Застосовується до
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Вихідна дата публікації: 14 жовтня 2025 р.

Ідентифікатор KB: 5068202

У цій статті наведено рекомендації щодо:  

  • Організації з ІТ-пристроями Windows і оновленнями.

Доступність цієї підтримки:  

Розділи реєстру включаються в оновлення, випущені в таку дату або пізніше:

  • 11 листопада 2025 р. Для версій Windows усе ще підтримується.

Змінити дату

Змінити опис

20 березня 2026 р.

  • Додано значення реєстру AvailableUpdatesPolicy в першій таблиці в розділі "Розділи реєстру".

  • Оновлено значення реєстру WindowsUEFICA2023Capable "Опис і використання" у другій таблиці в розділі "Розділи реєстру".

20 лютого 2026 р.

  • До статті додано 3 нові розділи реєстру : "UEFICA2023ErrorEvent", "BucketHash" & "ConfidenceLevel".

  • Оновлено розділ " Доступність цієї підтримки".

4 листопада 2025 р.

  • До сторінки додано ще один розділ реєстру.

  • Виправлено інструкцію з "Наприклад, якщо не вдалося оновити базу даних (базу даних надійних сигнатур) через проблему з мікропрограмою, у цьому розділі реєстру може відображатися код помилки, який можна зіставити з журналом подій або задокументованим ідентифікатором помилки в", щоб сказати "Наприклад, якщо оновлення бази даних (бази даних надійних підписів) не вдалося через помилку мікропрограми, у цьому розділі реєстру може відображатися код помилки з мікропрограми. Якщо цей ключ існує та не дорівнює нулю, радимо шукати події безпечного завантаження в журналах подій Windows – див. (посилання) для отримання додаткових відомостей".

  • Додано два окремі шляхи для розділів реєстру нижче

11 листопада 2025 р.

  • Оновлено абзац у розділі Перевірка пристрою за допомогою розділів реєстру з додатковими відомостями: "Розділ реєстру має швидко змінитися на 0x4100. Перезавантаження та повторне виконання завдання призведе до оновлення диспетчера завантаження, а AvailableUpdates стане 0x0100. Докладні відомості про поведінку AvailableUpdates див. в статті Виправлення неполадок".

  • Оновлення тексту в сірому полі в розділі Перевірка пристрою за допомогою розділів реєстру для двох додаткових команд PowerShell

  • У розділі розділів реєстру значення реєстру -MicrosoftUpdateManagedOptIn було змінено з "1 - Opt in" на "1 або будь-яке ненульове значення – Opt in"

16 листопада 2025 р.

Оновлено вміст у розділі "Перевірка пристрою за допомогою розділів реєстру". Значення Доступне оновлення змінено з "0x0100" на "0x4000".

У цій статті

Вступ

У цьому документі описано підтримку розгортання, керування та моніторингу оновлень сертифіката безпечного завантаження за допомогою розділів реєстру Windows. Ці клавіші складаються з таких елементів: 

  • Один ключ, який ініціює розгортання сертифікатів і диспетчера завантаження на пристрої.

  • Два клавіші для моніторингу стану розгортання.

  • Дві клавіші для керування параметрами вибору та відмови для двох доступних помічників із розгортання.

Ці розділи реєстру можна встановити вручну на пристрої або віддалено за допомогою доступного програмного забезпечення для керування флотом. Інші методи розгортання, як-от Групова політика, Microsoft Intune і WinCS, описані в статті Пристрої Windows для підприємств і організацій з оновленнями під керуванням ІТ-відділів.  

Розділи реєстру безпечного завантаження

У цьому розділі

Реєстру

Усі розділи реєстру безпечного завантаження, описані нижче, розташовано за цим шляхом реєстру: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

У наведеній нижче таблиці описано кожне значення реєстру:

Значення реєстру

Тип

Опис і використання

Доступні оновлення

REG_DWORD (бітова маска)

Позначки тригера оновлення.

Керує діями оновлення безпечного завантаження, які потрібно виконати на пристрої. Установлення відповідного бітового поля ініціює розгортання нових сертифікатів безпечного завантаження та пов'язаних оновлень. Для розгортання підприємства потрібно встановити значення 0x5944 (hex) – значення, яке вмикає всі відповідні оновлення (додавання нових сертифікатів CA 2023, оновлення KEK та інсталяція нового диспетчера завантаження). 

Параметри

  • 0 або не встановлено – оновлення ключа безпечного завантаження не виконується.

  • 0x5944 – розгортання всіх необхідних сертифікатів і оновлення для диспетчера завантаження PCA2023

HighConfidenceOptOut

REG_DWORD

Варіант відмови.

Для підприємств, які хочуть відмовитися від сегментів високої достовірності, які автоматично застосовуватимуться в складі LCU.

Для цього ключа можна встановити ненульове значення, щоб відмовитися від сегментів високої достовірності. 

Настройки 

  • 0 або ключа не існує – відкрийте

  • 1 – відмова

MicrosoftUpdateManagedOptIn

REG_DWORD

Варіант вибору.

Для підприємств, які хочуть приєднатися до обслуговування керованого розгортання функцій (CFR), також відомий як Microsoft Managed.

На додачу до встановлення цього ключа, дозвольте надсилання обов'язкових діагностичних даних (див. статтю Настроювання діагностичних даних Windows в організації). 

Настройки

  • 0 або ключ не існує – відмовитися

  • 1 або будь-яке ненульове значення  – Приєднатися до

AvailableUpdatesPolicy

REG_DWORD (бітова маска)

Лише для довідки – не оновіть цей розділ у реєстрі. Цей ключ використовується Групова політика та Intune для обміну діями, пов'язаними з безпечним завантаженням, до Windows. Вона відповідає політиці, встановленій Intune або Групова політика.

Усі розділи реєстру безпечного завантаження, описані нижче, розташовано за цим шляхом реєстру: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

У наведеній нижче таблиці описано кожне значення реєстру:

Значення реєстру

Тип

Опис і використання

UEFICA2023Status

REG_SZ (рядок)

Індикатор стану розгортання.

Відображає поточний стан оновлення ключа безпечного завантаження на пристрої. Буде встановлено одне з таких текстових значень:

  • Не запущено: оновлення ще не запущено.

  • InProgress: Оновлення активно триває.

  • Оновлено: оновлення успішно завершено.

Спочатку стан "Непочато". Вона зміниться на InProgress після початку оновлення, і, нарешті, на Оновлений, коли всі нові ключі та новий диспетчер завантаження були розгорнуті. Якщо сталася помилка, значення реєстру UEFICA2023Error має ненульовий код.

UEFICA2023Error

REG_DWORD (код)

Код помилки (якщо такий є).

Це значення залишається 0 в успіху. Якщо під час оновлення сталася помилка, UEFICA2023Error установлює код помилки, що не дорівнює нулю, що відповідає першій помилок, що сталася. Наведена тут помилка означає, що оновлення безпечного завантаження не виконано повністю і може вимагати розслідування або усунення на цьому пристрої.  

Наприклад, якщо не вдалося оновити базу даних (базу даних надійних сигнатур) через проблему з мікропрограмою, у цьому розділі реєстру може відображатися код помилки з мікропрограми. Якщо цей ключ існує та не дорівнює нулю, радимо знайти події безпечного завантаження в журналах подій Windows . Докладні відомості див. в статті Події оновлення змінних DB та DBX безпечного завантаження .

UEFICA2023ErrorEvent

REG_DWORD (код)

UEFICA2023ErrorEvent визначає ідентифікатор події, за допомогою якої Windows повідомляє про помилку, пов'язану з програмою оновлень захищеного завантаження Windows UEFI CA 2023. Це значення корелюється з розділом реєстру UEFICA2023Error і заповнюється, коли цей розділ установлено, що вказує на те, що під час спроби застосувати оновлення безпечного завантаження Windows сталася помилка. У такому разі Windows реєструє відповідну подію безпечного завантаження, задокументовану на загальнодоступній сторінці Події оновлення змінних DB безпечного завантаження та DBX, яка надає додаткові відомості про те, чому не вдалося завершити оновлення та які дії можуть знадобитися.

WindowsUEFICA2023Capable

REG_DWORD (код)

Лише для довідки– не використовуйте цей ключ під час отримання стану оновлення безпечного завантаження. Використовуйте натомість ключ UEFICA2023Status.

Цей розділ реєстру призначено для обмежених сценаріїв розгортання, тому його не рекомендовано для загального використання.

Припустимі значення:

0 – або ключ не існує - сертифіката "Windows UEFI CA 2023" немає в DB

1 - сертифікат "Windows UEFI CA 2023" в DB

2- Сертифікат "Windows UEFI CA 2023" є в DB, і система запускається з 2023 підписаний диспетчер завантаження

Відро для сегмента

REG_SZ (рядок)

BucketHash визначає блок розгортання, який пристрою призначено в рамках розгортання сертифіката безпечного завантаження. Значення є геш-кодом, отриманим від характеристик пристрою, і використовується для групування пристроїв зі схожими атрибутами мікропрограми та платформи для поетапного розгортання та керування ризиками. Це той самий геш-код сегмента, який відображається в подіях, що стосуються конкретних пристроїв, описаних на сторінці подій змінного оновлення бази даних безпечного завантаження та DBX , що дає змогу адміністраторам корелювати стан реєстру з записами журналу подій і розуміти, як пристрій націлений під час оновлення безпечного завантаження.

Довірчий рівень

REG_SZ (рядок)

ConfidenceLevel вказує на довірчу оцінку, пов'язану з блоком розгортання безпечного завантаження пристрою. Це значення відповідає функції BucketConfidenceLevel, яку Windows призначає пристрою на основі спостережуваної поведінки оновлення в подібних конфігураціях обладнання та мікропрограм. Такий самий довірчий рівень включено до подій, описаних на сторінці подій оновлення змінних DB та DBX для конкретного пристрою, що дає змогу адміністраторам зв'язати значення реєстру з записами журналу подій. Докладні відомості про можливі значення для цього ключа див. в описах подій у журналі конкретних пристроїв.

Принцип спільної роботи цих клавіш

ІТ-адміністратори налаштують значення реєстру AvailableUpdates на 0x5944, що сигналізує Windows про виконання оновлення ключа безпечного завантаження та інсталяції на пристрої.

Коли процес виконується, система оновлює UEFICA2023Status від NotStarted до InProgress і, нарешті, до оновленого після успіху. Оскільки кожен біт у 0x5944 обробляється успішно, він очищується.

Якщо будь-який крок не вдасться, код помилки записується в UEFICA2023Error (і стан залишається вProgress).

Цей механізм дає адміністраторам чіткий спосіб ініціювати та відстежувати розгортання на пристрої. 

Розгортання за допомогою розділів реєстру 

Розгортання до групи пристроїв складається з таких дій: 

  1. Установіть значення реєстру AvailableUpdates , щоб 0x5944 на всіх пристроях, які потрібно оновити.

  2. Відстежуйте розділи реєстру UEFICA2023Status і UEFICA2023Error , щоб побачити, що пристрої досягли прогресу. Завдання, яке обробляє ці оновлення, виконується кожні 12 годин. Зверніть увагу, що оновлення диспетчера завантаження може не відбутися, доки не відбудеться перезавантаження.

  3. Перевірте проблеми, якщо вони виникають. Якщо UEFICA2023Error не дорівнює нулю на пристрої, ви можете перевірити журнал подій на наявність подій, пов'язаних із цією проблемою. Повний список подій безпечного завантаження див. в статті Події оновлення змінних DBX і безпечного завантаження.

Примітка про перезавантаження. Хоча для завершення процесу може знадобитися перезавантаження, ініціювання розгортання оновлень безпечного завантаження не призведе до перезавантаження. Якщо потрібне перезавантаження, розгортання безпечного завантаження залежить від перезавантаження, що відбувається як звичайний хід використання пристрою. 

Перевірка пристрою за допомогою розділів реєстру 

Під час перевірки окремих пристроїв, щоб переконатися, що пристрої будуть обробляти оновлення належним чином, розділи реєстру можуть бути простим способом перевірки. 

Щоб перевірити це, виконайте кожну з наведених нижче команд окремо від підказки адміністратора PowerShell: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Перезавантажте систему вручну, коли availableUpdates стане 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Перша команда ініціює розгортання диспетчера сертифікатів і завантаження на пристрої. Друга команда призводить до того, що завдання, яке обробляє розділ реєстру AvailableUpdates , запускається відразу. Зазвичай завдання виконується кожні 12 годин. Розділ реєстру має швидко змінитися на 0x4100. Перезавантаження та повторне виконання завдання призведе до оновлення диспетчера завантаження, а AvailableUpdates стане 0x4000. Докладні відомості про поведінку AvailableUpdates див. в статті Виправлення неполадок.

Результати можна знайти, спостерігаючи за ключами реєстру UEFICA2023Status і UEFICA2023Error і журналами подій, як описано в подіях оновлення змінних secure Boot DB і DBX

Приєднатися та відмовитися від отримання допомоги 

Розділи реєстру HighConfidenceOptOut і MicrosoftUpdateManagedOptIn можна використовувати для керування двома помічниками розгортання, описаними на пристроях Windows з оновленнями під керуванням ІТ-відділу

  • Розділ реєстру HighConfidenceOptOut керує автоматичним оновленням пристроїв за допомогою сукупних оновлень. Для пристроїв, на яких корпорація Майкрософт успішно оновлює певні пристрої, вони вважатимуться пристроями високої достовірності, а оновлення сертифіката безпечного завантаження відбуватимуться автоматично. За замовчуванням вибрано параметр.

  • Розділ реєстру MicrosoftUpdateManagedOptIn дає змогу ІТ-відділам приєднатися до автоматичного розгортання, яким керує корпорація Майкрософт. Цей параметр вимкнуто за замовчуванням і встановлено для нього значення 1. Цей параметр також вимагає, щоб пристрій надсилав необов'язкові діагностичні дані.

Підтримувані версії Windows

Ця таблиця додатково розбиває підтримку на основі розділу реєстру. 

Ключ 

Підтримувані версії Windows 

Доступні оновлення 

UEFICA2023Status 

UEFICA2023Error 

Усі версії Windows, які підтримують безпечне завантаження (Windows Server 2012 і пізніші версії Windows).  

Примітка: Хоча довірчі дані збираються на Windows 10, версіях LTSC, 22H2 та пізніших версіях Windows, вони можуть застосовуватися до пристроїв із попередніми версіями Windows.    

  • Windows 10 версії LTSC і 22H2

  • Windows 11 версії 22H2 та 23H2

  • Windows 11 версії 24H2

  • Windows Server 2025 р.

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Події помилок безпечного завантаження

​​​​​​​​​​​​​​Події помилок мають критичну функцію звітування для інформування про стан безпечного завантаження та перебіг виконання.  Відомості про події помилок див. в статті Події оновлення змінних DB для безпечного завантаження та DBX. Події помилок оновлюються з додатковими відомостями про подію для безпечного завантаження. 

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей