นำไปใช้กับ
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

วันที่เผยแพร่ครั้งแรก: 14 ตุลาคม 2025

KB ID: 5068202

บทความนี้มีคําแนะนําสําหรับ:  

  • องค์กรที่มีอุปกรณ์ Windows และการอัปเดตที่จัดการโดย IT

ความพร้อมใช้งานของการสนับสนุนนี้:  

AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut และ MicrosoftUpdateManagedOptIn รีจิสทรีคีย์จะรวมอยู่ในการอัปเดตที่เผยแพร่ในวันที่หรือหลังจากวันที่ต่อไปนี้:

  • 14 ตุลาคม 2025: เวอร์ชันที่รองรับได้แก่ Windows 10 เวอร์ชัน 22H2 และเวอร์ชันที่ใหม่กว่า (รวมถึง 21H2 LTSC) Windows 11 เวอร์ชันที่รองรับทั้งหมด รวมถึง Windows Server 2022 และเวอร์ชันที่ใหม่กว่า

  • 11 พฤศจิกายน 2025: สําหรับ Windows เวอร์ชันที่ยังคงได้รับการสนับสนุน

เปลี่ยนวันที่

เปลี่ยนคําอธิบาย

วันที่ 4 พฤศจิกายน 2568

  • เพิ่มรีจิสทรีคีย์ลงในหน้าอีกหนึ่งรายการ

  • แก้ไขคําสั่งจาก "ตัวอย่างเช่น หากการอัปเดต DB (ฐานข้อมูลของลายเซ็นที่เชื่อถือได้) ล้มเหลวเนื่องจากปัญหาเกี่ยวกับเฟิร์มแวร์ รีจิสทรีคีย์นี้อาจแสดงรหัสข้อผิดพลาดที่สามารถแมปไปยังบันทึกเหตุการณ์หรือ ID ข้อผิดพลาดที่เป็นเอกสารใน" เพื่อพูดว่า "ตัวอย่างเช่น ถ้าการอัปเดต DB (ฐานข้อมูลของลายเซ็นที่เชื่อถือได้) ล้มเหลวเนื่องจากปัญหาเฟิร์มแวร์ รีจิสทรีคีย์นี้อาจแสดงรหัสข้อผิดพลาดจากเฟิร์มแวร์ เมื่อมีคีย์นี้อยู่และไม่ใช่ศูนย์ เราขอแนะนําให้คุณค้นหาเหตุการณ์การบูตแบบปลอดภัยในบันทึกเหตุการณ์ของ Windows โปรดดู (ลิงก์) สําหรับรายละเอียดเพิ่มเติม"

  • เพิ่มเส้นทางที่แยกกันสองเส้นทางสําหรับรีจิสทรีคีย์ด้านล่าง

วันที่ 11 พฤศจิกายน 2568

  • อัปเดตย่อหน้าภายใต้ การทดสอบอุปกรณ์โดยใช้รีจิสทรีคีย์พร้อมข้อมูลเพิ่มเติม: "รีจิสทรีคีย์ควรเปลี่ยนเป็น 0x4100 อย่างรวดเร็ว การเริ่มต้นระบบใหม่และเรียกใช้งานอีกครั้งจะทําให้ตัวจัดการการเริ่มต้นระบบได้รับการอัปเดตและ AvailableUpdates กลายเป็น 0x0100 ดู การแก้ไขปัญหา สําหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการทํางานของ AvailableUpdates"

  • อัปเดตข้อความในกล่องสีเทาภายใต้ การทดสอบอุปกรณ์โดยใช้รีจิสทรีคีย์เพื่อให้มีคําสั่ง PowerShell เพิ่มเติมสองคําสั่ง

  • ภายใต้รีจิสทรีคีย์ ค่ารีจิสทรี -MicrosoftUpdateManagedOptIn ถูกเปลี่ยนจาก "1 - เลือกรับ" เป็น "1 หรือค่าที่ไม่ใช่ศูนย์ใดๆ – เลือกรับ"

วันที่ 16 พฤศจิกายน 2568

อัปเดตเนื้อหาภายใต้ "การทดสอบอุปกรณ์โดยใช้รีจิสทรีคีย์" ค่าการอัปเดตที่พร้อมใช้งานถูกเปลี่ยนจาก "0x0100" เป็น "0x4000"

ในบทความนี้

บทนำ

เอกสารนี้อธิบายการสนับสนุนสําหรับการปรับใช้ การจัดการ และการตรวจสอบการอัปเดตใบรับรองการบูตแบบปลอดภัยโดยใช้รีจิสทรีคีย์ของ Windows แป้นประกอบด้วยสิ่งต่อไปนี้: 

  • คีย์เดียวที่ทริกเกอร์การปรับใช้ใบรับรองและตัวจัดการการเริ่มต้นระบบบนอุปกรณ์

  • คีย์สองแป้นสําหรับการตรวจสอบสถานะของการปรับใช้

  • แป้นสองแป้นสําหรับการจัดการการตั้งค่าการเข้าร่วม/ปฏิเสธการเข้าร่วมสําหรับตัวช่วยการปรับใช้สองตัวที่พร้อมใช้งาน

รีจิสทรีคีย์เหล่านี้สามารถตั้งค่าด้วยตนเองบนอุปกรณ์หรือจากระยะไกลผ่านซอฟต์แวร์การจัดการกองเรือที่พร้อมใช้งาน วิธีการปรับใช้อื่นๆ เช่น นโยบายกลุ่ม Microsoft Intune และ WinCS ได้อธิบายไว้ในบทความ อุปกรณ์ Windows สําหรับธุรกิจและองค์กรที่มีการอัปเดตที่จัดการโดย IT  

รีจิสทรีคีย์การบูตแบบปลอดภัย

ในส่วนนี้

รีจิสทรีคีย์

รีจิสทรีคีย์การบูตแบบปลอดภัยทั้งหมดที่อธิบายไว้ด้านล่างจะอยู่ภายใต้พาธรีจิสทรีนี้: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

ตารางต่อไปนี้จะอธิบายค่ารีจิสทรีแต่ละค่า

ค่ารีจิสทรี

ชนิด

คําอธิบายและการใช้งาน

AvailableUpdates

REG_DWORD (บิตมาสก์)

อัปเดตค่าสถานะทริกเกอร์

ควบคุมการดําเนินการอัปเดตการบูตแบบปลอดภัยที่จะดําเนินการบนอุปกรณ์ การตั้งค่าบิตฟิลด์ที่เหมาะสมที่นี่จะเริ่มต้นการปรับใช้ใบรับรองการบูตแบบปลอดภัยใหม่และการอัปเดตที่เกี่ยวข้อง สําหรับการปรับใช้ขององค์กร ควรตั้งค่าเป็น 0x5944 (hex) ซึ่งเป็นค่าที่เปิดใช้งานการอัปเดตที่เกี่ยวข้องทั้งหมด (การเพิ่มใบรับรอง CA 2023 ใหม่ การอัปเดต KEK และการติดตั้งตัวจัดการการเริ่มต้นระบบใหม่) 

การตั้งค่า

  • 0 หรือไม่ตั้งค่า - ไม่มีการอัปเดตคีย์การบูตแบบปลอดภัย

  • 0x5944 – ปรับใช้ใบรับรองที่จําเป็นทั้งหมดและอัปเดตเป็นตัวจัดการการเริ่มต้นระบบที่เซ็นชื่อ PCA2023

HighConfidenceOptOut

REG_DWORD

ตัวเลือกปฏิเสธการเข้าร่วม

สําหรับองค์กรที่ต้องการปฏิเสธเข้าร่วมกลุ่มความเชื่อมั่นสูงที่จะนํามาใช้เป็นส่วนหนึ่งของ LCU โดยอัตโนมัติ

คุณสามารถตั้งค่าคีย์นี้เป็นค่าที่ไม่ใช่ศูนย์เพื่อปฏิเสธการเข้าร่วมกลุ่มความเชื่อมั่นสูงได้ 

การตั้งค่า 

  • 0 หรือคีย์ไม่มีอยู่ – เลือกรับ

  • 1 – ปฏิเสธการเข้าร่วม

MicrosoftUpdateManagedOptIn

REG_DWORD

ตัวเลือกการเข้าร่วม

สําหรับองค์กรที่ต้องการเลือกรับการให้บริการ Controlled Feature Rollout (CFR) หรือที่เรียกว่า Microsoft Managed

นอกเหนือจากการตั้งค่าคีย์นี้ อนุญาตให้ส่งข้อมูลการวินิจฉัยที่จําเป็น (ดูที่ กําหนดค่าข้อมูลการวินิจฉัย Windows ในองค์กรของคุณ) 

การตั้งค่า

  • 0 หรือคีย์ไม่มีอยู่ – เลือกไม่รับ

  • 1 หรือค่า  ใดๆ ที่ไม่ใช่ศูนย์– เลือกรับ

รีจิสทรีคีย์การบูตแบบปลอดภัยทั้งหมดที่อธิบายไว้ด้านล่างจะอยู่ภายใต้พาธรีจิสทรีนี้: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

ตารางต่อไปนี้จะอธิบายค่ารีจิสทรีแต่ละค่า

ค่ารีจิสทรี

ชนิด

คําอธิบายและการใช้งาน

UEFICA2023Status

REG_SZ (สตริง)

ตัวบ่งชี้สถานะการปรับใช้

แสดงสถานะปัจจุบันของการอัปเดตคีย์การบูตแบบปลอดภัยบนอุปกรณ์ โดยจะถูกตั้งค่าเป็นค่าข้อความค่าใดค่าหนึ่งต่อไปนี้:

  • ไม่ได้เริ่มต้น: การอัปเดตยังไม่ได้ทํางาน

  • InProgress: การอัปเดตกําลังดําเนินการอยู่

  • อัปเดต: การอัปเดตเสร็จสมบูรณ์แล้ว

ในตอนแรก สถานะคือ NotStarted ซึ่งจะเปลี่ยนเป็น InProgress เมื่อการอัปเดตเริ่มต้นและสุดท้ายเป็น อัปเดตเมื่อมีการปรับใช้คีย์ใหม่และตัวจัดการการบูตใหม่ทั้งหมด ถ้ามีข้อผิดพลาด ค่ารีจิสทรี UEFICA2023Error จะถูกตั้งค่าเป็นรหัสที่ไม่ใช่ศูนย์

UEFICA2023Error

REG_DWORD (รหัส)

รหัสข้อผิดพลาด (ถ้ามี)

ค่านี้ยังคงเป็น 0 ต่อความสําเร็จ ถ้ากระบวนการอัปเดตพบข้อผิดพลาด UEFICA2023Error จะถูกตั้งค่าเป็นรหัสข้อผิดพลาดที่ไม่ใช่ศูนย์ที่สอดคล้องกับข้อผิดพลาดแรกที่พบ ข้อผิดพลาดในที่นี้หมายถึงการอัปเดตการบูตแบบปลอดภัยไม่สําเร็จและอาจต้องมีการตรวจสอบหรือการแก้ไขบนอุปกรณ์นั้น  

ตัวอย่างเช่น หากการอัปเดต DB (ฐานข้อมูลของลายเซ็นที่เชื่อถือได้) ล้มเหลวเนื่องจากปัญหาเกี่ยวกับเฟิร์มแวร์ รีจิสทรีคีย์นี้อาจแสดงรหัสข้อผิดพลาดจากเฟิร์มแวร์ เมื่อมีคีย์นี้อยู่และไม่ใช่ศูนย์ เราขอแนะนําให้คุณค้นหาเหตุการณ์การบูตแบบปลอดภัยในบันทึกเหตุการณ์ของ Windows - ดู เหตุการณ์การอัปเดตตัวแปร DB และ DBX สําหรับรายละเอียดเพิ่มเติม

WindowsUEFICA2023Capable

REG_DWORD (รหัส)

รีจิสทรีคีย์นี้มีไว้สําหรับสถานการณ์การปรับใช้ที่จํากัดและไม่แนะนําให้ใช้ทั่วไป สําหรับกรณีส่วนใหญ่ ให้ใช้รีจิสทรีคีย์ UEFICA2023Status แทน

ค่าที่ถูกต้อง:

0 – หรือคีย์ไม่มีอยู่ - ใบรับรอง "Windows UEFI CA 2023" ไม่อยู่ใน DB

1 - ใบรับรอง "Windows UEFI CA 2023" อยู่ใน DB

2 - ใบรับรอง "Windows UEFI CA 2023" อยู่ใน DB และระบบกําลังเริ่มต้นจากตัวจัดการการบูตที่ลงนามในปี 2023

แป้นเหล่านี้ทํางานร่วมกันอย่างไร

ผู้ดูแลระบบ IT กําหนดค่ารีจิสทรี AvailableUpdatesให้ 0x5944 ซึ่งส่งสัญญาณให้ Windows ดําเนินการอัปเดตคีย์การบูตแบบปลอดภัยและการติดตั้งบนอุปกรณ์

เมื่อกระบวนการทํางาน ระบบจะอัปเดต UEFICA2023Status จาก NotStarted เป็น InProgress และสุดท้ายเป็น อัปเดต เมื่อสําเร็จ เนื่องจากแต่ละบิตใน 0x5944 ได้รับการประมวลผลสําเร็จจะถูกล้าง

ถ้าขั้นตอนใดๆ ล้มเหลว รหัสข้อผิดพลาดจะถูกบันทึกใน UEFICA2023Error (และสถานะจะยังคงเป็น InProgress)

กลไกนี้ช่วยให้ผู้ดูแลระบบมีวิธีที่ชัดเจนในการทริกเกอร์และติดตามการเผยแพร่ต่ออุปกรณ์ 

การปรับใช้โดยใช้รีจิสทรีคีย์ 

การปรับใช้กับกลุ่มของอุปกรณ์ประกอบด้วยขั้นตอนต่อไปนี้: 

  1. ตั้งค่ารีจิสทรี AvailableUpdates เพื่อ 0x5944 บนอุปกรณ์แต่ละเครื่องที่จะอัปเดต

  2. ตรวจสอบ UEFICA2023Status และ UEFICA2023Error รีจิสทรีคีย์เพื่อดูว่าอุปกรณ์กําลังดําเนินการอยู่ งานที่ประมวลผลการอัปเดตเหล่านี้จะทํางานทุกๆ 12 ชั่วโมง โปรดทราบว่าการอัปเดตตัวจัดการการบูตอาจไม่เกิดขึ้นจนกว่าจะมีการเริ่มระบบใหม่

  3. ตรวจสอบปัญหาหากเกิดขึ้น ถ้า UEFICA2023Error ไม่ใช่ศูนย์บนอุปกรณ์ คุณสามารถตรวจสอบบันทึกเหตุการณ์สําหรับเหตุการณ์ที่เกี่ยวข้องกับปัญหานี้ ดู เหตุการณ์การอัปเดตตัวแปร DB และ DBX สําหรับ รายการเหตุการณ์การบูตแบบปลอดภัยทั้งหมด

หมายเหตุเกี่ยวกับการเริ่มระบบใหม่: ในขณะที่อาจจําเป็นต้องเริ่มระบบใหม่เพื่อให้กระบวนการเสร็จสมบูรณ์ การเริ่มใช้งานการอัปเดตการบูตแบบปลอดภัยจะไม่ทําให้เกิดการเริ่มระบบใหม่ หากจําเป็นต้องเริ่มระบบใหม่ การปรับใช้การบูตแบบปลอดภัยจะขึ้นอยู่กับการเริ่มระบบใหม่ซึ่งเกิดขึ้นตามปกติในการใช้อุปกรณ์ 

การทดสอบอุปกรณ์โดยใช้รีจิสทรีคีย์ 

เมื่อทดสอบอุปกรณ์แต่ละอย่างเพื่อให้แน่ใจว่าอุปกรณ์จะประมวลผลการอัปเดตอย่างถูกต้อง รีจิสทรีคีย์สามารถเป็นวิธีที่ตรงไปตรงมาในการทดสอบ 

เมื่อต้องการทดสอบ ให้เรียกใช้แต่ละคําสั่งต่อไปนี้แยกต่างหากจากพร้อมท์ PowerShell ของผู้ดูแลระบบ: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

เริ่มต้นระบบใหม่ด้วยตนเองเมื่อ AvailableUpdates กลายเป็น 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

คําสั่งแรกจะเริ่มต้นการปรับใช้ใบรับรองและตัวจัดการการเริ่มต้นระบบบนอุปกรณ์ คําสั่งที่สองทําให้งานที่ประมวลผลรีจิสทรีคีย์ AvailableUpdates ทํางานทันที โดยปกติงานจะทํางานทุก 12 ชั่วโมง รีจิสทรีคีย์ควรเปลี่ยนเป็น 0x4100 อย่างรวดเร็ว การเริ่มต้นระบบใหม่และเรียกใช้งานอีกครั้งจะทําให้ตัวจัดการการเริ่มต้นระบบได้รับการอัปเดตและ AvailableUpdates กลายเป็น 0x4000 ดู การแก้ไขปัญหา สําหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการทํางานของ AvailableUpdates

คุณสามารถค้นหาผลลัพธ์โดยสังเกต UEFICA2023Status และ UEFICA2023Error รีจิสทรีคีย์และบันทึกเหตุการณ์ตามที่อธิบายไว้ในเหตุการณ์การอัปเดตตัวแปร DB และ DBX ของ Secure Boot 

เลือกรับและปฏิเสธการช่วยเหลือ 

รีจิสทรีคีย์ HighConfidenceOptOut และ MicrosoftUpdateManagedOptIn สามารถใช้เพื่อจัดการ "ตัวช่วย" การปรับใช้ทั้งสองรายการที่อธิบายไว้ในอุปกรณ์ Windows ด้วยการอัปเดตที่จัดการโดย IT 

  • รีจิสทรีคีย์ HighConfidenceOptOut ควบคุมการอัปเดตอัตโนมัติของอุปกรณ์ผ่านการอัปเดตแบบสะสม สําหรับอุปกรณ์ที่ Microsoft สังเกตเห็นว่าการอัปเดตอุปกรณ์บางอย่างเสร็จสมบูรณ์ อุปกรณ์เหล่านั้นจะถูกพิจารณาว่าเป็นอุปกรณ์ "ความเชื่อมั่นสูง" และการอัปเดตใบรับรองการบูตแบบปลอดภัยจะเกิดขึ้นโดยอัตโนมัติ การตั้งค่าเริ่มต้นจะเลือกรับ

  • รีจิสทรีคีย์ MicrosoftUpdateManagedOptIn ช่วยให้แผนก IT สามารถเลือกรับการปรับใช้อัตโนมัติที่จัดการโดย Microsoft ได้ การตั้งค่านี้จะถูกปิดใช้งานตามค่าเริ่มต้นและตั้งค่าเป็นเลือกรับ 1 รายการ การตั้งค่านี้ยังกําหนดให้อุปกรณ์ส่งข้อมูลการวินิจฉัยเพิ่มเติมด้วย

Windows เวอร์ชันที่สนับสนุน

ตารางนี้แบ่งการสนับสนุนตามรีจิสทรีคีย์เพิ่มเติม 

คีย์ 

Windows เวอร์ชันที่สนับสนุน 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Windows ทุกเวอร์ชันที่สนับสนุนการบูตแบบปลอดภัย (Windows Server 2012 และ Windows เวอร์ชันที่ใหม่กว่า)  

โน้ต: แม้ว่าข้อมูลความเชื่อมั่นจะถูกรวบรวมบน Windows 10 เวอร์ชัน LTSC, 22H2 และ Windows เวอร์ชันที่ใหม่กว่า แต่สามารถนําไปใช้กับอุปกรณ์ที่ใช้งาน Windows เวอร์ชันก่อนหน้าได้    

  • Windows 10 เวอร์ชัน LTSC และ 22H2

  • Windows 11 เวอร์ชัน 22H2 และ 23H2

  • Windows 11 เวอร์ชัน 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

เหตุการณ์ข้อผิดพลาดการบูตแบบปลอดภัย

​​​​​​​​​​​​​​เหตุการณ์ข้อผิดพลาดมีฟังก์ชันการรายงานที่สําคัญเพื่อแจ้งเกี่ยวกับสถานะการบูตแบบปลอดภัยและความคืบหน้า  สําหรับข้อมูลเกี่ยวกับเหตุการณ์ข้อผิดพลาด ดูที่ เหตุการณ์การอัปเดตตัวแปร DB และ DBX ของ Secure Boot เหตุการณ์ข้อผิดพลาดกําลังได้รับการอัปเดตด้วยข้อมูลเหตุการณ์เพิ่มเติมสําหรับการบูตแบบปลอดภัย 

Facebook LinkedIn อีเมล
สมัครใช้งานฟีด RSS

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ประโยชน์ของการสมัครใช้งาน Microsoft 365

การฝึกอบรม Microsoft 365

ความปลอดภัยของ Microsoft

ศูนย์การช่วยสําหรับการเข้าถึง