Velja za
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Datum izvirne objave: 19. marec 2026

ID zbirke znanja: 5085046

V tem članku

Pregled

Ta stran vodi skrbnike in strokovnjake za podporo pri diagnosticiranju in odpravljanju težav v zvezi z varnim zagonom v napravah s sistemom Windows. Teme vključujejo napake pri posodobitvi potrdila varnega zagona, nepravilne stanja varnega zagona, nepričakovane pozive za obnovitev funkcije BitLocker in napake pri zagonu po spremembah konfiguracije varnega zagona.

V navodilih je razloženo, kako preverite servisiranje in konfiguracijo sistema Windows, pregledate ustrezne vrednosti registra in dnevnike dogodkov ter prepoznate, kdaj omejitve vdelane programske opreme ali platforme zahtevajo posodobitev OEM-a. Ta vsebina je namenjena diagnosticiranju težav v obstoječih napravah. Ni namenjena načrtovanju novih uvajanj. Ta dokument bo posodobljen, ko bodo prepoznani novi scenariji in navodila za odpravljanje težav.

nazaj na vrh

Kako deluje servisiranje potrdila varnega zagona

Servisiranje potrdila varnega zagona v sistemu Windows je usklajen postopek med operacijskim sistemom in vdelano programsko opremo vmesnika UEFI naprave. Cilj je posodobiti kritična sidra zaupanja, hkrati pa ohraniti zmožnost zagona v vsaki fazi.

Postopek temelji na načrtovanem opravilu sistema Windows, zaporedju dejanj posodobitev, ki temelji na registru, ter vgrajenih dejanj pisanja dnevnikov in vnovičnega poskusa. S temi komponentami zagotovite, da so potrdila za varni zagon in upravitelj zagona sistema Windows posodobljena na nadzorovan, urejen način in šele po uspešnih korakih.

nazaj na vrh

Kje začeti pri odpravljanju težav

Če se zdi, da naprava ne ustvarja pričakovanega napredka pri uporabi posodobitev potrdila za varni zagon, najprej določite kategorijo težave. Večina težav pade v eno od štirih področij: stanje servisiranja sistema Windows, mehanizem za posodobitev varnega zagona, vedenje vdelane programske opreme ali platforma oz. omejitev OEM-a.

Začnite s spodnjimi preverjanji po vrstnem redu. V mnogih primerih ti koraki zadostujejo za razlago opazovanega vedenja in ugotavljanje naslednjih dejanj brez poglobljene preiskave.

  1. Potrdite upravičenost za servisiranje in platformo sistema Windows

    1. ​​​​​​​Preverite, ali naprava izpolnjuje osnovne zahteve za prejemanje posodobitev potrdila za varni zagon:

    2. V napravi je nameščena podprta različica sistema Windows.

    3. Nameščene so najnovejše zahtevane varnostne posodobitve sistema Windows.

    4. Varni zagon je omogočen v vdelani programski opremi vmesnika UEFI.

    5. Če kateri od teh pogojev ni izpolnjen, jih odpravite, preden nadaljujete z nadaljnjim odpravljanjem težav.

  2. Preverjanje stanja opravila varnega zagona in posodobitve

    1. Preverite, ali je mehanizem sistema Windows, ki je odgovoren za uporabo posodobitev potrdil varnega zagona, prisoten in deluje:

    2. Obstaja načrtovano opravilo varnega zagona in posodobitve.

    3. Opravilo je omogočeno in se izvaja kot lokalni sistem.

    4. Opravilo se je zagnalo vsaj enkrat, odkar je bila nameščena najnovejša varnostna posodobitev sistema Windows.

    5. Če je opravilo onemogočeno, izbrisano ali se ne izvaja, posodobitev potrdila za varni zagon ni mogoče uporabiti. Odpravljanje težav se mora osredotočiti na obnavljanje opravila, preden raziskujete druge vzroke.

  3. Preverjanje nastavitev registra za pričakovano napredovanje

    Preglejte stanje servisiranja varnega zagona v napravi v registru:

    1. Preverite UEFICA2023Status, UEFICA2023Error in UEFICA2023ErrorEvent.

    2. Preglejte AvailableUpdates in ga primerjajte s pričakovanim napredovanjem (glejte Reference and Internals).

    Te vrednosti skupaj označujejo, ali servisiranje napreduje normalno, znova poskusite izvesti operacijo ali zaustalo pri določenem koraku.

  4. Stanje registra Correlate z dogodki varnega zagona

    Preglejte dogodke, povezane z varnim zagonom, v dnevniku dogodkov sistema in jih poenotite s stanjem registra. Podatki o dogodku običajno potrdijo, ali naprava napreduje, poskusi znova zaradi prehodnega stanja ali pa jo blokira težava z vdelano programsko opremo ali platformo.

    Skupaj dnevniki registra in dogodkov običajno označujejo, ali je delovanje pričakovano, začasno ali pa je treba izvesti rešitev.

nazaj na vrh

Načrtovano opravilo za posodobitev varnega zagona

Servisiranje potrdila varnega zagona je uvedeno z načrtovanim opravilom sistema Windows, imenovanim »Posodobitev varnega zagona«. Opravilo je registrirano na tej poti:

\Microsoft\Windows\PI\Secure-Boot-Update

Opravilo se izvaja kot lokalni sistem. Privzeto se zažene ob zagonu sistema in vsakih 12 ur po tem. Vsakič, ko se zažene, preveri, ali so dejanja posodobitve varnega zagona v čakanju, in jih poskuša uporabiti v zaporedju.

Če je to opravilo onemogočeno ali manjka, posodobitev potrdila za varni zagon ni mogoče uporabiti. Opravilo varnega zagona in posodobitve mora ostati omogočeno za delovanje servisiranja varnega zagona.

nazaj na vrh

Zakaj se uporablja načrtovano opravilo

Posodobitve potrdil varnega zagona zahtevajo usklajevanje med vdelano programsko opremo sistema Windows in vmesnika UEFI, vključno s pisanjem spremenljivk UEFI, ki shranjujejo ključe in potrdila za varni zagon. Načrtovano opravilo sistemu Windows omogoča, da te posodobitve poskusi izvesti, ko je sistem v stanju, v katerem je mogoče spreminjati spremenljivke vdelane programske opreme.

Ponavljajoči se 12-urni urnik ponuja dodatne možnosti za vnovični poskus posodobitev, če prejšnji poskus ni uspel ali če je naprava še vedno vklopljena brez ponovnega zagona. Ta načrt omogoča posredovanje napredka brez ročnega posredovanja.

nazaj na vrh

Bitna datoteka registra AvailableUpdates

Opravilo varnega zagona in posodobitve temelji na vrednosti registra AvailableUpdates . Ta vrednost je 32-bitna bitnamask, ki je na naslovu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Vsak bit v vrednosti predstavlja določeno dejanje posodobitve varnega zagona. Postopek posodobitve se začne, ko je vrednost AvailableUpdates nastavljena na neničelno vrednost, bodisi samodejno bodisi s strani sistema Windows bodisi izrecno s strani skrbnika. Vrednost, kot je na primer 0x5944 pomeni, da čaka več dejanj posodobitve.

Ko se zažene opravilo varnega zagona in posodobitve, se nabori tolmačijo kot čakajoče delo in jih obdela v določenem vrstnem redu.

nazaj na vrh

Zaporedne posodobitve, pisanje dnevnikov in poskusno vedenje

Posodobitve potrdila varnega zagona so uporabljene v nespremenljivem vrstnem redu. Vsako dejanje posodobitve je zasnovano tako, da je varno in ga je mogoče neodvisno izvesti in dokončati. Opravilo varnega zagona in posodobitve se ne premakne na naslednji korak, dokler trenutno dejanje ne uspe, njegov ustrezni bit pa je počiščen iz AvailableUpdates.

Vsaka operacija uporablja standardne vmesnike UEFI za posodobitev spremenljivk varnega zagona, kot sta DB in KEK, ali za namestitev posodobljenega upravitelja zagona sistema Windows. Sistem Windows zabeleži rezultat vsakega koraka v dnevniku sistemskih dogodkov. Dogodki uspeha potrjevanje napredka posredovanja, medtem ko dogodki neuspeha kažejo, zakaj dejanja ni bilo mogoče dokončati.

Če korak posodobitve ne uspe, se opravilo preneha odzivati, zabeleži napako in pusti povezan bitni nabor. Postopek se znova izvede, ko se opravilo naslednjič zažene. To poskusno vedenje omogoča napravam, da se samodejno obnovijo iz začasnih pogojev, kot je manjkajoča podpora za vdelano programsko opremo ali zakasnjene posodobitve proizvajalca strojne opreme.

Skrbniki lahko spremljajo napredek tako, da spremljajo stanje registra z vnosi v dnevnik dogodkov. Vrednosti registra, kot so UEFICA2023Status, UEFICA2023Error in UEFICA2023ErrorEvent, skupaj z bitnomask možnostjo AvailableUpdates označujejo, kateri korak je aktiven, dokončan ali blokiran.

Ta kombinacija prikazuje, ali naprava napreduje normalno, znova poskusite izvesti operacijo ali je zaustala.

nazaj na vrh

Integracija z vdelano programsko opremo proizvajalca strojne opreme

Posodobitve potrdila varnega zagona so odvisne od pravilnega delovanja in podpore v vdelani programski opremi vmesnika UEFI naprave. Medtem ko Windows orkester postopek posodabljanja, je vdelana programska oprema odgovorna za uveljavljanje pravilnika o varnem zagonu in vzdrževanje zbirk podatkov varnega zagona.

Proizvajalci strojne opreme zagotavljajo dva kritična elementa, ki omogočata servisiranje potrdil varnega zagona:

  • Ključ platforme – podpisani ključi za izmenjavo ključev (KEK), ki odobrijo namestitev novih potrdil za varni zagon.

  • Implementirane vdelane programske opreme, ki med posodobitvami pravilno ohranijo, dodajo in preverijo veljavnost zbirk podatkov varnega zagona.

Če vdelana programska oprema tega delovanja ne podpira v celoti, se lahko posodobitve varnega zagona zastoje, poskusijo znova za nedoločen čas ali škodni. V teh primerih Sistem Windows ne more dokončati posodobitve brez sprememb vdelane programske opreme.

Microsoft sodeluje z proizvajalci strojne opreme, da prepozna težave z vdelano programsko opremo in zagotovi, da so na voljo popravljene posodobitve. Če pri odpravljanju težav nakašete omejitev ali napako vdelane programske opreme, morajo skrbniki morda namestiti najnovejšo posodobitev vdelane programske opreme vmesnika UEFI, ki jo je zagotovil proizvajalec naprave, preden se lahko posodobitve potrdil za varni zagon uspešno dokončajo.

nazaj na vrh

Pogosti scenariji in rešitve napak

Posodobitve varnega zagona uporablja načrtovano opravilo varnega zagona in posodobitve, ki temelji na stanju registra AvailableUpdates .

V normalnih pogojih se ti koraki zgodijo samodejno in zabeležijo dogodke uspeha, ko je vsaka stopnja dokončana. V nekaterih primerih lahko delovanje vdelane programske opreme, konfiguracija platforme ali zahteve za servisiranje preprečijo napredek ali preprečujejo nepričakovano delovanje zagona.

V spodnjih razdelkih so opisani najpogostejši scenariji napak, kako jih prepoznati, zakaj se pojavijo, in ustrezni naslednji koraki za obnovitev običajnega delovanja. Scenariji so razporejeni od najpogosteje prihaja do resnih primerov, ki vplivajo na zagon.

Če posodobitve varnega zagona ne kažejo nobenega napredka, to običajno pomeni, da se postopek posodobitve ni nikoli začel. Posledično pričakovane vrednosti registra varnega zagona in dnevniki dogodkov manjkajo, ker mehanizem za posodabljanje ni bil nikoli sprožen.

Kaj se je zgodilo

Postopek posodobitve varnega zagona se ni začel, zato v napravi ni bilo uporabljenih potrdil za varni zagon ali posodobljenega upravitelja zagona.

Kako jo prepoznati

  • V registru ni nobene vrednosti servisiranja varnega zagona, na primer UEFICA2023Status.

  • V dnevniku sistemskih dogodkov manjkajo pričakovani dogodki varnega zagona (na primer 1043, 1044, 1045, 1799, 1801).

  • Naprava še naprej uporablja starejša potrdila za varni zagon in komponente zagona.

Zakaj se to zgodi

Do tega običajno pride, če velja eden ali več teh pogojev:

  • Načrtovano opravilo varnega zagona in posodobitve je onemogočeno ali manjka.

  • Varni zagon je v vdelani programski opremi vmesnika UEFI onemogočen.

  • Naprava ne izpolnjuje pogojev za servisiranje sistema Windows, kot je nameščena podprta različica sistema Windows ali zahtevane posodobitve.

Kaj narediti zdaj

  • Preverite, ali naprava izpolnjuje zahteve za servisiranje sistema Windows in upravičenost platforme.

  • Preverite, ali je v vdelani programski opremi omogočen varni zagon.

  • Prepričajte se, da načrtovano opravilo SecureBootUpdate obstaja in je omogočeno.

Če je načrtovano opravilo onemogočeno ali manjka, upoštevajte navodila v razdelku Načrtovano opravilo varnega zagona je onemogočeno ali izbrisano, da ga obnovite. Ko je opravilo obnovljeno, znova zaženite napravo ali ročno zaženite opravilo, da zaženete servisiranje varnega zagona.

V nekaterih primerih lahko posodobitve, povezane z varnim zagonom, povzročijo, da naprava prestopite v obnovitev storitve BitLocker. Delovanje je lahko prehodno ali trajno, odvisno od temeljnega vzroka.

1. primer: Obnovitev Onetime BitLocker po posodobitvi varnega zagona

Kaj se zgodi

Naprava prestopite v obnovitev funkcije BitLocker ob prvem zagonu po posodobitvi varnega zagona, vendar se običajno zažene ob naslednjih ponovnih zagonih.

Zakaj se to zgodi

Med prvim zagonom po posodobitvi vdelana programska oprema še ne prijavi posodobljenih vrednosti varnega zagona, ko sistem Windows poskuša znova zagnati BitLocker. To povzroči začasno neujemanje izmerjenih vrednosti zagona in sproži obnovitev. Ob naslednjem zagonu vdelana programska oprema pravilno poroča o posodobljenih vrednostih, BitLocker znova uspešno zažene in težava se ne ponavlja.

Kako jo prepoznati

  • Obnovitev funkcije BitLocker se izvede enkrat.

  • Ko vnesete obnovitveni ključ, naslednji zagoni ne pozovejo k obnovitvi.

  • Ni trenutnega reda zagona ali vpletenosti PXE.

Kaj narediti zdaj

  • Vnesite obnovitveni ključ za BitLocker za nadaljevanje sistema Windows.

  • Preverite, ali so na voljo posodobitve vdelane programske opreme.

2. primer: ponovljeno obnovitev funkcije BitLocker zaradi konfiguracije prvega zagona PXE

Kaj se zgodi

Naprava vstopi v obnovitev funkcije BitLocker ob vsakem zagonu.

Zakaj se to zgodi

Naprava je konfigurirana tako, da najprej poskuša zagnati PXE (omrežje). Poskus zagona PXE ne uspe, vdelana programska oprema pa se nato vrne v upravitelja zagona sistema Windows na disku.

To pomeni, da se med enim ciklom zagona merita dva različna organska podpisnika:

  • Pot zagona PXE je podpisal Microsoft UEFI CA 2011.

  • Upravitelj zagona sistema Windows na disku je podpisal Windows UEFI CA 2023.

BitLocker upošteva različne verige zaupanja varnega zagona med zagonom, zato ne more določiti stabilnega nabora mer modula zaupanja TPM, s katerih bi bilo mogoče nadaljevati. Posledično BitLocker vnese obnovitev ob vsakem zagonu.

Kako jo prepoznati

  • Obnovitev funkcije BitLocker se sproži ob vsakem vnovičnem zagonu.

  • Vnos obnovitvenega ključa omogoča zagon sistema Windows, vendar se poziv vrne ob naslednjem zagonu.

  • PXE ali omrežni zagon je konfiguriran pred lokalnim diskom v vrstnem redu zagona vdelane programske opreme.

Kaj narediti zdaj

  • Konfigurirajte vrstni red zagona vdelane programske opreme, tako da je prvi upravitelj zagona sistema Windows na disku.

  • Če zagonA PXE ni potreben, ga onemogočite.

  • Če potrebujete PXE, zagotovite, da infrastruktura PXE uporablja 2023-podpisan nalagalnik zagona sistema Windows.

Kaj se je zgodilo

To odraža spremembo na ravni vdelane programske opreme in ne težave s sistemom Windows. Posodobitev varnega zagona je bila uspešno dokončana, vendar se po ponovnem zagonu naprave ne zažene več v sistem Windows.

Kako jo prepoznati

  • Naprava ne zažene sistema Windows in lahko prikaže sporočilo vdelane programske opreme ali BIOS-a, ki kaže na kršitev varnega zagona.

  • Do napake pride po ponastavitvi nastavitev varnega zagona na privzete nastavitve vdelane programske opreme.

  • Če onemogočite varni zagon, se lahko naprava znova zažene.

Zakaj se to zgodi

Ponastavitev varnega zagona na vdelano programsko opremo privzeto počisti zbirke podatkov varnega zagona, shranjene v vdelani programski opremi. V napravah, ki so že prestavljene v upravitelja zagona, podpisanega s programom Windows UEFI CA 2023, ta ponastavitev odstrani potrdila, ki so potrebna za zaupanje temu upravitelju zagona.

Zaradi tega vdelana programska oprema ne prepozna več nameščenega upravitelja zagona sistema Windows kot zaupanja vrednega in blokira postopek zagona.

Tega scenarija ne povzroča sama posodobitev varnega zagona, temveč naknadno dejanje vdelane programske opreme, ki odstrani posodobljena sidra zaupanja.

Kaj narediti zdaj

  • Z orodjem za obnovitev varnega zagona obnovite zahtevano potrdilo, tako da se naprava lahko znova zažene.

  • Po obnovitvi se prepričajte, da je v napravi nameščena najnovejša vdelana programska oprema proizvajalca naprave.

  • Izognite se ponastavitvi varnega zagona na privzete nastavitve vdelane programske opreme, razen če vdelana programska oprema proizvajalca strojne opreme vključuje posodobljene privzete nastavitve varnega zagona, ki zaupajo certifikatom 2023.

Pripomoček za obnovitev varnega zagona

Če želite obnoviti sistem:

  1. V drugem računalniku s sistemom Windows z nameščeno posodobitvijo sistema Windows v juliju 2024 ali novejšo, kopirajte SecureBootRecovery.efi iz C:\Windows\Boot\EFI\.

  2. Datoteko shranite na pogon USB, formatiranem z FAT32, v razdelku \EFI\BOOT\ in jo preimenujte v bootx64.efi.

  3. Zaženite prizadeto napravo s pogona USB in omogočite zagon orodja za obnovitev. S pripomočkom boste v DB dodali Windows UEFI CA 2023.

Ko je potrdilo obnovljeno in se sistem znova zažene, bi se moral sistem Windows normalno zagnati.

Pomembno: Ta postopek bo znova uporabel le enega od novih potrdil. Ko je naprava obnovljena, se prepričajte, da so znova nameščena najnovejša potrdila, in razmislite o posodobitvi sistema BIOS/UEFI na najnovejšo različico, ki je na voljo. To lahko pomaga preprečiti ponavljanje težave s ponastavitvijo varnega zagona, saj so številni proizvajalci strojne opreme izdali popravke vdelane programske opreme za to težavo.

Kaj se je zgodilo

Po uporabi posodobitve potrdila za varni zagon in vnovičnem zagonu se naprava ne zažene in ne doseže sistema Windows.

Kako jo prepoznati

  • Naprava ne uspe takoj po ponovnem zagonu, ki ga zahteva posodobitev varnega zagona.

  • Prikaže se lahko napaka vdelane programske opreme ali varnega zagona ali pa se sistem ustavi pred nalaganjem sistema Windows.

  • Če onemogočite varni zagon, se bo naprava morda lahko zaganjala.

Zakaj se to zgodi

Do te težave lahko pride zaradi napake v izvajanju vdelane programske opreme vmesnika UEFI v napravi.

Ko Windows uporabi posodobitve potrdila za varni zagon, se od vdelane programske opreme pričakuje, da obstoječi zbirki podatkov z dovoljenim podpisom varnega zagona (DB) doda nova potrdila. Nekatere izvedbe vdelane programske opreme nepravilno prepišejo DB, namesto da bi ji jih priložili.

Ko pride do tega,

  • Predhodno zaupanja vredna potrdila, vključno s potrdilom zagonskega programa Microsoft 2011, so odstranjena.

  • Če sistem še vedno uporablja upravitelja zagona, ki ste ga v tem trenutku podpisali s potrdilom za leto 2011, vdelana programska oprema ne zaupa več temu.

  • Vdelana programska oprema zavrne upravitelja zagona in blokira postopek zagona.

V nekaterih primerih se lahko tudi DB poškoduje in ne čisto prepišete, kar vodi do enakega rezultata. To vedenje smo opazili pri določenih implementah vdelane programske opreme in ni pričakovano v združljivi vdelani programski opremi.

Kaj narediti zdaj

  • Vnesite menije za nastavitev vdelane programske opreme in poskusite ponastaviti nastavitve varnega zagona.

  • Če se naprava zažene po ponastavitvi, na spletnem mestu za podporo izdelovalca naprave poiščite posodobitev vdelane programske opreme, ki popravi obravnavanje zbirke podatkov za varni zagon.

  • Če je na voljo posodobitev vdelane programske opreme, jo namestite, preden znova omogočite varni zagon in znova uporabite posodobitve potrdila za varni zagon.

Če s ponastavitvijo varnega zagona ne obnovite zagonske funkcionalnosti, za nadaljnjo obnovitev verjetno potrebujete navodila, značilna za proizvajalca strojne opreme.

Kaj se je zgodilo

Posodobitev potrdila varnega zagona ni dokončana in ostane blokirana v fazi posodobitve ključa za izmenjavo ključa KEK.

Kako jo prepoznati

  • Vrednost registra AvailableUpdates ostane nastavljena z bitom KEK (0x0004) in ni počiščena.

  • UEFICA2023Status ne napreduje v dokončano stanje.

  • Dnevnik sistemskih dogodkov večkrat zabeleži ID dogodka 1803, kar pomeni, da posodobitve KEK ni bilo mogoče uporabiti.

  • Naprava še naprej znova izvaja posodobitev, ne da bi posredovala napredek.

Zakaj se to zgodi

Za posodobitev VEK-ja za varni zagon je zahtevano dovoljenje iz ključa platforme (PK) naprave, ki je v lasti proizvajalca strojne opreme.

Če želite, da bo posodobitev uspešna, mora proizvajalec naprave Microsoftu zagotoviti komplet KEK , podpisan s PK, za to določeno platformo. Ta KEK, ki ga je podpisal proizvajalec strojne opreme, je vključen v posodobitve sistema Windows in sistemu Windows omogoča posodobitev spremenljivke KEK vdelane programske opreme.

Če OEM ni predložil PK-podpisanega KEK za napravo, Windows ne more dokončati posodobitve KEK. V tem stanju:

  • Posodobitve varnega zagona so privzeto blokirane.

  • Sistem Windows ne more obogati manjkajočega pooblastila.

  • Naprava lahko trajno ne more dokončati servisiranja potrdila za varni zagon.

Do tega lahko pride v starejših napravah ali napravah, ki niso več podprte in v katerih izvirni proizvajalec strojne opreme ne zagotavlja več posodobitev vdelane programske opreme ali ključnih posodobitev. Za ta pogoj ni podprte poti ročne obnovitve.

nazaj na vrh

Če posodobitve potrdila za varni zagon niso uporabljene, Windows zabeleži diagnostične dogodke, v katerih je razloženo, zakaj je bil napredek blokiran. Ti dogodki se zapišejo pri posodabljanju zbirke podatkov s podpisom varnega zagona (DB) ali ključa za izmenjavo ključa (KEK) ni mogoče varno dokončati zaradi vdelane programske opreme, stanja platforme ali pogojev konfiguracije. Scenariji v tem razdelku se sklicujejo na te dogodke, da prepoznajo pogoste vzorce napak in določijo ustrezne rešitve. Ta razdelek naj bi podpiral diagnosticiranje in interpretacijo prej opisanih vprašanj, da ne bi predstavili novih scenarijev neuspeha.

Če si želite ogledati celoten seznam ID-jev dogodkov, opisov in vzorčnih vnosov, glejte Dogodki posodobitve s spremenljivo posodobitvijo DB za varni zagon in DBX (KB5016061).

Neuspela posodobitev KEK (posodobitve zbirke podatkov so uspele, KEK ne)

Naprava lahko uspešno posodobi potrdila v zbirki podatkov varnega zagona, vendar ne uspe med posodobitvijo KEK. Ko pride do tega, postopka posodobitve varnega zagona ni mogoče dokončati.

Simptomi

  • Dogodki potrdila zbirke podatkov označujejo napredek, vendar stopnja KEK ni dokončana.

  • AvailableUpdates ostane nastavljen na 0x4004 in po 0x0004 se ne počisti po več opravilih.

  • Morda je na voljo dogodek 1795 ali 1803 .

Razlago

  • 1795 običajno označuje napako vdelane programske opreme med posodabljanjem spremenljivke varnega zagona.

  • 1803 označuje, da posodobitve KEK ni mogoče pooblastiti, ker zahtevana koristna obremenitev KEK, podpisana s PKM, ni na voljo za platformo.

Naslednji koraki

  • Za 1795 poiščite posodobitve vdelane programske opreme proizvajalca strojne opreme in preverite podporo za vdelano programsko opremo za spremenljive posodobitve varnega zagona.

  • Za 1803 preverite, ali je proizvajalec strojne opreme Microsoftu zagotovil PK-podpisan KEK, ki ga zahteva model naprave.

Napaka pri posodobitvi KEK v gostiteljih navideznih računalnikih, ki gostujejo v hyper-V 

V navideznih računalnikih Hyper-V morajo biti posodobitve potrdila za varni zagon nameščene v gostitelju Hyper-V in gostujočem operacijskem sistemu, če želite namestiti posodobitve sistema Windows iz marca 2026.

Od gosta se poroča o napakah pri posodabljanju, vendar dogodek označuje, kje je treba popraviti:

  • Dogodek 1795 (na primer »Predstavnost je zaščitena pred pisanjem«), o katerem gost poroča, kaže, da gostitelj Hyper-V manjka v posodobitvi iz marca 2026 in ga je treba posodobiti.

  • Dogodek 1803 , o katerem je poročal gost, označuje, da gostujoči navidezni računalnik manjka posodobitev iz marca 2026 in ga je treba posodobiti.

nazaj na vrh 

Reference and internals

V tem razdelku so dodatne referenčne informacije, namenjene odpravljanju težav in podpori. Načrt uvedbe ni namenjen načrtovanju uvedbe. Razširja se na mehanike servisiranja varnega zagona, povzetih prej, in zagotavlja podrobno referenčno gradivo za razlago stanja registra in dnevnikov dogodkov.

Opomba (uvedbe, ki jih upravlja IT): Če sta konfigurirani prek storitve pravilnik skupine ali Microsoft Intune, ne bi smeli zamenjati dveh podobnih nastavitev. Vrednost AvailableUpdatesPolicy predstavlja konfigurirano stanje pravilnika. Medtem Na voljoPošiljanja odražajo stanje dela, ki je v teku in je bitno čiščenje. Oba lahko imata enak izid, vendar delujeta drugače, saj se pravilnik sčasoma znova uporabi.

nazaj na vrh 

AvailableUpdates bits used for certificate servicing

Bits below are used for the certificate and boot manager actions described in this document. Stolpec Vrstni red odraža zaporedje, v katerem opravilo varnega zagona in posodobitve obdela vsak bit.

Naročilo

Bitna nastavitev

Uporaba

1

0x0040

Ta bit pove načrtovanem opravilu, naj v zbirki podatkov za varni zagon doda potrdilo windows UEFI CA 2023. To sistemu Windows omogoča, da zaupa upraviteljem zagona, ki so podpisani s tem potrdilom.

2

0x0800

Ta bit pove načrtovanem opravilu, naj uporabi UEFI UEFI Microsoft Option ROM CA 2023 za DB.  

Pogojno vedenje: ko 0x4000 zastavica nastavljena, bo načrtovano opravilo najprej preverilo zbirko podatkov za potrdilo Microsoft Corporation UEFI CA 2011 . Potrdilo UEFI ZA Microsoft Option ROM CA 2023 bo veljalo le, če je na voljo potrdilo iz leta 2011.

3

0x1000

Ta bit pove načrtovanem opravilu, naj uporabi Microsoft UEFI CA 2023 za DB.

Pogojno vedenje: ko 0x4000 zastavica nastavljena, bo načrtovano opravilo najprej preverilo zbirko podatkov za potrdilo Microsoft Corporation UEFI CA 2011 . Potrdilo Microsoft UEFI CA 2023 bo veljalo le , če je potrdilo iz leta 2011 prisotno.

Modifikator (zastavica delovanja)

0x4000

Ta bit spremeni delovanje bitov za 0x0800 in 0x1000, tako da sta Microsoft UEFI CA 2023 in Microsoft Option ROM UEFI CA 2023 uporabljena le, če DB že vsebuje Microsoft Corporation UEFI CA 2011  Ta bit uporabi ta nova potrdila le, če naprava zaupa potrdilu microsoft Corporation UEFI CA 2011. Vse naprave s sistemom Windows ne zaupajo temu potrdilu.

4

0x0004

Ta bit pove načrtovanem opravilu, naj poišče ključ strežnika Exchange, ki ste ga podpisali s ključem platforme naprave (PK). PK upravlja proizvajalec strojne opreme. Proizvajalci strojne opreme podpišejo Microsoftov KEK s svojo PK in ga dostaviti Microsoftu, kjer je vključen v mesečne zbirne posodobitve.

5

0x0100

Ta bit pove načrtovanem opravilu, naj na zagonski particiji uporabi upravitelja zagona, ki ga je podpisal Windows UEFI CA 2023. S tem boste zamenjali upravitelja zagona za Microsoft Windows Production PCA 2011.

Opombe:

  • Ko 0x4000 vse druge bitne različice ostanejo nastavljene, bo ta še naprej nastavljen.

  • Vsak bit obdela načrtovano opravilo varnega zagona in posodobitve v vrstnem redu, ki je prikazan zgoraj.

  • Če izdelka 0x0004 mogoče obdelati zaradi manjkajočega podpisanega KEK-ja za PK, načrtovano opravilo še vedno uporabi posodobitev upravitelja zagona, ki jo označuje bitna 0x0100.

nazaj na vrh 

Pričakovano napredovanje (AvailableUpdates)

Ko je postopek uspešno dokončan, Windows počisti povezani bit iz availableUpdates. Če postopek ne uspe, Windows zabeleži dogodek in znova izvede opravilo, ko se opravilo znova zažene.

V spodnji tabeli je prikazano pričakovano napredovanje vrednosti AvailableUpdates , ko se dokonča posamezno dejanje posodobitve varnega zagona.

Korak

Bit obdelan

Na Posodobitve

Opis

Success Event Logged

Morebitne kode dogodkov napak

Začetek

0x5944

Začetno stanje pred zagonom servisiranja potrdila varnega zagona.

-

-

1

0x0040

0x5944 → 0x5904

Windows UEFI CA 2023 je dodan v DB za varni zagon.

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

Dodajte Microsoft Option ROM UEFI CA 2023 v DB, če je naprava prej zaupala Microsoft UEFI CA 2011.

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

Microsoft UEFI CA 2023 je dodan zbirki podatkov, če je naprava prej zaupala potrdilu Microsoft UEFI CA 2011.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

Uporabljen je novi microsoft KEK 2K CA 2023, ki ga je podpisal ključ platforme OEM.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

Upravitelj zagona, ki ga je podpisal Windows UEFI CA 2023, je nameščen.

1799

1797

Opombe

  • Ko je postopek, ki je povezan z bitom, uspešno dokončan, je ta bit počiščen iz availableUpdates.

  • Če eden od teh operacij ne uspe, se zabeleži dogodek in postopek se znova izvede, ko se naslednjič zažene načrtovano opravilo.

  • Ta 0x4000 bit je modifikator in ni počiščen. Končna vrednost AvailableUpdates za 0x4000 označuje uspešno dokončanje vseh veljavnih dejanj posodobitve.

  • Dogodki 1032, 1795, 1796, 1802 običajno označujejo omejitve vdelane programske opreme ali platforme.

  • Dogodek 1803 označuje, da manjkajoči KEK, podpisan s PK-jem OEM.

nazaj na vrh 

Postopki sanacije

V tem razdelku so opisani postopki po korakih za odpravljanje določenih težav z varnim zagonom. Vsak postopek je namenjen natančno določenemu pogoju in naj bi se sledil šele po začetni diagnozi, s katero se potrdi, da je težava uporabljena. S temi postopki lahko obnovite pričakovano delovanje varnega zagona in omogočite varno nadaljevanje posodobitev potrdil. Teh postopkov ne uporabljajte širše ali vnaprej.

nazaj na vrh

Omogočanje varnega zagona v vdelani programski opremi

Če je varni zagon v vdelani programski opremi naprave onemogočen, glejte Windows 11 in varnega zagona, če želite več informacij o omogočanju varnega zagona.

nazaj na vrh

Načrtovano opravilo varnega zagona je onemogočeno ali izbrisano

Če želite, da Windows uporabi posodobitve potrdila za varni zagon, potrebujete načrtovano opravilo za posodobitev varnega zagona. Če je opravilo onemogočeno ali manjka, servisiranje potrdila za varni zagon ne bo napredka.

Podrobnosti opravila

Ime opravila

Posodobitev varnega zagona

Pot opravila

\Microsoft\Windows\PI\

Celotna pot

\Microsoft\Windows\PI\Secure-Boot-Update

Deluje kot

SYSTEM (lokalni sistem)

Sprožilniki

Ob zagonu in vsakih 12 ur

Obvezno stanje

Omogočeno

Kako preveriti stanje opravila

Zaženite iz ukaza PowerShell na skrbniški ravni: schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Poiščite polje Stanje:

Stanje

Smislu

Pripravljen

Opravilo obstaja in je omogočeno.

Onemogočena

Opravilo obstaja, vendar mora biti omogočeno.

Napaka/ni mogoče najti

Opravilo manjka in ga je treba znova ustvariti.

Kako omogočiti ali znova ustvariti opravilo

Če je polje s stanjem za posodobitev varnega zagona onemogočeno, napaka ali ni bilo mogoče najti, za omogočanje opravila uporabite vzorčni skript: vzorčni Enable-SecureBootUpdateTask.ps1

Opomba: To je vzorčni skript, ki ga Microsoft ne podpira. Skrbniki bi jih morali pregledati in prilagoditi svojim okoljem.

Primer:

.\Enable-SecureBootUpdateTask.ps1 – tiho

Navodila za zagon

  • Če je dostop zavrnjen, znova zaženite PowerShell kot skrbnik.

  • Če skripta ni mogoče zagnati zaradi pravilnika za izvajanje, uporabite obhod obsega procesa:

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass

nazaj na vrh 

Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost