Primenjuje se na
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Originalni datum objavljivanja: 19. mart 2026.

KB ID: 5085046

U ovom članku

Pregled

Ova stranica vodi administratore i stručnjake za podršku u dijagnostikovanju i rešavanju problema vezanih za bezbedno pokretanje na Windows uređajima. Teme uključuju neuspela ažuriranja certifikata bezbednog pokretanja, neispravna stanja bezbednog pokretanja, neočekivane BitLocker odzive za oporavak i neuspela pokretanja nakon promene konfiguracije bezbednog pokretanja.

Uputstvo objašnjava kako da verifikujete Windows servisiranje i konfiguraciju, pregledate relevantne vrednosti registratora i evidencije događaja i identifikujete kada ograničenja firmvera ili platforme zahtevaju OEM ispravku. Ovaj sadržaj je namenjen za dijagnostikovanje problema na postojećim uređajima. Nije namenjeno planiranju novih primena. Ovaj dokument će biti ažuriran kako se identifikuju novi scenariji za rešavanje problema i uputstva.

nazad na vrh

Kako funkcioniše servisiranje certifikata za bezbedno pokretanje

Servisiranje certifikata za bezbedno pokretanje u operativnom sistemu Windows je koordinisan proces između operativnog sistema i UEFI firmvera uređaja. Cilj je da ažurirate kritične polazne tačke poverenja zadržavajući mogućnost pokretanja u svakoj fazi.

Proces povlači Windows planirani zadatak, niz radnji ažuriranja zasnovan na registratoru i ugrađeno evidentiranje i ponašanje ponovnih pokušaja. Zajedno, ove komponente obezbeđuju da se certifikati za bezbedno pokretanje i upravljač pokretanja operativnog sistema Windows ažuriraju na kontrolisan, uređen način i tek nakon neophodnih koraka će uspeti.

nazad na vrh

Gde početi prilikom rešavanja problema

Kada izgleda da uređaj ne postiže očekivani napredak pri primeni ispravki certifikata za bezbedno pokretanje, počnite tako što ćete identifikovati kategoriju problema. Većina problema spada u jednu od četiri oblasti: stanje servisiranja operativnog sistema Windows, mehanizam ažuriranja bezbednog pokretanja, ponašanje firmvera ili platforma ili OEM ograničenje.

Počnite proverama u nastavku, redom. U mnogim slučajevima, ovi koraci su dovoljni da objasne posmatrano ponašanje i odrede sledeće radnje bez detaljnije istrage.

  1. Potvrdite windows servisiranje i ispunjavanje uslova za platformu

    1. ​​​​​​​Proverite da li uređaj ispunjava osnovne zahteve za prijem ispravki certifikata za bezbedno pokretanje sistema:

    2. Uređaj radi pod podržanom verzijom operativnog sistema Windows.

    3. Instalirane su najnovije potrebne windows bezbednosne ispravke.

    4. Bezbedno pokretanje je omogućeno u UEFI firmveru.

    5. Ako neki od ovih uslova nije ispunjen, rešite ih pre nego što nastavite sa daljim rešavanjem problema.

  2. Provera statusa zadatka "Bezbedno pokretanje sistema"

    1. Potvrdite da je prisutan Windows mehanizam odgovoran za primenu ispravki certifikata za bezbedno pokretanje sistema i da funkcioniše:

    2. Planirani zadatak bezbednog pokretanja i ažuriranja postoji.

    3. Zadatak je omogućen i pokreće se kao lokalni sistem.

    4. Zadatak se pokreće bar jednom od instaliranja najnovije Windows bezbednosne ispravke.

    5. Ako je zadatak onemogućen, izbrisan ili nije pokrenut, nije moguće primeniti ispravke certifikata za bezbedno pokretanje. Rešavanje problema bi trebalo da se fokusira na vraćanje zadatka u prethodno vreme pre nego što istraži druge uzroke.

  3. Provera očekivanog napredovanja u postavkama registratora

    Pregledajte stanje servisiranja bezbednog pokretanja uređaja u registratoru:

    1. Ispitajte UEFICA2023Status, UEFICA2023Error i UEFICA2023ErrorEvent.

    2. Ispitajte AvailableUpdates i uporedite ga sa očekivanim napredovanjem (pogledajte Članak Reference i interna svojstva).

    Zajedno, ove vrednosti ukazuju na to da li servisiranje normalno napreduje, ponovni pokušaj operacije ili je zausuta u određenom koraku.

  4. Correlate registry state with Secure Boot events

    Pregledajte događaje povezane sa bezbednim pokretanjem u evidenciji događaja sistema i uskladite ih sa stanjem registratora. Podaci o događaju obično potvrđuju da li uređaj napreduje, ponovo pokuša zbog prolaznog stanja ili blokiran problemom firmvera ili platforme.

    Zajedno evidencije registratora i događaja obično ukazuju na to da li je ponašanje očekivano, privremeno ili zahteva radnju kolektivnog ispravljanja.

nazad na vrh

Secure-Boot-Update scheduled task

Servisiranje certifikata bezbednog pokretanja primenjuje se putem Windows planiranog zadatka pod imenom Secure-Boot-Update. Zadatak je registrovan na sledećoj putanji:

\Microsoft\Windows\PI\Secure-Boot-Update

Zadatak se pokreće kao lokalni sistem. Ona se podrazumevano pokreće pri pokretanju sistema i na svakih 12 sati posle toga. Svaki put kada se pokrene, proverava da li su radnje ažuriranja bezbednog pokretanja na čekanju i pokušava da ih primeni u nizu.

Ako je ovaj zadatak onemogućen ili nedostaje, nije moguće primeniti ispravke certifikata za bezbedno pokretanje. Zadatak bezbednog pokretanja mora da ostane omogućen da bi usluga bezbednog pokretanja funkcionisala.

nazad na vrh

Zašto se koristi planirani zadatak

Ispravke certifikata za bezbedno pokretanje zahtevaju koordinaciju između Windows i UEFI firmvera, uključujući pisanje UEFI promenljivih koje skladište ključeve za bezbedno pokretanje i certifikate. Planirani zadatak omogućava operativnom sistemu Windows da pokuša da izvrši ove ispravke kada je sistem u stanju u kojem se mogu izmeniti promenljive firmvera.

Periodični 12-časovni raspored pruža dodatne mogućnosti za ponovni pokušaj ažuriranja ako prethodni pokušaj nije uspeo ili ako je uređaj ostao uključen bez ponovnog pokretanja. Ovaj dizajn osigurava napredovanje bez potrebe za ručnim intervencijama.

nazad na vrh

The AvailableUpdates bitmask registry

Zadatak bezbednog pokretanja je pokrenut pomoću vrednosti registratora AvailableUpdates . Ova vrednost je 32-bitna maska koja se nalazi na:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Svaki bit u vrednosti predstavlja određenu radnju ažuriranja bezbednog pokretanja. Proces ažuriranja počinje kada je funkcija AvailableUpdates postavljena na vrednost koja nije nula, ili automatski od strane Windows-a ili je izričito postavio administrator. Na primer, vrednost kao što je 0x5944 ukazuje na to da je na čekanju više radnji ažuriranja.

Kada se zadatak bezbednog pokretanja pokrene, on tumači skup bitova kao rad na čekanju i obrađuje ih definisanim redosledom.

nazad na vrh

Sekvencijalne ispravke, evidentiranje i ponašanje prilikom ponovnog suđivanja

Ispravke certifikata za bezbedno pokretanje primenjuju se fiksnim redosledom. Svaka radnja ažuriranja je dizajnirana tako da bude bezbedna da bi se ponovo pokušalo i dovršilo nezavisno. Zadatak bezbednog pokretanja ne prelazi na sledeći korak dok trenutna radnja ne uspe, a odgovarajući bit se briše iz usluge AvailableUpdates.

Svaka operacija koristi standardne UEFI interfejse za ažuriranje promenljivih bezbednog pokretanja kao što su DB i KEK ili za instaliranje ažuriranog upravljača windows pokretanjem. Windows beleži ishod svakog koraka u evidenciji događaja sistema. Događaji uspeha potvrđuju napredovanje, dok događaji neuspeha ukazuju na razloge zbog kojih radnja nije mogla da se dovrši.

Ako korak ažuriranja ne uspe, zadatak prestaje sa obradom, evidentira grešku i ostavlja povezani skup bitova. Operacija će biti ponovo pokušana sledeći put kada se zadatak pokrene. Ovo ponašanje pri ponovnom pokretanju omogućava uređajima da se automatski oslone na privremene uslove, kao što su podrška za firmver koji nedostaje ili odložene OEM ispravke.

Administratori mogu da prate napredak povezivanjem stanja registratora sa stavkama evidencije događaja. Vrednosti registratora kao što su UEFICA2023Status, UEFICA2023Error i UEFICA2023ErrorEvent, zajedno sa rasterska maska availableUpdates , ukazuju na to koji korak je aktivan, dovršen ili blokiran.

Ova kombinacija pokazuje da li uređaj normalno napreduje, pokušava ponovo da izvrši operaciju ili je zausuta.

nazad na vrh

Integracija sa OEM firmverom

Ispravke certifikata bezbednog pokretanja zavise od tačnog ponašanja i podrške u UEFI firmveru uređaja. Dok Windows orkestrira proces ažuriranja, firmver je odgovoran za nametanje smernica za bezbedno pokretanje i održavanje baza podataka za bezbedno pokretanje.

OEM-i obezbeđuju dva kritična elementa koji omogućavaju servisiranje certifikata za bezbedno pokretanje:

  • Ključevi platforme potpisani tasterima Exchange ključevi (KEKS) koji ovlaste instalaciju novih certifikata za bezbedno pokretanje.

  • Primene firmvera koje ispravno čuvaju, dodaju i proveravaju valjanost baza podataka bezbednog pokretanja tokom ažuriranja.

Ako firmver ne podržava ova ponašanja u potpunosti, ispravke bezbednog pokretanja mogu da zaustave, ponovo pokušaju na neodređeno vreme ili dovesti do otkazivanja pokretanja. U tim slučajevima Windows ne može da dovrši ažuriranje bez promena firmvera.

Microsoft radi sa OEM-ovima da bi identifikovao probleme firmvera i da bi ispravio ispravke bio dostupan. Kada rešavanje problema ukazuje na ograničenje ili grešku firmvera, administratori će možda morati da instaliraju najnoviju UEFI ispravku firmvera koju je obezbedio proizvođač uređaja pre nego što ispravke certifikata za bezbedno pokretanje mogu uspešno da se dovrše.

nazad na vrh

Uobičajeni scenariji neuspeha i rešenja

Ispravke bezbednog pokretanja primenjuju se od strane planiranog zadatka bezbednog pokretanja i ažuriranja na osnovu stanja registratora AvailableUpdates .

U normalnim uslovima, ovi koraci se automatski odvijaju i snimaju događaje uspeha kada se svaka faza dovrši. U nekim slučajevima, ponašanje firmvera, konfiguracija platforme ili preduslovi za servisiranje mogu sprečiti napredak ili dovesti do neočekivanog ponašanja pri pokretanju.

Dolenavedeni odeljci opisuju najčešće scenarije otkazivanja, kako da ih prepoznate, zašto se pojavljuju i odgovarajuće sledeće korake za vraćanje normalne operacije u prethodno stanje. Scenariji su raspoređeni od najčešćih slučajeva do ozbiljnijih slučajeva koji utiču na pokretanje.

Kada ažuriranja bezbednog pokretanja ne prikazuju tok, to obično znači da proces ažuriranja nikada nije započet. Zbog toga nedostaju očekivane vrednosti registratora bezbednog pokretanja i evidencije događaja zato što mehanizam ažuriranja nikada nije aktiviran.

Šta se desilo

Proces ažuriranja bezbednog pokretanja nije pokrenut, tako da na uređaj nisu primenjeni certifikati za bezbedno pokretanje niti ažuriran upravljač pokretanja.

Kako da je prepoznate

  • Nisu prisutne vrednosti registratora usluge bezbednog pokretanja, kao što je UEFICA2023Status.

  • Očekivani događaji bezbednog pokretanja (na primer, 1043, 1044, 1045, 1799, 1801) nedostaju u evidenciji događaja sistema.

  • Uređaj i dalje koristi starije certifikate za bezbedno pokretanje sistema i komponente za pokretanje.

Zašto se to događa

Do ovog scenarija obično dolazi kada su ispunjeni neki od sledećih uslova:

  • Planirani zadatak bezbednog pokretanja je onemogućen ili nedostaje.

  • Bezbedno pokretanje je onemogućeno u UEFI firmveru.

  • Uređaj ne ispunjava preduslove za servisiranje operativnog sistema Windows, kao što je pokretanje podržane verzije operativnog sistema Windows ili instaliranje potrebnih ispravki.

Šta sledeće da uradite

  • Proverite da li uređaj ispunjava zahteve za servisiranje i platformu.

  • Potvrdite da je bezbedno pokretanje omogućeno u firmveru.

  • Uverite se da SecureBootUpdate planirani zadatak postoji i da je omogućen.

Ako je planirani zadatak onemogućen ili nedostaje, pratite uputstva u članku Planirani zadatak bezbednog pokretanja je onemogućen ili izbrisan da biste ga vratili u prethodno stanje. Kada se zadatak vrati u prethodno stanje, ponovo pokrenite uređaj ili pokrenite zadatak ručno da biste pokrenuli servisiranje bezbednog pokretanja.

U nekim slučajevima, ispravke vezane za bezbedno pokretanje mogu dovesti do toga da uređaj uđe u BitLocker oporavak. Ponašanje može biti prolazno ili neprekidno, u zavisnosti od osnovnog uzroka.

1. slučaj: OneTime BitLocker oporavak nakon ažuriranja bezbednog pokretanja

Šta se dešava

Uređaj ulazi u BitLocker oporavak pri prvom pokretanju nakon ažuriranja bezbednog pokretanja, ali se obično pokreće prilikom narednog ponovnog pokretanja.

Zašto se to događa

Tokom prvog pokretanja nakon ažuriranja, firmver još uvek ne prijašava ažurirane vrednosti bezbednog pokretanja kada Windows pokuša da ponovo promeni BitLocker. To izaziva privremeno nedudaranje izmerenih vrednosti pokretanja i aktivira oporavak. Prilikom sledećeg pokretanja firmver prijavljuje ispravno ažurirane vrednosti, BitLocker uspešno preusmeri, a problem se ne ponavlja.

Kako da je prepoznate

  • BitLocker oporavak se odvija jednom.

  • Kada unesete ključ za oporavak, naredna pokretanja ne traže oporavak.

  • Nije prisutan tekući nalog za pokretanje ili učešće u PXE formatu.

Šta sledeće da uradite

  • Unesite BitLocker ključ za oporavak da biste nastavili Windows.

  • Proverite da li postoje ispravke firmvera.

2. slučaj: Ponovni BitLocker oporavak zbog konfiguracije prvog pokretanja PXE

Šta se dešava

Uređaj ulazi u BitLocker oporavak pri svakom pokretanju.

Zašto se to događa

Uređaj je konfigurisan tako da prvo pokuša da se pokrene PXE (mreža). Pokušaj pokretanja PXE datoteke ne uspeva, a firmver se zatim vraća na upravljač pokretanja operativnog sistema Windows na disku.

To za rezultat ima merenje dva različita autoriteta za potpisivanje tokom jednog ciklusa pokretanja:

  • PXE putanju za pokretanje potpisao je Microsoft UEFI CA 2011.

  • Windows upravljač pokretanjem na disku potpisao je Windows UEFI CA 2023.

Budući da BitLocker posmatra različite lance poverenja prilikom pokretanja bezbednog pokretanja, ne može da uspostavi stabilni skup TPM mera u odnosu na koji treba ponovo da se primeni. Kao rezultat toga, BitLocker ulazi u oporavak pri svakom pokretanju.

Kako da je prepoznate

  • BitLocker oporavak se pokreće pri svakom ponovnom pokretanju.

  • Unos ključa za oporavak omogućava operativnom sistemu Windows da se pokrene, ali odziv se vraća pri sledećem pokretanju.

  • PXE ili pokretanje mreže se konfiguriše pre lokalnog diska u redosledu pokretanja firmvera.

Šta sledeće da uradite

  • Konfigurišite redosled pokretanja firmvera, tako da je prvo menadžer za windows pokretanje na disku.

  • Onemogućite PXE pokretanje ako nije neophodno.

  • Ako je PXE obavezan, uverite se da PXE infrastruktura koristi Windows učitavač za pokretanje iz 2023.

Šta se desilo

Ovo odražava promenu na nivou firmvera, a ne problem sa operativnim sistemom Windows. Ažuriranje bezbednog pokretanja je uspešno dovršeno, ali nakon ponovnog pokretanja, uređaj se više ne pokreće u operativnom sistemu Windows.

Kako da je prepoznate

  • Uređaj ne može da pokrene Windows i može da prikaže poruku firmvera ili BIOS-a koja ukazuje na kršenje pravila bezbednog pokretanja.

  • Do neuspeha dolazi nakon što se postavke bezbednog pokretanja resete na podrazumevane vrednosti firmvera.

  • Onemogućavanje bezbednog pokretanja može da omogući uređaju da se ponovo pokrene.

Zašto se to događa

Uspostavljanje podrazumevanih vrednosti bezbednog pokretanja na firmver poništava baze podataka bezbednog pokretanja uskladištene u firmveru. Na uređajima koji su već prešli na Windows UEFI CA 2023–potpisan upravljač pokretanja, ova poništavanje uklanja certifikate potrebne za poverenje tom upravljaču pokretanja.

Kao rezultat toga, firmver više ne prepoznaje instalirani Upravljač windows pokretanjem kao pouzdan i blokira proces pokretanja.

Ovaj scenario nije izazvan samim ažuriranjem bezbednog pokretanja već narednom radnjom firmvera koja uklanja ažurirane sidro poverenja.

Šta sledeće da uradite

  • Koristite uslužni program za oporavak bezbednog pokretanja da biste vratili potrebni certifikat u prethodno stanje, tako da uređaj može ponovo da se pokrene.

  • Nakon oporavka, uverite se da uređaj ima najnoviji dostupan firmver instaliran od proizvođača uređaja.

  • Izbegavajte uspostavljanje početnih vrednosti bezbednog pokretanja na podrazumevane vrednosti firmvera osim ako OEM firmver ne uključuje ažurirane podrazumevane vrednosti bezbednog pokretanja koje smatraju pouzdanim certifikatima iz 2023. godine.

Uslužni program za oporavak bezbednog pokretanja

Da biste oporavili sistem:

  1. Na drugom Windows računaru sa instaliranom ispravkom za Windows iz jula 2024. ili novijim, kopirajte SecureBootRecovery.efi sa C:\Windows\Boot\EFI\.

  2. Postavite datoteku na USB disk u formatu FAT32 ispod \EFI\BOOT\ i preimenujte je u bootx64.efi.

  3. Pokrenite uređaj na koji ovo utiče sa USB diska i omogućite pokretanje uslužnog programa za oporavak. Uslužni program će dodati Windows UEFI CA 2023 u DB.

Kada se certifikat vrati u prethodno stanje i sistem se ponovo pokrene, windows bi trebalo da se pokrene normalno.

Vaћno: Ovaj proces će ponovo primeniti samo jedan od novih certifikata. Kada se uređaj oporavi, uverite se da ima ponovo navedene najnovije certifikate i razmotrite ažuriranje BIOS/UEFI sistema na najnoviju dostupnu verziju. To može da spreči ponavljanje problema sa uspostavljanjem početnih vrednosti bezbednog pokretanja, pošto su mnogi OEM-i objavili ispravke firmvera za ovaj određeni problem.

Šta se desilo

Kada primenite ispravku certifikata bezbednog pokretanja i ponovo ga pokrenete, uređaj se ne pokreće i ne dolazi do operativnog sistema Windows.

Kako da je prepoznate

  • Uređaj ne uspeva odmah nakon ponovnog pokretanja koje je potrebno za ažuriranje bezbednog pokretanja.

  • Možda je prikazana greška firmvera ili bezbednog pokretanja ili sistem može da se zaustavi pre nego što se Windows učita.

  • Onemogućavanje bezbednog pokretanja može da omogući pokretanje uređaja.

Zašto se to događa

Do ovog problema može doći zbog greške u UEFI primeni firmvera uređaja.

Kada Windows primeni ispravke certifikata za bezbedno pokretanje, očekuje se da će firmver dodati nove certifikate postojećoj bazi podataka sa dozvoljenim potpisima za bezbedno pokretanje (DB). Neke primene firmvera neispravno zamenjuju DB umesto da ih dodaju.

Kada se to desi,

  • Prethodno pouzdani certifikati, uključujući microsoft 2011 certifikat za pokretanje, uklanjaju se.

  • Ako sistem u tom trenutku i dalje koristi upravljač pokretanja koji je potpisan sa certifikatom 2011, firmver više ne veruje u njega.

  • Firmver odbija upravljač pokretanja i blokira proces pokretanja.

U nekim slučajevima, funkcija DB može takođe da se ošteti umesto da bude čisto zamenjena, što će dovešće do istog ishoda. Ovo ponašanje je primenjeno na određene primene firmvera i ne očekuje se usaglašen firmver.

Šta sledeće da uradite

  • Unesite menije za podešavanje firmvera i pokušajte da uspostavite početne vrednosti postavki bezbednog pokretanja.

  • Ako se uređaj pokrene nakon uspostavljanja početnih vrednosti, na lokaciji podrške proizvođača potražite ispravku firmvera koja ispravlja rukovanje DB-om bezbednog pokretanja.

  • Ako je dostupna ispravka firmvera, instalirajte je pre ponovnog omogućavanja bezbednog pokretanja i ponovnog primene ispravki certifikata za bezbedno pokretanje.

Ako uspostavljanje početnih vrednosti bezbednog pokretanja ne vrati funkcionalnost pokretanja, verovatno će za dalji oporavak biti potrebna uputstva specifična za OEM.

Šta se desilo

Ažuriranje certifikata bezbednog pokretanja nije dovršeno i ostaje blokirano u fazi ažuriranja ključa Exchange ključa (KEK).

Kako da je prepoznate

  • Vrednost registratora AvailableUpdates ostaje podešena uz KEK bit (0x0004) i ne briše se.

  • UEFICA2023Status ne prelazi u dovršeno stanje.

  • Evidencija sistemskih događaja više puta beleži ID događaja 1803, što ukazuje na to da NIJE moguće primeniti KEK ispravku.

  • Uređaj nastavlja ponovni pokušaj ažuriranja bez napredovanja.

Zašto se to događa

Ažuriranje KEK-a za bezbedno pokretanje zahteva autorizacija iz ključa platforme uređaja (PK), koji je u vlasništvu OEM-a.

Da bi ažuriranje uspelo, proizvođač uređaja mora da obezbedi korporaciji Microsoft KEK potpisan sa PK za tu određenu platformu. Ovaj KEK potpisan sa OEM-om uključen je u Windows ispravke i omogućava operativnom sistemu Windows da ažurira KEK promenljivu firmvera.

Ako OEM nije obezbedio KEK potpisan sa PK-om za uređaj, Windows ne može da dovrši KEK ispravku. U ovom stanju:

  • Ispravke za bezbedno pokretanje su blokirane dizajnom.

  • Windows ne može da zaobilaže autorizovanje koje nedostaje.

  • Uređaj ne može trajno da dovrši servisiranje certifikata za bezbedno pokretanje.

Do ovoga može doći na starijim ili uređajima bez podrške gde OEM više ne obezbeđuje firmver ili ključne ispravke. Ne postoji podržana ručna putanja oporavka za ovaj uslov.

nazad na vrh

Kada se ne primene ispravke certifikata bezbednog pokretanja, Windows beleži dijagnostičke događaje koji objašnjavaju zašto je tok blokiran. Ovi događaji su napisani kada ažurirate bazu podataka potpisa za bezbedno pokretanje (DB) ili Key Exchange Key (KEK) zbog firmvera, stanja platforme ili uslova konfiguracije. Scenariji u ovom odeljku upućuju na ove događaje da bi identifikovali uobičajene obrasce otkazivanja i odredili odgovarajući ispravci. Ovaj odeljak je namenjen da podrži dijagnostiku i tumačenje problema opisanih ranije, a ne da uvodi nove scenarije neuspeha.

Kompletnu listu ID-ova događaja, opise i primere stavki potražite u člancima Bezbedno pokretanje baze podataka i događaji promenljivih DBX promenljivih (KB5016061).

Neuspešno ažuriranje KEK -a (ispravke baze podataka u DB su uspešne, KEK ne)

Uređaj može uspešno da ažurira certifikate u DB-u za bezbedno pokretanje, ali ne uspe tokom KEK ažuriranja. Kada se to dogodi, nije moguće dovršiti proces ažuriranja bezbednog pokretanja.

Simptome

  • Događaji DB certifikata ukazuju na tok, ali KEK faza nije dovršena.

  • AvailableUpdates ostaje postavljen na 0x4004, 0x0004 bit se ne obriše nakon više pokretanja zadatka.

  • Možda je prisutan događaj 1795 ili 1803 .

Interpretacija

  • 1795 obično ukazuje na neuspeh firmvera prilikom pokušaja ažuriranja promenljive bezbednog pokretanja.

  • 1803 ukazuje na to da nije moguće ovlastiti KEK ispravku zato što obavezno kek korisno opterećenje koje je potpisao OEM PK nije dostupno za platformu.

Sledeći koraci

  • Za 1795 potražite ispravke OEM firmvera i proverite valjanost podrške firmvera za ispravke promenljivih bezbednog pokretanja.

  • Za 1803 potvrdite da li je OEM obezbedio korporaciji Microsoft KEK potpisan PK koji je potreban za model uređaja.

Greška KEK ažuriranja na virtuelnim mašinama sa statusom gosta hostovanim na Hyper-V 

Na Hyper-V virtuelnim mašinama, ispravke certifikata za bezbedno pokretanje zahtevaju da ispravke za Windows iz marta 2026. budu instalirane na Hyper-V hostu i gostujućem operativnom sistemu.

U okviru gosta se prijavuju neuspešne ispravke, ali događaj ukazuje na to gde je potrebno poništavanje:

  • Događaj 1795 (na primer, "Medij je zaštićen od upisivanja") prijavljen u gostu ukazuje na to da Hyper-V hostu nedostaje ispravka iz marta 2026. i mora da se ažurira.

  • Događaj 1803 prijavljen u gostu ukazuje na to da sama virtuelna mašina gosta nedostaje u ispravci iz marta 2026. i mora da se ažurira.

nazad na vrh 

Reference i interna uputstva

Ovaj odeljak sadrži informacije o naprednim referencama namenjene za rešavanje problema i podršku. Nije namenjeno planiranju primene. Prošira se na mehanizmu za servisiranje bezbednog pokretanja koja je rezimirana ranije i pruža detaljan referentni materijal za tumačenje stanja registratora i evidencije događaja.

Napomena (primene kojima upravlja IT): Kada se konfiguriše putem Smernice grupe ili Microsoft Intune, dve slične postavke ne bi trebalo mešati. Vrednost AvailableUpdatesPolicy predstavlja konfigurisano stanje smernica. U međuvremenu, AvailableUpdates odražava stanje rada koje je u toku. Oba mogu da podstiću isti ishod, ali se ponašaju drugačije jer se smernice ponovo primenjuju tokom vremena.

nazad na vrh 

AvailableUpdates bitovi koji se koriste za servisiranje certifikata

Dolenavedeni bitovi se koriste za radnje upravljača certifikatom i pokretanjem opisanih u ovom dokumentu. Kolona Redosled odražava sekvencu kojom zadatak bezbednog pokretanja sistema obrađuje svaki bit.

Porudžbine

Postavka bita

Korišćenje

1

0x0040

Ovaj bit govori planiranom zadatku da doda Windows UEFI CA 2023 certifikat u DB za bezbedno pokretanje sistema. Ovo omogućava operativnom sistemu Windows da ima poverenja u upravljače pokretanja koje je potpisao ovaj certifikat.

2

0x0800

Ovaj bit govori planiranom zadatku da primeni Microsoft Option ROM UEFI CA 2023 na DB.  

Uslovno ponašanje: Kada se 0x4000 zastavica, planirani zadatak prvo proverava bazu podataka za certifikat Microsoft Corporation UEFI CA 2011 . Primeniće se certifikat Microsoft Option ROM UEFI CA 2023 samo ako je prisutan certifikat 2011.

3

0x1000

Ovaj bit govori planiranom zadatku da primeni Microsoft UEFI CA 2023 na DB.

Uslovno ponašanje: Kada se 0x4000 zastavica, planirani zadatak prvo proverava bazu podataka za certifikat Microsoft Corporation UEFI CA 2011 . On će primeniti Microsoft UEFI CA 2023 certifikat samo ako je 2011 certifikat prisutan.

Modifier (zastavica ponašanja)

0x4000

Ovaj bit menja ponašanje 0x0800 i 0x1000 bitova tako da se primene Microsoft UEFI CA 2023 i Microsoft Option ROM UEFI CA 2023 samo ako DB već sadrži Microsoft Corporation UEFI CA 2011  Da bi se osiguralo da bezbednosni profil uređaja ostane isti, ovaj bit primenjuje ove nove certifikate samo ako uređaj ima poverenja u certifikat korporacije Microsoft Corporation UEFI CA 2011. Nisu svi Windows uređaji pouzdani za ovaj certifikat.

4

0x0004

Ovaj bit govori planiranom zadatku da potraži ključ Exchange ključa koji je potpisao ključ platforme uređaja (PK). PK-om upravlja OEM. OEM-i potpišu Microsoft KEK svojim PK-om i isporučuju ga korporaciji Microsoft gde je uključen u mesečne kumulativne ispravke.

5

0x0100

Ovaj bit govori planiranom zadatku da primeni upravljač pokretanja koji je potpisao Windows UEFI CA 2023 na particiju pokretanja. Ovo će zameniti microsoft Windows Production PCA 2011 potpisani upravljač pokretanja.

Beleške:

  • Datoteka 0x4000 bit će ostati podešena nakon obrade svih ostalih bitova.

  • Svaki bit obrađuje se pomoću planiranog zadatka bezbednog pokretanja i ažuriranja prema gorenavedenom redosledu.

  • Ako nije 0x0004 obraditi bit zbog kek potpisanog PK-a koji nedostaje, planirani zadatak će i dalje primeniti ispravku upravljača pokretanja na koju ukazuje bit 0x0100.

nazad na vrh 

Očekivano napredovanje (AvailableUpdates)

Kada se operacija uspešno dovrši, Windows obriše povezani bit iz usluge AvailableUpdates. Ako operacija ne uspe, Windows evidentira događaj i ponovo pokušava kada se zadatak ponovo pokrene.

Dolenavedena tabela prikazuje očekivano napredovanje vrednosti AvailableUpdates kada se dovrši svaka radnja ažuriranja bezbednog pokretanja.

Korak

Bit obrađen

Dostupne Novosti

Opis

Evidentirani događaj uspeha

Moguće kodove događaja greške

Start

0x5944

Početno stanje pre početka servisiranja certifikata za bezbedno pokretanje.

-

-

1

0x0040

0x5944 → 0x5904

Windows UEFI CA 2023 se dodaje u DB za bezbedno pokretanje sistema.

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

Dodajte Microsoft Option ROM UEFI CA 2023 u DB ako je uređaj prethodno bio pouzdan Microsoft UEFI CA 2011.

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

Microsoft UEFI CA 2023 se dodaje u DB ako je uređaj prethodno bio pouzdan Microsoft UEFI CA 2011.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

Primenjuje se novi Microsoft KEK 2K CA 2023 koji je potpisao ključ platforme OEM.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

Instaliran je upravljač pokretanja koji je potpisao Windows UEFI CA 2023.

1799

1797

Beleške

  • Kada se operacija povezana sa netačom uspešno dovrši, taj bit se obriše iz usluge AvailableUpdates.

  • Ako neka od ovih operacija ne uspe, događaj se evidentira i operacija se ponovo pokušava sledeći put kada se planirani zadatak pokrene.

  • Datoteka 0x4000 bit je izmena i nije obrisana. Konačna vrednost availableUpdates 0x4000 ukazuje na uspešno dovršavanje svih primenljivih radnji ažuriranja.

  • Događaji 1032, 1795, 1796, 1802 obično ukazuju na ograničenja firmvera ili platforme.

  • Događaj 1803 ukazuje na to da nedostaje KEK potpisan sa OEM PK.

nazad na vrh 

Procedure za remedijaciju

Ovaj odeljak pruža postupne procedure za ponovno rešavanje određenih problema sa bezbednim pokretanjem. Svaka procedura je u opsegu dobro definisanog uslova i namerava se pratiti samo nakon početne dijagnostike koja potvrđuje da se problem primenjuje. Koristite ove procedure da biste vratili očekivano ponašanje bezbednog pokretanja i dozvolili da se ažuriranja certifikata nastave bezbedno. Nemojte primenjivati ove procedure široko ili unapred.

nazad na vrh

Omogućavanje bezbednog pokretanja u firmveru

Ako je bezbedno pokretanje onemogućeno u firmveru uređaja, pogledajte članke Windows 11 bezbedno pokretanje za detalje o omogućavanju bezbednog pokretanja.

nazad na vrh

Zadatak planiranog bezbednog pokretanja je onemogućen ili izbrisan

Planirani zadatak bezbednog pokretanja je neophodan da bi Windows primenio ispravke certifikata za bezbedno pokretanje. Ako je zadatak onemogućen ili nedostaje, servisiranje certifikata za bezbedno pokretanje neće biti u toku.

Detalji o zadatku

Ime zadatka

Bezbedno pokretanje sistema

Putanja zadatka

\Microsoft\Windows\PI\

Puna putanja

\Microsoft\Windows\PI\Secure-Boot-Update

Pokreće se kao

SYSTEM (lokalni sistem)

Okidači

Pri pokretanju i svakih 12 sati

Obavezno stanje

Omogućen

Kako se proverava status zadatka

Pokreni iz PowerShell odziva sa punim privilegijama: schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Potražite polje Status:

Status

Znaиenje

Spreman

Zadatak postoji i omogućen je.

Onemogućen

Zadatak postoji, ali mora da bude omogućen.

Greška/ nije pronađena

Zadatak nedostaje i mora se ponovo kreirati.

Kako da omogućite ili ponovo kreirate zadatak

Ako je polje statusa za bezbedno pokretanje sistema onemogućeno, Greška ili Nije pronađeno, koristite uzorak skripte da biste omogućili zadatak: Uzorak Enable-SecureBootUpdateTask.ps1

Napomena: Ovo je uzorak skripte i Microsoft je ne podržava. Administratori bi trebalo da pregledaju i prilagode ga svom okruženju.

Primer:

.\Enable-SecureBootUpdateTask.ps1 - Tiho

Pokreni vodič

  • Ako vidite da je Access odbijen, ponovo pokrenite PowerShell kao administrator.

  • Ako skripta neće biti pokrenuta zbog smernica za izvršavanje, koristite zaobicanje opsega procesa:

Set-ExecutionPolicy - Proces opsega -Zaobioženje smernica izvršavanja

nazad na vrh 

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost