应用对象
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

原始发布日期:2025年10月14日

KB ID:5068202

本文提供以下指南:  

  • 具有 IT 管理的 Windows 设备和更新的组织。

此支持的可用性:  

  • AvailableUpdatesUEFICA2023StatusUEFICA2023ErrorHighConfidenceOptOutMicrosoftUpdateManagedOptIn 注册表项包含在以下日期或之后发布的更新中:

    • 2025 年 10 月 14 日:支持的版本包括 Windows 10、版本 22H2 和更高版本 (包括 21H2 LTSC) 、所有受支持的 Windows 11 版本以及 Windows Server 2022 及更高版本。

    • 2025 年 11 月 11 日:对于仍受支持的 Windows 版本。

本任务的内容

简介

本文档介绍使用 Windows 注册表项部署、管理和监视安全启动证书更新的支持。 密钥由以下项组成: 

  • 一个密钥,用于触发在设备上部署证书和启动管理器。

  • 用于监视部署状态的两个键。

  • 用于管理两个可用部署助手的选择加入/选择退出设置的两个密钥。

可以在设备上手动设置这些注册表项,也可以通过可用的车队管理软件远程设置这些注册表项。 使用 IT 托管更新的企业和组织使用 Windows 设备一文介绍了其他部署方法,例如 组策略、Intune 和 WinCS。  

安全启动注册表项

在本节中

注册表项

本文档中所述的所有安全启动注册表项都位于以下注册表路径下: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

下表介绍了每个注册表值。 

注册表值

类型

说明 & 使用情况

AvailableUpdates

REG_DWORD (位掩码)

更新触发器标志。

控制要对设备执行哪些安全启动更新作。 在此处设置适当的位域将启动新的安全启动证书和相关更新的部署。 对于企业部署,此值应设置为 0x5944 (十六进制) - 该值启用所有相关更新, (添加新的 2023 CA 证书、更新 KEK 以及安装新的启动管理器) 。 

“设置”中打开同步,请执行以下操作: 

  • 0 或未设置 - 不执行安全启动密钥更新。

  • 0x5944 - 部署所有必需的证书并更新到PCA2023签名的启动管理器

UEFICA2023Status

REG_SZ (字符串)

部署状态指示器。

反映设备上安全启动密钥更新的当前状态。 它将设置为以下文本值之一:

  • NotStarted:更新尚未运行。

  • InProgress:更新正在进行中。

  • 更新: 更新已成功完成。

最初状态为 NotStarted。 更新开始后,它将更改为 InProgress,并在部署所有新密钥和新启动管理器后更改为“ 更新”。 如果出现错误,则 UEFICA2023Error 注册表值设置为非零代码。

UEFICA2023Error

REG_DWORD (代码)

如果有任何) ,则 (错误代码。

此值在成功时保持 0 。 如果更新过程遇到错误, UEFICA2023Error 将设置为与遇到的第一个错误对应的非零错误代码。 此处的错误意味着安全启动更新未完全成功,可能需要对该设备进行调查或修正。  

例如,如果更新 DB (受信任签名的数据库) 由于固件问题而失败,则此注册表项可能会显示一个错误代码,该错误代码可以映射到事件日志,或者 安全启动 DB 和 DBX 变量更新事件中记录的错误 ID。 

HighConfidenceOptOut

REG_DWORD

选择退出选项。

适用于想要选择退出将作为 LCU 一部分自动应用的高置信度存储桶的企业。

可以将此键设置为非零值,以选择退出高置信度存储桶。 

设置 

  • 0 或密钥不存在 - 选择加入

  • 1 - 选择加入

MicrosoftUpdateManagedOptIn

REG_DWORD

选择加入选项。

对于想要选择加入受控功能推出 (CFR) 服务(也称为Microsoft托管)的企业。

除了设置此密钥外,还允许发送所需的诊断数据 (请参阅配置组织中的 Windows 诊断数据) 。 

设置

  • 0 或密钥不存在 - 选择退出

  • 1 - 选择加入

这些键如何协同工作

IT 管理员将 AvailableUpdates 注册表值配置为 0x5944,这指示 Windows 在设备上执行安全启动密钥更新和安装。

进程运行时,系统会将 UEFICA2023StatusNotStarted 更新为 InProgress,最后在成功时更新为 更新 。 当成功处理0x5944中的每个位时,会将其清除。

如果任何步骤失败,则会在 UEFICA2023Error (中记录错误代码,并且状态仍为 InProgress) 。

此机制为管理员提供了一种触发和跟踪每个设备的推出的明确方法。 

使用注册表项进行部署 

部署到一组设备包括以下步骤: 

  1. AvailableUpdates 注册表值设置为在要更新的每个设备上 0x5944

  2. 监视 UEFICA2023StatusUEFICA2023Error 注册表项,以查看设备是否正在取得进展。 请记住,处理这些更新的任务每 12 小时运行一次。 请注意,启动管理器更新可能不会在重启后发生。

  3. 调查问题是否发生。 如果设备上的 UEFICA2023Error 为非零,则可以检查与此问题相关的事件的事件日志。 有关安全启动事件的完整列表,请参阅 安全启动 DB 和 DBX 变量更新 事件。

有关重启的说明:虽然可能需要重启才能完成此过程,但启动安全启动更新的部署不会导致重启。 如果需要重启,安全启动部署依赖于在正常使用设备过程中发生的重启。 

使用注册表项进行设备测试 

测试单个设备以确保设备能够正确处理更新时,注册表项是一种简单的测试方法。 

若要进行测试,请独立于管理员 PowerShell 提示符运行以下命令: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”

第一个命令在设备上启动证书和启动管理器部署。 第二个命令会导致处理 AvailableUpdates 注册表项的任务立即运行。 通常,任务每 12 小时运行一次。 

可以通过观察 UEFICA2023StatusUEFICA2023Error 注册表项以及安全启动 DB 和 DBX 变量更新事件中所述的事件日志来查找结果。 

选择加入和选择退出以获取帮助 

HighConfidenceOptOutMicrosoftUpdateManagedOptIn 注册表项可用于使用 IT 管理的更新管理 Windows 设备中所述的两个部署“助手”。 

  • HighConfidenceOptOut 注册表项通过累积更新控制设备的自动更新。 对于Microsoft观察到特定设备更新成功的设备,它们将被视为“高置信度”设备,并且安全启动证书更新将自动发生。 此 选项的默认设置已选择加入

  • MicrosoftUpdateManagedOptIn 注册表项允许 IT 部门选择加入由 Microsoft 管理的自动部署。 此设置默认处于禁用状态,并将它设置为 1 个选择加入。 此设置还要求设备发送可选诊断数据。

支持的 Windows 版本

下表根据注册表项进一步细分了支持。 

键 

支持的 Windows 版本 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

支持安全启动的所有 Windows 版本 (Windows Server 2012 及更高版本的 Windows) 。  

注意: 虽然置信度数据是在 Windows 10 版本 LTSC、22H2 及更高版本的 Windows 上收集的,但它可以应用于在早期版本的 Windows 上运行的设备。    

  • Windows 10、版本 LTSC 和 22H2

  • Windows 11版本 22H2 和 23H2

  • Windows 11版本 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

安全启动错误事件

​​​​​​​​​​​​​​错误事件具有关键报告功能,用于通知安全启动状态和进度。  有关错误事件的信息,请参阅安全启动 DB 和 DBX 变量更新事件。 错误事件正在使用安全启动的其他事件信息进行更新。 

安全启动的其他组件更改 

在本节中

TPMTasks 更改 

修改 TPMTask 以确定设备的状态是否具有更新的安全启动证书。 目前,它可以做出该决定,但前提是 CFR 选择一台计算机进行更新。 无论 CFR 如何,该确定和后续日志记录都应在每个启动会话中发生。 如果安全启动证书 不是 完全最新的,它们将发出上述两个错误事件。 如果证书是最新的,则它们将发出 Information 事件。 将检查的安全启动证书包括:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 和 Microsoft 选项 ROM UEFI CA 2023 – 仅当存在 UEFI CA 2011 Microsoft时,这两个 CA 必须存在。 如果不存在Microsoft UEFI CA 2011,则无需检查。

  • Microsoft Corporation KEK 2K CA 2023

计算机元数据事件 

此事件将收集计算机元数据并发出以下事件:

  • BucketId + 置信度分级事件   

此事件将使用计算机的元数据在计算机数据库中查找相应的条目, (存储桶条目) 。 计算机将使用此数据以及有关存储桶的任何置信度信息格式化和发出事件。 ​​​​​​​ 

高自信的设备助手 

对于高置信度存储桶中的设备,将自动应用安全启动证书和 2023 已签名启动管理器。   

将在生成两个错误事件的同时触发更新,BucketId + 置信度分级事件包括高置信度评级。   

选择退出

对于想要选择退出的客户,新的注册表项可用,如下所示:   

注册表位置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

键名称

HighConfidenceOptOut

密钥类型

DWORD

DWORD 值

0 或键不存在 - 已启用高置信度辅助。    

1 - 禁用高置信度辅助   

未定义任何其他值   

订阅 RSS 源

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心