Gäller för
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Ursprungligt publicerat datum: 14 oktober 2025

KB-ID: 5068202

Den här artikeln innehåller vägledning för:  

  • Organisationer med IT-hanterade Windows-enheter och uppdateringar.

Tillgänglighet för den här supporten:  

  • AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut och MicrosoftUpdateManagedOptIn-registernycklar ingår i uppdateringar som släpps på eller efter följande datum:

    • 14 oktober 2025: Versioner som stöds omfattar Windows 10, version 22H2 och nyare versioner (inklusive 21H2 LTSC), alla versioner av Windows 11 som stöds samt Windows Server 2022 och senare.

    • 11 november 2025: För versioner av Windows stöds fortfarande.

I denna artikel

Inledning

I det här dokumentet beskrivs stöd för distribution, hantering och övervakning av certifikatuppdateringar för säker start med windows-registernycklar. Tangenterna består av följande: 

  • En nyckel för att utlösa distributionen av certifikaten och starthanteraren på enheten.

  • Två nycklar för övervakningsstatus för distributionen.

  • Två nycklar för att hantera inställningarna för opt-in/opt-out för de två tillgängliga distributionsstöden.

Dessa registernycklar kan ställas in manuellt på enheten eller via fjärranslutning via tillgängliga programvara för vagnparkshantering. Andra distributionsmetoder, till exempel grupprincip, Intune och WinCS beskrivs i artikeln Windows-enheter för företag och organisationer med IT-hanterade uppdateringar.  

Registernycklar för säker start

I det här avsnittet

Registernycklar

Alla registernycklar för säker start som beskrivs i det här dokumentet finns under den här registersökvägen: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

I följande tabell beskrivs var och en av registervärdena. 

Registervärde

Typ

Beskrivning & användning

AvailableUpdates

REG_DWORD (bitmask)

Uppdatera utlösarflaggor.

Styr vilka åtgärder för uppdatering av säker start som ska utföras på enheten. Om du anger rätt bitfält här initieras distributionen av nya certifikat för säker start och relaterade uppdateringar. För företagsdistribution bör detta anges till 0x5944 (hex) – ett värde som möjliggör alla relevanta uppdateringar (lägga till de nya certifikatutfärdarcertifikaten för 2023, uppdatera KEK och installera den nya starthanteraren). 

Inställningar: 

  • 0 eller inte inställd – Ingen uppdatering av säker start-nyckel utförs.

  • 0x5944 – Distribuera alla nödvändiga certifikat och uppdatera till den PCA2023 signerade starthanteraren

UEFICA2023Status

REG_SZ (sträng)

Indikator för distributionsstatus.

Återspeglar aktuell status för säkerhetsstartnyckeluppdateringen på enheten. Den anges till något av följande textvärden:

  • NotStarted:Uppdateringen har ännu inte körts.

  • InProgress:Uppdateringen pågår aktivt.

  • Uppdaterad: Uppdateringen har slutförts.

Ursprungligen är statusen Inte startad. Den ändras till InProgress när uppdateringen börjar och slutligen till Uppdaterad när alla nya nycklar och den nya starthanteraren har distribuerats. Om det finns ett fel anges registervärdet UEFICA2023Fel till en kod som inte är noll.

UEFICA2023Fel

REG_DWORD (kod)

Felkod (om det finns någon).

Det här värdet förblir 0 på framgång. Om det uppstår ett fel i uppdateringsprocessen är UEFICA2023Error inställd på en felkod som inte är noll och motsvarar det första felet som påträffades. Ett fel här indikerar att uppdateringen för säker start inte lyckades helt och kan kräva undersökning eller åtgärd på den enheten.  

Om uppdatering av DB (databas med betrodda signaturer) till exempel misslyckades på grund av ett problem med den inbyggda programvaran kan registernyckeln visa en felkod som kan mappas till en händelselogg eller dokumenterat fel-ID i händelser med säker start-DB- och DBX-variabeluppdatering

HighConfidenceOptOut

REG_DWORD

Ett avaktiveringsalternativ.

För företag som vill avanmäla sig från hög konfidens buckets som automatiskt kommer att tillämpas som en del av LCU.

Du kan ställa in den här nyckeln på ett värde som inte är noll om du vill avanmäla dig från buckets med hög konfidens. 

Inställningar 

  • 0 eller nyckeln finns inte – registrera dig

  • 1 – Registrera dig

MicrosoftUpdateManagedOptIn

REG_DWORD

Ett alternativ för att registrera dig.

För företag som vill registrera sig för CFR-underhåll (Controlled Feature Rollout), även kallat Microsoft Managed.

Förutom att ange den här nyckeln kan du tillåta att obligatoriska diagnostikdata skickas (se Konfigurera Windows-diagnostikdata i organisationen). 

Inställningar

  • 0 eller nyckeln finns inte – avregistrera dig

  • 1 – Registrera dig

Så här fungerar de här tangenterna tillsammans

IT-administratören konfigurerar registervärdet AvailableUpdates till 0x5944, vilket indikerar att Windows ska köra uppdateringen och installationen av nyckeln för säker start på enheten.

När processen körs uppdaterar systemet UEFICA2023Status från NotStarted till InProgress och slutligen till Uppdaterad när det lyckas. När varje bit i 0x5944 bearbetas korrekt rensas den.

Om ett steg misslyckas registreras en felkod i UEFICA2023Fel (och statusen förblir InProgress).

Den här mekanismen ger administratörer ett tydligt sätt att utlösa och spåra distributionen per enhet. 

Distribution med registernycklar 

Distribution till en grupp av enheter består av följande steg: 

  1. Ange registervärdet AvailableUpdates till 0x5944 på varje enhet som ska uppdateras.

  2. Övervaka registernycklarna UEFICA2023Status och UEFICA2023Fel för att se att enheterna gör framsteg. Kom ihåg att aktiviteten som bearbetar dessa uppdateringar körs en gång var 12:e timme. Observera att uppdateringen av starthanteraren kanske inte sker förrän efter en omstart.

  3. Undersöka problem om de uppstår. Om UEFICA2023Fel inte är noll på en enhet kan du kontrollera händelseloggen efter händelser som är relaterade till det här problemet. Se Händelser för säker start DB och DBX-variabeluppdatering för en fullständig lista över händelser för säker start.

En anmärkning om omstarter: En omstart kan behövas för att slutföra processen, men en omstart orsakas inte om installationen av uppdateringarna för säker start. Om en omstart behövs förlitar sig säker start-distributionen på omstarter som vanligt när enheten används. 

Enhetstestning med registernycklar 

När du testar enskilda enheter för att säkerställa att enheterna bearbetar uppdateringarna korrekt kan registernycklarna vara ett enkelt sätt att testa. 

Testa genom att köra vart och ett av följande kommandon separat från en PowerShell-administratörsuppmaning: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Det första kommandot initierar distributionen av certifikatet och starthanteraren på enheten. Det andra kommandot gör att aktiviteten som bearbetar registernyckeln AvailableUpdates körs direkt. Normalt körs aktiviteten var 12:e timme. 

Du kan hitta resultaten genom att observera registernycklarna UEFICA2023Status och UEFICA2023Fel och händelseloggarna enligt beskrivningen i uppdateringshändelserna för säker start DB och DBX

Anmäl dig och avregistrera dig från assistans 

Registernycklarna HighConfidenceOptOut och MicrosoftUpdateManagedOptIn kan användas för att hantera de två distributionsstöd som beskrivs i Windows-enheter med IT-hanterade uppdateringar

  • Registernyckeln HighConfidenceOptOut styr den automatiska uppdateringen av enheter via de kumulativa uppdateringarna. För de enheter där Microsoft har observerat att vissa enheter uppdateras utan problem betraktas de som enheter med "högt förtroende" och uppdateringar av certifikat för säker start sker automatiskt. Standardinställningen för det här alternativet har valts.

  • Med registernyckeln MicrosoftUpdateManagedOptIn kan IT-avdelningar registrera sig för automatisk distribution som hanteras av Microsoft. Den här inställningen är inaktiverad som standard och inställningen är 1 opts-in. Den här inställningen kräver också att enheten skickar valfria diagnostikdata.

Versioner av Windows som stöds

I den här tabellen bryts ytterligare stödet ned baserat på registernyckeln. 

Nyckel 

Versioner av Windows som stöds 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Fel 

Alla versioner av Windows som stöder Säker start (Windows Server 2012 och senare Windows-versioner).  

Not: Konfidensdata samlas in på Windows 10, versionerna LTSC, 22H2 och senare versioner av Windows, men de kan tillämpas på enheter som kör tidigare versioner av Windows.    

  • Windows 10 versionerna LTSC och 22H2

  • Windows 11 versionerna 22H2 och 23H2

  • Windows 11 version 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Felhändelser vid säker start

​​​​​​​​​​​​​​Felhändelser har en kritisk rapporteringsfunktion som informerar om status för säker start och förlopp.  Mer information om felhändelserna finns i Secure Boot DB- och DBX-uppdateringshändelser. Felhändelserna uppdateras med ytterligare händelseinformation för Säker start. 

Ytterligare komponentändringar för Säker start 

I det här avsnittet

Ändringar av TPMTasks 

Ändra TPMTasks för att avgöra om enhetens tillstånd har de uppdaterade certifikaten för säker start. För närvarande kan det göra den beslutsamheten men bara om CFR väljer en dator för uppdatering. Den beslutsamheten och efterföljande loggning ska ske i varje startsession oavsett CFR. Om certifikaten för säker start inte är helt uppdaterade släpper de ut de två felhändelser som beskrivs ovan. Om certifikaten är uppdaterade sänder de ut informationshändelsen. De certifikat för säker start som ska kontrolleras är:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 och Microsoft Option ROM UEFI CA 2023 – Dessa två certifikat måste bara finnas om Microsoft UEFI CA 2011 finns. Om Microsoft UEFI CA 2011 inte finns med behöver du inte kontrollera det.

  • Microsoft Corporation KEK 2K CA 2023

Datormetadatahändelse 

Händelsen samlar in datorns metadata och utfärdar följande händelse:

  • BucketId + Confidence Rating-händelse   

Den här händelsen använder datorns metadata för att hitta motsvarande post i databasen över datorer (bucketpost). Datorn formaterar och avger en händelse med dessa data tillsammans med eventuell konfidensinformation om bucketen. ​​​​​​​ 

Enhetshjälp med hög säkerhet 

För enheter i buckets med hög konfidens tillämpas Certifikat för säker start och 2023-signerad starthanterare automatiskt.   

Uppdateringen utlöses samtidigt som de två felhändelserna genereras, och händelsen BucketId + Confidence Rating innehåller en klassificering med högt förtroende.   

Avregistrera dig

För kunder som vill avregistrera sig finns en ny registernyckel på följande sätt:   

Registerplats

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Namn på tangent

HighConfidenceOptOut

Tangenttyp

DWORD

DWORD-värde

0 eller nyckeln finns inte – Stödet för hög konfidens är aktiverat.    

1 – Stödet för hög konfidens är inaktiverat   

Alla andra värden är odefinierade   

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter