, которые по-прежнему поддерживаются.

Дата изменения

Описание изменений

4 ноября 2025 г.

  • На страницу добавлен еще один раздел реестра.

  • Исправлена инструкция "Например, если обновление базы данных (базы данных доверенных сигнатур) завершилось сбоем из-за проблемы с встроенным ПО, в этом разделе реестра может отображаться код ошибки, который можно сопоставить с журналом событий или документированием идентификатора ошибки в". Например, если обновление базы данных (базы данных доверенных сигнатур) завершилось сбоем из-за проблемы с встроенным ПО. В этом разделе реестра может отображаться код ошибки из встроенного ПО. Если этот ключ существует и не равен нулю, рекомендуется искать события безопасной загрузки в журналах событий Windows. Дополнительные сведения см. в разделе (ссылка).

  • Ниже добавлены два отдельных пути для разделов реестра.

11 ноября 2025 г.

  • Обновлен абзац в разделе Тестирование устройств с помощью разделов реестра с дополнительными сведениями: "Раздел реестра должен быстро измениться на 0x4100. Перезагрузка и повторный запуск задачи приведут к обновлению диспетчера загрузки и к 0x0100 AvailableUpdates. Дополнительные сведения о том, как работает AvailableUpdates, см. в разделе Устранение неполадок.

  • Обновите текст в сером поле в разделе Тестирование устройств с помощью разделов реестра, чтобы иметь две дополнительные команды PowerShell.

  • В разделе разделов реестра значение реестра -MicrosoftUpdateManagedOptIn было изменено с "1 - Согласие" на "1 или любое значение, не являющееся нулевым , - Согласие".

16 ноября 2025 г.

Обновлено содержимое в разделе "Тестирование устройства с помощью разделов реестра". Значение Доступное обновление было изменено с "0x0100" на "0x4000".

В этой статье

Введение

В этом документе описывается поддержка развертывания, администрирования и мониторинга обновлений сертификатов безопасной загрузки с помощью разделов реестра Windows. Ключи состоят из следующих: 

  • Один ключ для запуска развертывания сертификатов и диспетчера загрузки на устройстве.

  • Два ключа для мониторинга состояния развертывания.

  • Два ключа для управления параметрами согласия или отказа для двух доступных помощников по развертыванию.

Эти разделы реестра можно задать вручную на устройстве или удаленно с помощью доступного программного обеспечения для управления автопарком. Другие методы развертывания, такие как групповая политика, Microsoft Intune и WinCS, описаны в статье Устройства Windows для предприятий и организаций с управляемыми ИТ-клиентами обновлениями.  

Разделы реестра безопасной загрузки

В этом разделе

Разделы реестра

Все разделы реестра безопасной загрузки, описанные ниже, находятся в этом пути реестра: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

В следующей таблице описано каждое из значений реестра:

Значение реестра

Тип

Описание и использование

AvailableUpdates

REG_DWORD (битовая маска)

Обновление флагов триггеров.

Определяет, какие действия по обновлению безопасной загрузки должны выполняться на устройстве. Задание соответствующего битового поля инициирует развертывание новых сертификатов безопасной загрузки и связанных обновлений. Для корпоративного развертывания это значение должно быть 0x5944 (шестнадцатеричное) — значение, которое включает все соответствующие обновления (добавление новых сертификатов ЦС 2023, обновление KEK и установка нового диспетчера загрузки). 

Параметры

  • 0 или не задано — обновление ключа безопасной загрузки не выполняется.

  • 0x5944 — развертывание всех необходимых сертификатов и обновление PCA2023 подписанного диспетчера загрузки

HighConfidenceOptOut

REG_DWORD

Вариант отказа.

Для предприятий, которые хотят отказаться от сегментов высокой достоверности, которые будут автоматически применяться в рамках LCU.

Для этого ключа можно задать значение, отличное от нуля, чтобы отказаться от сегментов высокой достоверности. 

Параметры 

  • 0 или ключ не существует — согласие

  • 1 — отказаться

MicrosoftUpdateManagedOptIn

REG_DWORD

Вариант согласия.

Для предприятий, которые хотят согласиться на обслуживание управляемого развертывания компонентов (CFR), также известное как Microsoft Managed.

Помимо установки этого ключа, разрешите отправку необходимых диагностических данных (см. раздел Настройка диагностических данных Windows в организации). 

Параметры

  • 0 или ключ не существует — отказ

  • 1 или любое ненулевое значение  — согласие

Все разделы реестра безопасной загрузки, описанные ниже, находятся в этом пути реестра: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

В следующей таблице описано каждое из значений реестра:

Значение реестра

Тип

Описание и использование

UEFICA2023Status

REG_SZ (строка)

Индикатор состояния развертывания.

Отражает текущее состояние обновления ключа безопасной загрузки на устройстве. Для него будет задано одно из следующих текстовых значений:

  • NotStarted: обновление еще не запущено.

  • InProgress: обновление активно выполняется.

  • Обновлено: обновление успешно завершено.

Первоначально состояние — NotStarted. Он изменяется на InProgress после начала обновления и, наконец, на Обновленный, когда все новые ключи и новый диспетчер загрузки будут развернуты. Если возникает ошибка, для параметра реестра UEFICA2023Error устанавливается ненулевой код.

UEFICA2023Error

REG_DWORD (код)

Код ошибки (при наличии).

Это значение остается равным 0 при успешном выполнении. Если в процессе обновления возникает сбой, UEFICA2023Error устанавливается как ненулевой код ошибки, соответствующий первой обнаруженной ошибке. Эта ошибка означает, что обновление безопасной загрузки не полностью выполнено и может потребовать исследования или исправления на этом устройстве.  

Например, если обновление базы данных (базы данных доверенных сигнатур) завершилось сбоем из-за проблемы с встроенным ПО, в этом разделе реестра может отображаться код ошибки из встроенного ПО. Если этот ключ существует и не равен нулю, рекомендуется искать события безопасной загрузки в журналах событий Windows. Дополнительные сведения см. в статье События обновления переменной безопасной загрузки и базы данных DBX.

WindowsUEFICA2023Capable

REG_DWORD (код)

Этот раздел реестра предназначен для сценариев ограниченного развертывания и не рекомендуется для общего использования. В большинстве случаев используйте раздел реестра UEFICA2023Status.

Допустимые значения:

0 — или ключ не существует — сертификат "Windows UEFI CA 2023" отсутствует в базе данных

1 . Сертификат Windows UEFI CA 2023 находится в базе данных

2 . Сертификат Windows UEFI CA 2023 находится в базе данных, и система начинается с подписанного диспетчера загрузки 2023

Как эти ключи работают вместе

ИТ-администраторы настраивают значение реестра AvailableUpdatesдля 0x5944, что сигнализирует Windows о выполнении обновления и установки ключа безопасной загрузки на устройстве.

По мере выполнения процесса система обновляет UEFICA2023Status с NotStarted на InProgress и, наконец, обновляется после успешного выполнения. При успешной обработке каждого бита в 0x5944 он очищается.

Если какой-либо шаг завершается ошибкой, код ошибки записывается в UEFICA2023Error (состояние остается InProgress).

Этот механизм предоставляет администраторам четкий способ активации и отслеживания развертывания для каждого устройства. 

Развертывание с помощью разделов реестра 

Развертывание в группе устройств состоит из следующих этапов: 

  1. Задайте для параметра Реестра AvailableUpdatesзначение 0x5944 на каждом из обновляемых устройств.

  2. Отслеживайте разделы реестра UEFICA20233Status и UEFICA2023Error , чтобы убедиться в прогрессе устройств. Задача, обрабатывающая эти обновления, выполняется каждые 12 часов. Обратите внимание, что обновление диспетчера загрузки может произойти только после перезапуска.

  3. Изучите проблемы, если они возникают. Если UEFICA2023Error не равен нулю на устройстве, можно проверка журнал событий для событий, связанных с этой проблемой. Полный список событий безопасной загрузки для базы данных и переменных DBX см. в статье События безопасной загрузки .

Примечание о перезапусках. Хотя для завершения процесса может потребоваться перезагрузка, запуск развертывания обновлений безопасной загрузки не приведет к перезапуску. Если требуется перезагрузка, развертывание безопасной загрузки зависит от перезапусков, выполняемых как обычный курс использования устройства. 

Тестирование устройств с помощью разделов реестра 

При тестировании отдельных устройств, чтобы убедиться, что устройства будут правильно обрабатывать обновления, разделы реестра могут быть простым способом тестирования. 

Для тестирования выполните каждую из следующих команд отдельно от командной строки PowerShell администратора: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Перезагрузите систему вручную, когда доступное обновление станет 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Первая команда инициирует развертывание сертификата и диспетчера загрузки на устройстве. Вторая команда приводит к тому, что задача, обрабатывающая раздел реестра AvailableUpdates , будет запущена сразу. Обычно задача выполняется каждые 12 часов. Раздел реестра должен быстро измениться на 0x4100. Перезагрузка и повторное выполнение задачи приведет к обновлению диспетчера загрузки и 0x4000 AvailableUpdates. Дополнительные сведения о том, как работает AvailableUpdates, см. в разделе Устранение неполадок.

Результаты можно найти, просмотрев разделы реестра UEFICA2023Status и UEFICA2023Error , а также журналы событий, как описано в разделе События обновления переменной базы данных безопасной загрузки и DBX

Согласие на поддержку и отказ от поддержки 

Разделы реестра HighConfidenceOptOut и MicrosoftUpdateManagedOptIn можно использовать для управления двумя "помощниками" развертывания, описанными в разделе Устройства Windows с обновлениями, управляемыми ИТ. 

  • Раздел реестра HighConfidenceOptOut управляет автоматическим обновлением устройств с помощью накопительных обновлений. Для устройств, на которых корпорация Майкрософт наблюдала успешное обновление определенных устройств, они будут считаться устройствами с высоким уровнем доверия, а обновления сертификатов безопасной загрузки будут происходить автоматически. Параметр по умолчанию — это согласие.

  • Раздел реестра MicrosoftUpdateManagedOptIn позволяет ИТ-отделам согласиться на автоматическое развертывание, управляемое корпорацией Майкрософт. Этот параметр отключен по умолчанию и для него задано значение 1 согласие на вход. Этот параметр также требует, чтобы устройство отправляло необязательные диагностические данные.

Поддерживаемые версии Windows

В этой таблице приведены дополнительные сведения о поддержке на основе раздела реестра. 

Ключ 

Поддерживаемые версии Windows 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Все версии Windows, поддерживающие безопасную загрузку (Windows Server 2012 и более поздних версий Windows).  

Примечание: Хотя данные достоверности собираются в Windows 10, LTSC, 22H2 и более поздних версиях Windows, их можно применять к устройствам, работающим в более ранних версиях Windows.    

  • Windows 10, версии LTSC и 22H2

  • Windows 11, версии 22H2 и 23H2

  • Windows 11, версия 24H2

  • Windows Server 2025 г.

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

События ошибок безопасной загрузки

​​​​​​​​​​​​​​События ошибок имеют важную функцию отчетности для информирования о состоянии и ходе безопасной загрузки.  Сведения о событиях ошибок см. в разделе События обновления переменной безопасной загрузки DB и DBX. События ошибок обновляются с помощью дополнительных сведений о событиях для безопасной загрузки. 

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей