Áp dụng cho
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Ngày phát hành ban đầu: ngày 14 tháng 10 năm 2025

KB ID: 5068202

Bài viết này có hướng dẫn về:  

  • Các tổ chức có các bản cập nhật và thiết bị Windows được quản lý bởi CNTT.

Tính khả dụng của hỗ trợ này:  

Các khóa đăng ký AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOutMicrosoftUpdateManagedOptIn được bao gồm trong các bản cập nhật được phát hành vào hoặc sau các ngày sau:

  • Ngày 14 tháng 10 năm 2025: Các phiên bản được hỗ trợ bao gồm Windows 10, phiên bản 22H2 và các phiên bản mới hơn (bao gồm LTSC 21H2), tất cả các phiên bản được hỗ trợ của Windows 11 cũng như Windows Server 2022 trở lên.

  • Ngày 11 tháng 11 năm 2025: Đối với các phiên bản Windows vẫn được hỗ trợ.

Thay đổi ngày

Thay đổi mô tả

Ngày 4 tháng 11 năm 2025

  • Thêm một khóa đăng ký nữa vào trang.

  • Sửa một câu lệnh từ "Ví dụ: nếu không cập nhật được DB (cơ sở dữ liệu của chữ ký tin cậy) do sự cố vi chương trình, khóa đăng ký này có thể hiển thị mã lỗi có thể được ánh xạ tới nhật ký sự kiện hoặc ID lỗi được ghi lại trong đó" để cho biết "Ví dụ: nếu việc cập nhật DB (cơ sở dữ liệu chữ ký tin cậy) không thành công do sự cố vi chương trình, khóa đăng ký này có thể hiển thị mã lỗi từ vi chương trình. Khi khóa này tồn tại và khác 0, chúng tôi khuyên bạn nên tìm kiếm sự kiện Khởi động An toàn trong Nhật ký Sự kiện Windows - xem (liên kết) để biết thêm chi tiết".

  • Đã thêm hai đường dẫn riêng biệt cho Khóa Đăng ký bên dưới

Ngày 11 tháng 11 năm 2025

  • Đã cập nhật đoạn văn trong Kiểm tra thiết bị bằng cách sử dụng khóa đăng ký với thông tin bổ sung: "Khóa đăng ký sẽ nhanh chóng thay đổi thành 0x4100. Khởi động lại và chạy lại tác vụ sẽ khiến trình quản lý khởi động được cập nhật và AvailableUpdates trở nên 0x0100. Hãy xem Khắc phục sự cố để biết thêm chi tiết về cách AvailableUpdates hoạt động."

  • Cập nhật văn bản trong hộp màu xám bên dưới Kiểm tra thiết bị bằng cách sử dụng khóa đăng ký để có thêm hai lệnh PowerShell

  • Trong khóa đăng ký, Giá trị sổ đăng ký -MicrosoftUpdateManagedOptIn,đã được thay đổi từ "1 - Chọn " thành "1 hoặc bất kỳ giá trị nào khác không – Chọn tham gia"

Ngày 16 tháng 11 năm 2025

Đã cập nhật nội dung trong "Kiểm tra thiết bị bằng khóa đăng ký". Giá trị Bản cập nhật có sẵn đã được thay đổi từ "0x0100" thành "0x4000".

Trong bài viết này

Giới thiệu

Tài liệu này mô tả hỗ trợ triển khai, quản lý và giám sát các bản cập nhật chứng chỉ Khởi động An toàn bằng cách sử dụng khóa đăng ký của Windows. Các phím này bao gồm: 

  • Một chìa khóa để kích hoạt việc triển khai chứng chỉ và trình quản lý khởi động trên thiết bị.

  • Hai phím để giám sát trạng thái triển khai.

  • Hai phím để quản lý thiết đặt chọn tham gia/chọn không tham gia cho hai hỗ trợ triển khai khả dụng.

Các khóa đăng ký này có thể được đặt theo cách thủ công trên thiết bị hoặc từ xa thông qua phần mềm quản lý đội tàu có sẵn. Các phương pháp triển khai khác, chẳng hạn như chính sách nhóm, Microsoft Intune và WinCS được mô tả trong bài viết Thiết bị Windows cho doanh nghiệp và tổ chức có các bản cập nhật được quản lý bởi bộ quản lý CNTT.  

Khóa đăng ký Khởi động An toàn

Trong phần này

Khóa đăng ký

Tất cả các khóa đăng ký Khởi động An toàn được mô tả bên dưới đều nằm trong đường dẫn đăng ký này: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Bảng sau đây mô tả từng giá trị trong số các giá trị của sổ đăng ký:

Giá trị Sổ đăng ký

Loại

Mô tả và Cách sử dụng

AvailableUpdates

REG_DWORD (bitmask)

Cập nhật cờ kích hoạt.

Kiểm soát các hành động cập nhật Khởi động An toàn cần thực hiện trên thiết bị. Đặt bitfield thích hợp ở đây bắt đầu triển khai chứng chỉ khởi động an toàn mới và cập nhật liên quan. Đối với triển khai doanh nghiệp, nên đặt thành 0x5944 (hex) – một giá trị cho phép tất cả các bản cập nhật liên quan (thêm chứng chỉ CA 2023 mới, cập nhật KEK và cài đặt trình quản lý khởi động mới). 

Cài đặt

  • 0 hoặc chưa đặt - Không có cập nhật khóa Khởi động An toàn được thực hiện.

  • 0x5944 – Triển khai tất cả các chứng chỉ cần thiết và cập nhật cho trình quản PCA2023 khởi động đã ký

HighConfidenceOptOut

REG_DWORD

Tùy chọn chọn không tham gia.

Đối với các doanh nghiệp muốn chọn không sử dụng các bộ chứa có độ tin cậy cao sẽ tự động được áp dụng như một phần của LCU.

Bạn có thể đặt khóa này thành giá trị khác 0 để chọn không tham gia vào bộ chứa có độ tin cậy cao. 

Cài đặt 

  • 0 hoặc khóa không tồn tại – Chọn tham gia

  • 1 – Chọn không tham gia

MicrosoftUpdateManagedOptIn

REG_DWORD

Tùy chọn chọn tham gia.

Đối với các doanh nghiệp muốn chọn tham gia cung cấp dịch vụ Triển khai Tính năng Có kiểm soát (CFR), còn được gọi là Microsoft Managed.

Ngoài việc đặt khóa này, hãy cho phép gửi dữ liệu chẩn đoán bắt buộc (xem Đặt cấu hình dữ liệu chẩn đoán Windows trong tổ chức của bạn). 

Cài đặt

  • 0 hoặc khóa không tồn tại – Chọn không tham gia

  • 1 hoặc bất kỳ giá trị khác không  – Chọn tham gia

Tất cả các khóa đăng ký Khởi động An toàn được mô tả bên dưới đều nằm trong đường dẫn đăng ký này: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Bảng sau đây mô tả từng giá trị trong số các giá trị của sổ đăng ký:

Giá trị Sổ đăng ký

Loại

Mô tả và Cách sử dụng

UEFICA2023Status

REG_SZ (chuỗi)

Chỉ báo trạng thái triển khai.

Phản ánh trạng thái hiện tại của bản cập nhật khóa Khởi động An toàn trên thiết bị. Giá trị này sẽ được đặt thành một trong các giá trị văn bản sau đây:

  • NotStarted: Bản cập nhật vẫn chưa chạy.

  • InProgress: Bản cập nhật đang được tiến hành tích cực.

  • Đã cập nhật: Quá trình cập nhật đã hoàn tất thành công.

Ban đầu trạng thái là NotStarted. Nó thay đổi thành InProgress sau khi bản cập nhật bắt đầu và cuối cùng là Cập nhật khi tất cả các phím mới và trình quản lý khởi động mới đã được triển khai. Nếu có lỗi thì giá trị đăng ký UEFICA2023Error được đặt thành mã khác 0.

UEFICA2023Error

REG_DWORD (mã)

Mã lỗi (nếu có).

Giá trị này vẫn là 0 trên thành công. Nếu quá trình cập nhật gặp lỗi, UEFICA2023Error được đặt thành mã lỗi khác 0 tương ứng với lỗi đầu tiên gặp phải. Lỗi ở đây ngụ ý rằng bản cập nhật Khởi động An toàn không thành công hoàn toàn và có thể yêu cầu điều tra hoặc khắc phục trên thiết bị đó.  

Ví dụ: nếu không cập nhật được DB (cơ sở dữ liệu của chữ ký tin cậy) do sự cố vi chương trình, khóa đăng ký này có thể hiển thị mã lỗi từ vi chương trình. Khi khóa này tồn tại và khác 0, chúng tôi khuyên bạn nên tìm kiếm sự kiện Khởi động An toàn trong Nhật ký Sự kiện Windows - xem Sự kiện cập nhật biến DB và Khởi động An toànđể biết thêm chi tiết.

WindowsUEFICA2023Capable

REG_DWORD (mã)

Khóa đăng ký này dành cho các kịch bản triển khai hạn chế và không được khuyến nghị để sử dụng chung. Đối với hầu hết các trường hợp, hãy sử dụng khóa đăng ký UEFICA2023Status để thay thế.

Giá trị hợp lệ:

0 – hoặc khóa không tồn tại - chứng chỉ "Windows UEFI CA 2023" không có trong DB

1 - chứng chỉ "Windows UEFI CA 2023" nằm trong DB

2 - Chứng chỉ "Windows UEFI CA 2023" có trong DB và hệ thống bắt đầu từ trình quản lý khởi động đã ký 2023

Các phím này hoạt động cùng nhau như thế nào

Người quản trị CNTT đặt cấu hình giá trị đăng ký AvailableUpdates thành 0x5944, điều này báo hiệu cho Windows thực thi bản cập nhật và cài đặt khóa Khởi động An toàn trên thiết bị.

Khi tiến trình chạy, hệ thống sẽ cập nhật UEFICA2023Status từ NotStarted thành InProgress và cuối cùng là Cập nhật khi thành công. Vì mỗi bit trong 0x5944 được xử lý thành công, nó sẽ được xóa.

Nếu bất kỳ bước nào không thành công, mã lỗi sẽ được ghi lại trong UEFICA2023Error (và trạng thái vẫn là InProgress).

Cơ chế này cung cấp cho người quản trị một cách rõ ràng để kích hoạt và theo dõi việc triển khai trên mỗi thiết bị. 

Triển khai bằng khóa đăng ký 

Triển khai đến một nhóm thiết bị bao gồm các bước sau đây: 

  1. Đặt giá trị đăng ký AvailableUpdatesthành 0x5944 cập nhật trên từng thiết bị.

  2. Giám sát khóa đăng ký UEFICA2023StatusUEFICA2023Error để biết rằng các thiết bị đang tiến hành. Tác vụ xử lý các bản cập nhật này sẽ chạy 12 giờ một lần. Lưu ý rằng bản cập nhật trình quản lý khởi động có thể không xảy ra cho đến khi khởi động lại xảy ra.

  3. Điều tra vấn đề nếu chúng xảy ra. Nếu UEFICA2023Error không phải là số không trên thiết bị, bạn có thể kiểm tra nhật ký sự kiện cho các sự kiện liên quan đến sự cố này. Xem các sự kiện cập nhật biến số Khởi động An toàn DB và DBX để biết danh sách đầy đủ các sự kiện Khởi động An toàn.

Lưu ý về việc khởi động lại: Mặc dù bạn có thể phải khởi động lại để hoàn tất quy trình, bắt đầu triển khai các bản cập nhật Khởi động An toàn sẽ không khởi động lại. Nếu cần khởi động lại, triển khai Khởi động An toàn dựa vào việc khởi động lại diễn ra như bình thường khi sử dụng thiết bị. 

Kiểm tra thiết bị bằng cách sử dụng khóa đăng ký 

Khi kiểm tra từng thiết bị để đảm bảo rằng các thiết bị sẽ xử lý chính xác các bản cập nhật, khóa đăng ký có thể là một cách đơn giản để kiểm tra. 

Để kiểm tra, hãy chạy từng lệnh sau riêng biệt với lời nhắc PowerShell của người quản trị: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Khởi động lại hệ thống theo cách thủ công khi AvailableUpdates trở 0x4100

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Lệnh đầu tiên khởi chạy triển khai chứng chỉ và trình quản lý khởi động trên thiết bị. Lệnh thứ hai khiến tác vụ xử lý khóa đăng ký AvailableUpdates chạy ngay lập tức. Thông thường, tác vụ chạy cứ 12 giờ một lần. Khóa đăng ký sẽ nhanh chóng thay đổi thành 0x4100. Khởi động lại và chạy lại tác vụ sẽ khiến trình quản lý khởi động được cập nhật và AvailableUpdates trở nên 0x4000. Hãy xem Khắc phục sự cố để biết thêm chi tiết về cách Thức hoạt động của AvailableUpdates.

Bạn có thể tìm thấy kết quả bằng cách quan sát khóa đăng ký UEFICA2023StatusUEFICA2023Error và nhật ký sự kiện như được mô tả trong các sự kiện cập nhật biến số Khởi động Bảo mật DB và DBX

Chọn tham gia và chọn không tham gia nhận hỗ trợ 

Khóa đăng ký HighConfidenceOptOutMicrosoftUpdateManagedOptIn có thể được sử dụng để quản lý hai "hỗ trợ" triển khai được mô tả trong các thiết bị Windows bằng các bản cập nhật được quản lý bởi bộ phận CNTT. 

  • Khóa đăng ký HighConfidenceOptOut kiểm soát bản cập nhật tự động của thiết bị thông qua các bản cập nhật tích lũy. Đối với các thiết bị mà Microsoft đã quan sát các thiết bị cụ thể cập nhật thành công, các thiết bị đó sẽ được coi là thiết bị "có độ tin cậy cao" và các bản cập nhật chứng chỉ Khởi động An toàn sẽ tự động diễn ra. Cài đặt mặc định được chọn tham gia.

  • Khóa đăng ký MicrosoftUpdateManagedOptIn cho phép bộ phận CNTT chọn tham gia triển khai tự động do Microsoft quản lý. Cài đặt này được tắt theo mặc định và đặt thành 1 tùy chọn tham gia. Cài đặt này cũng yêu cầu thiết bị gửi dữ liệu chẩn đoán tùy chọn.

Các phiên bản Windows được hỗ trợ

Bảng này tiếp tục phá vỡ hỗ trợ dựa trên khóa đăng ký. 

Khóa 

Các phiên bản Windows được hỗ trợ 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

Tất cả các phiên bản Windows hỗ trợ Khởi động An toàn (Windows Server 2012 trở lên của Windows).  

Lưu ý: Mặc dù dữ liệu tin cậy được thu thập trên Windows 10, phiên bản LTSC, 22H2 và các phiên bản Windows mới hơn, dữ liệu này có thể được áp dụng cho các thiết bị chạy trên các phiên bản Windows cũ hơn.    

  • Windows 10, phiên bản LTSC và 22H2

  • Windows 11, phiên bản 22H2 và 23H2

  • Windows 11, phiên bản 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

Sự kiện lỗi Khởi động An toàn

​​​​​​​​​​​​​​Các sự kiện lỗi có chức năng báo cáo quan trọng để thông báo về Tiến độ và Trạng thái Khởi động An toàn.  Để biết thông tin về các sự kiện lỗi, hãy xem Sự kiện cập nhật biến số Khởi động An toàn DB và DBX. Các sự kiện lỗi đang được cập nhật thông tin sự kiện bổ sung cho Khởi động An toàn. 

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng