Vzťahuje sa na
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Pôvodný dátum publikovania: 14. októbra 2025

KB ID: 5068202

Tento článok obsahuje návod na:  

  • Organizácie so zariadeniami a aktualizáciami systému Windows spravovaných IT.

Dostupnosť tejto podpory:  

Kľúče Databázy Registry AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut a MicrosoftUpdateManagedOptIn sú súčasťou aktualizácií vydaných v nasledujúcich dátumoch alebo po týchto dátumoch:

  • 14. októbra 2025: Podporované verzie zahŕňajú Windows 10, verziu 22H2 a novšie verzie (vrátane 21H2 LTSC), všetky podporované verzie Windows 11, ako aj Windows Server 2022 a novšie verzie.

  • 11. novembra 2025: Verzie Windowsu sú stále podporované.

Zmeniť dátum

Zmeniť popis

4. novembra 2025

  • Na stránku sa pridal ešte jeden kľúč databázy Registry.

  • Opravili sme príkaz z "Napríklad, ak aktualizácia databázy (databáza dôveryhodných podpisov) zlyhala v dôsledku problému s firmvérom, tento kľúč databázy Registry môže zobrazovať kód chyby, ktorý možno priradiť k denníku udalostí alebo do dokumentu id chyby v" s textom "Napríklad, ak aktualizácia databázy (databázy dôveryhodných podpisov) zlyhala v dôsledku problému s firmvérom, tento kľúč databázy Registry môže zobrazovať kód chyby z firmvéru. Ak tento kľúč existuje a nie je nulový, odporúčame vyhľadať udalosti zabezpečeného spustenia v denníkoch udalostí systému Windows – ďalšie podrobnosti nájdete v téme (prepojenie).

  • Pridané dve samostatné cesty pre kľúče databázy Registry nižšie

11. novembra 2025

  • Aktualizoval sa odsek v časti Testovanie zariadenia pomocou kľúčov databázy Registry s ďalšími informáciami: Kľúč databázy Registry by sa mal rýchlo zmeniť na 0x4100. Reštartovanie a opätovné spustenie úlohy spôsobí aktualizáciu správcu spustenia a 0x0100 AvailableUpdates. Ďalšie podrobnosti o tom, ako sa správa funkcia AvailableUpdates, nájdete v téme Riešenie problémov.

  • Aktualizácia textu v sivom poli v časti Testovanie zariadenia pomocou kľúčov databázy Registry, aby ste mali dva ďalšie príkazy prostredia PowerShell

  • V časti Kľúče databázy Registry bola hodnota databázy Registry –MicrosoftUpdateManagedOptIn zmenená z možnosti 1 – Explicitný súhlas na hodnotu 1 alebo akúkoľvek nenulovú hodnotu – Prihlásiť sa

16. novembra 2025

Aktualizoval sa obsah v časti Testovanie zariadenia pomocou kľúčov databázy Registry. Hodnota dostupnej aktualizácie sa zmenila z "0x0100" na "0x4000".

V tomto článku

Úvod

Tento dokument popisuje podporu nasadenia, spravovania a monitorovania aktualizácií certifikátov zabezpečeného spustenia pomocou kľúčov databázy Registry systému Windows. Kľúče pozostávajú z týchto: 

  • Jeden kľúč na spustenie nasadenia certifikátov a správcu spúšťania v zariadení.

  • Dva kľúče na monitorovanie stavu nasadenia.

  • Dva kľúče na spravovanie nastavení explicitného nesúhlasu pre dvoch dostupných asistentov nasadenia.

Tieto kľúče databázy Registry možno nastaviť manuálne v zariadení alebo na diaľku prostredníctvom dostupného softvéru na správu vozového parku. Ďalšie metódy nasadenia, ako napríklad skupinová politika, Microsoft Intune a WinCS, sú popísané v článku Zariadenia s Windowsom pre podniky a organizácie s aktualizáciami spravovanými IT.  

Kľúče databázy Registry zabezpečeného spustenia

V tejto časti

Kľúče databázy Registry

Všetky nižšie popísané kľúče databázy Registry zabezpečeného spustenia sa nachádzajú pod touto cestou databázy Registry: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Nasledujúca tabuľka popisuje každú hodnotu databázy Registry:

Hodnota databázy Registry

Typ

Popis a používanie

Dostupné súhrny

REG_DWORD (bitová maska)

Aktualizovať príznaky spúšťača.

Určuje, ktoré akcie aktualizácie zabezpečeného spustenia sa majú vykonať v zariadení. Nastavením príslušného bitového poľa sa spustí nasadenie nových certifikátov zabezpečeného spustenia a súvisiacich aktualizácií. Pre podnikové nasadenie by to malo byť nastavené na 0x5944 (hex) – hodnotu, ktorá umožňuje všetky relevantné aktualizácie (pridanie nových certifikátov CA 2023, aktualizácia KEK a inštalácia nového správcu spúšťania). 

