Vodnik za odpravljanje težav z varnim zagonom

Velja za
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Opomba

  • Prvotni datum objave: 19 marca, 2026
  • ID zbirke znanja: 5085046

V temu članku

Pregled

Ta stran vodi skrbnike in strokovnjake za podporo pri diagnosticiranju in odpravljanju težav, povezanih z varnim zagonom, v napravah s sistemom Windows. Teme vključujejo napake pri posodobitvi potrdila varnega zagona, nepravilna stanja varnega zagona, nepričakovane pozive za obnovitev BitLockerja in napake pri zagonu po spremembah konfiguracije varnega zagona.

V navodilih je pojasnjeno, kako preveriti servisiranje in konfiguracijo sistema Windows, pregledati ustrezne vrednosti registra in dnevnike dogodkov ter ugotoviti, kdaj omejitve vdelane programske opreme ali platforme zahtevajo posodobitev strojne opreme za strojno opremo. Ta vsebina je namenjena diagnosticiranju težav v obstoječih napravah. Ni namenjen načrtovanju novih namestitev. Ta dokument bo posodobljen, ko bodo prepoznani novi scenariji in navodila za odpravljanje težav.

Nazaj na vrh

Kako deluje servisiranje potrdil za varen zagon

Servisiranje potrdil za varen zagon v sistemu Windows je usklajen proces med operacijskim sistemom in vdelano programsko opremo UEFI naprave. Cilj je posodobiti kritična sidra zaupanja, hkrati pa ohraniti možnost zagona na vsaki stopnji.

Postopek poganjajo načrtovano opravilo sistema Windows, zaporedje dejanj posodabljanja na podlagi registra ter vgrajeno vedenje dnevnika in ponovnega poskusa. Te komponente skupaj zagotavljajo, da se potrdila varnega zagona in upravitelj zagona sistema Windows posodabljajo na nadzorovan, urejen način in šele po uspešnih zahtevanih korakih.

Nazaj na vrh

Kje začeti pri odpravljanju težav

Če se zdi, da naprava ne napreduje pri uporabi posodobitev potrdil za varni zagon, začnite z določitvijo kategorije težave. Večina težav spada na eno od štirih področij: stanje servisiranja sistema Windows, mehanizem za posodabljanje varnega zagona, vedenje vdelane programske opreme ali omejitev platforme ali OEM-ja.

Začnite s spodnjimi pregledi, po vrstnem redu. V mnogih primerih ti koraki zadostujejo za razlago opazovanega vedenja in določitev naslednjih dejanj brez globlje preiskave.

  1. Potrditev primernosti servisiranja sistema Windows in platforme

    1. Preverite, ali naprava izpolnjuje osnovne zahteve za prejemanje posodobitev potrdil za varen zagon:
    2. V napravi je nameščena podprta različica sistema Windows.
    3. Nameščene so najnovejše zahtevane varnostne posodobitve sistema Windows.
    4. Varni zagon je omogočen v vdelani programski opremi UEFI.
    5. Če kateri koli od teh pogojev ni izpolnjen, jih obravnavajte, preden nadaljujete z nadaljnjim odpravljanjem težav.
  2. Preverjanje stanja opravila »Secure-Boot-Update«

    1. Preverite, ali je mehanizem sistema Windows, ki je odgovoren za uporabo posodobitev potrdil za varen zagon, prisoten in deluje:
    2. Načrtovano opravilo »Secure-Boot-Update« obstaja.
    3. Opravilo je omogočeno in se izvaja kot lokalni sistem.
    4. Opravilo se je zagnalo vsaj enkrat, odkar je bila nameščena najnovejša varnostna posodobitev sistema Windows.
    5. Če je opravilo onemogočeno, izbrisano ali se ne izvaja, posodobitev potrdil varnega zagona ni mogoče uporabiti. Odpravljanje težav se mora osredotočiti na obnovitev opravila, preden raziščete druge vzroke.
  3. Preverjanje pričakovanega napredovanja v nastavitvah registra
    Preglejte stanje servisiranja varnega zagona naprave v registru:

    1. Preglejte UEFICA2023Status, UEFICA2023Error in UEFICA2023ErrorEvent.
    2. Preglejte razpoložljive posodobitve in jih primerjajte s pričakovanim napredovanjem (glejte Sklic in notranji elementi).

    Te vrednosti skupaj označujejo, ali servisiranje poteka normalno, ponovno poskuša izvesti operacijo ali se ustavi v določenem koraku.

  4. Povežite stanje registra z dogodki varnega zagona
    Preglejte dogodke, povezane z varnim zagonom, v dnevniku sistemskih dogodkov in jih povežite s stanjem registra. Podatki o dogodkih običajno potrjujejo, ali naprava napreduje naprej, ponovno poskuša zaradi prehodnega stanja ali je blokirana zaradi težave z vdelano programsko opremo ali platformo.
    Dnevniki registra in dogodkov običajno kažejo, ali je vedenje pričakovano, začasno ali zahteva korektivne ukrepe.

Nazaj na vrh

Načrtovano opravilo Secure-Boot-Update

Servisiranje potrdila za varen zagon se izvaja prek načrtovanega opravila sistema Windows, imenovanega Secure-Boot-Update. Opravilo je registrirano na naslednji poti:

Opomba

\Microsoft\Windows\PI\Secure-Boot-Update

Opravilo se zažene kot lokalni sistem. Privzeto se zažene ob zagonu sistema in nato vsakih 12 ur. Vsakič, ko se zažene, preveri, ali so dejanja posodobitve varnega zagona v teku, in jih poskuša uporabiti zaporedno.

Če je to opravilo onemogočeno ali manjka, posodobitev potrdil varnega zagona ni mogoče uporabiti. Opravilo Secure-Boot-Update mora ostati omogočeno, da servisiranje varnega zagona deluje.

Nazaj na vrh

Zakaj je uporabljeno načrtovano opravilo

Posodobitve potrdil varnega zagona zahtevajo usklajevanje med vdelano programsko opremo sistema Windows in UEFI, vključno s pisanjem spremenljivk UEFI, ki shranjujejo ključe in potrdila varnega zagona. Načrtovano opravilo omogoča sistemu Windows, da poskusi posodobiti, ko je sistem v stanju, v katerem je mogoče spremeniti spremenljivke vdelane programske opreme.

Ponavljajoči se 12-urni urnik ponuja dodatne priložnosti za ponovni poskus posodobitev, če prejšnji poskus ni uspel ali če je naprava ostala vklopljena brez vnovičnega zagona. Ta zasnova pomaga zagotoviti napredek brez ročnega posredovanja.

Nazaj na vrh

Bitna maska registra AvailableUpdates

Opravilo Secure-Boot-Update temelji na vrednosti registra AvailableUpdates . Ta vrednost je 32-bitna bitna maska, ki se nahaja na:

Opomba

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Vsak bit v vrednosti predstavlja določeno dejanje posodobitve varnega zagona. Postopek posodabljanja se začne, ko je »AvailableUpdates « nastavljena na vrednost, ki ni nična, bodisi samodejno s strani sistema Windows ali izrecno s strani skrbnika. Vrednost, kot je 0x5944 , na primer označuje, da je več dejanj posodobitve v čakanju.

Ko se zažene opravilo Secure-Boot-Update, razloži nastavljene bite kot čakajoče delo in jih obdela v določenem vrstnem redu.

Nazaj na vrh

Zaporedne posodobitve, beleženje dnevnika in vedenje ponovnega sojenja

Posodobitve potrdil za varen zagon se uporabljajo v fiksnem vrstnem redu. Vsako dejanje posodobitve je zasnovano tako, da je varno ponoviti poskus in se dokonča neodvisno. Opravilo »Secure-Boot-Update« se ne premakne na naslednji korak, dokler trenutno dejanje ni uspešno in se ustrezen bit ne izbriše iz »AvailableUpdates«.

Vsaka operacija uporablja standardne vmesnike UEFI za posodobitev spremenljivk varnega zagona, kot sta DB in KEK, ali za namestitev posodobljenega upravitelja zagona sistema Windows. Windows zabeleži rezultat vsakega koraka v dnevnik sistemskih dogodkov. Dogodki uspeha potrjujejo napredek naprej, medtem ko dogodki neuspeha kažejo, zakaj dejanja ni bilo mogoče dokončati.

Če korak posodobitve ne uspe, opravilo ustavi obdelavo, zabeleži napako in ostane nastavljen povezani bit. Postopek se znova poskusi ob naslednjem zagonu opravila. To vedenje ponovnega sojenja omogoča napravam, da se samodejno obnovijo po začasnih pogojih, kot so manjkajoča podpora za vdelano programsko opremo ali zapoznele posodobitve OEM.

Skrbniki lahko spremljajo napredek tako, da stanje registra povežejo z vnosi v dnevnik dogodkov. Vrednosti registra, kot so UEFICA2023Status, UEFICA2023Error in UEFICA2023ErrorEvent, skupaj z bitno masko AvailableUpdates , označujejo, kateri korak je aktiven, dokončan ali blokiran.

Ta kombinacija prikazuje, ali naprava normalno napreduje, ali poskuša znova izvesti operacijo ali je zastala.

nazaj na vrh

Integracija z vdelano programsko opremo proizvajalca strojne opreme

Posodobitve potrdil za varni zagon so odvisne od pravilnega vedenja in podpore v vdelani programski opremi vmesnika UEFI naprave. Medtem ko Windows orkestrira postopek posodobitve, je vdelana programska oprema odgovorna za uveljavljanje pravilnika varnega zagona in vzdrževanje zbirk podatkov varnega zagona.

Proizvajalci strojne opreme imajo dva ključna elementa, ki omogočata servisiranje potrdila za varni zagon:

  • ključe za izmenjavo ključev platforme (KEK), ki odobrijo namestitev novih potrdil za varni zagon.
  • Implementacije vdelane programske opreme, ki med posodobitvami pravilno hranijo, dodajajo in potrjujejo veljavnost zbirk podatkov varnega zagona.

Če vdelana programska oprema ne podpira v celoti teh načinov, se lahko posodobitve varnega zagona ustavijo, poskusi za nedoločen čas ali privedejo do napak pri zagonu. V teh primerih Windows ne more dokončati posodobitve brez sprememb vdelane programske opreme.

Microsoft sodeluje s proizvajalci strojne opreme za odkrivanje težav z vdelano programsko opremo in omogočanje popravljenih posodobitev. Ko odpravljanje težav pokaže omejitev ali okvaro vdelane programske opreme, bodo morali skrbniki morda namestiti najnovejšo posodobitev vdelane programske opreme vmesnika UEFI, ki jo je zagotovil izdelovalec naprave, preden se lahko posodobitve potrdila za varni zagon uspešno dokončajo.

nazaj na vrh

Pogosti scenariji in rešitve napak

Posodobitve varnega zagona namesti načrtovano opravilo varnega zagona glede na stanje registra AvailableUpdates .

V normalnih pogojih se ti koraki izvedejo samodejno in po dokončanju vsake stopnje se zabeležijo uspešni dogodki. V nekaterih primerih lahko delovanje vdelane programske opreme, konfiguracija platforme ali pogoji za servisiranje preprečijo napredek ali povzročijo nepričakovano vedenje zagona.

V razdelkih spodaj so opisani najpogostejši scenariji napak, kako jih prepoznati, zakaj do njih pride, in ustrezni naslednji koraki za ponovno vzpostavitev normalnega delovanja. Scenariji so razvrščeni od najpogostejših do resnejših primerov, ki vplivajo na zagon.

Posodobitve varnega zagona se ne uporabljajo (ni napredka)

Če posodobitve varnega zagona ne prikažejo napredka, to običajno pomeni, da se postopek posodobitve ni nikoli začel. Zaradi tega manjkajo pričakovane vrednosti registra varnega zagona in dnevniki dogodkov, ker mehanizem posodobitve ni bil nikoli sprožen.

Kaj se je zgodilo

Postopek posodobitve varnega zagona se ni začel, zato za napravo ni bilo uporabljeno nobeno potrdilo za varni zagon ali posodobljen upravitelj zagona.

Kako jo prepoznati

  • Ni prisotnih vrednosti registra za servisiranje varnega zagona, na primer UEFICA2023Status.
  • V dnevniku sistemskih dogodkov manjkajo pričakovani dogodki varnega zagona (na primer 1043, 1044, 1045, 1799, 1801).
  • Naprava še naprej uporablja starejša potrdila za varni zagon in komponente zagona.

Zakaj se prikaže to sporočilo

Ta scenarij se običajno pojavi, če je izpolnjen eden ali več teh pogojev:

  • Načrtovano opravilo Secure-Boot-Update je onemogočeno ali manjka.
  • Varni zagon je onemogočen v vdelani programski opremi vmesnika UEFI.
  • Naprava ne izpolnjuje predpogojev za servisiranje sistema Windows, kot je podprta različica sistema Windows ali nameščene zahtevane posodobitve.

Naslednji koraki

  • Preverite, ali naprava izpolnjuje zahteve za servisiranje sistema Windows in zahteve za upravičenost do platforme.
  • Preverite, ali je varni zagon omogočen v vdelani programski opremi.
  • Prepričajte se, da načrtovano opravilo SecureBootUpdate obstaja in je omogočeno.

Če je načrtovano opravilo onemogočeno ali manjka, sledite navodilom v razdelku Varni zagon, načrtovano opravilo onemogočeno ali izbrisano , da ga obnovite. Ko je opravilo obnovljeno, znova zaženite napravo ali ročno zaženite opravilo, da zaženete servisiranje varnega zagona.

Naprava se zažene v obnovitev funkcije BitLocker po posodobitvi varnega zagona

V nekaterih primerih lahko posodobitve, povezane z varnim zagonom, povzročijo, da naprava vstopi v obnovitev funkcije BitLocker. Vedenje je lahko prehodno ali trajno, odvisno od osnovnega vzroka.

1. primer: Enkratna obnovitev funkcije BitLocker po posodobitvi varnega zagona

Kaj se zgodi?

Naprava vstopi v obnovitev funkcije BitLocker ob prvem zagonu po posodobitvi varnega zagona, pri naslednjih ponovnih zagonih pa se normalno zažene.

Zakaj se prikaže to sporočilo

Med prvim zagonom po posodobitvi vdelana programska oprema še ne sporoča posodobljenih vrednosti varnega zagona, ko sistem Windows poskuša znova zapečatiti BitLocker. To povzroči začasno neujemanje izmerjenih vrednosti zagona in sproži obnovitev. Ob naslednjem zagonu vdelana programska oprema pravilno poroča o posodobljenih vrednostih, BitLocker se znova zapečati in težava se ne ponovi.

Kako jo prepoznati

  • Obnovitev funkcije BitLocker se izvede enkrat.
  • Po vnosu obnovitvenega ključa poznejši zagoni ne zahtevajo obnovitve.
  • V teku ni nobenega naloga za zagon ali vključenosti PXE.

Naslednji koraki

  • Vnesite obnovitveni ključ za BitLocker, da znova zaženete sistem Windows.
  • Preverite, ali so na voljo posodobitve vdelane programske opreme.

2. primer: Ponovljena obnovitev funkcije BitLocker zaradi konfiguracije prvega zagona PXE

Kaj se zgodi?

Naprava vstopi v obnovitev funkcije BitLocker ob vsakem zagonu.

Zakaj se prikaže to sporočilo

Naprava je konfigurirana tako, da se najprej poskusi zagnati PXE (omrežje). Poskus zagona PXE ne uspe, vdelana programska oprema pa se nato vrne v upravitelja zagona sistema Windows na disku.

Posledično sta v enem samem ciklu zagona izmerjena dva različna overitelja podpisovanja:

  • Pot zagona PXE je podpisana s potrdilom Microsoft UEFI CA 2011.
  • Upravitelja zagona sistema Windows na disku je podpisal vmesnik Windows UEFI CA 2023.

Ker BitLocker med zagonom opazuje različne verige zaupanja varnega zagona, ne more vzpostaviti stabilnega nabora meritev TPM, ki bi jih bilo mogoče znova zapečatiti. Posledično BitLocker vstopi v obnovitev ob vsakem zagonu.

Kako jo prepoznati

  • Obnovitev funkcije BitLocker se sproži ob vsakem vnovičnem zagonu.
  • Vnos obnovitvenega ključa omogočite sistemu Windows, da se zažene, poziv pa se vrne ob naslednjem zagonu.
  • Zagon PXE ali zagon omrežja je v vrstnem redu zagona vdelane programske opreme konfiguriran pred lokalnim diskom.

Naslednji koraki

  • Konfigurirajte vrstni red zagona vdelane programske opreme, tako da je najprej upravitelj zagona sistema Windows na disku.
  • Če zagon PXE ni potreben, ga onemogočite.
  • Če je PXE potreben, zagotovite, da infrastruktura PXE uporablja nalagalnik zagona sistema Windows, podpisan 2023.
Naprava se ne zažene po ponastavitvi varnega zagona

Kaj se je zgodilo

To je bolj posledica spremembe na ravni vdelane programske opreme kot težave s sistemom Windows. Posodobitev varnega zagona je bila uspešno dokončana, vendar se po poznejšem vnovičnem zagonu naprava ne zažene več v sistemu Windows.

Kako jo prepoznati

  • Naprava ne zažene sistema Windows in lahko prikaže sporočilo vdelane programske opreme ali BIOS-a, ki označuje kršitev varnega zagona.
  • Do napake pride po ponastavitvi nastavitev varnega zagona na privzete vrednosti vdelane programske opreme.
  • Če onemogočite varni zagon, se bo naprava morda znova zagnala.

Zakaj se prikaže to sporočilo

Ponastavitev varnega zagona na privzete vrednosti vdelane programske opreme počisti zbirke podatkov varnega zagona, shranjene v vdelani programski opremi. V napravah, ki so že prešle na upravitelja zagona, podpisanega za Windows UEFI CA 2023, ta ponastavitev odstrani potrdila, potrebna za zaupanje temu upravitelju zagona.

Zaradi tega vdelana programska oprema ne prepozna več nameščenega upravitelja zagona sistema Windows kot zaupanja vrednega in blokira postopek zagona.

Tega scenarija ne povzroča sama posodobitev varnega zagona, temveč naknadno dejanje vdelane programske opreme, ki odstrani posodobljena sidra zaupanja.

Naslednji koraki

  • S pripomočkom za obnovitev varnega zagona obnovite zahtevano potrdilo, da se bo naprava lahko znova zagnala.
  • Po obnovitvi zagotovite, da je v napravi nameščena najnovejša vdelana programska oprema proizvajalca naprave.
  • Varnega zagona ne ponastavite na privzete privzete vrednosti vdelane programske opreme, razen če vdelana programska oprema proizvajalca strojne opreme vključuje posodobljene privzete nastavitve varnega zagona, ki zaupajo potrdilom 2023.

Pripomoček za obnovitev varnega zagona

Obnovitev sistema:

  1. V drugem računalniku s sistemom Windows, v katerem je nameščena posodobitev sistema Windows, julija 2024 ali novejša, kopirajte datoteko SecureBootRecovery.efi iz C:\Windows\Boot\EFI\.
  2. Postavite datoteko na pogon USB, formatiran kot FAT32, v možnosti \EFI\BOOT\ in ga preimenujte v bootx64.efi.
  3. Zaženite prizadeto napravo s pogona USB in omogočite delovanje pripomočka za obnovitev. Pripomoček bo v zbirko podatkov dodal Windows UEFI CA 2023.

Ko je potrdilo obnovljeno in se sistem znova zažene, bi se moral Windows normalno zagnati.

Pomembno: S tem postopkom boste znova uporabili le eno od novih potrdil. Ko je naprava obnovljena, zagotovite, da so bila znova uporabljena najnovejša potrdila, in razmislite o posodobitvi BIOS-a/UEFI sistema na najnovejšo različico, ki je na voljo. To lahko pomaga preprečiti ponovitev težave s ponastavitvijo varnega zagona, saj je veliko proizvajalcev strojne opreme izdalo popravke vdelane programske opreme za to težavo.

Naprava se ne zažene po posodobitvi varnega zagona, ker je vdelana programska oprema prepisala zbirko podatkov

Kaj se je zgodilo

Po posodobitvi potrdila za varni zagon in vnovičnem zagonu se naprava ne zažene in ne doseže sistema Windows.

Kako jo prepoznati

  • Naprava preneha delovati takoj po ponovnem zagonu, ki ga zahteva posodobitev varnega zagona.
  • Prikaže se lahko napaka vdelane programske opreme ali varnega zagona ali pa se sistem ustavi, preden se naloži sistem Windows.
  • Če onemogočite varni zagon, se lahko naprava zažene.

Zakaj se prikaže to sporočilo

To težavo lahko povzroča napaka v implementaciji vdelane programske opreme vmesnika UEFI v napravi.

Ko Windows uporabi posodobitve potrdil za varni zagon, se pričakuje, da vdelana programska oprema doda nova potrdila obstoječi zbirki podatkov dovoljenih podpisov varnega zagona (DB). Nekatere implementacije vdelane programske opreme nepravilno prepišejo zbirko podatkov, namesto da bi jo dodale.

Ko se to zgodi,

  • Predhodno zaupanja vredna potrdila, vključno s potrdilom nalagalnika zagona Microsoft 2011, so odstranjena.
  • Če sistem na tej točki še vedno uporablja upravitelja zagona, ki je bil podpisan s potrdilom 2011, mu vdelana programska oprema ne zaupa več.
  • Vdelana programska oprema zavrne upravitelja zagona in blokira postopek zagona.

V nekaterih primerih se lahko zbirka podatkov poškoduje, namesto da bi bila čisto prepisana, kar vodi do enakega rezultata. To vedenje je bilo opaženo pri določenih implementacijah vdelane programske opreme, zato ni pričakovano pri skladni vdelani programski opremi.

Naslednji koraki

  • Vstopite v menije za nastavitev vdelane programske opreme in poskusite ponastaviti nastavitve varnega zagona.
  • Če se naprava zažene po ponastavitvi, na spletnem mestu za podporo proizvajalca naprave preverite, ali je na voljo posodobitev vdelane programske opreme, ki popravi obravnavo zbirke podatkov varnega zagona.
  • Če je posodobitev vdelane programske opreme na voljo, jo namestite, preden znova omogočite varni zagon in ponovno uporabite posodobitve potrdil za varni zagon.

Če s ponastavitvijo varnega zagona ne obnovite funkcionalnosti zagona, bo za nadaljnjo obnovitev verjetno potrebna navodila proizvajalca strojne opreme.

Posodobitev varnega zagona je blokirana zaradi manjkajočega KEK-a, ki ga je podpisal proizvajalec strojne opreme

Kaj se je zgodilo

Posodobitev potrdila za varni zagon ni dokončana in ostane blokirana na stopnji posodobitve ključa za izmenjavo ključev (KEK).

Kako jo prepoznati

  • Vrednost registra AvailableUpdates ostane nastavljena za bit KEK (0x0004) in se ne počisti.
  • UEFICA2023Status ne napreduje v dokončano stanje.
  • Sistemski dnevnik dogodkov večkrat zabeleži ID dogodka 1803, kar označuje, da posodobitve KEK ni bilo mogoče uporabiti.
  • Naprava nadaljuje s ponavljajočim se poskusom namestitve posodobitve, ne da bi napredovala.

Zakaj se prikaže to sporočilo

Za posodobitev ključa KEK varnega zagona je potrebna odobritev ključa platforme (PK) naprave, ki je v lasti proizvajalca strojne opreme.

Za uspeh posodobitve mora proizvajalec naprave Microsoftu za to določeno platformo zagotoviti KEK s podpisom PK . Ta KEK, ki ga je podpisal proizvajalec strojne opreme, je vključen v posodobitve sistema Windows in omogoča sistemu Windows, da posodobi spremenljivko KEK vdelane programske opreme.

Če proizvajalec strojne opreme za napravo ni zagotovil KEK s podpisom PK, Windows ne more dokončati posodobitve KEK. V tem stanju:

  • Posodobitve varnega zagona so privzeto blokirane.
  • Windows se ne more izogniti manjkajoči odobritvi.
  • Naprava morda še naprej ne more dokončati servisiranja potrdila za varni zagon.

Do tega lahko pride v starejših napravah ali napravah, ki niso podprte, pri čemer proizvajalec strojne opreme ne zagotavlja več posodobitev vdelane programske opreme ali ključev. Za to stanje ni podprte poti ročne obnovitve.

nazaj na vrh

Dogodki posodobitve potrdila varnega zagona in indikatorji napak

Če posodobitev potrdila za varni zagon ni mogoče uveljaviti, Windows zabeleži diagnostične dogodke, ki pojasnjujejo, zakaj je bil napredek blokiran. Ti dogodki se zapišejo, ko posodobitve zbirke podpisov varnega zagona (DB) ali ključa za izmenjavo ključev KEK ni mogoče varno dokončati zaradi vdelane programske opreme, stanja platforme ali pogojev konfiguracije. Scenariji v tem razdelku se sklicujejo na te dogodke, da prepoznajo pogoste vzorce napak in določijo ustrezno rešitev. Ta razdelek podpira diagnozo in razlago težav, opisanih prej, ne pa predstavlja novih scenarijev neuspehov.

Celoten seznam ID-jev dogodkov, opisov in vzorčnih vnosov najdete v razdelku Dogodki posodobitve spremenljivke DB varnega zagona in DBX (KB5016061).

Napaka pri posodobitvi KEK (posodobitve zbirke podatkov so uspešne, KEK ne)

Naprava lahko uspešno posodobi potrdila v zbirki podatkov varnega zagona, vendar med posodobitvijo KEK ne uspe. Ko pride do tega, procesa posodobitve varnega zagona ni mogoče dokončati.

Simptomi

  • Dogodki potrdila DB označujejo napredek, vendar stopnja KEK ni dokončana.
  • AvailableUpdates ostane nastavljen na 0x4004 in 0x0004 bit ni počiščen po več zagonih opravil.
  • Morda je prisoten dogodek 1795 ali 1803 .

Tolmačenje

  • 1795 običajno označuje okvaro vdelane programske opreme med poskusom posodobitve spremenljivke varnega zagona.
  • 1803 pomeni, da posodobitve KEK ni mogoče pooblastiti, ker zahtevana koristna vsebina KEK, ki jo je podpisal proizvajalec strojne opreme, ni na voljo za platformo.

Naslednji koraki

  • Za različico 1795 preverite, ali so na voljo posodobitve vdelane programske opreme proizvajalca strojne opreme, in preverite podporo vdelane programske opreme za spremenljive posodobitve varnega zagona.
  • Za različico 1803 potrdite, ali je proizvajalec strojne opreme Microsoftu posredoval KEK s podpisom PK, ki se zahteva za določen model naprave.

Napaka pri posodobitvi KEK v gostiteljskih navideznih računalnikih, ki gostujejo v tehnologiji Hyper-V

V navideznih računalnikih Hyper-V posodobitve potrdil za varni zagon zahtevajo, da so posodobitve sistema Windows iz marca 2026 nameščene tako v gostitelju tehnologije Hyper-V kot tudi v gostujočem operacijskem sistemu.

O napakah pri posodobitvi se poroča znotraj gosta, vendar dogodek označuje, kje je potrebno popravljanje:

  • Dogodek 1795 (na primer »Medij je zaščiten pred pisanjem«), ki je prijavljen v gostu , označuje, da gostitelju Hyper-V manjka posodobitev iz marca 2026 in jo je treba posodobiti.
  • Dogodek 1803 , sporočen v gostu , označuje, da gostujoči navidezni računalnik manjka posodobitev iz marca 2026 in ga je treba posodobiti.

nazaj na vrh

Reference in notranje strani

V tem razdelku so dodatne referenčne informacije, namenjene odpravljanju težav in podpori. Ni namenjena načrtovanju uvajanja. Razširja prej povzeto mehaniko servisiranja varnega zagona in zagotavlja podrobno referenčno gradivo za razlago stanja registra in dnevnikov dogodkov.

Opomba (uvedbe, ki jih upravlja IT): pri konfiguraciji prek pravilnik skupine ali storitve Microsoft Intune ne bi smeli zamenjati dveh podobnih nastavitev. Vrednost AvailableUpdatesPolicy predstavlja konfigurirano stanje pravilnika. Medtem pa AvailableUpdates odraža stanje dela v teku in bitnega čiščenja. Oba lahko pripeljeta do istega rezultata, vendar se obnašata drugače, ker se pravilnik sčasoma znova uporabi.

nazaj na vrh

AvailableUpdates bits, ki se uporabljajo za servisiranje potrdil

Spodnji biti so uporabljeni za dejanja upravitelja potrdil in zagona, opisana v tem dokumentu. Stolpec »Vrstni red« odraža zaporedje, v katerem opravilo varnega zagona in posodobitve obdela vsak bit.

vrstni_red Nastavitev bita Uporaba
1 0x0040 Ta bit sporoča načrtovanemu opravilu dodajanje potrdila Windows UEFI CA 2023 v zbirko podatkov varnega zagona. To sistemu Windows omogoča, da zaupa upraviteljem zagona, podpisanim s tem potrdilom.
2 0x0800 Ta bit načrtovanemu opravilu pove, da uporabite Microsoftovo možnost ROM UEFI CA 2023 za zbirko podatkov.
Pogojno vedenje: Ko je zastavica 0x4000 nastavljena, načrtovano opravilo najprej preveri, ali je v zbirki podatkov potrdilo Microsoft Corporation UEFI CA 2011 . Potrdilo Microsoft Option ROM UEFI CA 2023 bo uporabljeno le, če je na voljo potrdilo 2011.
3 0x1000 Ta bit načrtovanemu opravilu pove, da za zbirko podatkov uporabi Microsoft UEFI CA 2023 .
Pogojno vedenje: Ko je zastavica 0x4000 nastavljena, načrtovano opravilo najprej preveri, ali je v zbirki podatkov potrdilo Microsoft Corporation UEFI CA 2011 . Potrdilo Microsoft UEFI CA 2023 bo uporabljeno le, če je na voljo potrdilo 2011.
Modifikator (zastavica vedenja) 0x4000 Ta bit spremeni obnašanje bitov 0x0800 in 0x1000, tako da se Microsoft UEFI CA 2023 in Microsoftova možnost ROM UEFI CA 2023 uporabita le, če zbirka podatkov že vsebuje Microsoft Corporation UEFI CA 2011.

Če želite zagotoviti, da varnostni profil naprave ostane enak, ta bit ta nova potrdila uporabi le, če naprava zaupa potrdilu Microsoft Corporation UEFI CA 2011. Temu potrdilu ne zaupajo vse naprave s sistemom Windows.
4 0x0004 Ta bit sporoča načrtovanemu opravilu, naj poišče ključ za izmenjavo ključev, ki ga podpiše ključ platforme naprave. PK upravlja OEM. Proizvajalci strojne opreme podpišejo Microsoft KEK s svojo PK in jo dostavijo Microsoftu, kjer je vključen v mesečne zbirne posodobitve.
5 0x0100 Ta bit pove načrtovani nalogi, da uporabi upravitelja zagona, ki ga je podpisal Windows UEFI CA 2023, na zagonsko particijo. To bo nadomestilo Microsoft Windows Production PCA 2011 podpisanega upravitelja zagona.

Opombe:

  • 0x4000 bit bo ostal nastavljen po obdelavi vseh drugih bitov.
  • Vsak bit obdela načrtovano opravilo Secure-Boot-Update v zgornjem vrstnem redu.
  • Če 0x0004 bita ni mogoče obdelati zaradi manjkajočega PK podpisanega KEK, bo načrtovano opravilo še vedno uporabilo posodobitev upravitelja zagona, ki je označena z bitom 0x0100.

Nazaj na vrh

Pričakovani napredek (AvailableUpdates)

Ko je postopek uspešno dokončan, Windows izbriše povezani bit iz AvailableUpdates. Če operacija ne uspe, Windows zabeleži dogodek in poskusi znova, ko se opravilo znova zažene.

V spodnji tabeli je prikazan pričakovani napredek vrednosti »AvailableUpdates «, ko se dokonča vsako dejanje posodobitve varnega zagona.

Korak Bitno obdelano Posodobitve, ki so na voljo Opis Zabeležen dogodek uspeha Možne kode dogodkov napak
Začetek 0x5944 Začetno stanje pred začetkom servisiranja potrdil varnega zagona. - -
1 0x0040 0x5944 → 0x5904 Windows UEFI CA 2023 je dodan v zbirko podatkov za varen zagon. 1036 1032, 1795, 1796, 1802
2 0x0800 0x5904 → 0x5104 V zbirko podatkov dodajte Microsoftovo možnost ROM UEFI CA 2023, če je naprava prej zaupala Microsoft UEFI CA 2011. 1044 1032, 1795, 1796, 1802
3 0x1000 0x5104 → 0x4104 Microsoft UEFI CA 2023 je dodan v zbirko podatkov, če je naprava prej zaupala Microsoft UEFI CA 2011. 1045 1032, 1795, 1796, 1802
4 0x0004 0x4104 → 0x4100 Uporabi se nov Microsoft KEK 2K CA 2023, ki ga podpiše ključ platforme OEM. 1043 1032, 1795, 1796, 1802, 1803
5 0x0100 0x4100 → 0x4000 Nameščen je upravitelj zagona, ki ga je podpisal Windows UEFI CA 2023. 1799 1797

Opombe

  • Ko je operacija, povezana z bitom, uspešno dokončana, se ta bit izbriše iz AvailableUpdates.
  • Če ena od teh operacij ne uspe, se zabeleži dogodek in postopek se ponovi ob naslednjem zagonu načrtovanega opravila.
  • 0x4000 bit je modifikator in ni izbrisan. Končna vrednost »AvailableUpdates« 0x4000 označuje uspešno dokončanje vseh veljavnih dejanj posodabljanja.
  • Dogodki 1032, 1795, 1796, 1802 običajno označujejo omejitve vdelane programske opreme ali platforme.
  • Dogodek 1803 označuje, da manjka KEK, podpisan s strani OEM PK.

Nazaj na vrh

Sanacijski postopki

V tem razdelku so navedeni postopki po korakih za odpravljanje določenih težav z varnim zagonom. Vsak postopek je omejen na dobro opredeljeno stanje in ga je treba upoštevati šele potem, ko začetna diagnoza potrdi, da težava velja. S temi postopki obnovite pričakovano delovanje varnega zagona in omogočite varno izvajanje posodobitev potrdil. Teh postopkov ne uporabljajte široko ali preventivno.

Nazaj na vrh

Omogočanje varnega zagona v vdelani programski opremi

Če je varni zagon onemogočen v vdelani programski opremi naprave, glejte Windows 11 in varni zagon za podrobnosti o omogočanju varnega zagona.

Nazaj na vrh

Načrtovano opravilo varnega zagona onemogočeno ali izbrisano

Načrtovano opravilo Secure-Boot-Update je potrebno, da Windows uporabi posodobitve potrdil za varen zagon. Če je opravilo onemogočeno ali manjka, servisiranje potrdila varnega zagona ne bo potekalo.

Podrobnosti o opravilu

Ime opravila Secure-Boot-Update
Pot opravila \Microsoft\Windows\PI\
Celotna pot \Microsoft\Windows\PI\Secure-Boot-Update
Teče kot SISTEM (lokalni sistem)
Sprožilci Ob zagonu in vsakih 12 ur
Zahtevano stanje Omogočeno

Preverjanje stanja opravila

Zaženite iz poziva PowerShell s povišanimi ravninami:
schtasks.exe /query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Poiščite polje »Stanje «:

Stanje Pomen
Pripravljeno Opravilo obstaja in je omogočeno.
Disabled Opravilo obstaja, vendar mora biti omogočeno.
Napaka / Ni mogoče najti Opravilo manjka in ga je treba znova ustvariti.

Omogočanje ali vnovično ustvarjanje opravila

Če je polje stanja za Secure-Boot-Update onemogočeno, Napaka ali Ni bilo mogoče najti, uporabite vzorčni skript, da omogočite opravilo: Vzorčni Enable-SecureBootUpdateTask.ps1

Opomba: To je vzorčni skript, ki ga Microsoft ne podpira. Skrbniki bi ga morali pregledati in prilagoditi svojemu okolju.

Primer:

Opomba

.\Enable-SecureBootUpdateTask.ps1 -Tiho

Zaženite navodila

  • Če vidite da je dostop zavrnjen, znova zaženite PowerShell kot skrbnik.
  • Če se skript ne bo zagnal zaradi pravilnika o izvajanju, uporabite bypass obsega procesa:

Opomba

Set-ExecutionPolicy -Obseg procesa -Obhod ExecutionPolicy

Nazaj na vrh