Obs
- Ursprungligt publiceringsdatum: 14 oktober 2025
- KB-ID: 5068202
Den här artikeln innehåller vägledning för:
- Organisationer med IT-hanterade Windows-enheter och uppdateringar.
Obs
Tillgänglighet för det här stödet:
Registernycklar ingår i uppdateringar som släppts från och med följande datum:
Den 11 november 2025: För versioner av Windows som fortfarande stöds.
Ändringslogg
| Ändra datum | Beskrivning av ändring |
|---|---|
| Senast uppdaterad: 20 mars 2026 |
|
| Den 20 februari 2026 |
|
| Den 4 november 2025 |
|
| Den 11 november 2025 |
|
| Den 16 november 2025 | Uppdaterade innehållet under "Enhetstestning med hjälp av registernycklar". Värdet för tillgänglig uppdatering har ändrats från "0x0100" till "0x4000". |
I den här artikeln
Introduktion
I det här dokumentet beskrivs stöd för distribution, hantering och övervakning av certifikatuppdateringar för säker start med Windows-registernycklar. Nycklarna består av följande:
- En nyckel för att utlösa distributionen av certifikaten och starthanteraren på enheten.
- Två nycklar för att övervaka status för distributionen.
- Två nycklar för att hantera inställningarna för registrering/avanmälan för de två tillgängliga distributionshjälpprogrammen.
Dessa registernycklar kan ställas in manuellt på enheten eller via fjärranslutning via tillgänglig programvara för vagnparkshantering. Andra distributionsmetoder, till exempel Grupprincip, Microsoft Intune och WinCS beskrivs i artikeln Windows-enheter för företag och organisationer med IT-hanterade uppdateringar.
Registernycklar för säker start
I det här avsnittet
- Registernycklar
- Så här fungerar tangenterna tillsammans
- Distribution med hjälp av registernycklar
- Enhetstestning med hjälp av registernycklar
- Välja till och välja bort assist
- Versioner av Windows som stöds
Registernycklar
Alla registernycklar för Säker start som beskrivs nedan finns under den här registersökvägen:
Obs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
I följande tabell beskrivs de olika registervärdena:
| Registervärde | Typ | Beskrivning och användning |
|---|---|---|
| Tillgängliga uppdateringar | REG_DWORD (bitmask) | Uppdatera utlösarflaggor. Kontrollerar vilka uppdateringsåtgärder för säker start som ska utföras på enheten. Genom att ange lämpligt bitfält här initieras distributionen av nya certifikat för säker start och relaterade uppdateringar. För företagsdistribution ska detta vara inställt på 0x5944 (hex) – ett värde som möjliggör alla relevanta uppdateringar (lägga till de nya 2023 CA-certifikaten, uppdatera KEK och installera den nya starthanteraren). Inställningar:
|
| HighConfidenceOptOut | REG_DWORD | Ett alternativ för avanmälan. För företag som vill välja bort buckets med hög konfidens som automatiskt kommer att tillämpas som en del av LCU. Du kan ange den här nyckeln till ett värde som inte är noll om du vill avanmäla dig från buckets med hög konfidens. Inställningar
|
| MicrosoftUpdateManagedOptIn | REG_DWORD | Ett alternativ för att anmäla sig. För företag som vill anmäla sig till CFR-tjänster (Controlled Feature Rollout), även kallat Microsoft Managed. Förutom att ställa in den här nyckeln, tillåt sändning av nödvändiga diagnostikdata (se Konfigurera Windows-diagnostikdata i din organisation). Inställningar
|
| AvailableUpdatesPolicy | REG_DWORD (bitmask) |
Endast som referens – uppdatera inte den här nyckeln via registret. Den här nyckeln används av Grupprincip och Intune för att kommunicera åtgärder relaterade till säker start till Windows. Den representerar principen som angetts av Intune eller Grupprincip. |
Alla registernycklar för Säker start som beskrivs nedan finns under den här registersökvägen:
Obs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
I följande tabell beskrivs de olika registervärdena:
| Registervärde | Typ | Beskrivning och användning |
|---|---|---|
| UEFICA2023Status | REG_SZ (sträng) | Indikator för distributionsstatus. Visar det aktuella tillståndet för uppdateringen av nyckeln för säker start på enheten. Det anges till något av följande textvärden:
|
| UEFICA2023Fel | REG_DWORD (kod) | Felkod (om sådan finns). Det här värdet förblir 0 vid framgång. Om ett fel påträffas under uppdateringsprocessen anges UEFICA2023Error till en felkod som inte är noll och som motsvarar det första felet som påträffades. Ett fel här innebär att uppdateringen av säker start inte lyckades helt och kan kräva undersökning eller åtgärd på den enheten. Om uppdateringen av databasen med betrodda signaturer till exempel misslyckades på grund av ett problem med inbyggd programvara kan registernyckeln visa en felkod från den inbyggda programvaran. När den här nyckeln finns och inte är noll rekommenderar vi att du letar efter säkra starthändelser i Windows-händelseloggarna – mer information finns i Säker startdatabas och DBX-variabeluppdateringshändelser . |
| UEFICA2023ErrorEvent | REG_DWORD (kod) | UEFICA2023ErrorEvent anger det händelse-ID som Windows använde för att rapportera ett fel som rör tillämpningen av Windows UEFI CA 2023 Secure Boot-uppdateringar. Det här värdet är korrelerat med UEFICA2023Error-registernyckeln och fylls i när nyckeln anges, vilket indikerar att Windows påträffade ett fel vid försök att tillämpa uppdateringen för säker start. När detta inträffar loggar Windows motsvarande säker starthändelse som dokumenteras på den offentliga sidan Säker start DB- och DBX-variabeluppdateringshändelser, vilket ger ytterligare information om varför uppdateringen inte kunde slutföras och vilken åtgärd som kan krävas. |
| WindowsUEFICA2023Capable | REG_DWORD (kod) | Endast som referens ska du inte använda den här nyckeln när du hämtar status för uppdateringar för säker start. Använd UEFICA2023Status-nyckeln i stället. Den här registernyckeln är avsedd för begränsade distributionsscenarier och rekommenderas inte för allmän användning. Giltiga värden: 0 – eller nyckeln finns inte – "Windows UEFI CA 2023"-certifikatet finns inte i databasen 1 – "Windows UEFI CA 2023"-certifikatet finns i databasen 2 – "Windows UEFI CA 2023"-certifikatet finns i databasen och systemet startar från den 2023-signerade starthanteraren |
| BucketHash (på engelska) | REG_SZ (sträng) | BucketHash identifierar den distributionsbucket som en enhet är tilldelad till som en del av certifikatdistributionen för säker start. Värdet är en hash som härleds från enhetsegenskaper och används för att gruppera enheter med liknande attribut för inbyggd programvara och plattform för stegvis distribution och riskhantering. Det här är samma buckethash som visas i de enhetsspecifika händelser som dokumenteras på sidan för uppdateringshändelser för databasen för säker start och DBX, vilket gör det möjligt för administratörer att korrelera registertillståndet med händelseloggposter och förstå hur en enhet är mål under uppdateringsprocessen för säker start. |
| ConfidenceLevel | REG_SZ (sträng) | ConfidenceLevel anger den konfidensutvärdering som är associerad med enhetens distributionsbucket för säker start. Det här värdet motsvarar den BucketConfidenceLevel som Windows tilldelar till enheten baserat på observerat uppdateringsbeteende i liknande maskinvaru- och programvarukonfigurationer. Samma konfidensnivå ingår i de enhetsspecifika händelser som dokumenteras på sidan för variabeluppdateringshändelser för databasen för säker start och DBX , vilket gör att administratörer kan korrelera registervärdet med händelseloggposter. Mer information om möjliga värden för den här nyckeln finns i beskrivningarna av enhetsspecifika händelselogghändelser. |
Så här fungerar tangenterna tillsammans
IT-administratörer konfigurerar registervärdet AvailableUpdates till 0x5944, vilket signalerar Windows att köra uppdateringen och installationen av nyckeln för säker start på enheten.
När processen körs uppdaterar systemet UEFICA2023Status från NotStarted till InProgress och slutligen till Updated när det lyckas. Varje bit i 0x5944 bearbetas rensas den.
Om något steg misslyckas registreras en felkod i UEFICA2023Error (och statusen förblir InProgress).
Den här mekanismen ger administratörer ett tydligt sätt att utlösa och spåra distributionen per enhet.
Distribution med hjälp av registernycklar
Distributionen till en grupp enheter består av följande steg:
- Ange registervärdet AvailableUpdatestill 0x5944 på var och en av de enheter som ska uppdateras.
- Övervaka registernycklarna UEFICA2023Status och UEFICA2023Error för att se att enheterna förlöper. Aktiviteten som bearbetar uppdateringarna körs var 12:e timme. Observera att uppdateringen av starthanteraren kanske inte sker förrän efter en omstart.
- Undersök eventuella problem. Om UEFICA2023Error inte är noll på en enhet kan du söka i händelseloggen efter händelser relaterade till det här problemet. En fullständig lista över säkra starthändelser finns i DB- och DBX-variabeluppdateringshändelser för säker start.
En anteckning om omstarter: En omstart kan krävas för att slutföra processen, men initiering av distributionen av uppdateringarna för säker start orsakar ingen omstart. Om en omstart krävs förlitar sig distributionen av säker start på att omstarter sker som vanligt när enheten används.
Enhetstestning med hjälp av registernycklar
När du testar enskilda enheter för att säkerställa att enheterna bearbetar uppdateringarna korrekt kan registernycklarna vara ett enkelt sätt att testa.
Testa genom att köra följande kommandon separat från en PowerShell-adminkommandotolk:
Obs
- reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
- Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
- Starta om systemet manuellt när AvailableUpdates blir 0x4100
- Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Det första kommandot initierar distributionen av certifikatet och starthanteraren på enheten. Det andra kommandot gör att uppgiften som bearbetar registernyckeln AvailableUpdates körs direkt. Normalt körs aktiviteten var 12:e timme. Registernyckeln bör snabbt ändras till 0x4100. Om du startar om och kör uppgiften igen uppdateras starthanteraren och AvailableUpdates blir 0x4000. Se Felsökning för mer information om hur AvailableUpdates beter sig.
Du kan hitta resultaten genom att observera registernycklarna UEFICA2023Status och UEFICA2023Error och händelseloggarna enligt beskrivningen i Uppdateringshändelser för databasen för säker start och DBX.
Anmäla sig till eller välja bort assist
Registernycklarna HighConfidenceOptOut och MicrosoftUpdateManagedOptIn kan användas för att hantera de två distributionsassistenter som beskrivs på Windows-enheter med IT-hanterade uppdateringar.
- Registernyckeln HighConfidenceOptOut styr den automatiska uppdateringen av enheter via de kumulativa uppdateringarna. För de enheter där Microsoft har observerat specifika enheter som uppdaterats korrekt betraktas de som enheter med hög konfidens och certifikatuppdateringarna för säker start sker automatiskt. Standardinställningen är anmälan.
- Med registernyckeln MicrosoftUpdateManagedOptIn kan IT-avdelningar välja automatisk distribution som hanteras av Microsoft. Den här inställningen är inaktiverad som standard och ställer in den på 1 opt-in. Den här inställningen kräver också att enheten skickar valfria diagnostikdata.
Versioner av Windows som stöds
I den här tabellen delas stödet upp ytterligare baserat på registernyckel.
| Tangent | Versioner av Windows som stöds |
|---|---|
|
Tillgängliga uppdateringar UEFICA2023Status UEFICA2023Fel |
Alla versioner av Windows som stöder Säker start (Windows Server 2012 och senare Windows-versioner). Notera: Medan konfidensdata samlas in på Windows 10, version LTSC, 22H2 och senare versioner av Windows, kan de tillämpas på enheter som körs på tidigare versioner av Windows.
|
| HighConfidenceOptOut | |
| MicrosoftUpdateManagedOptIn |
Felhändelser för säker start
Felhändelser har en kritisk rapporteringsfunktion som informerar om status och förlopp för säker start. Information om felhändelserna finns i Variabeluppdateringshändelser för Secure Boot DB och DBX. Felhändelserna uppdateras med ytterligare händelseinformation för säker start.