套用到
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

原始發佈日期:2025 年 10 月 14 日

KB 編號:5068202

本文提供以下方面的指引:  

  • 具有 IT 管理的 Windows 裝置和更新的組織。

此支援的可用性:  

  • AvailableUpdatesUEFICA2023StatusUEFICA2023ErrorHighConfidenceOptOutMicrosoftUpdateManagedOptIn 登錄機碼包含在下列日期或之後發行的更新中:

    • 2025 年 10 月 14 日:支援的版本包括 Windows 10、22H2 版和更新版本 (包括 21H2 LTSC) 、所有支援的 Windows 11 版本以及 Windows Server 2022 及更新版本。

    • 2025 年 11 月 11 日:適用於仍支援的 Windows 版本。

本文內容

簡介

本檔說明使用 Windows 登錄機碼部署、管理和監視安全開機憑證更新的支援。 按鍵包含下列項目: 

  • 一個金鑰可觸發裝置上憑證和開機管理員的部署。

  • 用於監控部署狀態的兩個金鑰。

  • 兩個金鑰,用於管理兩個可用部署輔助工具的選擇加入/選擇退出設定。

這些註冊表項可以在裝置上手動設定,也可以透過可用的車隊管理軟體遠端設定。 其他部署方法,例如群組原則、Intune 和 WinCS,請參閱具有 IT 管理更新的企業和組織的 Windows 裝置一文。  

安全開機登錄機碼

本節內容

登錄機碼

本檔所述的所有安全開機登錄機碼都位於此登錄路徑下: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

下表說明每個登錄值。 

登錄值

類型

描述 & 用法

可用更新

REG_DWORD (位遮罩)

更新觸發器旗標。

控制要在裝置上執行的安全開機更新動作。 在此處設定適當的位欄位會啟動新的安全開機憑證和相關更新的部署。 對於企業部署,應將其設定為 0x5944 (十六進位) ,此值可啟用所有相關更新, (新增新的 2023 CA 憑證、更新 KEK 以及安裝新的開機管理員) 。 

的同步: 

  • 0 或未設定 - 不會執行安全開機金鑰更新。

  • 0x5944 – 部署所有需要的憑證並更新至PCA2023簽署的開機管理員

UEFICA2023狀態

REG_SZ (字串)

部署狀態指示器。

反映裝置上安全開機金鑰更新的目前狀態。 它將設定為下列其中一個文字值:

  • 未開始:更新尚未執行。

  • 進行中:更新正在積極進行中。

  • 更新時間: 更新已成功完成。

一開始,狀態為 NotStarted。 更新開始後,它會變更為 InProgress,最後在部署所有新金鑰和新的開機管理員時變更為 Updated。 如果發生錯誤,則 UEFICA2023Error 登錄值會設定為非零代碼。

UEFICA2023錯誤

REG_DWORD (代碼)

錯誤代碼 (如果有的話) 。

成功時,此值會保持 0 。 如果更新程式遇到錯誤, UEFICA2023Error 會設定為對應於遇到的第一個錯誤的非零錯誤碼。 此處的錯誤表示安全開機更新未完全成功,可能需要在該裝置上進行調查或補救。  

例如,如果更新受信任簽章的資料庫 (資料庫因韌體問題而失敗) ,此登錄機碼可能會顯示可對應至事件記錄檔的錯誤碼,或 安全開機資料庫和 DBX 變數更新事件中記載的錯誤識別碼。 

高置信度選擇退出

REG_DWORD

選擇退出選項。

適用於想要選擇退出將自動套用為 LCU 一部分的高置信度儲存貯體的企業。

您可以將此索引鍵設定為非零值,以選擇退出高信賴度儲存貯體。 

設定 

  • 0 或金鑰不存在 – 選擇加入

  • 1 – 選擇加入

MicrosoftUpdateManagedOptIn

REG_DWORD

選擇加入選項。

適用於想要選擇加入受控功能推出 (CFR) 服務 (也稱為 Microsoft Managed) 的企業。

除了設定此金鑰之外,還允許傳送必要的診斷數據 (請參閱 在組織) 中設定 Windows 診斷數據 。 

設定

  • 0 或金鑰不存在 – 選擇退出

  • 1 – 選擇加入

這些金鑰如何協同運作

IT 系統管理員會將 AvailableUpdates 登錄值設定為 0x5944,這會指示 Windows 在裝置上執行安全開機金鑰更新和安裝。

當程式執行時,系統會將 UEFICA2023StatusNotStarted 更新為 InProgress,最後在成功時更新為 Updated 。 當0x5944中的每個位都成功處理時,它就會被清除。

如果任何步驟失敗,則會在 UEFICA2023錯誤 (中記錄錯誤碼,且狀態仍為 進行中) 。

此機制為管理員提供了一種清晰的方法來觸發和追蹤每個裝置的推出。 

使用登錄機碼進行部署 

部署至一組裝置包含下列步驟: 

  1. 在每個要更新的裝置上將 AvailableUpdates 登錄值設定為 0x5944

  2. 監視 UEFICA2023StatusUEFICA2023Error 登錄機碼,以查看裝置是否正在進行。 請記住,處理這些更新的工作每 12 小時執行一次。 請注意,開機管理器更新可能要等到重新啟動後才會發生。

  3. 如果發生問題,請調查問題。 如果裝置上的 UEFICA2023Error 為非零,您可以檢查事件記錄檔中是否有與此問題相關的事件。 如需安全開機事件的完整清單,請參閱 安全開機資料庫和 DBX 變數更新事件

重新啟動的注意事項:雖然可能需要重新啟動才能完成程式,但起始安全開機更新的部署不會導致重新啟動。 如果需要重新啟動,安全開機部署依賴重新啟動,作為使用裝置的正常過程。 

使用登錄機碼進行裝置測試 

測試個別裝置以確保裝置能夠正確處理更新時,登錄機碼可以是直接的測試方式。 

若要測試,請從系統管理員 PowerShell 提示字元中分別執行下列每個命令: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”

第一個命令在裝置上啟動憑證和引導管理器部署。 第二個命令會導致處理 AvailableUpdates 登錄機碼的工作立即執行。 通常,任務每 12 小時執行一次。 

您可以觀察 UEFICA2023StatusUEFICA2023Error 登錄機碼,以及事件記錄檔,以找到結果,如安全開機資料庫和 DBX 變數更新事件中所述。 

選擇加入和選擇退出協助 

HighConfidenceOptOutMicrosoftUpdateManagedOptIn 登錄機碼可用來管理具有 IT 管理更新的 Windows 裝置中所述的兩個部署「協助」。 

  • HighConfidenceOptOut 登錄機碼會透過累積更新來控制裝置的自動更新。 對於 Microsoft 觀察到特定裝置成功更新的裝置,它們會被視為「高信賴度」裝置,而且安全開機憑證更新會自動發生。 此預設設定 已選擇加入

  • MicrosoftUpdateManagedOptIn 登錄機碼可讓 IT 部門選擇加入由 Microsoft 管理的自動部署。 此設定預設為停用,並將其設定為 1 個選擇加入。 此設定也要求裝置傳送選擇性診斷資料。

支援的 Windows 版本

下表會進一步根據登錄機碼來細分支援。 

機碼 

支援的 Windows 版本 

可用更新 

UEFICA2023狀態 

UEFICA2023錯誤 

支援安全開機 (Windows Server 2012 和更新版本 Windows 的所有 Windows 版本) 。  

便條: 雖然信賴度數據是在 Windows 10 LTSC、22H2 和更新版本的 Windows 上收集,但它可以套用至在舊版 Windows 上執行的裝置。    

  • Windows 10,版本 LTSC 和 22H2

  • Windows 11 版本 22H2 和 23H2

  • Windows 11 版本 24H2

  • Windows Server 2025

高置信度選擇退出 

MicrosoftUpdateManagedOptIn 

安全開機錯誤事件

​​​​​​​​​​​​​​錯誤事件具有重要的報告功能,可通知安全開機狀態和進度。  如需錯誤事件的相關資訊,請參閱 安全開機資料庫和 DBX 變數更新事件。 錯誤事件會使用安全開機的其他事件資訊進行更新。 

安全開機的其他元件變更 

本節內容

TPMT要求變更 

修改 TPMT要求,以判斷裝置的狀態是否有更新的安全開機憑證。 目前,它可以做出該決定,但前提是 CFR 選擇要更新的機器。 無論 CFR 為何,該決定和後續記載都應該在每個開機階段作業中進行。 如果安全開機憑證 完全更新,則它們會發出上述兩個錯誤事件。 如果憑證是最新的,則會發出 Information 事件。 將檢查的安全開機憑證包括:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 和 Microsoft Option ROM UEFI CA 2023 – 只有在 Microsoft UEFI CA 2011 存在時,這兩個 CA 才必須存在。 如果 Microsoft UEFI CA 2011 不存在,則不需要檢查。

  • Microsoft Corporation KEK 2K CA 2023

機器中繼資料事件 

此事件會收集電腦中繼資料,並發出下列事件:

  • BucketId + 信賴評等事件   

此事件會使用機器的中繼資料,在儲存桶入口) (機器資料庫中尋找對應的專案。 機器會格式化並發出事件,其中包含此資料,以及有關儲存貯體的任何信賴度資訊。 ​​​​​​​ 

高置信度的設備輔助 

對於高信賴度貯體中的裝置,會自動套用安全開機憑證和 2023 已簽署的開機管理員。   

更新將在產生兩個錯誤事件的同時觸發,而 BucketId + 信賴評等事件包含高信賴評等。   

選擇退出

對於想要選擇退出的客戶,將提供新的登錄機碼,如下所示:   

登錄位置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

按鍵名稱

高置信度選擇退出

金鑰類型

DWORD

DWORD 值

0 或金鑰不存在 – 已啟用高置信度輔助。    

1 – 高置信度輔助被禁用   

任何其他值都未定義   

Facebook LinkedIn 電子郵件
訂閱 RSS 摘要

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

Microsoft 365 訂閱權益

Microsoft 365 訓練

Microsoft 安全性

協助工具中心