Not
- İlk yayımlanma tarihi: 14 Ekim 2025
- KB Kimliği: 5068202
Bu makalede aşağıdakiler için kılavuz sağlanmaktadır:
- BT tarafından yönetilen Windows cihazları ve güncelleştirmeleri olan kuruluşlar.
Not
Bu desteğin kullanılabilirliği:
Kayıt defteri anahtarları aşağıdaki tarihte veya bu tarihten sonra yayımlanan güncelleştirmelerde bulunur:
11 Kasım 2025: Windows sürümleri için hala destek verilmektedir.
Değişiklik günlüğü
| Tarihi değiştir | Açıklamayı değiştir |
|---|---|
| 20 Nisan 2026 |
|
| Şubat 20, 2026 |
|
| 4 Kasım 2025 |
|
| 11 Kasım 2025 |
|
| 16 Kasım 2025 | "Kayıt Defteri Anahtarlarını kullanarak cihaz testi" altındaki içerik güncelleştirildi. "0x0100" olan kullanılabilir güncelleştirme değeri "0x4000" olarak değiştirildi. |
Bu makalede
Giriş
Bu belgede, Windows kayıt defteri anahtarları kullanılarak Güvenli Önyükleme sertifikası güncelleştirmelerinin dağıtılması, yönetilmesi ve izlenmesine yönelik destek açıklanmaktadır. Anahtarlar şunlardan oluşur:
- Cihazda sertifikaların ve önyükleme yöneticisinin dağıtımını tetiklemek için bir anahtar.
- Dağıtımın durumunu izlemek için iki anahtar.
- Kullanılabilir iki dağıtım yardımının kabul etme/reddetme ayarlarını yönetmek için iki tuş.
Bu kayıt defteri anahtarları, cihazda manuel olarak veya mevcut filo yönetimi yazılımı aracılığıyla uzaktan ayarlanabilir. BT tarafından yönetilen güncelleştirmelere sahip işletmeler ve kuruluşlar için Windows cihazları makalesinde Grup İlkesigrup ilkesi, Microsoft IntuneMicrosoft Intune ve WinCS gibi diğer dağıtım yöntemleri açıklanmıştır.
Güvenli Önyükleme kayıt defteri anahtarları
Bu bölümde
- Kayıt defteri anahtarları
- Bu tuşlar birlikte nasıl çalışır?
- Kayıt defteri anahtarlarını kullanarak dağıtım
- Kayıt defteri anahtarlarını kullanarak cihaz testi
- Asistleri kabul et ve reddet
- Windows'un desteklenen sürümleri
Kayıt defteri anahtarları
Aşağıda açıklanan tüm Güvenli Önyükleme kayıt defteri anahtarları bu kayıt defteri yolu altında bulunur:
Not
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Aşağıdaki tabloda kayıt defteri değerlerinin her biri açıklanmaktadır:
| Kayıt Defteri Değeri | Tür | Açıklama ve Kullanım |
|---|---|---|
| Mevcut Güncellemeler | REG_DWORD (bit maskesi) | Tetik bayraklarını güncelleştirin. Cihazda hangi Güvenli Önyükleme güncelleştirme eylemlerinin gerçekleştirileceğini denetler. Burada uygun bit alanının ayarlanması, yeni Güvenli Önyükleme sertifikalarının ve ilgili güncellemelerin dağıtımını başlatır. Kurumsal dağıtım için bu, ilgili tüm güncelleştirmeleri (yeni 2023 CA sertifikalarının eklenmesi, KEK'nin güncelleştirilmesi ve yeni önyükleme yöneticisinin yüklenmesi) etkinleştiren bir değer olan 0x5944 (onaltılık) olarak ayarlanmalıdır. Ayarlar:
|
| HighConfidenceOptOut | REG_DWORD | Geri çevirme seçeneği. LCU'nun bir parçası olarak otomatik olarak uygulanacak yüksek güvenilirlik demetlerini devre dışı bırakmak isteyen kuruluşlar için. Yüksek güvenilirlik demetlerini geri çevirmek için bu anahtarı sıfırdan farklı bir değere ayarlayabilirsiniz. Ayarlar
|
| MicrosoftUpdateManagedOptIn | REG_DWORD | Bir katılım seçeneği. Microsoft Yönetilen olarak da bilinen Denetimli Özellik Dağıtımı (CFR) hizmetini kabul etmek isteyen kuruluşlar için. Bu anahtarı ayarlamaya ek olarak, gerekli tanılama verilerinin gönderilmesine izin verin (bkz. Windows tanılama verilerini kuruluşunuzda yapılandırma). Ayarlar
|
| AvailableUpdatesPolicy | REG_DWORD (bit maskesi) |
Yalnızca başvuru amaçlıdır – bu anahtarı kayıt defterinden güncelleştirmeyin. Bu anahtar, Güvenli Önyükleme ile ilgili eylemleri Windows'a iletmek için Grup İlkesi grup ilkesi ve IntuneIntune tarafından kullanılır. TIntuneIntune veya Group Policygrup ilkesi tarafından ayarlanan ilkeyi temsil eder. |
Aşağıda açıklanan tüm Güvenli Önyükleme kayıt defteri anahtarları bu kayıt defteri yolu altında bulunur:
Not
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Aşağıdaki tabloda kayıt defteri değerlerinin her biri açıklanmaktadır:
| Kayıt Defteri Değeri | Tür | Açıklama ve Kullanım |
|---|---|---|
| UEFICA2023Durumu | REG_SZ (dize) | Dağıtım durumu göstergesi. Cihazdaki Güvenli Önyükleme anahtarı güncelleştirmesinin geçerli durumunu yansıtır. Aşağıdaki metin değerlerinden birine ayarlanır:
|
| UEFICA2023Hatası | REG_DWORD (kod) | Hata kodu (varsa). Bu değer başarı durumunda 0 olarak kalır. Güncelleme işlemi bir hatayla karşılaşırsa, UEFICA2023Error , karşılaşılan ilk hataya karşılık gelen sıfır olmayan bir hata koduna ayarlanır. Buradaki hata, Güvenli Önyükleme güncelleştirmesinin tam olarak başarılı olmadığı anlamına gelir ve bu cihazda araştırma veya düzeltme gerektirebilir. Örneğin, bir üretici yazılımı sorunu nedeniyle DB'yi (güvenilir imzalar veritabanı) güncelleyemediyse, bu kayıt defteri anahtarı üretici yazılımından bir hata kodu gösterebilir. Bu anahtar mevcut olduğunda ve sıfır olmadığında, Windows Olay Günlükleri'nde Güvenli Önyükleme olaylarını aramanızı öneririz. Daha fazla ayrıntı için Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları bölümüne bakın. |
| UEFICA2023ErrorEvent | REG_DWORD (kod) | UEFICA2023ErrorEvent , Windows'un Windows UEFI CA 2023 Güvenli Önyükleme güncellemelerinin uygulanmasıyla ilgili bir hatayı bildirmek için kullandığı olay kimliğini belirtir. Bu değer, UEFICA2023Error kayıt defteri anahtarıyla ilişkilidir ve bu anahtar ayarlandığında doldurulur ve Windows'un Güvenli Önyükleme güncelleştirmesini uygulamaya çalışırken bir hatayla karşılaştığını gösterir. Bu gerçekleştiğinde, Windows ortak sayfada belgelenen ilgili Güvenli Önyükleme olayını, Güvenli Önyükleme DB ve DBX değişken güncelleştirme olaylarını günlüğe kaydeder ve bu, güncelleştirmenin neden tamamlanamadığı ve hangi eylemin gerekebileceği hakkında ek ayrıntılar sağlar. |
| WindowsUEFICA2023Özellikli | REG_DWORD (kod) | Yalnızca referans içindir – Güvenli Önyükleme güncellemelerinde durum bilgisi alırken bu anahtarı kullanmayın. Bunun yerine UEFICA2023Status anahtarını kullanın. Bu kayıt defteri anahtarı, sınırlı dağıtım senaryoları için tasarlanmıştır ve genel kullanım için önerilmez. Geçerli değerler: 0 – veya anahtar yok - "Windows UEFI CA 2023" sertifikası DB'de yok 1 - "Windows UEFI CA 2023" sertifikası DB'de 2 - "Windows UEFI CA 2023" sertifikası DB'de ve sistem 2023 imzalı önyükleme yöneticisinden başlıyor |
| Kova Karması | REG_SZ (dize) | BucketHash, Güvenli Önyükleme sertifikası dağıtımının bir parçası olarak bir cihazın atandığı dağıtım paketini tanımlar. Değer, cihaz özelliklerinden türetilen bir karmadır ve aşamalı dağıtım ve risk yönetimi için benzer üretici yazılımı ve platform özniteliklerine sahip cihazları gruplandırmak için kullanılır. Bu, Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları sayfasında belgelenen cihaza özgü olaylarda görünen demet karmasıdır ve yöneticilerin kayıt defteri durumunu olay günlüğü girişleriyle ilişkilendirmesine ve Güvenli Önyükleme güncelleme işlemi sırasında bir cihazın nasıl hedeflendiğini anlamasına olanak tanır. |
| Güven Düzeyi | REG_SZ (dize) | Güven Düzeyi, aygıtın Güvenli Önyükleme dağıtım demeti ile ilişkili güvenilirlik değerlendirmesini gösterir. Bu değer, benzer donanım ve üretici yazılımı yapılandırmalarında gözlemlenen güncelleştirme davranışına dayalı olarak Windows'un cihaza atadığı BucketConfidenceLevel değerine karşılık gelir. Aynı güvenilirlik düzeyi, Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları sayfasında belgelenen cihaza özgü olaylara dahil edilir ve yöneticilerin kayıt defteri değerini olay günlüğü girişleriyle ilişkilendirmesine olanak tanır. Bu anahtarın olası değerleri hakkında daha ayrıntılı bilgi için cihaza özgü olay günlüğü olay açıklamalarına bakın. |
Bu tuşlar birlikte nasıl çalışır?
BT yöneticileri AvailableUpdates kayıt defteri değerini 0x5944 olarak yapılandırır. Bu değer, Windows'a cihazda Güvenli Önyükleme anahtarı güncelleştirmesini ve yüklemesini yürütmesi için sinyal verir.
İşlem çalışırken sistem, UEFICA2023Status'uNotStarted'danInProgress'e ve son olarak başarı üzerine Updated olarak güncelleştirir. 0x5944'deki her bit başarıyla işlendikçe temizlenir.
Herhangi bir adım başarısız olursa, UEFICA2023Error'a bir hata kodu kaydedilir (ve durum Devam Ediyor olarak kalır).
Bu mekanizma, yöneticilere her cihaz için dağıtımı tetiklemek ve izlemek için net bir yol sağlar.
Kayıt defteri anahtarlarını kullanarak dağıtım
Cihaz grubuna dağıtım aşağıdaki adımlardan oluşur:
- AvailableUpdates kayıt defteri değerini, güncelleştirilecek cihazların her birinde 0x5944 olarak ayarlayın.
- Cihazların ilerleme kaydedip kaydetmediğini görmek için UEFICA2023Status ve UEFICA2023Error kayıt defteri anahtarlarını izleyin. Bu güncelleştirmeleri işleyen görev her 12 saatte bir çalışır. Önyükleme yöneticisi güncelleştirmesinin yeniden başlatma gerçekleşene kadar gerçekleşmeyebileceğini unutmayın.
- Sorunları oluşuyorsa araştırın. Bir cihazda UEFICA2023Error sıfır değilse, bu sorunla ilgili olaylar için olay günlüğünü kontrol edebilirsiniz. Güvenli Önyükleme olaylarının tam listesi için Güvenli Önyükleme DB ve DBX değişken güncelleme olayları bölümüne bakın.
Yeniden başlatmalarla ilgili bir not: İşlemi tamamlamak için yeniden başlatma gerekebilir ancak Güvenli Önyükleme güncelleştirmelerinin dağıtımını başlatmak yeniden başlatmaya neden olmaz. Yeniden başlatma gerekirse, Güvenli Önyükleme dağıtımı, cihazı kullanmanın normal seyri olarak gerçekleşen yeniden başlatmalara dayanır.
Kayıt defteri anahtarlarını kullanarak cihaz testi
Cihazların güncelleştirmeleri doğru bir şekilde işleyeceğinden emin olmak için cihazları tek tek test ederken, kayıt defteri anahtarları test etmenin basit bir yolu olabilir.
Test etmek için, aşağıdaki komutların her birini bir yönetici PowerShell isteminden ayrı olarak çalıştırın:
Not
- reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
- Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
- AvailableUpdates 0x4100 olduğunda sistemi el ile yeniden başlatın
- Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
İlk komut, cihazda sertifika ve önyükleme yöneticisi dağıtımını başlatır. İkinci komut, AvailableUpdates kayıt defteri anahtarını işleyen görevin hemen çalıştırılmasına neden olur. Normalde görev her 12 saatte bir çalışır. Kayıt defteri anahtarı hızla 0x4100 olarak değişmelidir. Görevin yeniden başlatılması ve çalıştırılması, önyükleme yöneticisinin güncellenmesine ve AvailableUpdates'in 0x4000 olmasına neden olur. AvailableUpdates'in nasıl davrandığıyla ilgili daha fazla ayrıntı için Sorun Giderme bölümüne bakın.
Sonuçları, Güvenli Önyükleme DB ve DBX değişken güncelleştirme olaylarında açıklandığı gibi UEFICA2023Status ve UEFICA2023Error kayıt defteri anahtarlarını ve olay günlüklerini gözlemleyerek bulabilirsiniz.
Asist almayı kabul etme ve reddetme
HighConfidenceOptOut ve MicrosoftUpdateManagedOptIn kayıt defteri anahtarları, BT tarafından yönetilen güncelleştirmelere sahip Windows cihazlarında açıklanan iki dağıtım "yardımını" yönetmek için kullanılabilir.
- HighConfidenceOptOut kayıt defteri anahtarı, toplu güncelleştirmeler aracılığıyla aygıtların otomatik olarak güncelleştirilmesini denetler. Microsoft'un belirli cihazların başarıyla güncelleştirildiğini gözlemlediği cihazlar için bunlar "yüksek güvenilirlikli" cihazlar olarak kabul edilir ve Güvenli Önyükleme sertifikası güncelleştirmeleri otomatik olarak gerçekleştirilir. Varsayılan ayar kabul et seçeneğidir.
- MicrosoftUpdateManagedOptIn kayıt defteri anahtarı, BT bölümlerinin Microsoft tarafından yönetilen otomatik dağıtımı kabul etmesine olanak tanır. Bu ayar varsayılan olarak devre dışıdır ve 1 katılım olarak ayarlanmıştır. Bu ayar, cihazın isteğe bağlı tanılama verileri göndermesini de gerektirir.
Windows'un desteklenen sürümleri
Bu tablo, kayıt defteri anahtarına göre desteği daha da ayrıntılı olarak böler.
| Tuş | Windows'un desteklenen sürümleri |
|---|---|
|
Mevcut Güncellemeler UEFICA2023Durumu UEFICA2023Hatası |
Güvenli Önyüklemeyi destekleyen tüm Windows sürümleri (Windows Server 2012 ve daha sonraki Windows sürümleri). Bilginize: Güvenilirlik verileri Windows 10, LTSC, 22H2 ve Windows'un sonraki sürümlerinde toplanırken, Windows'un önceki sürümlerinde çalışan cihazlara uygulanabilir.
|
| HighConfidenceOptOut | |
| MicrosoftUpdateManagedOptIn |
Güvenli Önyükleme hata olayları
Hata olayları, Güvenli Önyükleme Durumu ve ilerleme durumu hakkında bilgi vermek için kritik bir raporlama işlevine sahiptir. Hata olayları hakkında bilgi için Güvenli Önyükleme DB ve DBX değişken güncelleme olayları bölümüne bakın. Hata olayları, Güvenli Önyükleme için ek olay bilgileriyle güncelleştiriliyor.