Vzťahuje sa na
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Pôvodný dátum publikovania: 14. októbra 2025

KB ID: 5068202

Tento článok obsahuje návod na:  

  • Organizácie so zariadeniami a aktualizáciami systému Windows spravovaných IT.

Dostupnosť tejto podpory:  

  • Kľúče Databázy Registry AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut a MicrosoftUpdateManagedOptIn sú súčasťou aktualizácií vydaných v nasledujúcich dátumoch alebo po týchto dátumoch:

    • 14. októbra 2025: Podporované verzie zahŕňajú Windows 10, verziu 22H2 a novšie verzie (vrátane 21H2 LTSC), všetky podporované verzie Windows 11, ako aj Windows Server 2022 a novšie.

    • 11. novembra 2025: Pre verzie Windowsu je podpora stále podporovaná.

V tomto článku

Úvod

Tento dokument popisuje podporu nasadenia, spravovania a monitorovania aktualizácií certifikátov zabezpečeného spustenia pomocou kľúčov databázy Registry systému Windows. Kľúče pozostávajú z týchto: 

  • Jeden kľúč na spustenie nasadenia certifikátov a správcu spúšťania v zariadení.

  • Dva kľúče na monitorovanie stavu nasadenia.

  • Dva kľúče na spravovanie nastavení explicitného nesúhlasu s explicitným súhlasom pre dve dostupné asistentky nasadenia.

Tieto kľúče databázy Registry možno nastaviť manuálne v zariadení alebo na diaľku prostredníctvom dostupného softvéru na správu vozového parku. Ďalšie metódy nasadenia, ako napríklad skupinová politika, Intune a WinCS, sú popísané v článku Zariadenia s Windowsom pre podniky a organizácie s aktualizáciami spravovanými IT.  

Kľúče databázy Registry zabezpečeného spustenia

V tejto časti

Kľúče databázy Registry

Všetky kľúče databázy Registry zabezpečeného spustenia popísané v tomto dokumente sa nachádzajú pod touto cestou databázy Registry: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Nasledujúca tabuľka popisuje každú hodnotu databázy Registry. 

Hodnota databázy Registry

Typ

Popis používania &

Dostupné súhrny

REG_DWORD (bitová maska)

Aktualizovať príznaky spúšťača.

Určuje, ktoré akcie aktualizácie zabezpečeného spustenia sa majú vykonať v zariadení. Nastavením príslušného bitového poľa sa spustí nasadenie nových certifikátov zabezpečeného spustenia a súvisiacich aktualizácií. Pre podnikové nasadenie by to malo byť nastavené na 0x5944 (hex) – hodnotu, ktorá umožňuje všetky relevantné aktualizácie (pridanie nových certifikátov CA 2023, aktualizácia KEK a inštalácia nového správcu spúšťania). 

Nastavenia: 

  • 0 alebo nie je nastavená – nevykonáva sa žiadna aktualizácia kľúča zabezpečeného spustenia.

  • 0x5944 – Nasadenie všetkých potrebných certifikátov a aktualizácia PCA2023 podpísaného správcu spúšťania

UEFICA2023Status

REG_SZ (reťazec)

Indikátor stavu nasadenia.

Odráža aktuálny stav aktualizácie kľúča zabezpečeného spustenia v zariadení. Nastaví sa na jednu z nasledujúcich textových hodnôt:

  • Nezačané:Aktualizácia sa ešte nespustí.

  • InProgress:Aktualizácia sa aktívne vykonáva.

  • Aktualizovaný: Aktualizácia sa úspešne dokončila.

Spočiatku je stav NotStarted. Po spustení aktualizácie sa zmení na InProgress a po nasadení všetkých nových kľúčov a nového správcu spustenia sa nakoniec aktualizuje. Ak sa vyskytne chyba, hodnota databázy Registry UEFICA2023Error sa nastaví na nenulový kód.

UEFICA2023Chyba

REG_DWORD (kód)

Kód chyby (ak existuje).

Táto hodnota zostane pri úspešnom úschove 0. Ak sa v procese aktualizácie vyskytne chyba, hodnota UEFICA2023Error je nastavená na nenulový kód chyby zodpovedajúci prvej chybe. Chyba na tomto mieste znamená, že aktualizácia zabezpečeného spustenia nebola úplne úspešná a môže vyžadovať skúmanie alebo nápravu v tomto zariadení.  

Ak napríklad aktualizácia databázy (databázy dôveryhodných podpisov) zlyhala v dôsledku problému s firmvérom, tento kľúč databázy Registry môže zobrazovať kód chyby, ktorý možno priradiť k denníku udalostí alebo zdokumentovanému IDENTIFIKÁCII chyby v udalostiach aktualizácie databázy zabezpečeného spustenia a aktualizácie premenných DBX

HighConfidenceOptOut

REG_DWORD

Možnosť explicitného nesúhlasu.

Pre podniky, ktoré sa chcú odhlásiť zo sektorov s vysokou spoľahlivosťou, ktoré sa automaticky použijú ako súčasť LCU.

Tento kľúč môžete nastaviť na nenulovú hodnotu, aby ste explicitne nesúhlasili so sektormi s vysokou spoľahlivosťou. 

Nastavenia 

  • 0 alebo kľúč neexistuje – prihlásenie

  • 1 – Prihlásenie

MicrosoftUpdateManagedOptIn

REG_DWORD

Možnosť explicitného nesúhlasu.

Pre podniky, ktoré sa chcú prihlásiť k službe riadeného zavádzania funkcií (CFR), známu aj ako Microsoft Managed.

Okrem nastavenia tohto kľúča povoľte odosielanie požadovaných diagnostických údajov (pozrite si tému Konfigurácia diagnostických údajov Windowsu vo vašej organizácii). 

Nastavenia

  • 0 alebo kľúč neexistuje – odhlásenie

  • 1 – Prihlásenie

Ako tieto kľúče spolupracujú

Správca IT nakonfiguruje hodnotu databázy Registry AvailableUpdates na 0x5944, čo signalizuje, že Windows spustí aktualizáciu a inštaláciu kľúča zabezpečeného spustenia v zariadení.

Pri spustení procesu systém aktualizuje UEFICA2023Status z NotStarted na InProgress a nakoniec na možnosť Aktualizované po úspešnom spustení. Keďže každý bit v 0x5944 sa úspešne spracuje, vymaže sa.

Ak niektorý krok zlyhá, kód chyby sa zaznamená v UEFICA2023Error (a stav zostane InProgress).

Tento mechanizmus poskytuje správcom jasný spôsob spustenia a sledovania uvedenia na každé zariadenie. 

Nasadenie pomocou kľúčov databázy Registry 

Nasadenie do skupiny zariadení pozostáva z nasledujúcich krokov: 

  1. Nastavte hodnotu databázy Registry AvailableUpdates na 0x5944 v každom zariadení, ktoré sa má aktualizovať.

  2. Sledujte kľúče databázy Registry UEFICA2023Status a UEFICA2023Error a zistite, či zariadenia napredujú. Nezabudnite, že úloha, ktorá spracúva tieto aktualizácie, sa spúšťa raz za 12 hodín. Všimnite si, že aktualizácia správcu spustenia sa môže vyskytnúť až po reštarte.

  3. Preskúmajte problémy, ak sa vyskytnú. Ak UEFICA2023Error nie je v zariadení nula, môžete skontrolovať udalosti súvisiace s týmto problémom v denníku udalostí. Úplný zoznam udalostí zabezpečeného spustenia nájdete v témach Secure Boot DB a DBX variable update events .

Poznámka o reštartovaní: Hoci na dokončenie procesu môže byť potrebný reštart, spustenie nasadenia aktualizácií zabezpečeného spustenia nespôsobí reštartovanie. Ak je potrebné reštartovať, nasadenie zabezpečeného spustenia závisí od reštartovania, ktoré prebieha ako bežný priebeh používania zariadenia. 

Testovanie zariadenia pomocou kľúčov databázy Registry 

Pri testovaní jednotlivých zariadení s cieľom zabezpečiť, aby zariadenia spracovávali aktualizácie správne, kľúče databázy Registry môžu byť jednoduchým spôsobom testovania. 

Ak chcete testovať, spustite každý z nasledujúcich príkazov oddelene od výzvy prostredia PowerShell správcu: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Prvý príkaz inicializuje nasadenie správcu certifikátu a spustenia v zariadení. Druhý príkaz spôsobí, že úloha, ktorá spracuje kľúč databázy Registry AvailableUpdates , sa spustí okamžite. Zvyčajne sa úloha spúšťa každých 12 hodín. 

Výsledky nájdete sledovaním kľúčov databázy Registry UEFICA2023Status a UEFICA2023Error a denníkov udalostí, ako je popísané v udalostiach aktualizácie premenných Secure Boot DB a DBX

Prihlásenie a odhlásenie pre pomoc 

Kľúče databázy Registry HighConfidenceOptOut a MicrosoftUpdateManagedOptIn možno použiť na spravovanie dvoch "asistencií" nasadenia popísaných v zariadeniach s Windowsom s aktualizáciami spravovanými IT

  • Kľúč databázy Registry HighConfidenceOptOut ovláda automatickú aktualizáciu zariadení prostredníctvom kumulatívnych aktualizácií. V zariadeniach, v ktorých spoločnosť Microsoft zaznamenala úspešnú aktualizáciu konkrétnych zariadení, sa tieto zariadenia budú považovať za zariadenia s vysokou spoľahlivosťou a aktualizácie certifikátov zabezpečeného spustenia sa vykonajú automaticky. Predvolené nastavenie pre tento explicitný súhlas.

  • Kľúč databázy Registry MicrosoftUpdateManagedOptIn umožňuje IT oddeleniam prihlásiť sa do automatického nasadenia spravovaného spoločnosťou Microsoft. Toto nastavenie je predvolene vypnuté a nastaví sa na 1 explicitný súhlas. Toto nastavenie tiež vyžaduje, aby zariadenie odosielal voliteľné diagnostické údaje.

Podporované verzie Windowsu

Táto tabuľka ďalej rozdeľuje podporu na základe kľúča databázy Registry. 

Kľúč 

Podporované verzie Windowsu 

Dostupné súhrny 

UEFICA2023Status 

UEFICA2023Chyba 

Všetky verzie Windowsu, ktoré podporujú zabezpečené spustenie (Windows Server 2012 a novšie verzie Systému Windows).  

Nota: Hoci sa údaje o spoľahlivosti zhromažďujú v Windows 10 verziách LTSC, 22H2 a novších verziách Windowsu, možno ich použiť na zariadenia spustené v starších verziách Windowsu.    

  • Windows 10, verzie LTSC a 22H2

  • Windows 11, verzie 22H2 a 23H2

  • Windows 11, verzia 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Udalosti chýb zabezpečeného spustenia

​​​​​​​​​​​​​​Udalosti chýb majú kritickú funkciu hlásenia na informovanie o stave a priebehu zabezpečeného spustenia.  Informácie o chybových udalostiach nájdete v témach Secure Boot DB a DBX variable update events. Chybové udalosti sa aktualizujú ďalšími informáciami o udalostiach pre zabezpečené spustenie. 

Ďalšie zmeny súčastí pre zabezpečené spustenie 

V tejto časti

Zmeny úloh modulu TPM 

Upravte úlohy modulu TPM a zistite, či stav zariadenia obsahuje aktualizované certifikáty zabezpečeného spustenia. V súčasnosti môže vykonať toto stanovenie, ale len vtedy, ak CFR vyberie počítač na aktualizáciu. Toto určenie a následné zapisovanie do denníka by sa malo uskutočniť v každej relácii spustenia bez ohľadu na CFR. Ak certifikáty zabezpečeného spustenia nie sú úplne aktuálne, vyžarujú dve vyššie popísané chybové udalosti. Ak sú certifikáty aktuálne, vyžarujú udalosť Information. Certifikáty zabezpečeného spustenia, ktoré sa skontrolujú, sú:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 a Microsoft Option ROM UEFI CA 2023 – tieto dva CA musia byť prítomné iba vtedy, ak je prítomný Microsoft UEFI CA 2011. Ak nie je k dispozícii microsoft UEFI CA 2011, nie je potrebná žiadna kontrola.

  • Microsoft Corporation KEK 2K CA 2023

Udalosť metaúdajov počítača 

Táto udalosť zhromaždí metaúdaje počítača a vydá nasledujúcu udalosť:

  • BucketId + Udalosť hodnotenia spoľahlivosti   

Táto udalosť použije metaúdaje počítača na vyhľadanie zodpovedajúcej položky v databáze počítačov (položka sektora). Zariadenie naformátuje a vyžaruje udalosť s touto údajmi spolu s informáciami o spoľahlivosti týkajúcich sa sektora. ​​​​​​​ 

Vysoko sebavedomá pomoc so zariadením 

V prípade zariadení s vysokou spoľahlivosťou sa automaticky použijú certifikáty zabezpečeného spustenia a správca spúšťania podpísaný verziou 2023.   

Aktualizácia sa spustí v rovnakom čase ako sa vygenerujú dve chybové udalosti a udalosť BucketId + Confidence Rating obsahuje hodnotenie vysokej spoľahlivosti.   

Odhlásiť sa

Pre zákazníkov, ktorí sa chcú odhlásiť, bude nový kľúč databázy Registry k dispozícii takto:   

Umiestnenie databázy Registry

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Názov klávesu

HighConfidenceOptOut

Typ kľúča

DWORD

Hodnota DWORD

0 alebo kľúč neexistuje – podpora vysokej spoľahlivosti je povolená.    

1 – Pomoc s vysokou spoľahlivosťou je vypnutá   

Iná hodnota nie je definovaná   

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania