Primenjuje se na
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Original Published Date: October 14, 2025

KB ID: 5068202

Ovaj članak sadrži uputstva za:  

  • Organizacije sa Windows uređajima i ispravkama koje upravlja IT.

Dostupnost ove podrške:  

  • AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut i MicrosoftUpdateManagedOptIn ključevi registratora uključeni su u ispravke objavljene dana ili posle sledećih datuma:

    • 14. oktobar 2025: Podržane verzije obuhvataju Windows 10, verziju 22H2 i novije verzije (uključujući 21H2 LTSC), sve podržane verzije programa Windows 11, kao i Windows Server 2022 i novije verzije.

    • 11. novembar 2025: Za verzije operativnog sistema Windows koje su i dalje podržane.

U ovom članku

Uvod

Ovaj dokument opisuje podršku za primenu, upravljanje i nadgledanje ispravki certifikata za bezbedno pokretanje pomoću windows ključeva registratora. Tasteri se sastoje od sledećih stavki: 

  • Jedan ključ za aktiviranje primene certifikata i upravljača pokretanjom na uređaju.

  • Dva tastera za nadgledanje statusa primene.

  • Dva tastera za upravljanje postavkama za davanje saglasosti/odbijanje saglasosti za dve dostupne asistencije za primenu.

Ovi ključevi registratora mogu da se podese ručno na uređaju ili daljinski putem dostupnog softvera za upravljanje flotom. Drugi metodi primene, kao što Smernice grupe, Intune i WinCS, opisani su u članku Windows uređaji za preduzeća i organizacije sa ispravkama kojima upravlja IT.  

Bezbedno pokretanje ključeva registratora

U ovom odeljku

Ključevi registratora

Svi ključevi registratora bezbednog pokretanja opisani u ovom dokumentu nalaze se ispod ove putanje registratora: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Sledeća tabela opisuje svaku vrednost registratora. 

Vrednost registratora

Tip

Opis & upotrebe

Dostupne ispravke

REG_DWORD (maska bitova)

Zastavice okidača za ažuriranje.

Kontroliše koje radnje ažuriranja bezbednog pokretanja treba izvršiti na uređaju. Podešavanje odgovarajućeg bitfield-a ovde pokreće primenu novih certifikata za bezbedno pokretanje i srodnih ispravki. Za primenu preduzeća, ovo bi trebalo da bude podešeno na 0x5944 (heksadecimalni) – vrednost koja omogućava sve relevantne ispravke (dodavanje novih CA certifikata iz 2023. godine, ažuriranje KEK-a i instaliranje novog upravljača za pokretanje). 

Postavke: 

  • 0 ili nije podešeno – ne izvršava se ažuriranje ključa za bezbedno pokretanje.

  • 0x5944 – Primena svih potrebnih certifikata i ažuriranje na PCA2023 potpisanog upravljača pokretanja

UEFICA2023Status

REG_SZ (niska)

Indikator statusa primene.

Odražava trenutno stanje ažuriranja ključa za bezbedno pokretanje na uređaju. Biće postavljena na jednu od sledećih tekstualnih vrednosti:

  • Nije počinjano:Ažuriranje još uvek nije pokrenuto.

  • Neprogres:Ažuriranje je aktivno u toku.

  • Ažurira: Ažuriranje je uspešno dovršeno.

U početku je status "NotStarted". Ona se menja u InProgress kada počne ažuriranje i na kraju na "Ažurirano" kada se primene svi novi tasteri i novi menadžer pokretanja. Ako postoji greška, onda je vrednost registratora UEFICA2023Error postavljena na kôd koji nije nula.

UEFICA2023Greška

REG_DWORD (kôd)

Kôd greške (ako ga ima).

Ova vrednost ostaje 0 za uspeh. Ako proces ažuriranja naiđe na grešku, UEFICA2023Error se postavlja na kôd greške koja nije nula koja odgovara prvoj grešci na koju se naišlo. Greška ovde nagoveštava da ažuriranje bezbednog pokretanja nije u potpunosti uspelo i da može zahtevati istragu ili remediciju na tom uređaju.  

Na primer, ako ažuriranje DB -a (baze podataka pouzdanih potpisa) nije uspelo zbog problema sa firmverom, ovaj ključ registratora može da prikaže kôd greške koji se može mapirati u evidenciju događaja ili dokumentovani ID greške u događajima ažuriranja promenljive DBX i DBX promenljive. 

HighConfidenceOptOut

REG_DWORD

Opcija odbijanja saglasnosti.

Za preduzeća koja žele da odbiju saglasnost za kontejnere visokog stepena pouzdanosti koji će se automatski primeniti kao deo LCU-a.

Možete da podesite ovaj ključ na vrednost koja nije nula da biste odbili saglasnost za grupe sa visokim stepenom pouzdanosti. 

Postavke 

  • 0 ili ključ ne postoji – prijavljivanje

  • 1 – davanje saglasnosti

MicrosoftUpdateManagedOptIn

REG_DWORD

Opcija za danje saglasnja.

Za preduzeća koja žele da daju saglasnosti za servisiranje kontrolisane funkcije (CFR), poznatu i pod imenom Microsoft Managed.

Pored postavljanja ovog ključa, dozvolite i slanje potrebnih dijagnostičkih podataka (pogledajte članak Konfigurisanje Windows dijagnostičkih podataka u organizaciji). 

Postavke

  • 0 ili ključ ne postoji – odbijanje saglasno

  • 1 – davanje saglasnosti

Kako ovi tasteri rade zajedno

IT administrator konfiguriše vrednost registratora AvailableUpdates na 0x5944 što windows signalizira da izvrši ažuriranje i instalaciju ključa za bezbedno pokretanje na uređaju.

Dok se proces pokreće, sistem ažurira UEFICA2023Status iz NotStarted u InProgress i na kraju na Ažurirano nakon uspeha. Kako se svaki 0x5944 u programu obradi, on se briše.

Ako neki korak ne uspe, kôd greške zapisuju se u UEFICA2023Error (i status ostaje InProgress).

Ovaj mehanizam administratorima pruža jasan način da aktiviraju i prate primenu po uređaju. 

Primena pomoću ključeva registratora 

Primena na grupu uređaja sastoji se od sledećih koraka: 

  1. Postavite vrednost registratora AvailableUpdatesna 0x5944 na svakom uređaju koji će se ažurirati.

  2. Nadgledajte ključeve registratora UEFICA2023Status i UEFICA2023Error da biste videli da uređaji napreduje. Ne zaboravite da se zadatak koji obrađuje ova ažuriranja pokreće jednom na svakih 12 časova. Imajte na umu da ažuriranje upravljača pokretanjem možda neće biti dok se ponovo ne pokrene.

  3. Ispitajte probleme ako do njih dođe. Ako UEFICA2023Error na uređaju nije nula, možete da proverite da li u evidenciji događaja ima događaja vezanih za ovaj problem. Pogledajte događaje promenljivih promenljivih DBX-a za kompletnu listu događaja bezbednog pokretanja.

Napomena o ponovnom pokretanju: Iako može biti potrebno ponovno pokretanje da bi se dovršio proces, pokretanje primene ispravki za bezbedno pokretanje neće dovesti do ponovnog pokretanja. Ako je potrebno ponovno pokretanje, primena bezbednog pokretanja se oslanja na ponovno pokretanje, što je uobičajeni tok korišćenja uređaja. 

Testiranje uređaja pomoću ključeva registratora 

Prilikom testiranja pojedinačnih uređaja da biste se uverili da će uređaji ispravno obraditi ispravke, ključevi registratora mogu biti jednostavan način testiranja. 

Da biste testirali, pokrenite svaku od sledećih komandi odvojeno od odziva administratora PowerShell: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Prva komanda pokreće primenu certifikata i upravljača pokretanja na uređaju. Druga komanda izaziva odmah pokretanje zadatka koji obrađuje ključ registratora AvailableUpdates . Zadatak se obično pokreće svakih 12 sati. 

Rezultate možete da pronađete tako što ćete posmatrati ključeve registratora UEFICA2023Status i UEFICA2023Error i evidencije događaja kao što je opisano u događajima ažuriranja promenljivih DBX i promenljivih DBX datoteka. 

Davanje saglasno i odjavljivanje za pomoć 

Ključevi registratora HighConfidenceOptOut i MicrosoftUpdateManagedOptIn mogu da se koriste za upravljanje dvema "pomoćima za primenu" opisanim na Windows uređajima sa ispravkama kojima upravlja IT

  • Ključ registratora HighConfidenceOptOut kontroliše automatsko ažuriranje uređaja putem kumulativnih ispravki. Za uređaje na kojima je Microsoft uspešno posmatrao određene uređaje koji se ažuriraju, oni će se smatrati uređajima sa visokim stepenom pouzdanosti, a ažuriranja certifikata za bezbedno pokretanje će se automatski desiti. Podrazumevana postavka za ovu saglasost.

  • Ključ registratora MicrosoftUpdateManagedOptIn omogućava IT sektorima da daju saglasnost za automatsku primenu koju upravlja Microsoft. Ova postavka je podrazumevano onemogućena i postavlja se na 1 saglasno. Ova postavka takođe zahteva da uređaj šalje opcionalne dijagnostičke podatke.

Podržane verzije operativnog sistema Windows

Ova tabela dodatno prekida podršku na osnovu ključa registratora. 

Ključ 

Podržane verzije operativnog sistema Windows 

Dostupne ispravke 

UEFICA2023Status 

UEFICA2023Greška 

Sve verzije operativnog sistema Windows koje podržavaju bezbedno pokretanje (Windows Server 2012 i novije verzije operativnog sistema Windows).  

Nota: Iako se podaci o pouzdanosti prikupljaju na Windows 10 verzijama LTSC, 22H2 i novijim verzijama operativnog sistema Windows, mogu se primeniti na uređaje koji rade pod starijim verzijama operativnog sistema Windows.    

  • Windows 10, verzije LTSC i 22H2

  • Windows 11, verzije 22H2 i 23H2

  • Windows 11, verzija 24H2

  • Windows Server 2025.

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Događaji greške pri bezbednom pokretanju

​​​​​​​​​​​​​​Događaji grešaka imaju kritičnu funkciju izveštavanja za informisanje o statusu bezbednog pokretanja i toku.  Informacije o događajima greške potražite u člancima Bezbedno pokretanje baze podataka i događaji ažuriranja promenljivih DBX-a. Događaji grešaka se ažuriraju dodatnim informacijama o događaju za bezbedno pokretanje. 

Dodatne promene komponente za bezbedno pokretanje sistema 

U ovom odeljku

Promene TPMtasks 

Izmenite TPMTasks da biste utvrdili da li stanje uređaja ima ažurirane certifikate za bezbedno pokretanje. Trenutno to može da olakša, ali samo ako CFR izabere računar za ažuriranje. Ta determinacija i naredno evidentiranje treba da se dese u svakoj sesiji pokretanja bez obzira na CFR. Ako certifikati za bezbedno pokretanje nisu potpuno ažurirani, onda će emitovati dva događaja greške opisana iznad. Ako su certifikati ažurirani, onda će emitovati događaj Information. Certifikati za bezbedno pokretanje koji će biti provereni su:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 i Microsoft Option ROM UEFI CA 2023 – ova dva CA-ja moraju biti prisutna samo ako je prisutan Microsoft UEFI CA 2011. Ako Microsoft UEFI CA 2011 nije prisutan, onda nije potrebna provera.

  • Microsoft Corporation KEK 2K CA 2023

Događaj metapodataka mašine 

Ovaj događaj će prikupiti metapodatke mašine i izdati sledeći događaj:

  • BucketId + Confidence Rating event   

Ovaj događaj će koristiti metapodatke računara za pronalaženje odgovarajuće stavke u bazi podataka mašina (stavka kontejnera). Mašina će oblikovati i emitovati događaj sa ovim podacima zajedno sa bilo kojim informacijama o pouzdanosti u vezi sa kontejnerom. ​​​​​​​ 

Pomoć za uređaje sa visokim nivoom samopouzdanja 

Za uređaje u kontejnerima sa visokim stepenom pouzdanosti, certifikati za bezbedno pokretanje i 2023 potpisani upravljač pokretanjem će automatski biti primenjeni.   

Ažuriranje će se pokrenuti u isto vreme kada se generišu dva događaja greške, a događaj BucketId + Confidence Rating uključuje ocenu visokog stepena pouzdanosti.   

Odjavljivanje saglasno

Za klijente koji žele da odbiju saglasnje, novi ključ registratora biće dostupan na sledeći način:   

Lokacija registratora

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Ime ključa

HighConfidenceOptOut

Tip ključa

DWORD

DWORD vrednost

0 ili ključ ne postoji – omogućena je pomoć za visoku pouzdanost.    

1 – Pomoć za visoku pouzdanost je onemogućena   

Bilo koja druga vrednost nije definisana   

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost