Các bản cập nhật khóa đăng ký cho Khởi động An toàn: Các thiết bị Windows có bản cập nhật do CNTT quản lý
Áp dụng cho
Ngày phát hành ban đầu: ngày 14 tháng 10 năm 2025
KB ID: 5068202
|
Bài viết này có hướng dẫn về:
|
|
Tính khả dụng của hỗ trợ này:
|
Trong bài viết này
Giới thiệu
Tài liệu này mô tả hỗ trợ triển khai, quản lý và giám sát các bản cập nhật chứng chỉ Khởi động An toàn bằng cách sử dụng khóa đăng ký của Windows. Các phím này bao gồm:
-
Một chìa khóa để kích hoạt việc triển khai chứng chỉ và trình quản lý khởi động trên thiết bị.
-
Hai phím để giám sát trạng thái triển khai.
-
Hai phím để quản lý thiết đặt chọn tham gia/chọn không tham gia đối với hai hỗ trợ triển khai khả dụng.
Các khóa đăng ký này có thể được đặt theo cách thủ công trên thiết bị hoặc từ xa thông qua phần mềm quản lý đội tàu có sẵn. Các phương pháp triển khai khác, chẳng hạn như chính sách nhóm, Intune và WinCS được mô tả trong bài viết Thiết bị Windows cho doanh nghiệp và tổ chức có các bản cập nhật được quản lý bởi bộ quản lý CNTT.
Khóa đăng ký Khởi động An toàn
Trong phần này
Khóa đăng ký
Tất cả các khóa đăng ký Khởi động An toàn được mô tả trong tài liệu này đều nằm trong đường dẫn đăng ký này:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Bảng sau đây mô tả từng giá trị trong số các giá trị của sổ đăng ký.
|
Giá trị Sổ đăng ký |
Loại |
Mô tả & cách sử dụng |
|---|---|---|
|
AvailableUpdates |
REG_DWORD (bitmask) |
Cập nhật cờ kích hoạt. Kiểm soát các hành động cập nhật Khởi động An toàn cần thực hiện trên thiết bị. Đặt bitfield thích hợp ở đây bắt đầu triển khai chứng chỉ khởi động an toàn mới và cập nhật liên quan. Đối với triển khai doanh nghiệp, nên đặt thành 0x5944 (hex) – một giá trị cho phép tất cả các bản cập nhật liên quan (thêm chứng chỉ CA 2023 mới, cập nhật KEK và cài đặt trình quản lý khởi động mới). Cài đặt:
|
|
UEFICA2023Status |
REG_SZ (chuỗi) |
Chỉ báo trạng thái triển khai. Phản ánh trạng thái hiện tại của bản cập nhật khóa Khởi động An toàn trên thiết bị. Giá trị này sẽ được đặt thành một trong các giá trị văn bản sau đây:
Ban đầu trạng thái là NotStarted. Nó thay đổi thành InProgress sau khi bản cập nhật bắt đầu và cuối cùng là Cập nhật khi tất cả các phím mới và trình quản lý khởi động mới đã được triển khai. Nếu có lỗi thì giá trị đăng ký UEFICA2023Error được đặt thành mã khác 0. |
|
UEFICA2023Error |
REG_DWORD (mã) |
Mã lỗi (nếu có). Giá trị này vẫn là 0 trên thành công. Nếu quá trình cập nhật gặp lỗi, UEFICA2023Error được đặt thành mã lỗi khác 0 tương ứng với lỗi đầu tiên gặp phải. Lỗi ở đây ngụ ý rằng bản cập nhật Khởi động An toàn không thành công hoàn toàn và có thể yêu cầu điều tra hoặc khắc phục trên thiết bị đó. Ví dụ: nếu không cập nhật được DB (cơ sở dữ liệu của chữ ký tin cậy) do sự cố vi chương trình, khóa đăng ký này có thể hiển thị mã lỗi có thể được ánh xạ tới nhật ký sự kiện hoặc ID lỗi được ghi lại trong các sự kiện cập nhật biến số DB và Khởi động An toàn. |
|
HighConfidenceOptOut |
REG_DWORD |
Tùy chọn chọn không tham gia. Đối với các doanh nghiệp muốn chọn không sử dụng các bộ chứa có độ tin cậy cao sẽ tự động được áp dụng như một phần của LCU. Bạn có thể đặt khóa này thành giá trị khác 0 để chọn không tham gia vào bộ chứa có độ tin cậy cao. Cài đặt
|
|
MicrosoftUpdateManagedOptIn |
REG_DWORD |
Tùy chọn chọn tham gia. Đối với các doanh nghiệp muốn chọn tham gia cung cấp dịch vụ Triển khai Tính năng Có kiểm soát (CFR), còn được gọi là Microsoft Managed. Ngoài việc đặt khóa này, hãy cho phép gửi dữ liệu chẩn đoán bắt buộc (xem Đặt cấu hình dữ liệu chẩn đoán Windows trong tổ chức của bạn). Cài đặt
|
Các phím này hoạt động cùng nhau như thế nào
Người quản trị CNTT đặt cấu hình giá trị đăng ký AvailableUpdates thành 0x5944, điều này cho thấy Windows thực thi cài đặt và cập nhật khóa Khởi động An toàn trên thiết bị.
Khi tiến trình chạy, hệ thống sẽ cập nhật UEFICA2023Status từ NotStarted thành InProgress và cuối cùng là Cập nhật khi thành công. Vì mỗi bit trong 0x5944 được xử lý thành công, nó sẽ được xóa.
Nếu bất kỳ bước nào không thành công, mã lỗi sẽ được ghi lại trong UEFICA2023Error (và trạng thái vẫn là InProgress).
Cơ chế này cung cấp cho người quản trị một cách rõ ràng để kích hoạt và theo dõi việc triển khai trên mỗi thiết bị.
Triển khai bằng khóa đăng ký
Triển khai đến một nhóm thiết bị bao gồm các bước sau đây:
-
Đặt giá trị đăng ký AvailableUpdatesthành 0x5944 cập nhật trên từng thiết bị.
-
Giám sát khóa đăng ký UEFICA2023Status và UEFICA2023Error để biết rằng các thiết bị đang tiến hành. Hãy nhớ rằng tác vụ xử lý các bản cập nhật này sẽ chạy 12 giờ một lần. Lưu ý rằng bản cập nhật trình quản lý khởi động có thể không xảy ra cho đến khi khởi động lại xảy ra.
-
Điều tra vấn đề nếu chúng xảy ra. Nếu UEFICA2023Error không phải là số không trên thiết bị, bạn có thể kiểm tra nhật ký sự kiện cho các sự kiện liên quan đến sự cố này. Xem các sự kiện cập nhật biến số Khởi động An toàn DB và DBX để biết danh sách đầy đủ các sự kiện Khởi động An toàn.
Lưu ý về việc khởi động lại: Mặc dù bạn có thể phải khởi động lại để hoàn tất quy trình, bắt đầu triển khai các bản cập nhật Khởi động An toàn sẽ không khởi động lại. Nếu cần khởi động lại, triển khai Khởi động An toàn dựa vào việc khởi động lại diễn ra như bình thường khi sử dụng thiết bị.
Kiểm tra thiết bị bằng cách sử dụng khóa đăng ký
Khi kiểm tra từng thiết bị để đảm bảo rằng các thiết bị sẽ xử lý chính xác các bản cập nhật, khóa đăng ký có thể là một cách đơn giản để kiểm tra.
Để kiểm tra, hãy chạy từng lệnh sau riêng biệt với lời nhắc PowerShell của người quản trị:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Lệnh đầu tiên khởi chạy triển khai chứng chỉ và trình quản lý khởi động trên thiết bị. Lệnh thứ hai khiến tác vụ xử lý khóa đăng ký AvailableUpdates chạy ngay lập tức. Thông thường, tác vụ chạy cứ 12 giờ một lần.
Bạn có thể tìm thấy kết quả bằng cách quan sát khóa đăng ký UEFICA2023Status và UEFICA2023Error và nhật ký sự kiện như được mô tả trong các sự kiện cập nhật biến số Khởi động Bảo mật DB và DBX.
Chọn tham gia và chọn không tham gia để nhận hỗ trợ
Khóa đăng ký HighConfidenceOptOut và MicrosoftUpdateManagedOptIn có thể được sử dụng để quản lý hai "hỗ trợ" triển khai được mô tả trong các thiết bị Windows bằng các bản cập nhật được quản lý bởi bộ phận CNTT.
-
Khóa đăng ký HighConfidenceOptOut kiểm soát bản cập nhật tự động của thiết bị thông qua các bản cập nhật tích lũy. Đối với các thiết bị mà Microsoft đã quan sát các thiết bị cụ thể cập nhật thành công, các thiết bị đó sẽ được coi là thiết bị "có độ tin cậy cao" và các bản cập nhật chứng chỉ Khởi động An toàn sẽ tự động diễn ra. Cài đặt mặc định cho tùy chọn này được chọn.
-
Khóa đăng ký MicrosoftUpdateManagedOptIn cho phép bộ phận CNTT chọn tham gia triển khai tự động do Microsoft quản lý. Cài đặt này được tắt theo mặc định và đặt thành 1 tùy chọn tham gia. Cài đặt này cũng yêu cầu thiết bị gửi dữ liệu chẩn đoán tùy chọn.
Các phiên bản Windows được hỗ trợ
Bảng này tiếp tục phá vỡ hỗ trợ dựa trên khóa đăng ký.
|
Khóa |
Các phiên bản Windows được hỗ trợ |
|
AvailableUpdates UEFICA2023Status UEFICA2023Error |
Tất cả các phiên bản Windows hỗ trợ Khởi động An toàn (Windows Server 2012 trở lên của Windows). Ghi: Mặc dù dữ liệu tin cậy được thu thập trên Windows 10, phiên bản LTSC, 22H2 và các phiên bản Windows mới hơn, dữ liệu này có thể được áp dụng cho các thiết bị chạy trên các phiên bản Windows cũ hơn.
|
|
HighConfidenceOptOut |
|
|
MicrosoftUpdateManagedOptIn |
Sự kiện lỗi Khởi động An toàn
Các sự kiện lỗi có chức năng báo cáo quan trọng để thông báo về Tiến độ và Trạng thái Khởi động An toàn. Để biết thông tin về các sự kiện lỗi, hãy xem Sự kiện cập nhật biến số Khởi động An toàn DB và DBX. Các sự kiện lỗi đang được cập nhật thông tin sự kiện bổ sung cho Khởi động An toàn.
Các thay đổi cấu phần bổ sung đối với Khởi động An toàn
Trong phần này
Các thay đổi của TPMTasks
Sửa đổi TPMTasks để xác định xem liệu trạng thái của thiết bị có chứng chỉ Khởi động An toàn cập nhật hay không. Hiện tại, tính năng này có thể đưa ra quyết định đó nhưng chỉ khi CFR chọn một máy để cập nhật. Việc xác định và ghi nhật ký sau đó sẽ xảy ra trong mỗi phiên khởi động bất kể CFR. Nếu chứng chỉ Khởi động An toàn không được cập nhật đầy đủ thì chúng sẽ phát ra hai sự kiện lỗi được mô tả ở trên. Nếu chứng chỉ được cập nhật, sau đó họ sẽ phát ra sự kiện Thông tin. Chứng chỉ Khởi động An toàn sẽ được kiểm tra là:
-
Windows UEFI CA 2023
-
Microsoft UEFI CA 2023 và Microsoft Option ROM UEFI CA 2023 – Hai CAs này phải có mặt chỉ khi có Microsoft UEFI CA 2011. Nếu Microsoft UEFI CA 2011 không có mặt thì không cần kiểm tra.
-
Microsoft Corporation KEK 2K CA 2023
Sự kiện siêu dữ liệu máy
Sự kiện này sẽ thu thập siêu dữ liệu máy và phát hành sự kiện sau:
-
Sự kiện BucketId + Confidence Rating
Sự kiện này sẽ sử dụng siêu dữ liệu của máy để tìm mục nhập tương ứng trong cơ sở dữ liệu của máy (mục nhập bộ chứa). Máy sẽ định dạng và phát ra một sự kiện với dữ liệu này cùng với bất kỳ thông tin tự tin nào về bộ chứa.
Hỗ trợ thiết bị tin tưởng cao
Đối với các thiết bị có bộ chứa độ tin cậy cao, chứng chỉ Khởi động An toàn và trình quản lý khởi động đã ký 2023 sẽ tự động được áp dụng.
Bản cập nhật sẽ được kích hoạt cùng lúc với hai sự kiện lỗi được tạo và sự kiện BucketId + Confidence Rating bao gồm xếp hạng độ tin cậy cao.
Chọn không tham gia
Đối với những khách hàng muốn chọn không tham gia, khóa đăng ký mới sẽ có sẵn như sau:
|
Vị trí đăng ký |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot |
|
Tên phím |
HighConfidenceOptOut |
|
Loại khóa |
DWORD |
|
Giá trị DWORD |
0 hoặc khóa không tồn tại – Hỗ trợ độ tin cậy cao được bật. 1 – Hỗ trợ tin cậy cao bị vô hiệu hóa Bất kỳ giá trị nào khác không được xác định |
Bạn cần thêm trợ giúp?
Bạn muốn xem các tùy chọn khác?
Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.
Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.
