Gäller för
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Ursprungligt publicerat datum: 14 oktober 2025

KB-ID: 5068202

Den här artikeln innehåller vägledning för:  

  • Organisationer med IT-hanterade Windows-enheter och uppdateringar.

Tillgänglighet för den här supporten:  

Registernycklar ingår i uppdateringar som släpps på eller efter följande datum:

  • 11 november 2025: För versioner av Windows stöds fortfarande.

Ändra datum

Ändra beskrivning

den 20 mars 2026

  • Lade till registervärdet AvailableUpdatesPolicy i den första tabellen i avsnittet "Registernycklar".

  • Uppdaterat registervärdet WindowsUEFICA2023Capable "Beskrivning och användning" i den andra tabellen i avsnittet "Registernycklar".

den 20 februari 2026

  • Tre nya registernycklar har lagts till i artikeln – "UEFICA2023ErrorEvent", "BucketHash" & "ConfidenceLevel".

  • Avsnittet "Tillgänglighet för den här supporten" har uppdaterats.

den 4 november 2025

  • Lade till ytterligare en registernyckel på sidan.

  • Korrigerade ett uttryck från "Om uppdatering av DB (databas med betrodda signaturer) till exempel misslyckades på grund av ett problem med inbyggd programvara, kan registernyckeln visa en felkod som kan mappas till en händelselogg eller dokumenterat fel-ID i och säga "Om uppdatering av DB (databas med betrodda signaturer) till exempel misslyckades på grund av ett problem med den inbyggda programvaran. registernyckeln kan visa en felkod från den inbyggda programvaran. När den här nyckeln finns och inte är noll rekommenderar vi att du söker efter händelser för Säker start i Windows-händelseloggarna – se (länk) för mer information".

  • Två separata sökvägar för registernycklar har lagts till nedan

den 11 november 2025

  • Uppdaterade stycket under Enhetstestning med registernycklar med ytterligare information: "Registernyckeln bör snabbt ändras till 0x4100. Om du startar om och kör en aktivitet igen uppdateras starthanteraren och AvailableUpdates blir 0x0100. Mer information om hur AvailableUpdates fungerar finns i Felsökning."

  • Uppdatera texten i den grå rutan under Enhetstestning med hjälp av registernycklar för att ha ytterligare två PowerShell-kommandon

  • Under registernycklar ändrades registervärdet -MicrosoftUpdateManagedOptIn från "1 - Opt in " till "1 eller något annat värde som inte är noll – Registrera dig"

den 16 november 2025

Uppdaterat innehållet under Enhetstestning med registernycklar. Det tillgängliga uppdateringsvärdet har ändrats från "0x0100" till "0x4000".

I denna artikel

Inledning

I det här dokumentet beskrivs stöd för distribution, hantering och övervakning av certifikatuppdateringar för säker start med windows-registernycklar. Tangenterna består av följande: 

  • En nyckel för att utlösa distributionen av certifikaten och starthanteraren på enheten.

  • Två nycklar för övervakningsstatus för distributionen.

  • Två nycklar för hantering av inställningarna för registrering/avregistrerande för de två tillgängliga distributionsstöden.

Dessa registernycklar kan ställas in manuellt på enheten eller via fjärranslutning via tillgängliga programvara för vagnparkshantering. Andra distributionsmetoder, till exempel grupprincip, Microsoft Intune och WinCS, beskrivs i artikeln Windows-enheter för företag och organisationer med IT-hanterade uppdateringar.  

Registernycklar för säker start

I det här avsnittet

Registernycklar

Alla registernycklar för säker start som beskrivs nedan finns under den här registersökvägen: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

I följande tabell beskrivs var och en av registervärdena:

Registervärde

Typ

Beskrivning och användning

AvailableUpdates

REG_DWORD (bitmask)

Uppdatera utlösarflaggor.

Styr vilka åtgärder för uppdatering av säker start som ska utföras på enheten. Om du anger rätt bitfält här initieras distributionen av nya certifikat för säker start och relaterade uppdateringar. För företagsdistribution bör detta anges till 0x5944 (hex) – ett värde som möjliggör alla relevanta uppdateringar (lägga till de nya certifikatutfärdarcertifikaten för 2023, uppdatera KEK och installera den nya starthanteraren). 

Inställningar

  • 0 eller inte inställd – Ingen uppdatering av säker start-nyckel utförs.

  • 0x5944 – Distribuera alla nödvändiga certifikat och uppdatera till den PCA2023 signerade starthanteraren

HighConfidenceOptOut

REG_DWORD

Ett alternativ för att välja bort.

För företag som vill avanmäla sig från hög konfidens buckets som automatiskt kommer att tillämpas som en del av LCU.

Du kan ställa in den här nyckeln på ett värde som inte är noll om du vill avanmäla dig från buckets med hög konfidens. 

Inställningar 

  • 0 eller nyckeln finns inte – registrera dig

  • 1 – Avregistrera dig

MicrosoftUpdateManagedOptIn

REG_DWORD

Ett alternativ för att välja.

För företag som vill registrera sig för CFR-underhåll (Controlled Feature Rollout), även kallat Microsoft Managed.

Förutom att ange den här nyckeln kan du tillåta att obligatoriska diagnostikdata skickas (se Konfigurera Windows-diagnostikdata i organisationen). 

Inställningar

  • 0 eller nyckeln finns inte – Avregistrera dig

  • 1 eller ett annat värde   som inte är noll– Registrera dig

AvailableUpdatesPolicy

REG_DWORD (bitmask)

Endast som referens – uppdatera inte den här nyckeln via registret. Den här nyckeln används av grupprincip och Intune för att kommunicera åtgärder relaterade till Säker start till Windows. Den representerar principen som anges av Intune eller grupprincip.

Alla registernycklar för säker start som beskrivs nedan finns under den här registersökvägen: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

I följande tabell beskrivs var och en av registervärdena:

Registervärde

Typ

Beskrivning och användning

UEFICA2023Status

REG_SZ (sträng)

Indikator för distributionsstatus.

Återspeglar aktuell status för säkerhetsstartnyckeluppdateringen på enheten. Den anges till något av följande textvärden:

  • NotStarted: Uppdateringen har ännu inte körts.

  • InProgress: Uppdateringen pågår aktivt.

  • Uppdaterad: Uppdateringen har slutförts.

Ursprungligen är statusen Inte startad. Den ändras till InProgress när uppdateringen börjar och slutligen till Uppdaterad när alla nya nycklar och den nya starthanteraren har distribuerats. Om det finns ett fel anges registervärdet UEFICA2023Fel till en kod som inte är noll.

UEFICA2023Fel

REG_DWORD (kod)

Felkod (om det finns någon).

Det här värdet förblir 0 på framgång. Om det uppstår ett fel i uppdateringsprocessen är UEFICA2023Error inställd på en felkod som inte är noll och motsvarar det första felet som påträffades. Ett fel här indikerar att uppdateringen för säker start inte lyckades helt och kan kräva undersökning eller åtgärd på den enheten.  

Om uppdatering av DB (databas med betrodda signaturer) till exempel misslyckades på grund av ett problem med den inbyggda programvaran kan registernyckeln visa en felkod från den inbyggda programvaran. När den här nyckeln finns och inte är noll rekommenderar vi att du letar efter händelser för Säker start i Windows-händelseloggarna – se Händelser för säker start DB och DBX-variabeluppdatering för mer information.

UEFICA2023ErrorEvent

REG_DWORD (kod)

UEFICA2023ErrorEvent anger det händelse-ID som Windows använde för att rapportera ett fel relaterat till programmet för windows UEFI CA 2023-uppdateringar för säker start. Det här värdet är korrelerat med registernyckeln UEFICA2023Fel och fylls i när nyckeln anges, vilket indikerar att ett fel påträffades i Windows vid försök att tillämpa uppdateringen för säker start. När detta inträffar loggar Windows motsvarande Secure Boot-händelse som dokumenteras på den offentliga sidan Secure Boot DB- och DBX-uppdateringshändelser, som innehåller ytterligare information om varför uppdateringen inte kunde slutföras och vilken åtgärd som kan krävas.

WindowsUEFICA2023Capable

REG_DWORD (kod)

Endast som referens – använd inte den här nyckeln när du får status på uppdateringar för säker start. Använd UEFICA2023Status-tangenten i stället.

Registernyckeln är avsedd för begränsade distributionsscenarier och rekommenderas inte för allmän användning.

Giltiga värden:

0 – eller nyckeln finns inte – certifikatet "Windows UEFI CA 2023" finns inte i DB

1 – Certifikatet "Windows UEFI CA 2023" finns i DB

2 – Certifikatet "Windows UEFI CA 2023" finns i DB och systemet startar från den 2023-signerade starthanteraren

BucketHash

REG_SZ (sträng)

BucketHash identifierar distributionsbucketen som en enhet har tilldelats som en del av distributionen av certifikat för säker start. Värdet är en hash som härleds från enhetens egenskaper och används för att gruppera enheter med liknande inbyggda programvara och plattformsattribut för stegvis distribution och riskhantering. Det här är samma bucket-hash som visas i enhetsspecifika händelser som dokumenteras på sidan Händelser för säker start DB- och DBX-uppdatering , vilket gör att administratörer kan korrelera registertillståndet med händelseloggposter och förstå hur en enhet är riktad under uppdateringsprocessen för säker start.

ConfidenceLevel

REG_SZ (sträng)

ConfidenceLevel anger den förtroendebedömning som är kopplad till enhetens distributionsenhet för säker start. Det här värdet motsvarar BucketConfidenceLevel som Windows tilldelar enheten baserat på observerat uppdateringsbeteende i liknande konfigurationer av maskinvara och inbyggd programvara. Samma konfidensnivå ingår i enhetsspecifika händelser som dokumenteras på sidan Händelser för säker start DB- och DBX-uppdatering , vilket gör att administratörer kan korrelera registervärdet med händelseloggposter. Mer information om möjliga värden för den här nyckeln finns i händelsebeskrivningar för enhetsspecifika händelseloggar.

Så här fungerar de här tangenterna tillsammans

IT-administratörer konfigurerar registervärdet AvailableUpdates till 0x5944, vilket indikerar att Windows ska köra säkerhetsstartnyckeluppdateringen och installationen på enheten.

När processen körs uppdaterar systemet UEFICA2023Status från NotStarted till InProgress och slutligen till Uppdaterad när det lyckas. När varje bit i 0x5944 bearbetas korrekt rensas den.

Om ett steg misslyckas registreras en felkod i UEFICA2023Fel (och statusen förblir InProgress).

Den här mekanismen ger administratörer ett tydligt sätt att utlösa och spåra distributionen per enhet. 

Distribution med registernycklar 

Distribution till en grupp av enheter består av följande steg: 

  1. Ange registervärdet AvailableUpdates till 0x5944 på varje enhet som ska uppdateras.

  2. Övervaka registernycklarna UEFICA2023Status och UEFICA2023Fel för att se att enheterna gör framsteg. Aktiviteten som bearbetar dessa uppdateringar körs var 12:e timme. Observera att uppdateringen av starthanteraren kanske inte sker förrän efter en omstart.

  3. Undersöka problem om de uppstår. Om UEFICA2023Fel inte är noll på en enhet kan du kontrollera händelseloggen efter händelser som är relaterade till det här problemet. Se Händelser för säker start DB och DBX-variabeluppdatering för en fullständig lista över händelser för säker start.

En anmärkning om omstarter: En omstart kan behövas för att slutföra processen, men en omstart orsakas inte om installationen av uppdateringarna för säker start. Om en omstart behövs förlitar sig säker start-distributionen på omstarter som vanligt när enheten används. 

Enhetstestning med registernycklar 

När du testar enskilda enheter för att säkerställa att enheterna bearbetar uppdateringarna korrekt kan registernycklarna vara ett enkelt sätt att testa. 

Testa genom att köra vart och ett av följande kommandon separat från en PowerShell-administratörsuppmaning: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Starta om systemet manuellt när AvailableUpdates blir 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Det första kommandot initierar distributionen av certifikatet och starthanteraren på enheten. Det andra kommandot gör att aktiviteten som bearbetar registernyckeln AvailableUpdates körs direkt. Normalt körs aktiviteten var 12:e timme. Registernyckeln bör snabbt ändras till 0x4100. Om du startar om och kör en aktivitet igen uppdateras starthanteraren och AvailableUpdates blir 0x4000. Mer information om hur AvailableUpdates fungerar finns i Felsökning.

Du kan hitta resultaten genom att observera registernycklarna UEFICA2023Status och UEFICA2023Fel och händelseloggarna enligt beskrivningen i uppdateringshändelserna för säker start DB och DBX

Registrera dig och avregistrera dig från assistans 

Registernycklarna HighConfidenceOptOut och MicrosoftUpdateManagedOptIn kan användas för att hantera de två distributionsstöd som beskrivs i Windows-enheter med IT-hanterade uppdateringar

  • Registernyckeln HighConfidenceOptOut styr den automatiska uppdateringen av enheter via de kumulativa uppdateringarna. För de enheter där Microsoft har observerat att vissa enheter uppdateras utan problem betraktas de som enheter med "högt förtroende" och uppdateringar av certifikat för säker start sker automatiskt. Standardinställningen är anmäld.

  • Med registernyckeln MicrosoftUpdateManagedOptIn kan IT-avdelningar registrera sig för automatisk distribution som hanteras av Microsoft. Den här inställningen är inaktiverad som standard och inställningen är 1 opts-in. Den här inställningen kräver också att enheten skickar valfria diagnostikdata.

Versioner av Windows som stöds

I den här tabellen bryts ytterligare stödet ned baserat på registernyckeln. 

Nyckel 

Versioner av Windows som stöds 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Fel 

Alla versioner av Windows som stöder Säker start (Windows Server 2012 och senare Windows-versioner).  

Observera: Konfidensdata samlas in på Windows 10, versionerna LTSC, 22H2 och senare versioner av Windows, men de kan tillämpas på enheter som kör tidigare versioner av Windows.    

  • Windows 10 versionerna LTSC och 22H2

  • Windows 11 versionerna 22H2 och 23H2

  • Windows 11 version 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Felhändelser vid säker start

​​​​​​​​​​​​​​Felhändelser har en kritisk rapporteringsfunktion som informerar om status för säker start och förlopp.  Mer information om felhändelserna finns i Secure Boot DB- och DBX-uppdateringshändelser. Felhändelserna uppdateras med ytterligare händelseinformation för Säker start. 

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter