Khắc phục sự cố
Áp dụng cho
Ngày phát hành ban đầu: Ngày 19 tháng 3 năm 2026
ID KB: 5085046
Trong bài viết này
Tổng quan
Trang này hướng dẫn người quản trị và chuyên gia hỗ trợ chẩn đoán và giải quyết các sự cố liên quan đến Khởi động An toàn trên thiết bị Windows. Các chủ đề bao gồm lỗi cập nhật chứng chỉ Khởi động An toàn, trạng thái Khởi động An toàn không chính xác, lời nhắc khôi phục BitLocker không mong muốn và lỗi khởi động sau khi thay đổi cấu hình Khởi động An toàn.
Hướng dẫn này giải thích cách xác minh việc cung cấp dịch vụ và cấu hình Windows, xem lại các giá trị đăng ký liên quan và nhật ký sự kiện cũng như xác định thời điểm giới hạn vi chương trình hoặc nền tảng yêu cầu cập nhật OEM. Nội dung này nhằm để chẩn đoán sự cố trên các thiết bị hiện có. Nó không dành cho việc lập kế hoạch triển khai mới. Tài liệu này sẽ được cập nhật khi có kịch bản khắc phục sự cố mới và hướng dẫn được xác định.
Cách hoạt động của dịch vụ chứng chỉ Khởi động An toàn
Dịch vụ chứng chỉ Khởi động An toàn trên Windows là một quy trình phối hợp giữa hệ điều hành và vi chương trình UEFI của thiết bị. Mục tiêu là cập nhật các dấu neo tin cậy quan trọng trong khi vẫn giữ nguyên khả năng khởi động ở từng giai đoạn.
Quá trình này được điều chỉnh bởi tác vụ đã lên lịch của Windows, một chuỗi các hành động cập nhật dựa trên sổ đăng ký cũng như hành vi ghi nhật ký và thử lại tích hợp sẵn. Cùng nhau, các cấu phần này đảm bảo chứng chỉ Khởi động An toàn và trình quản lý khởi động Windows được cập nhật theo cách thức được kiểm soát, theo thứ tự và chỉ sau khi các bước điều kiện tiên quyết thành công.
Bắt đầu từ đâu khi khắc phục sự cố
Khi thiết bị có vẻ như không thực hiện tiến độ như mong đợi khi áp dụng bản cập nhật chứng chỉ Khởi động An toàn, hãy bắt đầu bằng cách xác định danh mục của sự cố. Hầu hết các sự cố rơi vào một trong bốn lĩnh vực: Trạng thái cung cấp dịch vụ Windows, cơ chế cập nhật Khởi động An toàn, hành vi vi chương trình hoặc một nền tảng hoặc giới hạn OEM.
Bắt đầu với các kiểm tra dưới đây, theo thứ tự. Trong nhiều trường hợp, các bước này là đủ để giải thích hành vi quan sát và xác định hành động tiếp theo mà không cần điều tra sâu hơn.
-
Xác nhận tính đủ điều kiện của nền tảng và cung cấp dịch vụ Windows
-
Xác minh rằng thiết bị đáp ứng các yêu cầu cơ bản để nhận bản cập nhật chứng chỉ Khởi động An toàn:
-
Thiết bị đang chạy phiên bản Windows được hỗ trợ.
-
Đã cài đặt các bản cập nhật bảo mật Windows bắt buộc mới nhất.
-
Khởi động An toàn được bật trong vi chương trình UEFI.
-
Nếu bất kỳ điều kiện nào trong số này không được đáp ứng, hãy giải quyết chúng trước khi tiếp tục khắc phục sự cố thêm.
-
-
Xác minh trạng thái tác vụ An toàn-Khởi động-Cập nhật
-
Xác nhận rằng cơ chế Windows chịu trách nhiệm áp dụng bản cập nhật chứng chỉ Khởi động An toàn có mặt và hoạt động:
-
Tác vụ đã lên lịch Cập nhật Bảo mật-Khởi động tồn tại.
-
Tác vụ được bật và chạy dưới dạng Hệ thống Cục bộ.
-
Tác vụ đã chạy ít nhất một lần kể từ khi cài đặt bản cập nhật bảo mật Windows mới nhất.
-
Nếu tác vụ bị vô hiệu hóa, xóa hoặc không chạy, không thể áp dụng bản cập nhật chứng chỉ Khởi động An toàn. Khắc phục sự cố nên tập trung vào việc khôi phục tác vụ trước khi điều tra các nguyên nhân khác.
-
-
Kiểm tra thiết đặt sổ đăng ký để biết tiến trình dự kiến
Xem lại trạng thái cung cấp dịch vụ Khởi động An toàn của thiết bị trong sổ đăng ký:
-
Kiểm tra UEFICA2023Status, UEFICA2023Error và UEFICA2023ErrorEvent.
-
Kiểm tra AvailableUpdates và so sánh nó với tiến trình dự kiến (xem Tham khảo và Nội bộ).
Cùng nhau, các giá trị này cho biết liệu dịch vụ đang diễn ra bình thường hay không, thử lại một thao tác hoặc bị đình trệ ở một bước cụ thể.
-
-
Trạng thái đăng ký tương quan với các sự kiện Khởi động An toàn
Xem lại các sự kiện liên quan đến Khởi động An toàn trong nhật ký sự kiện Hệ thống và tương quan chúng với trạng thái đăng ký. Dữ liệu sự kiện thường xác nhận xem thiết bị có tiến triển tiến độ hay không, thử lại do tình trạng tạm thời hoặc bị chặn bởi sự cố vi chương trình hoặc nền tảng.
Cùng nhau, nhật ký sổ đăng ký và sự kiện thường cho biết hành vi đó là dự kiến, tạm thời hay yêu cầu hành động sửa chữa.
Tác vụ đã lên lịch An toàn-Khởi động-Cập nhật
Dịch vụ chứng chỉ Khởi động An toàn được thực hiện thông qua tác vụ đã lên lịch của Windows có tên là Secure-Boot-Update. Nhiệm vụ được đăng ký theo đường dẫn sau đây:
\Microsoft\Windows\PI\Secure-Boot-Update
Tác vụ chạy dưới dạng Hệ thống Cục bộ. Theo mặc định, nó chạy lúc khởi động hệ thống và mỗi 12 giờ sau đó. Mỗi lần chạy, phần mềm này sẽ kiểm tra xem các hành động cập nhật Khởi động An toàn có đang chờ xử lý hay không và cố gắng áp dụng chúng theo trình tự.
Nếu tác vụ này bị vô hiệu hóa hoặc thiếu, bạn không thể áp dụng bản cập nhật chứng chỉ Khởi động An toàn. Tác vụ Secure-Boot-Update phải được bật để dịch vụ Khởi động An toàn hoạt động.
Tại sao một tác vụ đã lên lịch được sử dụng
Các bản cập nhật chứng chỉ Khởi động An toàn yêu cầu phải phối hợp giữa Windows và vi chương trình UEFI, bao gồm việc viết các biến UEFI lưu trữ các khóa và chứng chỉ Khởi động An toàn. Tác vụ đã lên lịch cho phép Windows thử các bản cập nhật này khi hệ thống ở trạng thái có thể sửa đổi các biến vi chương trình.
Lịch trình 12 giờ định kỳ cung cấp các cơ hội bổ sung để thử lại bản cập nhật nếu lần thử trước đó không thành công hoặc nếu thiết bị vẫn bật nguồn mà không cần khởi động lại. Thiết kế này giúp đảm bảo tiến độ về phía trước mà không cần can thiệp thủ công.
Bitmask đăng ký AvailableUpdates
Tác vụ Secure-Boot-Update chịu sự điều chỉnh của giá trị đăng ký AvailableUpdates . Giá trị này là một bitmask 32-bit nằm tại:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Mỗi bit trong giá trị đại diện cho một hành động cập nhật Khởi động An toàn cụ thể. Quá trình cập nhật bắt đầu khi AvailableUpdates được đặt thành một giá trị khác không, do Windows tự động hoặc được người quản trị đặt một cách rõ ràng. Ví dụ: một giá trị chẳng hạn như số liệu 0x5944 rằng nhiều hành động cập nhật đang chờ xử lý.
Khi tác vụ Secure-Boot-Update chạy, tác vụ sẽ diễn giải các bit đã đặt là công việc đang chờ xử lý và xử lý chúng theo thứ tự đã xác định.
Cập nhật tuần tự, ghi nhật ký và hành vi thử nghiệm
Bản cập nhật chứng chỉ Khởi động An toàn được áp dụng theo một thứ tự cố định. Mỗi hành động cập nhật được thiết kế để an toàn để thử lại và hoàn tất một cách độc lập. Tác vụ Secure-Boot-Update không chuyển sang bước tiếp theo cho đến khi hành động hiện tại thành công và bit tương ứng sẽ bị xóa khỏi AvailableUpdates.
Mỗi thao tác sử dụng giao diện UEFI tiêu chuẩn để cập nhật các biến Khởi động An toàn chẳng hạn như DB và KEK hoặc để cài đặt trình quản lý khởi động Windows được cập nhật. Windows ghi lại kết quả của mỗi bước trong nhật ký sự kiện Hệ thống. Các sự kiện thành công xác nhận tiến trình chuyển tiếp, trong khi các sự kiện thất bại chỉ ra lý do không thể hoàn tất một hành động.
Nếu một bước cập nhật không thành công, tác vụ sẽ dừng xử lý, ghi nhật ký lỗi và để lại tập hợp bit liên kết. Thao tác sẽ được thử lại vào lần tiếp theo tác vụ chạy. Hành vi thử lại này cho phép thiết bị tự động phục hồi từ các điều kiện tạm thời, chẳng hạn như thiếu hỗ trợ vi chương trình hoặc bản cập nhật OEM bị trì hoãn.
Người quản trị có thể theo dõi tiến độ bằng cách tương quan trạng thái đăng ký với các mục nhật ký sự kiện. Các giá trị đăng ký như UEFICA2023Status, UEFICA2023Error và UEFICA2023ErrorEvent, cùng với bitmask AvailableUpdates cho biết bước hiện hoạt, hoàn tất hoặc bị chặn.
Sự kết hợp này cho biết liệu thiết bị có tiến triển bình thường hay không, thử lại một thao tác hoặc bị đình trệ.
Tích hợp với vi chương trình OEM
Bản cập nhật chứng chỉ Khởi động An toàn phụ thuộc vào hành vi và hỗ trợ chính xác trong vi chương trình UEFI của thiết bị. Trong khi Windows dàn dựng quá trình cập nhật, phần mềm điều khiển chịu trách nhiệm thực thi chính sách Khởi động An toàn và duy trì cơ sở dữ liệu Khởi động An toàn.
OEM cung cấp hai yếu tố quan trọng cho phép cung cấp dịch vụ chứng chỉ Khởi động An toàn:
-
Khóa Trao đổi Khóa đã ký (KEKs) cho phép cài đặt chứng chỉ Khởi động An toàn mới.
-
Việc triển khai vi chương trình bảo toàn, chắp thêm và xác thực cơ sở dữ liệu Khởi động An toàn trong quá trình cập nhật.
Nếu vi chương trình không hỗ trợ đầy đủ các hành vi này, các bản cập nhật Khởi động An toàn có thể bị đình trệ, thử lại vô hạn hoặc dẫn đến lỗi khởi động. Trong những trường hợp này, Windows không thể hoàn tất quá trình cập nhật mà không có thay đổi đối với vi chương trình.
Microsoft làm việc với OEM để xác định sự cố vi chương trình và cung cấp các bản cập nhật đã sửa chữa. Khi khắc phục sự cố cho biết một giới hạn hoặc lỗi vi chương trình, người quản trị có thể cần cài đặt bản cập nhật vi chương trình UEFI mới nhất do nhà sản xuất thiết bị cung cấp trước khi các bản cập nhật chứng chỉ Khởi động An toàn có thể hoàn tất thành công.
Các kịch bản và giải pháp lỗi thường gặp
Các bản cập nhật Khởi động An toàn được áp dụng bởi tác vụ đã lên lịch Khởi động Bảo mật dựa trên trạng thái đăng ký AvailableUpdates .
Trong điều kiện bình thường, các bước này sẽ tự động diễn ra và ghi lại các sự kiện thành công khi từng giai đoạn hoàn thành. Trong một số trường hợp, hành vi vi chương trình, cấu hình nền tảng hoặc điều kiện tiên quyết về dịch vụ có thể ngăn chặn tiến độ hoặc dẫn đến hành vi khởi động không mong muốn.
Các mục dưới đây mô tả các kịch bản lỗi thường gặp nhất, cách nhận dạng kịch bản lỗi, lý do chúng xảy ra và các bước phù hợp tiếp theo để khôi phục hoạt động bình thường. Các kịch bản được sắp xếp từ hầu hết các trường hợp thường gặp đến các trường hợp ảnh hưởng đến khởi động nghiêm trọng hơn.
Khi bản cập nhật Khởi động An toàn không hiển thị tiến trình, điều đó thường có nghĩa là quá trình cập nhật chưa bao giờ bắt đầu. Do đó, giá trị đăng ký Khởi động An toàn và nhật ký sự kiện dự kiến bị thiếu vì cơ chế cập nhật chưa bao giờ được kích hoạt.
Điều gì đã xảy ra
Quá trình cập nhật Khởi động An toàn không khởi động, vì vậy không có chứng chỉ Khởi động An toàn hoặc trình quản lý khởi động cập nhật nào được áp dụng cho thiết bị.
Cách nhận ra
-
Không có giá trị đăng ký dịch vụ Khởi động An toàn, chẳng hạn như UEFICA2023Status.
-
Nhật ký sự kiện Khởi động An toàn Dự kiến (ví dụ: 1043, 1044, 1045, 1799, 1801) bị thiếu trong nhật ký sự kiện Hệ thống.
-
Thiết bị này tiếp tục sử dụng các chứng chỉ Khởi động An toàn và các cấu phần khởi động cũ hơn.
Tại sao điều đó xảy ra
Kịch bản này thường xảy ra khi một hoặc nhiều điều kiện sau đây là đúng:
-
Tác vụ đã lên lịch Secure-Boot-Update bị vô hiệu hóa hoặc thiếu.
-
Khởi động An toàn bị vô hiệu hóa trong vi chương trình UEFI.
-
Thiết bị không đáp ứng các điều kiện tiên quyết của việc cung cấp dịch vụ Windows, chẳng hạn như chạy phiên bản Windows được hỗ trợ hoặc đã cài đặt các bản cập nhật bắt buộc.
Việc cần làm tiếp theo
-
Xác minh rằng thiết bị đáp ứng các yêu cầu về tính đủ điều kiện của nền tảng và cung cấp dịch vụ Windows.
-
Xác nhận rằng Khởi động An toàn được bật trong vi chương trình.
-
Đảm bảo rằng tác vụ đã lên lịch SecureBootUpdate tồn tại và được bật.
Nếu tác vụ đã lên lịch bị vô hiệu hóa hoặc thiếu, hãy làm theo hướng dẫn trong tác vụ Khởi động An toàn đã tắt hoặc bị xóa để khôi phục tác vụ. Sau khi tác vụ được khôi phục, hãy khởi động lại thiết bị hoặc chạy tác vụ theo cách thủ công để khởi chạy dịch vụ Khởi động An toàn.
Trong một số trường hợp, các bản cập nhật liên quan đến Khởi động Bảo mật có thể khiến thiết bị chuyển sang chế độ phục hồi BitLocker. Hành vi có thể tạm thời hoặc kéo dài, tùy thuộc vào nguyên nhân cơ bản.
Trường hợp 1: Khôi phục BitLocker một lần sau khi cập nhật Khởi động An toàn
Điều gì sẽ xảy ra
Thiết bị nhập khôi phục BitLocker vào lần khởi động đầu tiên sau khi cập nhật Khởi động An toàn, nhưng thường khởi động khi khởi động lại sau đó.
Tại sao điều đó xảy ra
Trong lần khởi động đầu tiên sau khi cập nhật, vi chương trình chưa báo cáo giá trị Khởi động An toàn được cập nhật khi Windows tìm cách bán lại BitLocker. Điều này khiến giá trị khởi động đo được không khớp tạm thời và kích hoạt quá trình phục hồi. Vào lần khởi động tiếp theo, vi chương trình sẽ báo cáo chính xác các giá trị được cập nhật, lần bán lại BitLocker thành công và sự cố không lặp lại.
Cách nhận ra
-
Quá trình khôi phục BitLocker diễn ra một lần.
-
Sau khi nhập khóa khôi phục, các lần khởi động tiếp theo không nhắc khôi phục.
-
Không có yêu cầu khởi động liên tục hoặc sự tham gia của PXE.
Việc cần làm tiếp theo
-
Nhập khóa khôi phục BitLocker để tiếp tục sử dụng Windows.
-
Kiểm tra bản cập nhật vi chương trình.
Trường hợp 2: Khôi phục BitLocker lặp lại do cấu hình khởi động PXE đầu tiên
Điều gì sẽ xảy ra
Thiết bị sẽ nhập khôi phục BitLocker vào mỗi lần khởi động.
Tại sao điều đó xảy ra
Thiết bị được đặt cấu hình để thử khởi động PXE (mạng) trước tiên. Nỗ lực khởi động PXE thất bại, và phần mềm điều khiển sau đó rơi trở lại trình quản lý khởi động Windows trên đĩa.
Điều này dẫn đến hai cơ quan ký khác nhau được đo trong một chu kỳ khởi động duy nhất:
-
Đường dẫn khởi động PXE được ký bởi Microsoft UEFI CA 2011.
-
Trình quản lý khởi động Windows trên đĩa được ký bởi Windows UEFI CA 2023.
Vì BitLocker quan sát các chuỗi tin cậy Khởi động An toàn khác nhau trong quá trình khởi động nên bitLocker không thể thiết lập một tập hợp các phép đo TPM ổn định để chống lại. Do đó, BitLocker sẽ nhập khôi phục vào mọi lần khởi động.
Cách nhận ra
-
Khôi phục BitLocker được kích hoạt mỗi khi khởi động lại.
-
Việc nhập khóa khôi phục cho phép Windows bắt đầu, nhưng lời nhắc sẽ trở lại vào lần khởi động tiếp theo.
-
PXE hoặc khởi động mạng được đặt cấu hình trước đĩa cục bộ theo thứ tự khởi động vi chương trình.
Việc cần làm tiếp theo
-
Đặt cấu hình thứ tự khởi động vi chương trình, vì vậy trình quản lý khởi động Windows trên đĩa là đầu tiên.
-
Tắt khởi động PXE nếu không bắt buộc.
-
Nếu bắt buộc phải có PXE, hãy đảm bảo cơ sở hạ tầng PXE sử dụng bộ tải khởi động Windows được ký 2023.
Điều gì đã xảy ra
Điều này phản ánh sự thay đổi cấp độ vi chương trình chứ không phải là sự cố của Windows. Bản cập nhật Khởi động An toàn đã được hoàn tất thành công, nhưng sau khi khởi động lại sau đó, thiết bị không còn khởi động vào Windows.
Cách nhận ra
-
Thiết bị không thể khởi động Windows và có thể hiển thị thông báo vi chương trình hoặc BIOS cho biết vi phạm Khởi động An toàn.
-
Lỗi này xảy ra sau khi cài đặt Khởi động An toàn được đặt lại về mặc định vi chương trình.
-
Tắt Khởi động An toàn có thể cho phép thiết bị khởi động lại.
Tại sao điều đó xảy ra
Việc đặt lại Khởi động An toàn về mặc định vi chương trình sẽ xóa cơ sở dữ liệu Khởi động An toàn được lưu trữ trong vi chương trình. Trên các thiết bị đã chuyển sang trình quản lý khởi động đã ký Windows UEFI CA 2023, thao tác đặt lại này sẽ loại bỏ các chứng chỉ cần thiết để tin cậy trình quản lý khởi động đó.
Kết quả là, phần mềm không còn nhận ra trình quản lý khởi động Windows đã cài đặt là đáng tin cậy và chặn quá trình khởi động.
Trường hợp này không phải do chính bản cập nhật Khởi động An toàn mà là do hành động vi chương trình tiếp theo loại bỏ neo tin cậy đã cập nhật.
Việc cần làm tiếp theo
-
Sử dụng tiện ích phục hồi Khởi động An toàn để khôi phục chứng chỉ được yêu cầu để thiết bị có thể khởi động lại.
-
Sau khi khôi phục, hãy đảm bảo thiết bị đã cài đặt vi chương trình mới nhất có sẵn từ nhà sản xuất thiết bị.
-
Tránh đặt lại Khởi động An toàn về mặc định vi chương trình trừ khi vi chương trình OEM bao gồm cài đặt mặc định Khởi động An toàn được cập nhật tin cậy chứng chỉ 2023.
Tiện ích phục hồi Khởi động An toàn
Để khôi phục hệ thống:
-
Trên PC chạy Windows thứ hai đã cài đặt bản cập nhật Windows tháng 7 năm 2024 trở lên, hãy sao chép SecureBootRecovery.efi từ C:\Windows\Boot\EFI\.
-
Đặt tệp trên ổ đĩa USB định dạng FAT32 trong \EFI\BOOT\ và đổi tên thành bootx64.efi.
-
Khởi động thiết bị bị ảnh hưởng từ ổ đĩa USB và cho phép tiện ích phục hồi chạy. Tiện ích này sẽ thêm Windows UEFI CA 2023 vào DB.
Sau khi chứng chỉ được khôi phục và hệ thống khởi động lại, Windows sẽ khởi động bình thường.
Quan trọng: Quá trình này sẽ chỉ áp dụng lại một trong những chứng chỉ mới. Sau khi khôi phục thiết bị, hãy đảm bảo thiết bị có chứng chỉ mới nhất được áp dụng lại và xem xét cập nhật BIOS/UEFI của hệ thống lên phiên bản mới nhất hiện có. Điều này có thể giúp ngăn sự cố đặt lại Khởi động An toàn lặp lại, vì nhiều OEM đã phát hành bản sửa lỗi vi chương trình cho sự cố cụ thể này.
Điều gì đã xảy ra
Sau khi áp dụng bản cập nhật chứng chỉ Khởi động An toàn và khởi động lại, thiết bị không thể khởi động và không đến được Windows.
Cách nhận ra
-
Thiết bị không hoạt động ngay lập tức sau khi khởi động lại theo yêu cầu của bản cập nhật Khởi động An toàn.
-
Có thể hiển thị lỗi vi chương trình hoặc Khởi động An toàn hoặc hệ thống có thể dừng trước khi Windows tải.
-
Tắt Khởi động An toàn có thể cho phép thiết bị khởi động.
Tại sao điều đó xảy ra
Sự cố này có thể do một lỗi trong quá trình triển khai vi chương trình UEFI của thiết bị.
Khi Windows áp dụng bản cập nhật chứng chỉ Khởi động An toàn , vi chương trình dự kiến sẽ gắn thêm chứng chỉ mới cho cơ sở dữ liệu chữ ký được phép Khởi động An toàn (DB) hiện có. Một số phần mềm thực hiện không chính xác ghi đè DB thay vì gắn thêm vào nó.
Khi điều này xảy ra,
-
Chứng chỉ đáng tin cậy trước đây, bao gồm chứng chỉ bộ nạp khởi động Microsoft 2011, sẽ bị loại bỏ.
-
Nếu hệ thống vẫn còn sử dụng một người quản lý khởi động ký với chứng chỉ 2011 tại thời điểm đó, phần mềm không còn tin tưởng nó.
-
Phần mềm điều khiển từ chối trình quản lý khởi động và chặn quá trình khởi động.
Trong một số trường hợp, DB cũng có thể bị hỏng thay vì ghi đè sạch, dẫn đến cùng một kết quả. Hành vi này đã được quan sát trên triển khai phần mềm cụ thể và không được mong đợi trên phần vững tuân thủ.
Việc cần làm tiếp theo
-
Nhập menu thiết lập vi chương trình và tìm cách đặt lại cài đặt Khởi động An toàn.
-
Nếu thiết bị khởi động sau khi đặt lại, hãy kiểm tra trang web hỗ trợ của nhà sản xuất thiết bị để biết bản cập nhật vi chương trình sửa xử lý DB Khởi động An toàn.
-
Nếu có bản cập nhật vi chương trình, hãy cài đặt bản cập nhật đó trước khi bật lại Khởi động An toàn và áp dụng lại các bản cập nhật chứng chỉ Khởi động An toàn.
Nếu việc đặt lại Khởi động An toàn không khôi phục chức năng khởi động, quá trình khôi phục thêm có thể yêu cầu hướng dẫn dành riêng cho OEM.
Điều gì đã xảy ra
Bản cập nhật chứng chỉ Khởi động An toàn không được hoàn tất và vẫn bị chặn ở giai đoạn cập nhật Khóa Exchange (KEK).
Cách nhận ra
-
Giá trị đăng ký AvailableUpdates vẫn được đặt bằng bit KEK (0x0004) và không bị xóa.
-
UEFICA2023Status không tiến đến trạng thái đã hoàn thành.
-
Nhật ký sự kiện Hệ thống liên tục ghi lại ID Sự kiện 1803, cho biết không thể áp dụng bản cập nhật KEK.
-
Thiết bị tiếp tục thử lại bản cập nhật mà không thực hiện tiến trình nào tiếp theo.
Tại sao điều đó xảy ra
Việc cập nhật KEK Khởi động An toàn yêu cầu ủy quyền từ Khóa Nền tảng (PK) của thiết bị, thuộc sở hữu của OEM.
Để quá trình cập nhật thành công, nhà sản xuất thiết bị phải cung cấp cho Microsoft KEK được ký PK cho nền tảng cụ thể đó. KEK do OEM ký này được bao gồm trong các bản cập nhật Windows và cho phép Windows cập nhật biến KEK vi chương trình.
Nếu OEM chưa cung cấp KEK đã ký PK cho thiết bị, Windows không thể hoàn tất bản cập nhật KEK. Ở trạng thái này:
-
Bản cập nhật Khởi động An toàn bị chặn theo thiết kế.
-
Windows không thể khắc phục sự cố thiếu ủy quyền.
-
Thiết bị có thể vẫn vĩnh viễn không thể hoàn tất dịch vụ chứng chỉ Khởi động An toàn.
Điều này có thể xảy ra trên các thiết bị cũ hoặc không còn được hỗ trợ, trong đó OEM không còn cung cấp bản cập nhật vi chương trình hoặc khóa nữa. Không có đường dẫn khôi phục thủ công được hỗ trợ cho điều kiện này.
Khi không thể áp dụng các bản cập nhật chứng chỉ Khởi động An toàn, Windows sẽ ghi lại các sự kiện chẩn đoán giải thích lý do tiến trình bị chặn. Những sự kiện này được viết khi bạn không thể cập nhật cơ sở dữ liệu chữ ký Khởi động An toàn (DB) hoặc Khóa Exchange Khóa (KEK) do điều kiện vi chương trình, trạng thái nền tảng hoặc cấu hình. Các kịch bản trong phần này tham khảo các sự kiện để xác định mẫu thất bại phổ biến và xác định khắc phục thích hợp. Mục này nhằm hỗ trợ chẩn đoán và diễn giải các vấn đề được mô tả trước đó, không phải để giới thiệu các kịch bản thất bại mới.
Để biết danh sách đầy đủ các ID sự kiện, mô tả và mục nhập ví dụ, hãy xem Sự kiện cập nhật biến đổi Khởi động An toàn DB và DBX (KB5016061).
Lỗi cập nhật KEK (Bản cập nhật DB thành công, KEK không thành công)
Thiết bị có thể cập nhật thành công chứng chỉ trong DB Khởi động An toàn nhưng không thành công trong quá trình cập nhật KEK. Khi điều này xảy ra, không thể hoàn tất quá trình cập nhật Khởi động An toàn.
Dấu hiệu
-
Sự kiện chứng chỉ DB cho biết tiến độ, nhưng giai đoạn KEK chưa được hoàn thành.
-
AvailableUpdates vẫn được đặt thành 0x4004 và bit 0x0004 sẽ không bị xóa sau khi chạy nhiều tác vụ.
-
Sự kiện 1795 hoặc 1803 có thể xuất hiện.
Giải thích
-
1795 thường chỉ báo lỗi vi chương trình trong khi cố gắng cập nhật biến Khởi động An toàn.
-
1803 cho biết rằng bản cập nhật KEK không thể được ủy quyền vì không thể có sẵn tải trọng KEK đã ký PK OEM bắt buộc cho nền tảng này.
Các bước tiếp theo
-
Đối với 1795, hãy kiểm tra bản cập nhật vi chương trình OEM và xác thực hỗ trợ vi chương trình cho bản cập nhật biến Khởi động An toàn.
-
Đối với 1803, hãy xác nhận xem OEM có cung cấp cho Microsoft KEK được ký PK bắt buộc cho kiểu thiết bị hay không.
Lỗi cập nhật KEK trên máy ảo Khách được lưu trữ trên Hyper-V
Trên máy ảo Hyper-V, các bản cập nhật chứng chỉ Khởi động An toàn yêu cầu cài đặt các bản cập nhật Windows tháng 3 năm 2026 trên cả máy chủ Hyper-V và HĐH khách.
Cập nhật không thành công được báo cáo từ bên trong khách, nhưng sự kiện cho biết nơi cần khắc phục:
-
Sự kiện 1795 (ví dụ: "Phương tiện được bảo vệ bằng ghi") được báo cáo trong khách cho biết máy chủ Hyper-V bị thiếu bản cập nhật tháng 3 năm 2026 và phải được cập nhật.
-
Sự kiện 1803 được báo cáo trong khách cho biết máy ảo khách bị thiếu bản cập nhật tháng 3 năm 2026 và phải được cập nhật.
Tham chiếu và nội bộ
Mục này chứa thông tin tham khảo nâng cao dành cho việc khắc phục sự cố và hỗ trợ. Nó không dành cho việc lập kế hoạch triển khai. Nó mở rộng trên cơ sở cơ học dịch vụ Khởi động An toàn tóm tắt trước đó và cung cấp tài liệu tham khảo chi tiết cho việc diễn giải tình trạng đăng ký và nhật ký sự kiện.
Lưu ý (Các triển khai được quản lý bởi bộ quản lý CNTT): Không nên nhầm lẫn hai cài đặt tương tự nhau khi được đặt cấu hình thông qua chính sách nhóm hoặc Microsoft Intune triển khai. Giá trị AvailableUpdatesPolicy đại diện cho trạng thái chính sách được đặt cấu hình. Trong khi đó, AvailableUpdates phản ánh trạng thái công việc đang thực hiện xóa bit. Cả hai đều có thể dẫn đến cùng một kết quả, nhưng chúng hoạt động khác nhau vì áp dụng lại chính sách theo thời gian.
Các bit AvailableUpdates được sử dụng để cung cấp dịch vụ chứng chỉ
Các bit dưới đây được sử dụng cho các hành động chứng chỉ và trình quản lý khởi động được mô tả trong tài liệu này. Cột Thứ tự phản ánh trình tự mà tác vụ Secure-Boot-Update xử lý từng bit.
|
Đơn đặt hàng |
Cài đặt bit |
Cách sử dụng |
|---|---|---|
|
1 |
0x0040 |
Bit này cho tác vụ đã lên lịch thêm chứng chỉ Windows UEFI CA 2023 vào DB Khởi động An toàn. Điều này cho phép Windows tin cậy trình quản lý khởi động được ký bằng chứng chỉ này. |
|
2 |
0x0800 |
Bit này yêu cầu tác vụ đã lên lịch áp dụng Microsoft Option ROM UEFI CA 2023 cho DB. Hành vi có điều kiện: Khi cờ 0x4000 được đặt, tác vụ đã lên lịch trước tiên sẽ kiểm tra cơ sở dữ liệu cho chứng chỉ UEFI CA 2011 của Microsoft Corporation . Nó sẽ áp dụng chứng chỉ Microsoft Option ROM UEFI CA 2023 chỉ khi chứng chỉ 2011 có mặt. |
|
3 |
0x1000 |
Bit này yêu cầu tác vụ đã lên lịch áp dụng Microsoft UEFI CA 2023 cho DB. Hành vi có điều kiện: Khi cờ 0x4000 được đặt, tác vụ đã lên lịch trước tiên sẽ kiểm tra cơ sở dữ liệu cho chứng chỉ UEFI CA 2011 của Microsoft Corporation . Nó sẽ chỉ áp dụng chứng chỉ Microsoft UEFI CA 2023nếu chứng chỉ 2011 có mặt. |
|
Bộ điều chỉnh (cờ hành vi) |
0x4000 |
Bit này sửa đổi hành vi của các bit 0x0800 và 0x1000 sao cho Microsoft UEFI CA 2023 và Microsoft Option ROM UEFI CA 2023 chỉ được áp dụng nếu DB đã chứa Microsoft Corporation UEFI CA 2011. Để giúp đảm bảo cấu hình bảo mật của thiết bị vẫn giữ nguyên, bit này chỉ áp dụng các chứng chỉ mới này nếu thiết bị tin cậy chứng chỉ UEFI CA 2011 của Microsoft Corporation. Không phải tất cả các thiết bị Windows đều tin cậy chứng chỉ này. |
|
4 |
0x0004 |
Bit này yêu cầu tác vụ đã lên lịch tìm Khóa Exchange có chữ ký bằng Khóa Nền tảng (PK) của thiết bị. PK được quản lý bởi OEM. OEM ký kết Microsoft KEK với PK của họ và cung cấp cho Microsoft nơi nó được bao gồm trong các bản cập nhật tích lũy hàng tháng. |
|
5 |
0x0100 |
Bit này cho biết tác vụ đã lập lịch để áp dụng trình quản lý khởi động, được ký bởi Windows UEFI CA 2023, vào phân vùng khởi động. Thao tác này sẽ thay thế trình quản lý khởi động đã ký PCA 2011 của Microsoft Windows Production. |
Lưu ý:
-
Bit 0x4000 sẽ vẫn được đặt sau khi xử lý tất cả các bit khác.
-
Mỗi bit được xử lý bởi tác vụ đã lên lịch Khởi động An toàn theo thứ tự được hiển thị ở trên.
-
Nếu không thể xử 0x0004 bit khởi động do thiếu KEK đã ký PK, tác vụ đã lên lịch vẫn sẽ áp dụng bản cập nhật trình quản lý khởi động được biểu thị bằng bit 0x0100.
Tiến trình dự kiến (AvailableUpdates)
Khi một thao tác hoàn tất thành công, Windows sẽ xóa bit được liên kết khỏi AvailableUpdates. Nếu một thao tác không thành công, Windows sẽ ghi nhật ký sự kiện và thử lại khi tác vụ chạy lại.
Bảng dưới đây hiển thị tiến trình dự kiến của các giá trị AvailableUpdates khi mỗi hành động cập nhật Khởi động An toàn hoàn tất.
|
Bước |
Bit đã được xử lý |
Danh mục Cập nhật |
Mô tả |
Sự kiện thành công đã ghi nhật ký |
Mã Sự kiện Lỗi Có thể có |
|---|---|---|---|---|---|
|
Menu Bắt đầu |
0x5944 |
Trạng thái ban đầu trước khi dịch vụ chứng chỉ Khởi động An toàn bắt đầu. |
- |
- |
|
|
1 |
0x0040 |
0x5944 → 0x5904 |
Windows UEFI CA 2023 được thêm vào DB Khởi động An toàn. |
1036 |
1032, 1795, 1796, 1802 |
|
2 |
0x0800 |
0x5904 → 0x5104 |
Thêm Microsoft Option ROM UEFI CA 2023 vào DB nếu trước đây thiết bị đã tin cậy Microsoft UEFI CA 2011. |
1044 |
1032, 1795, 1796, 1802 |
|
3 |
0x1000 |
0x5104 → 0x4104 |
Microsoft UEFI CA 2023 được thêm vào DB nếu trước đây thiết bị đã tin cậy Microsoft UEFI CA 2011. |
1045 |
1032, 1795, 1796, 1802 |
|
4 |
0x0004 |
0x4104 → 0x4100 |
Microsoft KEK 2K CA 2023 mới được áp dụng ký bởi khóa nền tảng OEM. |
1043 |
1032, 1795, 1796, 1802, 1803 |
|
5 |
0x0100 |
0x4100 → 0x4000 |
Trình quản lý khởi động được cài đặt bởi Windows UEFI CA 2023. |
1799 |
1797 |
Lưu ý
-
Sau khi thao tác liên kết với một bit hoàn tất thành công, bit đó sẽ bị xóa khỏi AvailableUpdates.
-
Nếu một trong các thao tác này không thành công, sự kiện sẽ được ghi nhật ký và thao tác sẽ được thử lại vào lần tiếp theo tác vụ đã lên lịch chạy.
-
Bit 0x4000 là một trợ phím và không bị xóa. Giá trị AvailableUpdates cuối cùng của 0x4000 cho biết việc hoàn tất thành công tất cả các hành động cập nhật hiện hành.
-
Sự kiện 1032, 1795, 1796, 1802 thường chỉ ra các giới hạn về vi chương trình hoặc nền tảng.
-
Sự kiện 1803 cho biết thiếu KEK oem ký PK.
Thủ tục khắc phục
Mục này cung cấp quy trình từng bước để khắc phục các sự cố cụ thể về Khởi động An toàn. Mỗi thủ tục được đặt phạm vi cho một tình trạng được xác định rõ và chỉ được thực hiện sau khi chẩn đoán ban đầu xác nhận rằng vấn đề này áp dụng. Sử dụng các quy trình này để khôi phục hành vi Khởi động An toàn dự kiến và cho phép cập nhật chứng chỉ diễn ra an toàn. Không áp dụng các thủ tục này rộng rãi hoặc preemptively.
Bật Khởi động An toàn trong vi chương trình
Nếu Khởi động An toàn bị tắt trong vi chương trình của thiết bị, hãy xem bài Windows 11 Khởi động An toàn để biết chi tiết về cách bật Khởi động An toàn.
Tác vụ đã lên lịch Khởi động An toàn bị vô hiệu hóa hoặc bị xóa
Windows bắt buộc phải có tác vụ đã lên lịch Cập nhật Bảo mật để Windows áp dụng bản cập nhật chứng chỉ Khởi động An toàn. Nếu tác vụ bị vô hiệu hóa hoặc thiếu, dịch vụ cung cấp dịch vụ chứng chỉ Khởi động An toàn sẽ không tiến triển.
Chi tiết tác vụ
|
Tên Nhiệm vụ |
Cập nhật-Khởi động-Bảo mật |
|
Đường dẫn nhiệm vụ |
\Microsoft\Windows\PI\ |
|
Đường dẫn đầy đủ |
\Microsoft\Windows\PI\Secure-Boot-Update |
|
Chạy dưới dạng |
SYSTEM (Local System) |
|
chọn thẻ Bộ khởi động, |
Lúc khởi động và 12 giờ một lần |
|
Trạng thái bắt buộc |
Kích hoạt |
Cách kiểm tra trạng thái nhiệm vụ
Chạy từ lời nhắc PowerShell mức cao: schtasks.exe /Query /TN "\Microsoft\Windows\PI\Secure-Boot-Update" /FO LIST /V
Tìm trường Trạng thái:
|
Trạng thái |
Ý nghĩa |
|---|---|
|
Sẵn sàng |
Tác vụ đã tồn tại và được bật. |
|
Đã tắt |
Nhiệm vụ tồn tại nhưng phải được bật. |
|
Lỗi / Không Tìm thấy |
Nhiệm vụ bị thiếu và phải được tạo lại. |
Cách bật hoặc tạo lại tác vụ
Nếu trường trạng thái cho Cập nhật Khởi động An toàn bị Vô hiệu hóa, Lỗi hoặc Không Tìm thấy, hãy sử dụng tập lệnh mẫu để bật tác vụ: Bản cập nhật Enable-SecureBootUpdateTask.ps1
Lưu ý: Đây là tập lệnh mẫu và không được Microsoft hỗ trợ. Người quản trị nên xem lại và điều chỉnh nó cho phù hợp với môi trường của họ.
Ví dụ:
.\Enable-SecureBootUpdateTask.ps1 -Quiet
Chạy hướng dẫn
-
Nếu bạn thấy Access bị từ chối, hãy chạy lại PowerShell với tư cách Người quản trị.
-
Nếu tập lệnh không chạy do chính sách thực thi, hãy sử dụng bỏ qua quy trình phạm vi:
Set-ExecutionPolicy -Quy trình phạm vi -Bỏ qua Chính sách Thực thi
Bạn cần thêm trợ giúp?
Bạn muốn xem các tùy chọn khác?
Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.
Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.
