Posodobitve registrskega ključa za varni zagon: naprave s sistemom Windows s posodobitvami, ki jih upravlja IT

Velja za
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Opomba

  • Prvotni datum objave: 14. oktober 2025
  • ID zbirke znanja: 5068202

Ta članek vsebuje navodila za:

  • Organizacije z napravami s sistemom Windows in posodobitvami, ki jih upravlja IT.

Opomba

  • Razpoložljivost te podpore:

  • Registrski ključi so vključeni v posodobitve, izdane na ta datum ali pozneje:

  • 11. novembra 2025: Za različice sistema Windows, ki so še vedno na voljo.

Dnevnik sprememb
Spremeni datum Spremeni opis
20 marca, 2026
  • V prvo tabelo v razdelku »Registrski ključi« je bila dodana vrednost registra AvailableUpdatesPolicy .
  • Posodobljeno WindowsUEFICA2023Zmogljiva registrska vrednost »Opis in uporaba« v drugi tabeli v razdelku »Registrski ključi«.
Februarja 20, 2026
  • V članek so bili dodani 3 novi registrski ključi - "UEFICA2023ErrorEvent", " BucketHash" & " ConfidenceLevel".
  • Posodobljen razdelek - »Razpoložljivost te podpore«.
4 novembra, 2025
  • Na stran je bil dodan še en registrski ključ.
  • Popravljena je bila izjava iz »Na primer, če posodabljanje baze zaupanja vrednih podpisov ni uspelo zaradi težave z vdelano programsko opremo, lahko ta registrski ključ prikaže kodo napake, ki jo je mogoče preslikati v dnevnik dogodkov ali dokumentiran ID napake«, da bi povedal »Na primer, če posodobitev zbirke zaupanja vrednih podpisov ni uspela zaradi težave z vdelano programsko opremo, Ta registrski ključ lahko prikaže kodo napake iz vdelane programske opreme. Če ta ključ obstaja in ni nič, priporočamo, da v dnevnikih dogodkov sistema Windows poiščete dogodke varnega zagona – za več podrobnosti glejte (povezava)".
  • Spodaj sta bili dodani dve ločeni poti za registrske ključe
11 novembra, 2025
  • Posodobljen je bil odstavek v razdelku Preskušanje naprave z uporabo registrskih ključev z dodatnimi informacijami: »Registrski ključ bi se moral hitro spremeniti v 0x4100. Ponovni zagon in ponovni zagon opravila bo povzročil, da bo upravitelj zagona posodobljen in razpoložljive posodobitve 0x0100. Če želite več informacij o tem, kako se obnašajo razpoložljive posodobitve, glejte Odpravljanje težav.«
  • Posodobite besedilo v sivem polju v razdelku Preskušanje naprave z registrskimi ključi , da boste imeli dva dodatna ukaza PowerShell
  • V razdelku registrski ključi je bila vrednost registra -MicrosoftUpdateManagedOptIn spremenjena iz »1 – Opt in« v »1 ali katera koli vrednost, ki ni ničelna – Opt in«
16 novembra, 2025 Vsebina je bila posodobljena v razdelku »Preskušanje naprave z registrskimi ključi«. Vrednost posodobitve »Na voljo« je bila spremenjena iz »0x0100« v »0x4000«.

V tem članku

Uvod

V tem dokumentu je opisana podpora za uvajanje, upravljanje in nadzor posodobitev potrdil za varni zagon z registrskimi ključi sistema Windows. Tipke so sestavljene iz naslednjega:

  • En ključ za sprožitev uvajanja potrdil in upravitelja zagona v napravi.
  • Dva ključa za spremljanje stanja uvajanja.
  • Dva ključa za upravljanje nastavitev vključitve / zavrnitve za dve razpoložljivi pomoči za uvajanje.

Te registrske ključe lahko nastavite ročno v napravi ali na daljavo prek razpoložljive programske opreme za upravljanje voznega parka. Drugi načini uvajanja, kot so pravilnik skupine, Microsoft Intune in WinCS, so opisani v članku Naprave s sistemom Windows za podjetja in organizacije s posodobitvami, ki jih upravlja IT.

Registrski ključi varnega zagona

V tem razdelku

Registrski ključi

Vsi spodaj opisani registrski ključi varnega zagona so pod to registrsko potjo:

Opomba

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

V spodnji tabeli so opisane posamezne vrednosti registra:

Vrednost registra Vrsta Opis in uporaba
Razpoložljive posodobitve REG_DWORD (bitna maska) Posodobite sprožilne zastavice.

Nadzira, katera dejanja posodobitve varnega zagona naj se izvedejo v napravi. Če tukaj nastavite ustrezno bitno polje, se sproži uvajanje novih potrdil varnega zagona in povezanih posodobitev. Za uvajanje v podjetju mora biti to nastavljeno na 0x5944 (hex) – vrednost, ki omogoča vse ustrezne posodobitve (dodajanje novih potrdil CA 2023, posodobitev KEK in namestitev novega upravitelja zagona).

Nastavitve:
  • 0 ali not set – posodobitev ključa za varen zagon ni izvedena.
  • 0x5944 – Uvedite vsa potrebna potrdila in posodobite PCA2023 podpisanega upravitelja zagona
Zavrnitev visoke samozavesti REG_DWORD Možnost zavrnitve.

Za podjetja, ki se želijo odločiti za skupino z visoko stopnjo zaupanja, ki se bo samodejno uporabila kot del LCU.

Ta ključ lahko nastavite na vrednost, ki ni ničelna, da se odjavite od skupin z visoko stopnjo zaupanja.

Nastavitve
  • 0 ali tipka ne obstaja – Omogočite sodelovanje
  • 1 – Zavrnitev
MicrosoftUpdateManagedOptIn REG_DWORD Možnost vključitve.

Za podjetja, ki želijo privoliti v servisiranje s uvajanjem nadzorovanih funkcij (CFR), znano tudi kot Microsoft Managed.

Poleg nastavitve tega ključa dovolite pošiljanje zahtevanih diagnostičnih podatkov (glejte Konfiguracija diagnostičnih podatkov sistema Windows v organizaciji).

Nastavitve
  • 0 ali tipka ne obstaja – odjava
  • 1 ali katera koli vrednost, ki ni ničelna – Opt
Razpoložljive posodobitvePravilnik REG_DWORD (bitna maska) Samo za referenco – tega ključa ne posodabljajte prek registra.

Ta ključ uporabljata pravilnik skupine in Intune za sporočanje dejanj, povezanih z varnim zagonom, sistemu Windows. Predstavlja pravilnik, ki ga je določil Intune ali pravilnik skupine.

Vsi spodaj opisani registrski ključi varnega zagona so pod to registrsko potjo:

Opomba

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

V spodnji tabeli so opisane posamezne vrednosti registra:

Vrednost registra Vrsta Opis in uporaba
UEFICA2023Status REG_SZ (niz) Indikator stanja uvajanja.

Odraža trenutno stanje posodobitve ključa za varni zagon v napravi. Nastavljeno bo na eno od teh besedilnih vrednosti:

  • NotStarted: posodobitev se še ni zagnala.
  • V teku: posodobitev je v aktivnem teku.
  • Posodobljeno: posodobitev je bila uspešno zaključena.
Na začetku je stanje »NotStarted«. Ko se posodobitev začne, se spremeni v »InProgress « in končno v »Update« , ko so uvedeni vsi novi ključi in nov upravitelj zagona. Če pride do napake, je vrednost registra UEFICA2023Error nastavljena na neničelno kodo.
UEFICA2023Error REG_DWORD (koda) Koda napake (če je na voljo).
Ta vrednost ob uspehu ostane 0 . Če med postopkom posodobitve pride do napake, je UEFICA2023Error nastavljena na neničelno kodo napake, ki ustreza prvi zaznani napaki. Napaka pomeni, da posodobitev varnega zagona ni bila v celoti uspešna, zato bo morda potrebna preiskava ali popravek v tej napravi.
Če na primer posodobitev zbirke podatkov zaupanja vrednih podpisov ni uspela zaradi težave z vdelano programsko opremo, lahko registrski ključ prikaže kodo napake iz vdelane programske opreme. Če obstaja ključ in njegova vrednost ni nič, priporočamo, da poiščete dogodke varnega zagona v dnevnikih dogodkov sistema Windows – za več podrobnosti glejte Dogodki posodobitve spremenljivke DB varnega zagona in DBX .
UEFICA2023ErrorEvent REG_DWORD (koda) UEFICA2023ErrorEvent določa ID dogodka, ki ga je sistem Windows uporabil za poročanje o napaki, povezani z uporabo posodobitev varnega zagona vmesnika Windows UEFI CA 2023. Ta vrednost je povezana z registrskim ključem UEFICA2023Error in se izpolni, ko je ta ključ nastavljen, kar pomeni, da je sistem Windows med poskusom uporabe posodobitve varnega zagona naletel na napako. Ko se to zgodi, Windows zabeleži ustrezen dogodek varnega zagona, ki je dokumentiran na javni strani Dogodki posodobitve spremenljivke DB in DBX, kjer so navedene dodatne podrobnosti o tem, zakaj posodobitve ni bilo mogoče dokončati in kakšno dejanje je morda potrebno.
WindowsUEFICA2023Capable REG_DWORD (koda) Samo za referenco – tega ključa ne uporabljajte, ko pridobivate stanje posodobitev varnega zagona. Namesto tega uporabite ključ UEFICA2023Status.
Ta registrski ključ je namenjen za omejene scenarije uvedbe in ga ne priporočamo za splošno uporabo.
Veljavne vrednosti:
0 – ali ključ ne obstaja – potrdila »Windows UEFI CA 2023« ni v zbirki podatkov
1 – potrdilo »Windows UEFI CA 2023« je v zbirki podatkov
2 – potrdilo »Windows UEFI CA 2023« je v zbirki podatkov in sistem se zažene s podpisanim upraviteljem zagona 2023
BucketHash REG_SZ (niz) BucketHash prepozna vedro uvajanja, ki je napravi dodeljeno v okviru uvedbe potrdila za varni zagon. Vrednost je razpršitev, izpeljana iz značilnosti naprave in se uporablja za združevanje naprav s podobnimi atributi vdelane programske opreme in platforme za postopno uvajanje in upravljanje tveganja. To je ista zgoščena vrednost vedra, ki se pojavi v dogodkih za določeno napravo, dokumentiranih na strani z dogodki posodobitve spremenljivke DB varnega zagona in DBX , kar skrbnikom omogoča, da povežejo stanje registra z vnosi v dnevnik dogodkov in razumejo, kako je naprava tarča med postopkom posodobitve varnega zagona.
ConfidenceLevel REG_SZ (niz) ConfidenceLevel označuje oceno zaupanja, povezano z vedrom uvedbe varnega zagona v napravi. Ta vrednost ustreza vrednosti BucketConfidenceLevel, ki jo sistem Windows dodeli napravi na podlagi opazovanega vedenja posodabljanja v podobnih konfiguracijah strojne opreme in vdelane programske opreme. Ista raven zaupanja je vključena v dogodke za posamezne naprave, ki so dokumentirani na strani z dogodki posodobitve spremenljivke DB varnega zagona in DBX , kar skrbnikom omogoča, da povežejo vrednost registra z vnosi v dnevnik dogodkov. Če želite več podrobnosti o možnih vrednostih za ta ključ, glejte opise dogodkov v dnevniku dogodkov za določeno napravo.

Kako te tipke delujejo skupaj

Skrbniki za IT konfigurirajo vrednost registra AvailableUpdates na 0x5944, kar signalizira sistemu Windows, da izvede posodobitev ključa Secure Boot in namestitev v napravi.

Med izvajanjem postopka se sistem posodobi stanje UEFICA2023Status iz stanja NotStarted v InProgress in na koncu v Updated upon successful. Ko je vsak bit v 0x5944 uspešno obdelan, je počistil.

Če kateri od korakov ne uspe, se v UEFICA2023Error prikaže koda napake (stanje pa se še naprej izvaja).

Ta mehanizem skrbnikom omogoča jasen način za sprožitev in sledenje uvedbe na napravo.

Uvajanje z registrskimi ključi

Uvajanje v skupino naprav je sestavljeno iz teh korakov:

  1. Vrednost registra AvailableUpdates nastavite na 0x5944 v vsaki napravi, ki jo želite posodobiti.
  2. Spremljajte registrska ključa UEFICA2023Status in UEFICA2023Error , da vidite, ali naprave napredujejo. Opravilo, ki obdela te posodobitve, se zažene vsakih 12 ur. Upoštevajte, da se posodobitev upravitelja zagona morda zgodi šele po vnovičnem zagonu.
  3. Raziščite težave, če do njih pride. Če je vrednost UEFICA2023Error v napravi neničelna, lahko preverite dnevnik dogodkov za dogodke, ki so povezani s to težavo. Celoten seznam dogodkov varnega zagona najdete v razdelku o dogodkih posodobitve spremenljivke DB za varni zagon .

Opomba o ponovnih zagonih: Čeprav bo za dokončanje postopka morda potreben vnovični zagon, začetek uvajanja posodobitev varnega zagona ne bo povzročil ponovnega zagona. Če je potreben vnovični zagon, je uvedba varnega zagona odvisna od vnovičnih zagonov, ki so običajni način uporabe naprave.

Preskušanje naprave z registrskimi ključi

Ko preskušate posamezne naprave in zagotovite, da bodo posodobitve obdelale pravilno, lahko preprosto preizkusite registrske ključe.

Za preskus zaženite vsakega od spodnjih ukazov ločeno od skrbniškega poziva PowerShell:

Opomba

  • reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
  • Start-ScheduledTask -taskname "\Microsoft\Windows\PI\Secure-boot-update"
  • Ročno znova zaženite sistem, ko so razpoložljive posodobitve 0x4100
  • Start-ScheduledTask -taskname "\Microsoft\Windows\PI\Secure-boot-update"

Prvi ukaz sproži uvedbo potrdila in upravitelja zagona v napravi. Z drugim ukazom se opravilo, ki obdela registrski ključ AvailableUpdates , zažene takoj. Običajno se opravilo zažene vsakih 12 ur. Registrski ključ bi se moral hitro spremeniti v 0x4100. Če znova zaženete in zaženete opravilo, se posodobi upravitelj zagona, razpoložljive posodobitve pa postanejo 0x4000. Če želite več podrobnosti o tem, kako deluje ponudba AvailableUpdates, si oglejte razdelek »Odpravljanje težav«.

Rezultate lahko najdete tako, da upoštevate registrska ključa UEFICA2023Status in UEFICA2023Error ter dnevnike dogodkov, kot je opisano v dogodkih posodobitve spremenljivke DB Secure Boot DB.

Privolitev v sodelovanje in odjava iz asistenc

Registrska ključa HighConfidenceOptOut in MicrosoftUpdateManagedOptIn lahko uporabite za upravljanje dveh »pomoči« pri uvajanju, ki sta opisana v napravah s sistemom Windows s posodobitvami, ki jih upravlja IT.

  • Registrski ključ HighConfidenceOptOut nadzoruje samodejno posodobitev naprav prek zbirnih posodobitev. Naprave, v katerih je Microsoft zaznal uspešno posodobitev določenih naprav, bodo obravnavane kot naprave z visoko stopnjo zaupanja, posodobitve potrdil za varni zagon pa bodo izvedene samodejno. Privzeta nastavitev je privolitev v sodelovanje.
  • Registrski ključ MicrosoftUpdateManagedOptIn omogoča oddelkom za IT, da privolijo v samodejno uvajanje, ki ga upravlja Microsoft. Ta nastavitev je privzeto onemogočena in je nastavljena na 1 možnost privolitve v sodelovanje. Ta nastavitev zahteva tudi, da naprava pošilja izbirne diagnostične podatke.

Podprte različice sistema Windows

V tej tabeli je podrobneje razčlenjena podpora na podlagi registrskega ključa.

Tipka Podprte različice sistema Windows
AvailableUpdates
UEFICA2023Status
UEFICA2023Error
Vse različice sistema Windows, ki podpirajo varni zagon (Windows Server 2012 in novejše različice sistema Windows).

Opomba: Medtem ko se podatki o zanesljivosti zbirajo za Windows 10, različice LTSC, 22H2 in novejše različice sistema Windows, jih je mogoče uporabiti v napravah, v katerih se izvajajo starejše različice sistema Windows.
  • Windows 10, različici LTSC in 22H2
  • Windows 11, različici 22H2 in 23H2
  • Windows 11, različica 24H2
  • Windows Server 2025
HighConfidenceOptOut
MicrosoftUpdateManagedOptIn

Dogodki napake varnega zagona

Dogodki napak imajo kritično funkcijo poročanja, ki obvešča o stanju varnega zagona in napredku.  Če želite več informacij o dogodkih napake, glejte Secure Boot DB in dogodki posodobitve spremenljivke DBX. Dogodki napake se posodabljajo z dodatnimi informacijami o dogodkih za varni zagon.