Käytetään kohteeseen
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Alkuperäinen julkaisupäivä: 26. kesäkuuta 2025

KB-tunnus: 5062713

Tässä artikkelissa on ohjeita:

Organisaatiot (yritykset, pienyrittäjien ja oppilaitosten organisaatiot), joissa on IT-hallittuja Windows-laitteita ja -päivityksiä.

Huomautus: Jos olet henkilö, joka omistaa henkilökohtaisen Windows-laitteen, siirry artikkeliin Windows-laitteet kotikäyttäjille, yrityksille ja kouluille, joissa on Microsoftin hallinnoimia päivityksiä.

Tässä artikkelissa

Yleiskatsaus

Tämä artikkeli on tarkoitettu organisaatioille, joissa on it-ammattilaisia, jotka hallitsevat päivityksiä aktiivisesti koko laitekalustossaan. Suurin osa tästä artikkelista keskittyy toimintoihin, joita tarvitaan, jotta organisaation IT-osasto voi ottaa uudet suojatun käynnistyksen varmenteet käyttöön. Näitä toimintoja ovat esimerkiksi laiteohjelmiston testaaminen, laitepäivitysten valvonta, käyttöönoton aloittaminen ja ongelmien vianmääritys niiden ilmetessä. Esittelyssä on useita käyttöönotto- ja valvontamenetelmiä. Näiden ydintoimintojen lisäksi tarjoamme useita käyttöönottoapuvälineitä, mukaan lukien mahdollisuuden ottaa asiakaslaitteet käyttöön, jotta ne voivat osallistua cfr(Controlled Feature Rollout) -käyttöönottoon erityisesti varmenteiden käyttöönottoa varten.

Tässä osassa

Suojatun käynnistyksen varmenteen vanhentuminen

Varmenteiden myöntäjien määritys, jota kutsutaan myös Microsoftin suojatun käynnistyksen infrastruktuurin osana toimittamiksi varmenteiksi, on pysynyt samana Windows 8 ja Windows Server 2012 lähtien. Nämä varmenteet tallennetaan laiteohjelmiston Signature Database (DB) - ja Key Exchange Key (KEK) -muuttujiin. Microsoft on toimittanut samat kolme varmennetta alkuperäisen laitevalmistajan (OEM) ekosysteemiin, joka sisällytetään laitteen laiteohjelmistoon. Nämä varmenteet tukevat suojattua käynnistystä Windowsissa, ja niitä käyttävät myös kolmannen osapuolen käyttöjärjestelmät. Microsoft tarjoaa seuraavat varmenteet:

  • Microsoft Corporation KEK CA 2011

  • Microsoft Windows Production PCA 2011

  • Microsoft Corporation UEFI CA 2011

Tärkeää:  Kaikkien kolmen Microsoftin toimittaman varmenteen voimassaolo päättyy kesäkuussa 2026. Yhteistyössä ekosysteemikumppaneidemme kanssa Microsoft julkaisee uusia varmenteita, jotka auttavat varmistamaan suojatun käynnistyksen suojauksen ja jatkuvuuden tulevaisuudessa. Kun nämä 2011-varmenteet vanhentuvat, käynnistyksen osien suojauspäivitykset eivät ole enää mahdollisia, mikä vaarantaa käynnistyksen suojauksen ja vaarantaa windows-laitteet, joihin ongelma vaikuttaa, ja tietoturvan vaatimustenmukaisuus. Suojatun käynnistyksen toimintojen ylläpitämiseksi kaikki Windows-laitteet on päivitettävä käyttämään 2023-varmenteita ennen kuin 2011-varmenteet vanhenevat.

Mikä muuttuu?

Nykyiset Microsoft Secure Boot -varmenteet (Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, Microsoft Corporation UEFI CA 2011) alkavat vanhentua kesäkuusta 2026 alkaen ja vanhentuvat lokakuuhun 2026 mennessä. 

Uusia 2023-varmenteita otetaan käyttöön suojatun käynnistyksen suojauksen ja jatkuvuuden ylläpitämiseksi. Laitteiden on päivitettävä vuoden 2023 varmenteisiin ennen kuin vuoden 2011 varmenteet vanhenevat tai ne eivät ole tietoturvan mukaisia ja vaarassa.  

Vuodesta 2012 lähtien valmistetuissa Windows-laitteissa voi olla vanhentuvia varmenteiden versioita, jotka on päivitettävä. 

Terminologia

CA

Varmenteen myöntäjä

PK

Platform Key – OEM-laitevalmistajien hallitsema

KEK

Avain Exchange-näppäin

DB

Suojatun käynnistyksen allekirjoitustietokanta

DBX

Suojatun käynnistyksen kumottu allekirjoitustietokanta

Todistukset

Vanhentuva varmenne

Vanhentumispäivä

Sijainnin tallentaminen

Uusi varmenne

Tarkoitus

Microsoft Corporation KEK CA 2011

Kesä 2026

Tallennettu KEK:hen

Microsoft Corporation KEK CA 2023

Allekirjoittaa päivitykset DB: hen ja DBX: hen.

Microsoft Windows Production PCA 2011

Lokakuu 2026

Tallennettu DB:hen

Windows UEFI CA 2023

Allekirjoittaa Windowsin käynnistyslataimen.

Microsoft Corporation UEFI CA 2011*†

Kesä 2026

Tallennettu DB:hen

Microsoft UEFI CA 2023

Microsoft Option ROM CA 2023

Allekirjoittaa kolmannen osapuolen käynnistyslataajat ja EFI-sovellukset.

Allekirjoittaa kolmannen osapuolen vaihtoehdon ROM.t.

*Microsoft Corporation UEFI CA 2011 -varmenteen uusimisen aikana luodaan kaksi varmennetta, jotka erottavat käynnistyslataajan allekirjoituksen vaihtoehdosta ROM-allekirjoitus. Näin järjestelmän luottamusta voidaan hallita paremmin. Esimerkiksi järjestelmät, joiden on luotettava vaihtoehtoihin ROMs, voivat lisätä Microsoft Option ROM UEFI CA 2023 :n lisäämättä luottamusta kolmannen osapuolen käynnistyslataajille.

† Kaikki laitteet eivät sisällä Microsoft Corporation UEFI CA 2011 :tä laiteohjelmistossa. Suosittelemme käyttämään sekä uusia varmenteita, Microsoft UEFI CA 2023:a että Microsoft Option ROM CA 2023:a vain laitteissa, jotka sisältävät tämän varmenteen. Muussa tapauksessa näitä kahta uutta varmennetta ei tarvitse käyttää. 

KÄYTTÖÖNOTTO-pelikirja IT-ammattilaisille 

Suunnittele ja suorita suojatun käynnistyksen varmennepäivityksiä koko laitteen kalustossa valmistelun, seurannan, käyttöönoton ja korjaamisen avulla.

Tässä osassa

Suojatun käynnistyksen tilan tarkistaminen koko kalustossa: Onko suojattu käynnistys käytössä? 

Useimmat vuodesta 2012 lähtien valmistetut laitteet tukevat suojattua käynnistystä, ja ne toimitetaan suojatun käynnistyksen ollessa käytössä. Jos haluat varmistaa, että laitteessa on käytössä suojattu käynnistys, tee jompikumpi seuraavista: 

  • GUI-menetelmä: Siirry aloitusvalikkoon >Asetukset > Tietosuoja & Suojaus > Windowsin suojaus > Device Security. Suojatun käynnistyksen kohdassa Laitteen suojaus pitäisi olla merkkinä siitä, että suojattu käynnistys on käytössä.

  • Komentorivimenetelmä: Kirjoita PowerShellin laajennettuun komentokehotteeseen Vahvista-SecureBootUEFI ja paina sitten Enter-näppäintä. Komennon pitäisi palauttaa Tosi, mikä ilmaisee, että suojattu käynnistys on käytössä.

It-ammattilaisten käyttämien hallintaohjelmistojen on tehtävä suojatun käynnistyksen käyttöönottotarkistus laajamittaisissa käyttöönotoissa. 

Esimerkiksi Suojatun käynnistyksen tilan tarkistaminen Microsoft Intunen hallitsemista laitteista on mukautetun Intune-yhteensopivuuskomentosarjan luominen ja käyttöönotto. Intune-yhteensopivuusasetukset ovat ohjeaiheessa Linux- ja Windows-laitteiden mukautettujen yhteensopivuusasetusten käyttäminen Microsoft Intunen kanssa.  

Päivitysten käyttöönotto

Suojatun käynnistyksen varmennepäivityksiä voi kohdentaa laitteisiin monella tavalla. Käyttöönoton tietoja, kuten asetuksia ja tapahtumia, käsitellään myöhemmin tässä asiakirjassa. Kun kohdistat laitteen päivityksiä varten, laitteeseen tehdään asetus, joka ilmaisee, että laitteen on aloitettava uusien varmenteiden käyttöönotto. Ajoitettu tehtävä suoritetaan laitteessa 12 tunnin välein ja se havaitsee, että laite on kohdistettu päivityksille. Tehtävän toiminnan jäsennys on seuraava:

  1. Windows UEFI CA 2023 otetaan käyttöön DB:ssä.

  2. Jos laitteessa on Microsoft Corporation UEFI CA 2011 DB:ssä, tehtävä soveltaa DB:hen Microsoft Option ROM UEFI CA 2023:a ja Microsoft UEFI CA 2023:a.

  3. Tämän jälkeen tehtävä lisää Microsoft Corporation KEK 2K CA 2023:n.

  4. Ajoitettu tehtävä päivittää Windowsin käynnistyksen hallinnan Windows UEFI CA 2023:n allekirjoittamaan tehtävään. Windows havaitsee, että uudelleenkäynnistys on tarpeen, ennen kuin käynnistyksen hallinta voidaan ottaa käyttöön. Käynnistyksen hallinnan päivitys viivästyy, kunnes uudelleenkäynnistys tapahtuu luonnollisesti (esimerkiksi kuukausittaisten päivitysten yhteydessä), ja windows yrittää sitten uudelleen ottaa käyttöön käynnistyksen hallinnan päivityksen.

Kaikki edellä mainitut vaiheet on suoritettava onnistuneesti, ennen kuin ajoitettu tehtävä siirtyy seuraavaan vaiheeseen. Tämän prosessin aikana tapahtumalokit ja muut tilat ovat käytettävissä käyttöönoton seurannassa. Lisätietoja seurannasta ja tapahtumalokeista on alla.  

Suojatun käynnistyksen varmenteiden päivittäminen mahdollistaa tulevan päivityksen 2023 Boot Manageriin, joka on turvallisempi. Käynnistyksen hallinnan tietyt päivitykset julkaistaan tulevissa versioissa.

Käyttöönottovaiheet 

  • Valmistelu: Varasto- ja testauslaitteet.

  • Laiteohjelmistoon liittyvät seikat

  • Valvonta: Varmista, että valvonta toimii ja että kalustosi on perustasolla.

  • Käyttöönotto: Kohdelaitteet päivityksiä varten, alkaen pienistä alijoukoista ja laajentamalla tietoja onnistuneiden testien perusteella.

  • Korjaus: Tutki ja ratkaise mahdolliset ongelmat lokien ja toimittajan tuen avulla.

Valmistelu 

Varastolaitteisto ja laiteohjelmisto. Muodosta edustava esimerkki laitteista, jotka perustuvat esimerkiksi järjestelmän valmistajaan, järjestelmämalliin, BIOS-versioon/päivämäärään ja BaseBoard-tuoteversioon, ja testaa näiden näytteiden päivitykset ennen laajaa käyttöönottoa.  Nämä parametrit ovat yleisesti käytettävissä järjestelmätiedoissa (MSINFO32). 

PowerShell-komennot tietojen keräämiseksi ovat esimerkiksi seuraavat:

(Get-CIMInstance Win32_ComputerSystem).Manufacturer 

(Get-CIMInstance Win32_ComputerSystem).Model 

(Get-CIMInstance Win32_BIOS).Description + ", " + (Get-CIMInstance Win32_BIOS).ReleaseDate.ToString("MM/dd/yyyy") 

(Get-CIMInstance Win32_BaseBoard).Product 

Laiteohjelmistoon liittyvät seikat

Uusien suojatun käynnistyksen varmenteiden käyttöönotto laitteiden kalustossa edellyttää, että laitteen laiteohjelmistolla on osansa päivityksen viimeistelyssä. Vaikka Microsoft odottaa, että useimmat laitteen laiteohjelmistot toimivat odotetulla tavalla, tarvitaan huolellista testausta ennen uusien varmenteiden käyttöönottoa.

Tutki laitteistoluetteloa ja luo pieni, edustava otos laitteista seuraavien yksilöllisten ehtojen perusteella, kuten: 

  • Valmistaja

  • Mallinumero

  • Laiteohjelmistoversio

  • OEM Baseboard -versio jne.

Ennen kuin otat yleisesti käyttöön kalustosi laitteissa, suosittelemme, että testaat varmennepäivitykset edustavissa mallilaitteissa (kuten valmistajan, mallin tai laiteohjelmistoversion mukaan) varmistaaksesi, että päivitykset käsitellään onnistuneesti. Suositeltu ohje kunkin yksilöllisen luokan testattavien mallilaitteiden määrästä on 4 tai enemmän.

Tämä auttaa lisäämään luottamusta käyttöönottoprosessiisi ja välttämään odottamattomia vaikutuksia laajempaan kalustoon. 

Joissakin tapauksissa suojatun käynnistyksen varmenteiden päivittäminen saattaa edellyttää laiteohjelmistopäivitystä. Näissä tapauksissa suosittelemme tarkistamaan laitteen alkuperäisestä laitevalmistajasta, onko päivitettyä laiteohjelmistoa saatavilla.

Windows virtualisoiduissa ympäristöissä

Virtuaalisessa ympäristössä suoritettavassa Windowsissa on kaksi tapaa lisätä uudet varmenteet suojatun käynnistyksen laiteohjelmistomuuttujiin:  

  • Virtuaaliympäristön luoja (AWS, Azure, Hyper-V, VMware jne.) voi tarjota ympäristöpäivityksen ja sisällyttää uudet varmenteet virtualisoituun laiteohjelmistoon. Tämä toimisi uusissa virtualisoituissa laitteissa.

  • Jos Windows toimii pitkään virtuaalikoneessa, päivityksiä voidaan käyttää Windowsin kautta muiden laitteiden tavoin, jos virtualisoitu laiteohjelmisto tukee suojatun käynnistyksen päivityksiä.

Seuranta ja käyttöönotto 

Suosittelemme, että aloitat laitteen valvonnan ennen käyttöönottoa varmistaaksesi, että valvonta toimii oikein ja että sinulla on hyvä käsitys laivaston tilasta etukäteen. Seurantavaihtoehdoista keskustellaan alla. 

Microsoft tarjoaa useita tapoja suojatun käynnistyksen varmennepäivitysten käyttöönottoon ja valvontaan.

Automaattinen käyttöönotto auttaa 

Microsoft tarjoaa kaksi käyttöönottoapua. Nämä avustukset voivat osoittautua hyödyllisiksi apuna uusien varmenteiden käyttöönotossa kalustossasi. Molemmat avut edellyttävät diagnostiikkatietoja.

  • Vaihtoehto kumulatiivisille päivityksille luottamussäilöillä: Microsoft saattaa sisällyttää automaattisesti korkean luottamuksen laiteryhmiä kuukausittaisiin päivityksiin tähän mennessä jaettujen diagnostiikkatietojen perusteella sellaisten järjestelmien ja organisaatioiden eduksi, jotka eivät voi jakaa diagnostiikkatietoja. Tämä vaihe ei edellytä diagnostiikkatietojen asentamista käyttöön.

    • Organisaatioissa ja järjestelmissä, jotka voivat jakaa diagnostiikkatietoja, Microsoft näkee ja luottaa siihen, että laitteet voivat ottaa varmenteet onnistuneesti käyttöön. Lisätietoja diagnostiikkatietojen käyttöönotosta on artikkelissa Windowsin diagnostiikkatietojen määrittäminen organisaatiossa. Luomme "säilöjä" jokaiselle yksilölliselle laitteelle (sellaisinaan määritteet, joihin kuuluvat valmistaja, emolevyversio, laiteohjelmiston valmistaja, laiteohjelmistoversio ja muut arvopisteet). Seuraamme jokaisen säilön osalta onnistumisnäyttöä useissa laitteissa. Kun olemme nähneet tarpeeksi onnistuneita päivityksiä eikä virheitä, tarkastelemme säilöä "erittäin luottavaisena" ja sisällytämme nämä tiedot kuukausittaisiin kumulatiivisiin päivityksiin. Kun kuukausittaisia päivityksiä otetaan käyttöön laitteessa, joka on luotettavassa säilössä, Windows käyttää varmenteita automaattisesti laiteohjelmiston suojatun käynnistyksen muuttujiin.

    • Luotettavat säilöt sisältävät laitteita, jotka käsittelevät päivityksiä oikein. Luonnollisesti kaikki laitteet eivät tarjoa diagnostiikkatietoja, mikä saattaa rajoittaa Microsoftin luottamusta laitteen kykyyn käsitellä päivitykset oikein.

    • Tämä avustaja on oletusarvoisesti käytössä korkean varmuuden laitteissa, ja se voidaan poistaa käytöstä laitekohtaisen asetuksen avulla. Lisätietoja jaetaan tulevissa Windows-julkaisuissa.

  • Hallittu ominaisuuksien käyttöönotto (CFR):  Ota käyttöön laitteet Microsoftin hallinnoimaan käyttöönottoon, jos diagnostiikkatiedot ovat käytössä.

    • Hallittua ominaisuuksien käyttöönottoa (CFR) voidaan käyttää asiakaslaitteiden kanssa organisaation kalustossa. Tämä edellyttää, että laitteet lähettävät pakollisia diagnostiikkatietoja Microsoftille ja ovat ilmoittaneet, että laite ottaa CFR:n käyttöön laitteessa. Lisätietoja siitä, miten voit osallistua, on kuvattu alla.

    • Microsoft hallitsee näiden uusien varmenteiden päivitysprosessia Windows-laitteissa, joissa diagnostiikkatietoja on saatavilla ja laitteet osallistuvat CFR (Controlled Feature Rollout) -käyttöönottoon. Vaikka CFR voi auttaa uusien varmenteiden käyttöönotossa, organisaatiot eivät voi käyttää CFR:ää kalustonsa korjaamiseen. Se edellyttää, että noudatat tässä asiakirjassa kuvattuja ohjeita käyttöönottomenetelmiä koskevassa osiossa, jota automaattiset avustukset eivät kata.

    • Rajoitukset: On muutamia syitä, miksi CFR ei ehkä toimi ympäristössäsi. Esimerkki:

      • Diagnostiikkatietoja ei ole saatavilla tai diagnostiikkatietoja ei voi käyttää cfr-käyttöönoton yhteydessä.

      • Laitteet eivät ole Windows 11 tuetuissa asiakasversioissa ja Windows 10 laajennetuilla suojauspäivityksillä (ESU).

Käyttöönottotavat, joita automaattiset avustukset eivät kata

Valitse ympäristöön sopiva menetelmä. Vältä sekoittamista samassa laitteessa: 

  • Rekisteriavaimet: Hallitse käyttöönottoa ja valvo tuloksia.Käytettävissä on useita rekisteriavaimia varmenteiden käyttöönoton toiminnan hallintaan ja tulosten seurantaan. Lisäksi on olemassa kaksi avainta, joiden avulla voit ottaa käyttöön ja poistaa edellä kuvatut käyttöönottoapuvälineet. Lisätietoja rekisteriavaimista on artikkelissa Rekisteriavaimen Päivitykset suojatulle käynnistystoiminnolle – Windows-laitteille, joissa on IT-hallittuja päivityksiä.

  • ryhmäkäytäntö Objektit (ryhmäkäytäntöobjektit): Asetusten hallinta; valvonta rekisteri- ja tapahtumalokien kautta.Microsoft tarjoaa tukea suojatun käynnistyksen päivitysten hallintaan ryhmäkäytäntö avulla tulevassa päivityksessä. Huomaa, että koska ryhmäkäytäntö koskee asetuksia, laitteen tilan valvonta on tehtävä vaihtoehtoisilla menetelmillä, kuten rekisteriavainten ja tapahtumalokimerkintöjen valvonnalla.

  • WinCS (Windows Configuration System) CLI: Käytä komentorivityökaluja toimialueeseen liitettyihin asiakasohjelmiin.Toimialueen järjestelmänvalvojat voivat vaihtoehtoisesti käyttää Windows-käyttöjärjestelmän päivityksiin sisältyvää Windowsin määritysjärjestelmää (WinCS) suojatun käynnistyksen päivitysten käyttöönottoon toimialueeseen yhdistetyissä Windows-asiakasohjelmissa ja -palvelimissa. Se koostuu komentoriviapuohjelmista (sekä perinteisestä suoritettavasta että PowerShell-moduulista), joiden avulla voit tehdä kyselyjä ja käyttää suojatun käynnistyksen määrityksiä paikallisesti koneessa. Lisätietoja on artikkelissa Windowsin määritysjärjestelmän (WinCS) ohjelmointirajapinnat suojattua käynnistystä varten.

  • Microsoft Intune/Configuration Manager: Ota PowerShell-komentosarjat käyttöön. Tulevassa päivityksessä tarjotaan määrityspalveluntarjoaja, joka mahdollistaa käyttöönoton Intunen avulla.

Tapahtumalokien valvonta

Suojatun käynnistyksen varmennepäivitysten käyttöönotossa on kaksi uutta tapahtumaa. Nämä tapahtumat on kuvattu yksityiskohtaisesti suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumissa

  • Tapahtumatunnus: 1801 Tämä tapahtuma on virhetapahtuma, joka ilmaisee, että päivitettyjä varmenteita ei ole käytetty laitteessa. Tämä tapahtuma antaa joitakin laitetta koskevia tietoja, mukaan lukien laitteen määritteet, jotka auttavat korreloimaan, mitkä laitteet on vielä päivitettävä.

  • Tapahtumatunnus: 1808 Tämä tapahtuma on informaatiotapahtuma, joka ilmaisee, että laitteessa on laitteen laiteohjelmistoon sovellettavat pakolliset uudet suojatun käynnistyksen varmenteet.

Käyttöönottostrategiat 

Riskien minimoimiseksi ota suojatun käynnistyksen päivitykset käyttöön vaiheittain eikä kaikki kerralla. Aloita pienellä laitejoukolla, vahvista tulokset ja laajenna sitten muihin ryhmiin. Suosittelemme, että aloitat laitteiden alijoukoista ja lisäät laitteiden alijoukkoja, kun luotat näihin käyttöönottoihin. Useita tekijöitä voidaan käyttää määrittämään, mitä alijoukkoon kuuluu, mukaan lukien testitulokset mallilaitteissa ja organisaation rakenteessa jne. 

Päätös siitä, mitkä laitteet otat käyttöön, on sinun tehtäväsi. Tässä on lueteltu joitakin mahdollisia strategioita. 

  • Suuri laitekalusto: aloita luottamalla yllä kuvattuihin apuvälineisiin yleisimmissä laitteissa, joita hallitset. Keskity samaan aikaan organisaation hallitsemiin vähemmän yleisiin laitteisiin. Testaa pieniä näytelaitteita ja ota testauksen onnistuessa käyttöön muissa samantyyppisissä laitteissa. Jos testauksessa ilmenee ongelmia, tutki ongelman syy ja määritä korjausvaiheet. Voit myös harkita laiteluokkia, joilla on suurempi arvo kalustossasi, ja aloittaa testauksen ja käyttöönoton varmistaaksesi, että nämä laitteet ovat päivittäneet suojauksen ajoissa.

  • Pieni laivasto, suuri valikoima: Jos hallinnoimasi kalusto sisältää monenlaisia koneita, joissa yksittäisten laitteiden testaaminen olisi kiellettyä, harkitse vahvasti edellä kuvattujen kahden avustimen tukemista erityisesti laitteissa, jotka ovat todennäköisesti yleisiä laitteita markkinoilla. Keskity aluksi laitteisiin, jotka ovat kriittisiä päivittäiselle toiminnalle, testaa ja ota sitten käyttöön. Jatka suuren prioriteetin laitteiden luettelon siirtämistä, testaamista ja käyttöönottoa samalla kun valvot kalustoa varmistaaksesi, että avustukset auttavat jäljellä olevien laitteiden kanssa.

Huomautukset 

  • Kiinnitä huomiota vanhempiin laitteisiin, erityisesti laitteisiin, joita valmistaja ei enää tue. Vaikka laiteohjelmiston pitäisi suorittaa päivitystoiminnot oikein, jotkin eivät ehkä toimi. Jos laiteohjelmisto ei toimi oikein eikä laite enää tue sitä, harkitse laitteen vaihtamista suojatun käynnistyksen suojauksen varmistamiseksi koko kalustossa.

  • Uusissa laitteissa, jotka on valmistettu viimeisten 1–2 vuoden aikana, on ehkä jo asennettu päivitetyt varmenteet, mutta windows UEFI CA 2023:n allekirjoitettua käynnistyshallintaa ei ehkä ole otettu käyttöön järjestelmässä. Tämän käynnistyksen hallinnan käyttäminen on tärkeä viimeinen vaihe kunkin laitteen käyttöönotossa.

  • Kun laite on valittu päivityksiä varten, päivitysten valmistuminen voi kestää jonkin aikaa. Arvioi, että varmenteet ovat voimassa 48 tuntia ja yksi tai useampi uudelleenkäynnistys.

Usein kysytyt kysymykset (usein kysytyt kysymykset)

Lisätietoja usein kysytyistä kysymyksistä on suojatun käynnistyksen usein kysytyissä kysymyksissä.

Vianmääritys

Tässä osassa

Yleisiä kysymyksiä ja suosituksia

Tässä oppaassa kerrotaan yksityiskohtaisesti suojatun käynnistyksen varmenteen päivitysprosessin toiminnasta ja esitellään joitakin ohjeita vianmääritykseen, jos laitteiden käyttöönoton aikana ilmenee ongelmia. Päivitykset tähän osaan lisätään tarpeen mukaan.

Suojatun käynnistysvarmenteen käyttöönoton tuki 

Suojatun käynnistyksen varmennepäivitysten tueksi Windows ylläpitää ajoitettua tehtävää, joka suoritetaan 12 tunnin välein. Tehtävä etsii Bitit KäytettävissäPäivitettävät-rekisteriavaimesta , jota on käsiteltävä. Varmenteiden käyttöönotossa käytetyt kiinnostavat bitit ovat seuraavassa taulukossa. Tilaus-sarakkeessa näkyy järjestys, jossa bitit käsitellään.

Tilaus

Bittiasetus

Käyttö

1

0x0040

Tämä bitti kehottaa ajoitettua tehtävää lisäämään Windows UEFI CA 2023 -varmenteen suojatun käynnistyksen DB:hen. Näin Windows voi luottaa tämän varmenteen allekirjoittamiin käynnistysvalvojiin.

2

0x0800

Tämä bitti kehottaa ajoitettua tehtävää käyttämään Microsoft UEFI CA 2023:a DB:ssä.  

Jos 0x4000 on myös määritetty, ajoitettu tehtävä tarkistaa DB:n ja käyttää Microsoft UEFI CA 2023:a vain, jos se löytää Jo DB:stä Microsoft Corporation UEFI CA 2011:n.

3

0x1000

Tämä bitti kehottaa ajoitettua tehtävää käyttämään Microsoft Option ROM CA 2023 :a DB:ssä.

Jos 0x4000 on myös määritetty, ajoitettu tehtävä tarkistaa DB:n ja käyttää Microsoft Option ROM CA 2023:a vain, jos se löytää Jo DB:stä Microsoft Corporation UEFI CA 2011:n. 

2 & 3

0x4000

Tämä bitti muuttaa 0x0800- ja 0x1000-bittien toimintaa niin, että microsoft UEFI CA 2023 ja Microsoft Option ROM CA 2023 otetaan käyttöön vain, jos DB:llä on jo Microsoft Corporation UEFI CA 2011.   Jotta laitteen suojausprofiili pysyy samana, tämä bitti käyttää näitä uusia varmenteita vain, jos laite luotti Microsoft Corporation UEFI CA 2011 -varmenteeseen. Kaikki Windows-laitteet eivät luota tähän varmenteeseen.

4

0x0004

Tämä bitti kehottaa ajoitettua tehtävää etsimään avainta Exchange-avaimesta, jonka on allekirjoittanut laitteen ympäristöavain (PK). PK:tä hallitsee alkuperäinen laitevalmistaja. Alkuperäiset laitevalmistajat allekirjoittavat Microsoft KEK:n PK-tunnisteellaan ja toimittavat sen Microsoftille, jossa se sisältyy kumulatiivisten päivitysten mukana.

5

0x0100

Tämä bitti kehottaa ajoitettua tehtävää käyttämään käynnistysosiossa käynnistyksen hallintaa, jonka Windows UEFI CA 2023 on allekirjoittanut. Tämä korvaa Microsoft Windows Production PCA 2011:n allekirjoitetun käynnistyksen hallinnan.

Ajoitettu tapahtuma käsittelee kaikki bittit yllä olevan taulukon mukaisessa järjestyksessä.

Bittien etenemisen pitäisi näyttää tältä: 

  1. Aloitus: 0x5944

  2. 0x0040 → 0x5904 (Windows UEFI CA 2023:n käyttäminen onnistui)

  3. 0x0800 → 0x5104 (tarvittaessa käytössä Microsoft UEFI CA 2023)

  4. 0x1000 → 0x4104 (tarvittaessa käytössä Microsoft Option ROM UEFI CA 2023)

  5. 0x0004 → 0x4100 (Soveltanut Microsoft Corporation KEK 2K CA 2023:a)

  6. 0x0100 → 0x4000 (Windows UEFI CA 2023:n allekirjoitettu käynnistyksen hallinta)

Huomautukset

  • Kun bittiin liittyvä toiminto on suoritettu onnistuneesti, kyseinen bitti tyhjennetään AvailableUpdates-näppäimestä .

  • Jos jokin näistä toiminnoista epäonnistuu, tapahtuma kirjataan lokiin ja toimintoa yritetään uudelleen, kun ajoitettu tehtävä suoritetaan seuraavan kerran.

  • Jos bitti 0x4000 on määritetty, sitä ei poisteta. Kun kaikki muut bitit on käsitelty, AvailableUpdates-rekisteriavaimen arvoksi määritetään 0x4000.

Ongelma 1: KEK-päivitysVirhe: Laite päivittää varmenteet suojatun käynnistyksen DB:hen, mutta ei etene uuden Exchange-avainvarmenteen käyttöönoton jälkeen suojatun käynnistyksen KEK:ssa. 

Huomautus Kun tämä ongelma ilmenee, tapahtumatunnus 1796 kirjataan lokiin (katso Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat). Myöhemmin julkaistaan uusi tapahtuma, joka ilmaisee tämän ongelman. 

Laitteen AvailableUpdates-rekisteriavaimen arvoksi on määritetty 0x4104, eikä se poista 0x0004-bittiä, vaikka useita uudelleenkäynnistyksiä ja aikaa on kulunut huomattavasti. 

Ongelma voi olla se, että laitevalmistajan PK:n laitteelle allekirjoittamaa KEK-kirjainta ei ole. Alkuperäinen laitevalmistaja hallitsee laitteen PK-kirjainta ja on vastuussa uuden Microsoft KEK -varmenteen allekirjoittamisesta ja sen palauttamisesta Microsoftille, jotta se voidaan sisällyttää kuukausittaisiin kumulatiiviseen päivitykseen. 

Jos tämä virhe ilmenee, tarkista alkuperäisestä laitevalmistajasta, että se on noudattanut Windowsin suojatun käynnistysavaimen luonti- ja hallintaohjeissa kuvattuja ohjeita.  

Ongelma 2: Laiteohjelmistovirheet: Kun varmennepäivityksiä käytetään, varmenteet luovutetaan laiteohjelmistolle suojatun käynnistyksen DB- tai KEK-muuttujia varten. Joissakin tapauksissa laiteohjelmisto palauttaa virheen. 

Kun tämä ongelma ilmenee, suojattu käynnistys kirjaa tapahtumatunnuksen 1795. Lisätietoja tästä tapahtumasta on artikkelissa Suojatun käynnistyksen DB- ja DBX-muuttujapäivitystapahtumat

Suosittelemme tarkistamaan laitevalmistajalta, onko laitteelle saatavilla laiteohjelmistopäivitystä tämän ongelman ratkaisemiseksi.

Muut resurssit

Vihje: Merkitse nämä lisäresurssit kirjanmerkkeihin.

Microsoftin asiakastukiresurssit

Jos haluat ottaa yhteyttä Microsoft-tukeen, katso: 

  • Microsoft-tuki ja valitse sitten Windows.

  • Tuki yrityksille ja luo sitten uusi tukipyyntö valitsemalla Luo .Kun olet luonut uuden tukipyynnön, sen pitäisi näyttää seuraavalta:Luo uusi tukipyyntö

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus