Применяется к
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Дата публикации: 14 октября 2025 г.

Идентификатор базы знаний: 5068202

В этой статье содержатся рекомендации по следующим вопросам:  

  • Организации с управляемыми ИТ-клиентами устройствами и обновлениями Windows.

Доступность этой поддержки:  

  • Разделы реестра AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut и MicrosoftUpdateManagedOptIn включены в обновления, выпущенные в следующие даты или позже:

    • 14 октября 2025 г. Поддерживаются версии Windows 10, версии 22H2 и более поздних версий (включая 21H2 LTSC), все поддерживаемые версии Windows 11, а также Windows Server 2022 и более поздних версиях.

    • 11 ноября 2025 г.: для версий Windows, которые по-прежнему поддерживаются.

В этой статье

Введение

В этом документе описывается поддержка развертывания, администрирования и мониторинга обновлений сертификатов безопасной загрузки с помощью разделов реестра Windows. Ключи состоят из следующих: 

  • Один ключ для запуска развертывания сертификатов и диспетчера загрузки на устройстве.

  • Два ключа для мониторинга состояния развертывания.

  • Два ключа для управления параметрами согласия и отказа для двух доступных помощников по развертыванию.

Эти разделы реестра можно задать вручную на устройстве или удаленно с помощью доступного программного обеспечения для управления автопарком. Другие методы развертывания, такие как групповая политика, Intune и WinCS, описаны в статье Устройства Windows для предприятий и организаций с обновлениями, управляемыми ИТ.  

Разделы реестра безопасной загрузки

В этом разделе

Разделы реестра

Все разделы реестра безопасной загрузки, описанные в этом документе, находятся в этом пути реестра: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

В следующей таблице описано каждое из значений реестра. 

Значение реестра

Тип

Описание использования &

AvailableUpdates

REG_DWORD (битовая маска)

Обновление флагов триггеров.

Определяет, какие действия по обновлению безопасной загрузки должны выполняться на устройстве. Задание соответствующего битового поля инициирует развертывание новых сертификатов безопасной загрузки и связанных обновлений. Для корпоративного развертывания это значение должно быть 0x5944 (шестнадцатеричное) — значение, которое включает все соответствующие обновления (добавление новых сертификатов ЦС 2023 года, обновление KEK и установка нового диспетчера загрузки). 

Параметры: 

  • 0 или не задано — обновление ключа безопасной загрузки не выполняется.

  • 0x5944 — развертывание всех необходимых сертификатов и обновление PCA2023 подписанного диспетчера загрузки

UEFICA2023Status

REG_SZ (строка)

Индикатор состояния развертывания.

Отражает текущее состояние обновления ключа безопасной загрузки на устройстве. Для него будет задано одно из следующих текстовых значений:

  • NotStarted:Обновление еще не запущено.

  • InProgress:Обновление активно выполняется.

  • Обновлено: Обновление успешно завершено.

Первоначально состояние — NotStarted. Он изменяется на InProgress после начала обновления и, наконец, на Обновленный, когда все новые ключи и новый диспетчер загрузки будут развернуты. Если возникает ошибка, для параметра реестра UEFICA2023Error устанавливается ненулевой код.

UEFICA2023Error

REG_DWORD (код)

Код ошибки (при наличии).

Это значение остается равным 0 при успешном выполнении. Если в процессе обновления возникает сбой, UEFICA2023Error устанавливается как ненулевой код ошибки, соответствующий первой обнаруженной ошибке. Эта ошибка означает, что обновление безопасной загрузки не полностью выполнено и может потребовать исследования или исправления на этом устройстве.  

Например, если обновление базы данных (базы данных доверенных сигнатур) завершилось сбоем из-за проблемы с встроенным ПО, в этом разделе реестра может отображаться код ошибки, который можно сопоставить с журналом событий или документировать идентификатор ошибки в событиях обновления базы данных безопасной загрузки и переменных DBX

HighConfidenceOptOut

REG_DWORD

Вариант отказа.

Для предприятий, которые хотят отказаться от сегментов высокой достоверности, которые будут автоматически применяться в рамках LCU.

Для этого ключа можно задать значение, отличное от нуля, чтобы отказаться от сегментов высокой достоверности. 

Параметры 

  • 0 или ключ не существует — согласие

  • 1 — согласие

MicrosoftUpdateManagedOptIn

REG_DWORD

Вариант согласия.

Для предприятий, которые хотят согласиться на обслуживание управляемого развертывания компонентов (CFR), также известное как Microsoft Managed.

Помимо установки этого ключа, разрешите отправку необходимых диагностических данных (см. раздел Настройка диагностических данных Windows в организации). 

Параметры

  • 0 или ключ не существует — отказ

  • 1 — согласие

Как эти ключи работают вместе

ИТ-администратор настраивает значение реестра AvailableUpdatesдля 0x5944, что указывает Windows на выполнение обновления и установки ключа безопасной загрузки на устройстве.

По мере выполнения процесса система обновляет UEFICA2023Status с NotStarted на InProgress и, наконец, обновляется после успешного выполнения. При успешной обработке каждого бита в 0x5944 он очищается.

Если какой-либо шаг завершается ошибкой, код ошибки записывается в UEFICA2023Error (состояние остается InProgress).

Этот механизм предоставляет администраторам четкий способ активации и отслеживания развертывания для каждого устройства. 

Развертывание с помощью разделов реестра 

Развертывание в группе устройств состоит из следующих этапов: 

  1. Задайте для параметра Реестра AvailableUpdatesзначение 0x5944 на каждом из обновляемых устройств.

  2. Отслеживайте разделы реестра UEFICA20233Status и UEFICA2023Error , чтобы убедиться в прогрессе устройств. Помните, что задача, обрабатывающая эти обновления, выполняется каждые 12 часов. Обратите внимание, что обновление диспетчера загрузки может произойти только после перезапуска.

  3. Изучите проблемы, если они возникают. Если UEFICA2023Error не равен нулю на устройстве, можно проверка журнал событий для событий, связанных с этой проблемой. Полный список событий безопасной загрузки для базы данных и переменных DBX см. в статье События безопасной загрузки .

Примечание о перезапусках. Хотя для завершения процесса может потребоваться перезагрузка, запуск развертывания обновлений безопасной загрузки не приведет к перезапуску. Если требуется перезагрузка, развертывание безопасной загрузки зависит от перезапусков, выполняемых как обычный курс использования устройства. 

Тестирование устройств с помощью разделов реестра 

При тестировании отдельных устройств, чтобы убедиться, что устройства будут правильно обрабатывать обновления, разделы реестра могут быть простым способом тестирования. 

Для тестирования выполните каждую из следующих команд отдельно от командной строки PowerShell администратора: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Первая команда инициирует развертывание сертификата и диспетчера загрузки на устройстве. Вторая команда приводит к тому, что задача, обрабатывающая раздел реестра AvailableUpdates , будет запущена сразу. Обычно задача выполняется каждые 12 часов. 

Результаты можно найти, просмотрев разделы реестра UEFICA2023Status и UEFICA2023Error , а также журналы событий, как описано в разделе События обновления переменной базы данных безопасной загрузки и DBX

Согласие и отказ от поддержки 

Разделы реестра HighConfidenceOptOut и MicrosoftUpdateManagedOptIn можно использовать для управления двумя "помощниками" развертывания, описанными в разделе Устройства Windows с обновлениями, управляемыми ИТ. 

  • Раздел реестра HighConfidenceOptOut управляет автоматическим обновлением устройств с помощью накопительных обновлений. Для устройств, на которых корпорация Майкрософт наблюдала успешное обновление определенных устройств, они будут считаться устройствами с высоким уровнем доверия, а обновления сертификатов безопасной загрузки будут происходить автоматически. Параметр по умолчанию для этого согласия.

  • Раздел реестра MicrosoftUpdateManagedOptIn позволяет ИТ-отделам согласиться на автоматическое развертывание, управляемое корпорацией Майкрософт. Этот параметр отключен по умолчанию и для него задано значение 1 согласие на вход. Этот параметр также требует, чтобы устройство отправляло необязательные диагностические данные.

Поддерживаемые версии Windows

В этой таблице приведены дополнительные сведения о поддержке на основе раздела реестра. 

Ключ 

Поддерживаемые версии Windows 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Все версии Windows, поддерживающие безопасную загрузку (Windows Server 2012 и более поздних версий Windows).  

Заметка: Хотя данные достоверности собираются в Windows 10, LTSC, 22H2 и более поздних версиях Windows, их можно применять к устройствам, работающим в более ранних версиях Windows.    

  • Windows 10, версии LTSC и 22H2

  • Windows 11, версии 22H2 и 23H2

  • Windows 11, версия 24H2

  • Windows Server 2025 г.

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

События ошибок безопасной загрузки

​​​​​​​​​​​​​​События ошибок имеют важную функцию отчетности для информирования о состоянии и ходе безопасной загрузки.  Сведения о событиях ошибок см. в разделе События обновления переменной безопасной загрузки DB и DBX. События ошибок обновляются с помощью дополнительных сведений о событиях для безопасной загрузки. 

Дополнительные изменения компонентов для безопасной загрузки 

В этом разделе

Изменения TPMTasks 

Измените TPMTasks, чтобы определить, имеет ли состояние устройства обновленные сертификаты безопасной загрузки. В настоящее время он может сделать это, но только в том случае, если CFR выберет компьютер для обновления. Это определение и последующее ведение журнала должно выполняться в каждом сеансе загрузки независимо от CFR. Если сертификаты безопасной загрузки не полностью обновлены, они будут выдавать два описанных выше события ошибок. Если сертификаты обновлены, они будут выдавать событие Information. Сертификаты безопасной загрузки, которые будут проверяться:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 и Microsoft Option ROM UEFI CA 2023 — эти два ЦС должны присутствовать только в том случае, если присутствует ЦС Microsoft UEFI 2011. Если microsoft UEFI CA 2011 отсутствует, проверка не требуется.

  • Microsoft Corporation KEK 2K CA 2023

Событие метаданных компьютера 

Это событие будет собирать метаданные компьютера и выдавать следующее событие:

  • Событие BucketId + Рейтинг достоверности   

Это событие будет использовать метаданные компьютера для поиска соответствующей записи в базе данных компьютеров (запись контейнера). Компьютер будет форматировать и выдавать событие с данными вместе с любыми сведениями о достоверности, касающимися контейнера. ​​​​​​​ 

Поддержка устройств с высоким уровнем уверенности 

Для устройств в контейнерах с высоким уровнем достоверности будут автоматически применяться сертификаты безопасной загрузки и подписанный диспетчер загрузки 2023.   

Обновление будет активировано одновременно с созданием двух событий ошибок, а событие BucketId + Confidence Rating содержит оценку высокой достоверности.   

Отказ

Для клиентов, которые хотят отказаться, новый раздел реестра будет доступен следующим образом:   

Расположение реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Название клавиши

HighConfidenceOptOut

Тип ключа

DWORD

Значение DWORD

0 или ключ не существует — включена поддержка с высоким уровнем достоверности.    

1 — поддержка с высоким уровнем доверия отключена   

Любое другое значение не определено   

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей