Einführung
Windows-Updates, die am und nach dem 13. Februar 2024 veröffentlicht wurden, umfassen die Möglichkeit, das Windows UEFI CA 2023-Zertifikat auf UEFI Secure Boot Allowed Signature Database (DB) anzuwenden. Durch das Aktualisieren der Datenbank können Geräte zukünftige Startladeprogrammupdates empfangen, die in monatlichen Updates enthalten sind.
Dies ist wichtig, da das vorhandene Zertifikat abläuft und die Umstellung auf das neue Zertifikat der erste Schritt bei der Vorbereitung von Geräten für die Arbeit mit bevorstehenden Startladeprogrammupdates ist, die kryptografisch mit dem neuen Zertifikat signiert werden.
Updates zur Datenbank gibt es bekanntermaßen Kompatibilitätsprobleme mit einigen Geräten. Um das Rollout auf Windows-Geräten zu vereinfachen, wird das Update für die Datenbank nicht automatisch angewendet. Für Unternehmensumgebungen ist ein kontrollierter Rollout des Updates nach sorgfältiger Überprüfung mit repräsentativen Geräten in der Umgebung wichtig, um Unterbrechungen zu vermeiden.
Eine ausführliche Erläuterung finden Sie unter Aktualisieren von Microsoft Secure Boot Keys.
Handeln Sie
Stellen Sie das Datenbankupdate auf repräsentativen Beispieltestgeräten bereit, indem Sie den Bereitstellungsleitfaden unter Aktualisieren von Microsoft Secure Boot Keys folgen.
Nachdem ein Testgerät die Datenbank erfolgreich aktualisiert hat, sollte es sicher sein, das Datenbankupdate auf Geräten mit der gleichen Hardware- und Firmwarekonfiguration bereitzustellen. Hierzu können Sie den folgenden Registrierungsschlüssel mithilfe von Bereitstellungssoftware wie Gruppenrichtlinie oder Mobile Device Management (MDM) festlegen:
Registrierungspfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Namen: AvailableUpdates
Wert: 0x40
Nachdem das Gerät neu gestartet wurde, sollte die Datenbank aktualisiert werden. In einigen Fällen kann ein zweiter Neustart erforderlich sein.
Bekannte Probleme
Problem |
Nächster Schritt |
ARM64-basierte Geräte sind derzeit daran gehindert, das Datenbankupdate anzuwenden. |
Microsoft arbeitet mit OEM-Geräteanbietern zusammen, um ihre Firmware zu aktualisieren, um ein Problem mit ARM64-basierter Firmware zu beheben. |