นำไปใช้กับ
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

วันที่เผยแพร่ครั้งแรก: 14 ตุลาคม 2025

KB ID: 5068202

บทความนี้มีคําแนะนําสําหรับ:  

  • องค์กรที่มีอุปกรณ์ Windows และการอัปเดตที่จัดการโดย IT

ความพร้อมใช้งานของการสนับสนุนนี้:  

  • AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut และ MicrosoftUpdateManagedOptIn รีจิสทรีคีย์จะรวมอยู่ในการอัปเดตที่เผยแพร่ในวันที่หรือหลังจากวันที่ต่อไปนี้:

    • 14 ตุลาคม 2025: เวอร์ชันที่รองรับได้แก่ Windows 10 เวอร์ชัน 22H2 และเวอร์ชันที่ใหม่กว่า (รวมถึง 21H2 LTSC) Windows 11 เวอร์ชันที่รองรับทั้งหมด รวมถึง Windows Server 2022 และเวอร์ชันที่ใหม่กว่า

    • 11 พฤศจิกายน 2025: สําหรับ Windows เวอร์ชันที่ยังคงได้รับการสนับสนุน

ในบทความนี้

บทนำ

เอกสารนี้อธิบายการสนับสนุนสําหรับการปรับใช้ การจัดการ และการตรวจสอบการอัปเดตใบรับรองการบูตแบบปลอดภัยโดยใช้รีจิสทรีคีย์ของ Windows แป้นประกอบด้วยสิ่งต่อไปนี้: 

  • คีย์เดียวที่ทริกเกอร์การปรับใช้ใบรับรองและตัวจัดการการเริ่มต้นระบบบนอุปกรณ์

  • คีย์สองแป้นสําหรับการตรวจสอบสถานะของการปรับใช้

  • แป้นสองแป้นสําหรับการจัดการการตั้งค่าการเข้าร่วม/ปฏิเสธการเข้าร่วมสําหรับตัวช่วยการปรับใช้สองตัวที่พร้อมใช้งาน

รีจิสทรีคีย์เหล่านี้สามารถตั้งค่าด้วยตนเองบนอุปกรณ์หรือจากระยะไกลผ่านซอฟต์แวร์การจัดการกองเรือที่พร้อมใช้งาน วิธีการปรับใช้อื่นๆ เช่น นโยบายกลุ่ม, Intune และ WinCS ได้อธิบายไว้ในบทความ อุปกรณ์ Windows สําหรับธุรกิจและองค์กรที่มีการอัปเดตที่มีการจัดการโดย IT  

รีจิสทรีคีย์การบูตแบบปลอดภัย

ในส่วนนี้

รีจิสทรีคีย์

รีจิสทรีคีย์การบูตแบบปลอดภัยทั้งหมดที่อธิบายไว้ในเอกสารนี้อยู่ภายใต้พาธรีจิสทรีนี้: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

ตารางต่อไปนี้อธิบายค่ารีจิสทรีแต่ละค่า 

ค่ารีจิสทรี

ชนิด

คําอธิบายการใช้งาน &

AvailableUpdates

REG_DWORD (บิตมาสก์)

อัปเดตค่าสถานะทริกเกอร์

ควบคุมการดําเนินการอัปเดตการบูตแบบปลอดภัยที่จะดําเนินการบนอุปกรณ์ การตั้งค่าบิตฟิลด์ที่เหมาะสมที่นี่จะเริ่มต้นการปรับใช้ใบรับรองการบูตแบบปลอดภัยใหม่และการอัปเดตที่เกี่ยวข้อง สําหรับการปรับใช้ขององค์กร ควรตั้งค่าเป็น 0x5944 (hex) ซึ่งเป็นค่าที่เปิดใช้งานการอัปเดตที่เกี่ยวข้องทั้งหมด (การเพิ่มใบรับรอง 2023 CA ใหม่ การอัปเดต KEK และการติดตั้งตัวจัดการการเริ่มต้นระบบใหม่) 

การตั้งค่า: 

  • 0 หรือไม่ตั้งค่า - ไม่มีการอัปเดตคีย์การบูตแบบปลอดภัย

  • 0x5944 – ปรับใช้ใบรับรองที่จําเป็นทั้งหมดและอัปเดตเป็นตัวจัดการการเริ่มต้นระบบที่เซ็นชื่อ PCA2023

UEFICA2023Status

REG_SZ (สตริง)

ตัวบ่งชี้สถานะการปรับใช้

แสดงสถานะปัจจุบันของการอัปเดตคีย์การบูตแบบปลอดภัยบนอุปกรณ์ โดยจะถูกตั้งค่าเป็นค่าข้อความค่าใดค่าหนึ่งต่อไปนี้:

  • ไม่ได้เริ่มต้น:การอัปเดตยังไม่ได้ทํางาน

  • InProgress:การอัปเดตกําลังดําเนินการอยู่

  • ปรับ ปรุง: การอัปเดตเสร็จสมบูรณ์แล้ว

ในตอนแรก สถานะคือ NotStarted ซึ่งจะเปลี่ยนเป็น InProgress เมื่อการอัปเดตเริ่มต้นและสุดท้ายเป็น อัปเดตเมื่อมีการปรับใช้คีย์ใหม่และตัวจัดการการบูตใหม่ทั้งหมด ถ้ามีข้อผิดพลาด ค่ารีจิสทรี UEFICA2023Error จะถูกตั้งค่าเป็นรหัสที่ไม่ใช่ศูนย์

UEFICA2023Error

REG_DWORD (รหัส)

รหัสข้อผิดพลาด (ถ้ามี)

ค่านี้ยังคงเป็น 0 ต่อความสําเร็จ ถ้ากระบวนการอัปเดตพบข้อผิดพลาด UEFICA2023Error จะถูกตั้งค่าเป็นรหัสข้อผิดพลาดที่ไม่ใช่ศูนย์ที่สอดคล้องกับข้อผิดพลาดแรกที่พบ ข้อผิดพลาดในที่นี้หมายถึงการอัปเดตการบูตแบบปลอดภัยไม่สําเร็จและอาจต้องมีการตรวจสอบหรือการแก้ไขบนอุปกรณ์นั้น  

ตัวอย่างเช่น หากการอัปเดต DB (ฐานข้อมูลของลายเซ็นที่เชื่อถือได้) ล้มเหลวเนื่องจากปัญหาเกี่ยวกับเฟิร์มแวร์ รีจิสทรีคีย์นี้อาจแสดงรหัสข้อผิดพลาดที่สามารถแมปไปยังบันทึกเหตุการณ์หรือรหัสข้อผิดพลาดที่เป็นเอกสารในเหตุการณ์การอัปเดตตัวแปร Secure Boot DB และ DBX 

HighConfidenceOptOut

REG_DWORD

ตัวเลือกปฏิเสธการเข้าร่วม

สําหรับองค์กรที่ต้องการปฏิเสธเข้าร่วมกลุ่มความเชื่อมั่นสูงที่จะนํามาใช้เป็นส่วนหนึ่งของ LCU โดยอัตโนมัติ

คุณสามารถตั้งค่าคีย์นี้เป็นค่าที่ไม่ใช่ศูนย์เพื่อปฏิเสธการเข้าร่วมกลุ่มความเชื่อมั่นสูงได้ 

การตั้งค่า 

  • 0 หรือคีย์ไม่มีอยู่ – เลือกรับ

  • 1 – เลือกรับ

MicrosoftUpdateManagedOptIn

REG_DWORD

ตัวเลือกการเข้าร่วม

สําหรับองค์กรที่ต้องการเลือกรับการให้บริการ Controlled Feature Rollout (CFR) หรือที่เรียกว่า Microsoft Managed

นอกเหนือจากการตั้งค่าคีย์นี้ อนุญาตให้ส่งข้อมูลการวินิจฉัยที่จําเป็น (ดูที่ กําหนดค่าข้อมูลการวินิจฉัย Windows ในองค์กรของคุณ

การตั้งค่า

  • 0 หรือคีย์ไม่มีอยู่ – เลือกไม่รับ

  • 1 – เลือกรับ

แป้นเหล่านี้ทํางานร่วมกันอย่างไร

ผู้ดูแลระบบ IT กําหนดค่ารีจิสทรี AvailableUpdatesให้ 0x5944 ซึ่งส่งสัญญาณให้ Windows ดําเนินการอัปเดตคีย์การบูตแบบปลอดภัยและการติดตั้งบนอุปกรณ์

เมื่อกระบวนการทํางาน ระบบจะอัปเดต UEFICA2023Status จาก NotStarted เป็น InProgress และสุดท้ายเป็น อัปเดต เมื่อสําเร็จ เนื่องจากแต่ละบิตใน 0x5944 ได้รับการประมวลผลสําเร็จจะถูกล้าง

ถ้าขั้นตอนใดๆ ล้มเหลว รหัสข้อผิดพลาดจะถูกบันทึกใน UEFICA2023Error (และสถานะจะยังคงเป็น InProgress)

กลไกนี้ช่วยให้ผู้ดูแลระบบมีวิธีที่ชัดเจนในการทริกเกอร์และติดตามการเผยแพร่ต่ออุปกรณ์ 

การปรับใช้โดยใช้รีจิสทรีคีย์ 

การปรับใช้กับกลุ่มของอุปกรณ์ประกอบด้วยขั้นตอนต่อไปนี้: 

  1. ตั้งค่ารีจิสทรี AvailableUpdates เพื่อ 0x5944 บนอุปกรณ์แต่ละเครื่องที่จะอัปเดต

  2. ตรวจสอบ UEFICA2023Status และ UEFICA2023Error รีจิสทรีคีย์เพื่อดูว่าอุปกรณ์กําลังดําเนินการอยู่ โปรดจําไว้ว่างานที่ประมวลผลการอัปเดตเหล่านี้จะทํางานหนึ่งครั้งทุกๆ 12 ชั่วโมง โปรดทราบว่าการอัปเดตตัวจัดการการบูตอาจไม่เกิดขึ้นจนกว่าจะมีการเริ่มระบบใหม่

  3. ตรวจสอบปัญหาหากเกิดขึ้น ถ้า UEFICA2023Error ไม่ใช่ศูนย์บนอุปกรณ์ คุณสามารถตรวจสอบบันทึกเหตุการณ์สําหรับเหตุการณ์ที่เกี่ยวข้องกับปัญหานี้ ดู เหตุการณ์การอัปเดตตัวแปร DB และ DBX สําหรับ รายการเหตุการณ์การบูตแบบปลอดภัยทั้งหมด

หมายเหตุเกี่ยวกับการเริ่มระบบใหม่: ในขณะที่อาจจําเป็นต้องเริ่มระบบใหม่เพื่อให้กระบวนการเสร็จสมบูรณ์ การเริ่มใช้งานการอัปเดตการบูตแบบปลอดภัยจะไม่ทําให้เกิดการเริ่มระบบใหม่ หากจําเป็นต้องเริ่มระบบใหม่ การปรับใช้การบูตแบบปลอดภัยจะขึ้นอยู่กับการเริ่มระบบใหม่ซึ่งเกิดขึ้นตามปกติในการใช้อุปกรณ์ 

การทดสอบอุปกรณ์โดยใช้รีจิสทรีคีย์ 

เมื่อทดสอบอุปกรณ์แต่ละอย่างเพื่อให้แน่ใจว่าอุปกรณ์จะประมวลผลการอัปเดตอย่างถูกต้อง รีจิสทรีคีย์สามารถเป็นวิธีที่ตรงไปตรงมาในการทดสอบ 

เมื่อต้องการทดสอบ ให้เรียกใช้แต่ละคําสั่งต่อไปนี้แยกต่างหากจากพร้อมท์ PowerShell ของผู้ดูแลระบบ: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

คําสั่งแรกจะเริ่มต้นการปรับใช้ใบรับรองและตัวจัดการการเริ่มต้นระบบบนอุปกรณ์ คําสั่งที่สองทําให้งานที่ประมวลผลรีจิสทรีคีย์ AvailableUpdates ทํางานทันที โดยปกติงานจะทํางานทุก 12 ชั่วโมง 

คุณสามารถค้นหาผลลัพธ์โดยสังเกต UEFICA2023Status และ UEFICA2023Error รีจิสทรีคีย์และบันทึกเหตุการณ์ตามที่อธิบายไว้ในเหตุการณ์การอัปเดตตัวแปร DB และ DBX ของ Secure Boot 

เลือกรับและปฏิเสธเข้าร่วมสําหรับความช่วยเหลือ 

รีจิสทรีคีย์ HighConfidenceOptOut และ MicrosoftUpdateManagedOptIn สามารถใช้เพื่อจัดการ "ตัวช่วย" การปรับใช้ทั้งสองรายการที่อธิบายไว้ในอุปกรณ์ Windows ด้วยการอัปเดตที่จัดการโดย IT 

  • รีจิสทรีคีย์ HighConfidenceOptOut ควบคุมการอัปเดตอัตโนมัติของอุปกรณ์ผ่านการอัปเดตแบบสะสม สําหรับอุปกรณ์ที่ Microsoft สังเกตเห็นว่าการอัปเดตอุปกรณ์บางอย่างเสร็จสมบูรณ์ อุปกรณ์เหล่านั้นจะถูกพิจารณาว่าเป็นอุปกรณ์ "ความเชื่อมั่นสูง" และการอัปเดตใบรับรองการบูตแบบปลอดภัยจะเกิดขึ้นโดยอัตโนมัติ การตั้งค่าเริ่มต้นสําหรับ การเลือกรับนี้

  • รีจิสทรีคีย์ MicrosoftUpdateManagedOptIn ช่วยให้แผนก IT สามารถเลือกรับการปรับใช้อัตโนมัติที่จัดการโดย Microsoft ได้ การตั้งค่านี้จะถูกปิดใช้งานตามค่าเริ่มต้นและตั้งค่าเป็นเลือกรับ 1 รายการ การตั้งค่านี้ยังกําหนดให้อุปกรณ์ส่งข้อมูลการวินิจฉัยเพิ่มเติมด้วย

Windows เวอร์ชันที่สนับสนุน

ตารางนี้แบ่งการสนับสนุนตามรีจิสทรีคีย์เพิ่มเติม 

คีย์ 

Windows เวอร์ชันที่สนับสนุน 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Windows ทุกเวอร์ชันที่สนับสนุนการบูตแบบปลอดภัย (Windows Server 2012 และ Windows เวอร์ชันที่ใหม่กว่า)  

โน้ต: แม้ว่าข้อมูลความเชื่อมั่นจะถูกรวบรวมบน Windows 10 เวอร์ชัน LTSC, 22H2 และ Windows เวอร์ชันที่ใหม่กว่า แต่สามารถนําไปใช้กับอุปกรณ์ที่ใช้งาน Windows เวอร์ชันก่อนหน้าได้    

  • Windows 10 เวอร์ชัน LTSC และ 22H2

  • Windows 11 เวอร์ชัน 22H2 และ 23H2

  • Windows 11 เวอร์ชัน 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

เหตุการณ์ข้อผิดพลาดการบูตแบบปลอดภัย

​​​​​​​​​​​​​​เหตุการณ์ข้อผิดพลาดมีฟังก์ชันการรายงานที่สําคัญเพื่อแจ้งเกี่ยวกับสถานะการบูตแบบปลอดภัยและความคืบหน้า  สําหรับข้อมูลเกี่ยวกับเหตุการณ์ข้อผิดพลาด ดูที่ เหตุการณ์การอัปเดตตัวแปร DB และ DBX ของ Secure Boot เหตุการณ์ข้อผิดพลาดกําลังได้รับการอัปเดตด้วยข้อมูลเหตุการณ์เพิ่มเติมสําหรับการบูตแบบปลอดภัย 

การเปลี่ยนแปลงคอมโพเนนต์เพิ่มเติมสําหรับการบูตแบบปลอดภัย 

ในส่วนนี้

การเปลี่ยนแปลง TPMTasks 

ปรับเปลี่ยน TPMTasks เพื่อตรวจสอบว่าสถานะของอุปกรณ์มีใบรับรองการบูตแบบปลอดภัยที่อัปเดตแล้วหรือไม่ ปัจจุบันสามารถกําหนดได้ แต่เฉพาะเมื่อ CFR เลือกเครื่องสําหรับการอัปเดตเท่านั้น การกําหนดดังกล่าวและการบันทึกที่ตามมาควรเกิดขึ้นในเซสชันการเริ่มต้นระบบทุกครั้ง โดยไม่คํานึงถึง CFR หากใบรับรองการบูตแบบปลอดภัย ยังไม่ ทันสมัยอย่างสมบูรณ์ ใบรับรองจะปล่อยเหตุการณ์ข้อผิดพลาดสองเหตุการณ์ที่อธิบายไว้ข้างต้น ถ้าใบรับรองมีข้อมูลล่าสุด แล้วใบรับรองจะปล่อยเหตุการณ์ข้อมูล ใบรับรองการบูตแบบปลอดภัยที่จะตรวจสอบมีดังนี้:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 และ Microsoft Option ROM UEFI CA 2023 – CAs ทั้งสองนี้ต้องมีอยู่ต่อเมื่อ Microsoft UEFI CA 2011 ปรากฏเท่านั้น หาก Microsoft UEFI CA 2011 ไม่ปรากฏ แสดงว่าไม่จําเป็นต้องตรวจสอบ

  • Microsoft Corporation KEK 2K CA 2023

เหตุการณ์เมตาดาต้าของเครื่อง 

เหตุการณ์นี้จะรวบรวมข้อมูลเมตาของเครื่องและออกเหตุการณ์ต่อไปนี้:

  • BucketId + เหตุการณ์การจัดอันดับความเชื่อมั่น   

เหตุการณ์นี้จะใช้เมตาดาต้าของเครื่องเพื่อค้นหารายการที่สอดคล้องกันในฐานข้อมูลของเครื่อง (รายการกลุ่ม) เครื่องจะจัดรูปแบบและปล่อยเหตุการณ์ที่มีข้อมูลนี้พร้อมกับข้อมูลความเชื่อมั่นใดๆ เกี่ยวกับบักเก็ต ​​​​​​​ 

ตัวช่วยอุปกรณ์ความมั่นใจสูง 

สําหรับอุปกรณ์ในกลุ่มที่มีความเชื่อมั่นสูง ใบรับรองการบูตแบบปลอดภัยและตัวจัดการการเริ่มต้นระบบที่เซ็นชื่อในปี 2023 จะถูกนําไปใช้โดยอัตโนมัติ   

การอัปเดตจะถูกทริกเกอร์ในเวลาเดียวกันกับเหตุการณ์ข้อผิดพลาดสองเหตุการณ์จะถูกสร้างขึ้น และเหตุการณ์ BucketId + Confidence Rating มีการจัดอันดับความเชื่อมั่นสูง   

ปฏิเสธการเข้าร่วม

สําหรับลูกค้าที่ต้องการปฏิเสธเข้าร่วม รีจิสทรีคีย์ใหม่จะพร้อมใช้งานดังนี้:   

ตําแหน่งที่ตั้งของรีจิสทรี

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

ชื่อแป้น

HighConfidenceOptOut

ชนิดคีย์

DWORD

ค่า DWORD

0 หรือคีย์ไม่มีอยู่ – มีการเปิดใช้งานตัวช่วยที่มีความเชื่อมั่นสูง    

1 – ตัวช่วยความมั่นใจสูงถูกปิดใช้งาน   

ไม่มีการกําหนดค่าอื่นๆ   

Facebook LinkedIn อีเมล
สมัครใช้งานฟีด RSS

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ประโยชน์ของการสมัครใช้งาน Microsoft 365

การฝึกอบรม Microsoft 365

ความปลอดภัยของ Microsoft

ศูนย์การช่วยสําหรับการเข้าถึง