Ursprungligt publiceringsdatum: den 15 juni 2022
KB-ID: 5016061
|
Ändra datum |
Beskrivning |
|
den 10 februari 2026 |
|
|
den 9 februari 2026 |
|
|
14 oktober 2025 |
|
|
den 9 juli 2025 |
|
|
den 29 januari 2025 |
|
Sammanfattning
För att skydda Windows-enheter har Microsoft flera komponenter relaterade till Säker start, bland annat databaserna för säker start (DB och DBX), nyckelutbytesnyckeln (KEK) och Windows-starthanteraren. Windows installerar uppdateringar för dessa komponenter när de är tillgängliga och kontrollerar om varje uppdatering kan installeras på ett säkert sätt på enheten. Windows skapar händelseloggposter när en uppdatering lyckas eller när den upptäcker ett problem som hindrar uppdateringen från att tillämpas på systemets inbyggda programvara.
Mer information
När Windows uppdaterar en av dessa komponenter för säker start registreras en lyckad händelse när uppdateringen tillämpas korrekt. När Windows upptäcker ett villkor som förhindrar att en uppdatering tillämpas genereras en varning eller felhändelse som identifierar den berörda komponenten och beskriver problemet. Detta kan inträffa när den inbyggda programvaran inte stöder en nödvändig uppdatering, när det finns en sårbar eller ej betrodd startläsare, när nycklar för säker start har anpassats eller när starthanteraren kräver korrigerande åtgärder. Varje händelse innehåller diagnostisk information som komponentens namn och orsaken till framgång eller fel, och kan se ut ungefär så här:
|
Händelselogg |
System |
|
Händelsekälla |
TPM-WMI |
|
Händelse-ID |
<händelse-ID> |
|
Nivå |
Fel |
|
Meddelandetext för händelse |
<meddelandetext> |
Allmänna händelser för säker start:
Händelse-ID:ar
Händelsen loggas när BitLocker på systemenheten är konfigurerad på ett sådant sätt att bitlocker hamnar i återställningsläge om uppdateringen för säker start tillämpas på den inbyggda programvaran. Lösningen är att tillfälligt pausa BitLocker i två omstartscykler för att låta uppdateringen installeras.
Vidta åtgärder
Du kan lösa problemet genom att köra följande kommando från en kommandotolk för administratör för att pausa BitLocker i två omstartscykler:
-
Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2
Starta sedan om enheten två gånger för att återuppta BitLocker-skyddet.
Kontrollera att BitLocker-skyddet har återupptagits genom att köra följande kommando efter att du startat om två gånger:
-
Manage-bde –Protectors –enable %systemdrive%
Händelselogginformation
Händelse-ID 1032 loggas när konfigurationen av BitLocker på systemenheten gör att systemet hamnar i BitLocker-återställning om uppdateringen för säker start tillämpas. I det här fallet kan <händelsetyp> vara något av följande: "DB", "DBX", "SBAT", "Policy Update (SKU)", "Windows UEFI CA 2023 (DB)", "Option ROM CA 20232023 (DB)", "3P UEFI CA 2023 (DB)", "KEK 2023", "DBX SVN" eller "Revoke UEFI CA 2011 (DBX)".
|
Händelselogg |
System |
|
Händelsekälla |
TPM-WMI |
|
Händelse-ID |
1032 |
|
Nivå |
Fel |
|
Meddelandetext för händelse |
Uppdateringen för säker start <händelsetyp> inte tillämpades på grund av en känd inkompatibilitet med den aktuella BitLocker-konfigurationen. |
När den uppdaterade DBX-återkallelselistan installeras på en enhet kontrollerar Windows om systemet är beroende av någon av de sårbara modulerna för att starta enheten. Om en av de sårbara modulerna identifieras skjuts uppdateringen till DBX-listan i den inbyggda programvaran upp. Vid varje omstart av systemet genomsöks enheten igen för att avgöra om den sårbara modulen har uppdaterats och om det är säkert att tillämpa den uppdaterade DBX-listan.
Vidta åtgärder
I de flesta fall bör leverantören av den sårbara modulen ha en uppdaterad version som åtgärdar säkerhetsproblemet. Kontakta leverantören för att få uppdateringen.
Händelselogginformation
Händelse-ID 1033 loggas när en sårbar startinläsningsenhet som har återkallats av den här uppdateringen identifieras på din enhet.
|
Händelselogg |
System |
|
Händelsekälla |
TPM-WMI |
|
Händelse-ID |
1 033 |
|
Nivå |
Fel |
|
Meddelandetext för händelse |
Potentiellt återkallad starthanteraren identifierades i EFI-partitionen. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2169931 |
|
Event Data BootMgr |
<sökväg och namn på sårbara filer> |
Händelsen loggas när DBX-variabeln Säker start uppdateras. DBX-variabeln används för att inte lita på secure boot-komponenter och används vanligtvis för att blockera sårbara eller skadliga komponenter för Säker start, till exempel starthanterare och certifikat som används för att signera starthanterare.
Händelse 1034 anger att DBX-återkallningsstandarden tillämpas på den inbyggda programvaran.
Händelselogginformation
|
Händelselogg |
System |
|
Händelsekälla |
TPM-WMI |
|
Händelse-ID |
1034 |
|
Nivå |
Information |
|
Meddelandetext för händelse |
Säker start Dbx-uppdatering har installerats |
Händelsen loggas när db-variabeln Säker start uppdateras. DB-variabeln används för att lägga till förtroende för säker start-komponenter och används vanligtvis för att lita på certifikat som används för att signera starthanterare.
Händelselogginformation
|
Händelselogg |
System |
|
Händelsekälla |
TPM-WMI |
|
Händelse-ID |
1036 |
|
Nivå |
Information |
|
Meddelandetext för händelse |
Säker start Db-uppdatering har installerats |
Händelsen loggas när Microsoft Windows Production PCA 2011-certifikatet läggs till i UEFI Secure Boot Forbidden Signatures Database (DBX). När detta inträffar kommer alla startprogram som är signerade med det här certifikatet inte längre att vara betrodda när enheten startas. Detta omfattar alla startprogram som används med systemåterställningsmedia, PXE-startprogram och andra media som använder ett startprogram som signerats av certifikatet.
Fellogginformation
|
Händelselogg |
System |
|
Händelsekälla |
TPM-WMI |
|
Händelse-ID |
1037 |
|
Nivå |
Information |
|
Felmeddelandetext |
Säker start Dbx-uppdatering för att återkalla Microsoft Windows Production PCA 2011 tillämpas korrekt. |
Händelsen loggas när kek-variabeln säker start uppdateras med certifikatet Microsoft Corporation KEK CA 2023 . KEK-variabeln används för att lägga till förtroende för uppdateringar av säker start för DB- och DBX-variablerna. Det är nödvändigt att lägga till det nya certifikatet i KEK för att skydda enheter efter förfallodatumet för det befintliga Microsoft Corporation KEK CA 2011-certifikatet som upphör att gälla 2026.
Fellogginformation
|
Händelselogg |
System |
|
Händelsekälla |
TPM-WMI |
|
Händelse-ID |
1043 |
|
Nivå |
Information |
|
Meddelandetext för händelse |
KEK-uppdateringen för säker start har installerats |
Händelsen loggas när Microsoft Option ROM CA 2023-certifikatet läggs till i DB-variabeln. DB-variabeln används för att lägga till förtroende för säker start-komponenter och används vanligtvis för att lita på certifikat som används för att signera starthanterare. Det är nödvändigt att lägga till det nya Option ROM-certifikatet i DB för att säkerställa kontinuitet i supporten innan Microsoft UEFI CA 2011 upphör 2026.
Fellogginformation
|
Händelselogg |
System |
|
Händelsekälla |
TPM-WMI |
|
Händelse-ID |
1044 |
|
Nivå |
Information |
|
Meddelandetext för händelse |
Secure Boot DB update to install Microsoft Option ROM UEFI CA 2023 certificate applied successfully |
Händelsen loggas när Microsoft UEFI CA 2023-certifikatet läggs till i DB-variabeln. DB-variabeln används för att lägga till förtroende för säker start-komponenter och används vanligtvis för att lita på certifikat som används för att signera starthanterare. Det är nödvändigt att lägga till det nya Microsoft UEFI CA 2023-certifikatet i DB för att säkerställa kontinuitet i supporten innan Microsoft UEFI CA 2011 upphör 2026 .
Fellogginformation
|
Händelselogg |
System |
|
Händelsekälla |
TPM-WMI |
|
Händelse-ID |
1045 |
|
Nivå |
Information |
|
Meddelandetext för händelse |
Secure Boot DB update to install Microsoft UEFI CA 2023 certificate applied successfully |
När uppdateringen för säker start tillämpas på en enhet och ett fel uppstår som inte täcks av andra händelser loggas en händelse och Windows försöker tillämpa säker start-uppdatering på den inbyggda programvaran vid nästa systemomstart.
Händelselogginformation
Händelse-ID 1796 inträffar när ett oväntat fel påträffas. Händelseloggposten innehåller felkoden för det oväntade felet. I det här fallet kan <händelsetyp> vara något av följande: "DB", "DBX", "SBAT", "Policy Update (SKU)", "Windows UEFI CA 2023 (DB)", "Option ROM CA 20232023 (DB)", "3P UEFI CA 2023 (DB)", "KEK 2023", "DBX SVN" eller "Revoke UEFI CA 2011 (DBX)".
|
Händelselogg |
System |
|
Händelsekälla |
TPM-WMI |
|
Händelse-ID |
1796 |
|
Nivå |
Fel |
|
Meddelandetext för händelse |
Det gick inte att uppdatera <händelsetyp> med fel <felkod>. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2169931 |
Händelsen loggas under ett försök att lägga till Microsoft Windows Production PCA 2011-certifikatet i UEFI Secure Boot Forbidden Signatures Database (DBX).
Innan du lägger till det här certifikatet i DBX görs en kontroll för att säkerställa att Windows UEFI CA 2023-certifikatet har lagts till i UEFI Secure Boot Signature Database (DB). Om Windows UEFI CA 2023 inte har lagts till i DB kommer Windows avsiktligt att misslyckas med DBX-uppdateringen. Detta görs för att säkerställa att enheten litar på minst ett av dessa två certifikat, vilket säkerställer att enheten litar på startprogram som signerats av Microsoft.
När du lägger till Microsoft Windows Production PCA 2011 i DBX görs två kontroller för att säkerställa att enheten fortsätter att starta korrekt: 1) se till att Windows UEFI CA 2023 har lagts till i DB, 2) Kontrollera att standardstartprogrammet inte är signerat av Microsoft Windows Production PCA 2011-certifikatet.
Händelselogginformation
|
Händelselogg |
System |
|
Händelsekälla |
TPM-WMI |
|
Händelse-ID |
1797 |
|
Nivå |
Fel |
|
Felmeddelandetext |
Uppdateringen för säker start misslyckades eftersom Windows UEFI CA 2023-certifikatet inte finns i Db. |
Händelsen loggas under ett försök att lägga till Microsoft Windows Production PCA 2011-certifikatet i UEFI Secure Boot Forbidden Signatures Database (DBX).
Innan du lägger till certifikatet i DBX görs en kontroll för att säkerställa att standardstartprogrammet inte är signerat av signeringscertifikatet Microsoft Windows Production PCA 2011. Om standardstartprogrammet är signerat av Microsoft Windows Production PCA 2011-signeringscertifikatet kommer Windows avsiktligt att misslyckas med DBX-uppdateringen.
När du lägger till Microsoft Windows Production PCA 2011 i DBX görs två kontroller för att säkerställa att enheten fortsätter att starta korrekt: 1) se till att Windows UEFI CA 2023 har lagts till i DB, 2) Kontrollera att standardstartprogrammet inte är signerat av Microsoft Windows Production PCA 2011-certifikatet.
Händelselogginformation
|
Händelselogg |
System |
|
Händelsekälla |
TPM-WMI |
|
Händelse-ID |
1798 |
|
Nivå |
Fel |
|
Felmeddelandetext |
Dbx-uppdateringen för säker start misslyckades eftersom starthanteraren inte är signerad med Windows UEFI CA 2023-certifikatet. |
Händelsen loggas när en starthanterare tillämpas på systemet som är signerat av Windows UEFI CA 2023-certifikatet
Händelselogginformation
|
Händelselogg |
System |
|
Händelsekälla |
TPM-WMI |
|
Händelse-ID |
1799 |
|
Nivå |
Information |
|
Felmeddelandetext |
Boot Manager signerad med Windows UEFI CA 2023 installerades korrekt |
Händelsen loggas när systemet upptäcker att en säker start-uppdatering i den aktuella startcykeln kan skapa en konflikt med de senaste ändringarna, till exempel en uppdatering av Boot Manager eller uppdateringar av variabler för säker start på enheter som använder virtualiseringsbaserad säkerhet. En omstart raderar dessa villkor så att uppdateringen kan fortsätta på ett säkert sätt. I det här fallet kan <händelsetyp> vara något av följande: "DB", "DBX", "Policy Update (SKU)", "Windows UEFI CA 2023 (DB)", "Option ROM CA 2023 (DB)", "3P UEFI CA 2023 (DB)", "KEK 2023", "DBX SVN" eller "Revoke UEFI CA 2011 (DBX)".
Händelselogginformation
|
Händelselogg |
System |
|
Händelse-ID |
1800 |
|
Nivå |
Varning |
|
Meddelandetext för händelse |
En omstart krävs innan du installerar uppdateringen för säker start: <händelsetyp>. |
Enhetsspecifika händelser:
Enhetsspecifika händelser innehåller följande information:
DeviceAttributes beskriver enhetens egenskaper. Dessa värden används vid beräkning av BucketID.
BucketID är en unik hash som identifierar en grupp med motsvarande enheter. En enhet kan flytta till en annan bucket när attributen ändras, till exempel efter en uppdatering av den inbyggda programvaran.
BucketConfidenceLevel visas när systemet har tillräckligt med data för att bedöma hur säkert enheten kan acceptera uppdateringen. Möjliga värden omfattar Hög konfidens, Tillfälligt pausad, Stöds inte – Känd begränsning, Under Observation – Mer data behövs och Inga data observeras – Åtgärd krävs.
UpdateType blir antingen 0 eller 22852 (0x5944). Värdet 0x5944 anger en uppdatering av hög konfidens."
Beskrivningar för var och en av BucketConfidenceLevel är följande:
Högt förtroende: Enheter i den här gruppen har genom observerade data visat att de kan uppdatera inbyggd programvara med hjälp av de nya certifikaten för säker start.
Pausad tillfälligt: Enheter i den här gruppen påverkas av ett känt problem. För att minska risken pausas uppdateringar av certifikat för säker start tillfälligt medan Microsoft och partner arbetar mot en lösning som stöds. Det kan kräva en uppdatering av den inbyggda programvaran. Leta efter en 1802-händelse för mer information.
Stöds inte – känd begränsning: Enheter i den här gruppen stöder inte den automatiska säkerhetsstartcertifikatuppdateringssökvägen på grund av maskinvaru- eller inbyggd programvara. Ingen automatisk upplösning som stöds är för närvarande tillgänglig för den här konfigurationen.
Under observation - Mer data behövs: Enheter i den här gruppen är för närvarande inte blockerade, men det finns ännu inte tillräckligt med data för att klassificera dem som höga förtroenden. Uppdateringar av certifikat för säker start kan skjutas upp tills tillräckliga data är tillgängliga.
Inga data har observerats – åtgärd krävs: Microsoft har inte observerat den här enheten i uppdateringsdata för säker start. Det innebär att automatiska certifikatuppdateringar inte kan utvärderas för den här enheten, och administratörsåtgärder krävs sannolikt. Mer information finns i: https://aka.ms/SecureBootStatus.
Händelse-ID:ar
När en DATABAS för säker startsignatur (DB), en återkallad signaturdatabas (DBX) eller en uppdatering av nyckel-Exchange-nyckel (KEK) tillämpas på den inbyggda programvaran kan den inbyggda programvaran returnera ett fel. När ett fel inträffar loggas en händelse och Windows försöker tillämpa uppdateringen på den inbyggda programvaran vid nästa systemstart.
Vidta åtgärder
Kontakta enhetstillverkaren för att ta reda på om det finns en uppdatering av den inbyggda programvaran.
Händelselogginformation
Händelse-ID 1795 loggas när den inbyggda programvaran på enheten returnerar ett fel. Händelseloggposten innehåller felkoden som returneras från den inbyggda programvaran.
|
Händelselogg |
System |
|
Händelsekälla |
TPM-WMI |
|
Händelse-ID |
1795 |
|
Nivå |
Fel |
|
Meddelandetext för händelse |
Systemets inbyggda programvara returnerade ett fel <felkod för inbyggd programvara> vid försök att uppdatera en säker start-variabel <DB, DBX eller KEK>. Den här informationen om enhetssignaturen finns här.DeviceAttributes: <attribut> BucketId: <unikt enhets bucket-ID> BucketConfidenceLevel: <bucket konfidensnivå> Mer information finns i https://go.microsoft.com/fwlink/?linkid=2169931 |
Det här är en felhändelse som anger att de uppdaterade certifikaten inte har tillämpats på enhetens inbyggda programvara. Den här händelsen ger viss information om enheten, inklusive enhetsattribut och enhetsbuckets-ID, som hjälper till att korrelera vilka enheter som fortfarande behöver uppdateras.
Händelselogginformation
|
Händelselogg |
System |
|
Händelsekälla |
TPM-WMI |
|
Händelse-ID |
1801 |
|
Nivå |
Fel |
|
Meddelandetext för händelse |
Certifikat för säker start har uppdaterats men har ännu inte tillämpats på enhetens inbyggda programvara. Granska den publicerade vägledningen för att slutföra uppdateringen och säkerställa fullständigt skydd. Den här informationen om enhetssignaturen finns här. DeviceAttributes: <attribut>BucketId: <bucket-ID>BucketConfidenceLevel: <konfidensnivå>UpdateType: <uppdateringstyp> Mer information finns i https://go.microsoft.com/fwlink/?linkid=2301018. |
Den här händelsen indikerar att uppdateringen för säker start har blockerats avsiktligt eftersom enheten matchar en känd inbyggd programvara eller maskinvaruvillkor som hindrar uppdateringen från att slutföras på ett säkert sätt. Dessa villkor baseras på problem som rapporterats av enhetstillverkare eller identifierats genom Microsoft-tester, där användningen av uppdateringen skulle misslyckas eller kan leda till allvarligare problem. Händelsen identifierar den specifika orsaken så att administratörer kan förstå varför uppdateringen inte fortsatte. I det här fallet kan <händelsetyp> vara något av följande: "DB", "DBX", "Policy Update (SKU)", "Windows UEFI CA 2023 (DB)", "Option ROM CA 2023 (DB)", "3P UEFI CA 2023 (DB)", "KEK 2023", "DBX SVN" eller "Revoke UEFI CA 2011 (DBX)". Information om <kända problem-ID> och anvisningar för åtgärder finns på https://go.microsoft.com/fwlink/?linkid=2339472.
Händelselogginformation
|
Händelselogg |
System |
|
Händelse-ID |
1802 |
|
Nivå |
Fel |
|
Meddelandetext för händelse |
Uppdateringen för säker start <händelsetyp> blockerades på grund av ett känt problem med inbyggd programvara på enheten. Kontakta enhetsleverantören för en uppdatering av den inbyggda programvaran som åtgärdar problemet. Den här informationen om enhetssignaturen finns här.DeviceAttributes: <attribut>BucketId: <bucket-ID>BucketConfidenceLevel: <konfidensnivå>SkipReason: <känt problem-ID> Mer information finns i https://go.microsoft.com/fwlink/?linkid=2339472 |
Säker start kan bara uppdatera nyckel-Exchange-nyckeln när KEK är korrekt signerad av plattformsnyckeln. Enhetstillverkare eller andra ägare av plattformsnyckeln signerar Microsoft KEK och anger att KEK har signerats till Microsoft så att det kan inkluderas i Windows-uppdateringar. Den här händelsen innebär att en PK-signerad KEK för den här enheten inte hittades i den kumulativa uppdateringen, så KEK-uppdateringen kan inte fortsätta. Kunderna kan kontrollera statusen för en PK-signerad KEK för sin modell hos enhetstillverkaren. Mer information finns på https://go.microsoft.com/fwlink/?linkid=2339472.
|
Händelselogg |
System |
|
Händelse-ID |
1803 |
|
Nivå |
Fel |
|
Meddelandetext för händelse |
Det går inte att hitta en PK-signerad KEK-nyckel (Key Exchange Key) för den här enheten. Fråga enhetstillverkaren om korrekt nyckeletablering.Den här informationen om enhetssignaturen finns här.DeviceAttributes: <attribut>BucketId: <bucket-ID>BucketConfidenceLevel: <konfidensnivå> Mer information finns i https://go.microsoft.com/fwlink/?linkid=2339472 |
Det här är en informationshändelse som anger att enheten har de nya certifikat för säker start som krävs för enhetens inbyggda programvara. Händelsen loggas när alla nödvändiga certifikat har tillämpats på den inbyggda programvaran och starthanteraren har uppdaterats till starthanteraren som har signerats med certifikatet "Windows UEFI CA 2023".
Händelselogginformation
|
Händelselogg |
System |
|
Händelsekälla |
TPM-WMI |
|
Händelse-ID |
1808 |
|
Nivå |
Information |
|
Meddelandetext för händelse |
Den här enheten har uppdaterat ca/nycklar för säker start. Den här informationen om enhetssignaturen finns här. DeviceAttributes: <attribut>BucketId: <bucket-ID>BucketConfidenceLevel: <konfidensnivå>UpdateType: <uppdateringstyp> Mer information finns i https://go.microsoft.com/fwlink/?linkid=2301018. |
