Αρχική ημερομηνία δημοσίευσης: 26 Ιουνίου 2025
KB ID: 5062713
|
Αυτό το άρθρο παρέχει οδηγίες για τα εξής:
Σημείωση Αν είστε άτομο και είστε κάτοχος μιας προσωπικής συσκευής Windows, μεταβείτε στο άρθρο Συσκευές Windows για οικιακούς χρήστες, επιχειρήσεις και εκπαιδευτικά ιδρύματα με ενημερώσεις διαχειριζόμενες από τη Microsoft. |
Επισκόπηση
Η ρύθμιση παραμέτρων των πιστοποιητικών που παρέχονται από τη Microsoft ως μέρος της υποδομής Ασφαλούς εκκίνησης παραμένει η ίδια από Windows 8. Αυτά τα πιστοποιητικά αποθηκεύονται στις μεταβλητές Κλειδί βάσης δεδομένων υπογραφής (DB) και Κλειδί εγγραφής κλειδιού (KEK) (γνωστό και ως κλειδί κλειδιού Exchange) στο υλικολογισμικό. Η Microsoft έχει παράσχει τα ίδια τρία πιστοποιητικά σε ολόκληρο το οικοσύστημα του κατασκευαστή πρωτότυπου εξοπλισμού (OEM) για να συμπεριληφθεί στο υλικολογισμικό της συσκευής. Αυτά τα πιστοποιητικά υποστηρίζουν την Ασφαλή εκκίνηση στα Windows και χρησιμοποιούνται επίσης από λειτουργικά συστήματα (ΛΣ) τρίτων κατασκευαστών, τα οποία περιλαμβάνουν τα ακόλουθα πιστοποιητικά που παρέχονται από τη Microsoft:
-
Microsoft Corporation KEK CA 2011
-
Microsoft Windows Production PCA 2011
-
Microsoft Corporation UEFI CA 2011
Σημαντικό Και τα τρία πιστοποιητικά που παρέχονται από τη Microsoft πρόκειται να λήξουν από τον Ιούνιο του 2026. Έτσι, σε συνεργασία με τους συνεργάτες του οικοσυστήματος, η Microsoft κυκλοφορεί νέα πιστοποιητικά που θα σας βοηθήσουν να διασφαλίσετε την ασφάλεια και τη συνέχεια της Ασφαλούς εκκίνησης για το μέλλον. Όταν λήξουν αυτά τα πιστοποιητικά 2011, οι ενημερώσεις ασφαλείας για τα στοιχεία εκκίνησης δεν θα είναι πλέον δυνατές, θέτοντας σε κίνδυνο την ασφάλεια εκκίνησης και θέτοντας σε κίνδυνο τις επηρεαζόμενες συσκευές Windows. Για να διατηρηθεί η λειτουργικότητα ασφαλούς εκκίνησης, όλες οι συσκευές Windows πρέπει να ενημερωθούν ώστε να χρησιμοποιούν τα πιστοποιητικά του 2023 πριν από τη λήξη των πιστοποιητικών του 2011.
Σημείωση Αυτό το άρθρο αναφέρεται σε "πιστοποιητικά" και "CA" (Αρχή έκδοσης πιστοποιητικών) εναλλάξ.
Τα πιστοποιητικά ασφαλούς εκκίνησης των Windows λήγουν το 2026
Οι συσκευές Windows που έχουν κατασκευαστεί από το 2012 ενδέχεται να έχουν εκδόσεις πιστοποιητικών που πρέπει να ενημερωθούν.
Ορολογία
-
ΚΕΚ: Κλειδί εγγραφής κλειδιού
-
CA: Αρχή έκδοσης πιστοποιητικών
-
DB: Βάση δεδομένων υπογραφής ασφαλούς εκκίνησης
-
DBX: Ασφαλής εκκίνηση ανακλημένη βάση δεδομένων υπογραφής
|
Πιστοποιητικό που λήγει |
Ημερομηνία λήξης |
Νέο πιστοποιητικό |
Θέση αποθήκευσης |
Σκοπός |
|
Microsoft Corporation KEK CA 2011 |
Ιούνιος 2026 |
Microsoft Corporation KEK CA 2023 |
Αποθηκεύεται στο KEK |
Υπογράφει ενημερώσεις για DB και DBX. |
|
Microsoft Windows Production PCA 2011 |
Οκτώβριος 2026 |
Windows UEFI CA 2023 |
Αποθήκευση σε DB |
Χρησιμοποιείται για την υπογραφή του προγράμματος φόρτωσης εκκίνησης των Windows. |
|
Microsoft UEFI CA 2011* |
Ιούνιος 2026 |
Microsoft UEFI CA 2023 |
Αποθήκευση σε DB |
Υπογράφει φορτωτές εκκίνησης τρίτων κατασκευαστών και εφαρμογές EFI. |
|
Microsoft UEFI CA 2011* |
Ιούνιος 2026 |
Microsoft Option ROM CA 2023 |
Αποθήκευση σε DB |
Υπογράφει rom επιλογής τρίτων κατασκευαστών |
*Κατά την ανανέωση του πιστοποιητικού Microsoft Corporation UEFI CA 2011, δύο πιστοποιητικά διαχωρίζει την υπογραφή φορτωτή εκκίνησης από την υπογραφή ROM της επιλογής. Αυτό επιτρέπει λεπτότερα έλεγχο της αξιοπιστίας του συστήματος. Για παράδειγμα, τα συστήματα που πρέπει να εμπιστεύονται τα ROM μπορούν να προσθέσουν το Microsoft Option ROM UEFI CA 2023 χωρίς να προσθέσουν αξιοπιστία για φορτωτές εκκίνησης τρίτων κατασκευαστών.
Η Microsoft έχει εκδώσει ενημερωμένα πιστοποιητικά, ώστε να διασφαλίζεται η συνέχιση της προστασίας ασφαλούς εκκίνησης σε συσκευές Windows. Η Microsoft θα διαχειρίζεται τη διαδικασία ενημέρωσης για αυτά τα νέα πιστοποιητικά σε ένα σημαντικό τμήμα των συσκευών Windows και θα παρέχει αναλυτικές οδηγίες για τους οργανισμούς που διαχειρίζονται τις ενημερώσεις της δικής τους συσκευής.
Πεδίο εφαρμογής για συστήματα διαχειριζόμενα από επιχειρήσεις και επαγγελματίες IT
Αυτό το άρθρο απευθύνεται σε οργανισμούς που δεν κοινοποιούν διαγνωστικά δεδομένα στη Microsoft και έχουν αποκλειστικούς επαγγελματίες IT που διαχειρίζονται ενημερώσεις στο περιβάλλον τους. Προς το παρόν, η Microsoft δεν διαθέτει επαρκείς πληροφορίες για την πλήρη υποστήριξη της σταδιακής κυκλοφορίας των πιστοποιητικών Ασφαλούς εκκίνησης σε αυτές τις συσκευές, ιδίως σε εκείνες με απενεργοποιημένα διαγνωστικά δεδομένα.
Οι επιχειρήσεις και οι επαγγελματίες IT έχουν την επιλογή να ορίσουν τέτοια συστήματα ως συστήματα διαχειριζόμενα από τη Microsoft, οπότε η Microsoft ενημερώνει τα πιστοποιητικά Ασφαλούς εκκίνησης. Ωστόσο, αντιλαμβανόμαστε ότι αυτή δεν είναι μια εφικτή επιλογή για μια ποικιλία συσκευών, όπως συσκευές με αεροπορικό βάδισμα στην κυβέρνηση, την κατασκευή και ούτω καθεξής.
Ανατρέξτε στην ακόλουθη ενότητα για τις επιλογές σε αυτή την κατηγορία.
Ποιες λύσεις μπορούν να περιμένουν οι διαχειριζόμενες από μεγάλες επιχειρήσεις ή επαγγελματίες IT συσκευές;
Επιλογή 1: Αυτοματοποιημένες ενημερώσεις (μόνο για διαχειριζόμενα συστήματα του Microsoft Update)
Με αυτήν την επιλογή, οι συσκευές σας θα λαμβάνουν αυτόματα τις πιο πρόσφατες ενημερώσεις ασφαλούς εκκίνησης, διατηρώντας τις συσκευές σας ασφαλείς και ασφαλείς. Για να το ενεργοποιήσετε αυτό, θα πρέπει να συμμετάσχετε και να επιτρέψετε στη Microsoft να συλλέγει διαγνωστικά δεδομένα του Προγράμματος-πελάτη καθολικής τηλεμετρίας (UTC) από τις συσκευές σας. Αυτό το βήμα εξασφαλίζει ότι οι συσκευές σας είναι εγγεγραμμένες στο διαχειριζόμενο πρόγραμμα της Microsoft και θα λαμβάνει όλες τις ενημερώσεις απρόσκοπτα ως μέρος της τυπικής κυκλοφορίας μας.
Στρατηγική παράδοσης
Για τις συσκευές Windows που βασίζονται στη Microsoft για την εφαρμογή των ενημερώσεων πιστοποιητικού Ασφαλούς εκκίνησης στις συσκευές της συσκευής τους, χρησιμοποιούμε μια πολύ σχολαστική στρατηγική παράδοσης. Ομαδοποιούμε συστήματα με παρόμοια προφίλ υλικού και υλικολογισμικού (με βάση διαγνωστικά δεδομένα των Windows και σχόλια από OEM) και, στη συνέχεια, δημοσιεύουμε σταδιακά ενημερώσεις για κάθε ομάδα. Σε όλη αυτή τη διαδικασία, παρακολουθούμε στενά τα διαγνωστικά σχόλια, για να εξασφαλίσουμε ότι όλα θα λειτουργούν ομαλά. Εάν εντοπιστούν προβλήματα σε μια ομάδα, θα θέσουμε σε παύση και θα τα αντιμετωπίσουμε ξανά πριν από τη συνέχιση της κυκλοφορίας σε αυτήν την ομάδα.
Κάλεσμα για δράση
Για να συμπεριληφθεί στην διαχειριζόμενη ανάπτυξη της Microsoft, σας προτείνουμε να ενεργοποιήσετε τα διαγνωστικά δεδομένα των Windows. Με αυτό, μπορούμε να προσδιορίσουμε και να στοχεύσουμε κατάλληλες συσκευές για ενημερώσεις πιστοποιητικών Ασφαλούς εκκίνησης.
Γιατί έχουν σημασία τα διαγνωστικά δεδομένα;
Η στρατηγική διαχειριζόμενης παράδοσης της Microsoft βασίζεται σε μεγάλο βαθμό στα διαγνωστικά δεδομένα που λαμβάνουμε από τα συστήματα, καθώς έχουμε συμπεριλάβει σήματα δεδομένων που μας ενημερώνουν για την κατάσταση των συσκευών ως αντίδραση στην εγκατάσταση των νέων πιστοποιητικών Ασφαλούς εκκίνησης. Με αυτόν τον τρόπο, μπορούμε να εντοπίσουμε γρήγορα προβλήματα κατά την κυκλοφορία και να διακόψουμε προληπτικά την κυκλοφορία σε συσκευές με παρόμοιες ρυθμίσεις παραμέτρων υλικού, για να ελαχιστοποιήσουμε την επίδραση του προβλήματος.
Η ενεργοποίηση των διαγνωστικών δεδομένων εξασφαλίζει ότι οι συσκευές σας είναι ορατές. Θα μεταφέρει τις συσκευές σας στη διαχειριζόμενη ροή της Microsoft για αυτοματοποιημένη στόχευση και παράδοση αυτών των ενημερώσεων.
Σημειώσεις
-
Οι οργανισμοί που προτιμούν να μην ενεργοποιούν τα διαγνωστικά δεδομένα θα συνεχίσουν να έχουν τον πλήρη έλεγχο και θα λαμβάνουν μελλοντικά εργαλεία και οδηγίες για τη διαχείριση της διαδικασίας ενημέρωσης ανεξάρτητα.
-
Για τις λύσεις που επισημαίνονται εδώ, έχετε την απόλυτη ευθύνη να παρακολουθείτε την πρόοδο των ενημερώσεων για όλες τις συσκευές στο περιβάλλον σας και ίσως χρειαστεί να χρησιμοποιήσετε περισσότερες από μία λύσεις για να επιτύχετε πλήρη υιοθέτηση.
Για να συμμετάσχετε στη διαχειριζόμενη παράδοση της Microsoft, ακολουθήστε τα παρακάτω βήματα:
-
Ακολουθήστε τις παραμέτρους των διαγνωστικών δεδομένων των Windows στον οργανισμό σας και ορίστε τη ρύθμιση δεδομένων ώστε να επιτρέπονται τα απαιτούμενα διαγνωστικά δεδομένα. Με άλλα λόγια, μην ορίσετε την επιλογή Απενεργοποίηση και μην ορίσετε την απενεργοποίηση των διαγνωστικών δεδομένων. Θα λειτουργήσει επίσης οποιαδήποτε ρύθμιση που παρέχει περισσότερα από τα απαιτούμενα διαγνωστικά δεδομένα.
-
Επιλέξτε να συμμετάσχετε στις διαχειριζόμενες ενημερώσεις της Microsoft για την Ασφαλή εκκίνηση, ορίζοντας το ακόλουθο κλειδί μητρώου:
Θέση μητρώου
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot
Όνομα πλήκτρου
MicrosoftUpdateManagedOptIn
Τύπος πλήκτρου
DWORD
Τιμή DWORD
-
0 ή κλειδί δεν υπάρχει
-
0x5944 – Επιλογή ασφαλούς εκκίνησης
Σχόλια
Συνιστούμε να ορίσετε αυτόν τον αριθμό-κλειδί για να 0x5944 για να υποδείξετε ότι όλα τα πιστοποιητικά θα πρέπει να ενημερωθούν με τρόπο που διατηρεί το προφίλ ασφαλείας της υπάρχουσας συσκευής και ενημερώνει τη διαχείριση εκκίνησης σε εκείνη που έχει υπογραφεί από το πιστοποιητικό CA 2023 των Windows UEFI.
Σημείωση Αυτό το κλειδί μητρώου θα ενεργοποιηθεί σε μια μελλοντική ενημέρωση.
-
Σημείωση Η υποστήριξη για τη διαχειριζόμενη παράδοση της Microsoft είναι διαθέσιμη μόνο για εκδόσεις Windows 11 και Windows 10 προγράμματος-πελάτη. Μετά τις 14 Οκτωβρίου 2025, Windows 10, έκδοση 22H2 με εκτεταμένες ενημερώσεις ασφαλείας (ESU).
Επιλογή 2: Customer-Managed αυτοεξυπηρέτηση ή μερικώς αυτοματοποιημένες λύσεις
Η Microsoft αξιολογεί τις οδηγίες για μερικώς αυτοματοποιημένες λύσεις για την παροχή βοήθειας σε συστήματα διαχειριζόμενα από επιχειρήσεις και επαγγελματίες IT. Σημειώστε ότι αυτές είναι επιλογές αυτοεξυπηρέτησης που μπορούν να επιλέξουν να εφαρμόσουν μια επιχείρηση ή επαγγελματίες IT σύμφωνα με τη συγκεκριμένη κατάσταση και μοντέλο χρήσης τους.
|
Καθώς η Microsoft έχει περιορισμένη ορατότητα (ή διαγνωστικά δεδομένα) για συσκευές με διαχείριση από επιχειρήσεις και επαγγελματίες IT συνολικά, οι βοηθοί που είναι διαθέσιμοι από τη Microsoft είναι περιορισμένοι. Η υλοποίηση απευθύνεται στους πελάτες και τους συνεργάτες τους, όπως είναι οι Ανεξάρτητοι προμηθευτές λογισμικού (ISV), οι Συνεργάτες Ενεργής Προστασίας της Microsoft (MAPP), άλλοι Κρυπτογραφικοί σαρωτές και συνεργάτες ασφαλείας και OEM. |
Σημαντικό:
-
Η εφαρμογή ενημερώσεων του πιστοποιητικού ασφαλούς εκκίνησης μπορεί να προκαλέσει αποτυχίες εκκίνησης, αποκατάσταση θυρών Bit ή ακόμα και συσκευές από τούβλα σε ορισμένες περιπτώσεις.
-
Αυτή η ευαισθητοποίηση είναι απαραίτητη ειδικά για παλιά συστήματα που μπορεί να μην υποστηρίζονται από OEM. Για παράδειγμα: Η λειτουργία "Προβλήματα/σφάλματα υλικολογισμικού" που δεν έχουν διορθωθεί από OEM θα πρέπει να αντικατασταθεί ή η Ασφαλής εκκίνηση να είναι απενεργοποιημένη, με αποτέλεσμα η συσκευή να μην λαμβάνει πλέον ενημερώσεις ασφαλείας μετά τη λήξη του πιστοποιητικού Ασφαλούς εκκίνησης από τον Ιούνιο του 2026.
Προτεινόμενη μεθοδολογία
-
Επικοινωνήστε με τον OEM για τη συσκευή σας σε τυχόν ενημερώσεις ή οδηγίες που σχετίζονται με την Ασφαλή εκκίνηση. Για παράδειγμα: Ορισμένοι OEM δημοσιεύουν τις ελάχιστες εκδόσεις υλικολογισμικού/BIOS που υποστηρίζουν τα ενημερωμένα πιστοποιητικά ασφαλούς εκκίνησης 2023. Ακολουθήστε τις συστάσεις OEM και εφαρμόστε τυχόν ενημερώσεις
-
Δείτε μια λίστα με τις συσκευές στις οποίες είναι ενεργοποιημένη η Ασφαλής εκκίνηση. Δεν απαιτείται καμία ενέργεια για συσκευές με την Ασφαλή εκκίνηση απενεργοποιημένη.
-
Ταξινομήστε τις συσκευές Enterprise που δεν κοινοποιούν διαγνωστικά δεδομένα στη Microsoft μέσω:
-
OEMModelBaseBoard
-
ΥλικολογισμικόMfg
-
FirmwareVersion
-
OEMName
-
OSArch
-
OEMSubModel
-
OEMModel
-
BaseBoardMfg
-
FirmwareManufacturer
-
OEMModelSystemFamily
-
OEMBaseBoardManufacturer
-
OEM
-
BaseBoardManufacturer
-
-
Για κάθε κατηγορία Μοναδικών στο Βήμα 3, επικύρωση της κυκλοφορίας ενημερώσεων κλειδιού ασφαλούς εκκίνησης (ένα από τα παρακάτω βήματα) σε "λίγες" συσκευές ["λίγες" θα ήταν μια απόφαση με βάση κάθε πελάτη. Συνιστούμε τουλάχιστον 4-10 συσκευές]. Μετά την επιτυχή επικύρωση, οι συσκευές μπορούν να επισημανθούν ως κάδοι GREEN/SAFE για παράδοση σε κλίμακα σε άλλες παρόμοιες συσκευές με διαχείριση enterprise/IT
-
Ο πελάτης μπορεί να επιλέξει μία από τις παρακάτω μεθόδους ή ένα συνδυασμό για την εφαρμογή ενημερωμένων πιστοποιητικών.
Πώς μπορώ να ξέρω αν οι νέες CAs βρίσκονται στο UEFI DB;
-
Πραγματοποιήστε λήψη και εγκατάσταση της λειτουργικής μονάδας UEFIv2 PowerShell.
-
Εκτελέστε τις ακόλουθες εντολές σε ένα αναβαθμισμένο παράθυρο του PowerShell:
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
Import-Module UEFIv2
Run (Get-UEFISecureBootCerts DB).signature
-
Αναζητήστε το αποτύπωμα ή το CN θέματος.
-
Πραγματοποιήστε λήψη της λειτουργικής μονάδας PowerShell UEFIv2 2.7 .
-
Σε μια γραμμή εντολών με αναβαθμισμένο PowerShell, εκτελέστε την ακόλουθη εντολή:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’
Εναλλακτικά, εκτελέστε “(Get-UEFISecureBootCerts PK).Signature”
Μέθοδοι εφαρμογής του πιστοποιητικού ασφαλούς εκκίνησης σε συσκευές SAFE
Όπως αναφέρθηκε προηγουμένως στην ενότητα "Προτεινόμενη μεθοδολογία", οι ενημερώσεις του Πιστοποιητικού ασφαλούς εκκίνησης θα πρέπει να εφαρμόζονται μόνο σε συσκευές κάδου SAFE/GREEN μετά από επαρκή έλεγχο/επικύρωση σε λίγες συσκευές.
Περιγραφή των ακόλουθων μεθόδων.
|
Μέθοδος 1:Ενημερώσεις κλειδιού ασφαλούς εκκίνησης που βασίζονται σε κλειδί μητρώου. Αυτή η μέθοδος υποστηρίζει έναν τρόπο για να ελέγξετε πώς ανταποκρίνονται τα Windows μετά την εφαρμογή των ενημερώσεων DB 2023 σε μια συσκευή, Μέθοδος 2: Πολιτική ομάδας αντικείμενο (GPO) για το κλειδί ασφαλούς εκκίνησης. Αυτή η μέθοδος παρέχει μια εύχρηστη ρύθμιση Πολιτική ομάδας που μπορούν να ενεργοποιήσουν οι διαχειριστές τομέα για την ανάπτυξη ενημερώσεων ασφαλούς εκκίνησης σε προγράμματα-πελάτες και διακομιστές Windows που συμμετέχουν σε τομέα. Μέθοδος 3: Περιβάλλον εργασίας Ασφαλούς εκκίνησης API/CLI με χρήση του συστήματος ρύθμισης παραμέτρων των Windows (WinCS). Αυτό μπορεί να χρησιμοποιηθεί για την ενεργοποίηση των πλήκτρων SecureBoot. Μέθοδος 4: Για να εφαρμόσετε με μη αυτόματο τρόπο τις ενημερώσεις DB ασφαλούς εκκίνησης, ανατρέξτε στην ενότητα Βήματα μη αυτόματης ενημέρωσης DB/KEK . |
Αυτή η μέθοδος παρέχει έναν τρόπο για να ελέγξετε πώς ανταποκρίνονται τα Windows μετά την εφαρμογή των ενημερώσεων DB 2023 σε μια συσκευή,
Τιμές κλειδιού CA Reg
|
Θέση μητρώου |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot\AvailableUpdates |
|
Τιμές πιστοποιητικού |
#define SERVICING_UPDATE_KEK 0x0004 #define SERVICING_UPDATE_DB_2024 0x0040 #define SERVICING_UPDATE_INVOKE_BFSVC_AI 0x0100 #define SERVICING_UPDATE_3P_OROM_DB 0x0800 #define SERVICING_UPDATE_3P_UEFI_DB 0x1000 #define CHECK_3P2011_BEFORE_3POROM_UEFICA 0x4000 |
Βήματα δοκιμής
Εκτελέστε καθεμία από τις ακόλουθες εντολές ξεχωριστά από μια αναβαθμισμένη προτροπή του PowerShell:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Μπορείτε να βρείτε τα αποτελέσματα παρατηρώντας τα αρχεία καταγραφής συμβάντων όπως περιγράφεται στα συμβάντα ενημέρωσης ασφαλούς εκκίνησης DB και DBX.
Σημειώσεις
-
Ορισμένες φορές απαιτούνται επανεκκινήσεις κατά τη διάρκεια αυτής της διαδικασίας.
-
SERVICING_UPDATE_INVOKE_BFSVC_AI ενημερώνει τη διαχείριση εκκίνησης στην υπογεγραμμένη έκδοση 2023, η οποία αλλάζει τη διαχείριση εκκίνησης στο διαμέρισμα EFI.
Περισσότερες λεπτομέρειες σχετικά με τις ενημερώσεις Ασφαλούς εκκίνησης βάσει κλειδιού μητρώου
Η λογική πολιτικής έχει δημιουργηθεί γύρω από τρεις τιμές μητρώου που είναι αποθηκευμένες στην ακόλουθη ασφαλή διαδρομή μητρώου συντήρησης εκκίνησης: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Σημείωση Όλα τα παρακάτω δευτερεύοντα κλειδιά μητρώου χρησιμοποιούνται για την ενεργοποίηση της ενημέρωσης και την καταγραφή της κατάστασης ενημέρωσης.
|
Τιμή μητρώου |
Τύπος |
Περιγραφή & χρήση |
|
AvailableUpdates |
REG_DWORD (μάσκα bit) |
Ενημέρωση σημαιών εναύσματος. Στοιχεία ελέγχου που πρέπει να εκτελούνται οι ενέργειες ενημέρωσης ασφαλούς εκκίνησης στη συσκευή. Ο ορισμός του κατάλληλου bitfield εδώ ξεκινά την ανάπτυξη νέων πιστοποιητικών ασφαλούς εκκίνησης και σχετικών ενημερώσεων. Για την ανάπτυξη για μεγάλες επιχειρήσεις, θα πρέπει να έχει οριστεί σε 0x5944 (δεκαεξαδική) – μια τιμή που ενεργοποιεί όλες τις σχετικές ενημερώσεις (προσθήκη των νέων κλειδιών CA UEFI microsoft 2023, ενημέρωση του KEK και εγκατάσταση του νέου προγράμματος διαχείρισης εκκίνησης) για όλους τους πελάτες. (Αυτή η τιμή ουσιαστικά επιλέγει τη συσκευή στην ανάπτυξη "key roll" ασφαλούς εκκίνησης. Όταν δεν είναι μηδέν (δηλαδή 0x5944), η προγραμματισμένη εργασία του συστήματος θα εφαρμόσει τις καθορισμένες ενημερώσεις. αν δεν έχει οριστεί μηδέν, δεν εκτελείται καμία ενημέρωση κλειδιού Ασφαλούς εκκίνησης.) Σημείωση: Καθώς γίνεται επεξεργασία των bit, διαγράφονται. Η διαχείρισή του με Πολιτική ομάδας και μια CSP θα πρέπει να λογοδοτήσουν για αυτό. |
|
UEFICA2023Status |
REG_SZ (συμβολοσειρά) |
Ένδειξη κατάστασης ανάπτυξης. Απεικονίζει την τρέχουσα κατάσταση της ενημέρωσης κλειδιού Ασφαλούς εκκίνησης στη συσκευή. Θα οριστεί σε μία από τις τρεις τιμές κειμένου: "NotStarted", "InProgress" ή "Updated", που υποδεικνύει ότι η ενημέρωση δεν έχει ακόμη εκτελεστεί, βρίσκεται σε εξέλιξη ή έχει ολοκληρωθεί με επιτυχία. Αρχικά, η κατάσταση είναι "NotStarted". Αλλάζει σε "InProgress" μόλις ξεκινήσει η ενημέρωση και τέλος σε "Ενημερώθηκε" όταν έχουν αναπτυχθεί όλα τα νέα κλειδιά και η νέα διαχείριση εκκίνησης.) |
|
UEFICA2023Error |
REG_DWORD (κωδικός) |
Κωδικός σφάλματος (εάν υπάρχει). Αυτή η τιμή παραμένει 0 στην επιτυχία. Αν η διαδικασία ενημέρωσης αντιμετωπίσει σφάλμα, η ρύθμιση UEFICA2023Error έχει οριστεί σε μη μηδενικό κωδικό σφάλματος που αντιστοιχεί στο πρώτο σφάλμα που παρουσιάστηκε. Ένα σφάλμα εδώ υποδηλώνει ότι η ενημέρωση Ασφαλούς εκκίνησης δεν ολοκληρώθηκε πλήρως και ενδέχεται να απαιτεί έρευνα ή αποκατάσταση σε αυτήν τη συσκευή. (Για παράδειγμα, εάν η ενημέρωση της DB (βάση δεδομένων αξιόπιστων υπογραφών) απέτυχε λόγω προβλήματος υλικολογισμικού, αυτό το μητρώο μπορεί να εμφανίσει έναν κωδικό σφάλματος που μπορεί να αντιστοιχιστεί σε ένα αρχείο καταγραφής συμβάντων ή ένα αναγνωριστικό σφάλματος που τεκμηριώνεται για συντήρηση ασφαλούς εκκίνησης.) |
|
HighConfidenceOptOut |
REG_DWORD |
Για επιχειρήσεις που θέλουν να εξαιρεθούν από κάδους υψηλής εμπιστοσύνης που θα εφαρμοστούν αυτόματα ως μέρος της LCU. Μπορούν να ορίσουν αυτό το κλειδί σε μη μηδενική τιμή για να εξαιρεθούν από τους κάδους υψηλής εμπιστοσύνης. |
|
MicrosoftUpdateManagedOptIn |
REG_DWORD |
Για επιχειρήσεις που θέλουν να συμμετάσχουν στη συντήρηση CFR (Με διαχείριση από τη Microsoft). Εκτός από τον ορισμό αυτού του κλειδιού, οι πελάτες θα πρέπει να επιτρέψουν την αποστολή "Προαιρετικών διαγνωστικών δεδομένων". |
Πώς συνεργάζονται αυτά τα πλήκτρα
Ο διαχειριστής IT (μέσω GPO ή CSP) ρυθμίζει τις παραμέτρους AvailableUpdates = 0x5944, γεγονός που δίνει εντολή στα Windows να εκτελέσουν τη διαδικασία του άλμπουμ κλειδιών Ασφαλούς εκκίνησης στη συσκευή. Καθώς εκτελείται η διαδικασία, το σύστημα ενημερώνει το UEFICA2023Status από "NotStarted" σε "InProgress" και τέλος σε "Ενημερώθηκε" μετά την επιτυχία. Καθώς κάθε bit στο 0x5944 υποβάλλεται σε επεξεργασία με επιτυχία, απαλείφεται. Εάν κάποιο βήμα αποτύχει, ένας κωδικός σφάλματος καταγράφεται στο UEFICA2023Error (και η κατάσταση μπορεί να παραμείνει "InProgress" ή μια μερικώς ενημερωμένη κατάσταση). Αυτός ο μηχανισμός παρέχει στους διαχειριστές έναν σαφή τρόπο ενεργοποίησης και παρακολούθησης της παράδοσης ανά συσκευή.
Σημείωση: Αυτές οι τιμές μητρώου εισάγονται ειδικά για αυτήν τη δυνατότητα (δεν υπάρχουν σε παλαιότερα συστήματα μέχρι να εγκατασταθεί η ενημέρωση υποστήριξης). Τα ονόματα UEFICA2023Status και UEFICA2023Error ορίστηκαν στη σχεδίαση για την καταγραφή της κατάστασης προσθήκης των πιστοποιητικών "Windows UEFI CA 2023". Εμφανίζονται στην παραπάνω διαδρομή μητρώου μόλις το σύστημα ενημερωθεί σε μια δομή που υποστηρίζει την κύλιση κλειδιού ασφαλούς εκκίνησης.
Επηρεαζόμενες πλατφόρμες
Η Ασφαλής εκκίνηση υποστηρίζεται στα Windows ξεκινώντας από τη βάση κώδικα του Windows Server 2012 και η υποστήριξη Πολιτική ομάδας υπάρχει σε όλες τις εκδόσεις των Windows που υποστηρίζουν την Ασφαλή εκκίνηση. Επομένως, Πολιτική ομάδας υποστήριξη θα παρέχεται σε όλες τις υποστηριζόμενες εκδόσεις των Windows που υποστηρίζουν Ασφαλή εκκίνηση.
Αυτός ο πίνακας αναλύει περαιτέρω την υποστήριξη με βάση το κλειδί μητρώου.
|
Αριθμός-κλειδί |
Υποστηριζόμενες εκδόσεις των Windows |
|
AvailableUpdates/AvailableUpdatesPolicy, UEFICA2023Status, UEFICA2023Error |
Όλες οι εκδόσεις των Windows που υποστηρίζουν Ασφαλή εκκίνηση (Windows Server 2012 και νεότερες εκδόσεις των Windows). |
|
HighConfidenceOptOut |
Όλες οι εκδόσεις των Windows που υποστηρίζουν Ασφαλή εκκίνηση (Windows Server 2012 και νεότερες εκδόσεις των Windows). Σημείωση: Παρόλο που τα δεδομένα εμπιστοσύνης συγκεντρώνονται σε Windows 10, τις εκδόσεις 21H2 και 22H2 και νεότερες εκδόσεις των Windows, μπορούν να εφαρμοστούν σε συσκευές που εκτελούν παλαιότερες εκδόσεις των Windows. |
|
MicrosoftUpdateManagedOptIn |
Windows 10, εκδόσεις 21H2 και 22H2 Windows 11, εκδόσεις 22H2 και 23H2 Windows 11, έκδοση 24H2 και Windows Server 2025 |
Το SBAI/TpmTasks υλοποιεί μια νέα ρουτίνα για την κατάποση του σχήματος και την εξακρίβωση του αναγνωριστικού κάδου μιας συσκευής. Πρέπει επίσης να εκπέμπει συμβάντα, ώστε να αντιπροσωπεύει το αναγνωριστικό κάδου μιας συσκευής σε κάθε περίοδο λειτουργίας εκκίνησης.
Αυτά τα νέα συμβάντα θα απαιτήσουν να υπάρχουν στο σύστημα τα δεδομένα εμπιστοσύνης του κάδου συσκευής. Τα δεδομένα θα συμπεριληφθούν με τις αθροιστικές ενημερώσεις και θα είναι διαθέσιμα online για ενημερωμένες λήψεις.
Συμβάντα σφάλματος Ασφαλούς εκκίνησης
Τα συμβάντα σφαλμάτων έχουν μια κρίσιμη λειτουργία αναφοράς για ενημέρωση σχετικά με την κατάσταση και την πρόοδο της ασφαλούς εκκίνησης. Για πληροφορίες σχετικά με τα συμβάντα σφάλματος, ανατρέξτε στο θέμα Συμβάντα ενημέρωσης μεταβλητής εκκίνησης Secure Boot DB και DBX. Τα συμβάντα σφάλματος ενημερώνονται με πρόσθετο συμβάν για την Ασφαλή εκκίνηση.
Συμβάντα σφάλματος
Η Ασφαλής εκκίνηση θα εκπέμπει συμβάντα σε κάθε εκκίνηση. Τα συμβάντα που εκπέμπονται εξαρτώνται από την κατάσταση του συστήματος.
Συμβάν μετα-δεδομένων υπολογιστή
Τα συμβάντα σφάλματος θα περιλαμβάνουν μετα-δεδομένα υπολογιστή, όπως αρχιτεκτονική, έκδοση υλικολογισμικού κ.λπ., για να παρέχουν στους πελάτες λεπτομέρειες σχετικά με τη συσκευή. Αυτά τα μετα-δεδομένα θα παρέχουν στους διαχειριστές IT δεδομένα για να τους βοηθήσουν να κατανοήσουν ποιες συσκευές έχουν πιστοποιητικά που λήγουν και τα χαρακτηριστικά των συσκευών τους.
Αυτό το συμβάν θα εκπέμπεται σε όλες τις συσκευές που δεν διαθέτουν τα απαραίτητα ενημερωμένα πιστοποιητικά. Τα απαραίτητα πιστοποιητικά είναι τα εξής:
-
η PCA2023
-
ο τρίτος πάροχος UEFI CA και η Ca Option ROM CA τρίτου μέρους, εφόσον υπάρχει η CA τρίτου μέρους του 2011
-
το ΚΕΚ.
Τα τυπικά χαρακτηριστικά για τον κάδο γενικής χρήσης είναι τα εξής:
-
OEMName_Uncleaned
-
OEMModel
-
OEMSubModel
-
OEMModelSystemFamily
-
OEMModelBaseBoard
-
BaseBoardManufacturer
-
FirmwareManufacturer
-
FirmwareVersion
Αναγνωριστικό συμβάντος: 1801
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Προέλευση συμβάντος |
TPM-WMI |
|
Αναγνωριστικό συμβάντος |
1801 |
|
Επίπεδο |
Σφάλμα |
|
Κείμενο μηνύματος συμβάντος |
Οι ca/κλειδιά ασφαλούς εκκίνησης πρέπει να ενημερωθούν. Οι πληροφορίες υπογραφής αυτής της συσκευής περιλαμβάνονται εδώ. <Συμπεριλάβετε τυπικά χαρακτηριστικά – αυτά που χρησιμοποιούμε όταν ένας OEM δεν έχει οριστεί> |
Συμβάν αξιολόγησης εμπιστοσύνης BucketIid+
Αυτό το συμβάν θα εκπέμπεται σε συνδυασμό με το συμβάν Μετα-δεδομένων υπολογιστή, όταν η συσκευή δεν διαθέτει τα απαραίτητα ενημερωμένα πιστοποιητικά, όπως περιγράφεται παραπάνω. Κάθε συμβάν σφάλματος θα περιλαμβάνει ένα BucketId και ένα χαρακτηρισμό εμπιστοσύνης. Η αξιολόγηση εμπιστοσύνης μπορεί να είναι μία από τις παρακάτω.
|
Εμπιστοσύνη |
Περιγραφή |
|
Υψηλή εμπιστοσύνη (Πράσινο) |
Βεβαιωθείτε ότι όλα τα απαραίτητα πιστοποιητικά μπορούν να αναπτυχθούν με επιτυχία. |
|
Χρειάζεται περισσότερα δεδομένα (κίτρινο) |
Στη λίστα του κάδου, αλλά όχι αρκετά δεδομένα. Ενδέχεται να έχει μεγάλη εμπιστοσύνη σε ορισμένα πιστοποιητικά που αναπτύσσουν και λιγότερη εμπιστοσύνη σε άλλα πιστοποιητικά. |
|
Άγνωστο (μοβ) |
Δεν βρίσκεται στη λίστα κουβά - δεν έχει δει ποτέ |
|
Τέθηκε σε παύση (Κόκκινο) |
Ορισμένα πιστοποιητικά ενδέχεται να αναπτυχθούν με υψηλό επίπεδο αξιοπιστίας, αλλά έχει εντοπιστεί ένα πρόβλημα που απαιτεί παρακολούθηση από τη Microsoft ή τον κατασκευαστή της συσκευής. Αυτή η κατηγορία μπορεί να περιλαμβάνει τις κατηγορίες Παραλείπονται, Γνωστά θέματα και Διερεύνηση. |
Αν δεν υπάρχει αναγνωριστικό κάδου για τη συσκευή, τότε το συμβάν θα πρέπει να υποδεικνύει ως κατάσταση την ένδειξη "Άγνωστο" και να μην περιλαμβάνει υπογραφή συσκευής.
Αναγνωριστικό συμβάντος: 1802
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Προέλευση συμβάντος |
TPM-WMI |
|
Αναγνωριστικό συμβάντος |
1802 |
|
Επίπεδο |
Σφάλμα |
|
Κείμενο μηνύματος συμβάντος |
Οι ca/κλειδιά ασφαλούς εκκίνησης πρέπει να ενημερωθούν. Αυτές οι πληροφορίες υπογραφής συσκευής περιλαμβάνονται εδώ.%nDeviceAttributes: %1%nBucketId: %2%nBucketConfidenceLevel: %3%nHResult: %4 Υπογραφή συσκευής: b1a7c2e5f6d8a9c0e3f2b4a1c7e8d9f0b2a3c4e5f6d7a8b9c0e1f2a3b4c5d6e7, Τιμή εμπιστοσύνης: Προς το παρόν χρειάζεται περισσότερα δεδομένα (ή Άγνωστη, Υψηλή εμπιστοσύνη, Παύση) Ανατρέξτε στο https://aka.ms/GetSecureBoot για λεπτομέρειες |
Συμβάντα πληροφοριών
Συμβάν "Υπολογιστής ενημερωμένο"
Ένα συμβάν πληροφοριών υποδεικνύει ότι ο υπολογιστής είναι ενημερωμένος και δεν απαιτείται καμία ενέργεια.
Αναγνωριστικό συμβάντος: 1803
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Προέλευση συμβάντος |
TPM-WMI |
|
Αναγνωριστικό συμβάντος |
1803 |
|
Επίπεδο |
Πληροφορίες |
|
Κείμενο μηνύματος συμβάντος |
Αυτή η συσκευή έχει ενημερώσει την Ασφαλή εκκίνηση CA/πλήκτρα. %nDeviceAttributes: %1%nBucketId: %2%nBucketConfidenceLevel: %3%nHResult: %4 |
Συμβάντα προειδοποίησης
Οι προεπιλογές ασφαλούς εκκίνησης χρειάζονται ενημέρωση συμβάντος
Συμβάν προειδοποίησης που υποδεικνύει ότι οι προεπιλεγμένες ρυθμίσεις ασφαλούς εκκίνησης υλικολογισμικού της συσκευής δεν είναι ενημερωμένες. Αυτό συμβαίνει όταν η συσκευή εκκινείται από μια PCA2023 υπογεγραμμένη διαχείριση εκκίνησης και τα DBDefaults στο υλικολογισμικό δεν περιλαμβάνουν το πιστοποιητικό PCA2023.
Αναγνωριστικό συμβάντος: 1804
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Προέλευση συμβάντος |
TPM-WMI |
|
Αναγνωριστικό συμβάντος |
1804 |
|
Επίπεδο |
Προειδοποίηση |
|
Κείμενο μηνύματος σφάλματος |
Αυτή η συσκευή έχει ενημερωθεί στη διαχείριση εκκίνησης των Windows υπογεγραμμένη από το "Windows UEFI CA 2023", αλλά το DBDefaults Ασφαλούς εκκίνησης στο υλικολογισμικό δεν περιλαμβάνει το πιστοποιητικό "Windows UEFI CA 2023". Η επαναφορά των ρυθμίσεων Ασφαλούς εκκίνησης στο υλικολογισμικό στις προεπιλογές ενδέχεται να αποτρέψει την εκκίνηση της συσκευής. Ανατρέξτε στο θέμα https://aka.ms/GetSecureBoot για λεπτομέρειες. |
Πρόσθετες αλλαγές στοιχείων για ασφαλή εκκίνηση
Αλλαγές TPMTasks
Τροποποιήστε τις TPMTasks για να προσδιορίσετε εάν η κατάσταση της συσκευής διαθέτει είτε τα ενημερωμένα πιστοποιητικά ασφαλούς εκκίνησης είτε όχι. Επί του παρόντος, μπορεί να λάβει αυτή την απόφαση, αλλά μόνο εάν το CFR μας επιλέξει έναν υπολογιστή για ενημέρωση. Θέλουμε αυτός ο προσδιορισμός και η επακόλουθη καταγραφή να συμβαίνουν σε κάθε περίοδο λειτουργίας εκκίνησης ανεξάρτητα από το CFR. Εάν τα πιστοποιητικά ασφαλούς εκκίνησης δεν είναι πλήρως ενημερωμένα, τότε εκπέμπουν τα δύο συμβάντα σφάλματος που περιγράφονται παραπάνω και, εάν τα πιστοποιητικά είναι ενημερωμένα, τότε εκπέμπουν το συμβάν Information. Τα Πιστοποιητικά ασφαλούς εκκίνησης που θα ελεγχθούν είναι τα εξής:
-
Windows UEFI CA 2023
-
Microsoft UEFI CA 2023 και Microsoft Option ROM CA 2023 – εάν υπάρχει το Microsoft UEFI CA 2011, πρέπει να υπάρχουν αυτές οι δύο CA. Εάν δεν υπάρχει το Microsoft UEFI CA 2011, δεν απαιτείται έλεγχος.
-
Microsoft Corporation KEK CA 2023
Συμβάν μετα-δεδομένων υπολογιστή
Αυτό το συμβάν θα συγκεντρώσει τα μετα-δεδομένα του υπολογιστή και θα εκδώσει ένα συμβάν.
-
BucketId + Συμβάν αξιολόγησης εμπιστοσύνης
Αυτό το συμβάν θα χρησιμοποιήσει τα μετα-δεδομένα του υπολογιστή για να βρει την αντίστοιχη καταχώρηση στη βάση δεδομένων υπολογιστών (καταχώρηση κάδου) και θα μορφοποιήσει και θα εκπέμπει ένα συμβάν με αυτά τα δεδομένα μαζί με τυχόν πληροφορίες εμπιστοσύνης σχετικά με τον κάδο.
Βοηθός συσκευής με υψηλή αυτοπεποίθηση
Για συσκευές με κάδους υψηλής αξιοπιστίας, θα εφαρμοστούν αυτόματα τα πιστοποιητικά Ασφαλούς εκκίνησης και η διαχείριση εκκίνησης με υπογραφή 2023.
Η ενημέρωση θα ενεργοποιηθεί ταυτόχρονα με τη δημιουργία των δύο συμβάντων σφάλματος και το συμβάν BucketId + Confidence Rating περιλαμβάνει αξιολόγηση υψηλής αξιοπιστίας.
Για τους πελάτες που θέλουν να εξαιρεθούν, ένα νέο κλειδί μητρώου θα είναι διαθέσιμο ως εξής:
|
Θέση μητρώου |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot |
|
Όνομα πλήκτρου |
HighConfidenceOptOut |
|
Τύπος πλήκτρου |
DWORD |
|
Τιμή DWORD |
0 ή το πλήκτρο δεν υπάρχει – ενεργοποιημένος ο Βοηθός υψηλής εμπιστοσύνης. 1 – Ο βοηθός υψηλής εμπιστοσύνης είναι απενεργοποιημένος Οτιδήποτε άλλο – Απροσδιόριστο |
Αυτή η μέθοδος παρέχει μια εύχρηστη ρύθμιση Πολιτική ομάδας που μπορούν να ενεργοποιήσουν οι διαχειριστές τομέα για την ανάπτυξη ενημερώσεων ασφαλούς εκκίνησης σε προγράμματα-πελάτες και διακομιστές Windows που συμμετέχουν σε τομέα.
Το Πολιτική ομάδας Object (GPO) θα γράψει την απαιτούμενη τιμή μητρώου AvailableUpdatesPolicy και, ως εκ τούτου, θα ξεκινήσει τη διαδικασία, χρησιμοποιώντας την τυπική υποδομή Πολιτική ομάδας για την ανάπτυξη και τον έλεγχο της εμβέλειας.
Επισκόπηση ρύθμισης παραμέτρων GPO
-
Όνομα πολιτικής (αβέβαιο): "Enable Secure Boot Key Rollout" (στην περιοχή Ρύθμιση παραμέτρων υπολογιστή).
-
Διαδρομή πολιτικής: Ένας νέος κόμβος στην περιοχή Ρυθμίσεις παραμέτρων υπολογιστή → πρότυπα διαχείρισης → στοιχεία των Windows → ασφαλή εκκίνηση. Για λόγους σαφήνειας, θα πρέπει να δημιουργηθεί μια υποκατηγορία όπως "Secure Boot Ενημερώσεις" για να στεγαστεί αυτή η πολιτική.
-
Εμβέλεια: Υπολογιστής (ρύθμιση για ολόκληρο τον υπολογιστή) – επειδή στοχεύει το HKLM και επηρεάζει την κατάσταση UEFI της συσκευής.
-
Ενέργεια πολιτικής: Όταν ενεργοποιηθεί, η πολιτική θα ορίσει το κλειδί μητρώου AvailableUpdatesPolicy στην τιμή 0x5944 (REG_DWORD) στο πρόγραμμα-πελάτη κάτω από τη διαδρομή HKLM\System\CurrentControlSet\Control\SecureBoot\Servicing. Αυτή η επιλογή επισημαίνει τη συσκευή, για να εγκαταστήσετε όλες τις διαθέσιμες ενημερώσεις κλειδιού ασφαλούς εκκίνησης την επόμενη ευκαιρία.
Σημείωση: Λόγω της φύσης των Πολιτική ομάδας όπου η πολιτική θα εφαρμόζεται εκ νέου με την πάροδο του χρόνου και της φύσης των AvailableUpdates όπου διαγράφονται τα bit καθώς υποβάλλονται σε επεξεργασία, είναι απαραίτητο να έχετε ένα ξεχωριστό κλειδί μητρώου που ονομάζεται AvailableUpdatesPolicy, έτσι ώστε η υποκείμενη λογική να μπορεί να παρακολουθεί εάν έχουν αναπτυχθεί τα κλειδιά. Όταν η ρύθμιση AvailableUpdatesPolicy έχει οριστεί σε 0x5944, το TPMTasks θα ρυθμίσει το AvailableUpdates για να 0x5944 και θα σημειώσει ότι αυτό έχει γίνει για να αποτραπεί η επανάληψη της εφαρμογής στο AvailableUpdates πολλές φορές. Η ρύθμιση AvailableUpdatesPolicy σε Diabled θα προκαλέσει την απαλοιφή (ορισμός από το TPMTasks σε 0) AvailableUpdates και σημειώστε ότι αυτό έχει ολοκληρωθεί.
-
Απενεργοποιημένο/μη ρυθμισμένο: Όταν δεν έχει ρυθμιστεί, η πολιτική δεν κάνει αλλαγές (οι ενημερώσεις ασφαλούς εκκίνησης παραμένουν ενεργοποιημένες και δεν θα εκτελούνται, εκτός εάν ενεργοποιηθούν με άλλα μέσα). Εάν είναι απενεργοποιημένη, η πολιτική θα πρέπει να ρυθμίσει το AvailableUpdates = 0, για να διασφαλιστεί ρητά ότι η συσκευή δεν θα επιχειρήσει το ρολό κλειδιού Ασφαλούς εκκίνησης ή για να διακόψει την κυκλοφορία σε περίπτωση που κάτι δεν πάει καλά.
-
Το HighConfidenceOptOut μπορεί να ενεργοποιηθεί ή να απενεργοποιηθεί. Η ενεργοποίηση θα ρυθμίσει αυτό το κλειδί σε 1 και η απενεργοποίηση θα το ρυθμίσει σε 0.
Υλοποίηση ADMX: Αυτή η πολιτική θα εφαρμοστεί μέσω ενός τυπικού προτύπου διαχείρισης (.admx). Χρησιμοποιεί το μηχανισμό πολιτικής μητρώου για να γράψει την τιμή. Για παράδειγμα, ο ορισμός ADMX θα καθορίζει:
-
Κλειδί μητρώου: Software\Policies\... (Πολιτική ομάδας συνήθως κάνει εγγραφή στον κλάδο Πολιτικές), αλλά σε αυτή την περίπτωση πρέπει να επηρεάσουμε το HKLM\SYSTEM. Θα αξιοποιήσουμε την ικανότητα της Πολιτική ομάδας να γράφει απευθείας στο HKLM για πολιτικές υπολογιστών. Το ADMX μπορεί να χρησιμοποιήσει το στοιχείο με την πραγματική διαδρομή προορισμού.
-
Όνομα τιμής: AvailableUpdatesPolicy, Value: 0x5944 (DWORD).
Όταν εφαρμοστεί το αντικείμενο πολιτικής ομάδας (GPO), η υπηρεσία προγράμματος-πελάτη Πολιτική ομάδας σε κάθε στοχευόμενο υπολογιστή θα δημιουργήσει/ενημερώσει αυτήν την τιμή μητρώου. Την επόμενη φορά που θα εκτελεστεί η εργασία συντήρησης Ασφαλούς εκκίνησης (TPMTasks) σε αυτόν τον υπολογιστή, θα εντοπίσει 0x5944 και θα πραγματοποιήσει την ενημέρωση. (Εξ ορισμού, στα Windows η προγραμματισμένη εργασία "TPMTask" εκτελείται κάθε 12 ώρες για την επεξεργασία τέτοιων σημαιών ενημέρωσης Ασφαλούς εκκίνησης, επομένως, εντός 12 ωρών θα ξεκινήσει η ενημέρωση. Οι διαχειριστές μπορούν επίσης να επιταχύνουν εκτελώντας την εργασία με μη αυτόματο τρόπο ή κάνοντας επανεκκίνηση, εάν θέλετε.)
Παράδειγμα περιβάλλοντος εργασίας χρήστη πολιτικής
-
Ρύθμιση: "Enable Secure Boot Key Rollout" – When enabled, the device will install the updated Secure Boot certificates (2023 CAs) and associated boot manager update. Τα κλειδιά και οι ρυθμίσεις παραμέτρων ασφαλούς εκκίνησης υλικολογισμικού της συσκευής θα ενημερωθούν στο επόμενο παράθυρο συντήρησης. Η κατάσταση μπορεί να εντοπιστεί μέσω του μητρώου (UEFICA2023Status και UEFICA2023Error) ή του αρχείου καταγραφής συμβάντων των Windows.
-
Επιλογές: Ενεργοποιήθηκε / απενεργοποιήθηκε / δεν έχει ρυθμιστεί.
Αυτή η προσέγγιση μεμονωμένης ρύθμισης παραμένει απλή για όλους τους πελάτες (χρησιμοποιώντας πάντα τη συνιστώμενη τιμή 0x5944). Εάν στο μέλλον απαιτείται πιο λεπτομερής έλεγχος, θα μπορούσαν να εισαχθούν πρόσθετες πολιτικές ή επιλογές. Ωστόσο, οι τρέχουσες οδηγίες είναι ότι τανέα κλειδιά Ασφαλούς εκκίνησης και η νέα διαχείριση εκκίνησης θα πρέπει να αναπτυχθούν μαζί σχεδόν σε όλα τα σενάρια, επομένως, είναι κατάλληλη μια ανάπτυξη ενός διακόπτη.
Δικαιώματα & ασφαλείας: Γράφοντας σε HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\... απαιτεί δικαιώματα διαχειριστή. Πολιτική ομάδας εκτελείται ως Τοπικό σύστημα σε υπολογιστές-πελάτες, το οποίο έχει τα απαραίτητα δικαιώματα. Οι διαχειριστές μπορούν να επεξεργαστούν το ίδιο το αντικείμενο πολιτικής ομάδας (GPO) με δικαιώματα διαχείρισης Πολιτική ομάδας. Standard ασφάλεια GPO μπορεί να αποτρέψει την τροποποίηση της πολιτικής από μη διαχειριστές.
Κείμενο για το περιβάλλον εργασίας χρήστη Πολιτική ομάδας
Το κείμενο στα Αγγλικά που χρησιμοποιείται κατά τη ρύθμιση των παραμέτρων της πολιτικής έχει ως εξής.
|
Στοιχείο κειμένου |
Περιγραφή |
|
Κόμβος στην ιεραρχία Πολιτική ομάδας |
Ασφαλής εκκίνηση |
|
AvailableUpdates/ AvailableUpdatesPolicy |
|
|
Ορισμός ονόματος |
Ενεργοποίηση ανάπτυξης πιστοποιητικών ασφαλούς εκκίνησης |
|
Επιλογές |
Επιλογές <δεν απαιτούνται επιλογές: απλώς "Δεν έχει ρυθμιστεί", "Ενεργοποιήθηκε" και "Απενεργοποιήθηκε" > |
|
Περιγραφή |
Αυτή η ρύθμιση πολιτικής σάς επιτρέπει να ενεργοποιήσετε ή να απενεργοποιήσετε τη διαδικασία ανάπτυξης πιστοποιητικών ασφαλούς εκκίνησης σε συσκευές. Όταν ενεργοποιηθούν, τα Windows θα ξεκινήσουν αυτόματα τη διαδικασία ανάπτυξης πιστοποιητικών σε συσκευές στις οποίες έχει εφαρμοστεί αυτή η πολιτική. Σημείωση: Αυτή η ρύθμιση μητρώου δεν αποθηκεύεται σε ένα κλειδί πολιτικής και αυτή θεωρείται προτίμηση. Επομένως, εάν το αντικείμενο Πολιτική ομάδας που υλοποιεί αυτήν τη ρύθμιση καταργηθεί ποτέ, αυτή η ρύθμιση μητρώου θα παραμείνει. Σημείωση: Η εργασία των Windows που εκτελεί και επεξεργάζεται αυτήν τη ρύθμιση, εκτελείται κάθε 12 ώρες. Σε ορισμένες περιπτώσεις, οι ενημερώσεις θα διατηρούνται μέχρι να γίνει επανεκκίνηση του συστήματος, ώστε να ακολουθηθούν με ασφάλεια οι ενημερώσεις. Σημείωση: Μετά την εφαρμογή των πιστοποιητικών στο υλικολογισμικό, δεν μπορείτε να τα αναιρέσετε από τα Windows. Εάν η απαλοιφή των πιστοποιητικών είναι απαραίτητη, πρέπει να γίνει από το περιβάλλον εργασίας του μενού υλικολογισμικού. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα: https://aka.ms/GetSecureBoot |
|
HighConfidenceOptOut |
|
|
Ορισμός ονόματος |
Ανάπτυξη αυτόματου πιστοποιητικού μέσω Ενημερώσεις |
|
Επιλογές |
<δεν απαιτούνται επιλογές: απλώς "Δεν έχει ρυθμιστεί", "Ενεργοποιήθηκε" και "Απενεργοποιήθηκε" > |
|
Περιγραφή |
Για συσκευές στις οποίες υπάρχουν διαθέσιμα αποτελέσματα δοκιμών που υποδεικνύουν ότι η συσκευή μπορεί να επεξεργαστεί τις ενημερώσεις πιστοποιητικών με επιτυχία, οι ενημερώσεις θα ξεκινήσουν αυτόματα στο πλαίσιο των ενημερώσεων συντήρησης. Αυτή η πολιτική είναι ενεργοποιημένη από προεπιλογή. Για τις επιχειρήσεις που επιθυμούν να διαχειρίζονται την αυτόματη ενημέρωση, χρησιμοποιήστε αυτήν την πολιτική για να ενεργοποιήσετε ή να απενεργοποιήσετε ρητά τη δυνατότητα. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα: https://aka.ms/GetSecureBoot |
Αυτό μπορεί να χρησιμοποιηθεί για την ενεργοποίηση των πλήκτρων SecureBoot.
Αυτό το σύστημα αποτελείται από μια σειρά βοηθητικών προγραμμάτων γραμμής εντολών (ένα παραδοσιακό εκτελέσιμο αρχείο και μια λειτουργική μονάδα powershell) που μπορούν να υποβάλουν τοπικά ερωτήματα και να εφαρμόσουν ρυθμίσεις παραμέτρων SecureBoot σε έναν υπολογιστή.
Το WinCS λειτουργεί με ένα κλειδί ρύθμισης παραμέτρων που μπορεί να χρησιμοποιηθεί με τα βοηθητικά προγράμματα γραμμής εντολών για την τροποποίηση της κατάστασης σημαίας SecureBoot στον υπολογιστή. Αφού εφαρμοστεί, ο επόμενος προγραμματισμένος έλεγχος SecureBoot θα αναλάβει δράση με βάση το κλειδί.
|
Όνομα δυνατότητας |
Πλήκτρο WinCS |
Περιγραφή |
|
Feature_AllowDBUpdate2023Rollout |
F924888F002 |
Επιτρέπει την ενημέρωση της βάσης δεδομένων Ασφαλούς εκκίνησης (DB) με το νέο πιστοποιητικό Windows UEFI CA 2023 (αυτό που υπογράφει φορτωτές εκκίνησης των Windows). |
|
Feature_Allow3POROMRollout |
3CCC848E002 |
Επιτρέπει την ενημέρωση του DB ασφαλούς εκκίνησης με το νέο πιστοποιητικό ROM 2023 επιλογής τρίτου κατασκευαστή (για ROM επιλογής τρίτου κατασκευαστή, συνήθως υλικολογισμικό περιφερειακής συσκευής). |
|
Feature_Allow3PUEFICARollout |
E0366E8E002 |
Επιτρέπει την ενημέρωση του DB Ασφαλούς εκκίνησης με το νέο πιστοποιητικό UEFI CA 2023 τρίτου μέρους (αντικαθιστώντας το 2011 Microsoft 3P UEFI CA που υπογράφει προγράμματα φόρτωσης εκκίνησης τρίτων κατασκευαστών). |
|
Feature_KEKUpdateAllowList |
3924588F002 |
Επιτρέπει την ενημέρωση του χώρου αποθήκευσης κλειδιού exchange (KEK) με το νέο Microsoft KEK 2023. Ο όρος "λίστα αποδοχής" υποδεικνύει ότι προσαρτά το νέο KEK, αν το PK (κλειδί πλατφόρμας) της πλατφόρμας αντιστοιχεί στη Microsoft (εξασφαλίζοντας ότι η ενημέρωση ισχύει μόνο για την Ασφαλή εκκίνηση που ελέγχεται από τη Microsoft και όχι για το προσαρμοσμένο PK). |
|
Feature_PCA2023BootMgrUpdate |
99ACD08F002 |
Επιτρέπει την εγκατάσταση μιας νέας διαχείρισης εκκίνησης με υπογραφή PCA 2023 (bootmgfw.efi), αν το DB του συστήματος ενημερωθεί με PCA 2023, αλλά ο τρέχων διαχειριστής εκκίνησης εξακολουθεί να είναι υπογεγραμμένη από το παλαιότερο PCA 20111. Αυτό εξασφαλίζει ότι η αλυσίδα εκκίνησης έχει ενημερωθεί πλήρως στα πιστοποιητικά του 2023. |
|
Feature_AllKeysAndBootMgrByWinCS |
F33E0C8E002 |
Ρυθμίζει όλες τις παραπάνω παραμέτρους ώστε να επιτρέπονται. |
Τα πλήκτρα SecureBoot μπορούν να ερωτηθούν με την ακόλουθη γραμμή εντολών:
WinCsFlags.exe /query -p "CVE:CVE-2025-55318"
Αυτό θα επιστρέψει τα εξής (σε ένα καθαρό μηχάνημα):
Σημαία: F33E0C8E
Τρέχουσα ρύθμιση παραμέτρων: F33E0C8E001
Ρύθμιση παραμέτρων σε εκκρεμότητα: Καμία
Ενέργεια σε εκκρεμότητα: Καμία
Κατάσταση: Απενεργοποιημένο
CVE: CVE-2025-55318
FwLink: https://aka.ms/getsecureboot
Ρυθμίσεις παραμέτρων:
F33E0C8E002
F33E0C8E001
Παρατηρήστε ότι η κατάσταση του κλειδιού είναι απενεργοποιημένη και η τρέχουσα ρύθμιση παραμέτρων είναι F33E0C8E001.
Μπορείτε να ρυθμίσετε τις παραμέτρους της συγκεκριμένης ρύθμισης παραμέτρων για την ενεργοποίηση των πιστοποιητικών SecureBoot με τον εξής τρόπο:
WinCsFlags /apply –key "F33E0C8E002"
Μια επιτυχής εφαρμογή του κλειδιού θα πρέπει να επιστρέψει τις ακόλουθες πληροφορίες:
Εφαρμόστηκε με επιτυχία F33E0C8E002
Σημαία: F33E0C8E
Τρέχουσα ρύθμιση παραμέτρων: F33E0C8E002
Ρύθμιση παραμέτρων σε εκκρεμότητα: Καμία
Ενέργεια σε εκκρεμότητα: Καμία
Κατάσταση: Απενεργοποιημένο
CVE: CVE-2025-55318
FwLink: https://aka.ms/getsecureboot
Ρυθμίσεις παραμέτρων:
F33E0C8E002
Για να προσδιορίσετε την κατάσταση του πλήκτρου αργότερα, μπορείτε να χρησιμοποιήσετε ξανά την αρχική εντολή ερωτήματος:
WinCsFlags.exe /query -p "CVE:CVE-2025-55318"
Οι πληροφορίες που επιστρέφονται θα είναι παρόμοιες με τις παρακάτω, ανάλογα με την κατάσταση της σημαίας:
Σημαία: F33E0C8E
Τρέχουσα ρύθμιση παραμέτρων: F33E0C8E002
Ρύθμιση παραμέτρων σε εκκρεμότητα: Καμία
Ενέργεια σε εκκρεμότητα: Καμία
Κατάσταση: Ενεργοποιήθηκε
CVE: CVE-2025-55318
FwLink: https://aka.ms/getsecureboot
Ρυθμίσεις παραμέτρων:
F33E0C8E002
F33E0C8E001
Παρατηρήστε ότι η κατάσταση του κλειδιού είναι πλέον ενεργοποιημένη και η τρέχουσα ρύθμιση παραμέτρων είναι F33E0C8E002.
Σημείωση Το κλειδί που εφαρμόζεται δεν σημαίνει ότι η διαδικασία εγκατάστασης πιστοποιητικού SecureBoot έχει ξεκινήσει ή έχει ολοκληρωθεί. Απλώς υποδεικνύει ότι ο υπολογιστής θα προχωρήσει με ενημερώσεις SecureBoot με την επόμενη διαθέσιμη ευκαιρία. Αυτό μπορεί να είναι σε εκκρεμότητα, να έχει ήδη ξεκινήσει ή να έχει ολοκληρωθεί. Η κατάσταση της σημαίας δεν υποδεικνύει αυτή την πρόοδο.
Βήματα μη αυτόματης ενημέρωσης DB/KEK
Για οδηγίες σχετικά με τον τρόπο μη αυτόματης εφαρμογής των ενημερώσεων Ασφαλούς εκκίνησης DB, ανατρέξτε στο θέμα Ενημέρωση κλειδιών ασφαλούς εκκίνησης της Microsoft. Επιπλέον, για λεπτομέρειες σχετικά με τη συνιστώμενη ρύθμιση παραμέτρων αντικειμένων Ασφαλούς εκκίνησης της Microsoft, ανατρέξτε στο θέμα Αντικείμενα Ασφαλούς εκκίνησης της Microsoft GitHub Repo, καθώς είναι το επίσημο σημείο για όλο το περιεχόμενο αντικειμένων Secure Boot.
|
Αλλαγή ημερομηνίας |
Αλλαγή περιγραφής |
|
Σεπτέμβριος 2025 |
|
|
8 Ιουλίου 2025 |
|
|
2 Ιουλίου 2025 |
|
