Gælder for
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Oprindelig publiceret dato: 26. juni 2025

KB-id: 5062713

Denne artikel indeholder en vejledning til:

Organisationer (virksomheder, små virksomheder og uddannelse) med IT-administrerede Windows-enheder og -opdateringer.

Bemærk! Hvis du er en person, der ejer en personlig Windows-enhed, skal du gå til artiklen Windows-enheder til private brugere, virksomheder og skoler med Microsoft-administrerede opdateringer.

Skift dato

Ændringsbeskrivelse

5. maj 2026

30. marts 2026

  • Løst det kendte problem, "Sikker bootstartcertifikatopdateringer kan mislykkes med hændelses-id 1795 på virtuelle Hyper-V-maskiner"

24. marts 2026

  • Opdateret det kendte problem, "Sikker bootstartcertifikatopdateringer mislykkes muligvis med hændelses-id 1795 på virtuelle Hyper-V-maskiner"

16. marts 2026

  • Afsnittet "Sample confidence data" er fjernet under "Sample Secure Boot Inventory Data Collection Script", da det er forældet.

3. marts 2026

  • Omformateret eksempeloutputtet under afsnittet "Forberedelse", så det forbliver i feltet.

24. februar 2026

  • Opdateret indholdet for "Eksempel på script til indsamling af data til sikker bootstart" under afsnittet "Forberedelse". 

  • Der er tilføjet en ny sektion "Eksempeloutput" under afsnittet "Forberedelse".

23. februar 2026

  • Opdateret indholdet for "Eksempel på script til indsamling af data til sikker bootstart" under afsnittet "Forberedelse".

13. februar 2026

  • Elementerne "Eksempel på tillidsdata" er føjet til afsnittet "Forberedelse". 

  • Fjernet "samlingsscriptet for ventende hændelser 1801 og 1808" fra afsnittet "Forberedelse", da det ikke længere er nødvendigt. 

3. februar 2026

  • Flyttede og omformateret almindelige problemer i sektionen Fejlfinding.

  • Der er tilføjet et nyt almindeligt problem: "Sikker bootstartcertifikatopdateringer mislykkes muligvis med hændelses-id 1795 på virtuelle Hyper-V-maskiner".

26. januar 2026

  • Teksten under "Automatisk udrulningshjælp" er opdateret fra "Begge hjælpehjælpefunktioner kræver diagnosticeringsdata". Til "Kun den kontrollerede funktionsudrulningshjælp kræver diagnosticeringsdata.

11. november 2025

Der er rettet to slåfejl under "Understøttelse af installation af certifikat til sikker bootstart".

  • 0x0800 - Certifikatnavnet blev ændret fra "Microsoft UEFI CA 2023" til "Microsoft Option ROM UEFI CA 2023".​​​​​​​

  • 0x1000 – Ændret "Microsoft Option ROM CA 2023" til "Microsoft UEFI CA 2023".

10. november 2025

  • Der er rettet to slåfejl under "Nyt certifikat": fra "Microsoft Corporation KEK CA 2023" til "Microsoft Corporation KEK 2K CA 2023" og fra "Microsoft Option ROM CA 2023" til "Microsoft Option ROM UEFI CA 2023".

  • Nye PowerShell-scripts blev tilføjet under overskrifterne "Bekræftelse af status for sikker bootstart på tværs af din flåde: Er Sikker bootstart aktiveret? " og "Forberedelse".

I denne artikel:

Oversigt

Denne artikel er beregnet til organisationer med dedikerede it-fagfolk, der aktivt administrerer opdateringer på tværs af deres enhedsflåde. I de fleste af denne artikel fokuseres der på de aktiviteter, der er nødvendige for, at en organisations it-afdeling kan implementere de nye certifikater til sikker bootstart. Disse aktiviteter omfatter test af firmware, overvågning af enhedsopdateringer, start af installation og diagnosticering af problemer, efterhånden som de opstår. Der præsenteres flere metoder til installation og overvågning. Ud over disse kerneaktiviteter tilbyder vi flere installationshjælpemidler, herunder muligheden for at tilmelde klientenheder for deltagelse i en kontrolleret funktionsudrulning (CFR), der er specifikt til certifikatinstallation.

