Застосовується до
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Вихідна дата публікації: 14 жовтня 2025 р.

Ідентифікатор KB: 5068202

У цій статті наведено рекомендації щодо:  

  • Організації з ІТ-пристроями Windows і оновленнями.

Доступність цієї підтримки:  

Розділи реєстру AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut і MicrosoftUpdateManagedOptIn включаються в оновлення, випущені в такі дати або пізніше:

  • 14 жовтня 2025 р.: До підтримуваних версій належать Windows 10, версія 22H2 та новіші версії (зокрема 21H2 LTSC), усі підтримувані версії Windows 11, а також Windows Server 2022 та пізніші версії.

  • 11 листопада 2025 р. Для версій Windows усе ще підтримується.

Змінити дату

Змінити опис

4 листопада 2025 р.

  • До сторінки додано ще один розділ реєстру.

  • Виправлено інструкцію з "Наприклад, якщо не вдалося оновити базу даних (базу даних надійних сигнатур) через проблему з мікропрограмою, у цьому розділі реєстру може відображатися код помилки, який можна зіставити з журналом подій або задокументованим ідентифікатором помилки в", щоб сказати "Наприклад, якщо оновлення бази даних (бази даних надійних підписів) не вдалося через помилку мікропрограми, у цьому розділі реєстру може відображатися код помилки з мікропрограми. Якщо цей ключ існує та не дорівнює нулю, радимо шукати події безпечного завантаження в журналах подій Windows – див. (посилання) для отримання додаткових відомостей".

  • Додано два окремі шляхи для розділів реєстру нижче

11 листопада 2025 р.

  • Оновлено абзац у розділі Перевірка пристрою за допомогою розділів реєстру з додатковими відомостями: "Розділ реєстру має швидко змінитися на 0x4100. Перезавантаження та повторне виконання завдання призведе до оновлення диспетчера завантаження, а AvailableUpdates стане 0x0100. Докладні відомості про поведінку AvailableUpdates див. в статті Виправлення неполадок".

  • Оновлення тексту в сірому полі в розділі Перевірка пристрою за допомогою розділів реєстру для двох додаткових команд PowerShell

  • У розділі розділів реєстру значення реєстру -MicrosoftUpdateManagedOptIn було змінено з "1 - Opt in" на "1 або будь-яке ненульове значення – Opt in"

16 листопада 2025 р.

Оновлено вміст у розділі "Перевірка пристрою за допомогою розділів реєстру". Значення Доступне оновлення змінено з "0x0100" на "0x4000".

У цій статті

Вступ

У цьому документі описано підтримку розгортання, керування та моніторингу оновлень сертифіката безпечного завантаження за допомогою розділів реєстру Windows. Ці клавіші складаються з таких елементів: 

  • Один ключ, який ініціює розгортання сертифікатів і диспетчера завантаження на пристрої.

  • Два клавіші для моніторингу стану розгортання.

  • Дві клавіші для керування параметрами вибору та відмови для двох доступних помічників із розгортання.

Ці розділи реєстру можна встановити вручну на пристрої або віддалено за допомогою доступного програмного забезпечення для керування флотом. Інші методи розгортання, як-от Групова політика, Microsoft Intune і WinCS, описані в статті Пристрої Windows для підприємств і організацій з оновленнями під керуванням ІТ-відділів.  

Розділи реєстру безпечного завантаження

У цьому розділі

Реєстру

Усі розділи реєстру безпечного завантаження, описані нижче, розташовано за цим шляхом реєстру: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

У наведеній нижче таблиці описано кожне значення реєстру:

Значення реєстру

Тип

Опис і використання

Доступні оновлення

REG_DWORD (бітова маска)

Позначки тригера оновлення.

Керує діями оновлення безпечного завантаження, які потрібно виконати на пристрої. Установлення відповідного бітового поля ініціює розгортання нових сертифікатів безпечного завантаження та пов'язаних оновлень. Для розгортання підприємства потрібно встановити значення 0x5944 (hex) – значення, яке вмикає всі відповідні оновлення (додавання нових сертифікатів CA 2023, оновлення KEK та інсталяція нового диспетчера завантаження). 

Параметри

  • 0 або не встановлено – оновлення ключа безпечного завантаження не виконується.

  • 0x5944 – розгортання всіх необхідних сертифікатів і оновлення для диспетчера завантаження PCA2023

HighConfidenceOptOut

REG_DWORD

Варіант відмови.

Для підприємств, які хочуть відмовитися від сегментів високої достовірності, які автоматично застосовуватимуться в складі LCU.

Для цього ключа можна встановити ненульове значення, щоб відмовитися від сегментів високої достовірності. 

Настройки 

  • 0 або ключа не існує – відкрийте

  • 1 – відмова

MicrosoftUpdateManagedOptIn

REG_DWORD

Варіант вибору.

Для підприємств, які хочуть приєднатися до обслуговування керованого розгортання функцій (CFR), також відомий як Microsoft Managed.

На додачу до встановлення цього ключа, дозвольте надсилання обов'язкових діагностичних даних (див. статтю Настроювання діагностичних даних Windows в організації). 

Настройки

  • 0 або ключ не існує – відмовитися

  • 1 або будь-яке ненульове значення  – Приєднатися до

Усі розділи реєстру безпечного завантаження, описані нижче, розташовано за цим шляхом реєстру: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

У наведеній нижче таблиці описано кожне значення реєстру:

Значення реєстру

Тип

Опис і використання

UEFICA2023Status

REG_SZ (рядок)

Індикатор стану розгортання.

Відображає поточний стан оновлення ключа безпечного завантаження на пристрої. Буде встановлено одне з таких текстових значень:

  • Не запущено: оновлення ще не запущено.

  • InProgress: Оновлення активно триває.

  • Оновлено: оновлення успішно завершено.

Спочатку стан "Непочато". Вона зміниться на InProgress після початку оновлення, і, нарешті, на Оновлений, коли всі нові ключі та новий диспетчер завантаження були розгорнуті. Якщо сталася помилка, значення реєстру UEFICA2023Error має ненульовий код.

UEFICA2023Error

REG_DWORD (код)

Код помилки (якщо такий є).

Це значення залишається 0 в успіху. Якщо під час оновлення сталася помилка, UEFICA2023Error установлює код помилки, що не дорівнює нулю, що відповідає першій помилок, що сталася. Наведена тут помилка означає, що оновлення безпечного завантаження не виконано повністю і може вимагати розслідування або усунення на цьому пристрої.  

Наприклад, якщо не вдалося оновити базу даних (базу даних надійних сигнатур) через проблему з мікропрограмою, у цьому розділі реєстру може відображатися код помилки з мікропрограми. Якщо цей ключ існує та не дорівнює нулю, радимо шукати події безпечного завантаження в журналах подій Windows . Докладні відомості див. в статті Події оновлення змінних DB та DBX безпечного завантаження.

WindowsUEFICA2023Capable

REG_DWORD (код)

Цей розділ реєстру призначено для обмежених сценаріїв розгортання, тому його не рекомендовано для загального використання. У більшості випадків використовуйте натомість розділ реєстру UEFICA2023Status.

Припустимі значення:

0 – або ключ не існує - сертифіката "Windows UEFI CA 2023" немає в DB

1 - сертифікат "Windows UEFI CA 2023" в DB

2- Сертифікат "Windows UEFI CA 2023" є в DB, і система запускається з 2023 підписаний диспетчер завантаження

Принцип спільної роботи цих клавіш

ІТ-адміністратори налаштують значення реєстру AvailableUpdates на 0x5944, що сигналізує Windows про виконання оновлення ключа безпечного завантаження та інсталяції на пристрої.

Коли процес виконується, система оновлює UEFICA2023Status від NotStarted до InProgress і, нарешті, до оновленого після успіху. Оскільки кожен біт у 0x5944 обробляється успішно, він очищується.

Якщо будь-який крок не вдасться, код помилки записується в UEFICA2023Error (і стан залишається вProgress).

Цей механізм дає адміністраторам чіткий спосіб ініціювати та відстежувати розгортання на пристрої. 

Розгортання за допомогою розділів реєстру 

Розгортання до групи пристроїв складається з таких дій: 

  1. Установіть значення реєстру AvailableUpdates , щоб 0x5944 на всіх пристроях, які потрібно оновити.

  2. Відстежуйте розділи реєстру UEFICA2023Status і UEFICA2023Error , щоб побачити, що пристрої досягли прогресу. Завдання, яке обробляє ці оновлення, виконується кожні 12 годин. Зверніть увагу, що оновлення диспетчера завантаження може не відбутися, доки не відбудеться перезавантаження.

  3. Перевірте проблеми, якщо вони виникають. Якщо UEFICA2023Error не дорівнює нулю на пристрої, ви можете перевірити журнал подій на наявність подій, пов'язаних із цією проблемою. Повний список подій безпечного завантаження див. в статті Події оновлення змінних DBX і безпечного завантаження.

Примітка про перезавантаження. Хоча для завершення процесу може знадобитися перезавантаження, ініціювання розгортання оновлень безпечного завантаження не призведе до перезавантаження. Якщо потрібне перезавантаження, розгортання безпечного завантаження залежить від перезавантаження, що відбувається як звичайний хід використання пристрою. 

Перевірка пристрою за допомогою розділів реєстру 

Під час перевірки окремих пристроїв, щоб переконатися, що пристрої будуть обробляти оновлення належним чином, розділи реєстру можуть бути простим способом перевірки. 

Щоб перевірити це, виконайте кожну з наведених нижче команд окремо від підказки адміністратора PowerShell: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Перезавантажте систему вручну, коли availableUpdates стане 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Перша команда ініціює розгортання диспетчера сертифікатів і завантаження на пристрої. Друга команда призводить до того, що завдання, яке обробляє розділ реєстру AvailableUpdates , запускається відразу. Зазвичай завдання виконується кожні 12 годин. Розділ реєстру має швидко змінитися на 0x4100. Перезавантаження та повторне виконання завдання призведе до оновлення диспетчера завантаження, а AvailableUpdates стане 0x4000. Докладні відомості про поведінку AvailableUpdates див. в статті Виправлення неполадок.

Результати можна знайти, спостерігаючи за ключами реєстру UEFICA2023Status і UEFICA2023Error і журналами подій, як описано в подіях оновлення змінних secure Boot DB і DBX

Приєднатися та відмовитися від отримання допомоги 

Розділи реєстру HighConfidenceOptOut і MicrosoftUpdateManagedOptIn можна використовувати для керування двома помічниками розгортання, описаними на пристроях Windows з оновленнями під керуванням ІТ-відділу

  • Розділ реєстру HighConfidenceOptOut керує автоматичним оновленням пристроїв за допомогою сукупних оновлень. Для пристроїв, на яких корпорація Майкрософт успішно оновлює певні пристрої, вони вважатимуться пристроями високої достовірності, а оновлення сертифіката безпечного завантаження відбуватимуться автоматично. За замовчуванням вибрано параметр.

  • Розділ реєстру MicrosoftUpdateManagedOptIn дає змогу ІТ-відділам приєднатися до автоматичного розгортання, яким керує корпорація Майкрософт. Цей параметр вимкнуто за замовчуванням і встановлено для нього значення 1. Цей параметр також вимагає, щоб пристрій надсилав необов'язкові діагностичні дані.

Підтримувані версії Windows

Ця таблиця додатково розбиває підтримку на основі розділу реєстру. 

Ключ 

Підтримувані версії Windows 

Доступні оновлення 

UEFICA2023Status 

UEFICA2023Error 

Усі версії Windows, які підтримують безпечне завантаження (Windows Server 2012 і пізніші версії Windows).  

Примітка: Хоча довірчі дані збираються на Windows 10, версіях LTSC, 22H2 та пізніших версіях Windows, вони можуть застосовуватися до пристроїв із попередніми версіями Windows.    

  • Windows 10 версії LTSC і 22H2

  • Windows 11 версії 22H2 та 23H2

  • Windows 11 версії 24H2

  • Windows Server 2025 р.

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Події помилок безпечного завантаження

​​​​​​​​​​​​​​Події помилок мають критичну функцію звітування для інформування про стан безпечного завантаження та перебіг виконання.  Відомості про події помилок див. в статті Події оновлення змінних DB для безпечного завантаження та DBX. Події помилок оновлюються з додатковими відомостями про подію для безпечного завантаження. 

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей