Registernyckeluppdateringar för Säker start: Windows-enheter med IT-hanterade uppdateringar

Gäller för
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Obs

  • Ursprungligt publiceringsdatum: 14 oktober 2025
  • KB-ID: 5068202

Den här artikeln innehåller vägledning för:

  • Organisationer med IT-hanterade Windows-enheter och uppdateringar.

Obs

  • Tillgänglighet för det här stödet:

  • Registernycklar ingår i uppdateringar som släppts från och med följande datum:

  • Den 11 november 2025: För versioner av Windows som fortfarande stöds.

Ändringslogg
Ändra datum Beskrivning av ändring
Senast uppdaterad: 20 mars 2026
  • Registervärdet AvailableUpdatesPolicy har lagts till i den första tabellen i avsnittet "Registernycklar".
  • Uppdaterade registervärdet WindowsUEFICA2023Capable "Description and Usage" i den andra tabellen i avsnittet "Registernycklar".
Den 20 februari 2026
  • Tre nya registernycklar har lagts till i artikeln – "UEFICA2023ErrorEvent", " BucketHash" & " ConfidenceLevel".
  • Uppdaterade avsnittet – "Tillgänglighet för denna support".
Den 4 november 2025
  • Lade till en registernyckel på sidan.
  • Korrigerade ett uttryck från "Om uppdateringen av databasen med betrodda signaturer till exempel misslyckades på grund av ett problem med inbyggd programvara kan registernyckeln visa en felkod som kan mappas till en händelselogg eller dokumenterat fel-ID i" till "Om uppdateringen av databasen med betrodda signaturer till exempel misslyckades på grund av ett problem med inbyggd programvara, Den här registernyckeln kan visa en felkod från den inbyggda programvaran. När den här nyckeln finns och inte är noll rekommenderar vi att du letar efter säkra starthändelser i Windows-händelseloggarna – se (länk) för mer information".
  • Två separata sökvägar har lagts till för registernycklar nedan
Den 11 november 2025
  • Stycket under Enhetstestning med hjälp av registernycklar har uppdaterats med ytterligare information: "Registernyckeln bör snabbt ändras till 0x4100. Om du startar om och kör uppgiften igen kommer starthanteraren att uppdateras och AvailableUpdates att bli 0x0100. Se Felsökning för mer information om hur AvailableUpdates beter sig."
  • Uppdatera texten i den grå rutan under Enhetstestning med hjälp av registernycklar så att det finns ytterligare två PowerShell-kommandon
  • Under registernycklar ändrades registervärdet -MicrosoftUpdateManagedOptIn, från "1 - Anmäl dig" till "1 eller något annat värde än noll – Anmäl dig"
Den 16 november 2025 Uppdaterade innehållet under "Enhetstestning med hjälp av registernycklar". Värdet för tillgänglig uppdatering har ändrats från "0x0100" till "0x4000".

I den här artikeln

Introduktion

I det här dokumentet beskrivs stöd för distribution, hantering och övervakning av certifikatuppdateringar för säker start med Windows-registernycklar. Nycklarna består av följande:

  • En nyckel för att utlösa distributionen av certifikaten och starthanteraren på enheten.
  • Två nycklar för att övervaka status för distributionen.
  • Två nycklar för att hantera inställningarna för registrering/avanmälan för de två tillgängliga distributionshjälpprogrammen.

Dessa registernycklar kan ställas in manuellt på enheten eller via fjärranslutning via tillgänglig programvara för vagnparkshantering. Andra distributionsmetoder, till exempel Grupprincip, Microsoft Intune och WinCS beskrivs i artikeln Windows-enheter för företag och organisationer med IT-hanterade uppdateringar.

Registernycklar för säker start

I det här avsnittet

Registernycklar

Alla registernycklar för Säker start som beskrivs nedan finns under den här registersökvägen:

Obs

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

I följande tabell beskrivs de olika registervärdena:

Registervärde Typ Beskrivning och användning
Tillgängliga uppdateringar REG_DWORD (bitmask) Uppdatera utlösarflaggor.

Kontrollerar vilka uppdateringsåtgärder för säker start som ska utföras på enheten. Genom att ange lämpligt bitfält här initieras distributionen av nya certifikat för säker start och relaterade uppdateringar. För företagsdistribution ska detta vara inställt på 0x5944 (hex) – ett värde som möjliggör alla relevanta uppdateringar (lägga till de nya 2023 CA-certifikaten, uppdatera KEK och installera den nya starthanteraren).

Inställningar:
  • 0 eller inte inställd – Ingen uppdatering av nycklarna för Säker start utförs.
  • 0x5944 – Distribuera alla nödvändiga certifikat och uppdatera till den PCA2023 signerade starthanteraren
HighConfidenceOptOut REG_DWORD Ett alternativ för avanmälan.

För företag som vill välja bort buckets med hög konfidens som automatiskt kommer att tillämpas som en del av LCU.

Du kan ange den här nyckeln till ett värde som inte är noll om du vill avanmäla dig från buckets med hög konfidens.

Inställningar
  • 0 eller nyckeln finns inte – Anmäl dig
  • 1 – Avanmäl dig
MicrosoftUpdateManagedOptIn REG_DWORD Ett alternativ för att anmäla sig.

För företag som vill anmäla sig till CFR-tjänster (Controlled Feature Rollout), även kallat Microsoft Managed.

Förutom att ställa in den här nyckeln, tillåt sändning av nödvändiga diagnostikdata (se Konfigurera Windows-diagnostikdata i din organisation).

Inställningar
  • 0 eller nyckeln finns inte – avanmäl dig
  • 1 eller ett värde som inte är noll – anmäl dig
AvailableUpdatesPolicy REG_DWORD (bitmask) Endast som referens – uppdatera inte den här nyckeln via registret.

Den här nyckeln används av Grupprincip och Intune för att kommunicera åtgärder relaterade till säker start till Windows. Den representerar principen som angetts av Intune eller Grupprincip.

Alla registernycklar för Säker start som beskrivs nedan finns under den här registersökvägen:

Obs

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

I följande tabell beskrivs de olika registervärdena:

Registervärde Typ Beskrivning och användning
UEFICA2023Status REG_SZ (sträng) Indikator för distributionsstatus.

Visar det aktuella tillståndet för uppdateringen av nyckeln för säker start på enheten. Det anges till något av följande textvärden:

  • NotStarted: Uppdateringen har inte körts ännu.
  • Pågående: Uppdateringen pågår aktivt.
  • Uppdaterad: Uppdateringen har slutförts.
Från början är statusen NotStarted. Den ändras till InProgress när uppdateringen börjar, och slutligen till Uppdaterad när alla nya nycklar och den nya starthanteraren har distribuerats. Om det uppstår ett fel anges registervärdet UEFICA2023Error till en kod som inte är noll.
UEFICA2023Fel REG_DWORD (kod) Felkod (om sådan finns).
Det här värdet förblir 0 vid framgång. Om ett fel påträffas under uppdateringsprocessen anges UEFICA2023Error till en felkod som inte är noll och som motsvarar det första felet som påträffades. Ett fel här innebär att uppdateringen av säker start inte lyckades helt och kan kräva undersökning eller åtgärd på den enheten.
Om uppdateringen av databasen med betrodda signaturer till exempel misslyckades på grund av ett problem med inbyggd programvara kan registernyckeln visa en felkod från den inbyggda programvaran. När den här nyckeln finns och inte är noll rekommenderar vi att du letar efter säkra starthändelser i Windows-händelseloggarna – mer information finns i Säker startdatabas och DBX-variabeluppdateringshändelser .
UEFICA2023ErrorEvent REG_DWORD (kod) UEFICA2023ErrorEvent anger det händelse-ID som Windows använde för att rapportera ett fel som rör tillämpningen av Windows UEFI CA 2023 Secure Boot-uppdateringar. Det här värdet är korrelerat med UEFICA2023Error-registernyckeln och fylls i när nyckeln anges, vilket indikerar att Windows påträffade ett fel vid försök att tillämpa uppdateringen för säker start. När detta inträffar loggar Windows motsvarande säker starthändelse som dokumenteras på den offentliga sidan Säker start DB- och DBX-variabeluppdateringshändelser, vilket ger ytterligare information om varför uppdateringen inte kunde slutföras och vilken åtgärd som kan krävas.
WindowsUEFICA2023Capable REG_DWORD (kod) Endast som referens ska du inte använda den här nyckeln när du hämtar status för uppdateringar för säker start. Använd UEFICA2023Status-nyckeln i stället.
Den här registernyckeln är avsedd för begränsade distributionsscenarier och rekommenderas inte för allmän användning.
Giltiga värden:
0 – eller nyckeln finns inte – "Windows UEFI CA 2023"-certifikatet finns inte i databasen
1 – "Windows UEFI CA 2023"-certifikatet finns i databasen
2 – "Windows UEFI CA 2023"-certifikatet finns i databasen och systemet startar från den 2023-signerade starthanteraren
BucketHash (på engelska) REG_SZ (sträng) BucketHash identifierar den distributionsbucket som en enhet är tilldelad till som en del av certifikatdistributionen för säker start. Värdet är en hash som härleds från enhetsegenskaper och används för att gruppera enheter med liknande attribut för inbyggd programvara och plattform för stegvis distribution och riskhantering. Det här är samma buckethash som visas i de enhetsspecifika händelser som dokumenteras på sidan för uppdateringshändelser för databasen för säker start och DBX, vilket gör det möjligt för administratörer att korrelera registertillståndet med händelseloggposter och förstå hur en enhet är mål under uppdateringsprocessen för säker start.
ConfidenceLevel REG_SZ (sträng) ConfidenceLevel anger den konfidensutvärdering som är associerad med enhetens distributionsbucket för säker start. Det här värdet motsvarar den BucketConfidenceLevel som Windows tilldelar till enheten baserat på observerat uppdateringsbeteende i liknande maskinvaru- och programvarukonfigurationer. Samma konfidensnivå ingår i de enhetsspecifika händelser som dokumenteras på sidan för variabeluppdateringshändelser för databasen för säker start och DBX , vilket gör att administratörer kan korrelera registervärdet med händelseloggposter. Mer information om möjliga värden för den här nyckeln finns i beskrivningarna av enhetsspecifika händelselogghändelser.

Så här fungerar tangenterna tillsammans

IT-administratörer konfigurerar registervärdet AvailableUpdates till 0x5944, vilket signalerar Windows att köra uppdateringen och installationen av nyckeln för säker start på enheten.

När processen körs uppdaterar systemet UEFICA2023Status från NotStarted till InProgress och slutligen till Updated när det lyckas. Varje bit i 0x5944 bearbetas rensas den.

Om något steg misslyckas registreras en felkod i UEFICA2023Error (och statusen förblir InProgress).

Den här mekanismen ger administratörer ett tydligt sätt att utlösa och spåra distributionen per enhet.

Distribution med hjälp av registernycklar

Distributionen till en grupp enheter består av följande steg:

  1. Ange registervärdet AvailableUpdatestill 0x5944 på var och en av de enheter som ska uppdateras.
  2. Övervaka registernycklarna UEFICA2023Status och UEFICA2023Error för att se att enheterna förlöper. Aktiviteten som bearbetar uppdateringarna körs var 12:e timme. Observera att uppdateringen av starthanteraren kanske inte sker förrän efter en omstart.
  3. Undersök eventuella problem. Om UEFICA2023Error inte är noll på en enhet kan du söka i händelseloggen efter händelser relaterade till det här problemet. En fullständig lista över säkra starthändelser finns i DB- och DBX-variabeluppdateringshändelser för säker start.

En anteckning om omstarter: En omstart kan krävas för att slutföra processen, men initiering av distributionen av uppdateringarna för säker start orsakar ingen omstart. Om en omstart krävs förlitar sig distributionen av säker start på att omstarter sker som vanligt när enheten används.

Enhetstestning med hjälp av registernycklar

När du testar enskilda enheter för att säkerställa att enheterna bearbetar uppdateringarna korrekt kan registernycklarna vara ett enkelt sätt att testa.

Testa genom att köra följande kommandon separat från en PowerShell-adminkommandotolk:

Obs

  • reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
  • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  • Starta om systemet manuellt när AvailableUpdates blir 0x4100
  • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Det första kommandot initierar distributionen av certifikatet och starthanteraren på enheten. Det andra kommandot gör att uppgiften som bearbetar registernyckeln AvailableUpdates körs direkt. Normalt körs aktiviteten var 12:e timme. Registernyckeln bör snabbt ändras till 0x4100. Om du startar om och kör uppgiften igen uppdateras starthanteraren och AvailableUpdates blir 0x4000. Se Felsökning för mer information om hur AvailableUpdates beter sig.

Du kan hitta resultaten genom att observera registernycklarna UEFICA2023Status och UEFICA2023Error och händelseloggarna enligt beskrivningen i Uppdateringshändelser för databasen för säker start och DBX.

Anmäla sig till eller välja bort assist

Registernycklarna HighConfidenceOptOut och MicrosoftUpdateManagedOptIn kan användas för att hantera de två distributionsassistenter som beskrivs på Windows-enheter med IT-hanterade uppdateringar.

  • Registernyckeln HighConfidenceOptOut styr den automatiska uppdateringen av enheter via de kumulativa uppdateringarna. För de enheter där Microsoft har observerat specifika enheter som uppdaterats korrekt betraktas de som enheter med hög konfidens och certifikatuppdateringarna för säker start sker automatiskt. Standardinställningen är anmälan.
  • Med registernyckeln MicrosoftUpdateManagedOptIn kan IT-avdelningar välja automatisk distribution som hanteras av Microsoft. Den här inställningen är inaktiverad som standard och ställer in den på 1 opt-in. Den här inställningen kräver också att enheten skickar valfria diagnostikdata.

Versioner av Windows som stöds

I den här tabellen delas stödet upp ytterligare baserat på registernyckel.

Tangent Versioner av Windows som stöds
Tillgängliga uppdateringar
UEFICA2023Status
UEFICA2023Fel
Alla versioner av Windows som stöder Säker start (Windows Server 2012 och senare Windows-versioner).

Notera: Medan konfidensdata samlas in på Windows 10, version LTSC, 22H2 och senare versioner av Windows, kan de tillämpas på enheter som körs på tidigare versioner av Windows.
  • Windows 10, versionerna LTSC och 22H2
  • Windows 11, version 22H2 och 23H2
  • Windows 11, version 24H2
  • Windows Server 2025
HighConfidenceOptOut
MicrosoftUpdateManagedOptIn

Felhändelser för säker start

Felhändelser har en kritisk rapporteringsfunktion som informerar om status och förlopp för säker start.  Information om felhändelserna finns i Variabeluppdateringshändelser för Secure Boot DB och DBX. Felhändelserna uppdateras med ytterligare händelseinformation för säker start.