应用对象
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

原始发布日期:2025年10月14日

KB ID:5068202

本文提供以下指南:  

  • 具有 IT 管理的 Windows 设备和更新的组织。

此支持的可用性:  

AvailableUpdatesUEFICA2023StatusUEFICA2023ErrorHighConfidenceOptOutMicrosoftUpdateManagedOptIn 注册表项包含在以下日期或之后发布的更新中:

  • 2025 年 10 月 14 日: 支持的版本包括 Windows 10、版本 22H2 和更高版本 (包括 21H2 LTSC) 、所有受支持的 Windows 11 版本以及 Windows Server 2022 及更高版本。

  • 2025 年 11 月 11 日: 对于仍受支持的 Windows 版本。

更改日期

更改说明

2025 年 11 月 4 日

  • 向页面添加了一个注册表项。

  • 更正了“例如,如果更新 DB (受信任签名数据库) 由于固件问题而失败,则此注册表项可能会显示可映射到事件日志或中记录的错误 ID 的错误代码”的语句,指出“例如,如果更新 DB (数据库受信任签名) 由于固件问题而失败, 此注册表项可能会显示固件中的错误代码。 如果此密钥存在且不为零,建议在 Windows 事件日志中查找安全启动事件 - 有关详细信息,请参阅 (链接) ”。

  • 为以下注册表项添加了两个单独的路径

2025 年 11 月 11 日

  • 更新了使用注册表项进行设备测试下的段落,并提供了其他信息:“注册表项应快速更改为0x4100。 重新启动并再次运行任务将导致启动管理器更新,并且 AvailableUpdates 变为0x0100。 有关 AvailableUpdates 行为方式的更多详细信息,请参阅故障排除。”

  • 使用注册表项更新“设备测试”下的灰色框中的文本,以包含两个附加的 PowerShell 命令

  • 在注册表项下,注册表值 -MicrosoftUpdateManagedOptIn 已从“1 - 选择加入”更改为“1 或任何非零值 - 选择加入”

2025 年 11 月 16 日

更新了“使用注册表项进行设备测试”下的内容。 可用更新值已从“0x0100” 更改为“0x4000”。

本任务的内容

简介

本文档介绍使用 Windows 注册表项部署、管理和监视安全启动证书更新的支持。 密钥由以下项组成: 

  • 一个密钥,用于触发在设备上部署证书和启动管理器。

  • 用于监视部署状态的两个键。

  • 用于管理两个可用部署助手的选择加入/选择退出设置的两个密钥。

可以在设备上手动设置这些注册表项,也可以通过可用的车队管理软件远程设置这些注册表项。 使用 IT 托管更新的企业和组织使用 Windows 设备一文介绍了其他部署方法,例如组策略、Microsoft Intune和 WinCS。  

安全启动注册表项

在本节中

注册表项

下面介绍的所有安全启动注册表项都位于此注册表路径下: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

下表描述了每个注册表值:

注册表值

类型

说明和用法

AvailableUpdates

REG_DWORD (位掩码)

更新触发器标志。

控制要对设备执行哪些安全启动更新作。 在此处设置适当的位域将启动新的安全启动证书和相关更新的部署。 对于企业部署,此值应设置为 0x5944 (十六进制) - 该值支持所有相关更新, (添加新的 2023 CA 证书、更新 KEK 以及安装新的启动管理器) 。 

设置: 

  • 0 或未设置 - 不执行安全启动密钥更新。

  • 0x5944 - 部署所需的所有证书并更新到PCA2023签名的启动管理器

HighConfidenceOptOut

REG_DWORD

选择退出选项。

适用于想要选择退出将作为 LCU 一部分自动应用的高置信度存储桶的企业。

可以将此键设置为非零值,以选择退出高置信度存储桶。 

设置 

  • 0 或密钥不存在 - 选择加入

  • 1 - 选择退出

MicrosoftUpdateManagedOptIn

REG_DWORD

选择加入选项。

对于想要选择加入受控功能推出 (CFR) 服务(也称为Microsoft托管)的企业。

除了设置此密钥,还允许发送所需的诊断数据 (请参阅配置组织中的 Windows 诊断数据) 。 

设置

  • 0 或密钥不存在 - 选择退出

  • 1 或任意非零值  – 选择加入

下面介绍的所有安全启动注册表项都位于此注册表路径下: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

下表描述了每个注册表值:

注册表值

类型

说明和用法

UEFICA2023Status

REG_SZ (字符串)

部署状态指示器。

反映设备上安全启动密钥更新的当前状态。 它将设置为以下文本值之一:

  • NotStarted:更新尚未运行。

  • InProgress:更新正在进行中。

  • 已更新:更新已成功完成。

最初状态为 NotStarted。 更新开始后,它将更改为 InProgress,并在部署所有新密钥和新启动管理器后更改为“ 更新”。 如果出现错误,则 UEFICA2023Error 注册表值设置为非零代码。

UEFICA2023Error

REG_DWORD (代码)

如果有任何) ,则 (错误代码。

此值在成功时保持 0 。 如果更新过程遇到错误, UEFICA2023Error 将设置为与遇到的第一个错误对应的非零错误代码。 此处的错误意味着安全启动更新未完全成功,可能需要对该设备进行调查或修正。  

例如,如果由于固件问题) 更新受信任签名的 DB (数据库失败,则此注册表项可能会显示固件中的错误代码。 如果此密钥存在且不为零,建议在 Windows 事件日志中查找安全启动事件 - 有关更多详细信息,请参阅安全启动 DB 和 DBX 变量更新事件。

WindowsUEFICA2023Capable

REG_DWORD (代码)

此注册表项适用于有限的部署方案,不建议将其用于常规用途。 在大多数情况下,请改用 UEFICA2023Status 注册表项。

有效值:

0 或密钥不存在 -“Windows UEFI CA 2023”证书不在数据库中

1 - “Windows UEFI CA 2023”证书位于 DB 中

2 - “Windows UEFI CA 2023”证书位于 DB 中,系统从 2023 已签名的启动管理器启动

这些键如何协同工作

IT 管理员将 AvailableUpdates 注册表值配置为 0x5944,这将指示 Windows 在设备上执行安全启动密钥更新和安装。

进程运行时,系统会将 UEFICA2023StatusNotStarted 更新为 InProgress,最后在成功时更新为 更新 。 当成功处理0x5944中的每个位时,会将其清除。

如果任何步骤失败,则会在 UEFICA2023Error (中记录错误代码,并且状态仍为 InProgress) 。

此机制为管理员提供了一种触发和跟踪每个设备的推出的明确方法。 

使用注册表项进行部署 

部署到一组设备包括以下步骤: 

  1. AvailableUpdates 注册表值设置为在要更新的每个设备上 0x5944

  2. 监视 UEFICA2023StatusUEFICA2023Error 注册表项,以查看设备是否正在取得进展。 处理这些更新的任务每 12 小时运行一次。 请注意,启动管理器更新可能不会在重启后发生。

  3. 调查问题是否发生。 如果设备上的 UEFICA2023Error 为非零,则可以检查与此问题相关的事件的事件日志。 有关安全启动事件的完整列表,请参阅 安全启动 DB 和 DBX 变量更新 事件。

有关重启的说明:虽然可能需要重启才能完成此过程,但启动安全启动更新的部署不会导致重启。 如果需要重启,安全启动部署依赖于在正常使用设备过程中发生的重启。 

使用注册表项进行设备测试 

测试单个设备以确保设备能够正确处理更新时,注册表项是一种简单的测试方法。 

若要进行测试,请独立于管理员 PowerShell 提示符运行以下命令: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”

当 AvailableUpdates 变为0x4100

Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”

第一个命令在设备上启动证书和启动管理器部署。 第二个命令会导致处理 AvailableUpdates 注册表项的任务立即运行。 通常,任务每 12 小时运行一次。 注册表项应快速更改为0x4100。 重新启动并再次运行任务将导致更新启动管理器,并且 AvailableUpdates 变为0x4000。 有关 AvailableUpdates 行为的详细信息,请参阅故障排除。

可以通过观察 UEFICA2023StatusUEFICA2023Error 注册表项以及安全启动 DB 和 DBX 变量更新事件中所述的事件日志来查找结果。 

选择加入和退出获取帮助 

HighConfidenceOptOutMicrosoftUpdateManagedOptIn 注册表项可用于使用 IT 管理的更新管理 Windows 设备中所述的两个部署“助手”。 

  • HighConfidenceOptOut 注册表项通过累积更新控制设备的自动更新。 对于Microsoft观察到特定设备更新成功的设备,它们将被视为“高置信度”设备,并且安全启动证书更新将自动发生。 默认设置为选择加入

  • MicrosoftUpdateManagedOptIn 注册表项允许 IT 部门选择加入由 Microsoft 管理的自动部署。 此设置默认处于禁用状态,并将它设置为 1 个选择加入。 此设置还要求设备发送可选诊断数据。

支持的 Windows 版本

下表根据注册表项进一步细分了支持。 

键 

支持的 Windows 版本 

AvailableUpdates 

UEFICA2023Status 

UEFICA2023Error 

支持安全启动的所有 Windows 版本 (Windows Server 2012 及更高版本的 Windows) 。  

注意: 虽然置信度数据是在 Windows 10 版本 LTSC、22H2 及更高版本的 Windows 上收集的,但它可以应用于在早期版本的 Windows 上运行的设备。    

  • Windows 10、版本 LTSC 和 22H2

  • Windows 11版本 22H2 和 23H2

  • Windows 11版本 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

安全启动错误事件

​​​​​​​​​​​​​​错误事件具有关键报告功能,用于通知安全启动状态和进度。  有关错误事件的信息,请参阅安全启动 DB 和 DBX 变量更新事件。 错误事件正在使用安全启动的其他事件信息进行更新。 

订阅 RSS 源

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心