Introduktion
Windows-opdateringer, der er udgivet den 13. februar 2024 og derefter, omfatter muligheden for at anvende Windows UEFI CA 2023-certifikatet på UEFI Db (Secure Boot Allowed Signature Database). Opdatering af DB gør det muligt for enheder at modtage fremtidige opdateringer til bootindlæsning, der er inkluderet i månedlige opdateringer.
Dette er vigtigt, fordi det eksisterende certifikat udløber, og flytning til det nye certifikat er det første trin i at forberede enheder til at arbejde med kommende opdateringer til bootindlæsning, der bliver kryptografisk signeret ved hjælp af det nye certifikat.
Opdateringer til DB er kendt for at have kompatibilitetsproblemer med visse enheder. For at gøre implementeringen til Windows-enheder nemmere gælder opdateringen til DB ikke automatisk. For virksomhedsmiljøer er det vigtigt at have en kontrolleret udrulning af opdateringen efter nøje validering med repræsentative enheder, der findes i miljøet, for at undgå afbrydelser.
Du kan finde en detaljeret forklaring under Opdatering af Microsoft Secure Boot Keys.
Gør noget
Installer DB-opdateringen på repræsentative prøvetestenheder ved at følge installationsvejledningen i Opdatering af Microsoft Secure Boot Keys.
Når en testenhed har opdateret DB'en, bør det være sikkert at udrulle DB-opdateringen på enheder med den samme hardware- og firmwarekonfiguration. Du kan gøre dette ved at angive følgende registreringsdatabasenøgle ved hjælp af installationssoftware, f.eks. Gruppepolitik eller administration af mobilenheder (MDM):
Sti til registreringsdatabasen: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Navn: Tilgængelige opdateringer
Værdi: 0x40
Når enheden er genstartet, bør DB'en opdateres. I nogle tilfælde kan det være nødvendigt at genstarte igen.
Kendte problemer
Du kan se kendte problemer med denne opdatering i afsnittet Kendte problemer i KB5025885: Sådan administrerer du Windows Boot Manager-tilbageførsler for ændringer af sikker bootstart, der er knyttet til CVE-2023-24932.
