Velja za
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Izvirni objavljeni datum: 14. oktober 2025

ID zbirke znanja: 5068202

V tem članku so navodila za:  

  • Organizacije z napravami in posodobitvami sistema Windows, ki jih upravlja IT.

Razpoložljivost te podpore:  

  • AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut in MicrosoftUpdateManagedOptIn registrski ključi so vključeni v posodobitve, izdane na ali po teh datumih:

    • 14. oktober 2025: Podprte različice vključujejo Windows 10, različico 22H2 in novejše različice (vključno z 21H2 LTSC), vse podprte različice brskalnika Windows 11 ter Windows Server 2022 in novejše.

    • 11. november 2025: za različice sistema Windows, ki so še vedno podprte.

V tem članku

Uvod

V tem dokumentu je opisana podpora za uvajanje, upravljanje in nadzorovanje posodobitev potrdil varnega zagona z registrski ključi sistema Windows. Tipke so sestavljene iz: 

  • En ključ za sprožitev uvajanja potrdil in upravitelja zagona v napravi.

  • Dva ključa za nadzorovanje stanja uvedbe.

  • Dva ključa za upravljanje nastavitev za privolitev/zavrnitev za dve pomoči pri uvajanju, ki sta na voljo.

Te registrske ključe je mogoče nastaviti ročno v napravi ali oddaljeno z razpoložljivo programsko opremo za upravljanje flote. Drugi načini uvajanja, na primer pravilnik skupine, Intune in WinCS, so opisani v članku Naprave s sistemom Windows za podjetja in organizacije s posodobitvami, ki jih upravlja IT.  

Registrski ključi varnega zagona

V tem razdelku

Registrski ključi

Vsi registrski ključi za varni zagon, opisani v tem dokumentu, so pod to potjo registra: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

V spodnji tabeli so opisane vse vrednosti registra. 

Vrednost registra

Vrsta

Opis & uporabe

Na voljoPošiljanja

REG_DWORD (bitna preslikava)

Posodobite zastavice sprožilca.

Nadzoruje, katera dejanja posodobitve varnega zagona naj se izvajajo v napravi. Če nastavite ustrezno bitno polje, s tem sprožite uvedbo novih potrdil za varni zagon in povezanih posodobitev. Za uvajanje v podjetjih mora biti ta nastavitev nastavljena na 0x5944 (šestnajstiško) – vrednost, ki omogoča vse ustrezne posodobitve (dodajanje novih potrdil overilja digitalnih potrdil za leto 2023, posodobitev KEK-ja in namestitev novega upravitelja zagona). 

Nastavitve vklopite tako: 

  • 0 or not set - No Secure Boot key update are performed.

  • 0x5944 – Uvedi vsa potrebna potrdila in posodobi v PCA2023 upravitelja zagona

UEFICA2023Status

REG_SZ (niz)

Indikator stanja uvajanja.

Odraža trenutno stanje posodobitve ključa za varni zagon v napravi. Nastavljena bo na eno od teh besedilnih vrednosti:

  • NotStarted:Posodobitev se še ni zagnala.

  • Izhod:Posodobitev se aktivno izvaja.

  • Posodobljene: Posodobitev je bila uspešno dokončana.

Na začetku je stanje »NotStarted«. Ko se posodobitev začne, se spremeni v InProgress, na koncu pa na Posodobljeno, ko so uvedene vse nove tipke in novi upravitelj zagona. Če pride do napake, je vrednost registra UEFICA2023Error nastavljena na neničelno kodo.

UEFICA2023Napaka

REG_DWORD (koda)

Koda napake (če je na voljo).

Ta vrednost ostane 0 na uspehu. Če pri postopku posodobitve pride do napake, je UEFICA2023Napaka nastavljena na neničelno kodo napake, ki ustreza prvi napaki, do katere je prišlo. Napaka v tem razdelku pomeni, da posodobitev varnega zagona ni bila v celoti uspešna in lahko zahteva preiskavo ali popravek v tej napravi.  

Če na primer posodabljanje zbirke podatkov (zbirke podatkov zaupanja vrednih podpisov) ni uspelo zaradi težave z vdelano programsko opremo, lahko ta registrski ključ prikaže kodo napake, ki jo je mogoče preslikati v dnevnik dogodkov ali dokumentiran ID napake v dogodkih posodobitve spremenljivk varnega zagona DB in DBX

HighConfidenceOptOut

REG_DWORD

Možnost zavrnitve soglasja.

Za podjetja, ki želijo zavrniti sodelovanje pri vedrih z visokim zaupanjem, ki bodo samodejno uporabljena kot del LCU.

Ta ključ lahko nastavite na vrednost, ki ni ničelna, če se želite odjaviti od veder z visoko stopnjo zaupanja. 

Nastavitve 

  • 0 ali pa ključ ne obstaja – privolitev v sodelovanje

  • 1 – Privolitev v sodelovanje

MicrosoftUpdateManagedOptIn

REG_DWORD

Možnost za privolitev v sodelovanje.

Za podjetja, ki želijo privoliti v servisiranje nadzorovanih posodobitev funkcij (CFR), ki se imenuje tudi Microsoftovo upravljano.

Poleg nastavitve tega ključa omogočite pošiljanje zahtevanih diagnostičnih podatkov (glejte Konfiguracija diagnostičnih podatkov sistema Windows v vaši organizaciji). 

Nastavitve

  • 0 ali pa ključ ne obstaja – zavrnitev

  • 1 – Privolitev v sodelovanje

Kako ti tipki delujeta skupaj

Skrbnik za IT konfigurira registrsko vrednost AvailableUpdates tako, da 0x5944, kar pomeni, da Windows izvede posodobitev ključa za varni zagon in namestitev v napravo.

Ko se postopek izvaja, sistem posodobi UEFICA2023Status iz NotStarted v InProgress, in na koncu na Posodobljeno ob uspehu. Ko je vsak bit 0x5944 obdelan, je počiščen.

Če kateri od korakov ne uspe, se v UEFICA2023Error zabeleži koda napake (stanje pa ostane »InProgress«).

Ta mehanizem skrbnikom omogoča jasen način za sprožitev in sledenje izdaje na napravo. 

Uvajanje z registrski ključi 

Uvajanje v skupino naprav je sestavljeno iz teh korakov: 

  1. Nastavite vrednost registra AvailableUpdates na 0x5944 v vsaki napravi, ki jo želite posodobiti.

  2. Spremljajte registrska ključa UEFICA2023Status in UEFICA2023Error , da preverite, ali naprave napredujejo. Ne pozabite, da se opravilo, ki obdela te posodobitve, zažene enkrat na 12 ur. Posodobitev upravitelja zagona se lahko zgodi šele po ponovnem zagonu.

  3. Raziščite težave, če se pojavijo. Če UEFICA2023Error v napravi ni nič, lahko v dnevniku dogodkov preverite, ali so v dnevniku dogodkov dogodki, povezani s to težavo. Celoten seznam dogodkov varnega zagona najdete v člankih Dogodki posodobitve spremenljivih posodobitev za varni zagon DB in DBX.

Opomba o ponovnih zagonih: Za dokončanje postopka bo morda potreben vnovični zagon, uvedba posodobitev varnega zagona pa ne bo povzročila ponovnega zagona. Če je potreben vnovični zagon, uvajanje varnega zagona temelji na ponovnih zagonih, ki se dogajajo med običajno uporabo naprave. 

Preskušanje naprave z registrski ključi 

Pri preskušanju posameznih naprav za zagotavljanje, da bodo naprave pravilno obdelala posodobitve, so lahko registrski ključi preprost način za preskušanje. 

Če želite preskusiti, zaženite vsakega od teh ukazov ločeno od poziva skrbnika PowerShell: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

S prvim ukazom sprožite uvedbo potrdila in upravitelja zagona v napravi. Drugi ukaz povzroči, da se opravilo, ki obdela registrski ključ AvailableUpdates , takoj zažene. Običajno se opravilo zažene vsakih 12 ur. 

Rezultate lahko poiščete tako, da spremljate registrske ključe UEFICA2023Status in UEFICA2023Error ter dnevnike dogodkov, kot je opisano v člankih Dogodki posodobitve za spremenljivo posodobitev za varni zagon DB in DBX

Privolitev v sodelovanje in zavrnitev pomoči 

Z registrskima ključema HighConfidenceOptOut in MicrosoftUpdateManagedOptIn lahko upravljate dve izdaji »pomoči«, ki sta opisani v napravah s sistemom Windows s posodobitvami za IT

  • Registrski ključ HighConfidenceOptOut nadzira samodejno posodobitev naprav prek zbirnih posodobitev. Za naprave, v katerih je Microsoft uspešno posodobil določene naprave, bodo obravnavane kot naprave z visoko stopnjo zanesljivosti in posodobitve potrdil za varni zagon se bodo izvajale samodejno. Privzeta nastavitev za to privolitev v sodelovanje.

  • Registrski ključ MicrosoftUpdateManagedOptIn oddelkom za IT omogoča, da privolijo v samodejno uvedbo, ki jo upravlja Microsoft. Ta nastavitev je privzeto onemogočena in jo nastavite na 1 privolitev v sodelovanje. Ta nastavitev zahteva tudi, da naprava pošlje izbirne diagnostične podatke.

Podprte različice sistema Windows

V tej tabeli je dodatno razčlenjena podpora, ki temelji na registrskem ključu. 

Ključ 

Podprte različice sistema Windows 

Na voljoPošiljanja 

UEFICA2023Status 

UEFICA2023Napaka 

Vse različice sistema Windows, ki podpirajo varni zagon (Windows Server 2012 in novejše različice sistema Windows).  

Opomba: Podatki o zanesljivosti so zbrani v sistemu Windows 10 različicah LTSC, 22H2 in novejših različicah sistema Windows, vendar pa jih lahko uporabite v napravah s starejšimi različicami sistema Windows.    

  • Windows 10, različici LTSC in 22H2

  • Windows 11, različici 22H2 in 23H2

  • Windows 11, različica 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Dogodki napake varnega zagona

​​​​​​​​​​​​​​Dogodki napake imajo pomembno funkcijo poročanja, ki obvešča o stanju varnega zagona in napredku.  Če želite več informacij o dogodkih napake, glejte Dogodki posodobitve spremenljivih dogodkov za varni zagon DB in DBX. Dogodki napake se posodabljajo z dodatnimi informacijami o dogodku za varni zagon. 

Dodatne spremembe komponent za varni zagon 

V tem razdelku

Spremembe modula zaupanja TPM 

Spremenite nastavitve modula zaupanja TPM, da ugotovite, ali ima stanje naprave posodobljena potrdila za varni zagon. Trenutno je mogoče to določitev, vendar le, če CFR izbere računalnik za posodobitev. Ta določitev in nadaljnje pisanje dnevnika bi se moralo zgoditi v vsaki seji zagona ne glede na CFR. Če potrdila za varni zagon niso v celoti posodobljena, bodo oddajala dva dogodka napake, opisana zgoraj. Če so potrdila posodobljena, bodo oddajala dogodek Informacije. Potrdila za varni zagon, ki jih boste preverili, so:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 in Microsoft Option ROM UEFI CA 2023 – ta dva overitelja digitalnih potrdil morata biti prisotna le, če je na voljo Microsoft UEFI CA 2011. Če Microsoft UEFI CA 2011 ni prisoten, potem ni treba preveriti.

  • Microsoft Corporation KEK 2K CA 2023

Dogodek metapodatkov računalnika 

Ta dogodek bo zbral računalnikove metapodatke in težavo s tem dogodkom:

  • BucketId + dogodek ocene zanesljivosti   

Ta dogodek bo uporabil metapodake računalnika, da bo našel ustrezen vnos v zbirki podatkov računalnikov (vnos vedro). Računalnik bo oblikujel in oddajal dogodek s temi podatki skupaj z morebitnimi informacijami o zanesljivosti v zvezi z vedrom. ​​​​​​​ 

Visoko samozavestna pomoč pri napravah 

Za naprave z vedri z visoko stopnjo zanesljivosti se samodejno uporabita potrdila za varni zagon in podpisan upravitelj zagona 2023.   

Posodobitev bo sprožena hkrati z dvema dogodkoma napake, dogodek BucketId + Confidence Rating pa vključuje oceno z visoko stopnjo zanesljivosti.   

Zavrnitev sodelovanje

Za uporabnike, ki želijo zavrniti sodelovanje, bo nov registrski ključ na voljo tako:   

Mesto registra

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Ime tipke

HighConfidenceOptOut

Vrsta ključa

DWORD

Vrednost DWORD

0 ali pa ključ ne obstaja – omogočena je pomoč z visoko stopnjo zaupanja.    

1 – Pomoč z visoko stopnjo zaupanja je onemogočena   

Katera koli druga vrednost ni definžena   

Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost