Opomba
- Prvotni datum objave: 14. oktober 2025
- ID zbirke znanja: 5068202
Ta članek vsebuje navodila za:
- Organizacije z napravami s sistemom Windows in posodobitvami, ki jih upravlja IT.
Opomba
Razpoložljivost te podpore:
Registrski ključi so vključeni v posodobitve, izdane na ta datum ali pozneje:
11. novembra 2025: Za različice sistema Windows, ki so še vedno na voljo.
Dnevnik sprememb
| Spremeni datum | Spremeni opis |
|---|---|
| 20 marca, 2026 |
|
| Februarja 20, 2026 |
|
| 4 novembra, 2025 |
|
| 11 novembra, 2025 |
|
| 16 novembra, 2025 | Vsebina je bila posodobljena v razdelku »Preskušanje naprave z registrskimi ključi«. Vrednost posodobitve »Na voljo« je bila spremenjena iz »0x0100« v »0x4000«. |
V tem članku
Uvod
V tem dokumentu je opisana podpora za uvajanje, upravljanje in nadzor posodobitev potrdil za varni zagon z registrskimi ključi sistema Windows. Tipke so sestavljene iz naslednjega:
- En ključ za sprožitev uvajanja potrdil in upravitelja zagona v napravi.
- Dva ključa za spremljanje stanja uvajanja.
- Dva ključa za upravljanje nastavitev vključitve / zavrnitve za dve razpoložljivi pomoči za uvajanje.
Te registrske ključe lahko nastavite ročno v napravi ali na daljavo prek razpoložljive programske opreme za upravljanje voznega parka. Drugi načini uvajanja, kot so pravilnik skupine, Microsoft Intune in WinCS, so opisani v članku Naprave s sistemom Windows za podjetja in organizacije s posodobitvami, ki jih upravlja IT.
Registrski ključi varnega zagona
V tem razdelku
- Registrski ključi
- Kako te tipke delujejo skupaj
- Uvajanje z registrskimi ključi
- Preskušanje naprave z registrskimi ključi
- Prijava in zavrnitev pomoči
- Podprte različice sistema Windows
Registrski ključi
Vsi spodaj opisani registrski ključi varnega zagona so pod to registrsko potjo:
Opomba
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
V spodnji tabeli so opisane posamezne vrednosti registra:
| Vrednost registra | Vrsta | Opis in uporaba |
|---|---|---|
| Razpoložljive posodobitve | REG_DWORD (bitna maska) | Posodobite sprožilne zastavice. Nadzira, katera dejanja posodobitve varnega zagona naj se izvedejo v napravi. Če tukaj nastavite ustrezno bitno polje, se sproži uvajanje novih potrdil varnega zagona in povezanih posodobitev. Za uvajanje v podjetju mora biti to nastavljeno na 0x5944 (hex) – vrednost, ki omogoča vse ustrezne posodobitve (dodajanje novih potrdil CA 2023, posodobitev KEK in namestitev novega upravitelja zagona). Nastavitve:
|
| Zavrnitev visoke samozavesti | REG_DWORD | Možnost zavrnitve. Za podjetja, ki se želijo odločiti za skupino z visoko stopnjo zaupanja, ki se bo samodejno uporabila kot del LCU. Ta ključ lahko nastavite na vrednost, ki ni ničelna, da se odjavite od skupin z visoko stopnjo zaupanja. Nastavitve
|
| MicrosoftUpdateManagedOptIn | REG_DWORD | Možnost vključitve. Za podjetja, ki želijo privoliti v servisiranje s uvajanjem nadzorovanih funkcij (CFR), znano tudi kot Microsoft Managed. Poleg nastavitve tega ključa dovolite pošiljanje zahtevanih diagnostičnih podatkov (glejte Konfiguracija diagnostičnih podatkov sistema Windows v organizaciji). Nastavitve
|
| Razpoložljive posodobitvePravilnik | REG_DWORD (bitna maska) |
Samo za referenco – tega ključa ne posodabljajte prek registra. Ta ključ uporabljata pravilnik skupine in Intune za sporočanje dejanj, povezanih z varnim zagonom, sistemu Windows. Predstavlja pravilnik, ki ga je določil Intune ali pravilnik skupine. |
Vsi spodaj opisani registrski ključi varnega zagona so pod to registrsko potjo:
Opomba
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
V spodnji tabeli so opisane posamezne vrednosti registra:
| Vrednost registra | Vrsta | Opis in uporaba |
|---|---|---|
| UEFICA2023Status | REG_SZ (niz) | Indikator stanja uvajanja. Odraža trenutno stanje posodobitve ključa za varni zagon v napravi. Nastavljeno bo na eno od teh besedilnih vrednosti:
|
| UEFICA2023Error | REG_DWORD (koda) | Koda napake (če je na voljo). Ta vrednost ob uspehu ostane 0 . Če med postopkom posodobitve pride do napake, je UEFICA2023Error nastavljena na neničelno kodo napake, ki ustreza prvi zaznani napaki. Napaka pomeni, da posodobitev varnega zagona ni bila v celoti uspešna, zato bo morda potrebna preiskava ali popravek v tej napravi. Če na primer posodobitev zbirke podatkov zaupanja vrednih podpisov ni uspela zaradi težave z vdelano programsko opremo, lahko registrski ključ prikaže kodo napake iz vdelane programske opreme. Če obstaja ključ in njegova vrednost ni nič, priporočamo, da poiščete dogodke varnega zagona v dnevnikih dogodkov sistema Windows – za več podrobnosti glejte Dogodki posodobitve spremenljivke DB varnega zagona in DBX . |
| UEFICA2023ErrorEvent | REG_DWORD (koda) | UEFICA2023ErrorEvent določa ID dogodka, ki ga je sistem Windows uporabil za poročanje o napaki, povezani z uporabo posodobitev varnega zagona vmesnika Windows UEFI CA 2023. Ta vrednost je povezana z registrskim ključem UEFICA2023Error in se izpolni, ko je ta ključ nastavljen, kar pomeni, da je sistem Windows med poskusom uporabe posodobitve varnega zagona naletel na napako. Ko se to zgodi, Windows zabeleži ustrezen dogodek varnega zagona, ki je dokumentiran na javni strani Dogodki posodobitve spremenljivke DB in DBX, kjer so navedene dodatne podrobnosti o tem, zakaj posodobitve ni bilo mogoče dokončati in kakšno dejanje je morda potrebno. |
| WindowsUEFICA2023Capable | REG_DWORD (koda) | Samo za referenco – tega ključa ne uporabljajte, ko pridobivate stanje posodobitev varnega zagona. Namesto tega uporabite ključ UEFICA2023Status. Ta registrski ključ je namenjen za omejene scenarije uvedbe in ga ne priporočamo za splošno uporabo. Veljavne vrednosti: 0 – ali ključ ne obstaja – potrdila »Windows UEFI CA 2023« ni v zbirki podatkov 1 – potrdilo »Windows UEFI CA 2023« je v zbirki podatkov 2 – potrdilo »Windows UEFI CA 2023« je v zbirki podatkov in sistem se zažene s podpisanim upraviteljem zagona 2023 |
| BucketHash | REG_SZ (niz) | BucketHash prepozna vedro uvajanja, ki je napravi dodeljeno v okviru uvedbe potrdila za varni zagon. Vrednost je razpršitev, izpeljana iz značilnosti naprave in se uporablja za združevanje naprav s podobnimi atributi vdelane programske opreme in platforme za postopno uvajanje in upravljanje tveganja. To je ista zgoščena vrednost vedra, ki se pojavi v dogodkih za določeno napravo, dokumentiranih na strani z dogodki posodobitve spremenljivke DB varnega zagona in DBX , kar skrbnikom omogoča, da povežejo stanje registra z vnosi v dnevnik dogodkov in razumejo, kako je naprava tarča med postopkom posodobitve varnega zagona. |
| ConfidenceLevel | REG_SZ (niz) | ConfidenceLevel označuje oceno zaupanja, povezano z vedrom uvedbe varnega zagona v napravi. Ta vrednost ustreza vrednosti BucketConfidenceLevel, ki jo sistem Windows dodeli napravi na podlagi opazovanega vedenja posodabljanja v podobnih konfiguracijah strojne opreme in vdelane programske opreme. Ista raven zaupanja je vključena v dogodke za posamezne naprave, ki so dokumentirani na strani z dogodki posodobitve spremenljivke DB varnega zagona in DBX , kar skrbnikom omogoča, da povežejo vrednost registra z vnosi v dnevnik dogodkov. Če želite več podrobnosti o možnih vrednostih za ta ključ, glejte opise dogodkov v dnevniku dogodkov za določeno napravo. |
Kako te tipke delujejo skupaj
Skrbniki za IT konfigurirajo vrednost registra AvailableUpdates na 0x5944, kar signalizira sistemu Windows, da izvede posodobitev ključa Secure Boot in namestitev v napravi.
Med izvajanjem postopka se sistem posodobi stanje UEFICA2023Status iz stanja NotStarted v InProgress in na koncu v Updated upon successful. Ko je vsak bit v 0x5944 uspešno obdelan, je počistil.
Če kateri od korakov ne uspe, se v UEFICA2023Error prikaže koda napake (stanje pa se še naprej izvaja).
Ta mehanizem skrbnikom omogoča jasen način za sprožitev in sledenje uvedbe na napravo.
Uvajanje z registrskimi ključi
Uvajanje v skupino naprav je sestavljeno iz teh korakov:
- Vrednost registra AvailableUpdates nastavite na 0x5944 v vsaki napravi, ki jo želite posodobiti.
- Spremljajte registrska ključa UEFICA2023Status in UEFICA2023Error , da vidite, ali naprave napredujejo. Opravilo, ki obdela te posodobitve, se zažene vsakih 12 ur. Upoštevajte, da se posodobitev upravitelja zagona morda zgodi šele po vnovičnem zagonu.
- Raziščite težave, če do njih pride. Če je vrednost UEFICA2023Error v napravi neničelna, lahko preverite dnevnik dogodkov za dogodke, ki so povezani s to težavo. Celoten seznam dogodkov varnega zagona najdete v razdelku o dogodkih posodobitve spremenljivke DB za varni zagon .
Opomba o ponovnih zagonih: Čeprav bo za dokončanje postopka morda potreben vnovični zagon, začetek uvajanja posodobitev varnega zagona ne bo povzročil ponovnega zagona. Če je potreben vnovični zagon, je uvedba varnega zagona odvisna od vnovičnih zagonov, ki so običajni način uporabe naprave.
Preskušanje naprave z registrskimi ključi
Ko preskušate posamezne naprave in zagotovite, da bodo posodobitve obdelale pravilno, lahko preprosto preizkusite registrske ključe.
Za preskus zaženite vsakega od spodnjih ukazov ločeno od skrbniškega poziva PowerShell:
Opomba
- reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
- Start-ScheduledTask -taskname "\Microsoft\Windows\PI\Secure-boot-update"
- Ročno znova zaženite sistem, ko so razpoložljive posodobitve 0x4100
- Start-ScheduledTask -taskname "\Microsoft\Windows\PI\Secure-boot-update"
Prvi ukaz sproži uvedbo potrdila in upravitelja zagona v napravi. Z drugim ukazom se opravilo, ki obdela registrski ključ AvailableUpdates , zažene takoj. Običajno se opravilo zažene vsakih 12 ur. Registrski ključ bi se moral hitro spremeniti v 0x4100. Če znova zaženete in zaženete opravilo, se posodobi upravitelj zagona, razpoložljive posodobitve pa postanejo 0x4000. Če želite več podrobnosti o tem, kako deluje ponudba AvailableUpdates, si oglejte razdelek »Odpravljanje težav«.
Rezultate lahko najdete tako, da upoštevate registrska ključa UEFICA2023Status in UEFICA2023Error ter dnevnike dogodkov, kot je opisano v dogodkih posodobitve spremenljivke DB Secure Boot DB.
Privolitev v sodelovanje in odjava iz asistenc
Registrska ključa HighConfidenceOptOut in MicrosoftUpdateManagedOptIn lahko uporabite za upravljanje dveh »pomoči« pri uvajanju, ki sta opisana v napravah s sistemom Windows s posodobitvami, ki jih upravlja IT.
- Registrski ključ HighConfidenceOptOut nadzoruje samodejno posodobitev naprav prek zbirnih posodobitev. Naprave, v katerih je Microsoft zaznal uspešno posodobitev določenih naprav, bodo obravnavane kot naprave z visoko stopnjo zaupanja, posodobitve potrdil za varni zagon pa bodo izvedene samodejno. Privzeta nastavitev je privolitev v sodelovanje.
- Registrski ključ MicrosoftUpdateManagedOptIn omogoča oddelkom za IT, da privolijo v samodejno uvajanje, ki ga upravlja Microsoft. Ta nastavitev je privzeto onemogočena in je nastavljena na 1 možnost privolitve v sodelovanje. Ta nastavitev zahteva tudi, da naprava pošilja izbirne diagnostične podatke.
Podprte različice sistema Windows
V tej tabeli je podrobneje razčlenjena podpora na podlagi registrskega ključa.
| Tipka | Podprte različice sistema Windows |
|---|---|
|
AvailableUpdates UEFICA2023Status UEFICA2023Error |
Vse različice sistema Windows, ki podpirajo varni zagon (Windows Server 2012 in novejše različice sistema Windows). Opomba: Medtem ko se podatki o zanesljivosti zbirajo za Windows 10, različice LTSC, 22H2 in novejše različice sistema Windows, jih je mogoče uporabiti v napravah, v katerih se izvajajo starejše različice sistema Windows.
|
| HighConfidenceOptOut | |
| MicrosoftUpdateManagedOptIn |
Dogodki napake varnega zagona
Dogodki napak imajo kritično funkcijo poročanja, ki obvešča o stanju varnega zagona in napredku. Če želite več informacij o dogodkih napake, glejte Secure Boot DB in dogodki posodobitve spremenljivke DBX. Dogodki napake se posodabljajo z dodatnimi informacijami o dogodkih za varni zagon.