Uygulandığı Öğe
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Özgün yayımlama tarihi: 19 Mart 2026, İstanbul

KB Kimliği: 5085046

Bu makalede

Genel bakış

Bu sayfa, Windows cihazlarında Güvenli Önyükleme ile ilgili sorunları tanılama ve çözme konusunda yöneticilere ve destek uzmanlarına yol gösterir. Güvenli Önyükleme sertifikası güncelleştirme hataları, yanlış Güvenli Önyükleme durumları, beklenmeyen BitLocker kurtarma istemleri ve Güvenli Önyükleme yapılandırma değişikliklerinden sonra önyükleme hataları konularıdır.

Kılavuzda Windows hizmetlerini ve yapılandırmasını doğrulama, ilgili kayıt defteri değerlerini ve olay günlüklerini gözden geçirme ve üretici yazılımı veya platform sınırlamalarının OEM güncelleştirmesini ne zaman gerektirdiğini belirleme işlemleri açıklanır. Bu içerik, mevcut cihazlardaki sorunları tanılamaya yöneliktir. Bu, yeni dağıtımları planlamaya yönelik değildir. Yeni sorun giderme senaryoları ve yönergeler tanımlandığında bu belge güncelleştirilecektir.

başa dön

Güvenli Önyükleme sertifikası bakımı nasıl çalışır?

Windows'ta Güvenli Önyükleme sertifikası bakımı, işletim sistemi ile cihazın UEFI üretici yazılımı arasında eşgüdümlü bir işlemdir. Amaç, kritik güven tutturucularını güncelleştirirken her aşamada önyükleme özelliğini korumaktır.

İşlem, Windows zamanlanmış görevi, kayıt defteri tabanlı bir güncelleştirme eylemleri dizisi ve yerleşik günlük ve yeniden deneme davranışı tarafından yönlendirilir. Bu bileşenler birlikte Güvenli Önyükleme sertifikalarının ve Windows önyükleme yöneticisinin denetimli, sıralı bir şekilde ve yalnızca önkoşul adımları başarılı olduktan sonra güncelleştirilmesini sağlar.

başa dön

Sorun giderme sırasında nereden başlanması gerekiyor?

Bir cihaz Güvenli Önyükleme sertifika güncelleştirmelerini uygulayarak beklenen ilerlemeyi göstermiyorsa, sorunun kategorisini belirleyerek başlayın. Sorunların çoğu dört alandan birine girer: Windows hizmet durumu, Güvenli Önyükleme güncelleştirme mekanizması, üretici yazılımı davranışı veya platform veya OEM sınırlaması.

Sırasıyla aşağıdaki denetimlerle başlayın. Çoğu durumda, bu adımlar gözlemlenen davranışı açıklamak ve daha derin araştırma yapmadan sonraki eylemleri belirlemek için yeterlidir.

  1. Windows'a hizmet ve platform uygunluğu onaylayın

    1. ​​​​​​​Cihazın Güvenli Önyükleme sertifika güncelleştirmelerini almak için temel gereksinimleri karşıladığını doğrulayın:

    2. Cihaz windows'un desteklenen bir sürümünü çalıştırıyor.

    3. Gerekli en son Windows güvenlik güncelleştirmeleri yüklenir.

    4. UEFI üretici yazılımında Güvenli Önyükleme etkinleştirildi.

    5. Bu koşullardan herhangi biri karşılanmazsa, daha fazla sorun gidermeye devam etmeden önce bunları ele alın.

  2. Secure-Boot-Update görev durumunu doğrulama

    1. Güvenli Önyükleme sertifika güncelleştirmelerini uygulamaktan sorumlu Windows mekanizmasının mevcut ve çalışır durumda olduğunu onaylayın:

    2. Secure-Boot-Update zamanlanmış görevi var.

    3. Görev etkinleştirilir ve Yerel Sistem olarak çalışır.

    4. Görev, en son Windows güvenlik güncelleştirmesi yüklendikten sonra en az bir kez çalıştırıldı.

    5. Görev devre dışı bırakıldıysa, silindiyse veya çalışmıyorsa Güvenli Önyükleme sertifikası güncelleştirmeleri uygulanamaz. Sorun giderme, diğer nedenleri araştırmadan önce görevi geri yüklemeye odaklanmalıdır.

  3. Beklenen ilerleme için kayıt defteri ayarlarını denetleyin

    Kayıt defterinde cihazın Güvenli Önyükleme hizmet durumunu gözden geçirin:

    1. UEFICA2023Status, UEFICA2023Error ve UEFICA2023ErrorEvent'i inceleyin.

    2. AvailableUpdates'i inceleyin ve beklenen ilerleme durumuyla karşılaştırın (bkz. Başvuru ve İçler).

    Bu değerler birlikte, bakımın normal şekilde ilerlediğini, bir işlemi yeniden denediğini veya belirli bir adımda durdurulup durdurulmadığını gösterir.

  4. Kayıt defteri durumunu Güvenli Önyükleme olaylarıyla ilişkilendirme

    Sistem olay günlüğünde Güvenli Önyükleme ile ilgili olayları gözden geçirin ve bunları kayıt defteri durumuyla ilişkilendirin. Olay verileri genellikle cihazın ileriye doğru ilerleme kaydedip ilerlemediğini, geçici bir koşul nedeniyle yeniden deneme yaptığını veya üretici yazılımı veya platform sorunu tarafından engellendiğini onaylar.

    Kayıt defteri ve olay günlükleri birlikte genellikle davranışın beklendiğini, geçici olduğunu veya düzeltici eylem gerektirdiğini belirtir.

başa dön

Güvenli Önyükleme-Güncelleştirme zamanlanmış görevi

Güvenli Önyükleme sertifikası bakımı, Secure-Boot-Update adlı bir Windows zamanlanmış görevi aracılığıyla uygulanır. Görev aşağıdaki yolda kaydedilir:

\Microsoft\Windows\PI\Secure-Boot-Update

Görev Yerel Sistem olarak çalışır. Varsayılan olarak, sistem başlangıcında ve bundan sonraki 12 saatte bir çalışır. Her çalıştığında, Güvenli Önyükleme güncelleştirme eylemlerinin beklemede olup olmadığını denetler ve bunları sırayla uygulamayı dener.

Bu görev devre dışıysa veya eksikse Güvenli Önyükleme sertifika güncelleştirmeleri uygulanamaz. Güvenli Önyükleme Hizmeti'nin çalışması için Secure-Boot-Update görevinin etkin kalması gerekir.

başa dön

Zamanlanmış görev neden kullanılır?

Güvenli Önyükleme sertifikası güncelleştirmeleri, Güvenli Önyükleme anahtarlarını ve sertifikalarını depolayan UEFI değişkenleri yazmak da dahil olmak üzere Windows ile UEFI üretici yazılımı arasında koordinasyon gerektirir. Zamanlanmış bir görev, sistem üretici yazılımı değişkenlerinin değiştirilebileceği bir durumdayken Windows'un bu güncelleştirmeleri denemesine olanak tanır.

Yinelenen 12 saatlik zamanlama, önceki bir deneme başarısız olursa veya cihaz yeniden başlatılmadan açık kaldıysa güncelleştirmeleri yeniden denemek için ek fırsatlar sağlar. Bu tasarım, el ile müdahale gerektirmeden ileriye dönük ilerlemeyi sağlamaya yardımcı olur.

başa dön

AvailableUpdates kayıt defteri bit maskesi

Secure-Boot-Update görevi , AvailableUpdates kayıt defteri değeri tarafından yönlendirilir. Bu değer şu konumda bulunan 32 bitlik bir bit maskesidir:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Değerdeki her bit belirli bir Güvenli Önyükleme güncelleştirme eylemini temsil eder. Güncelleştirme işlemi, AvailableUpdates Windows tarafından otomatik olarak veya açıkça bir yönetici tarafından sıfır olmayan bir değere ayarlandığında başlar. Örneğin, 0x5944 gibi bir değer birden çok güncelleştirme eyleminin beklemede olduğunu gösterir.

Secure-Boot-Update görevi çalıştırıldığında, küme bitlerini bekleyen iş olarak yorumlar ve bunları tanımlı bir sırada işler.

başa dön

Sıralı güncelleştirmeler, günlüğe kaydetme ve yeniden deneme davranışı

Güvenli Önyükleme sertifikası güncelleştirmeleri sabit bir sırayla uygulanır. Her güncelleştirme eylemi, yeniden denemenin güvenli olması için tasarlanmıştır ve bağımsız olarak tamamlanır. Güvenli Önyükleme-Güncelleştirme görevi, geçerli eylem başarılı olana kadar sonraki adıma ilerlemez ve karşılık gelen biti AvailableUpdates'ten temizlenir.

Her işlem, DB ve KEK gibi Güvenli Önyükleme değişkenlerini güncelleştirmek veya güncelleştirilmiş Windows önyükleme yöneticisini yüklemek için standart UEFI arabirimlerini kullanır. Windows, Sistem olay günlüğündeki her adımın sonucunu kaydeder. Başarı olayları ilerleme durumunu doğrularken, hata olayları bir eylemin neden tamamlanamadığına işaret eder.

Güncelleştirme adımı başarısız olursa görev işlemeyi durdurur, hatayı günlüğe kaydeder ve ilişkili bit kümesini bırakır. Görev bir sonraki çalıştırıldığında işlem yeniden deneniyor. Bu yeniden deneme davranışı, cihazların eksik üretici yazılımı desteği veya gecikmeli OEM güncelleştirmeleri gibi geçici koşullardan otomatik olarak kurtarılmasını sağlar.

Yöneticiler, kayıt defteri durumunu olay günlüğü girdileriyle ilişkilendirerek ilerleme durumunu izleyebilir. UEFICA2023Status, UEFICA2023Error ve UEFICA2023ErrorEvent gibi kayıt defteri değerleri, AvailableUpdates bitmask ile birlikte hangi adımın etkin, tamamlanmış veya engellendiğini gösterir.

Bu birleşim, cihazın normal şekilde ilerlediğini, bir işlemi yeniden denediğini veya durdurulup durdurulmadığını gösterir.

başa dön

OEM üretici yazılımı ile tümleştirme

Güvenli Önyükleme sertifikası güncelleştirmeleri, bir cihazın UEFI üretici yazılımındaki doğru davranışa ve desteğe bağlıdır. Windows güncelleştirme işlemini düzenlerken, üretici yazılımı Güvenli Önyükleme ilkesini zorunlu tutmak ve Güvenli Önyükleme veritabanlarını korumakla sorumludur.

OEM'ler, Güvenli Önyükleme sertifikası bakımına olanak tanıyan iki kritik öğe sağlar:

  • Yeni Güvenli Önyükleme sertifikalarının yüklenmesini yetkilendirilen Platform Anahtarı ile imzalanan Anahtar Değişim Anahtarları (KEK'ler).

  • Güncelleştirmeler sırasında Güvenli Önyükleme veritabanlarını doğru şekilde koruyan, ekleyen ve doğrulayan üretici yazılımı uygulamaları.

Üretici yazılımı bu davranışları tam olarak desteklemiyorsa Güvenli Önyükleme güncelleştirmeleri durdurulabilir, süresiz olarak yeniden denenebilir veya önyükleme hatalarına neden olabilir. Bu gibi durumlarda Windows, üretici yazılımında değişiklik yapmadan güncelleştirmeyi tamamlayamaz.

Microsoft, üretici yazılımı sorunlarını belirlemek ve düzeltilmiş güncelleştirmeleri kullanılabilir hale getirmek için OEM'lerle birlikte çalışır. Sorun giderme işlemi üretici yazılımı sınırlamasını veya hatasını gösterdiğinde, Güvenli Önyükleme sertifika güncelleştirmelerinin başarıyla tamamlanabilmesi için önce yöneticilerin cihaz üreticisi tarafından sağlanan en son UEFI üretici yazılımı güncelleştirmesini yüklemesi gerekebilir.

başa dön

Yaygın hata senaryoları ve çözümleri

Güvenli Önyükleme güncelleştirmeleri, Secure-Boot-Update zamanlanmış görevi tarafından AvailableUpdates kayıt defteri durumuna göre uygulanır.

Normal koşullarda, bu adımlar otomatik olarak gerçekleşir ve her aşama tamamlandıktan sonra başarı olaylarını kaydeder. Bazı durumlarda üretici yazılımı davranışı, platform yapılandırması veya hizmet önkoşulları ilerlemeyi engelleyebilir veya beklenmeyen önyükleme davranışına yol açabilir.

Aşağıdaki bölümlerde en yaygın hata senaryoları, bunların nasıl tanındığı, neden oluştuğu ve normal işlemi geri yüklemek için uygun sonraki adımlar açıklanmaktadır. Senaryolar, en sık karşılaşılan durumlardan daha ciddi önyükleme etkileyen durumlara sıralanır.

Güvenli Önyükleme güncelleştirmeleri ilerleme göstermediğinde, bu genellikle güncelleştirme işleminin hiçbir zaman başlatılmamış olduğu anlamına gelir. Sonuç olarak, güncelleştirme mekanizması hiçbir zaman tetiklenemediğinden beklenen Güvenli Önyükleme kayıt defteri değerleri ve olay günlükleri eksiktir.

Ne oldu

Güvenli Önyükleme güncelleştirme işlemi başlatılmadığından cihaza Güvenli Önyükleme sertifikası veya güncelleştirilmiş önyükleme yöneticisi uygulanmadı.

Nasıl tanınır?

  • UEFICA2023Status gibi Güvenli Önyükleme bakım kayıt defteri değerleri yoktur.

  • Beklenen Güvenli Önyükleme olayları (örneğin, 1043, 1044, 1045, 1799, 1801) Sistem olay günlüğünde eksik.

  • Cihaz eski Güvenli Önyükleme sertifikalarını ve önyükleme bileşenlerini kullanmaya devam eder.

Neden böyle oluyor?

Bu senaryo genellikle aşağıdaki koşullardan biri veya daha fazlası doğru olduğunda gerçekleşir:

  • Güvenli Önyükleme-Güncelleştirme zamanlanmış görevi devre dışı veya eksik.

  • UEFI üretici yazılımında Güvenli Önyükleme devre dışı bırakıldı.

  • Cihaz, desteklenen bir Windows sürümünü çalıştırma veya gerekli güncelleştirmelerin yüklü olması gibi Windows hizmet önkoşullarını karşılamıyor.

Bundan sonra yapılması gerekenler

  • Cihazın Windows hizmet ve platform uygunluğu gereksinimlerini karşıladığını doğrulayın.

  • Üretici yazılımında Güvenli Önyükleme'nin etkinleştirildiğini onaylayın.

  • SecureBootUpdate zamanlanmış görevinin var olduğundan ve etkinleştirildiğinden emin olun.

Zamanlanan görev devre dışıysa veya eksikse, geri yüklemek için Güvenli Önyükleme zamanlanmış görevi devre dışı veya silinmiş kılavuzu izleyin. Görev geri yüklendikten sonra cihazı yeniden başlatın veya güvenli önyükleme hizmetini başlatmak için görevi el ile çalıştırın.

Bazı durumlarda, Güvenli Önyükleme ile ilgili güncelleştirmeler cihazın BitLocker kurtarmasına girmesine neden olabilir. Davranış, temel nedene bağlı olarak geçici veya kalıcı olabilir.

Senaryo 1: Güvenli Önyükleme güncelleştirmesinin ardından Onetime BitLocker kurtarma

Ne olur?

Cihaz, Güvenli Önyükleme güncelleştirmesinin ardından ilk önyüklemede BitLocker kurtarması girer, ancak sonraki yeniden başlatmalarda normal olarak önyükler.

Neden böyle oluyor?

Güncelleştirmeden sonraki ilk önyükleme sırasında, Windows BitLocker'ı yeniden korumayı denediğinde üretici yazılımı güncelleştirilmiş Güvenli Önyükleme değerlerini henüz raporlamaz. Bu, ölçülen önyükleme değerlerinde geçici uyuşmazlıklara neden olur ve kurtarmayı tetikler. Sonraki önyüklemede üretici yazılımı güncelleştirilmiş değerleri doğru raporlar, BitLocker başarıyla yeniden koruması sağlar ve sorun yinelenmez.

Nasıl tanınır?

  • BitLocker kurtarma işlemi bir kez gerçekleşir.

  • Kurtarma anahtarını girdikten sonra, sonraki önyüklemeler kurtarma isteminde bulunmaz.

  • Devam eden önyükleme sırası veya PXE katılımı yok.

Bundan sonra yapılması gerekenler

  • Windows'a devam etmek için BitLocker kurtarma anahtarını girin.

  • Üretici yazılımı güncelleştirmelerini denetleyin.

Senaryo 2: PXE ilk önyükleme yapılandırması nedeniyle yinelenen BitLocker kurtarması

Ne olur?

Cihaz her önyüklemede BitLocker kurtarması girer.

Neden böyle oluyor?

Cihaz, önce PXE (ağ) önyüklemesini deneyecek şekilde yapılandırılmıştır. PXE önyükleme girişimi başarısız olur ve üretici yazılımı daha sonra disk üzerindeki Windows önyükleme yöneticisine geri döner.

Bu, tek bir önyükleme döngüsü sırasında iki farklı imzalama yetkilisinin ölçülmüş olmasına neden olur:

  • PXE önyükleme yolu, Microsoft UEFI CA 2011 tarafından imzalanır.

  • Disk üzerindeki Windows önyükleme yöneticisi, Windows UEFI CA 2023 tarafından imzalanır.

BitLocker başlatma sırasında farklı Güvenli Önyükleme güven zincirlerini gözlemlediğinden, yeniden koruması için kararlı bir TPM ölçümleri kümesi oluşturamaz. Sonuç olarak, BitLocker her önyüklemede kurtarma girer.

Nasıl tanınır?

  • BitLocker kurtarma her yeniden başlatmada tetikleniyor.

  • Kurtarma anahtarının girilmesi Windows'un başlatılmasına izin verir, ancak istem bir sonraki önyüklemede geri döner.

  • PXE veya ağ önyüklemesi, üretici yazılımı önyükleme sırasına göre yerel diskin önünde yapılandırılır.

Bundan sonra yapılması gerekenler

  • Üretici yazılımı önyükleme sırasını, disk üzerindeki Windows önyükleme yöneticisinin ilk sırada olması için yapılandırın.

  • Gerekli değilse PXE önyüklemesini devre dışı bırakın.

  • PXE gerekiyorsa, PXE altyapısının 2023 imzalı bir Windows önyükleme yükleyicisi kullandığından emin olun.

Ne oldu

Bu, Windows sorunu yerine üretici yazılımı düzeyindeki bir değişikliği yansıtır. Güvenli Önyükleme güncelleştirmesi başarıyla tamamlandı, ancak daha sonra yeniden başlatıldıktan sonra cihaz artık Windows'ta önyüklenmez.

Nasıl tanınır?

  • Cihaz Windows'ı başlatamıyor ve Güvenli Önyükleme ihlalini belirten bir üretici yazılımı veya BIOS iletisi görüntüleyebilir.

  • Güvenli Önyükleme ayarları üretici yazılımı varsayılanlarına sıfırlandıktan sonra hata oluşur.

  • Güvenli Önyükleme'nin devre dışı bırakılması, cihazın yeniden önyüklenmesine izin verebilir.

Neden böyle oluyor?

Güvenli Önyükleme'nin üretici yazılımı varsayılanlarına sıfırlanması, üretici yazılımında depolanan Güvenli Önyükleme veritabanlarını temizler. Windows UEFI CA 2023 imzalı önyükleme yöneticisine zaten geçiş yapmış cihazlarda bu sıfırlama, bu önyükleme yöneticisine güvenmek için gereken sertifikaları kaldırır.

Sonuç olarak, üretici yazılımı artık yüklü Windows önyükleme yöneticisini güvenilir olarak tanımaz ve önyükleme işlemini engeller.

Bu senaryo, Güvenli Önyükleme güncelleştirmesinin kendisinden değil, güncelleştirilmiş güven tutturucularını kaldıran sonraki bir üretici yazılımı eyleminden kaynaklanır.

Bundan sonra yapılması gerekenler

  • Cihazın yeniden önyüklenmesini sağlamak için gerekli sertifikayı geri yüklemek için Güvenli Önyükleme kurtarma yardımcı programını kullanın.

  • Kurtarmadan sonra, cihazda cihaz üreticisinden en son kullanılabilir üretici yazılımının yüklü olduğundan emin olun.

  • OEM üretici yazılımı 2023 sertifikalarına güvenen güncelleştirilmiş Güvenli Önyükleme varsayılanları içermediği sürece, Güvenli Önyükleme'yi üretici yazılımı varsayılanlarına sıfırlamaktan kaçının.

Güvenli Önyükleme kurtarma yardımcı programı

Sistemi kurtarmak için:

  1. Temmuz 2024 veya daha yeni Windows güncelleştirmesinin yüklü olduğu ikinci bir Windows bilgisayarda, C:\Windows\Boot\EFI\ dizininden SecureBootRecovery.efi dosyasını kopyalayın.

  2. Dosyayı \EFI\BOOT\ altında FAT32 biçimli bir USB sürücüsüne yerleştirin ve bootx64.efi olarak yeniden adlandırın.

  3. Etkilenen cihazı USB sürücüsünden önyükleyin ve kurtarma yardımcı programının çalışmasına izin verin. Yardımcı program, Windows UEFI CA 2023'ü DB'ye ekler.

Sertifika geri yüklendikten ve sistem yeniden başlatıldıktan sonra Windows normal şekilde başlatılmalıdır.

Önemli: Bu işlem yalnızca yeni sertifikalardan birini yeniden uygulamaz. Cihaz kurtarıldıktan sonra en son sertifikaların yeniden uygulandığından emin olun ve sistemin BIOS/UEFI'sini kullanılabilir en yeni sürüme güncelleştirmeyi göz önünde bulundurun. Birçok OEM bu soruna yönelik üretici yazılımı düzeltmeleri yayımlamış olduğundan bu, Güvenli Önyükleme sıfırlama sorununun yinelenmesini önlemeye yardımcı olabilir.

Ne oldu

Güvenli Önyükleme sertifika güncelleştirmesi uygulandıktan ve yeniden başlatıldıktan sonra cihaz önyüklenemiyor ve Windows'a ulaşmıyor.

Nasıl tanınır?

  • Cihaz, Güvenli Önyükleme güncelleştirmesinin gerektirdiği yeniden başlatmadan hemen sonra başarısız olur.

  • Bir üretici yazılımı veya Güvenli Önyükleme hatası görüntülenebilir veya sistem Windows yüklenmeden önce durabilir.

  • Güvenli Önyükleme'nin devre dışı bırakılması cihazın önyüklenmesine izin verebilir.

Neden böyle oluyor?

Bu sorun, cihazın UEFI üretici yazılımı uygulamasındaki bir hatadan kaynaklanıyor olabilir.

Windows Güvenli Önyükleme sertifika güncelleştirmelerini uyguladığında, üretici yazılımının mevcut Güvenli Önyükleme izin verilen imza veritabanına (DB) yeni sertifikalar eklemesi beklenir. Bazı üretici yazılımı uygulamaları, db'ye eklemek yerine yanlış bir şekilde üzerine yazar .

Bu durum oluştuğunda,

  • Microsoft 2011 önyükleme sertifikası da dahil olmak üzere daha önce güvenilen sertifikalar kaldırılır.

  • Sistem hala 2011 sertifikasıyla imzalanan bir önyükleme yöneticisi kullanıyorsa, üretici yazılımı artık buna güvenmez.

  • Üretici yazılımı önyükleme yöneticisini reddeder ve önyükleme işlemini engeller.

Bazı durumlarda, veritabanı temiz bir şekilde üzerine yazılması yerine bozularak aynı sonuca yol açabilir. Bu davranış belirli üretici yazılımı uygulamalarında gözlemlenmiştir ve uyumlu üretici yazılımında beklenmez.

Bundan sonra yapılması gerekenler

  • Üretici yazılımı kurulum menülerini girin ve Güvenli Önyükleme ayarlarını sıfırlamayı deneme.

  • Cihaz sıfırlamadan sonra önyüklenebilirse, Güvenli Önyükleme DB işlemesini düzelten bir üretici yazılımı güncelleştirmesi için cihaz üreticisinin destek sitesini denetleyin.

  • Bir üretici yazılımı güncelleştirmesi varsa, Güvenli Önyükleme'yi yeniden etkinleştirmeden ve Güvenli Önyükleme sertifika güncelleştirmelerini yeniden uygulamadan önce bu güncelleştirmeyi yükleyin.

Güvenli Önyükleme'yi sıfırlamak önyükleme işlevselliğini geri yüklemiyorsa, daha fazla kurtarma için oem'e özgü yönergeler gerekebilir.

Ne oldu

Güvenli Önyükleme sertifikası güncelleştirmesi tamamlanmaz ve Anahtar Değişim Anahtarı (KEK) güncelleştirme aşamasında engellenmiş olarak kalır.

Nasıl tanınır?

  • AvailableUpdates kayıt defteri değeri KEK biti (0x0004) ile ayarlanmış olarak kalır ve temizlenemez.

  • UEFICA2023Status tamamlanmış duruma ilerlemez.

  • Sistem olay günlüğü, KEK güncelleştirmesinin uygulanamadığını belirten Olay Kimliği 1803'i art arda kaydeder.

  • Cihaz, ileriye doğru ilerleme olmadan güncelleştirmeyi yeniden denemeye devam eder.

Neden böyle oluyor?

Güvenli Önyükleme KEK'sinin güncelleştirilmesi için cihazın OEM'e ait olan Platform Anahtarından (PK) yetkilendirme gerekir.

Güncelleştirmenin başarılı olması için cihaz üreticisinin Microsoft'a ilgili platform için PK imzalı bir KEK sağlaması gerekir. BU OEM imzalı KEK, Windows güncelleştirmelerine dahildir ve Windows'un üretici yazılımı KEK değişkenini güncelleştirmesine izin verir.

OEM cihaz için PK imzalı bir KEK sağlamadıysa, Windows KEK güncelleştirmesini tamamlayamaz. Bu durumda:

  • Güvenli Önyükleme güncelleştirmeleri tasarım gereği engellenir.

  • Windows eksik yetkilendirmeyi geçici olarak çözümleyemez.

  • Cihaz, Güvenli Önyükleme sertifika bakımı kalıcı olarak tamamlanamıyor olarak kalabilir.

Bu, OEM'in artık üretici yazılımı veya anahtar güncelleştirmeleri sağlamadığı eski veya destek dışı cihazlarda oluşabilir. Bu koşul için desteklenen bir el ile kurtarma yolu yoktur.

başa dön

Güvenli Önyükleme sertifika güncelleştirmeleri uygulanamazsa, Windows ilerlemenin neden engellendiğini açıklayan tanılama olaylarını kaydeder. Bu olaylar, üretici yazılımı, platform durumu veya yapılandırma koşulları nedeniyle Güvenli Önyükleme imza veritabanını (DB) veya Anahtar Değişim Anahtarı'nı (KEK) güvenli bir şekilde tamamlayamazken yazılır. Bu bölümdeki senaryolar, yaygın hata desenlerini belirlemek ve uygun düzeltmeyi belirlemek için bu olaylara başvurur. Bu bölüm, yeni hata senaryoları getirmek için değil, daha önce açıklanan sorunların tanısını ve yorumunu desteklemeye yöneliktir.

Olay kimliklerinin, açıklamalarının ve örnek girişlerin tam listesi için bkz. Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları (KB5016061).

KEK güncelleştirme hatası (VERITABANı güncelleştirmeleri başarılı, KEK başarısız)

Bir cihaz Güvenli Önyükleme DB'deki sertifikaları başarıyla güncelleştirebilir, ancak KEK güncelleştirmesi sırasında başarısız olur. Bu durumda Güvenli Önyükleme güncelleştirme işlemi tamamlanamaz.

Semptomlar

  • VERITABANı sertifikası olayları ilerleme durumunu gösterir, ancak KEK aşaması tamamlanmamıştır.

  • AvailableUpdates 0x4004 olarak ayarlanır ve birden çok görev çalıştırıldıktan sonra 0x0004 biti temizlenmemiştir.

  • Olay 1795 veya 1803 mevcut olabilir.

Yorumu

  • 1795 genellikle güvenli önyükleme değişkenlerini güncelleştirmeye çalışırken üretici yazılımı hatası olduğunu gösterir.

  • 1803 , gerekli oem PK imzalı KEK yükü platform için kullanılamadığından KEK güncelleştirmesinin yetkilendirilemeyeceğini gösterir.

Sonraki adımlar

  • 1795 için OEM üretici yazılımı güncelleştirmelerini denetleyin ve Güvenli Önyükleme değişkeni güncelleştirmeleri için üretici yazılımı desteğini doğrulayın.

  • 1803 için OEM'in Microsoft'a cihaz modeli için gereken PK imzalı KEK'yi sağlayıp sağlamadığını onaylayın.

Hyper-V üzerinde barındırılan Konuk VM'lerde KEK güncelleştirme hatası 

Hyper-V sanal makinelerinde Güvenli Önyükleme sertifika güncelleştirmeleri, Mart 2026 Windows güncelleştirmelerinin hem Hyper-V konağına hem de konuk işletim sistemine yüklenmesini gerektirir.

Güncelleştirme hataları konuğun içinden bildirilir, ancak olay düzeltmenin nerede gerekli olduğunu gösterir:

  • Konukta bildirilen Olay 1795 (örneğin, "Medya yazma korumalıdır"), Hyper-V konağı mart 2026 güncelleştirmesinin eksik olduğunu ve güncelleştirilmiş olması gerektiğini gösterir.

  • Konukta bildirilen olay 1803, konuk sanal makinenin kendisinin Mart 2026 güncelleştirmesinin eksik olduğunu ve güncelleştirilmiş olması gerektiğini gösterir.

başa dön 

Başvuru ve iç

Bu bölüm, sorun giderme ve destek için tasarlanmış gelişmiş başvuru bilgilerini içerir. Dağıtım planlaması için tasarlanmamıştır. Daha önce özetlenen Güvenli Önyükleme bakım mekaniklerini genişletir ve kayıt defteri durumunu ve olay günlüklerini yorumlamak için ayrıntılı başvuru malzemeleri sağlar.

Not (BT tarafından yönetilen dağıtımlar): grup ilkesi veya Microsoft Intune aracılığıyla yapılandırıldığında, benzer iki ayar karıştırılmamalıdır. AvailableUpdatesPolicy değeri, yapılandırılan ilke durumunu temsil eder. Bu arada , AvailableUpdates devam eden, bit temizleme iş durumunu yansıtır. her ikisi de aynı sonucu verebilir, ancak ilke zaman içinde yeniden uygulandığından farklı davranırlar.

başa dön 

Sertifika bakımı için kullanılan AvailableUpdates bitleri

Aşağıdaki bitler, bu belgede açıklanan sertifika ve önyükleme yöneticisi eylemleri için kullanılır. Order sütunu, Secure-Boot-Update görevinin her biti işlediği sırayı yansıtır.

Sipariş

Bit ayarı

Kullanım

1

0x0040

Bu bit, zamanlanmış göreve Windows UEFI CA 2023 sertifikasını Güvenli Önyükleme DB'ye eklemesini bildirir. Bu, Windows'un bu sertifika tarafından imzalanan önyükleme yöneticilerine güvenmesini sağlar.

2

0x0800

Bu bit, zamanlanmış göreve Db'ye Microsoft Option ROM UEFI CA 2023 uygulamasını bildirir.  

Koşullu davranış: 0x4000 bayrağı ayarlandığında, zamanlanan görev önce veritabanını Microsoft Corporation UEFI CA 2011 sertifikası için denetler. Microsoft Option ROM UEFI CA 2023 sertifikasını yalnızca 2011 sertifikası varsa uygular.

3

0x1000

Bu bit, zamanlanmış göreve Db'ye Microsoft UEFI CA 2023 uygulamasını bildirir.

Koşullu davranış: 0x4000 bayrağı ayarlandığında, zamanlanan görev önce Microsoft Corporation UEFI CA 2011 sertifikası için veritabanını denetler. Microsoft UEFI CA 2023 sertifikasını yalnızca 2011 sertifikası varsa uygular.

Değiştirici (davranış bayrağı)

0x4000

Bu bit, 0x0800 ve 0x1000 bitlerinin davranışını değiştirerek Microsoft UEFI CA 2023 ve Microsoft Option ROM UEFI CA 2023'ün yalnızca DB zaten Microsoft Corporation UEFI CA 2011'i içeriyorsa uygulanmasını sağlar.   Cihazın güvenlik profilinin aynı kalmasını sağlamaya yardımcı olmak için, bu bit yalnızca cihaz Microsoft Corporation UEFI CA 2011 sertifikasına güveniyorsa bu yeni sertifikaları uygular. Tüm Windows cihazları bu sertifikaya güvenmez.

4

0x0004

Bu bit, zamanlanmış göreve cihazın Platform Anahtarı (PK) tarafından imzalanan anahtar değişimi anahtarını aramasını söyler. PK, OEM tarafından yönetilir. OEM'ler Microsoft KEK'yi PK'leriyle imzalar ve aylık toplu güncelleştirmelere dahil olduğu Microsoft'a teslim eder.

5

0x0100

Bu bit, zamanlanmış göreve Windows UEFI CA 2023 tarafından imzalanan önyükleme yöneticisini önyükleme bölümüne uygulamasını bildirir. Bu, Microsoft Windows Production PCA 2011 imzalı önyükleme yöneticisinin yerini alır.

Notlar:

  • diğer tüm bitler işlendikten sonra 0x4000 biti ayarlanmış olarak kalır.

  • Her bit, Secure-Boot-Update zamanlanmış görevi tarafından yukarıda gösterilen sırayla işlenir.

  • 0x0004 biti eksik PK imzalı KEK nedeniyle işlenemiyorsa, zamanlanan görev bit 0x0100 tarafından belirtilen önyükleme yöneticisi güncelleştirmesini uygulamaya devam eder.

başa dön 

Beklenen ilerleme (AvailableUpdates)

Bir işlem başarıyla tamamlandığında, Windows ilişkili biti AvailableUpdates'ten temizler. Bir işlem başarısız olursa, Windows bir olayı günlüğe kaydeder ve görev yeniden çalıştırıldığında yeniden dener.

Aşağıdaki tabloda, her Güvenli Önyükleme güncelleştirme eylemi tamamlandıktan sonra AvailableUpdates değerlerinin beklenen ilerlemesi gösterilmektedir.

Adım

Bit işlendi

Kullanılabilir Güncelleştirmeler

Açıklama

Başarılı Olay Günlüğe Kaydedildi

Olası Hata Olay Kodları

Başlangıç

0x5944

Güvenli Önyükleme sertifikası bakımı başlamadan önceki ilk durum.

-

-

1

0x0040

0x5944 → 0x5904

Windows UEFI CA 2023, Güvenli Önyükleme DB'ye eklenir.

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

Cihaz daha önce Microsoft UEFI CA 2011'e güvendiyse, DB'ye Microsoft Option ROM UEFI CA 2023'ü ekleyin.

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

Cihaz daha önce Microsoft UEFI CA 2011'e güvendiyse, Microsoft UEFI CA 2023 db'ye eklenir.

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

OEM platform anahtarı tarafından imzalanan yeni Microsoft KEK 2K CA 2023 uygulanır.

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

Windows UEFI CA 2023 tarafından imzalanan önyükleme yöneticisi yüklenir.

1799

1797

Notlar

  • Bit ile ilişkilendirilmiş işlem başarıyla tamamlandıktan sonra, bu bit AvailableUpdates'ten temizlenir.

  • Bu işlemlerden biri başarısız olursa bir olay günlüğe kaydedilir ve zamanlanan görev bir sonraki çalıştırıldığında işlem yeniden denenür.

  • 0x4000 biti bir değiştiricidir ve temizlenmemiştir. 0x4000 son AvailableUpdates değeri, tüm geçerli güncelleştirme eylemlerinin başarıyla tamamlanmasını gösterir.

  • 1032, 1795, 1796, 1802 olayları genellikle üretici yazılımı veya platform sınırlamalarını gösterir.

  • Olay 1803, OEM PK imzalı KEK'nin eksik olduğunu gösterir.

başa dön 

Düzeltme yordamları

Bu bölüm, belirli Güvenli Önyükleme sorunlarını düzeltmek için adım adım yordamlar sağlar. Her yordamın kapsamı iyi tanımlanmış bir koşul olarak belirlenmiştir ve yalnızca ilk tanılama sorunun geçerli olduğunu onayladıktan sonra izlenmesi amaçlanmıştır. Beklenen Güvenli Önyükleme davranışını geri yüklemek ve sertifika güncelleştirmelerinin güvenli bir şekilde ilerlemesine izin vermek için bu yordamları kullanın. Bu yordamları geniş veya preemptive olarak uygulamayın.

başa dön

Üretici yazılımında Güvenli Önyüklemeyi etkinleştirme

Bir cihazın üretici yazılımında Güvenli Önyükleme devre dışı bırakıldıysa Güvenli Önyükleme'yi etkinleştirmeyle ilgili ayrıntılar için bkz. Windows 11 ve Güvenli Önyükleme.

başa dön

Güvenli Önyükleme zamanlanmış görevi devre dışı bırakıldı veya silindi

Windows'un Güvenli Önyükleme sertifika güncelleştirmelerini uygulaması için Secure-Boot-Update zamanlanmış görevi gereklidir. Görev devre dışıysa veya eksikse Güvenli Önyükleme sertifikası bakımı ilerlemez.

Görev ayrıntıları

Görev Adı

Güvenli Önyükleme Güncelleştirmesi

Görev yolu

\Microsoft\Windows\PI\

Tam yol

\Microsoft\Windows\PI\Secure-Boot-Update

Farklı çalıştırılır

SYSTEM (Yerel Sistem)

Tetikleyiciler

Başlangıçta ve her 12 saatte bir

Gerekli durum

Etkin

Görev durumunu denetleme

Yükseltilmiş bir PowerShell isteminden komutunu çalıştırın: schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V

Durum alanını arayın:

Durum

Anlamı

Hazır

Görev var ve etkin.

Devre Dışı

Görev var ancak etkinleştirilmesi gerekiyor.

Hata / Bulunamadı

Görev eksik ve yeniden oluşturulmalıdır.

Görevi etkinleştirme veya yeniden oluşturma

Secure-Boot-Update durum alanı Devre Dışı, Hata veya Bulunamadı ise, görevi etkinleştirmek için örnek betiği kullanın: Örnek Enable-SecureBootUpdateTask.ps1

Not: Bu örnek bir betiktir ve Microsoft tarafından desteklenmez. Yöneticiler bunu gözden geçirmeli ve ortamlarına uyarlamalıdır.

Örnek:

.\Enable-SecureBootUpdateTask.ps1 -Sessiz

Çalıştırma kılavuzu

  • Erişim reddedildi ifadesini görürseniz PowerShell'i Yönetici olarak yeniden çalıştırın.

  • Yürütme ilkesi nedeniyle betik çalışmayacaksa işlem kapsamı atlamasını kullanın:

Set-ExecutionPolicy -Kapsam İşlemi -ExecutionPolicy Atlama

başa dön 

Facebook LinkedIn E-posta
RSS AKIŞLARINA ABONE OLUN

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi