应用对象
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

原始发布日期: 2026 年 3 月 19 日

KB ID:5085046

本文内容

概述

本页指导管理员和支持专业人员在 Windows 设备上诊断和解决与安全启动相关的问题。 主题包括安全启动证书更新失败、不正确的安全启动状态、意外的 BitLocker 恢复提示,以及安全启动配置更改后的启动失败。

本指南介绍了如何验证 Windows 服务和配置、查看相关的注册表值和事件日志,以及确定何时需要 OEM 更新固件或平台限制。 此内容用于诊断现有设备上的问题。 它不适用于规划新部署。 本文档将随着新的故障排除方案和指南的确定而更新。

返回页首

安全启动证书服务的工作原理

Windows 上的安全启动证书服务是操作系统和设备 UEFI 固件之间的协调过程。 目标是更新关键信任定位点,同时保留在每个阶段启动的能力。

此过程由 Windows 计划任务、基于注册表的更新操作序列以及内置的日志记录和重试行为驱动。 这些组件共同确保安全启动证书和 Windows 启动管理器以受控有序的方式更新,并且仅在先决条件步骤成功后更新。

返回页首

故障排除时从何处开始

当设备在应用安全启动证书更新时似乎未取得预期进度时,请首先确定问题的类别。 大多数问题属于以下四个方面之一:Windows 服务状态、安全启动更新机制、固件行为或平台或 OEM 限制。

从以下检查开始,依次进行。 在许多情况下,这些步骤足以解释观察到的行为并确定后续操作,而无需进行更深入的调查。

  1. 确认 Windows 服务和平台资格

    1. ​​​​​​​验证设备是否满足接收安全启动证书更新的基本要求:

    2. 设备运行的是受支持的 Windows 版本。

    3. 已安装所需的最新 Windows 安全更新。

    4. 在 UEFI 固件中启用了安全启动。

    5. 如果未满足上述任何条件,请先解决这些条件,然后再继续进一步进行故障排除。

  2. 验证 Secure-Boot-Update 任务状态

    1. 确认负责应用安全启动证书更新的 Windows 机制存在并正常运行:

    2. 安全启动-更新计划任务存在。

    3. 任务已启用,并作为本地系统运行。

    4. 自安装最新的 Windows 安全更新以来,该任务至少运行过一次。

    5. 如果任务被禁用、删除或未运行,则无法应用安全启动证书更新。 在调查其他原因之前,故障排除应侧重于还原任务。

  3. 检查注册表设置,了解预期进度

    在注册表中查看设备的安全启动服务状态:

    1. 检查 UEFICA2023StatusUEFICA2023ErrorUEFICA2023ErrorEvent

    2. 检查 AvailableUpdates 并将其与预期进度进行比较 (请参阅参考和内部) 。

    这些值共同指示服务是正常进行、正在重试操作,还是在特定步骤中停止。

  4. 将注册表状态与安全启动事件相关联

    查看系统事件日志中的安全启动相关事件,并将其与注册表状态相关联。 事件数据通常确认设备是否正在向前推进、因暂时性条件而重试,还是被固件或平台问题阻止。

    注册表和事件日志通常共同指示行为是预期行为、临时行为还是需要纠正措施。

返回页首

Secure-Boot-Update 计划任务

安全启动证书服务是通过名为 Secure-Boot-Update 的 Windows 计划任务实现的。 任务注册到以下路径:

\Microsoft\Windows\PI\Secure-Boot-Update

任务作为本地系统运行。 默认情况下,它在系统启动时运行,之后每隔 12 小时运行一次。 每次运行时,它都会检查安全启动更新操作是否处于挂起状态,并尝试按顺序应用这些操作。

如果禁用或缺少此任务,则无法应用安全启动证书更新。 Secure-Boot-Update 任务必须保持启用状态,安全启动服务才能正常运行。

返回页首

为何使用计划任务

安全启动证书更新需要 Windows 和 UEFI 固件之间的协调,包括编写存储安全启动密钥和证书的 UEFI 变量。 计划任务允许 Windows 在系统处于可修改固件变量的状态时尝试这些更新。

如果上一次尝试失败,或者设备保持通电状态且未重启,则定期 12 小时计划提供了重试更新的其他机会。 此设计有助于确保向前推进,而无需手动干预。

返回页首

AvailableUpdates 注册表位掩码

Secure-Boot-Update 任务由 AvailableUpdates 注册表值驱动。 此值是位于以下位置的 32 位掩码:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

值中的每个位表示特定的安全启动更新操作。 当 AvailableUpdates 设置为非零值(由 Windows 自动或由管理员显式设置)时,更新过程将开始。 例如, 0x5944 等值指示多个更新操作处于挂起状态。

当 Secure-Boot-Update 任务运行时,它会将设置的位解释为挂起的工作,并按定义的顺序处理它们

返回页首

顺序更新、日志记录和重试行为

安全启动证书更新按固定顺序应用。 每个更新操作设计为可以安全重试并独立完成。 在当前操作成功且从 AvailableUpdates 中清除其相应位之前,Secure-Boot-Update 任务不会推进到下一步。

每个操作都使用标准 UEFI 接口来更新安全启动变量(如 DB 和 KEK),或安装更新后的 Windows 启动管理器。 Windows 记录系统事件日志中每个步骤的结果。 成功事件确认前进进度,而失败事件指示无法完成操作的原因。

如果更新步骤失败,任务将停止处理,记录错误,并保留关联的位集。 下次运行任务时重试该操作。 此重试行为允许设备从临时情况(例如缺少固件支持或 OEM 更新延迟)中自动恢复。

管理员可以通过将注册表状态与事件日志条目相关联来跟踪进度。 注册表值(例如 UEFICA2023StatusUEFICA2023ErrorUEFICA2023ErrorEvent)以及 AvailableUpdates 位掩码,指示哪个步骤处于活动状态、已完成或阻止。

此组合显示设备是正常进行、正在重试操作还是已停止。

返回页首

与 OEM 固件集成

安全启动证书更新取决于设备 UEFI 固件中的正确行为和支持。 当 Windows 协调更新过程时,固件负责强制实施安全启动策略和维护安全启动数据库。

OEM 提供两个关键元素,用于启用安全启动证书服务:

  • 平台密钥签名的密钥交换密钥 (KEKs) 授权安装新的安全启动证书。

  • 在更新期间正确保留、追加和验证安全启动数据库的固件实现。

如果固件不完全支持这些行为,安全启动更新可能会停止、无限期重试或导致启动失败。 在这些情况下,如果不更改固件,Windows 就无法完成更新。

Microsoft与 OEM 合作,以识别固件问题并使更正的更新可用。 当故障排除表明存在固件限制或缺陷时,管理员可能需要安装设备制造商提供的最新 UEFI 固件更新,然后安全启动证书更新才能成功完成。

返回页首

常见故障方案和解决方法

安全启动更新由 Secure-Boot-Update 计划任务根据 AvailableUpdates 注册表状态应用。

在正常情况下,这些步骤会自动发生,并在每个阶段完成时记录成功事件。 在某些情况下,固件行为、平台配置或服务先决条件可能会阻止进度或导致意外启动行为。

以下各节介绍最常见的故障方案、如何识别故障、发生原因以及恢复正常操作的相应后续步骤。 对方案进行排序,从最常遇到的情况到影响启动情况更严重的情况。

当安全启动更新未显示进度时,通常意味着更新过程从未启动。 因此,由于从未触发更新机制,因此缺少预期的安全启动注册表值和事件日志。

发生了什么事

安全启动更新过程未启动,因此没有将安全启动证书或更新的启动管理器应用到设备。

如何识别它

  • 不存在安全启动服务注册表值,例如 UEFICA2023Status

  • 系统事件日志中缺少预期的安全启动事件 (,例如 1043、1044、1045、1799、1801) 。

  • 设备继续使用较旧的安全启动证书和启动组件。

发生的原因

当满足以下一个或多个条件时,通常会出现这种情况:

  • Secure-Boot-Update 计划任务已禁用或缺失。

  • 在 UEFI 固件中禁用安全启动。

  • 设备不满足 Windows 服务先决条件,例如运行受支持的 Windows 版本或安装所需的更新。

下一步操作

  • 验证设备是否符合 Windows 服务和平台资格要求。

  • 确认在固件中启用了安全启动。

  • 确保 SecureBootUpdate 计划任务存在且已启用。

如果已禁用或缺少计划任务,请按照 禁用或删除安全启动计划任务 中的指导进行还原。 还原任务后,请重启设备或手动运行任务以启动安全启动服务。

在某些情况下,与安全启动相关的更新可能会导致设备进入 BitLocker 恢复。 该行为可以是暂时性的,也可以是永久性的,具体取决于根本原因。

方案 1:安全启动更新后一次性 BitLocker 恢复

发生的情况

设备在安全启动更新后首次启动时进入 BitLocker 恢复,但在后续重启时正常启动。

发生的原因

在更新后的首次启动期间,当 Windows 尝试重新密封 BitLocker 时,固件尚未报告更新的安全启动值。 这会导致测量的启动值暂时不匹配,并触发恢复。 下次启动时,固件会正确报告更新的值,BitLocker 成功重新密封,并且问题不会再次出现。

如何识别它

  • BitLocker 恢复发生一次。

  • 输入恢复密钥后,后续启动不会提示恢复。

  • 不存在正在进行的启动顺序或 PXE 参与。

下一步操作

  • 输入 BitLocker 恢复密钥以恢复 Windows。

  • 检查固件更新。

方案 2:由于 PXE 首次启动配置而导致重复 BitLocker 恢复

发生的情况

设备在每次启动时进入 BitLocker 恢复。

发生的原因

设备配置为 先尝试 PXE (网络) 启动。 PXE 启动尝试失败,固件随后回退到磁盘上的 Windows 启动管理器。

这会导致在 单个启动周期中测量两个不同的签名颁发机构

  • PXE 启动路径由 Microsoft UEFI CA 2011 签名。

  • 磁盘上的 Windows 启动管理器由 Windows UEFI CA 2023 签名。

由于 BitLocker 在启动期间会观察到不同的安全启动信任链,因此无法建立一组稳定的 TPM 度量值来重新密封。 因此,BitLocker 在每次启动时都会进入恢复状态。

如何识别它

  • 每次重启时都会触发 BitLocker 恢复。

  • 输入恢复密钥允许 Windows 启动,但提示将在下次启动时返回。

  • PXE 或网络启动按固件启动顺序在本地磁盘之前配置。

下一步操作

  • 配置固件启动顺序,以便首先使用磁盘上的 Windows 启动管理器。

  • 如果不需要,请禁用 PXE 启动。

  • 如果需要 PXE,请确保 PXE 基础结构使用 2023 年签名的 Windows 启动加载程序。

发生了什么事

这反映了固件级别的更改,而不是 Windows 问题。 安全启动更新已成功完成,但稍后重启后,设备不再启动到 Windows。

如何识别它

  • 设备无法启动 Windows,并可能显示固件或 BIOS 消息,指示安全启动冲突。

  • 在将安全启动设置重置为固件默认值后,将发生失败。

  • 禁用安全启动可能会允许设备再次启动。

发生的原因

将安全启动重置为固件默认值会清除存储在固件中的安全启动数据库。 在已转换为 Windows UEFI CA 2023 签名启动管理器的设备上,此重置会删除信任该启动管理器所需的证书。

因此,固件不再将已安装的 Windows 启动管理器识别为受信任,并阻止启动过程。

此方案不是由安全启动更新本身引起的,而是由删除更新的信任定位点的后续固件操作引起的。

下一步操作

  • 使用安全启动恢复实用工具还原所需的证书,以便设备可以再次启动。

  • 恢复后,请确保设备已安装设备制造商提供的最新可用固件。

  • 除非 OEM 固件包含信任 2023 证书的更新安全启动默认值,否则避免将安全启动重置为固件默认值。

安全启动恢复实用工具

若要恢复系统,请执行以下命令:

  1. 在安装了 2024 年 7 月或更高版本 Windows 更新的第二台 Windows 电脑上,从 C:\Windows\Boot\EFI\复制 SecureBootRecovery.efi。

  2. 将文件放在 \EFI\BOOT\ 下的 FAT32 格式 U 盘上,并将其重命名为 bootx64.efi。

  3. 从 U 盘启动受影响的设备,并允许恢复实用工具运行。 该实用工具会将 Windows UEFI CA 2023 添加到 DB。

还原证书并重启系统后,Windows 应正常启动。

重要说明: 此过程只会重新应用其中一个新证书。 恢复设备后,请确保它已重新应用最新的证书,并考虑将系统的 BIOS/UEFI 更新到可用的最新版本。 这有助于防止安全启动重置问题再次出现,因为许多 OEM 都发布了针对此特定问题的固件修补程序。

发生了什么事

应用安全启动证书更新并重启后,设备无法启动,并且无法访问 Windows。

如何识别它

  • 安全启动更新要求重启后,设备立即发生故障。

  • 可能会显示固件或安全启动错误,或者系统可能会在 Windows 加载之前停止。

  • 禁用安全启动可能会允许设备启动。

发生的原因

此问题可能是由设备的 UEFI 固件实现中的缺陷引起的。

当 Windows 应用安全启动证书更新时,固件应将新证书 追加 到现有的安全启动允许签名数据库 (DB) 。 某些固件实现错误地 覆盖 了数据库,而不是追加到数据库。

发生这种情况时,

  • 删除以前受信任的证书,包括 Microsoft 2011 引导加载程序证书。

  • 如果系统当时仍在使用使用 2011 证书签名的启动管理器,则固件不再信任它。

  • 固件拒绝启动管理器并阻止启动过程。

在某些情况下,数据库也可能损坏,而不是完全覆盖,从而导致相同的结果。 在特定固件实现上观察到了此行为,在合规固件上预计不会出现此行为。

下一步操作

  • 输入固件设置菜单并尝试重置安全启动设置。

  • 如果设备在重置后启动,检查设备制造商的支持站点,以获取更正安全启动 DB 处理的固件更新。

  • 如果固件更新可用,请先安装它,然后再重新启用安全启动并重新应用安全启动证书更新。

如果重置安全启动无法还原启动功能,则进一步的恢复可能需要特定于 OEM 的指导。

发生了什么事

安全启动证书更新未完成,在密钥交换密钥 (KEK) 更新阶段仍被阻止。

如何识别它

  • AvailableUpdates 注册表值仍使用 KEK 位 (0x0004) 设置,不会清除。

  • UEFICA2023Status 不会进入已完成状态。

  • 系统事件日志重复记录 事件 ID 1803,指示无法应用 KEK 更新。

  • 设备会继续重试更新,而不会向前推进。

发生的原因

更新安全启动 KEK 需要设备 平台密钥 (PK) 授权,该密钥归 OEM 所有。

若要成功更新,设备制造商必须为Microsoft提供该特定平台的 PK 签名 KEK 。 此 OEM 签名的 KEK 包含在 Windows 更新中,并允许 Windows 更新固件 KEK 变量。

如果 OEM 尚未为设备提供 PK 签名的 KEK,则 Windows 无法完成 KEK 更新。 在此状态下:

  • 安全启动更新被设计阻止。

  • Windows 无法解决缺少授权的问题。

  • 设备可能始终无法完成安全启动证书服务。

如果 OEM 不再提供固件或密钥更新,则可能会出现这种情况。 这种情况不支持手动恢复路径。

返回页首

当安全启动证书更新无法应用时,Windows 会记录诊断事件,解释进度被阻止的原因。 更新安全启动签名数据库时会写入这些事件, (DB) 或密钥交换密钥 (KEK) 由于固件、平台状态或配置条件而无法安全完成。 本部分中的方案引用这些事件,以确定常见的故障模式并确定适当的修正。 本部分旨在支持对前面所述的问题的诊断和解释,而不是引入新的故障方案。

有关事件 ID、说明和示例条目的完整列表,请参阅 安全启动 DB 和 DBX 变量更新事件 (KB5016061)

KEK 更新失败 (数据库更新成功,KEK 不会)

设备可以成功更新安全启动 DB 中的证书,但在 KEK 更新期间会失败。 发生这种情况时,无法完成安全启动更新过程。

症状

  • 数据库证书事件指示进度,但 KEK 阶段未完成。

  • AvailableUpdates 仍设置为0x4004且多个任务运行后不会清除0x0004位。

  • 可能存在事件 1795 1803

解释

  • 1795 通常表示尝试更新安全启动变量时固件失败。

  • 1803 指示无法授权 KEK 更新,因为所需的 OEM PK 签名 KEK 有效负载不适用于平台。

后续步骤

  • 对于 1795,检查 OEM 固件更新,并验证安全启动变量更新的固件支持。

  • 对于 1803,请确认 OEM 是否向Microsoft提供了设备型号所需的 PK 签名 KEK。

Hyper-V 上托管的来宾 VM 上的 KEK 更新失败 

在 Hyper-V 虚拟机上,安全启动证书更新要求在 Hyper-V 主机和来宾 OS 上安装 2026 年 3 月 Windows 更新。

来宾中报告更新失败,但事件指示需要修正的位置:

  • 事件 1795 (例如,来宾中报告的“媒体受写保护”) 指示 Hyper-V 主机缺少 2026 年 3 月更新,并且必须更新。

  • 来宾中报告的事件 1803 指示来宾虚拟机本身缺少 2026 年 3 月更新,必须更新。

返回页首 

引用和内部

本部分包含用于故障排除和支持的高级参考信息。 它不适用于部署规划。 它扩展了前面总结的安全启动服务机制,并提供用于解释注册表状态和事件日志的详细参考资料。

注意 (IT 托管部署) :通过 组策略 或 Microsoft Intune 进行配置时,不应混淆两个类似的设置。 AvailableUpdatesPolicy 值表示配置的策略状态。 同时, AvailableUpdates 反映了正在进行的位清除工作状态。 两者可以推动相同的结果,但它们的行为不同,因为策略会随时间推移重新应用。

返回页首 

AvailableUpdate 用于证书维护的位

以下位用于本文档中所述的证书和启动管理器操作。 “ 顺序 ”列反映了 Secure-Boot-Update 任务处理每个位的顺序。

顺序

位设置

使用情况

1

0x0040

此位指示计划任务将 Windows UEFI CA 2023 证书添加到安全启动数据库。 这允许 Windows 信任由此证书签名的启动管理器。

2

0x0800

此位指示计划任务将 Microsoft 选项 ROM UEFI CA 2023 应用到 DB。  

条件 行为:设置0x4000标志后,计划任务将首先检查Microsoft Corporation UEFI CA 2011 证书的数据库。 仅当存在 2011 证书时,它才会应用 Microsoft 选项 ROM UEFI CA 2023 证书。

3

0x1000

此位指示计划任务将Microsoft UEFI CA 2023 应用到数据库。

条件行为:设置0x4000标志后,计划任务将首先检查Microsoft Corporation UEFI CA 2011 证书的数据库。 仅当存在 2011 证书时,它才会应用 Microsoft UEFI CA 2023 证书。

修饰符 (行为标志)

0x4000

此位修改0x0800位和0x1000位的行为,以便仅当 DB 已包含 Microsoft Corporation UEFI CA 2011 时才应用 Microsoft UEFI CA 2023 和 Microsoft 选项 ROM UEFI CA 202 3。   为了帮助确保设备的安全配置文件保持不变,仅当设备信任 Microsoft Corporation UEFI CA 2011 证书时,此位才应用这些新证书。 并非所有 Windows 设备都信任此证书。

4

0x0004

此位指示计划任务查找由设备的平台密钥 (PK) 签名的密钥交换密钥。 PK 由 OEM 管理。 OEM 使用其 PK 对Microsoft KEK 进行签名,并将其交付到每月累积更新中包含的Microsoft。

5

0x0100

此位指示计划任务将 Windows UEFI CA 2023 签名的启动管理器应用于启动分区。 这将替换Microsoft Windows 生产 PCA 2011 签名启动管理器。

注意:

  • 处理所有其他位后,0x4000位将保持设置。

  • 每个位由 Secure-Boot-Update 计划任务按上面显示的顺序进行处理。

  • 如果由于缺少 PK 签名 KEK 而无法处理0x0004位,则计划任务仍将应用由位0x0100指示的启动管理器更新。

返回页首 

预期进度 (AvailableUpdates)

操作成功完成后,Windows 会清除 AvailableUpdates 中的关联位。 如果操作失败,Windows 会记录事件并在任务再次运行时重试。

下表显示了每个安全启动更新操作完成时 AvailableUpdates 值的预期进度。

单步执行

已处理的位

可用汇报

描述

记录的成功事件

可能的错误事件代码

开始

0x5944

安全启动证书服务开始前的初始状态。

-

-

1

0x0040

0x5944 → 0x5904

Windows UEFI CA 2023 已添加到安全启动数据库。

1036

1032, 1795, 1796, 1802

2

0x0800

0x5904 → 0x5104

如果设备以前信任 Microsoft UEFI CA 2011,请将Microsoft选项 ROM UEFI CA 2023 添加到 DB。

1044

1032, 1795, 1796, 1802

3

0x1000

0x5104 → 0x4104

如果设备以前 Microsoft信任 UEFI CA 2011,Microsoft UEFI CA 2023 将添加到 DB。

1045

1032, 1795, 1796, 1802

4

0x0004

0x4104 → 0x4100

应用由 OEM 平台密钥签名的新Microsoft KEK 2K CA 2023。

1043

1032, 1795, 1796, 1802, 1803

5

0x0100

0x4100 → 0x4000

已安装由 Windows UEFI CA 2023 签名的启动管理器。

1799

1797

注意

  • 与 位关联的操作成功完成后,将从 AvailableUpdates 中清除该位。

  • 如果其中一个操作失败,则会记录事件,并在下次运行计划的任务时重试该操作。

  • 0x4000位是修饰符,不会清除。 最终的 AvailableUpdates 值0x4000指示成功完成所有适用的更新操作。

  • 事件 1032、1795、1796、1802 通常指示固件或平台限制。

  • 事件 1803 指示缺少 OEM PK 签名的 KEK。

返回页首 

修正过程

本部分提供修正特定安全启动问题的分步过程。 每个过程的范围限定为明确定义的条件,并且仅在初始诊断确认问题适用后才遵循。 使用这些过程可还原预期的安全启动行为,并允许证书更新安全地进行。 不要广泛或先发制人地应用这些过程。

返回页首

在固件中启用安全启动

如果在设备的固件中禁用了安全启动,请参阅Windows 11和安全启动,详细了解如何启用安全启动。

返回页首

安全启动计划任务已禁用或删除

Windows 需要 安全启动-更新 计划任务才能应用安全启动证书更新。 如果任务已禁用或缺失,安全启动证书服务将不会进行。

任务详细信息

任务名称

Secure-Boot-Update

任务路径

\Microsoft\Windows\PI\

完整路径

\Microsoft\Windows\PI\Secure-Boot-Update

运行方式

SYSTEM (本地系统)

触发器

启动时,每 12 小时一次

所需状态

启用

如何检查任务状态

从提升的 PowerShell 提示符运行: schtasks.exe /Query /TN “\Microsoft\Windows\PI\Secure-Boot-Update” /FO LIST /V

查找“状态”字段:

状态

含义

就绪

任务存在且已启用。

禁用

任务存在,但必须启用。

错误/未找到

任务缺失,必须重新创建。

如何启用或重新创建任务

如果 Secure-Boot-Update 的状态字段为“已禁用”、“错误”或“未找到”,请使用示例脚本启用任务: 示例 Enable-SecureBootUpdateTask.ps1

注意:这是一个示例脚本,不受Microsoft支持。 管理员应查看并使其适应其环境。

示例:

.\Enable-SecureBootUpdateTask.ps1 -Quiet

运行指南

  • 如果看到访问被拒绝,请以管理员身份重新运行 PowerShell。

  • 如果脚本由于执行策略而无法运行,请使用进程范围旁路:

Set-ExecutionPolicy -Scope 进程 -ExecutionPolicy 旁路

返回页首 

订阅 RSS 源

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心