Güvenli Önyükleme için kayıt defteri anahtarı güncelleştirmeleri: BT tarafından yönetilen güncelleştirmelere sahip Windows cihazları

Uygulandığı Öğe
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Not

  • İlk yayımlanma tarihi: 14 Ekim 2025
  • KB Kimliği: 5068202

Bu makalede aşağıdakiler için kılavuz sağlanmaktadır:

  • BT tarafından yönetilen Windows cihazları ve güncelleştirmeleri olan kuruluşlar.

Not

  • Bu desteğin kullanılabilirliği:

  • Kayıt defteri anahtarları aşağıdaki tarihte veya bu tarihten sonra yayımlanan güncelleştirmelerde bulunur:

  • 11 Kasım 2025: Windows sürümleri için hala destek verilmektedir.

Değişiklik günlüğü
Tarihi değiştir Açıklamayı değiştir
20 Nisan 2026
  • "Kayıt defteri anahtarları" bölümündeki ilk tabloya AvailableUpdatesPolicy kayıt defteri değeri eklendi.
  • "Kayıt defteri anahtarları" bölümündeki ikinci tablodaki WindowsUEFICA2023Capable kayıt defteri değeri "Açıklama ve Kullanım" güncellendi.
Şubat 20, 2026
  • Makaleye 3 yeni kayıt defteri anahtarı eklendi - "UEFICA2023ErrorEvent", " BucketHash" & " ConfidenceLevel".
  • "Bu desteğin kullanılabilirliği" bölümü güncellendi.
4 Kasım 2025
  • Sayfaya bir kayıt defteri anahtarı daha eklendi.
  • "Örneğin, bir üretici yazılımı sorunu nedeniyle DB'yi (güvenilir imzalar veritabanı) güncelleştiremezse, bu kayıt defteri anahtarı bir olay günlüğüne veya belgelenmiş hata kimliğine eşlenebilen bir hata kodu gösterebilir" ifadesi düzeltildi ve "Örneğin, bir üretici yazılımı sorunu nedeniyle DB (güvenilir imzalar veritabanı) güncelleştirilemediyse, Bu kayıt defteri anahtarı, üretici yazılımından bir hata kodu gösteriyor olabilir. Bu anahtar mevcut olduğunda ve sıfır olmadığında, Windows Olay Günlükleri'nde Güvenli Önyükleme olaylarını aramanızı öneririz. Daha fazla ayrıntı için (bağlantıya) bakın".
  • Kayıt Defteri Anahtarları için aşağıdaki iki ayrı yol eklendi
11 Kasım 2025
  • Kayıt defteri anahtarlarını kullanarak cihaz testi altındaki paragraf ek bilgilerle güncelleştirildi: "Kayıt defteri anahtarı hızla 0x4100 olarak değiştirilmelidir. Görevin yeniden başlatılması ve çalıştırılması, önyükleme yöneticisinin güncellenmesine ve AvailableUpdates'in 0x0100 hale gelmesine neden olur. AvailableUpdates'in nasıl davrandığı hakkında daha fazla ayrıntı için Sorun Giderme bölümüne bakın."
  • İki ek PowerShell komutuna sahip olmak için Kayıt defteri anahtarlarını kullanarak cihaz testi altındaki gri kutuda yer alan metni güncelleştirin
  • Kayıt defteri anahtarları altında, -MicrosoftUpdateManagedOptIn kayıt defteri Değeri, "1 - Kabul et" yerine "1 veya sıfır olmayan bir değer - Kabul et" olarak değiştirildi
16 Kasım 2025 "Kayıt Defteri Anahtarlarını kullanarak cihaz testi" altındaki içerik güncelleştirildi. "0x0100" olan kullanılabilir güncelleştirme değeri "0x4000" olarak değiştirildi.

Bu makalede

Giriş

Bu belgede, Windows kayıt defteri anahtarları kullanılarak Güvenli Önyükleme sertifikası güncelleştirmelerinin dağıtılması, yönetilmesi ve izlenmesine yönelik destek açıklanmaktadır. Anahtarlar şunlardan oluşur:

  • Cihazda sertifikaların ve önyükleme yöneticisinin dağıtımını tetiklemek için bir anahtar.
  • Dağıtımın durumunu izlemek için iki anahtar.
  • Kullanılabilir iki dağıtım yardımının kabul etme/reddetme ayarlarını yönetmek için iki tuş.

Bu kayıt defteri anahtarları, cihazda manuel olarak veya mevcut filo yönetimi yazılımı aracılığıyla uzaktan ayarlanabilir. BT tarafından yönetilen güncelleştirmelere sahip işletmeler ve kuruluşlar için Windows cihazları makalesinde Grup İlkesigrup ilkesi, Microsoft IntuneMicrosoft Intune ve WinCS gibi diğer dağıtım yöntemleri açıklanmıştır.

Güvenli Önyükleme kayıt defteri anahtarları

Bu bölümde

Kayıt defteri anahtarları

Aşağıda açıklanan tüm Güvenli Önyükleme kayıt defteri anahtarları bu kayıt defteri yolu altında bulunur:

Not

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Aşağıdaki tabloda kayıt defteri değerlerinin her biri açıklanmaktadır:

Kayıt Defteri Değeri Tür Açıklama ve Kullanım
Mevcut Güncellemeler REG_DWORD (bit maskesi) Tetik bayraklarını güncelleştirin.

Cihazda hangi Güvenli Önyükleme güncelleştirme eylemlerinin gerçekleştirileceğini denetler. Burada uygun bit alanının ayarlanması, yeni Güvenli Önyükleme sertifikalarının ve ilgili güncellemelerin dağıtımını başlatır. Kurumsal dağıtım için bu, ilgili tüm güncelleştirmeleri (yeni 2023 CA sertifikalarının eklenmesi, KEK'nin güncelleştirilmesi ve yeni önyükleme yöneticisinin yüklenmesi) etkinleştiren bir değer olan 0x5944 (onaltılık) olarak ayarlanmalıdır.

Ayarlar:
  • 0 veya ayarlanmadı - Güvenli Önyükleme anahtarı güncelleştirmesi gerçekleştirilmedi.
  • 0x5944 – Gerekli tüm sertifikaları dağıtın ve PCA2023 imzalı önyükleme yöneticisine güncelleştirin
HighConfidenceOptOut REG_DWORD Geri çevirme seçeneği.

LCU'nun bir parçası olarak otomatik olarak uygulanacak yüksek güvenilirlik demetlerini devre dışı bırakmak isteyen kuruluşlar için.

Yüksek güvenilirlik demetlerini geri çevirmek için bu anahtarı sıfırdan farklı bir değere ayarlayabilirsiniz.

Ayarlar
  • 0 veya anahtar yok – Kabul et
  • 1 – Devre dışı bırakın
MicrosoftUpdateManagedOptIn REG_DWORD Bir katılım seçeneği.

Microsoft Yönetilen olarak da bilinen Denetimli Özellik Dağıtımı (CFR) hizmetini kabul etmek isteyen kuruluşlar için.

Bu anahtarı ayarlamaya ek olarak, gerekli tanılama verilerinin gönderilmesine izin verin (bkz. Windows tanılama verilerini kuruluşunuzda yapılandırma).

Ayarlar
  • 0 veya anahtar yok – Devre dışı bırak
  • 1 veya sıfır dışında bir değer – Kabul et
AvailableUpdatesPolicy REG_DWORD (bit maskesi) Yalnızca başvuru amaçlıdır – bu anahtarı kayıt defterinden güncelleştirmeyin.

Bu anahtar, Güvenli Önyükleme ile ilgili eylemleri Windows'a iletmek için Grup İlkesi grup ilkesi ve IntuneIntune tarafından kullanılır. TIntuneIntune veya Group Policygrup ilkesi tarafından ayarlanan ilkeyi temsil eder.

Aşağıda açıklanan tüm Güvenli Önyükleme kayıt defteri anahtarları bu kayıt defteri yolu altında bulunur:

Not

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Aşağıdaki tabloda kayıt defteri değerlerinin her biri açıklanmaktadır:

Kayıt Defteri Değeri Tür Açıklama ve Kullanım
UEFICA2023Durumu REG_SZ (dize) Dağıtım durumu göstergesi.

Cihazdaki Güvenli Önyükleme anahtarı güncelleştirmesinin geçerli durumunu yansıtır. Aşağıdaki metin değerlerinden birine ayarlanır:

  • NotStarted: Güncelleştirme henüz çalıştırılmadı.
  • Devam Ediyor: Güncelleştirme aktif olarak devam ediyor.
  • Güncelleştirildi: Güncelleştirme başarıyla tamamlandı.
Başlangıçta durum NotStarted şeklindedir. Güncelleştirme başladıktan sonra Devam Ediyor olarak ve son olarak tüm yeni anahtarlar ve yeni önyükleme yöneticisi dağıtıldığında Güncelleştirildi olarak değişir. Bir hata varsa, UEFICA2023Error kayıt defteri değeri sıfır olmayan bir koda ayarlanır.
UEFICA2023Hatası REG_DWORD (kod) Hata kodu (varsa).
Bu değer başarı durumunda 0 olarak kalır. Güncelleme işlemi bir hatayla karşılaşırsa, UEFICA2023Error , karşılaşılan ilk hataya karşılık gelen sıfır olmayan bir hata koduna ayarlanır. Buradaki hata, Güvenli Önyükleme güncelleştirmesinin tam olarak başarılı olmadığı anlamına gelir ve bu cihazda araştırma veya düzeltme gerektirebilir.
Örneğin, bir üretici yazılımı sorunu nedeniyle DB'yi (güvenilir imzalar veritabanı) güncelleyemediyse, bu kayıt defteri anahtarı üretici yazılımından bir hata kodu gösterebilir. Bu anahtar mevcut olduğunda ve sıfır olmadığında, Windows Olay Günlükleri'nde Güvenli Önyükleme olaylarını aramanızı öneririz. Daha fazla ayrıntı için Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları bölümüne bakın.
UEFICA2023ErrorEvent REG_DWORD (kod) UEFICA2023ErrorEvent , Windows'un Windows UEFI CA 2023 Güvenli Önyükleme güncellemelerinin uygulanmasıyla ilgili bir hatayı bildirmek için kullandığı olay kimliğini belirtir. Bu değer, UEFICA2023Error kayıt defteri anahtarıyla ilişkilidir ve bu anahtar ayarlandığında doldurulur ve Windows'un Güvenli Önyükleme güncelleştirmesini uygulamaya çalışırken bir hatayla karşılaştığını gösterir. Bu gerçekleştiğinde, Windows ortak sayfada belgelenen ilgili Güvenli Önyükleme olayını, Güvenli Önyükleme DB ve DBX değişken güncelleştirme olaylarını günlüğe kaydeder ve bu, güncelleştirmenin neden tamamlanamadığı ve hangi eylemin gerekebileceği hakkında ek ayrıntılar sağlar.
WindowsUEFICA2023Özellikli REG_DWORD (kod) Yalnızca referans içindir – Güvenli Önyükleme güncellemelerinde durum bilgisi alırken bu anahtarı kullanmayın. Bunun yerine UEFICA2023Status anahtarını kullanın.
Bu kayıt defteri anahtarı, sınırlı dağıtım senaryoları için tasarlanmıştır ve genel kullanım için önerilmez.
Geçerli değerler:
0 – veya anahtar yok - "Windows UEFI CA 2023" sertifikası DB'de yok
1 - "Windows UEFI CA 2023" sertifikası DB'de
2 - "Windows UEFI CA 2023" sertifikası DB'de ve sistem 2023 imzalı önyükleme yöneticisinden başlıyor
Kova Karması REG_SZ (dize) BucketHash, Güvenli Önyükleme sertifikası dağıtımının bir parçası olarak bir cihazın atandığı dağıtım paketini tanımlar. Değer, cihaz özelliklerinden türetilen bir karmadır ve aşamalı dağıtım ve risk yönetimi için benzer üretici yazılımı ve platform özniteliklerine sahip cihazları gruplandırmak için kullanılır. Bu, Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları sayfasında belgelenen cihaza özgü olaylarda görünen demet karmasıdır ve yöneticilerin kayıt defteri durumunu olay günlüğü girişleriyle ilişkilendirmesine ve Güvenli Önyükleme güncelleme işlemi sırasında bir cihazın nasıl hedeflendiğini anlamasına olanak tanır.
Güven Düzeyi REG_SZ (dize) Güven Düzeyi, aygıtın Güvenli Önyükleme dağıtım demeti ile ilişkili güvenilirlik değerlendirmesini gösterir. Bu değer, benzer donanım ve üretici yazılımı yapılandırmalarında gözlemlenen güncelleştirme davranışına dayalı olarak Windows'un cihaza atadığı BucketConfidenceLevel değerine karşılık gelir. Aynı güvenilirlik düzeyi, Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları sayfasında belgelenen cihaza özgü olaylara dahil edilir ve yöneticilerin kayıt defteri değerini olay günlüğü girişleriyle ilişkilendirmesine olanak tanır. Bu anahtarın olası değerleri hakkında daha ayrıntılı bilgi için cihaza özgü olay günlüğü olay açıklamalarına bakın.

Bu tuşlar birlikte nasıl çalışır?

BT yöneticileri AvailableUpdates kayıt defteri değerini 0x5944 olarak yapılandırır. Bu değer, Windows'a cihazda Güvenli Önyükleme anahtarı güncelleştirmesini ve yüklemesini yürütmesi için sinyal verir.

İşlem çalışırken sistem, UEFICA2023Status'uNotStarted'danInProgress'e ve son olarak başarı üzerine Updated olarak güncelleştirir. 0x5944'deki her bit başarıyla işlendikçe temizlenir.

Herhangi bir adım başarısız olursa, UEFICA2023Error'a bir hata kodu kaydedilir (ve durum Devam Ediyor olarak kalır).

Bu mekanizma, yöneticilere her cihaz için dağıtımı tetiklemek ve izlemek için net bir yol sağlar.

Kayıt defteri anahtarlarını kullanarak dağıtım

Cihaz grubuna dağıtım aşağıdaki adımlardan oluşur:

  1. AvailableUpdates kayıt defteri değerini, güncelleştirilecek cihazların her birinde 0x5944 olarak ayarlayın.
  2. Cihazların ilerleme kaydedip kaydetmediğini görmek için UEFICA2023Status ve UEFICA2023Error kayıt defteri anahtarlarını izleyin. Bu güncelleştirmeleri işleyen görev her 12 saatte bir çalışır. Önyükleme yöneticisi güncelleştirmesinin yeniden başlatma gerçekleşene kadar gerçekleşmeyebileceğini unutmayın.
  3. Sorunları oluşuyorsa araştırın. Bir cihazda UEFICA2023Error sıfır değilse, bu sorunla ilgili olaylar için olay günlüğünü kontrol edebilirsiniz. Güvenli Önyükleme olaylarının tam listesi için Güvenli Önyükleme DB ve DBX değişken güncelleme olayları bölümüne bakın.

Yeniden başlatmalarla ilgili bir not: İşlemi tamamlamak için yeniden başlatma gerekebilir ancak Güvenli Önyükleme güncelleştirmelerinin dağıtımını başlatmak yeniden başlatmaya neden olmaz. Yeniden başlatma gerekirse, Güvenli Önyükleme dağıtımı, cihazı kullanmanın normal seyri olarak gerçekleşen yeniden başlatmalara dayanır.

Kayıt defteri anahtarlarını kullanarak cihaz testi

Cihazların güncelleştirmeleri doğru bir şekilde işleyeceğinden emin olmak için cihazları tek tek test ederken, kayıt defteri anahtarları test etmenin basit bir yolu olabilir.

Test etmek için, aşağıdaki komutların her birini bir yönetici PowerShell isteminden ayrı olarak çalıştırın:

Not

  • reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
  • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  • AvailableUpdates 0x4100 olduğunda sistemi el ile yeniden başlatın
  • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

İlk komut, cihazda sertifika ve önyükleme yöneticisi dağıtımını başlatır. İkinci komut, AvailableUpdates kayıt defteri anahtarını işleyen görevin hemen çalıştırılmasına neden olur. Normalde görev her 12 saatte bir çalışır. Kayıt defteri anahtarı hızla 0x4100 olarak değişmelidir. Görevin yeniden başlatılması ve çalıştırılması, önyükleme yöneticisinin güncellenmesine ve AvailableUpdates'in 0x4000 olmasına neden olur. AvailableUpdates'in nasıl davrandığıyla ilgili daha fazla ayrıntı için Sorun Giderme bölümüne bakın.

Sonuçları, Güvenli Önyükleme DB ve DBX değişken güncelleştirme olaylarında açıklandığı gibi UEFICA2023Status ve UEFICA2023Error kayıt defteri anahtarlarını ve olay günlüklerini gözlemleyerek bulabilirsiniz.

Asist almayı kabul etme ve reddetme

HighConfidenceOptOut ve MicrosoftUpdateManagedOptIn kayıt defteri anahtarları, BT tarafından yönetilen güncelleştirmelere sahip Windows cihazlarında açıklanan iki dağıtım "yardımını" yönetmek için kullanılabilir.

  • HighConfidenceOptOut kayıt defteri anahtarı, toplu güncelleştirmeler aracılığıyla aygıtların otomatik olarak güncelleştirilmesini denetler. Microsoft'un belirli cihazların başarıyla güncelleştirildiğini gözlemlediği cihazlar için bunlar "yüksek güvenilirlikli" cihazlar olarak kabul edilir ve Güvenli Önyükleme sertifikası güncelleştirmeleri otomatik olarak gerçekleştirilir. Varsayılan ayar kabul et seçeneğidir.
  • MicrosoftUpdateManagedOptIn kayıt defteri anahtarı, BT bölümlerinin Microsoft tarafından yönetilen otomatik dağıtımı kabul etmesine olanak tanır. Bu ayar varsayılan olarak devre dışıdır ve 1 katılım olarak ayarlanmıştır. Bu ayar, cihazın isteğe bağlı tanılama verileri göndermesini de gerektirir.

Windows'un desteklenen sürümleri

Bu tablo, kayıt defteri anahtarına göre desteği daha da ayrıntılı olarak böler.

Tuş Windows'un desteklenen sürümleri
Mevcut Güncellemeler
UEFICA2023Durumu
UEFICA2023Hatası
Güvenli Önyüklemeyi destekleyen tüm Windows sürümleri (Windows Server 2012 ve daha sonraki Windows sürümleri).

Bilginize: Güvenilirlik verileri Windows 10, LTSC, 22H2 ve Windows'un sonraki sürümlerinde toplanırken, Windows'un önceki sürümlerinde çalışan cihazlara uygulanabilir.
  • Windows 10Windows 10, sürüm LTSC ve 22H2
  • Windows 11Windows 11, sürüm 22H2 ve 23H2
  • Windows 11, sürüm 24H2
  • Windows Sunucu 2025
HighConfidenceOptOut
MicrosoftUpdateManagedOptIn

Güvenli Önyükleme hata olayları

Hata olayları, Güvenli Önyükleme Durumu ve ilerleme durumu hakkında bilgi vermek için kritik bir raporlama işlevine sahiptir.  Hata olayları hakkında bilgi için Güvenli Önyükleme DB ve DBX değişken güncelleme olayları bölümüne bakın. Hata olayları, Güvenli Önyükleme için ek olay bilgileriyle güncelleştiriliyor.