Velja za
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Izvirni objavljeni datum: 14. oktober 2025

ID zbirke znanja: 5068202

V tem članku so navodila za:  

  • Organizacije z napravami in posodobitvami sistema Windows, ki jih upravlja IT.

Razpoložljivost te podpore:  

AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut in MicrosoftUpdateManagedOptIn registrski ključi so vključeni v posodobitve, izdane na ali po teh datumih:

  • 14. oktober 2025: Podprte različice vključujejo Windows 10, različico 22H2 in novejše različice (vključno z 21H2 LTSC), vse podprte različice brskalnika Windows 11 ter Windows Server 2022 in novejše.

  • 11. november 2025: Za različice sistema Windows, ki so še vedno podprte.

Spremeni datum

Opis spremembe

4. november 2025

  • Na stran je bil dodan še en registrski ključ.

  • Popravljena je izjava »Če je na primer posodobitev zbirke podatkov (zbirka podatkov zaupanja vrednih podpisov) neuspešna zaradi težave z vdelano programsko opremo, lahko ta registrski ključ prikaže kodo napake, ki jo je mogoče preslikati v dnevnik dogodkov ali dokumentiran ID napake v«, da reče »Na primer, če posodabljanje zbirke podatkov (zbirke podatkov zaupanja vrednih podpisov) zaradi težave z vdelano programsko opremo ni uspelo. ta registrski ključ lahko prikaže kodo napake iz vdelane programske opreme. Če ta ključ obstaja in ni enak nič, priporočamo, da poiščete dogodke varnega zagona v dnevnikih dogodkov sistema Windows – za več podrobnosti glejte (povezava)«.

  • Spodaj sta dodani dve ločeni poti za registrske ključe

11. november 2025

  • Posodobili smo odstavek v razdelku Preskušanje naprave z uporabo registrskih ključev z dodatnimi informacijami: »Registrski ključ bi se moral hitro spremeniti v 0x4100. Če znova zaženete in znova zaženete opravilo, se bo upravitelj zagona posodobil in posodobitve AvailableUpdates bodo 0x0100. Če želite več podrobnosti o tem, kako se obnaša availableUpdates, glejte Odpravljanje težav.«

  • Posodobite besedilo v sivem polju pod možnostjo Preskušanje naprave z registrskimi ključi, da boste imeli dva dodatna ukaza ogrodja PowerShell

  • V razdelku registrski ključi je bila vrednost registra –MicrosoftUpdateManagedOptIn« spremenjena iz »1 – privolitev v« v »1 ali katero koli vrednost, ki ni ničelna – privolitev v sodelovanje«

V tem članku

Uvod

V tem dokumentu je opisana podpora za uvajanje, upravljanje in nadzorovanje posodobitev potrdil varnega zagona z registrski ključi sistema Windows. Tipke so sestavljene iz: 

  • En ključ za sprožitev uvajanja potrdil in upravitelja zagona v napravi.

  • Dva ključa za nadzorovanje stanja uvedbe.

  • Dva ključa za upravljanje nastavitev za privolitev v sodelovanje/odjavo za dve pomoči pri uvajanju, ki sta na voljo.

Te registrske ključe je mogoče nastaviti ročno v napravi ali oddaljeno z razpoložljivo programsko opremo za upravljanje flote. Drugi načini uvajanja, kot pravilnik skupine, Microsoft Intune in WinCS, so opisani v članku Naprave s sistemom Windows za podjetja in organizacije s posodobitvami, ki jih upravlja IT.  

Registrski ključi varnega zagona

V tem razdelku

Registrski ključi

Vsi ključi registra varnega zagona, opisani spodaj, so pod to potjo registra: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

V spodnji tabeli so opisane vse vrednosti registra:

Vrednost registra

Vrsta

Opis in uporaba

Na voljoPošiljanja

REG_DWORD (bitna preslikava)

Posodobite zastavice sprožilca.

Nadzoruje, katera dejanja posodobitve varnega zagona naj se izvajajo v napravi. Če nastavite ustrezno bitno polje, s tem sprožite uvedbo novih potrdil za varni zagon in povezanih posodobitev. Za uvajanje v podjetjih mora biti ta nastavitev nastavljena na 0x5944 (šestnajstiško) – vrednost, ki omogoča vse ustrezne posodobitve (dodajanje novih potrdil overilja digitalnih potrdil za leto 2023, posodobitev KEK-ja in namestitev novega upravitelja zagona). 

Nastavitve: 

  • 0 or not set - No Secure Boot key update are performed.

  • 0x5944 – Uvedi vsa potrebna potrdila in posodobi v PCA2023 upravitelja zagona

HighConfidenceOptOut

REG_DWORD

Možnost za odjavo.

Za podjetja, ki želijo zavrniti sodelovanje pri vedrih z visokim zaupanjem, ki bodo samodejno uporabljena kot del LCU.

Ta ključ lahko nastavite na vrednost, ki ni ničelna, če se želite odjaviti od veder z visoko stopnjo zaupanja. 

Nastavitve 

  • 0 ali ključ ne obstaja – privolitev v sodelovanje

  • 1 – Odjava

MicrosoftUpdateManagedOptIn

REG_DWORD

Možnost za privolitev v sodelovanje.

Za podjetja, ki želijo privoliti v servisiranje nadzorovanih posodobitev funkcij (CFR), ki se imenuje tudi Microsoftovo upravljano.

Poleg nastavitve tega ključa omogočite pošiljanje zahtevanih diagnostičnih podatkov (glejte Konfiguracija diagnostičnih podatkov sistema Windows v vaši organizaciji). 

Nastavitve

  • 0 ali ključ ne obstaja – odjava

  • 1 ali katera koli neničelna vrednost  – privolitev v sodelovanje

Vsi ključi registra varnega zagona, opisani spodaj, so pod to potjo registra: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

V spodnji tabeli so opisane vse vrednosti registra:

Vrednost registra

Vrsta

Opis in uporaba

UEFICA2023Status

REG_SZ (niz)

Indikator stanja uvajanja.

Odraža trenutno stanje posodobitve ključa za varni zagon v napravi. Nastavljena bo na eno od teh besedilnih vrednosti:

  • NotStarted: Posodobitev se še ni zagnala.

  • InProgress: Posodobitev se aktivno izvaja.

  • Posodobljeno: posodobitev je bila uspešno dokončana.

Na začetku je stanje »NotStarted«. Ko se posodobitev začne, se spremeni v InProgress, na koncu pa na Posodobljeno, ko so uvedene vse nove tipke in novi upravitelj zagona. Če pride do napake, je vrednost registra UEFICA2023Error nastavljena na neničelno kodo.

UEFICA2023Napaka

REG_DWORD (koda)

Koda napake (če je na voljo).

Ta vrednost ostane 0 na uspehu. Če pri postopku posodobitve pride do napake, je UEFICA2023Napaka nastavljena na neničelno kodo napake, ki ustreza prvi napaki, do katere je prišlo. Napaka v tem razdelku pomeni, da posodobitev varnega zagona ni bila v celoti uspešna in lahko zahteva preiskavo ali popravek v tej napravi.  

Če na primer posodobitev zbirke podatkov (zbirke podatkov zaupanja vrednih podpisov) ni uspela zaradi težave z vdelano programsko opremo, lahko ta registrski ključ prikaže kodo napake iz vdelane programske opreme. Če ta ključ obstaja in ni nič, priporočamo, da poiščete dogodke varnega zagona v dnevnikih dogodkov sistema Windows – za več podrobnosti glejte Dogodki posodobitve spremenljivih posodobitev za varni zagon DB in DBX.

WindowsUEFICA2023Capable

REG_DWORD (koda)

Ta registrski ključ je namenjen omejenim scenarijem uvajanja in ni priporočen za splošno uporabo. V večini primerov uporabite registrski ključ UEFICA2023Status.

Veljavne vrednosti:

0 – ali pa ključ ne obstaja – potrdilo »Windows UEFI CA 2023« ni v zbirki podatkov

1 – potrdilo »Windows UEFI CA 2023« je v zbirki podatkov

2 - "Windows UEFI CA 2023" potrdilo je v DB in sistem se začne s podpisano boot manager 2023

Kako ti tipki delujeta skupaj

Skrbniki za IT konfigurirajo vrednost registra AvailableUpdates tako, da 0x5944, kar pomeni, da Windows izvede posodobitev ključa za varni zagon in namestitev v napravo.

Ko se postopek izvaja, sistem posodobi UEFICA2023Status iz NotStarted v InProgress, in na koncu na Posodobljeno ob uspehu. Ko je vsak bit 0x5944 obdelan, je počiščen.

Če kateri od korakov ne uspe, se v UEFICA2023Error zabeleži koda napake (stanje pa ostane »InProgress«).

Ta mehanizem skrbnikom omogoča jasen način za sprožitev in sledenje izdaje na napravo. 

Uvajanje z registrski ključi 

Uvajanje v skupino naprav je sestavljeno iz teh korakov: 

  1. Nastavite vrednost registra AvailableUpdates na 0x5944 v vsaki napravi, ki jo želite posodobiti.

  2. Spremljajte registrska ključa UEFICA2023Status in UEFICA2023Error , da preverite, ali naprave napredujejo. Opravilo, ki obdela te posodobitve, se zažene vsakih 12 ur. Posodobitev upravitelja zagona se lahko zgodi šele po ponovnem zagonu.

  3. Raziščite težave, če se pojavijo. Če UEFICA2023Error v napravi ni nič, lahko v dnevniku dogodkov preverite, ali so v dnevniku dogodkov dogodki, povezani s to težavo. Celoten seznam dogodkov varnega zagona najdete v člankih Dogodki posodobitve spremenljivih posodobitev za varni zagon DB in DBX.

Opomba o ponovnih zagonih: Za dokončanje postopka bo morda potreben vnovični zagon, uvedba posodobitev varnega zagona pa ne bo povzročila ponovnega zagona. Če je potreben vnovični zagon, uvajanje varnega zagona temelji na ponovnih zagonih, ki se dogajajo med običajno uporabo naprave. 

Preskušanje naprave z registrski ključi 

Pri preskušanju posameznih naprav za zagotavljanje, da bodo naprave pravilno obdelala posodobitve, so lahko registrski ključi preprost način za preskušanje. 

Če želite preskusiti, zaženite vsakega od teh ukazov ločeno od poziva skrbnika PowerShell: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Ročni vnovični zagon sistema, ko so na voljoPošiljanja 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

S prvim ukazom sprožite uvedbo potrdila in upravitelja zagona v napravi. Drugi ukaz povzroči, da se opravilo, ki obdela registrski ključ AvailableUpdates , takoj zažene. Običajno se opravilo zažene vsakih 12 ur. Registrski ključ bi se moral hitro spremeniti v 0x4100. Če znova zaženete in znova zaženete opravilo, se bo upravitelj zagona posodobil in posodobitve AvailableUpdates bodo 0x0100. Če želite več podrobnosti o tem, kako deluje AvailableUpdates, glejte Odpravljanje težav.

Rezultate lahko poiščete tako, da spremljate registrske ključe UEFICA2023Status in UEFICA2023Error ter dnevnike dogodkov, kot je opisano v člankih Dogodki posodobitve za spremenljivo posodobitev za varni zagon DB in DBX

Privolitev v sodelovanje in zavrnitev pomoči 

Z registrskima ključema HighConfidenceOptOut in MicrosoftUpdateManagedOptIn lahko upravljate dve izdaji »pomoči«, ki sta opisani v napravah s sistemom Windows s posodobitvami za IT

  • Registrski ključ HighConfidenceOptOut nadzira samodejno posodobitev naprav prek zbirnih posodobitev. Za naprave, v katerih je Microsoft uspešno posodobil določene naprave, bodo obravnavane kot naprave z visoko stopnjo zanesljivosti in posodobitve potrdil za varni zagon se bodo izvajale samodejno. Privzeta nastavitev je privolitev v sodelovanje.

  • Registrski ključ MicrosoftUpdateManagedOptIn oddelkom za IT omogoča, da privolijo v samodejno uvedbo, ki jo upravlja Microsoft. Ta nastavitev je privzeto onemogočena in jo nastavite na 1 privolitev v sodelovanje. Ta nastavitev zahteva tudi, da naprava pošlje izbirne diagnostične podatke.

Podprte različice sistema Windows

V tej tabeli je dodatno razčlenjena podpora, ki temelji na registrskem ključu. 

Ključ 

Podprte različice sistema Windows 

Na voljoPošiljanja 

UEFICA2023Status 

UEFICA2023Napaka 

Vse različice sistema Windows, ki podpirajo varni zagon (Windows Server 2012 in novejše različice sistema Windows).  

Opomba: Podatki o zanesljivosti so zbrani v sistemu Windows 10 različicah LTSC, 22H2 in novejših različicah sistema Windows, vendar pa jih lahko uporabite v napravah s starejšimi različicami sistema Windows.    

  • Windows 10, različici LTSC in 22H2

  • Windows 11, različici 22H2 in 23H2

  • Windows 11, različica 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Dogodki napake varnega zagona

​​​​​​​​​​​​​​Dogodki napake imajo pomembno funkcijo poročanja, ki obvešča o stanju varnega zagona in napredku.  Če želite več informacij o dogodkih napake, glejte Dogodki posodobitve spremenljivih dogodkov za varni zagon DB in DBX. Dogodki napake se posodabljajo z dodatnimi informacijami o dogodku za varni zagon. 

Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost