Úvod
Aktualizace Windows vydané 13. února 2024 a po nich zahrnují možnost použít certifikát Windows UEFI CA 2023 na databázi povolených podpisů (DB) zabezpečeného spouštění rozhraní UEFI. Aktualizace databáze umožní zařízením přijímat budoucí aktualizace zavaděče spouštění, které jsou součástí měsíčních aktualizací.
To je důležité, protože platnost stávajícího certifikátu vyprší a přechod na nový certifikát je prvním krokem při přípravě zařízení na práci s nadcházejícími aktualizacemi zavaděče spouštění, které budou kryptograficky podepsány pomocí nového certifikátu.
O aktualizacích databáze se ví, že u některých zařízení dochází k problémům s kompatibilitou. Aby se usnadnilo zavedení do zařízení s Windows, aktualizace databáze se automaticky nepoužije. Pro podniková prostředí je důležité mít řízené zavedení aktualizace po pečlivém ověření na reprezentativních zařízeních, která jsou v prostředí přítomná, aby nedošlo k přerušení.
Podrobné vysvětlení najdete v tématu Aktualizace klíčů zabezpečeného spouštění od Microsoftu.
Provedení akce
Nasaďte aktualizaci databáze na reprezentativní ukázková testovací zařízení podle pokynů k nasazení uvedených v tématu Aktualizace klíčů zabezpečeného spouštění Microsoftu.
Po úspěšné aktualizaci databáze testovacím zařízením by mělo být bezpečné zavést aktualizaci databáze do zařízení se stejnou konfigurací hardwaru a firmwaru. Můžete to provést nastavením následujícího klíče registru pomocí softwaru pro nasazení, jako jsou zásady skupiny nebo správa mobilních zařízení (MDM):
Cesta registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Jméno: AvailableUpdates
Hodnota: 0x40
Po restartování zařízení by se měla databáze aktualizovat. V některých případech může být vyžadováno druhé restartování.
Známé problémy
Známé problémy s touto aktualizací najdete v části Známé problémy v KB5025885: Správa odvolání Správce spouštění systému Windows u změn zabezpečeného spouštění spojených s CVE-2023-24932.
