Introduction
Les mises à jour Windows publiées le et après le 13 février 2024 incluent la possibilité d’appliquer le certificat Windows UEFI CA 2023 à la base de données de signature autorisée de démarrage sécurisé UEFI. La mise à jour de la base de données permet aux appareils de recevoir les mises à jour futures du chargeur de démarrage qui sont incluses dans les mises à jour mensuelles.
Cela est important, car le certificat existant expire et le passage au nouveau certificat est la première étape de la préparation des appareils pour qu’ils fonctionnent avec les mises à jour du chargeur de démarrage à venir qui seront signées par chiffrement à l’aide du nouveau certificat.
Les mises à jour de la base de données présentent des problèmes de compatibilité avec certains appareils. Pour faciliter le déploiement sur les appareils Windows, la mise à jour de la base de données ne s’applique pas automatiquement. Pour les environnements d’entreprise, il est important d’avoir un déploiement contrôlé de la mise à jour après une validation minutieuse avec des appareils représentatifs présents dans l’environnement afin d’éviter toute interruption.
Pour obtenir une explication détaillée, consultez Mise à jour des clés de démarrage sécurisé Microsoft.
Procédure à suivre
Déployez la mise à jour de base de données sur des exemples d’appareils de test représentatifs en suivant les instructions de déploiement fournies dans Mise à jour des clés de démarrage sécurisé Microsoft.
Une fois qu’un appareil de test a correctement mis à jour la base de données, il doit être sûr de déployer la mise à jour de la base de données sur des appareils avec la même configuration matérielle et microprogramme. Pour ce faire, définissez la clé de Registre suivante à l’aide d’un logiciel de déploiement tel que la stratégie de groupe ou la gestion des appareils mobiles (GPM) :
Chemin d’accès au Registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Nom: AvailableUpdates
Valeur : 0x40
Une fois l’appareil redémarré, la base de données doit être mise à jour. Dans certains cas, un deuxième redémarrage peut être nécessaire.
Problèmes connus
Pour connaître les problèmes connus liés à cette mise à jour, consultez la section Problèmes connus dans KB5025885 : Comment gérer les révocations du Gestionnaire de démarrage Windows pour les modifications de démarrage sécurisé associées à CVE-2023-24932.