Udrulning af strategiplan for it-fagfolk 

Planlæg og udfør opdateringer af certifikat til sikker bootstart på tværs af din enhedsflåde gennem forberedelse, overvågning, installation og afhjælpning.

Bekræftelse af status for sikker bootstart på tværs af din flåde: Er Sikker bootstart aktiveret? 

De fleste enheder, der er produceret siden 2012, har understøttelse af Sikker bootstart og leveres med Sikker bootstart aktiveret. Gør et af følgende for at bekræfte, at sikker bootstart er aktiveret på en enhed: 

  • GUI-metode: Gå til Start > Indstillinger > Beskyttelse af personlige oplysninger & Sikkerhed >Windows Sikkerhed >Enhedssikkerhed. Under Enhedssikkerhed skal afsnittet Sikker start angive, at Sikker bootstart er slået til.

  • Kommandolinjemetode: Skriv Confirm-SecureBootUEFI ved en kommandoprompt med administratorrettigheder i PowerShell, og tryk derefter på Enter. Kommandoen skal returnere Sand, hvilket angiver, at Sikker bootstart er slået til.

I store installationer til en flåde af enheder skal den administrationssoftware, der bruges af it-teknikere, give mulighed for at kontrollere, om sikker bootstart er aktiveret. 

Metoden til at kontrollere tilstanden sikker bootstart på Microsoft Intune-administrerede enheder er f.eks. at oprette og installere et Intune brugerdefineret overholdelsesscript. Intune indstillinger for overholdelse af regler og standarder er dækket i Brug brugerdefinerede indstillinger for overholdelse af regler og standarder til Linux og Windows-enheder med Microsoft Intune.  

Eksempel på Powershell-script for at kontrollere, om Sikker bootstart er aktiveret:

# Initialize result object in preparation for checking Secure Boot state 

$result = [PSCustomObject]@{ 

   SecureBootEnabled = $null 

  

try { 

   $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 

   Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 

} catch { 

   $result.SecureBootEnabled = $null 

   Write-Warning "Unable to determine Secure Boot status: $_" 

Hvis Sikker bootstart ikke er aktiveret, kan du springe opdateringstrinnene nedenfor over, da de ikke er relevante.

Sådan installeres opdateringer

Der er flere måder at målrette enheder mod opdateringer af certifikat til sikker bootstart på. Oplysninger om installation, herunder indstillinger og hændelser, diskuteres senere i dette dokument. Når du målretter en enhed efter opdateringer, angives der en indstilling på enheden for at angive, at enheden skal begynde processen med at anvende de nye certifikater. En planlagt opgave kører på enheden hver 12. time og registrerer, at enheden er blevet målrettet efter opdateringerne. En oversigt over, hvad opgaven gør, er som følger:

  1. Windows UEFI CA 2023 anvendes på DB.

  2. Hvis enheden har Microsoft Corporation UEFI CA 2011 i DB, anvender opgaven Microsoft Option ROM UEFI CA 2023 og Microsoft UEFI CA 2023 til DB.

  3. Opgaven tilføjer derefter Microsoft Corporation KEK 2K CA 2023.

  4. Endelig opdaterer den planlagte opgave Windows Boot Manager til den, der er signeret af Windows UEFI CA 2023. Windows registrerer, at der kræves en genstart, før startstyringen kan anvendes. Opdateringen til Boot Manager forsinkes, indtil genstarten sker naturligt (f.eks. når der anvendes månedlige opdateringer), og derefter forsøger Windows igen at anvende opdateringen til Boot Manager.

Hvert af ovenstående trin skal fuldføres, før den planlagte opgave flyttes til næste trin. Under denne proces vil hændelseslogge og anden status være tilgængelige for overvågning af installationen. Du kan finde flere oplysninger om overvågning og hændelseslogge nedenfor.  

Opdatering af certifikater til sikker bootstart muliggør en fremtidig opdatering til 2023 Boot Manager, som er mere sikker. Bestemte opdateringer på Boot Manager vil være i fremtidige versioner.

Installationstrin 

  • Forberedelse: Lager- og testenheder.

  • Overvejelser i forbindelse med firmware

  • Overvågning: Kontrollér overvågning af værker og grundlinje for din flåde.

  • Installation: Målenheder til opdateringer, startende med små undersæt og udvidelse baseret på vellykkede test.

  • Afhjælpning: Undersøg og løs eventuelle problemer ved hjælp af logfiler og leverandørsupport.

Under forberedelse 

Lagerhardware og firmware. Byg et repræsentativt eksempel på enheder, der er baseret på systemproducent, systemmodel, BIOS-version/dato, version af BaseBoard-produkt osv., og test opdateringer på disse enheder før en bred installation.  Disse parametre er ofte tilgængelige i systemoplysninger (MSINFO32). Brug de medfølgende PowerShell-eksempelkommandoer til at kontrollere status for sikker bootstartopdatering og til lagerenheder på tværs af organisationen.

Bemærkninger!: 

  • Disse kommandoer gælder, hvis tilstanden sikker bootstart er aktiveret.

  • Mange af disse kommandoer skal have administratorrettigheder for at fungere.

Eksempel på script til indsamling af data til sikker bootstart

Kopiér og indsæt dette eksempelscript, og rediger det efter behov for dit miljø: Scriptet Sample Secure Boot Inventory Data Collection.

Eksempel på output:

{"UEFICA2023Status":"Updated","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null, "AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS", "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true, "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName": "Microsoft Corporation","OEMModelSystemFamily":"Surface","OEMModelNumber": "Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"03-11-2025", "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId": 1808,"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f", "Confidence":"UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null, "Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null, "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false, "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion": "10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer": "Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true, "SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}

Konfidensniveauer for sikker bootstart

Konfidensniveau

Betydning

Handling påkrævet

Høj konfidens

Microsoft har valideret, at denne enhedsklasse er sikker ved opdateringer

Sikker at installere certifikatopdateringer

Under observation - flere data er nødvendige

Microsoft indsamler stadig data om Sikker bootstartdiagnosticering om disse enheder

Vent på Microsoft-klassificeringen

Ingen observerede data – handling påkrævet

Microsoft kender ikke enhedsklassen

Enterprise skal teste og planlægge implementering

Midlertidigt afbrudt

Kendte kompatibilitetsproblemer

Søg efter OEM BIOS Update. Vent på, at Microsoft løser problemet

Understøttes ikke – kendt begrænsning

Platforms- eller hardwarebegrænsninger

Dokument som undtagelse

Det første trin, hvis Sikker bootstart er aktiveret, er at kontrollere, om der er ventende hændelser, der for nylig er blevet opdateret, eller i gang med at opdatere certifikater til sikker bootstart. Af særlig interesse er de seneste begivenheder i 1801 og 1808. Disse hændelser er beskrevet i detaljer i hændelser med sikker bootstart DB og variable DBX-opdateringshændelser. Kontrollér også afsnittet Overvågning og installation for at se, hvordan hændelserne kan vise tilstanden for ventende opdateringer.  

Næste trin er at lagerenheder på tværs af organisationen. Indsaml følgende oplysninger med PowerShell-kommandoer for at opbygge et repræsentativt eksempel: 

Grundlæggende identifikatorer (2 værdier)

      1. HostName - $env: COMPUTERNAME 

      2. CollectionTime – Get-Date 

Registreringsdatabase: Hovednøgle til sikker bootstart (3 værdier) 

     3. SecureBootEnabled - Confirm-SecureBootUEFI cmdlet eller HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     4. HighConfidenceOptOut – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     5. AvailableUpdates – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Registreringsdatabase: Serviceringsnøgle (3 værdier) 

     6. UEFICA2023Status -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     7. WindowsUEFICA2023 Ude af stand – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     8. UEFICA2023Fejl – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Registreringsdatabase: Enhedsattributter (7 værdier) 

      9. OEMManufacturerName - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     10. OEMModelSystemFamily – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     11. OEMModelNumber – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     12. FirmwareVersion – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     13. FirmwareReleaseDate – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     14. OSArchitecture – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     15. CanAttemptUpdateAfter – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

Hændelseslogge: Systemlog (5 værdier) 

     16. LatestEventId – den seneste secure boot-hændelse 

     17. BucketID – Hentet fra hændelse 1801/1808 

     18. Konfidens – Hentet fra begivenhed 1801/1808 

     19. Hændelse1801Tæl – Antal hændelser 

     20. Hændelse1808Tæl – Antal hændelser 

WMI/CIM-forespørgsler (4 værdier) 

     21. OSVersion – Get-CimInstance Win32_OperatingSystem 

     22. LastBootTime – Get-CimInstance Win32_OperatingSystem 

     23. BaseBoardManufacturer - Get-CimInstance Win32_BaseBoard 

     24. BaseBoardProduct - Get-CimInstance Win32_BaseBoard 

     25. (Get-CIMInstance Win32_ComputerSystem). Producent  

     26. (Get-CIMInstance Win32_ComputerSystem). Model  

    27. (Get-CIMInstance Win32_BIOS). Beskrivelse + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString("MM/dd/åååå")  

    28. (Get-CIMInstance Win32_BaseBoard). Produkt  

Overvejelser i forbindelse med firmware

Installation af de nye certifikater til sikker bootstart til din flåde af enheder kræver, at enhedens firmware spiller en rolle i fuldførelsen af opdateringen. Mens Microsoft forventer, at de fleste enhedsfirmware fungerer som forventet, er der behov for omhyggelig test, før de nye certifikater installeres.

Undersøg hardwarelageret, og opbyg et lille, repræsentativt eksempel på enheder ud fra følgende entydige kriterier, f.eks.: 

  • Producent

  • Modelnummer

  • Firmwareversion

  • OEM-basisboardversion osv.

Før du installerer bredt på enheder i din flåde, anbefaler vi, at du tester certifikatopdateringer på repræsentative eksempelenheder (som defineret af faktorer som producent, model, firmwareversion) for at sikre, at opdateringerne behandles korrekt. Anbefalet vejledning til antallet af prøveenheder, der skal testes for hver entydige kategori, er 4 eller mere.

Dette hjælper med at skabe tillid til din installationsproces og hjælpe med at undgå uventede virkninger på din bredere flåde. 

I nogle tilfælde kan det være nødvendigt med en firmwareopdatering for at kunne opdatere certifikater til sikker bootstart. I disse tilfælde anbefaler vi, at du spørger enheds-OEM'en for at se, om der findes opdateret firmware.

Windows i virtualiserede miljøer

For Windows, der kører i et virtuelt miljø, er der to metoder til at føje de nye certifikater til variablerne for secure boot-firmware:  

  • Skaberen af det virtuelle miljø (AWS, Azure, Hyper-V, VMware osv.) kan levere en opdatering til miljøet og medtage de nye certifikater i den virtualiserede firmware. Dette ville fungere for nye virtualiserede enheder.

  • For Windows, der kører på lang sigt i en VM, kan opdateringerne anvendes via Windows på samme måde som alle andre enheder, hvis den virtualiserede firmware understøtter opdateringer til sikker bootstart.

Overvågning og installation 

Vi anbefaler, at du starter enhedsovervågning før udrulning for at sikre, at overvågningen fungerer korrekt, og at du på forhånd har en god fornemmelse for flådens tilstand. Overvågningsmuligheder beskrives nedenfor. 

Microsoft indeholder flere metoder til installation og overvågning af opdateringer af certifikat til sikker bootstart.

Automatiseret installationshjælp 

Microsoft yder to installationshjælpe. Disse hjælpeforanstaltninger kan være nyttige i forbindelse med udrulningen af de nye certifikater i din flåde. Kun Den kontrollerede funktionsudrulningshjælp kræver diagnosticeringsdata.

  • Indstilling for kumulative opdateringer med konfidens buckets: Microsoft kan automatisk medtage høj tillidsenhedsgrupper i månedlige opdateringer, der er baseret på diagnosticeringsdata, der er delt til dato, til fordel for systemer og organisationer, der ikke kan dele diagnosticeringsdata. Dette trin kræver ikke, at diagnosticeringsdata aktiveres.

    • For organisationer og systemer, der kan dele diagnosticeringsdata, giver det Microsoft synligheden og tilliden til, at enhederne kan installere certifikaterne korrekt. Du kan få flere oplysninger om aktivering af diagnosticeringsdata i: Konfigurer Diagnostiske Windows-data i organisationen. Vi opretter "buckets" for hver entydige enhed (som defineret af attributter, der omfatter producent, bundkortversion, firmwareproducent, firmwareversion og yderligere datapunkter). For hver bucket overvåger vi succesbeviser over flere enheder. Når vi har set nok vellykkede opdateringer og ingen fejl, vil vi overveje bucket'en "høj tillid" og medtage disse data i de månedlige kumulative opdateringer. Når månedlige opdateringer anvendes på en enhed i en bucket med høj sikkerhed, anvender Windows automatisk certifikaterne på UEFI Secure Boot-variablerne i firmwaren.

    • Buckets med høj sikkerhed omfatter enheder, der behandler opdateringerne korrekt. Det er naturligvis ikke alle enheder, der leverer diagnosticeringsdata, og det kan begrænse Microsofts tillid til en enheds evne til at behandle opdateringerne korrekt.

    • Denne hjælp er som standard aktiveret for enheder med høj pålidelighed og kan deaktiveres med en enhedsspecifik indstilling. Flere oplysninger vil blive delt i fremtidige Windows-versioner.

  • Kontrolleret funktionsudrulning (CFR):  Tilvælge enheder til Microsoft-administreret installation, hvis diagnosticeringsdata er aktiveret.

    • Controlled Feature Rollout (CFR) kan bruges med klientenheder i organisationens flåder. Dette kræver, at enheder sender påkrævede diagnosticeringsdata til Microsoft og har signaleret, at enheden tilvælger at tillade CFR på enheden. Oplysninger om, hvordan du tilmelder dig, er beskrevet nedenfor.

    • Microsoft administrerer opdateringsprocessen for disse nye certifikater på Windows-enheder, hvor diagnosticeringsdata er tilgængelige, og hvor enhederne deltager i CFR (Controlled Feature Rollout). Selvom CFR kan hjælpe med installation af de nye certifikater, vil organisationer ikke kunne stole på, at CFR afhjælper deres flåder – det kræver, at du følger trinnene i dette dokument i afsnittet om installationsmetoder, der ikke er dækket af automatiserede assister.

    • Begrænsninger: Der er nogle få årsager til, at CFR muligvis ikke fungerer i dit miljø. For eksempel:

      • Der er ingen tilgængelige diagnosticeringsdata, eller diagnosticeringsdataene kan ikke bruges som en del af CFR-installationen.

      • Enheder er ikke på understøttede klientversioner af Windows 11 og Windows 10 med udvidede sikkerhedsopdateringer (ESU).

Installationsmetoder, der ikke er dækket af automatiserede hjælpemidler

Vælg den metode, der passer til dit miljø. Undgå at blande metoder på den samme enhed: 

  • Registreringsdatabasenøgler: Kontrollér udrulningen, og overvåg resultaterne.Der er flere tilgængelige registreringsdatabasenøgler til at kontrollere funktionsmåden for installationen af certifikaterne og til overvågning af resultaterne. Derudover er der to nøgler til at til- og fravalge de installationshjælpemidler, der er beskrevet ovenfor. Du kan få mere at vide om registreringsdatabasenøgler under Registreringsdatabasenøgle Opdateringer til sikker bootstart – Windows-enheder med it-administrerede opdateringer.

  • Gruppepolitik Objekter (GPO): Administrer indstillinger, overvåg via registreringsdatabasen og hændelseslogge.Microsoft yder support til administration af opdateringer til sikker bootstart ved hjælp af Gruppepolitik i en fremtidig opdatering. Bemærk, at da Gruppepolitik er til indstillinger, skal du overvåge enhedens status ved hjælp af alternative metoder, herunder overvågning af registreringsdatabasenøgler og hændelseslogposter.

  • CLI (Windows Configuration System) WinCS (Windows Configuration System): Brug kommandolinjeværktøjer til domænetilsluttede klienter.Domæneadministratorer kan alternativt bruge Windows Configuration System (WinCS), der er inkluderet i Opdateringer til Windows-operativsystemet, til at installere opdateringer til sikker bootstart på tværs af domænetilsluttede Windows-klienter og -servere. Den består af en række kommandolinjeværktøjer (både en traditionel eksekverbar fil og et PowerShell-modul) til at forespørge og anvende konfigurationer af sikker bootstart lokalt på en computer. Du kan få mere at vide i følgende artikler:

  • Microsoft Intune/Configuration Manager: Installér PowerShell-scripts. Der leveres en konfigurationstjenesteudbyder i en fremtidig opdatering, der gør det muligt at installere ved hjælp af Intune.

Overvågning af hændelseslogge

Der leveres to nye hændelser for at hjælpe med installation af sikker bootstartcertifikatopdateringer. Disse hændelser er beskrevet detaljeret i hændelserne Sikker bootstart DB og DBX-variable opdateringshændelser

  • Hændelses-id: 1801 Hændelsen er en fejlhændelse, der angiver, at de opdaterede certifikater ikke er blevet anvendt på enheden. Hændelsen indeholder nogle detaljer, der er specifikke for enheden, herunder enhedsattributter, som kan hjælpe med at korrelere, hvilke enheder der stadig skal opdateres.

  • Hændelses-id: 1808 Hændelsen er en oplysende hændelse, der angiver, at enheden har de påkrævede nye certifikater til sikker bootstart anvendt på enhedens firmware.

Installationsstrategier 

For at minimere risikoen skal du installere Sikker bootstart-opdateringer i faser i stedet for på én gang. Start med et lille undersæt af enheder, valider resultaterne, og udvid derefter til flere grupper. Vi anbefaler, at du starter med undersæt af enheder og, efterhånden som du får tillid til disse installationer, tilføjer yderligere undersæt af enheder. Der kan bruges flere faktorer til at bestemme, hvad der indgår i et undersæt, herunder testresultater på eksempelenheder og organisationsstruktur osv. 

Beslutningen om, hvilke enheder du installerer, er op til dig. Nogle mulige strategier er angivet her. 

  • Stor enhedsflåde: Start med at stole på de assister, der er beskrevet ovenfor for de mest almindelige enheder, du administrerer. Samtidig skal du fokusere på de mindre almindelige enheder, der administreres af din organisation. Test små prøveenheder, og udrul til resten af enheder af samme type, hvis testen lykkes. Hvis testen giver problemer, skal du undersøge årsagen til problemet og fastlægge afhjælpningstrin. Du kan også overveje klasser af enheder, der har højere værdi i din flåde, og begynde at teste og implementere for at sikre, at disse enheder har opdateret beskyttelse på plads tidligt.

  • Lille flåde, stort udvalg: Hvis den flåde, du administrerer, indeholder et stort udvalg af maskiner, hvor test af individuelle enheder ville være uoverkommelig, kan du overveje at være meget afhængig af de to assister, der er beskrevet ovenfor, især for enheder, der sandsynligvis er fælles enheder på markedet. I første omgang fokusere på enheder, der er kritiske for den daglige drift, skal du teste og derefter installere. Fortsæt med at flytte ned på listen over enheder med høj prioritet, test og udrulning, mens du overvåger flåden for at bekræfte, at hjælpene hjælper med resten af enhederne.

Noter 

  • Vær opmærksom på ældre enheder, især enheder, der ikke længere understøttes af producenten. Mens firmwaren skal udføre opdateringshandlingerne korrekt, kan nogle muligvis ikke. I tilfælde, hvor firmwaren ikke fungerer korrekt, og enheden ikke længere understøttes, kan du overveje at udskifte enheden for at sikre sikker bootstartbeskyttelse på tværs af din flåde.

  • Nye enheder, der er produceret inden for de seneste 1-2 år, har muligvis allerede de opdaterede certifikater på plads, men windows UEFI CA 2023-signeret boot manager er muligvis ikke anvendt på systemet. Anvendelse af denne boot manager er et vigtigt sidste trin i installationen for hver enhed.

  • Når en enhed er blevet valgt til opdateringer, kan det tage lidt tid, før opdateringerne er fuldført. Anslå 48 timer og en eller flere genstarter for certifikater, der skal anvendes.

Ofte stillede spørgsmål (ofte stillede spørgsmål)

Hvis du har ofte stillede spørgsmål, skal du se artiklen Ofte stillede spørgsmål om sikker bootstart .

Fejlfinding

Se fejlfindingsdokumentet for at få flere oplysninger.

Yderligere ressourcer

Tip!: Bogmærke disse yderligere ressourcer.

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed