Uygulandığı Öğe
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Özgün Yayımlanma Tarihi: 14 Ekim 2025

KB Kimliği: 5068202

Bu makalede aşağıdakiler için yönergeler verilmiştir:  

  • BT tarafından yönetilen Windows cihazları ve güncelleştirmeleri olan kuruluşlar.

Bu desteğin kullanılabilirliği:  

  • AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut ve MicrosoftUpdateManagedOptIn kayıt defteri anahtarları, aşağıdaki tarihlerde veya sonrasında yayımlanan güncelleştirmelere eklenir:

    • 14 Ekim 2025: Desteklenen sürümler arasında Windows 10, sürüm 22H2 ve daha yeni sürümler (21H2 LTSC dahil), Windows 11 tüm desteklenen sürümlerin yanı sıra Windows Server 2022 ve sonraki sürümleri bulunur.

    • 11 Kasım 2025: Windows sürümleri için hala desteklenmektedir.

Bu makalede

Giriş

Bu belgede, Windows kayıt defteri anahtarlarını kullanarak Güvenli Önyükleme sertifika güncelleştirmelerini dağıtma, yönetme ve izleme desteği açıklanmaktadır. Anahtarlar şunlardan oluşur: 

  • Cihazda sertifikaların ve önyükleme yöneticisinin dağıtımını tetikleyen bir anahtar.

  • Dağıtımın durumunu izlemek için iki anahtar.

  • Kullanılabilir iki dağıtım yardımı için kabul etme/geri çevirme ayarlarını yönetmek için iki anahtar.

Bu kayıt defteri anahtarları cihazda el ile veya kullanılabilir filo yönetim yazılımı aracılığıyla uzaktan ayarlanabilir. grup ilkesi, Intune ve WinCS gibi diğer dağıtım yöntemleri, BT tarafından yönetilen güncelleştirmeleri olan işletmeler ve kuruluşlar için Windows cihazları makalesinde açıklanmıştır.  

Güvenli Önyükleme kayıt defteri anahtarları

Bu bölümde

Kayıt defteri anahtarları

Bu belgede açıklanan tüm Güvenli Önyükleme kayıt defteri anahtarları bu kayıt defteri yolunun altında bulunur: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Aşağıdaki tabloda kayıt defteri değerlerinin her biri açıklanmaktadır. 

Kayıt Defteri Değeri

Tür

Açıklama & Kullanımı

AvailableUpdates

REG_DWORD (bit maskesi)

Tetikleyici bayraklarını güncelleştirin.

Cihazda gerçekleştirilecek Güvenli Önyükleme güncelleştirme eylemlerini denetler. Burada uygun bit alanının ayarlanması, yeni Güvenli Önyükleme sertifikalarının ve ilgili güncelleştirmelerin dağıtımını başlatır. Kurumsal dağıtım için bu, tüm ilgili güncelleştirmeleri (yeni 2023 CA sertifikalarını ekleme, KEK'yi güncelleştirme ve yeni önyükleme yöneticisini yükleme) etkinleştiren bir değer olan 0x5944 (onaltılık) olarak ayarlanmalıdır. 

Ayarlar: 

  • 0 veya ayarlanmadı - Güvenli Önyükleme anahtarı güncelleştirmesi gerçekleştirilmiyor.

  • 0x5944 – Tüm gerekli sertifikaları dağıtma ve PCA2023 imzalı önyükleme yöneticisine güncelleştirme

UEFICA2023Status

REG_SZ (dize)

Dağıtım durumu göstergesi.

Cihazdaki Güvenli Önyükleme anahtarı güncelleştirmesinin geçerli durumunu yansıtır. Aşağıdaki metin değerlerinden birine ayarlanır:

  • NotStarted:Güncelleştirme henüz çalıştırılmadı.

  • InProgress:Güncelleştirme etkin bir şekilde devam ediyor.

  • Güncelleştirilme Tarihi: Güncelleştirme başarıyla tamamlandı.

Başlangıçta durum NotStarted şeklindedir. Güncelleştirme başladıktan sonra InProgress olarak değişir ve son olarak tüm yeni anahtarlar ve yeni önyükleme yöneticisi dağıtıldığında Güncelleştirildi olarak değişir. Hata varsa UEFICA2023Error kayıt defteri değeri sıfır olmayan bir koda ayarlanır.

UEFICA2023Hata

REG_DWORD (kod)

Hata kodu (varsa).

Bu değer başarılı olduğunda 0 kalır. Güncelleştirme işlemi bir hatayla karşılaşırsa, UEFICA2023Error , karşılaşılan ilk hataya karşılık gelen sıfır olmayan bir hata koduna ayarlanır. Burada bir hata, Güvenli Önyükleme güncelleştirmesinin tam olarak başarılı olmadığını ve bu cihazda araştırma veya düzeltme gerektirebileceğini gösterir.  

Örneğin, veritabanı (güvenilir imzalar veritabanı) bir üretici yazılımı sorunu nedeniyle güncelleştirilemezse, bu kayıt defteri anahtarı Güvenli Önyükleme DB ve DBX değişken güncelleştirme olaylarında bir olay günlüğüne veya belgelenmiş hata kimliğine eşlenebilen bir hata kodu gösterebilir. 

HighConfidenceOptOut

REG_DWORD

Bir geri çevirme seçeneği.

LCU'nun bir parçası olarak otomatik olarak uygulanacak yüksek güvenilirlik demetlerini geri çevirmek isteyen kuruluşlar için.

Yüksek güvenilirlik demetlerini geri çevirmek için bu anahtarı sıfır olmayan bir değere ayarlayabilirsiniz. 

Ayarlar 

  • 0 veya anahtar yok – Kabul et

  • 1 – Kabul et

MicrosoftUpdateManagedOptIn

REG_DWORD

Kabul etme seçeneği.

Microsoft Yönetilen olarak da bilinen Denetimli Özellik Dağıtımı (CFR) bakımına katılmayı tercih etmek isteyen kuruluşlar için.

Bu anahtarı ayarlamaya ek olarak, gerekli tanılama verilerinin gönderilmesine izin verin (bkz. Kuruluşunuzda Windows tanılama verilerini yapılandırma). 

Ayarlar

  • 0 veya anahtar yok – Geri çevirme

  • 1 – Kabul et

Bu anahtarlar birlikte nasıl çalışır?

BT yöneticisi, AvailableUpdates kayıt defteri değerini 0x5944 olarak yapılandırarak Windows'a cihazda Güvenli Önyükleme anahtarı güncelleştirmesini ve yüklemesini yürütmesi için sinyal verir.

İşlem çalıştırılırken sistem, UEFICA2023Status'uNotStarted'danInProgress'e ve son olarak başarılı olduğunda Güncelleştirildi olarak güncelleştirir. 0x5944 içindeki her bit başarıyla işlendiğinden temizlenir.

Herhangi bir adım başarısız olursa, UEFICA2023Error'a bir hata kodu kaydedilir (ve durum InProgress olarak kalır).

Bu mekanizma, yöneticilere cihaz başına dağıtımı tetiklemenin ve izlemenin net bir yolunu sağlar. 

Kayıt defteri anahtarlarını kullanarak dağıtım 

Bir cihaz grubuna dağıtım aşağıdaki adımlardan oluşur: 

  1. AvailableUpdates kayıt defteri değerini güncelleştirilecek cihazların her birinde 0x5944 olarak ayarlayın.

  2. Cihazların ilerleme kaydettiğini görmek için UEFICA2023Status ve UEFICA2023Error kayıt defteri anahtarlarını izleyin. Bu güncelleştirmeleri işleyen görevin 12 saatte bir çalıştırıldığını unutmayın. Önyükleme yöneticisi güncelleştirmesinin bir yeniden başlatma gerçekleşene kadar gerçekleşmeyeceğini unutmayın.

  3. Oluşursa sorunları araştırın. UEFICA2023Error bir cihazda sıfır değilse, bu sorunla ilgili olaylar için olay günlüğünü de kontrol edebilirsiniz. Güvenli Önyükleme olaylarının tam listesi için bkz. Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları.

Yeniden başlatmalar hakkında bir not: İşlemi tamamlamak için yeniden başlatma gerekebilir ancak Güvenli Önyükleme güncelleştirmelerinin dağıtımının başlatılması yeniden başlatmaya neden olmaz. Yeniden başlatma gerekiyorsa Güvenli Önyükleme dağıtımı, cihazın normal kullanımı olarak gerçekleşen yeniden başlatmalara dayanır. 

Kayıt defteri anahtarlarını kullanarak cihaz testi 

Cihazların güncelleştirmeleri doğru şekilde işleyebilmesi için tek tek cihazları test ederken, kayıt defteri anahtarları basit bir test yöntemi olabilir. 

Test etmek için aşağıdaki komutların her birini yönetici PowerShell isteminden ayrı olarak çalıştırın: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

İlk komut, cihazda sertifika ve önyükleme yöneticisi dağıtımını başlatır. İkinci komut , AvailableUpdates kayıt defteri anahtarını işleyen görevin hemen çalışmasına neden olur. Normalde görev 12 saatte bir çalışır. 

Sonuçları, Güvenli Önyükleme DB ve DBX değişken güncelleştirme olaylarında açıklandığı gibi UEFICA2023Status ve UEFICA2023Error kayıt defteri anahtarlarını ve olay günlüklerini gözlemleyerek bulabilirsiniz. 

Yardımları kabul etme ve geri çevirme 

HighConfidenceOptOut ve MicrosoftUpdateManagedOptIn kayıt defteri anahtarları, BT tarafından yönetilen güncelleştirmelere sahip Windows cihazlarında açıklanan iki dağıtım "yardımlarını" yönetmek için kullanılabilir. 

  • HighConfidenceOptOut kayıt defteri anahtarı, toplu güncelleştirmeler aracılığıyla cihazların otomatik güncelleştirmesini denetler. Microsoft'un belirli cihazların başarıyla güncelleştirildiğini gözlemlediği cihazlar için bunlar "yüksek güvenilirlikli" cihazlar olarak kabul edilir ve Güvenli Önyükleme sertifika güncelleştirmeleri otomatik olarak gerçekleşir. Bunun varsayılan ayarı kabul edildi.

  • MicrosoftUpdateManagedOptIn kayıt defteri anahtarı, BT departmanlarının Microsoft tarafından yönetilen otomatik dağıtıma katılmasını sağlar. Bu ayar varsayılan olarak devre dışıdır ve 1 kabul etme olarak ayarlanır. Bu ayar, cihazın isteğe bağlı tanılama verileri göndermesini de gerektirir.

Desteklenen Windows sürümleri

Bu tablo, kayıt defteri anahtarına göre desteği daha da azaltır. 

Anahtar 

Desteklenen Windows sürümleri 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Hata 

Güvenli Önyüklemeyi destekleyen tüm Windows sürümleri (Windows Server 2012 ve sonraki Windows sürümleri).  

Not: Güvenilirlik verileri Windows'un Windows 10, LTSC, 22H2 ve sonraki sürümlerinde toplanmış olsa da, Windows'un önceki sürümlerinde çalışan cihazlara uygulanabilir.    

  • Windows 10, LTSC ve 22H2 sürümleri

  • Windows 11, sürüm 22H2 ve 23H2

  • Windows 11, sürüm 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Güvenli Önyükleme hata olayları

​​​​​​​​​​​​​​Hata olaylarının Güvenli Önyükleme Durumu ve ilerleme durumu hakkında bilgi veren kritik bir raporlama işlevi vardır.  Hata olayları hakkında bilgi için bkz. Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları. Hata olayları Güvenli Önyükleme için ek olay bilgileriyle güncelleştiriliyor. 

Güvenli Önyükleme için ek bileşen değişiklikleri 

Bu bölümde

TPMTasks değişiklikleri 

TPMTasks'i değiştirerek cihazın durumunun güncelleştirilmiş Güvenli Önyükleme sertifikalarına sahip olup olmadığını belirleyin. Şu anda bu belirlemeyi yapabilir ancak yalnızca CFR güncelleştirme için bir makine seçerse. CfR'ye bakılmaksızın her önyükleme oturumunda bu belirleme ve sonraki günlüğe kaydetme işlemi gerçekleşmelidir. Güvenli Önyükleme sertifikaları tam olarak güncel değilse , yukarıda açıklanan iki hata olayını yayarlar. Sertifikalar güncelse Information olayını yayar. Denetlenecek Güvenli Önyükleme sertifikaları şunlardır:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 ve Microsoft Option ROM UEFI CA 2023 – Bu iki CA'nın mevcut olması için Microsoft UEFI CA 2011'in mevcut olması gerekir. Microsoft UEFI CA 2011 yoksa, denetim gerekmez.

  • Microsoft Corporation KEK 2K CA 2023

Makine meta verileri olayı 

Bu olay makine meta verilerini toplar ve aşağıdaki olayı yayımlar:

  • BucketId + Güvenilirlik Derecelendirme olayı   

Bu olay, makine veritabanında karşılık gelen girişi (demet girişi) bulmak için makinenin meta verilerini kullanır. Makine, demetle ilgili güvenilirlik bilgileriyle birlikte bu verilerle bir olayı biçimlendirip yayar. ​​​​​​​ 

Yüksek güvenilirlikli cihaz yardımı 

Yüksek güvenilirlik demetlerindeki cihazlar için Güvenli Önyükleme sertifikaları ve 2023 imzalı önyükleme yöneticisi otomatik olarak uygulanır.   

Güncelleştirme, iki hata olayı oluşturulurken tetiklenir ve BucketId + Güvenilirlik Derecelendirmesi olayı yüksek güvenilirlik derecelendirmesi içerir.   

Geri çevirme

Geri çevirmek isteyen müşteriler için aşağıdaki gibi yeni bir kayıt defteri anahtarı kullanılabilir:   

Kayıt defteri konumu

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Tuş adı

HighConfidenceOptOut

Anahtar türü

DWORD

DWORD değeri

0 veya anahtar yok – Yüksek güvenilirlik yardımı etkinleştirildi.    

1 – Yüksek güvenilirlik yardımı devre dışı bırakıldı   

Diğer tüm değerler tanımlanmamış   

Facebook LinkedIn E-posta
RSS AKIŞLARINA ABONE OLUN

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi