Vzťahuje sa na
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Pôvodný dátum publikovania: 19. marca 2026

IDENTIFIKÁCIA DATABÁZY KB: 5085046

V tomto článku

Prehľad

Táto stránka obsahuje sprievodcov správcami a pracovníkmi technickej podpory pri diagnostike a riešení problémov týkajúcich sa zabezpečeného spustenia v zariadeniach s Windowsom. Témy zahŕňajú zlyhania aktualizácie certifikátu zabezpečeného spustenia, nesprávne stavy zabezpečeného spustenia, neočakávané výzvy na obnovenie šifrovania BitLocker a zlyhania spustenia po zmenách konfigurácie zabezpečeného spustenia.

Sprievodný materiál vysvetľuje, ako overiť údržbu a konfiguráciu Systému Windows, kontrolovať príslušné hodnoty databázy Registry a denníky udalostí a identifikovať, kedy obmedzenia firmvéru alebo platformy vyžadujú aktualizáciu OEM. Tento obsah je určený na diagnostiku problémov v existujúcich zariadeniach. Nie je určený na plánovanie nových nasadení. Tento dokument sa aktualizuje, keď sa identifikujú nové scenáre a sprievodný materiál k riešeniu problémov.

Späť na začiatok

Ako funguje služba certifikátu zabezpečeného spustenia

Služba certifikátu zabezpečeného spustenia vo Windowse je koordinovaný proces medzi operačným systémom a firmvérom UEFI zariadenia. Cieľom je aktualizovať ukotvenia kritickej dôveryhodnosti a zároveň zachovať možnosť spustenia v každej fáze.

Tento proces je poháňaný plánovanou úlohou Windowsu, sekvenciou akcií aktualizácie založenou na databáze Registry a vstavaným správaním zapisovania do denníka a opakovania. Tieto súčasti spoločne zabezpečia, aby sa certifikáty zabezpečeného spustenia a správca spúšťania systému Windows aktualizovali kontrolovaným, zoradeným spôsobom a až po úspešnom vykonaní nevyhnutných krokov.

Späť na začiatok

Kde začať pri riešení problémov

Keď sa zdá, že zariadenie neočakáva pokrok pri používaní aktualizácií certifikátu zabezpečeného spustenia, začnite identifikovaním kategórie problému. Väčšina problémov sa nachádza v jednej zo štyroch oblastí: stav údržby systému Windows, mechanizmus aktualizácie zabezpečeného spustenia, správanie firmvéru alebo obmedzenie platformy alebo OEM.

Začnite s kontrolami nižšie v poradí. V mnohých prípadoch sú tieto kroky dostatočné na vysvetlenie pozorovaného správania a určenie ďalších akcií bez hlbšieho skúmania.

  1. Potvrďte oprávnenie na údržbu a platformu systému Windows

    1. ​​​​​​​Overte, či zariadenie spĺňa základné požiadavky na prijímanie aktualizácií certifikátu zabezpečeného spustenia:

    2. V zariadení je spustená podporovaná verzia Windowsu.

    3. Nainštalujú sa najnovšie požadované aktualizácie zabezpečenia systému Windows.

    4. Secure Boot is enabled in UEFI firmware.

    5. Ak niektorá z týchto podmienok nie je splnená, pred pokračovaním v riešení problémov ich vyriešte.

  2. Overenie stavu úlohy secure-boot-update

    1. Potvrďte prítomnosť a fungovanie mechanizmu systému Windows zodpovedného za používanie aktualizácií certifikátov zabezpečeného spustenia:

    2. Naplánovaná úloha secure-boot-update existuje.

    3. Úloha je povolená a spúšťa sa ako lokálny systém.

    4. Od nainštalovania najnovšej aktualizácie zabezpečenia systému Windows sa úloha spustila aspoň raz.

    5. Ak je úloha vypnutá, odstránená alebo nie je spustená, nie je možné použiť aktualizácie certifikátu zabezpečeného spustenia. Riešenie problémov by sa malo zamerať na obnovenie úlohy pred skúmaním ďalších príčin.

  3. Kontrola očakávanej pokroku v nastaveniach databázy Registry

    Skontrolujte stav údržby zabezpečeného spustenia zariadenia v databáze Registry:

    1. Preskúmajte UEFICA2023Status, UEFICA2023Error a UEFICA2023ErrorEvent.

    2. Preskúmajte availableUpdates a porovnajte ju s očakávaným priebehom (pozri referenčné a interné).

    Tieto hodnoty spoločne označujú, či údržba napreduje normálne, opakuje operáciu alebo či je v konkrétnom kroku zastavená.

  4. Korelácia stavu databázy Registry s udalosťami zabezpečeného spustenia

    Skontrolujte udalosti týkajúce sa zabezpečeného spustenia v denníku udalostí systému a korelujte ich so stavom databázy Registry. Údaje o udalosti zvyčajne potvrdzujú, či zariadenie napreduje, opakuje pokus z dôvodu prechodnej podmienky alebo zablokovaný problémom s firmvérom alebo platformou.

    Spoločne denníky databázy Registry a udalostí zvyčajne označujú, či sa správanie očakáva, je dočasné alebo vyžaduje nápravnú akciu.

Späť na začiatok

Naplánovaná úloha secure-boot-update

Služba certifikátu zabezpečeného spustenia sa implementuje prostredníctvom plánovanej úlohy systému Windows s názvom Secure-Boot-Update. Úloha je zaregistrovaná na nasledujúcej ceste:

\Microsoft\Windows\PI\Secure-Boot-Update

Úloha sa spustí ako lokálny systém. Predvolene sa spúšťa pri spustení systému a potom každých 12 hodín. Pri každom spustení skontroluje, či akcie aktualizácie zabezpečeného spustenia čakajú, a pokúsi sa ich použiť v postupnosti.

Ak je táto úloha vypnutá alebo chýba, nie je možné použiť aktualizácie certifikátu zabezpečeného spustenia. Úloha Secure-Boot-Update musí zostať povolená, aby fungovala služba zabezpečeného spustenia.

Späť na začiatok

Prečo sa používa naplánovaná úloha

Aktualizácie certifikátov zabezpečeného spustenia vyžadujú koordináciu medzi windowsom a firmvérom UEFI vrátane zapisovania premenných UEFI, ktoré ukladajú kľúče a certifikáty zabezpečeného spustenia. Naplánovaná úloha umožňuje Windowsu pokúsiť sa o tieto aktualizácie, keď je systém v stave, v ktorom je možné upraviť premenné firmvéru.

Opakovaný 12-hodinový plán poskytuje ďalšie príležitosti na zopakovanie aktualizácií v prípade zlyhania predchádzajúceho pokusu alebo ak zariadenie zostalo zapnuté bez reštartovania. Tento návrh pomáha zabezpečiť pokrok vpred bez nutnosti manuálneho zásahu.

Späť na začiatok

Bitová maska databázy Registry AvailableUpdates

Úloha Secure-Boot-Update je riadená hodnotou databázy Registry AvailableUpdates . Táto hodnota je 32-bitová bitová maska umiestnená v:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Každý bit v hodnote predstavuje konkrétnu akciu aktualizácie zabezpečeného spustenia. Proces aktualizácie sa začína, keď je hodnota AvailableUpdates nastavená na nenulovú hodnotu, buď automaticky systémom Windows, alebo explicitne správcom. Napríklad hodnota, ako je napríklad 0x5944 , označuje, že čakajú viaceré akcie aktualizácie.

Keď sa spustí úloha Secure-Boot-Update, interpretuje nastavené bity ako čakajúce práce a spracúva ich v definovanom poradí.

Späť na začiatok

Sekvenčné aktualizácie, zapisovanie do denníka a opakovanie procesu

Aktualizácie certifikátu zabezpečeného spustenia sa použijú v pevnom poradí. Každá akcia aktualizácie je navrhnutá tak, aby bola bezpečná, aby sa opakovala a dokončila nezávisle od seba. Úloha Secure-Boot-Update neprejde na ďalší krok, kým aktuálna akcia neuspeje a jej príslušný bit sa vymaže z funkcie AvailableUpdates.

Každá operácia používa štandardné rozhrania UEFI na aktualizáciu premenných zabezpečeného spustenia, ako sú napríklad DB a KEK, alebo na inštaláciu aktualizovaného správcu spúšťania systému Windows. Windows zaznamená výsledok každého kroku v denníku udalostí systému. Udalosti úspechu potvrdzujú priebeh preposlania, zatiaľ čo udalosti zlyhania označujú, prečo sa akcia nedala dokončiť.

Ak krok aktualizácie zlyhá, úloha sa prestane spracovávať, zaznamená chybu a ponechá priradenú bitovú množinu. Operácia sa zopakuje pri ďalšom spustení úlohy. Toto správanie opätovného procesu umožňuje zariadeniam automaticky sa zotaviť z dočasných podmienok, ako je napríklad chýbajúca podpora firmvéru alebo oneskorené aktualizácie OEM.

Správcovia môžu sledovať priebeh koreláciou stavu databázy Registry s položkami denníka udalostí. Hodnoty databázy Registry, ako napríklad UEFICA2023Status, UEFICA2023Error a UEFICA2023ErrorEvent, spolu s bitovou maskou AvailableUpdates označujú, ktorý krok je aktívny, dokončený alebo zablokovaný.

Táto kombinácia zobrazuje, či zariadenie napreduje normálne, opakuje operáciu alebo či je zastavené.

Späť na začiatok

Integrácia s firmvérom OEM

Aktualizácie certifikátu zabezpečeného spustenia závisia od správneho správania a podpory firmvéru UEFI zariadenia. Hoci Windows organizuje proces aktualizácie, firmvér je zodpovedný za vynucovanie politiky zabezpečeného spustenia a údržbu databáz zabezpečeného spustenia.

OEM poskytujú dva dôležité prvky, ktoré umožňujú údržbu certifikátu zabezpečeného spustenia:

  • Kľúč platformy – kľúče KEK podpísané podpisom, ktoré povoľujú inštaláciu nových certifikátov zabezpečeného spustenia.

  • Implementácie firmvéru, ktoré správne zachovávajú, pripájajú a overujú databázy zabezpečeného spustenia počas aktualizácií.

Ak firmvér tieto správanie plne nepodporuje, aktualizácie zabezpečeného spustenia sa môžu zastaviť, zopakovať pokus na neurčito alebo spôsobiť zlyhania spustenia. V takýchto prípadoch windows nemôže dokončiť aktualizáciu bez zmien firmvéru.

Spoločnosť Microsoft spolupracuje s OEM na identifikácii problémov s firmvérom a sprístupnení opravených aktualizácií. Keď riešenie problémov označuje obmedzenie firmvéru alebo chybu, správcovia možno budú musieť nainštalovať najnovšiu aktualizáciu firmvéru UEFI poskytnutú výrobcom zariadenia predtým, ako sa úspešne dokončí aktualizácia certifikátu zabezpečeného spustenia.

Späť na začiatok

Bežné scenáre zlyhania a riešenia

Aktualizácie zabezpečeného spustenia sa používajú v naplánovanej úlohe služby Secure-Boot-Update na základe stavu databázy Registry AvailableUpdates .

Za normálnych podmienok sa tieto kroky vyskytujú automaticky a zaznamenávajú udalosti úspechu po dokončení každej etapy. V niektorých prípadoch môže správanie firmvéru, konfigurácia platformy alebo predpoklady údržby zabrániť priebehu alebo viesť k neočakávanému správaniu spustenia.

Nižšie uvedené časti popisujú najbežnejšie scenáre zlyhania, spôsob ich rozpoznania, dôvod ich výskytu a príslušné ďalšie kroky na obnovenie normálnej prevádzky. Scenáre sa zoraďujú od prípadov, ktoré sa najčastejšie vyskytujú, až po závažnejšie prípady, ktoré majú vplyv na spustenie.

Keď aktualizácie zabezpečeného spustenia nezobrazujú žiadny priebeh, zvyčajne to znamená, že proces aktualizácie sa nikdy nespustil. Výsledkom je, že očakávané hodnoty databázy Registry zabezpečeného spustenia a denníky udalostí chýbajú, pretože mechanizmus aktualizácie sa nikdy nespustil.

Čo sa stalo

Proces aktualizácie zabezpečeného spustenia sa nespustí, preto sa v zariadení nepoužili žiadne certifikáty zabezpečeného spustenia ani aktualizovaný správca spúšťania.

Ako ho rozpoznať

  • Nie sú prítomné žiadne hodnoty databázy Registry služby zabezpečeného spustenia, napríklad UEFICA2023Status.

  • Očakávané udalosti zabezpečeného spustenia (napríklad 1043, 1044, 1045, 1799, 1801) chýbajú v denníku systémových udalostí.

  • Zariadenie naďalej používa staršie certifikáty zabezpečeného spustenia a súčasti spúšťania.

Prečo sa to stane

Tento scenár sa zvyčajne vyskytuje, keď je pravdivá jedna alebo viacero z nasledujúcich podmienok:

  • Naplánovaná úloha secure-boot-update je vypnutá alebo chýba.

  • Secure Boot is disabled in UEFI firmware.

  • Zariadenie nespĺňa požiadavky na údržbu Systému Windows, ako je napríklad spustenie podporovanej verzie Windowsu alebo nainštalované požadované aktualizácie.

Čo ďalej

  • Overte, či zariadenie spĺňa požiadavky na servis a platformu Windowsu.

  • Potvrďte, že vo firmvéri je zapnuté zabezpečené spustenie.

  • Skontrolujte, či naplánovaná úloha SecureBootUpdate existuje a či je povolená.

Ak je naplánovaná úloha vypnutá alebo chýba, postupujte podľa pokynov v časti Plánovaná úloha zabezpečeného spustenia zakázaná alebo odstránená a obnovte ju. Po obnovení úlohy reštartujte zariadenie alebo spustite úlohu manuálne a spustite údržbu zabezpečeného spustenia.

V niektorých prípadoch môžu aktualizácie týkajúce sa zabezpečeného spustenia spôsobiť, že zariadenie prejde na obnovenie šifrovania BitLocker. Správanie môže byť prechodné alebo trvalé, v závislosti od základnej príčiny.

Scenár 1: Obnovenie onetime bitlocker po aktualizácii zabezpečeného spustenia

Čo sa stane

Zariadenie prejde na obnovenie šifrovania BitLocker pri prvom spustení po aktualizácii zabezpečeného spustenia, ale spúšťa sa normálne pri následných reštartoch.

Prečo sa to stane

Počas prvého spustenia po aktualizácii firmvér zatiaľ neoznámi aktualizované hodnoty zabezpečeného spustenia, keď sa Windows pokúsi o opätovné spustenie šifrovania BitLocker. To spôsobuje dočasnú nezhodu v nameraných hodnotách spustenia a spúšťa obnovenie. Pri ďalšom spustení firmvér správne nahlási aktualizované hodnoty, funkcia BitLocker úspešne prehodnotí a problém sa neopakuje.

Ako ho rozpoznať

  • Obnovenie šifrovania BitLocker sa vykoná raz.

  • Po zadaní kľúča na obnovenie, následné topánky nevyzývajte na obnovenie.

  • Nie je prítomná žiadna prebiehajúca objednávka spustenia ani zapojenie PXE.

Čo ďalej

  • Ak chcete obnoviť Windows, zadajte kľúč na obnovenie šifrovania BitLocker.

  • Vyhľadajte aktualizácie firmvéru.

Scenár 2: Opakované obnovenie šifrovania BitLocker z dôvodu konfigurácie prvého spustenia PXE

Čo sa stane

Zariadenie prejde na obnovenie šifrovania BitLocker pri každom spustení.

Prečo sa to stane

Zariadenie je nakonfigurované tak, aby sa najskôr pokúsilo o spustenie PXE (siete). Pokus o spustenie systému PXE zlyhá a firmvér sa potom vráti späť do správcu spúšťania systému Windows na disku.

Výsledkom je meranie dvoch rôznych podpisovacích orgánov počas jedného cyklu spúšťania:

  • Cesta spustenia PXE je podpísaná knižnicou Microsoft UEFI CA 2011.

  • Správca spúšťania systému Windows na disku je podpísaný rozhraním Windows UEFI CA 2023.

Keďže funkcia BitLocker počas spúšťania pozoruje rôzne reťazce dôveryhodnosti zabezpečeného spustenia, nemôže vytvoriť stabilnú množinu meraní modulu TPM, proti ktorým by sa znovu priradila. Výsledkom je, že funkcia BitLocker prejde na obnovenie pri každom spustení.

Ako ho rozpoznať

  • Obnovenie šifrovania BitLocker sa spustí pri každom reštarte.

  • Zadaním kľúča na obnovenie sa windows spustí, ale výzva sa vráti pri ďalšom spustení.

  • Spustenie PXE alebo siete je nakonfigurované pred lokálnym diskom v poradí spustenia firmvéru.

Čo ďalej

  • Nakonfigurujte poradie spustenia firmvéru tak, aby bol najskôr správca spustenia systému Windows na disku.

  • Vypnite spúšťanie PXE, ak to nie je povinné.

  • Ak sa vyžaduje PXE, uistite sa, že infraštruktúra PXE používa zavádzací nakladač systému Windows podpísaný 2023.

Čo sa stalo

Odráža to zmenu na úrovni firmvéru namiesto problému s Windowsom. Aktualizácia zabezpečeného spustenia sa úspešne dokončila, ale po neskoršom reštarte sa zariadenie prestane spúšťať do Windowsu.

Ako ho rozpoznať

  • Zariadenie nespustí Windows a môže zobraziť firmware alebo BIOS hlásenie označujúce porušenie zabezpečeného spustenia.

  • K zlyhaniu dochádza po obnovení nastavení zabezpečeného spustenia na predvolené hodnoty firmvéru.

  • Vypnutie zabezpečeného spustenia môže umožniť opätovné spustenie zariadenia.

Prečo sa to stane

Obnovenie predvoleného nastavenia zabezpečeného spustenia firmvéru vymaže databázy zabezpečeného spustenia uložené vo firmvéru. V zariadeniach, ktoré už prešli na správcu spúšťania systému Windows UEFI s podpisom CA 2023, sa týmto resetom odstránia certifikáty potrebné na dôverovanie tomuto správcovi spúšťania.

V dôsledku toho už firmvér nerozpoznáva nainštalovaného správcu spustenia systému Windows ako dôveryhodného a blokuje proces spustenia.

Tento scenár nie je spôsobený samotnou aktualizáciou zabezpečeného spustenia, ale následnou akciou firmvéru, ktorá odstraňuje aktualizované ukotvenia dôveryhodnosti.

Čo ďalej

  • Na obnovenie požadovaného certifikátu použite pomôcku na obnovenie zabezpečeného spustenia, aby zariadenie bolo možné spustiť znova.

  • Po obnovení skontrolujte, či má zariadenie nainštalovaný najnovší dostupný firmvér od výrobcu zariadenia.

  • Nenastavujte predvolené nastavenia zabezpečeného spustenia firmvéru, pokiaľ firmvér OEM neobsahuje aktualizované predvolené hodnoty zabezpečeného spustenia, ktoré sú dôveryhodné pre certifikáty 2023.

Pomôcka na obnovenie zabezpečeného spustenia

Obnovenie systému:

  1. V druhom počítači s Windowsom s nainštalovanou aktualizáciou pre Júl 2024 alebo novšou aktualizáciou systému Windows skopírujte súbor SecureBootRecovery.efi z priečinka C:\Windows\Boot\EFI\.

  2. Umiestnite súbor na USB kľúč vo formáte FAT32 v časti \EFI\BOOT\ a premenujte ho na bootx64.efi.

  3. Spustite ovplyvnené zariadenie z USB kľúča a povoľte spustenie nástroja na obnovenie. Pomôcka pridá windows UEFI CA 2023 do databázy.

Po obnovení certifikátu a reštartovaní systému by sa windows mal spustiť normálne.

Dôležité: Tento proces znova použije len jeden z nových certifikátov. Po obnovení zariadenia sa uistite, že má znova získané najnovšie certifikáty, a zvážte aktualizáciu systému BIOS/UEFI na najnovšiu dostupnú verziu. Môže to pomôcť zabrániť opakovaniu problému s obnovením zabezpečeného spustenia, keďže mnohé OEM vydali opravy firmvéru pre tento konkrétny problém.

Čo sa stalo

Po použití aktualizácie certifikátu zabezpečeného spustenia a reštartovaní sa zariadenie nepodarí spustiť a nedosiahne windows.

Ako ho rozpoznať

  • Zariadenie zlyhá ihneď po reštarte požadovanom aktualizáciou zabezpečeného spustenia.

  • Môže sa zobraziť chyba firmvéru alebo zabezpečeného spustenia, alebo sa systém môže zastaviť pred načítaním systému Windows.

  • Vypnutie zabezpečeného spustenia môže umožniť spustenie zariadenia.

Prečo sa to stane

Tento problém môže spôsobovať chyba implementácie firmvéru UEFI zariadenia.

Keď Systém Windows použije aktualizácie certifikátov zabezpečeného spustenia, očakáva sa, že firmvér pripojí nové certifikáty do existujúcej databázy povolených podpisov zabezpečeného spustenia. Niektoré implementácie firmvéru nesprávne prepíšu databázu namiesto toho, aby sa k nej pripojili.

Keď k tomu dôjde,

  • Predtým dôveryhodné certifikáty, vrátane certifikátu zavádzacieho stroja Microsoft 2011, sa odstránia.

  • Ak systém stále používa správcu spúšťania, ktorý bol v tom čase podpísaný certifikátom 2011, firmvér mu už nedôveruje.

  • Firmvér odmietne správcu spustenia a blokuje proces spustenia.

V niektorých prípadoch sa databáza môže tiež poškodiť, nie prepísať čisto, čo vedie k rovnakému výsledku. Toto správanie bolo pozorované na konkrétnych implementáciách firmvéru a neočakáva sa v kompatibilom firmvéri.

Čo ďalej

  • Zadajte ponuky nastavenia firmvéru a pokúste sa obnoviť nastavenia zabezpečeného spustenia.

  • Ak sa zariadenie po resetovaní obnoví, skontrolujte na lokalite technickej podpory výrobcu zariadenia aktualizáciu firmvéru, ktorá opravuje spracovanie databázy zabezpečeného spustenia.

  • Ak je k dispozícii aktualizácia firmvéru, nainštalujte ju pred opätovným povolením zabezpečeného spustenia a opätovným vykonaním aktualizácií certifikátov zabezpečeného spustenia.

Ak obnovenie funkcie zabezpečeného spustenia neobnoví funkčnosť spustenia, ďalšie obnovenie pravdepodobne vyžaduje sprievodný materiál špecifický pre OEM.

Čo sa stalo

Aktualizácia certifikátu zabezpečeného spustenia sa nedokončila a zostáva blokovaná vo fáze aktualizácie kľúča Exchange (KEK).

Ako ho rozpoznať

  • Hodnota databázy Registry AvailableUpdates zostane nastavená s bitom KEK (0x0004) a nevymaže sa.

  • Stav UEFICA2023Status neposunie do dokončeného stavu.

  • Denník systémových udalostí opakovane zaznamenáva IDENTIFIKÁCIU udalosti 1803, čo znamená, že aktualizáciu KEK sa nepodarilo použiť.

  • Zariadenie bude pokračovať v opakovaní aktualizácie bez toho, aby sa dosiahol pokrok vpred.

Prečo sa to stane

Aktualizácia protokolu KEK zabezpečeného spustenia vyžaduje oprávnenie od kľúča platformy zariadenia (PK), ktorý vlastní OEM.

Ak má byť aktualizácia úspešná, výrobca zariadenia musí spoločnosti Microsoft poskytnúť kód KEK podpísaný technológiou PK pre danú konkrétnu platformu. Tento KEK podpísaný OEM je súčasťou aktualizácií Windowsu a umožňuje Windowsu aktualizovať premennú KEK firmvéru.

Ak OEM neposkytol KEK pre zariadenie podpísaný technológiou PK, Windows nemôže dokončiť aktualizáciu KEK. V tomto stave:

  • Aktualizácie zabezpečeného spustenia sú predvolene blokované.

  • Systém Windows nemôže obísť chýbajúce oprávnenie.

  • Zariadenie nemôže natrvalo dokončiť údržbu certifikátu zabezpečeného spustenia.

Môže sa to vyskytnúť v starších alebo nepodporovaných zariadeniach, kde OEM už neposkytuje aktualizácie firmvéru alebo kľúča. Pre túto podmienku neexistuje žiadna podporovaná manuálna cesta obnovenia.

Späť na začiatok

Keď sa aktualizácie certifikátu zabezpečeného spustenia nepoužijú, Windows zaznamená diagnostické udalosti, ktoré vysvetľujú, prečo bol priebeh zablokovaný. Tieto udalosti sa píšu pri aktualizácii databázy podpisu zabezpečeného spustenia (DB) alebo kľúča Exchange kľúčov (KEK) nie je možné bezpečne dokončiť z dôvodu firmvéru, stavu platformy alebo podmienok konfigurácie. Scenáre v tejto časti odkazujú na tieto udalosti, aby identifikovali bežné vzory zlyhania a určili vhodnú nápravu. Táto časť je určená na podporu diagnostiky a interpretácie problémov popísaných vyššie, nie na zavedenie nových scenárov zlyhania.

Úplný zoznam ID udalostí, popisov a vzorových položiek nájdete v témach Secure Boot DB a DBX variable update events (KB5016061).

Zlyhanie aktualizácie KEK (aktualizácie databázy sú úspešné, KEK nie)

Zariadenie môže úspešne aktualizovať certifikáty v databáze zabezpečeného spustenia, ale počas aktualizácie KEK zlyhá. V takom prípade nie je možné dokončiť proces aktualizácie zabezpečeného spustenia.

Príznaky

  • Udalosti certifikátu DB označujú priebeh, ale fáza KEK nie je dokončená.

  • Funkcia AvailableUpdates zostane nastavená na 0x4004 a 0x0004 bit sa po spustení viacerých úloh nevymaže.

  • Udalosť 1795 alebo 1803 môže byť prítomná.

Výklad

  • 1795 zvyčajne označuje zlyhanie firmvéru pri pokuse o aktualizáciu premennej zabezpečeného spustenia.

  • 1803 označuje, že aktualizáciu KEK nie je možné povoliť, pretože požadovaná údajová časť KEK podpísaná OEM PK nie je pre platformu k dispozícii.

Ďalšie kroky

  • Pre rok 1795 skontrolujte aktualizácie firmvéru OEM a overte podporu firmvéru pre aktualizácie premenných zabezpečeného spustenia.

  • V roku 1803 potvrďte, či OEM poskytol spoločnosti Microsoft KEK s podpisom PK požadovaným pre model zariadenia.

Zlyhanie aktualizácie KEK v hosťovských virtuálnych počítačoch hosťovaných v Hyper-V 

Vo virtuálnych počítačoch Hyper-V vyžadujú aktualizácie certifikátov zabezpečeného spustenia aktualizácie windowsu z marca 2026, ktoré sa majú nainštalovať do hostiteľa Hyper-V aj hosťovského OS.

Zlyhania aktualizácie sa hlásia v rámci hosťa, ale udalosť označuje, kde sa vyžaduje náprava:

  • Udalosť 1795 (napríklad "The media is write-protected" (Médiá sú chránené proti zápisu) hlásená v hosťe označuje, že hostiteľ Hyper-V chýba v aktualizácii z marca 2026 a musí sa aktualizovať.

  • Udalosť 1803 hlásená u hosťa označuje, že samotný virtuálny počítač hosťa chýba v aktualizácii z marca 2026 a musí byť aktualizovaný.

Späť na začiatok 

Referencia a interné údaje

Táto časť obsahuje rozšírené referenčné informácie určené na riešenie problémov a podporu. Nie je určená na plánovanie nasadenia. Rozširuje o secure boot servisné mechaniky zhrnuté skôr a poskytuje podrobný referenčný materiál pre interpretáciu registra stavu a denníky udalostí.

Poznámka (nasadenia spravované IT): Pri konfigurácii prostredníctvom skupinová politika alebo Microsoft Intune by si dve podobné nastavenia nemali mýliť. Hodnota AvailableUpdatesPolicy predstavuje nakonfigurovaný stav politiky. AvailableUpdates medzitým odráža stav práce prebiehajúceho odstraňovania bitov. Oba spôsoby môžu viesť k rovnakému výsledku, ale správajú sa inak, pretože politika sa v priebehu času opakovane uplatňuje.

Späť na začiatok 

AvailableUpdates bits used for certificate servicing

Nižšie uvedené bity sa používajú pre akcie správcu certifikátov a spustenia popísané v tomto dokumente. Stĺpec Poradie odráža postupnosť, v ktorej úloha Secure-Boot-Update spracúva každý bit.

Objednávka

Nastavenie bitov

Spotreba

1

0x0040

Tento bit informuje plánovanú úlohu o pridaní certifikátu Windows UEFI CA 2023 do databázy zabezpečeného spustenia. To umožňuje systému Windows dôverovať správcom spúšťania podpísaným týmto certifikátom.

2

0x0800

Tento bit informuje plánovanú úlohu, aby v databáze použila microsoft Option ROM UEFI CA 2023.  

Podmienené správanie: Keď je nastavený príznak 0x4000 , naplánovaná úloha najskôr skontroluje databázu certifikátu Microsoft Corporation UEFI CA 2011 . Certifikát Microsoft Option ROM UEFI CA 2023 sa použije iba vtedy, ak je prítomný certifikát 2011.

3

0x1000

Tento bit informuje plánovanú úlohu, aby v databáze použila ca 2023 Microsoft UEFI CA 2023.

Podmienené správanie: Keď je nastavený príznak 0x4000 , naplánovaná úloha najskôr skontroluje databázu certifikátu Microsoft Corporation UEFI CA 2011 . Certifikát Microsoft UEFI CA 2023 sa použije iba vtedy, ak je prítomný certifikát 2011.

Modifikátor (príznak správania)

0x4000

Tento bit upraví správanie 0x0800 a 0x1000 bitov tak, aby sa použili Microsoft UEFI CA 2023 a Microsoft Option ROM UEFI CA 2023 iba v prípade, že databáza už obsahuje Microsoft Corporation UEFI CA 2011  Aby sa zaistilo, že profil zabezpečenia zariadenia zostane rovnaký, tento bit použije tieto nové certifikáty len vtedy, ak zariadenie dôveruje certifikátu Microsoft Corporation UEFI CA 2011. Tento certifikát nie sú dôveryhodné vo všetkých zariadeniach s Windowsom.

4

0x0004

Tento bit informuje naplánovanú úlohu, aby vyhľadala kľúč Exchange s kľúčom podpísaným kľúčom platformy zariadenia (PK). PK spravuje OEM. Správcovia OEM podpisujú Microsoft KEK so svojou súpravou PK a doručujú ju spoločnosti Microsoft, kde je zahrnutá v mesačných kumulatívnych aktualizáciách.

5

0x0100

Tento bit informuje plánovanú úlohu, aby v oblasti spúšťania použila správcu spustenia podpísaný rozhraním Windows UEFI CA 2023. Týmto sa nahradí podpísaný správca spustenia systému Microsoft Windows Production PCA 2011.

Poznámky:

  • Po spracovaní všetkých ostatných bitov zostane 0x4000 bit nastavený.

  • Každý bit spracuje naplánovaná úloha secure-boot-update v poradí uvedenom vyššie.

  • Ak 0x0004 bit nie je možné spracovať z dôvodu chýbajúceJ KEK podpísanej PK, naplánovaná úloha bude aj naďalej používať aktualizáciu správcu spustenia označenú bitovou 0x0100.

Späť na začiatok 

Očakávaný priebeh (AvailableUpdates)

Po úspešnom dokončení operácie Windows vymaže priradený bit z lokality AvailableUpdates. Ak operácia zlyhá, Windows zaznamená udalosť a pokusy pri opätovnom spustení úlohy.

Nasledujúca tabuľka zobrazuje očakávaný priebeh hodnôt AvailableUpdates pri dokončení každej akcie aktualizácie zabezpečeného spustenia.

Krok

Bitová spracovanie

Dostupné Aktualizácie

Popis

Zaznamenaná udalosť úspechu

Možné kódy udalostí chyby

Štart

0x5944

Počiatočný stav pred začatím údržby certifikátu zabezpečeného spustenia.

-

-

1

0x0040

0x5944 → 0x5904

Windows UEFI CA 2023 sa pridá do databázy zabezpečeného spustenia.

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

Pridajte Microsoft Option ROM UEFI CA 2023 do databázy, ak zariadenie predtým dôverovalo Microsoft UEFI CA 2011.

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

Microsoft UEFI CA 2023 sa pridá do databázy, ak zariadenie predtým dôverovalo Microsoft UEFI CA 2011.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

Použije sa nový Microsoft KEK 2K CA 2023 podpísaný kľúčom platformy OEM.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

Nainštaluje sa Správca spustenia podpísaný rozhraním Windows UEFI CA 2023.

1799

1797

Poznámky

  • Po úspešnom dokončení operácie priradenej k bitu sa tento bit vymaže z lokality AvailableUpdates.

  • Ak niektorá z týchto operácií zlyhá, udalosť sa zapíše do denníka a operácia sa zopakuje pri ďalšom spustení naplánovanej úlohy.

  • Bit 0x4000 je modifikátor a nie je vymazaný. Konečná hodnota AvailableUpdates 0x4000 označuje úspešné dokončenie všetkých príslušných akcií aktualizácie.

  • Udalosti 1032, 1795, 1796, 1802 zvyčajne označujú obmedzenia firmvéru alebo platformy.

  • Udalosť 1803 označuje chýbajúcu KEK podpísanú OEM PK.

Späť na začiatok 

Opravné postupy

Táto časť obsahuje podrobné postupy na nápravu konkrétnych problémov so zabezpečeným spúšťaním. Každý postup je zameraný na dobre definovanú podmienku a má sa dodržiavať až po potvrdení počiatočnej diagnózy, že sa problém vzťahuje. Pomocou týchto postupov obnovte očakávané správanie zabezpečeného spustenia a umožnite bezpečne pokračovať v aktualizáciách certifikátov. Tieto postupy neuplatňujte všeobecne ani preventívne.

Späť na začiatok

Povolenie zabezpečeného spustenia vo firmvéri

Ak je vo firmvéri zariadenia vypnuté zabezpečené spustenie, podrobnosti o povolení zabezpečeného spustenia nájdete v téme Windows 11 a zabezpečeného spustenia.

Späť na začiatok

Úloha naplánovaného zabezpečeného spustenia je vypnutá alebo odstránená

Na to, aby systém Windows použil aktualizácie certifikátov zabezpečeného spustenia, sa vyžaduje naplánovaná úloha secure-boot-update . Ak je úloha vypnutá alebo chýba, nebude prebiehať údržba certifikátu zabezpečeného spustenia.

Podrobnosti o úlohe

Názov úlohy

Secure-Boot-Update

Cesta k úlohe

\Microsoft\Windows\PI\

Úplná cesta

\Microsoft\Windows\PI\Secure-Boot-Update

Spúšťa sa ako

SYSTEM (lokálny systém)

Spúšťače

Pri spustení a každých 12 hodín

Požadovaný stav

Povolené

Kontrola stavu úlohy

Spustenie z výzvy prostredia PowerShell bez oprávnení: schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Vyhľadajte pole Stav:

Stav

Zmysle

Pripravený

Úloha existuje a je povolená.

Zakázané

Úloha existuje, ale musí byť povolená.

Chyba/nenašla sa

Úloha chýba a musí sa znova vytvoriť.

Povolenie alebo opätovné vytvorenie úlohy

Ak je stavové pole pre secure-boot-update zakázané, chybové alebo nenašlo, použite vzorový skript na povolenie úlohy: Ukážka Enable-SecureBootUpdateTask.ps1

Poznámka: Toto je vzorový skript a spoločnosť Microsoft ho nepodporuje. Správcovia by ho mali skontrolovať a prispôsobiť svojmu prostrediu.

Príklad:

.\Enable-SecureBootUpdateTask.ps1 -Quiet

Pokyny na spustenie

  • Ak sa vám prístup odmietol, znova spustite prostredie PowerShell ako správca.

  • Ak sa skript nespustí z dôvodu politiky spustenia, použite obídenie rozsahu procesu:

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass

Späť na začiatok 

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania