套用到
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

原始發佈日期:2025年10月14日

KB ID:5068202

本文提供以下指引:  

  • 擁有 IT 管理的 Windows 裝置與更新的組織。

此支援的可用性:  

AvailableUpdatesUEFICA2023StatusUEFICA2023ErrorHighConfidenceOptOutMicrosoftUpdateManagedOptIn 登錄鍵均包含於以下日期發布的更新中:

  • 2025年10月14日: 支援的版本包括 Windows 10、22H2 版本及更新版本 (包括 21H2 LTSC) ,所有支援的 Windows 11 版本,以及 2022 年Windows Server以後版本。

  • 2025年11月11日: 針對仍在支援的 Windows 版本。

變更日期

變更描述

2025年11月4日

  • 在頁面上又新增了一個登錄檔金鑰。

  • 修正了「例如,若因韌體問題導致更新資料庫 (可信) 簽章資料庫失敗,該登錄鍵可能會顯示可映射到事件日誌或已記錄錯誤 ID 的錯誤代碼」中的陳述,改為「例如,若因韌體問題) 更新資料庫 (受信任簽章資料庫失敗, 這個登錄檔金鑰可能會顯示韌體的錯誤代碼。 當此金鑰存在且非零時,我們建議您在 Windows 事件日誌中尋找安全開機事件——詳情請參見 (連結) 」。

  • 在下方新增了兩條不同的登錄檔金鑰路徑

2025年11月11日

  • 更新了「 使用登錄檔金鑰進行裝置測試」段落,並補充說明:「登錄檔金鑰應迅速切換為0x4100。 重新啟動並再次執行任務會更新開機管理器,AvailableUpdates 會變成0x0100。 關於 AvailableUpdates 的行為細節,請參見故障排除。」

  • 用登錄檔鍵更新裝置測試灰色框中的文字,新增兩個 PowerShell 指令

  • 在登錄檔金鑰中,登錄值 - MicrosoftUpdateManagedOptIn 從「1 - 選擇加入」改為「1 或任何非零值 – 選擇加入」

2025年11月16日

更新了「使用登錄檔金鑰進行裝置測試」下的內容。 可用更新值從「0x0100」 改為「0x4000」。

本文內容

簡介

本文件說明了使用 Windows 登錄檔金鑰部署、管理及監控安全開機憑證更新的支援方式。 這些鑰匙包括以下幾項: 

  • 一把金鑰可以觸發裝置上憑證和開機管理員的部署。

  • 監控部署狀態的兩個關鍵。

  • 管理兩種可用部署輔助的選擇加入/退出設定有兩個鍵。

這些登錄鍵可在裝置上手動設定,或透過現有的車隊管理軟體遠端設定。 其他部署方法,如群組原則、Microsoft Intune 及 WinCS,則詳見《Windows 裝置用於企業與組織,具備 IT 管理更新》一文。  

安全開機登錄檔金鑰

在本節中

登錄鍵

以下所述的所有安全啟動登錄檔金鑰皆位於此登錄檔路徑下: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

下表說明了每個登錄檔值:

登記處價值

類型

描述與使用

可用更新

REG_DWORD (位元遮罩)

更新觸發標記。

控制哪些安全開機更新要對裝置執行的動作。 在此設定適當的位元欄位,即可啟動新的安全開機憑證及相關更新的部署。 企業部署時,應設定為 0x5944 (十六進位) ——此值可啟用所有相關更新, (新增 2023 年授權憑證、更新 KEK 及安裝新的開機管理器) 。 

場景: 

  • 0 或未設定 - 不會執行安全開機金鑰更新。

  • 0x5944 – 部署所有必要的憑證並更新到PCA2023簽署的開機管理器

HighConfidenceOptOut

REG_DWORD

一個選擇退出的選項。

對於想退出高信心分類的企業,這些信任度欄位將自動作為 LCU 的一部分。

你可以將此鍵設定為非零值,以選擇退出高信心區。 

設定 

  • 0 或 鍵不存在 – 請選擇加入

  • 1 – 退出

MicrosoftUpdateManagedOptIn

REG_DWORD

一個選擇加入的選項。

對於想選擇加入受控功能推出(CFR) () 服務(又稱Microsoft管理)的企業。

除了設定此金鑰外,還允許傳送所需的診斷資料 (詳見「在你的組織中配置 Windows 診斷資料」) 。 

設定

  • 0 或 鍵不存在 – 退出

  • 1 或任何非零值  – 選擇加入

以下所述的所有安全啟動登錄檔金鑰皆位於此登錄檔路徑下: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

下表說明了每個登錄檔值:

登記處價值

類型

描述與使用

UEFICA2023 狀態

REG_SZ (弦)

部署狀態指示器。

反映裝置上安全開機金鑰更新的當前狀態。 它將被設定為以下其中一種文字值:

  • NotStarted:更新尚未執行。

  • 進行中:更新正在進行中。

  • 更新:更新已成功完成。

最初狀態是 NotStarted。 更新開始後,系統會改為 InProgress,最後在所有新金鑰和新開機管理器部署完成後改為 Updated。 若有錯誤,則 UEFICA2023Error 登錄值會設定為非零代碼。

UEFICA2023 錯誤

REG_DWORD (代碼)

錯誤代碼 (如果有的話) 。

成功時此值維持 為0 。 若更新過程中遇到錯誤, UEFICA2023Error 會設定為非零錯誤碼,對應於第一個遇到的錯誤。 此處錯誤表示安全開機更新未完全成功,可能需要對該裝置進行調查或修復。  

例如,若因韌體問題導致更新資料庫 (受信任簽章) 失敗,該登錄檔金鑰可能會顯示韌體錯誤代碼。 當此金鑰存在且非零時,我們建議您在 Windows 事件日誌中尋找安全開機事件——詳情請參閱安全開機資料庫與 DBX 變數更新事件。

WindowsUEFICA2023Capable

REG_DWORD (代碼)

此登錄檔金鑰適用於有限部署情境,不建議一般使用。 大多數情況下,建議改用 UEFICA2023Status 登錄檔金鑰。

有效價值觀:

0 – 或 key 不存在 - 「Windows UEFI CA 2023」憑證不在資料庫中

1 - 「Windows UEFI CA 2023」憑證已在資料庫中

2 - 「Windows UEFI CA 2023」憑證已在資料庫中,系統正從 2023 簽署的開機管理器啟動

這些鍵的運作方式

IT 管理員會將 AvailableUpdates 登錄檔值設定為 0x5944,這會通知 Windows 執行安全開機金鑰的更新與安裝。

隨著程序執行,系統會將 UEFICA2023StatusNotStarted 更新為 InProgress,最後在成功時更新為 Updated 。 當 0x5944 中的每個位元成功處理後,該位元就會被清除。

若有任何步驟失敗,錯誤代碼會記錄在 UEFICA2023Error (,狀態仍維持 進行中) 。

此機制讓管理員能清楚觸發並追蹤每個裝置的部署。 

使用登錄檔鍵的部署 

部署到一組裝置包括以下步驟: 

  1. 在每台待更新裝置上,將 AvailableUpdates 登錄檔值設為 0x5944

  2. 監控 UEFICA2023StatusUEFICA2023Error 登錄檔鍵,看看裝置是否有進展。 處理這些更新的任務每 12 小時執行一次。 請注意,開機管理員的更新可能要等到重新啟動之後才會發生。

  3. 如果發生問題,請調查。 如果 UEFICA2023Error 在某裝置上不是零,你可以查看與此問題相關的事件日誌。 完整 Secure Boot 事件列表請參閱 Secure Boot DB 與 DBX 變數更新事件

關於重新啟動的說明:雖然可能需要重新啟動才能完成流程,但啟動安全啟動更新不會引發重新啟動。 若需要重啟,安全開機部署依賴重新啟動作為正常使用程序。 

使用登錄檔金鑰進行裝置測試 

在測試單一裝置以確保能正確處理更新時,登錄檔金鑰可以是一個簡單的測試方式。 

測試時,請將以下每項指令分別執行,並從管理員的 PowerShell 提示字元中執行: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v 可用更新 /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -任務名稱「\Microsoft\Windows\PI\Secure-Boot-Update」

當可用更新變成0x4100時,手動重新啟動系統

Start-ScheduledTask -任務名稱「\Microsoft\Windows\PI\Secure-Boot-Update」

第一個指令會在裝置上啟動憑證與開機管理員的部署。 第二個指令會立即執行處理 AvailableUpdates 登錄檔金鑰的任務。 通常這項任務每12小時進行一次。 登錄金鑰應該很快就會變成0x4100。 重新啟動並再次執行任務會更新開機管理器,AvailableUpdates 會變成0x4000。 關於 AvailableUpdates 的行為細節,請參見故障排除。

您可以透過觀察 UEFICA2023StatusUEFICA2023Error 登錄鍵,以及安全開機資料庫和 DBX 變數更新事件中描述的事件日誌來取得結果。 

選擇加入或選擇退出協助 

HighConfidenceOptOutMicrosoftUpdateManagedOptIn 登錄檔金鑰可用於管理 Windows 裝置中描述的兩種部署「輔助」,並搭配 IT 管理的更新。 

  • HighConfidenceOptOut 登錄金鑰透過累積更新來自動更新裝置。 對於 Microsoft 觀察到特定裝置成功更新的裝置,將被視為「高信心」裝置,安全開機憑證的更新將自動進行。 預設設定是選擇加入

  • MicrosoftUpdateManagedOptIn 登錄檔金鑰允許 IT 部門選擇加入由 Microsoft 管理的自動部署。 這個設定預設是關閉的,並設為 1 個選擇加入。 此設定同時要求裝置傳送可選的診斷資料。

支援的 Windows 版本

下表進一步分解了根據登錄檔金鑰的支援。 

機碼 

支援的 Windows 版本 

可用更新 

UEFICA2023 狀態 

UEFICA2023 錯誤 

所有支援安全開機 (Windows Server 2012 的 Windows 版本及更新版本的 Windows) 。  

便條: 雖然信心數據是在 Windows 10、LTSC、22H2 及更新版本的 Windows 上收集的,但也可應用於運行較早期 Windows 版本的裝置。    

  • Windows 10,LTSC 與 22H2 版本

  • Windows 11,版本 22H2 與 23H2

  • Windows 11,版本 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

安全啟動錯誤事件

​​​​​​​​​​​​​​錯誤事件具有關鍵的報告功能,能通知安全開機狀態與進度。  關於錯誤事件的資訊,請參閱安全開機資料庫與 DBX 變數更新事件。 錯誤事件正隨著安全啟動的額外事件資訊而更新。 

Facebook LinkedIn 電子郵件
訂閱 RSS 摘要

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

Microsoft 365 訂閱權益

Microsoft 365 訓練

Microsoft 安全性

協助工具中心