Nastavenia

  • 0 alebo nie je nastavená – nevykonáva sa žiadna aktualizácia kľúča zabezpečeného spustenia.

  • 0x5944 – Nasadenie všetkých potrebných certifikátov a aktualizácia PCA2023 podpísaného správcu spúšťania

HighConfidenceOptOut

REG_DWORD

Možnosť explicitného nesúhlasu.

Pre podniky, ktoré sa chcú odhlásiť zo sektorov s vysokou spoľahlivosťou, ktoré sa automaticky použijú ako súčasť LCU.

Tento kľúč môžete nastaviť na nenulovú hodnotu, aby ste explicitne nesúhlasili so sektormi s vysokou spoľahlivosťou. 

Nastavenia 

  • 0 alebo kľúč neexistuje – prihláste sa

  • 1 – Odhlásiť sa

MicrosoftUpdateManagedOptIn

REG_DWORD

Možnosť explicitného nesúhlasu.

Pre podniky, ktoré sa chcú prihlásiť k službe riadeného zavádzania funkcií (CFR), známu aj ako Microsoft Managed.

Okrem nastavenia tohto kľúča povoľte odosielanie požadovaných diagnostických údajov (pozrite si tému Konfigurácia diagnostických údajov Windowsu vo vašej organizácii). 

Nastavenia

  • 0 alebo kľúč neexistuje – odhlásenie

  • 1 alebo ľubovoľná nenulová hodnota  – prihlásiť sa

Všetky nižšie popísané kľúče databázy Registry zabezpečeného spustenia sa nachádzajú pod touto cestou databázy Registry: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Nasledujúca tabuľka popisuje každú hodnotu databázy Registry:

Hodnota databázy Registry

Typ

Popis a používanie

UEFICA2023Status

REG_SZ (reťazec)

Indikátor stavu nasadenia.

Odráža aktuálny stav aktualizácie kľúča zabezpečeného spustenia v zariadení. Nastaví sa na jednu z nasledujúcich textových hodnôt:

  • Nezačaté: Aktualizácia sa ešte nespustí.

  • InProgress: Aktualizácia aktívne prebieha.

  • Aktualizované: Aktualizácia sa úspešne dokončila.

Spočiatku je stav NotStarted. Po spustení aktualizácie sa zmení na InProgress a po nasadení všetkých nových kľúčov a nového správcu spustenia sa nakoniec aktualizuje. Ak sa vyskytne chyba, hodnota databázy Registry UEFICA2023Error sa nastaví na nenulový kód.

UEFICA2023Chyba

REG_DWORD (kód)

Kód chyby (ak existuje).

Táto hodnota zostane pri úspešnom úschove 0. Ak sa v procese aktualizácie vyskytne chyba, hodnota UEFICA2023Error je nastavená na nenulový kód chyby zodpovedajúci prvej chybe. Chyba na tomto mieste znamená, že aktualizácia zabezpečeného spustenia nebola úplne úspešná a môže vyžadovať skúmanie alebo nápravu v tomto zariadení.  

Ak napríklad aktualizácia databázy (databázy dôveryhodných podpisov) zlyhala v dôsledku problému s firmvérom, tento kľúč databázy Registry môže zobrazovať kód chyby z firmvéru. Ak tento kľúč existuje a nie je nulový, odporúčame vyhľadať udalosti zabezpečeného spustenia v denníkoch udalostí systému Windows – ďalšie podrobnosti nájdete v témach Secure Boot DB a DBX variable update events.

WindowsUEFICA2023Capable

REG_DWORD (kód)

Tento kľúč databázy Registry je určený pre obmedzené scenáre nasadenia a neodporúča sa na všeobecné použitie. Vo väčšine prípadov použite namiesto toho kľúč databázy Registry UEFICA2023Status.

Platné hodnoty:

0 – alebo kľúč neexistuje – certifikát Windows UEFI CA 2023 sa nenachádza v databáze

1 – Certifikát Windows UEFI CA 2023 sa nachádza v databáze

2 – Certifikát Windows UEFI CA 2023 sa nachádza v databáze a systém sa spúšťa od podpísaného správcu spúšťania v roku 2023

Ako tieto kľúče spolupracujú

Správcovia IT nakonfigurujú hodnotu databázy Registry AvailableUpdates na 0x5944, čo signalizuje, že Windows spustí aktualizáciu a inštaláciu kľúča zabezpečeného spustenia v zariadení.

Pri spustení procesu systém aktualizuje UEFICA2023Status z NotStarted na InProgress a nakoniec na možnosť Aktualizované po úspešnom spustení. Keďže každý bit v 0x5944 sa úspešne spracuje, vymaže sa.

Ak niektorý krok zlyhá, kód chyby sa zaznamená v UEFICA2023Error (a stav zostane InProgress).

Tento mechanizmus poskytuje správcom jasný spôsob spustenia a sledovania uvedenia na každé zariadenie. 

Nasadenie pomocou kľúčov databázy Registry 

Nasadenie do skupiny zariadení pozostáva z nasledujúcich krokov: 

  1. Nastavte hodnotu databázy Registry AvailableUpdates na 0x5944 v každom zariadení, ktoré sa má aktualizovať.

  2. Sledujte kľúče databázy Registry UEFICA2023Status a UEFICA2023Error a zistite, či zariadenia napredujú. Úloha, ktorá spracúva tieto aktualizácie, sa spúšťa každých 12 hodín. Všimnite si, že aktualizácia správcu spustenia sa môže vyskytnúť až po reštarte.

  3. Preskúmajte problémy, ak sa vyskytnú. Ak UEFICA2023Error nie je v zariadení nula, môžete skontrolovať udalosti súvisiace s týmto problémom v denníku udalostí. Úplný zoznam udalostí zabezpečeného spustenia nájdete v témach Secure Boot DB a DBX variable update events .

Poznámka o reštartovaní: Hoci na dokončenie procesu môže byť potrebný reštart, spustenie nasadenia aktualizácií zabezpečeného spustenia nespôsobí reštartovanie. Ak je potrebné reštartovať, nasadenie zabezpečeného spustenia závisí od reštartovania, ktoré prebieha ako bežný priebeh používania zariadenia. 

Testovanie zariadenia pomocou kľúčov databázy Registry 

Pri testovaní jednotlivých zariadení s cieľom zabezpečiť, aby zariadenia spracovávali aktualizácie správne, kľúče databázy Registry môžu byť jednoduchým spôsobom testovania. 

Ak chcete testovať, spustite každý z nasledujúcich príkazov oddelene od výzvy prostredia PowerShell správcu: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Manuálne reštartujte systém, keď sa funkcia AvailableUpdates 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Prvý príkaz inicializuje nasadenie správcu certifikátu a spustenia v zariadení. Druhý príkaz spôsobí, že úloha, ktorá spracuje kľúč databázy Registry AvailableUpdates , sa spustí okamžite. Zvyčajne sa úloha spúšťa každých 12 hodín. Kľúč databázy Registry by sa mal rýchlo zmeniť na 0x4100. Reštartovanie a opätovné spustenie úlohy spôsobí aktualizáciu správcu spustenia a 0x4000 AvailableUpdates. Ďalšie podrobnosti o tom, ako sa správa funkcia AvailableUpdates, nájdete v téme Riešenie problémov.

Výsledky nájdete sledovaním kľúčov databázy Registry UEFICA2023Status a UEFICA2023Error a denníkov udalostí, ako je popísané v udalostiach aktualizácie premenných Secure Boot DB a DBX

Explicitný súhlas a odhlásenie pre pomoc 

Kľúče databázy Registry HighConfidenceOptOut a MicrosoftUpdateManagedOptIn možno použiť na spravovanie dvoch "asistencií" nasadenia popísaných v zariadeniach s Windowsom s aktualizáciami spravovanými IT

  • Kľúč databázy Registry HighConfidenceOptOut ovláda automatickú aktualizáciu zariadení prostredníctvom kumulatívnych aktualizácií. V zariadeniach, v ktorých spoločnosť Microsoft zaznamenala úspešnú aktualizáciu konkrétnych zariadení, sa tieto zariadenia budú považovať za zariadenia s vysokou spoľahlivosťou a aktualizácie certifikátov zabezpečeného spustenia sa vykonajú automaticky. Predvolené nastavenie je explicitný súhlas.

  • Kľúč databázy Registry MicrosoftUpdateManagedOptIn umožňuje IT oddeleniam prihlásiť sa do automatického nasadenia spravovaného spoločnosťou Microsoft. Toto nastavenie je predvolene vypnuté a nastaví sa na 1 explicitný súhlas. Toto nastavenie tiež vyžaduje, aby zariadenie odosielal voliteľné diagnostické údaje.

Podporované verzie Windowsu

Táto tabuľka ďalej rozdeľuje podporu na základe kľúča databázy Registry. 

Kľúč 

Podporované verzie Windowsu 

Dostupné súhrny 

UEFICA2023Status 

UEFICA2023Chyba 

Všetky verzie Windowsu, ktoré podporujú zabezpečené spustenie (Windows Server 2012 a novšie verzie Systému Windows).  

Poznámka: Hoci sa údaje o spoľahlivosti zhromažďujú v Windows 10 verziách LTSC, 22H2 a novších verziách Windowsu, možno ich použiť na zariadenia spustené v starších verziách Windowsu.    

  • Windows 10, verzie LTSC a 22H2

  • Windows 11, verzie 22H2 a 23H2

  • Windows 11, verzia 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Udalosti chýb zabezpečeného spustenia

​​​​​​​​​​​​​​Udalosti chýb majú kritickú funkciu hlásenia na informovanie o stave a priebehu zabezpečeného spustenia.  Informácie o chybových udalostiach nájdete v témach Secure Boot DB a DBX variable update events. Chybové udalosti sa aktualizujú ďalšími informáciami o udalostiach pre zabezpečené spustenie. 

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania