应用对象
Win 10 Ent LTSB 2016 Win 10 Ent LTSC 2019 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

原始发布日期: 2022 年 6 月 15 日

KB ID:5016061

本任务的内容

简介

为了帮助确保 Windows 设备的安全,Microsoft维护了多个安全启动相关组件,包括安全启动签名数据库 (DB 和 DBX) 、密钥交换密钥 (KEK) 以及 Windows 启动管理器。 Windows 会在这些组件可用时对这些组件应用更新,并检查是否可以在设备上安全地安装每个更新。 当更新成功或检测到阻止将更新应用于系统固件的问题时,Windows 将创建事件日志条目。

返回页首 

摘要

当 Windows 更新这些安全启动相关组件之一时,它会在正确应用更新时记录成功事件。 当 Windows 检测到阻止应用更新的条件时,它会生成一个警告或错误事件,用于标识受影响的组件并描述问题。 如果固件不支持所需的更新、存在易受攻击或不受信任的启动加载程序、安全启动密钥已自定义,或者启动管理器需要纠正措施,则可能会发生这种情况。 每个事件都包含诊断详细信息,例如组件名称以及成功或失败的原因,可能类似于以下示例:

事件日志条目的示例

事件日志

系统

事件源

TPM-WMI

事件 ID

<事件 ID 号>

级别

错误

事件消息文本

<邮件文本>

返回页首  

一般安全启动事件

在本节中 

返回页首 

事件 ID:1032

当系统驱动器上的 BitLocker 配置为将安全启动更新应用到固件会导致 BitLocker 进入恢复模式时,将记录此事件。 解决方法是暂时挂起 BitLocker 2 个重启周期,以便安装更新。

采取操作

若要解决此问题,请从管理员命令提示符运行以下命令,以暂停 BitLocker 2 个重启周期:

  • Manage-bde –Protectors –Disable %systemdrive% -RebootCount 2

然后,重启设备两次以恢复 BitLocker 保护。

若要确保已恢复 BitLocker 保护,请在重启两次后运行以下命令:

  • Manage-bde –Protectors –enable %systemdrive%

事件日志信息

当系统驱动器上的 BitLocker 配置会导致系统进入 BitLocker 恢复(如果应用了安全启动更新)时,将记录事件 ID 1032。 在此事件中,<事件类型> 可以是以下类型之一:“DB”、“DBX”、“SBAT”、“策略更新 (SKU) ”, “Windows UEFI CA 2023 (DB) ”、“选项 ROM CA 2023 (DB) ”、“3P UEFI CA 2023 (DB) ”、“KEK 2023”、“DBX SVN”或“撤销 UEFI CA 2011 (DBX) ”。

事件日志

系统

事件源

TPM-WMI

事件 ID

1032

级别

错误

事件消息文本

由于已知与当前 BitLocker 配置不兼容,未应用安全启动更新 <事件类型>。

返回到泛型事件

事件 ID:1033

在设备上安装更新的 DBX 吊销列表时,Windows 会检查以确定系统是否依赖于易受攻击的模块之一来启动设备。 如果检测到其中一个易受攻击的模块,则将延迟对固件中 DBX 列表的更新。 每次重新启动系统时,将重新扫描设备,以确定易受攻击的模块是否已更新,以及是否可以安全地应用更新的 DBX 列表。

采取操作

在大多数情况下,易受攻击模块的供应商应具有修复此漏洞的更新版本。 请与供应商联系以获取更新。

事件日志信息

在设备上检测到此更新已吊销的易受攻击的启动加载程序时,将记录事件 ID 1033。

事件日志

系统

事件源

TPM-WMI

事件 ID

1033

级别

错误

事件消息文本

在 EFI 分区中检测到可能吊销的启动管理器。 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2169931

事件数据 BootMgr

<易受攻击文件的路径和名称>

返回到泛型事件

事件 ID:1034

成功更新安全启动 DBX 变量时,将记录此事件。 DBX 变量用于取消信任安全启动组件,通常用于阻止易受攻击或恶意的安全启动组件,例如启动管理器和用于对启动管理器进行签名的证书。

事件 1034 指示正在将标准 DBX 吊销应用于固件,

事件日志信息

事件日志

系统

事件源

TPM-WMI

事件 ID

1034

级别

信息

事件消息文本

已成功应用安全启动 Dbx 更新

返回到泛型事件

事件 ID:1036

成功更新安全启动数据库变量时,将记录此事件。 DB 变量用于添加安全启动组件的信任,通常用于信任用于对启动管理器进行签名的证书。

事件日志信息

事件日志

系统

事件源

TPM-WMI

事件 ID

1036

级别

信息

事件消息文本

已成功应用安全启动数据库更新

返回到泛型事件

事件 ID:1037

将 Microsoft Windows 生产 PCA 2011 证书添加到 UEFI 安全启动禁止签名数据库 (DBX) 时,将会记录此事件。 发生此情况时,使用此证书签名的任何启动应用程序在启动设备时将不再受信任。 这包括与系统恢复媒体、PXE 启动应用程序,以及利用此证书签名的启动应用程序的任何其他介质一起使用的任何启动应用程序。

错误日志信息

事件日志

系统

事件源

TPM-WMI

事件 ID

1037

级别

信息

错误消息文本

已成功应用安全启动 Dbx 更新以撤销 Microsoft Windows 生产 PCA 2011。

返回到泛型事件

事件 ID:1043

使用 Microsoft Corporation KEK CA 2023 证书成功更新安全启动 KEK 变量时,会记录此事件。 KEK 变量用于向 DB 和 DBX 变量添加安全启动更新的信任。 必须将此新证书添加到 KEK,以帮助在 2026 年到期的现有 Microsoft Corporation KEK CA 2011 证书过期后确保设备安全。

错误日志信息

事件日志

系统

事件源

TPM-WMI

事件 ID

1043

级别

信息

事件消息文本

已成功应用安全启动 KEK 更新

返回到泛型事件

事件 ID:1044

Microsoft 选项 ROM CA 2023 证书添加到数据库变量时,将记录此事件。 DB 变量用于添加安全启动组件的信任,通常用于信任用于对启动管理器进行签名的证书。 在 2026 年 UEFI CA 2011 Microsoft 到期之前,必须向 DB 添加新的 Option ROM 证书,以确保支持的连续性。

错误日志信息

事件日志

系统

事件源

TPM-WMI

事件 ID

1044

级别

信息

事件消息文本

安全启动 DB 更新以安装Microsoft选项 ROM UEFI CA 2023 证书已成功应用

返回到泛型事件

事件 ID:1045

Microsoft UEFI CA 2023 证书添加到数据库变量时,将记录此事件。 DB 变量用于添加安全启动组件的信任,通常用于信任用于对启动管理器进行签名的证书。 需要向 DB 添加新Microsoft UEFI CA 2023 证书,以确保在 2026 年 Microsoft UEFI CA 2011 到期之前支持连续性。

错误日志信息

事件日志

系统

事件源

TPM-WMI

事件 ID

1045

级别

信息

事件消息文本

安全启动 DB 更新,用于成功安装 Microsoft UEFI CA 2023 证书

返回到泛型事件

事件 ID:1796

当安全启动更新应用于设备时,发生其他事件未涵盖的错误时,会记录一个事件,Windows 将在下次系统重启时尝试将安全启动更新应用到固件。

事件日志信息

遇到意外错误时发生事件 ID 1796。 事件日志条目将包含意外错误的错误代码。 在此事件中,<事件类型> 可以是以下类型之一:“DB”、“DBX”、“SBAT”、“策略更新 (SKU) ”, “Windows UEFI CA 2023 (DB) ”、“选项 ROM CA 2023 (DB) ”、“3P UEFI CA 2023 (DB) ”、“KEK 2023”、“DBX SVN”或“撤销 UEFI CA 2011 (DBX) ”。

事件日志

系统

事件源

TPM-WMI

事件 ID

1796

级别

错误

事件消息文本

安全启动更新无法更新 <事件类型>,> 出现错误 <错误代码。 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2169931

返回到泛型事件

事件 ID:1797

尝试将 Microsoft Windows 生产 PCA 2011 证书添加到 UEFI 安全启动禁止签名数据库 (DBX) 期间,将会记录此事件。

在将此证书添加到 DBX 之前,请进行检查以确保 Windows UEFI CA 2023 证书已添加到 UEFI 安全启动签名数据库 (DB)。 如果尚未将 Windows UEFI CA 2023 添加到 DB,Windows 将有意导致 DBX 更新失败。 此操作的目的是确保设备信任这两个证书中的至少一个,这可确保设备信任由 Microsoft 签名的启动应用程序。

将 Microsoft Windows 生产 PCA 2011 添加到 DBX 时,请进行两项检查以确保设备继续成功启动:1) 确保已将 Windows UEFI CA 2023 添加到 DB,2) 确保默认启动应用程序未由 Microsoft Windows 生产 PCA 2011 证书签名。

事件日志信息

事件日志

系统

事件源

TPM-WMI

事件 ID

1797

级别

错误

错误消息文本

安全启动更新失败,因为 Db 中不存在 Windows UEFI CA 2023 证书。

返回到泛型事件

事件 ID:1798

尝试将 Microsoft Windows 生产 PCA 2011 证书添加到 UEFI 安全启动禁止签名数据库 (DBX) 期间,将会记录此事件。

在将此证书添加到 DBX 之前,请进行检查以确保默认启动应用程序未由 Microsoft Windows 生产 PCA 2011 签名证书签名。 如果默认启动应用程序已由 Microsoft Windows Production PCA 2011 签名证书签名,Windows 将有意导致 DBX 更新失败。 

将 Microsoft Windows 生产 PCA 2011 添加到 DBX 时,请进行两项检查以确保设备继续成功启动:1) 确保已将 Windows UEFI CA 2023 添加到 DB,2) 确保默认启动应用程序未由 Microsoft Windows 生产 PCA 2011 证书签名。

事件日志信息

事件日志

系统

事件源

TPM-WMI

事件 ID

1798

级别

错误

错误消息文本

安全启动 Dbx 更新失败,因为启动管理器未使用 Windows UEFI CA 2023 证书进行签名。

返回到泛型事件

事件 ID:1799

将启动管理器应用于由 Windows UEFI CA 2023 证书签名的系统时,将会记录此事件

事件日志信息

事件日志

系统

事件源

TPM-WMI

事件 ID

1799

级别

信息

错误消息文本

已成功安装使用 Windows UEFI CA 2023 签名的启动管理器

返回到泛型事件

事件 ID:1800 

当系统检测到在当前启动周期中应用安全启动更新可能会与最近的更改(例如启动管理器更新或对使用基于虚拟化的安全性的设备上的安全启动变量的更新)产生冲突时,将记录此事件。 重启会清除这些条件,以便可以安全地进行更新。 在此事件中,<事件类型> 可以是以下类型之一:“DB”、“DBX”、“策略更新 (SKU) ”、“Windows UEFI CA 2023 (DB) ”, “选项 ROM CA 2023 (DB) ”、“3P UEFI CA 2023 (DB) ”、“KEK 2023”、“DBX SVN”或“撤销 UEFI CA 2011 (DBX) ”。

事件日志信息

事件日志

系统

事件 ID

1800

级别​​​​​​​

警告

事件消息文本

安装安全启动更新之前需要重新启动:<事件类型>。

返回到泛型事件

设备特定事件

在本节中

返回页首

事件详细信息

  • DeviceAttributes 描述设备的特征。 计算 BucketID 时使用这些值。

  • BucketID 是标识一组等效设备的唯一哈希。 当设备的属性发生更改时(例如,在固件更新后),设备可以移动到其他存储桶。

  • UpdateType 将为 0 或 22852 (0x5944) 。 值0x5944指示高置信度更新。

  • 当系统有足够的数据来评估设备接受更新的置信度时,将出现 BucketConfidenceLevel。 可能的值包括:

    • 高置信度: 此组中的设备通过观察到的数据证明,它们可以使用新的安全启动证书成功更新固件。

    • 暂时暂停: 此组中的设备受已知问题的影响。 为了降低风险,安全启动证书更新会暂时暂停,同时Microsoft和合作伙伴努力实现受支持的解决方案。 这可能需要固件更新。 有关更多详细信息,请查找 1802 事件。

    • 不支持 - 已知限制: 由于硬件或固件限制,此组中的设备不支持自动安全启动证书更新路径。 此配置当前没有受支持的自动解析可用。

    • 在“观察 - 需要更多数据”下: 此组中的设备当前未被阻止,但还没有足够的数据将其分类为高置信度。 安全启动证书更新可能会延迟,直到有足够的数据可用。

    • 未观察到数据 - 需要操作: Microsoft未在安全启动更新数据中观察到此设备。 因此,无法为此设备评估自动证书更新,并且可能需要管理员操作。 有关指导,请参阅:https://aka.ms/SecureBootStatus。

返回到设备特定事件 

事件 ID:1795

当安全启动签名数据库 (DB) 、撤销的签名数据库 (DBX) ,或者将密钥交换密钥 (KEK) 更新应用于固件时,固件可能会返回错误。 发生错误时,会记录事件,Windows 将在下次系统重启时尝试将更新应用到固件。

采取操作

请与设备制造商联系,以确定固件更新是否可用。

事件日志信息

当设备中的固件返回错误时,将记录事件 ID 1795。 事件日志条目将包括从固件返回的错误代码。

事件日志

系统

事件源

TPM-WMI

事件 ID

1795

级别

错误

事件消息文本

尝试 <DB、DBX 或 KEK> 更新安全启动变量时,系统固件 <固件错误代码> 返回错误。 此处包含此设备签名信息。DeviceAttributes:<属性> BucketId:<唯一的设备存储桶 ID> BucketConfidenceLevel:<桶置信度级别> 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2169931

返回到设备特定事件  

事件 ID:1801

这是一个错误事件,指示更新的证书尚未应用于设备的固件。 此事件提供有关设备的一些详细信息,包括设备属性和设备存储桶 ID,这将有助于关联仍需要更新的设备。

事件日志信息

事件日志 

系统 

事件源 

TPM-WMI 

事件 ID 

1801

级别 

错误 

事件消息文本 

安全启动证书已更新,但尚未应用于设备固件。 查看已发布的指南以完成更新并确保完全保护。 此处包含此设备签名信息。

DeviceAttributes:<属性>BucketId:<Bucket ID>BucketConfidenceLevel:<置信度级别>UpdateType:<更新类型> 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2301018。

返回到设备特定事件  

事件 ID:1802

此事件指示安全启动更新被有意阻止,因为设备与阻止更新安全完成的已知固件或硬件条件匹配。 这些条件基于设备制造商报告或通过Microsoft测试确定的问题,其中应用更新会失败或可能导致更严重的问题。 事件标识特定原因,以便管理员能够了解更新未继续的原因。 在此事件中,<事件类型> 可以是以下类型之一:“DB”、“DBX”、“策略更新 (SKU) ”、“Windows UEFI CA 2023 (DB) ”, “选项 ROM CA 2023 (DB) ”、“3P UEFI CA 2023 (DB) ”、“KEK 2023”、“DBX SVN”或“撤销 UEFI CA 2011 (DBX) ”。 有关 <已知问题 ID> 的详细信息和修正指南,请参阅 https://go.microsoft.com/fwlink/?linkid=2339472

​​​​​​​事件日志信息

事件日志

系统

事件 ID

1802

级别

错误

事件消息文本

由于设备上的已知固件问题,安全启动更新 <事件类型> 被阻止。 请与设备供应商联系,了解解决该问题的固件更新。 此处包含此设备签名信息。DeviceAttributes:<属性>BucketId:<Bucket ID>BucketConfidenceLevel:<置信度级别>SkipReason:<已知问题 ID> 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2339472

返回到设备特定事件  

事件 ID:1803

仅当 KEK 由平台密钥正确签名时,安全启动才能更新密钥交换密钥。 设备制造商或平台密钥的其他所有者对Microsoft KEK 进行签名,并将签名的 KEK 提供给Microsoft以便将其包含在 Windows 更新中。 此事件意味着在累积更新中找不到此设备的 PK 签名 KEK,因此 KEK 更新无法继续。 客户可以与其设备制造商检查,了解其型号的 PK 签名 KEK 的状态。 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2339472

事件日志

系统

事件 ID

1803

级别

错误

事件消息文本

找不到此设备的 PK 签名密钥交换密钥 (KEK) 。 请与设备制造商联系,了解密钥预配是否正确。此处包含此设备签名信息。DeviceAttributes:<属性>BucketId:<Bucket ID>BucketConfidenceLevel:<置信度级别> 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2339472

返回到设备特定事件  

事件 ID:1808

这是一个信息性事件,指示设备 已将所需的新安全启动证书应用于设备的固件。 当所有必需的证书都已应用于固件,并且启动管理器已更新为由“Windows UEFI CA 2023”证书签名的启动管理器时,将记录此事件。

注意: 此事件指示设备已完全更新。 BucketConfidenceLevel 反映了类似设备的Microsoft数据覆盖范围,并不表示需要对此设备采取进一步操作。

​​​​​​​事件日志信息

事件日志 

系统 

事件源 

TPM-WMI 

事件 ID 

1808

级别 

信息 

事件消息文本 

此设备已更新安全启动 CA/密钥。 此处包含此设备签名信息。

DeviceAttributes:<属性>BucketId:<Bucket ID>BucketConfidenceLevel:<置信度级别>UpdateType:<更新类型> 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2301018。

返回到设备特定事件 

更改日志

更改日期

描述

2026 年 4 月 18 日

  • 向事件 ID 添加了以下注释:1808:注意:此事件指示设备已完全更新。 BucketConfidenceLevel 反映了类似设备的Microsoft数据覆盖范围,并不表示需要对此设备采取进一步操作。

  • 重新设置项目格式以使用“目录”类型链接。

2026 年 2 月 10 日

  • 在“设备特定事件”下添加了新摘要。 

2026 年 2 月 9 日

  • 修订了“摘要”下的内容 

  • 修订了“更多信息”下的内容

  • 修订了多个事件 ID 下的内容 - ID 1032、ID 1043、ID 1045、ID 1795、ID 1796、ID 1797、ID 1798

  • 为 -ID 1800、ID 1801、ID 1802、ID 1803 创建了多个新事件 ID 和内容

  • 在“通用安全启动事件”和“设备特定事件”标头下创建了事件排序和分组。

2025 年 10 月 14 日

  • 在“事件 ID”部分添加了事件 ID: 1801 和事件 ID: 1808。

2025 年 7 月 9 日

  • 在“事件 ID”部分添加了事件 ID: 1043、事件 ID: 1044 和事件 ID: 1045。

2025 年 1 月 29 日

  • 修订了事件 ID:1795 中的前导段落,以包括安全启动签名数据库 (DB) 、撤销的签名数据库 (DBX) 或密钥交换密钥 (KEK) 更新。 以前,该段落引用了更新的 DBX 吊销列表。

返回页首  

订阅 RSS 源

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心