Not
- Orijinal yayınlama tarihi: 19 Nisan 2026
- KB Kimliği: 5085046
Bu makalede
- Genel bakış
- Güvenli Önyükleme sertifika hizmeti nasıl çalışır?
- Sorun giderirken nereden başlamalı
- Güvenli Önyükleme-Güncelleştirme zamanlanmış görevi
- Zamanlanmış görev neden kullanılır?
- AvailableUpdates kayıt defteri bit maskesi
- OEM ürün yazılımı ile entegrasyon
- Yaygın hata senaryoları ve çözümleri
- Başvuru ve iç öğeler
- Sertifika bakımı için kullanılan AvailableUpdates bitleri
- Beklenen ilerleme durumu (AvailableUpdates)
- Düzeltme prosedürleri
- Üretici yazılımında Güvenli Önyüklemeyi etkinleştirme
- Güvenli Önyükleme zamanlanmış görev devre dışı bırakıldı veya silindi
Genel bakış
Bu sayfa, Windows cihazlarında Güvenli Önyükleme ile ilgili sorunları tanılama ve çözme konusunda yöneticilere ve destek uzmanlarına rehberlik eder. Konular arasında Güvenli Önyükleme sertifikası güncelleştirme hataları, yanlış Güvenli Önyükleme durumları, beklenmeyen BitLocker kurtarma istemleri ve Güvenli Önyükleme yapılandırma değişikliklerini takiben önyükleme hataları yer alır.
Kılavuz, Windows hizmet ve yapılandırmasının nasıl doğrulanacağını, ilgili kayıt defteri değerlerinin ve olay günlüklerinin nasıl gözden geçirileceğini ve üretici yazılımı veya platform sınırlamalarının OEM güncelleştirmesi gerektirdiğinin nasıl belirleneceğini açıklar. Bu içerik, mevcut cihazlardaki sorunları tanılamaya yöneliktir. Yeni dağıtımlar planlamaya yönelik değildir. Bu belge, yeni sorun giderme senaryoları ve yönergeler belirlendikçe güncelleştirilecektir.
Güvenli Önyükleme sertifika hizmeti nasıl çalışır?
Windows'ta Güvenli Önyükleme sertifikası hizmeti, işletim sistemi ile cihazın UEFI üretici yazılımı arasında eşgüdümlü bir işlemdir. Amaç, her aşamada önyükleme yeteneğini korurken kritik güven çıpalarını güncellemektir.
Bu işlem bir Windows zamanlanmış görevi, kayıt defteri tabanlı bir güncelleştirme eylemleri dizisi ve yerleşik günlüğe kaydetme ve yeniden deneme davranışı tarafından yönlendirilir. Bu bileşenler birlikte, Güvenli Önyükleme sertifikalarının ve Windows önyükleme yöneticisinin denetimli, sıralı bir şekilde ve yalnızca önkoşul adımlar başarılı olduktan sonra güncelleştirilmesini sağlar.
Sorun giderirken nereden başlamalı
Bir cihaz Güvenli Önyükleme sertifika güncelleştirmelerini uygularken beklenen ilerlemeyi kaydetmiyor gibi görünüyorsa, sorunun kategorisini tanımlayarak başlayın. Çoğu sorun dört alandan biriyle ilgilidir: Windows hizmet durumu, Güvenli Önyükleme güncelleştirme mekanizması, üretici yazılımı davranışı veya bir platform ya da OEM sınırlaması.
Sırayla aşağıdaki denetimlerle başlayın. Çoğu durumda, bu adımlar gözlemlenen davranışı açıklamak ve daha derin araştırma yapmadan sonraki eylemleri belirlemek için yeterlidir.
Windows hizmet ve platform uygunluğunu onaylayın
- Cihazın Güvenli Önyükleme sertifika güncelleştirmelerini almak için temel gereksinimleri karşıladığını doğrulayın:
- Cihaz, Windows'un desteklenen bir sürümünü çalıştırıyor.
- En son gerekli Windows güvenlik güncelleştirmeleri yüklendi.
- Güvenli Önyükleme, UEFI belleniminde etkinleştirilmiştir.
- Bu koşullardan herhangi biri karşılanmazsa daha fazla sorun gidermeye devam etmeden önce bu sorunları giderin.
Güvenli Önyükleme-Güncelleme görev durumunu doğrulayın
- Güvenli Önyükleme sertifika güncelleştirmelerini uygulamaktan sorumlu Windows mekanizmasının mevcut ve çalışır durumda olduğunu doğrulayın:
- Güvenli Önyükleme-Güncelleştirme zamanlanmış görevi var.
- Görev etkinleştirilir ve Yerel Sistem olarak çalışır.
- Görev, en son Windows güvenlik güncelleştirmesi yüklendiğinden beri en az bir kez çalıştırıldı.
- Görev devre dışı bırakılırsa, silinirse veya çalışmıyorsa, Güvenli Önyükleme sertifika güncelleştirmeleri uygulanamaz. Sorun giderme, diğer nedenleri araştırmadan önce görevi geri yüklemeye odaklanmalıdır.
Beklenen ilerleme için kayıt defteri ayarlarını denetleme
Kayıt defterinde cihazın Güvenli Önyükleme hizmet durumunu gözden geçirin:- UEFICA2023Status, UEFICA2023Error ve UEFICA2023ErrorEvent öğelerini inceleyin.
- AvailableUpdates'i inceleyin ve beklenen ilerleme ile karşılaştırın (bkz. Başvuru ve Dahili).
Bu değerler birlikte, bakımın normal şekilde ilerleyip ilerlemediğini, bir işlemi yeniden deneyip denemediğini veya belirli bir adımda durduğunu gösterir.
Kayıt defteri durumunu Güvenli Önyükleme olaylarıyla ilişkilendirme
Sistem olay günlüğünde Güvenli Önyükleme ile ilgili olayları gözden geçirin ve bunları kayıt defteri durumuyla ilişkilendirin. Olay verileri genellikle cihazın ileriye doğru ilerleme kaydedip kaydetmediğini, geçici bir koşul nedeniyle yeniden deneyip denemediğini veya bir üretici yazılımı veya platform sorunu tarafından engellenip engellenmediğini onaylar.
Kayıt defteri ve olay günlükleri birlikte, genellikle davranışın beklenen, geçici veya düzeltici eylem gerektirip gerektirmediğini gösterir.
Güvenli Önyükleme-Güncelleştirme zamanlanmış görevi
Güvenli Önyükleme sertifika hizmeti, Secure-Boot-Update adlı bir Windows zamanlanmış görevi aracılığıyla gerçekleştirilir. Görev aşağıdaki yola kaydedilir:
Not
\Microsoft\Windows\PI\Secure-Boot-Update
Görev Yerel Sistem olarak çalışır. Varsayılan olarak, sistem başlatılırken ve sonrasında her 12 saatte bir çalışır. Her çalıştırıldığında, Güvenli Önyükleme güncelleme eylemlerinin beklemede olup olmadığını kontrol eder ve bunları sırayla uygulamaya çalışır.
Bu görev devre dışıysa veya eksikse, Güvenli Önyükleme sertifika güncelleştirmeleri uygulanamaz. Güvenli Önyükleme hizmetinin çalışması için Güvenli Önyükleme Güncelleştirme görevi etkin kalmalıdır.
Zamanlanmış görev neden kullanılır?
Güvenli Önyükleme sertifikası güncellemeleri, Güvenli Önyükleme anahtarlarını ve sertifikalarını depolayan UEFI değişkenlerinin yazılması da dahil olmak üzere Windows ve UEFI üretici yazılımı arasında koordinasyon gerektirir. Zamanlanmış bir görev, sistem üretici yazılımı değişkenlerinin değiştirilebileceği bir durumdayken Windows'un bu güncelleştirmeleri denemesine olanak tanır.
Yinelenen 12 saatlik zamanlama, önceki bir girişimin başarısız olması veya cihaz yeniden başlatılmadan açık kalması durumunda güncelleştirmeleri yeniden denemek için ek fırsatlar sunar. Bu tasarım, el ile müdahale gerektirmeden ileriye doğru ilerlemeyi sağlamaya yardımcı olur.
AvailableUpdates kayıt defteri bit maskesi
Güvenli Önyükleme-Güncelleştirme görevi, AvailableUpdates kayıt defteri değeri tarafından yürütülür. Bu değer şu konumda bulunan 32 bitlik bir bit maskesidir:
Not
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Değerdeki her bit, belirli bir Güvenli Önyükleme güncelleme eylemini temsil eder. Güncelleştirme işlemi, AvailableUpdates Windows tarafından otomatik olarak veya yönetici tarafından açıkça sıfır olmayan bir değere ayarlandığında başlar. Örneğin, 0x5944 gibi bir değer, bekleyen birden çok güncelleştirme eyleminin bulunduğunu gösterir.
Güvenli Önyükleme-Güncelleme görevi çalıştırıldığında, ayarlanan bitleri bekleyen iş olarak yorumlar ve bunları tanımlanmış bir sırayla işler.
Sıralı güncelleştirmeler, günlüğe kaydetme ve yeniden deneme davranışı
Güvenli Önyükleme sertifika güncelleştirmeleri sabit bir sırada uygulanır. Her güncelleştirme eylemi yeniden denemenin güvenli olacak şekilde tasarlanmıştır ve bağımsız olarak tamamlanır. Güvenli Önyükleme-Güncelleştirme görevi, geçerli eylem başarılı olana ve karşılık gelen bit AvailableUpdates'ten temizlenene kadar bir sonraki adıma ilerlemez.
Her işlem, DB ve KEK gibi Güvenli Önyükleme değişkenlerini güncellemek veya güncellenmiş Windows önyükleme yöneticisini yüklemek için standart UEFI arabirimlerini kullanır. Windows, her adımın sonucunu Sistem olay günlüğüne kaydeder. Başarı olayları ileriye doğru ilerlemeyi onaylarken, başarısızlık olayları bir eylemin neden tamamlanamadığını gösterir.
Bir güncelleştirme adımı başarısız olursa, görev işlemeyi durdurur, hatayı günlüğe kaydeder ve ilişkili bit kümesini bırakır. Görevin bir sonraki çalıştırılışında işlem yeniden denenir. Bu yeniden deneme davranışı, cihazların eksik üretici yazılımı desteği veya gecikmeli OEM güncelleştirmeleri gibi geçici durumlardan otomatik olarak kurtarılmasını sağlar.
Yöneticiler, kayıt defteri durumunu olay günlüğü girişleriyle ilişkilendirerek ilerleme durumunu izleyebilir. UEFICA2023Status, UEFICA2023Error ve UEFICA2023ErrorEvent gibi kayıt defteri değerleri, AvailableUpdates bit maskesiyle birlikte hangi adımın etkin, tamamlanmış veya engellenmiş olduğunu gösterir.
Bu birleşim, cihazın normal şekilde ilerlediğini, bir işlemi yeniden denediğini veya durduğunu gösterir.
OEM ürün yazılımı ile entegrasyon
Güvenli Önyükleme sertifikası güncellemeleri, bir cihazın UEFI üretici yazılımındaki doğru davranışa ve desteğe bağlıdır. Windows güncelleştirme işlemini düzenlerken, Güvenli Önyükleme ilkesini zorunlu kılmaktan ve Güvenli Önyükleme veritabanlarını korumaktan üretici yazılımı sorumludur.
OEM'ler, Güvenli Önyükleme sertifikası hizmetini etkinleştiren iki kritik öğe sağlar:
- Yeni Güvenli Önyükleme sertifikalarının yüklenmesine izin veren Platform Anahtarı ile imzalanmış Anahtar Değişim Anahtarları (KEK'ler).
- Güncelleştirmeler sırasında Güvenli Önyükleme veritabanlarını doğru şekilde koruyan, ekleyen ve doğrulayan üretici yazılımı uygulamaları.
Üretici yazılımı bu davranışları tam olarak desteklemiyorsa, Güvenli Önyükleme güncelleştirmeleri durabilir, süresiz olarak yeniden deneyebilir veya önyükleme hatalarına neden olabilir. Bu gibi durumlarda Windows, üretici yazılımında değişiklik yapmadan güncelleştirmeyi tamamlayamaz.
Microsoft, üretici yazılımı sorunlarını belirlemek ve düzeltilmiş güncelleştirmeleri kullanılabilir hale getirmek için OEM'lerle birlikte çalışır. Sorun giderme, bir üretici yazılımı sınırlaması veya kusuru gösterdiğinde, Güvenli Önyükleme sertifika güncellemelerinin başarıyla tamamlanabilmesi için yöneticilerin cihaz üreticisi tarafından sağlanan en son UEFI üretici yazılımı güncellemesini yüklemeleri gerekebilir.
Yaygın hata senaryoları ve çözümleri
Güvenli Önyükleme güncelleştirmeleri, AvailableUpdates kayıt defteri durumuna göre Secure-Boot-Update zamanlanmış görevi tarafından uygulanır.
Normal koşullar altında, bu adımlar otomatik olarak gerçekleşir ve her aşama tamamlandığında başarı olaylarını kaydeder. Bazı durumlarda, üretici yazılımı davranışı, platform yapılandırması veya hizmet önkoşulları ilerlemeyi engelleyebilir veya beklenmedik önyükleme davranışına neden olabilir.
Aşağıdaki bölümlerde en yaygın hata senaryoları, bunların nasıl tanınacağı, neden oluştukları ve normal çalışmayı geri yüklemek için uygun sonraki adımlar açıklanmaktadır. Senaryolar, en sık karşılaşılan senaryolardan önyüklemeyi etkileyen daha ciddi durumlara doğru sıralanır.
Güvenli Önyükleme güncelleştirmeleri uygulanmıyor (ilerleme yok)
Güvenli Önyükleme güncelleştirmeleri ilerleme göstermiyorsa, bu genellikle güncelleştirme işleminin hiç başlamadığı anlamına gelir. Sonuç olarak, güncelleştirme mekanizması hiçbir zaman tetiklenmediğinden, beklenen Güvenli Önyükleme kayıt defteri değerleri ve olay günlükleri eksiktir.
Ne oldu
Güvenli Önyükleme güncelleştirme işlemi başlamadığından, cihaza hiçbir Güvenli Önyükleme sertifikası veya güncelleştirilmiş önyükleme yöneticisi uygulanmamıştır.
Nasıl anlaşılır
- UEFICA2023Status gibi Güvenli Önyükleme hizmeti kayıt defteri değeri yok.
- Beklenen Güvenli Önyükleme olayları (örneğin, 1043, 1044, 1045, 1799, 1801) Sistem olay günlüğünde eksik.
- Cihaz, eski Güvenli Önyükleme sertifikalarını ve önyükleme bileşenlerini kullanmaya devam eder.
Bu durum neden ortaya çıkar?
Bu senaryo genellikle aşağıdaki koşullardan biri veya daha fazlası doğru olduğunda ortaya çıkar:
- Güvenli Önyükleme-Güncelleştirme zamanlanmış görevi devre dışı veya eksik.
- Güvenli Önyükleme, UEFI belleniminde devre dışı bırakıldı.
- Cihaz, desteklenen bir Windows sürümü çalıştırma veya gerekli güncelleştirmelerin yüklü olması gibi Windows hizmet ön koşullarını karşılamıyor.
Sonrasında yapılması gerekenler
- Cihazın Windows hizmet ve platform uygunluğu gereksinimlerini karşıladığını doğrulayın.
- Güvenli Önyükleme'nin üretici yazılımında etkinleştirildiğini doğrulayın.
- SecureBootUpdate zamanlanmış görevinin var olduğundan ve etkinleştirildiğinden emin olun.
Zamanlanmış görev devre dışıysa veya eksikse, geri yüklemek için Güvenli Önyükleme zamanlanmış görevi devre dışı bırakıldı veya silindi bölümündeki yönergeleri izleyin. Görev geri yüklendikten sonra cihazı yeniden başlatın veya Güvenli Önyükleme hizmetini başlatmak için görevi el ile çalıştırın.
Güvenli Önyükleme güncelleştirmesinden sonra cihaz BitLocker kurtarmasına önyükleme yapıyor
Bazı durumlarda, Güvenli Önyükleme ile ilgili güncelleştirmeler bir cihazın BitLocker kurtarmasına girmesine neden olabilir. Davranış, altta yatan nedene bağlı olarak geçici veya kalıcı olabilir.
Senaryo 1: Güvenli Önyükleme güncelleştirmesinden sonra bir kerelik BitLocker kurtarması
Neler olur?
Cihaz, Güvenli Önyükleme güncellemesinden sonraki ilk önyüklemede BitLocker kurtarma işlemine girer, ancak sonraki yeniden başlatmalarda normal şekilde önyükleme yapar.
Bu durum neden ortaya çıkar?
Güncelleştirmeden sonraki ilk önyükleme sırasında Windows BitLocker'ı yeniden mühürlemeye çalıştığında üretici yazılımı güncelleştirilmiş Güvenli Önyükleme değerlerini henüz bildirmez. Bu, ölçülen önyükleme değerlerinde geçici bir uyumsuzluğa neden olur ve kurtarmayı tetikler. Bir sonraki önyüklemede, üretici yazılımı güncellenen değerleri doğru şekilde bildirir, BitLocker başarıyla yeniden kapatır ve sorun tekrarlanmaz.
Nasıl anlaşılır
- BitLocker kurtarması bir kez gerçekleşir.
- Kurtarma anahtarını girdikten sonra sonraki önyüklemeler kurtarma isteği göstermez.
- Devam eden bir önyükleme sırası veya PXE katılımı yok.
Sonrasında yapılması gerekenler
- Windows'u devam ettirmek için BitLocker kurtarma anahtarını girin.
- Üretici yazılımı güncelleştirmelerini denetleme.
Senaryo 2: PXE ilk önyükleme yapılandırması nedeniyle tekrarlanan BitLocker kurtarması
Neler olur?
Cihaz, her önyüklemede BitLocker kurtarma işlemine girer.
Bu durum neden ortaya çıkar?
Aygıt, önce PXE (ağ) önyüklemesini deneyecek şekilde yapılandırılmıştır. PXE önyükleme girişimi başarısız olur ve üretici yazılımı, disk üzerindeki Windows önyükleme yöneticisine geri döner.
Bu, tek bir önyükleme döngüsü sırasında iki farklı imzalama yetkilisinin ölçülmesine neden olur:
- PXE önyükleme yolu Microsoft UEFI CA 2011 tarafından imzalanmıştır.
- Disk üzerindeki Windows önyükleme yöneticisi, Windows UEFI CA 2023 tarafından imzalanmıştır.
BitLocker başlatma sırasında farklı Güvenli Önyükleme güven zincirleri gözlemlediğinden, yeniden mühürlemek için kararlı bir TPM ölçümleri kümesi oluşturamaz. Sonuç olarak, BitLocker her önyüklemede kurtarmaya girer.
Nasıl anlaşılır
- BitLocker kurtarması her yeniden başlatmada tetiklenir.
- Kurtarma anahtarının girilmesi Windows'un başlamasına izin verir, ancak komut istemi bir sonraki önyüklemede geri döner.
- PXE veya ağ önyüklemesi, üretici yazılımı önyükleme sırasında yerel diskten önce yapılandırılır.
Sonrasında yapılması gerekenler
- Üretici yazılımı önyükleme sırasını yapılandırın, böylece disk üzerindeki Windows önyükleme yöneticisi ilk sırada olur.
- Gerekli değilse PXE önyüklemesini devre dışı bırakın.
- PXE gerekliyse PXE altyapısının 2023 imzalı bir Windows önyükleyici kullandığından emin olun.
Güvenli Önyükleme sıfırlandıktan sonra cihaz önyükleme yapamıyor
Ne oldu
Bu, Windows sorunundan ziyade üretici yazılımı düzeyindeki bir değişikliği yansıtır. Güvenli Önyükleme güncelleştirmesi başarıyla tamamlandı, ancak daha sonraki bir yeniden başlatmanın ardından cihaz artık Windows'ta önyükleme yapmıyor.
Nasıl anlaşılır
- Aygıt Windows'u başlatamaz ve Güvenli Önyükleme ihlali olduğunu belirten bir üretici yazılımı veya BIOS iletisi görüntüleyebilir.
- Hata , Güvenli Önyükleme ayarları bellenim varsayılanlarına sıfırlandıktan sonra oluşur.
- Güvenli Önyükleme'yi devre dışı bırakmak aygıtın yeniden önyükleme yapmasına izin verebilir.
Bu durum neden ortaya çıkar?
Güvenli Önyükleme'yi bellenim varsayılanlarına sıfırlamak, bellenimde depolanan Güvenli Önyükleme veri tabanlarını temizler. Zaten Windows UEFI CA 2023 imzalı önyükleme yöneticisine geçiş yapmış cihazlarda bu sıfırlama, bu önyükleme yöneticisine güvenmek için gereken sertifikaları kaldırır.
Sonuç olarak, üretici yazılımı artık yüklü Windows önyükleme yöneticisini güvenilir olarak tanımaz ve önyükleme işlemini engeller.
Bu senaryo, Güvenli Önyükleme güncelleştirmesinin kendisinden değil, güncelleştirilmiş güven çıpalarını kaldıran sonraki bir üretici yazılımı eyleminden kaynaklanır.
Sonrasında yapılması gerekenler
- Aygıtın yeniden önyükleme yapabilmesi için gerekli sertifikayı geri yüklemek üzere Güvenli Önyükleme kurtarma yardımcı programını kullanın.
- Kurtarma işleminden sonra, cihazda cihaz üreticisinin sunduğu en son üretici yazılımının yüklü olduğundan emin olun.
- OEM üretici yazılımı 2023 sertifikalarına güvenen güncelleştirilmiş Güvenli Önyükleme varsayılanları içermediği sürece Güvenli Önyükleme'yi üretici yazılımı varsayılanlarına sıfırlamaktan kaçının.
Güvenli Önyükleme kurtarma yardımcı programı
Sistemi kurtarmak için:
- Temmuz 2024 veya daha yeni Windows güncelleştirmesinin yüklü olduğu ikinci bir Windows bilgisayarda, C:\Windows\Boot\EFI\ konumundan SecureBootRecovery.efi dosyasını kopyalayın.
- Dosyayı FAT32 biçimli bir USB sürücüsünde \EFI\BOOT\ altına yerleştirin ve bootx64.efi olarak yeniden adlandırın.
- Etkilenen cihazı USB sürücüsünden önyükleyin ve kurtarma yardımcı programının çalışmasına izin verin. Yardımcı program, Windows UEFI CA 2023'ü DB'ye ekleyecektir.
Sertifika geri yüklendikten ve sistem yeniden başlatıldıktan sonra Windows normal şekilde başlamalıdır.
Önemli: Bu işlem, yeni sertifikalardan yalnızca birini yeniden uygular. Cihaz kurtarıldıktan sonra en son sertifikaların yeniden uygulandığından emin olun ve sistemin BIOS/UEFI'sini mevcut en yeni sürüme güncellemeyi göz önünde bulundurun. Bu, birçok OEM bu belirli sorun için üretici yazılımı düzeltmeleri yayınladığından, Güvenli Önyükleme sıfırlama sorununun tekrarlanmasını önlemeye yardımcı olabilir.
Aygıt yazılımı, DB'nin üzerine yazılması nedeniyle Güvenli Önyükleme güncellemesinden sonra önyükleme yapamıyor
Ne oldu
Güvenli Önyükleme sertifika güncelleştirmesini uygulayıp yeniden başlattıktan sonra cihaz önyükleme yapamaz ve Windows'a ulaşamaz.
Nasıl anlaşılır
- Aygıt, Güvenli Önyükleme güncelleştirmesi için gereken yeniden başlatmanın hemen ardından başarısız olur.
- Bir üretici yazılımı veya Güvenli Önyükleme hatası görüntülenebilir ya da sistem Windows yüklenmeden önce durabilir.
- Güvenli Önyükleme'nin devre dışı bırakılması aygıtın önyüklemesine izin verebilir.
Bu durum neden ortaya çıkar?
Bu sorun, cihazın UEFI üretici yazılımı uygulamasındaki bir kusurdan kaynaklanıyor olabilir.
Windows Güvenli Önyükleme sertifika güncellemelerini uyguladığında, üretici yazılımının mevcut Güvenli Önyükleme izin verilen imza veritabanına (DB) yeni sertifikalar eklemesi beklenir. Bazı bellenim uygulamaları, DB'nin sonuna eklemek yerine yanlış bir şekilde üzerine yazar .
Böyle bir durumda,
- Microsoft 2011 önyükleyici sertifikası da dahil olmak üzere önceden güvenilen sertifikalar kaldırılır.
- Bu noktada sistem hala 2011 sertifikasıyla imzalanmış bir önyükleme yöneticisi kullanıyorsa, üretici yazılımı artık buna güvenmez.
- Ürün yazılımı, önyükleme yöneticisini reddeder ve önyükleme işlemini engeller.
Bazı durumlarda, DB temiz bir şekilde üzerine yazılmak yerine bozulabilir ve bu da aynı sonuca yol açabilir. Bu davranış, belirli üretici yazılımı uygulamalarında gözlemlenmiştir ve uyumlu üretici yazılımında beklenmez.
Sonrasında yapılması gerekenler
- Üretici yazılımı kurulum menülerine girin ve Güvenli Önyükleme ayarlarını sıfırlamayı deneyin.
- Cihaz sıfırlandıktan sonra önyüklenirse, Güvenli Önyükleme DB işlemesini düzelten bir üretici yazılımı güncellemesi için cihaz üreticisinin destek sitesini kontrol edin.
- Bir üretici yazılımı güncellemesi mevcutsa, Güvenli Önyükleme'yi yeniden etkinleştirmeden ve Güvenli Önyükleme sertifika güncellemelerini yeniden uygulamadan önce yükleyin.
Güvenli Önyükleme'yi sıfırlamak önyükleme işlevini geri yüklemezse, daha fazla kurtarma işlemi büyük olasılıkla OEM'e özgü yönergeler gerektirir.
Güvenli Önyükleme güncelleştirmesi, OEM imzalı eksik KEK nedeniyle engellendi
Ne oldu
Güvenli Önyükleme sertifika güncelleştirmesi tamamlanmaz ve Anahtar Değişim Anahtarı (KEK) güncelleştirme aşamasında engellenmiş olarak kalır.
Nasıl anlaşılır
- AvailableUpdates kayıt defteri değeri, KEK bit (0x0004) ile ayarlanmış olarak kalır ve temizlenmez.
- UEFICA2023Status tamamlanmış duruma ilerlemiyor.
- Sistem olay günlüğü, KEK güncelleştirmesinin uygulanamadığını belirterek Olay Kimliği 1803'ü tekrar tekrar kaydeder.
- Cihaz, ileriye doğru ilerleme kaydetmeden güncelleştirmeyi yeniden denemeye devam eder.
Bu durum neden ortaya çıkar?
Güvenli Önyükleme KEK'in güncellenmesi için cihazın OEM'e ait Platform Anahtarından (PK) yetkilendirme gerekir.
Güncelleştirmenin başarılı olması için cihaz üreticisinin Microsoft'a söz konusu platform için PK imzalı bir KEK sağlaması gerekir. Bu OEM imzalı KEK, Windows güncelleştirmelerine dahildir ve Windows'un üretici yazılımı KEK değişkenini güncelleştirmesine olanak tanır.
OEM cihaz için PK imzalı bir KEK sağlamadıysa, Windows KEK güncelleştirmesini tamamlayamaz. Bu durumda:
- Güvenli Önyükleme güncelleştirmeleri tasarım tarafından engellenir.
- Windows eksik yetkilendirme sorununu geçici olarak çözemez.
- Cihaz, Güvenli Önyükleme sertifika hizmetini kalıcı olarak tamamlayamayabilir.
Bu sorun, OEM'in artık üretici yazılımı veya anahtar güncelleştirmeleri sağlamadığı eski veya desteklenmeyen cihazlarda meydana gelebilir. Bu koşul için desteklenen bir el ile kurtarma yolu yoktur.
Güvenli Önyükleme sertifikası güncelleştirme olayları ve hata göstergeleri
Güvenli Önyükleme sertifika güncelleştirmeleri başarısız olduğunda, Windows ilerleme durumunun neden engellendiğini açıklayan tanılama olaylarını kaydeder. Bu olaylar, Güvenli Önyükleme imza veritabanını (DB) güncellediğinde veya Anahtar Değişim Anahtarı (KEK) üretici yazılımı, platform durumu veya yapılandırma koşulları nedeniyle güvenli bir şekilde tamamlanamadığında yazılır. Bu bölümdeki senaryolar, yaygın hata desenlerini belirlemek ve uygun düzeltmeyi belirlemek için bu olaylara başvurur. Bu bölüm, yeni hata senaryoları sunmak için değil, daha önce açıklanan sorunların tanılanmasını ve yorumlanmasını desteklemek için tasarlanmıştır.
Olay kimliklerinin, açıklamaların ve örnek girişlerin tam listesi için Güvenli Önyükleme DB ve DBX değişken güncelleme olayları (KB5016061) bölümüne bakın.
KEK güncelleştirme hatası (DB güncelleştirmeleri başarılı oldu, ancak KEK başarılı olmadı)
Bir cihaz, Güvenli Önyükleme veritabanındaki sertifikaları başarıyla güncelleyebilir, ancak KEK güncellemesi sırasında başarısız olabilir. Bu durumda, Güvenli Önyükleme güncelleştirme işlemi tamamlanamaz.
Belirtiler
- DB sertifika olayları ilerleme durumunu gösterir, ancak KEK aşaması tamamlanmamıştır.
- AvailableUpdates , 0x4004 olarak ayarlı kalır ve birden çok görev çalıştırıldıktan sonra 0x0004 bit temizlenmez.
- Olay 1795 veya 1803 mevcut olabilir.
Yorumlama
- 1795 , genellikle bir Güvenli Önyükleme değişkenini güncellemeye çalışırken üretici yazılımı hatasını gösterir.
- 1803 , platform için gerekli OEM PK imzalı KEK yükü kullanılabilir olmadığından KEK güncelleştirmesinin yetkilendirilemeyeceğini gösterir.
Sonraki adımlar
- 1795 için, OEM üretici yazılımı güncellemelerini kontrol edin ve Güvenli Önyükleme değişken güncellemeleri için üretici yazılımı desteğini doğrulayın.
- 1803 için, OEM'in cihaz modeli için gerekli olan PK imzalı KEK'i Microsoft'a sağlayıp sağlamadığını onaylayın.
Hyper-V'de barındırılan Konuk VM'lerde KEK güncelleştirme hatası
Hyper-V sanal makinelerinde Güvenli Önyükleme sertifika güncelleştirmeleri, Mart 2026 Windows güncelleştirmelerinin hem Hyper-V ana bilgisayarına hem de konuk işletim sistemine yüklenmesini gerektirir.
Güncelleştirme hataları konuğun içinden bildirilir, ancak olay düzeltmenin gerekli olduğu yerleri gösterir:
- Konukta bildirilen 1795 numaralı olay (örneğin, "Medya yazmaya karşı korumalı"), Hyper-V ana bilgisayarının Mart 2026 güncelleştirmesinin eksik olduğunu ve güncelleştirilmesi gerektiğini gösterir.
- Konukta bildirilen 1803 numaralı olay, konuk sanal makinenin Mart 2026 güncelleştirmesinin eksik olduğunu ve güncelleştirilmesi gerektiğini gösterir.
Başvuru ve iç öğeler
Bu bölüm, sorun giderme ve destek amaçlı gelişmiş başvuru bilgileri içermektedir. Dağıtım planlaması için tasarlanmamıştır. Daha önce özetlenen Güvenli Önyükleme hizmet mekaniğini genişletir ve kayıt defteri durumunu ve olay günlüklerini yorumlamak için ayrıntılı başvuru malzemesi sağlar.
Not (BT tarafından yönetilen dağıtımlar): Grup İlkesi grup ilkesi veya Microsoft IntuneMicrosoft Intune aracılığıyla yapılandırıldığında, benzer iki ayar karıştırılmamalıdır. AvailableUpdatesPolicy değeri, yapılandırılan ilke durumunu temsil eder. Bu arada, AvailableUpdates devam eden, bit temizleme çalışma durumunu yansıtır. Her ikisi de aynı sonucu doğurabilir, ancak ilke zaman içinde yeniden uygulandığı için farklı davranırlar.
Sertifika bakımı için kullanılan AvailableUpdates bitleri
Aşağıdaki bitler, bu belgede açıklanan sertifika ve önyükleme yöneticisi eylemleri için kullanılır. Sıra sütunu, Güvenli Önyükleme-Güncelleştirme görevinin her biti işleme sırasını yansıtır.
| Sipariş Ver | Bit ayarı | Kullanım Şekli |
|---|---|---|
| 1 | 0x0040 | Bu bit, zamanlanmış göreve Windows UEFI CA 2023 sertifikasını Güvenli Önyükleme veritabanına eklemesini söyler. Bu, Windows'un bu sertifika tarafından imzalanmış önyükleme yöneticilerine güvenmesini sağlar. |
| 2 | 0x0800 | Bu bit, zamanlanmış göreve Microsoft Option ROM UEFI CA 2023'ü DB'ye uygulamasını söyler. Koşullu davranış: 0x4000 bayrağı ayarlandığında, zamanlanmış görev ilk olarak Microsoft Corporation UEFI CA 2011 sertifikası için veritabanını denetler. Microsoft Option ROM UEFI CA 2023 sertifikasını yalnızca 2011 sertifikası mevcutsa uygulayacaktır. |
| 3 | 0x1000 | Bu bit, zamanlanmış göreve Microsoft UEFI CA 2023'ü DB'ye uygulamasını söyler. Koşullu davranış: 0x4000 bayrağı ayarlandığında, zamanlanmış görev ilk olarak Microsoft Corporation UEFI CA 2011 sertifikası için veritabanını denetler. Microsoft UEFI CA 2023 sertifikasını yalnızca 2011 sertifikası mevcutsa uygulayacaktır. |
| Değiştirici (davranış bayrağı) | 0x4000 | Bu bit, 0x0800 ve 0x1000 bitlerinin davranışını değiştirir, böylece Microsoft UEFI CA 2023 ve Microsoft Option ROM UEFI CA 2023, yalnızca DB zaten Microsoft Corporation UEFI CA 2011'i içeriyorsa uygulanır. Cihazın güvenlik profilinin aynı kalmasını sağlamaya yardımcı olmak için, bu bit yalnızca cihaz Microsoft Corporation UEFI CA 2011 sertifikasına güveniyorsa bu yeni sertifikaları uygular. Tüm Windows cihazları bu sertifikaya güvenmez. |
| 4 | 0x0004 | Bu bit, zamanlanmış göreve cihazın Platform Anahtarı (PK) tarafından imzalanmış bir Anahtar Değişim Anahtarı aramasını söyler. PK, OEM tarafından yönetilir. OEM'ler Microsoft KEK'i PK'leri ile imzalar ve aylık toplu güncelleştirmelere dahil edildiği Microsoft'a teslim eder. |
| 5 | 0x0100 | Bu bit, zamanlanmış göreve Windows UEFI CA 2023 tarafından imzalanan önyükleme yöneticisini önyükleme bölümüne uygulamasını söyler. Bu, Microsoft Windows Production PCA 2011 imzalı önyükleme yöneticisinin yerini alacaktır. |
Notlar:
- Diğer tüm bitler işlendikten sonra 0x4000 bit ayarlı kalacaktır.
- Her bit, Güvenli Önyükleme-Güncelleme zamanlanmış görevi tarafından yukarıda gösterilen sırayla işlenir.
- Eksik bir PK imzalı KEK nedeniyle 0x0004 bit işlenemezse, zamanlanmış görev yine de bit 0x0100 tarafından belirtilen önyükleme yöneticisi güncellemesini uygular.
Beklenen ilerleme durumu (AvailableUpdates)
İşlem başarıyla tamamlandığında, Windows AvailableUpdates'ten ilişkili biti temizler. İşlem başarısız olursa, Windows olayı günlüğe kaydeder ve görev yeniden çalıştırıldığında yeniden dener.
Aşağıdaki tabloda, her Güvenli Önyükleme güncelleştirme eylemi tamamlandığında AvailableUpdates değerlerinin beklenen ilerlemesi gösterilmektedir.
| Adım | Bit işlem görmüş | Available UpdatesGüncelleştirmeler | Açıklama | Başarı Etkinliği Günlüğe Kaydedildi | Olası hata olay kodları |
|---|---|---|---|---|---|
| Başlat | 0x5944 | Güvenli Önyükleme sertifika hizmeti başlamadan önceki ilk durum. | - | - | |
| 1 | 0x0040 | 0x5944 → 0x5904 | Windows UEFI CA 2023, Güvenli Önyükleme DB'ye eklendi. | 1036 | 1032, 1795, 1796, 1802 |
| 2 | 0x0800 | 0x5904 → 0x5104 | Cihaz daha önce Microsoft UEFI CA 2023'e güveniyorsa DB'ye Microsoft Option ROM UEFI CA 2011'ü ekleyin. | 1044 | 1032, 1795, 1796, 1802 |
| 3 | 0x1000 | 0x5104 → 0x4104 | Cihaz daha önce Microsoft UEFI CA 2011'e güvendiyse DB'ye Microsoft UEFI CA 2023 eklenir. | 1045 | 1032, 1795, 1796, 1802 |
| 4 | 0x0004 | 0x4104 → 0x4100 | OEM platform anahtarı tarafından imzalanan yeni Microsoft KEK 2K CA 2023 uygulanır. | 1043 | 1032, 1795, 1796, 1802, 1803 |
| 5 | 0x0100 | 0x4100 → 0x4000 | Windows UEFI CA 2023 tarafından imzalanan önyükleme yöneticisi yüklü. | 1799 | 1797 |
Notlar
- Bir bit ile ilişkili işlem başarıyla tamamlandığında, bu bit AvailableUpdates'ten temizlenir.
- Bu işlemlerden biri başarısız olursa, olay günlüğe kaydedilir ve zamanlanmış görevin bir sonraki çalıştırılışında işlem yeniden denenir.
- 0x4000 bit bir değiştiricidir ve temizlenmez. 0x4000 son bir AvailableUpdates değeri, tüm geçerli güncelleştirme eylemlerinin başarıyla tamamlandığını gösterir.
- 1032, 1795, 1796, 1802 olayları tipik olarak üretici yazılımı veya platform sınırlamalarını gösterir.
- Olay 1803, eksik OEM PK imzalı KEK'i gösterir.
Düzeltme prosedürleri
Bu bölümde, belirli Güvenli Önyükleme sorunlarını düzeltmeye yönelik adım adım yönergeler sunulmaktadır. Her yordam iyi tanımlanmış bir koşul kapsamındadır ve yalnızca ilk tanı sorunun geçerli olduğunu onayladıktan sonra izlenmesi amaçlanmıştır. Beklenen Güvenli Önyükleme davranışını geri yüklemek ve sertifika güncelleştirmelerinin güvenle ilerlemesini sağlamak için bu yordamları kullanın. Bu prosedürleri geniş veya önleyici olarak uygulamayın.
Üretici yazılımında Güvenli Önyüklemeyi etkinleştirme
Bir aygıtın donanım yazılımında Güvenli Önyükleme devre dışı bırakılmışsa, Güvenli Önyükleme'yi etkinleştirmeyle ilgili ayrıntılar için Windows 11 ve Güvenli Önyükleme bölümüne bakın.
Güvenli Önyükleme zamanlanmış görev devre dışı bırakıldı veya silindi
Windows'un Güvenli Önyükleme sertifika güncelleştirmelerini uygulaması için Güvenli Önyükleme-Güncelleştirme zamanlanmış görevi gereklidir. Görev devre dışı bırakılmışsa veya eksikse, Güvenli Önyükleme sertifika hizmeti devam etmez.
Görev ayrıntıları
| Görev Adı | Güvenli Önyükleme Güncellemesi |
|---|---|
| Görev yolu | \Microsoft\Windows\PI\ |
| Tam yol | \Microsoft\Windows\PI\Secure-Boot-Update |
| Şu şekilde çalışır: | SYSTEM (Yerel Sistem) |
| Tetikleyiciler | Başlangıçta ve her 12 saatte bir |
| Gerekli durum | Etkin |
Görev durumunu denetleme
Yükseltilmiş PowerShell isteminden çalıştırma:
schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V
Durum alanını bulun:
| Durum | Anlamı |
|---|---|
| Hazır | Görev var ve etkin. |
| Paylaş | Görev var ancak etkinleştirilmesi gerekiyor. |
| Hata / Bulunamadı | Görev eksik ve yeniden oluşturulması gerekiyor. |
Görevi etkinleştirme veya yeniden oluşturma
Secure-Boot-Update durum alanı Devre Dışı, Hata veya Bulunamadı ise, görevi etkinleştirmek için örnek betiği kullanın: Örnek Enable-SecureBootUpdateTask.ps1
Not: Bu örnek bir betiktir ve Microsoft tarafından desteklenmez. Yöneticiler bunu gözden geçirmeli ve ortamlarına uyarlamalıdır.
Örnek:
Not
.\Enable-SecureBootUpdateTask.ps1 -Sessiz
Kılavuzluğu çalıştır
- Erişimin reddedildiğini görürseniz PowerShell'i Yönetici olarak yeniden çalıştırın.
- Betik yürütme ilkesi nedeniyle çalışmazsa, bir işlem kapsamı atlaması kullanın:
Not
Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass