חל על
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

תאריך פרסום מקורי: 26 ביוני 2025

מזהה KB: 5062713

מאמר זה כולל הדרכה עבור:

ארגונים (ארגונים, עסקים קטנים והשכלה) עם מכשירים ועדכונים של Windows המנוהליים על-ידי IT.

הערה: אם אתה אדם שב בעלותו של מכשיר Windows אישי, עבור אל המאמר מכשירי Windows עבור משתמשים ביתיים, עסקים ובתי ספר עם עדכונים מנוהלים על-ידי Microsoft.

במאמר זה

מבט כולל

מאמר זה מיועד לארגונים בעלי מומחי IT ייעודיים שמנהלים באופן פעיל עדכונים בכל צי המכשירים שלהם. רוב מאמר זה יתמקד בפעילויות הדרושות כדי שמחלקות ה- IT של הארגון יוכלו להפיק בהצלחה את אישורי האתחול המאובטח החדשים. פעילויות אלה כוללות קושחת בדיקה, עדכוני מכשיר ניטור, אתחול פריסה, ובעיות באבחון הה להתעוררותן. שיטות פריסה וניטור מרובות מוצגות. בנוסף לפעילויות ליבה אלה, אנו מציעים כמה עזרי פריסה, כולל האפשרות להצטרף להתקני לקוח להשתתפות בפריסת תכונות מבוקרת (CFR) במיוחד עבור פריסת אישורים.

במקטע זה

תפוגת אישור אתחול מאובטח

התצורה של רשויות אישורים (CA), הנקראות גם אישורים, המסופקים על-ידי Microsoft כחלק מתשתית האתחול המאובטח, נותרה זהה מאז Windows 8 ו- Windows Server 2012. אישורים אלה מאוחסנים במשתנה מסד נתונים של חתימה (DB) ומפתח Exchange (KEK) בקושחה. Microsoft סיפקה את אותם שלושה אישורים ברחבי המערכת האקולוגית של יצרן הציוד המקורי (OEM) כדי לכלול בקושחה של המכשיר. אישורים אלה תומכים באתחול מאובטח ב- Windows ומשמשים גם מערכות הפעלה (OS) של ספקים חיצוניים. האישורים הבאים מסופקים על-ידי Microsoft:

  • Microsoft Corporation KEK CA 2011

  • Microsoft Windows Production PCA 2011

  • Microsoft Corporation UEFI CA 2011

חשוב:  כל שלושת האישורים שסופקו על-ידי Microsoft מוגדרים לפוג החל מיוני 2026. בשיתוף פעולה עם שותפי המערכת האקולוגית שלנו, Microsoft תפרס אישורים חדשים שיעזרו להבטיח את האבטחה והמהמשכיות של האתחול המאובטח בעתיד. לאחר שתוקף אישורי 2011 אלה יפוג, עדכוני אבטחה עבור רכיבי אתחול לא יהיו אפשריים עוד, תשפיע על אבטחת האתחול ותסכן את מכשירי Windows המושפעים ויתנתקו מתאימות האבטחה. כדי לשמור על הפונקציונליות של אתחול מאובטח, יש לעדכן את כל מכשירי Windows כדי להשתמש באישורים של 2023 לפני שתוקף האישורים של 2011 יפוג.

מה משתנה?

אישורי האתחול המאובטח הנוכחי של Microsoft (MICROSOFT Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, Microsoft Corporation UEFI CA 2011) יתחילו לפוג החל מיוני 2026 ויפוג עד אוקטובר 2026. 

אישורים חדשים של 2023 נפרסים כדי לשמור על אבטחה והממשכיות של אתחול מאובטח. המכשירים חייבים לעדכן לאישורי 2023 לפני שתוקף האישורים של 2011 יפוג או שהם יהיו בסיכון וברמת תאימות האבטחה שלהם.  

מכשירי Windows שיוצרו מאז 2012 עשויים לכלול גירסאות של אישורים שפג תוקפן, שיש לעדכן. 

מינוח

רשות אישורים (CA)

רשות אישורים

PK

מפתח פלטפורמה – נשלט על-ידי יצרני ציוד מקורי (OEM)

קאק (KEK)

מפתח Exchange

מסד נתונים

מסד נתונים של חתימת אתחול מאובטח

DBX

מסד נתונים של חתימה בוטל של אתחול מאובטח

אישורים

אישור שתוקפו עומד לפוג

‏‏תאריך תפוגה

מיקום אחסון

אישור חדש

תכלית

Microsoft Corporation KEK CA 2011

יוני 2026

מאוחסן ב- KEK

Microsoft Corporation KEK CA 2023

חותם על עדכונים ל- DB ול- DBX.

Microsoft Windows Production PCA 2011

הפצה ב- 10 באוקטובר 2026

מאוחסן ב- DB

Windows UEFI CA 2023

חותם על טוען האתחול של Windows.

Microsoft Corporation UEFI CA 2011*†

יוני 2026

מאוחסן ב- DB

Microsoft UEFI CA 2023

Microsoft Option ROM CA 2023

חותם על נטעני אתחול של ספקים חיצוניים ואפליקציות EFI.

חותם על הודעות ROMs של אפשרויות של ספקים חיצוניים.

*במהלך חידוש אישור Microsoft Corporation UEFI CA 2011, נוצרים שני אישורים כדי להפריד בין חתימת טוען האתחול לחתימה על ROM של אפשרות. הדבר מאפשר שליטה טובה יותר באמנים של המערכת. לדוגמה, מערכות שיש לתת אמון באפשרות ROMs יכולות להוסיף את Microsoft Option ROM UEFI CA 2023 מבלי להוסיף אמון עבור נטעני אתחול של ספקים חיצוניים.

† לא כל המכשירים כוללים את Microsoft Corporation UEFI CA 2011 בקושחה. רק עבור מכשירים הכוללים אישור זה, מומלץ להחיל הן אישורים חדשים, Microsoft UEFI CA 2023 והן Microsoft Option ROM CA 2023. אחרת, אין צורך להחיל שני אישורים חדשים אלה. 

ספר הפעלות עבור מומחי IT 

תכנן ובצע עדכוני אישור אתחול מאובטח בכל צי המכשירים שלך באמצעות הכנה, ניטור, פריסה ותיקון.

במקטע זה

מאמת מצב אתחול מאובטח בכל הצי שלך: האם אתחול מאובטח זמין? 

רוב המכשירים שיוצרו מאז 2012 תומכים באתחול מאובטח וכוללים אתחול מאובטח זמין. כדי לוודא שאתחול מאובטח זמין במכשיר, בצע אחת מהפעולות הבאות: 

  • שיטת GUI: עבור אל התחל > הגדרות >פרטיות & אבטחה > אבטחת Windows > אבטחת מכשיר. תחת אבטחת מכשיר, המקטע אתחול מאובטח אמור לציין שהאתחול המאובטח מופעל.

  • פעולת שירות של שורת פקודה: בשורת פקודה עם הרשאות מלאות ב- PowerShell, הקלד Confirm-SecureBootUEFI ולאחר מכן הקש Enter. הפקודה אמורה להחזיר ערך True המציין שאתחול מאובטח מופעל.

בפריסות בקנה מידה גדול עבור צי של מכשירים, תוכנת הניהול המשמשת מומחי IT תצטרך לספק בדיקה עבור הפעלת אתחול מאובטח. 

לדוגמה, השיטה לבדוק את מצב האתחול המאובטח במכשירים המנוהלות על-ידי Microsoft Intune היא ליצור ולפרוס קובץ Script של תאימות מותאמת אישית של Intune. הגדרות תאימות Intune מכוסות תחת שימוש בהגדרות תאימות מותאמות אישית עבור מכשירי Linux ו- Windows עם Microsoft Intune.  

אופן הפריסה של עדכונים

קיימות מספר דרכים לייעד מכשירים עבור עדכוני אישור האתחול המאובטח. פרטי הפריסה, כולל הגדרות ואירועים, מתוארים בהמשך מסמך זה. כאשר אתה ממקד מכשיר לעדכונים, נוצרת במכשיר הגדרה המצי על כך שהמכשיר אמור להתחיל בתהליך החלת האישורים החדשים. משימה מתוזמנת פועלת במכשיר כל 12 שעות ומאתרת שהמכשיר הוגיעד לעדכונים. להלן חלוקה לרמות של הפעולות שהפעילות עושה:

  1. Windows UEFI CA 2023 מוחל על מסד הנתונים.

  2. אם המכשיר יש Microsoft Corporation UEFI CA 2011 ב- DB, המשימה מחילה את Microsoft Option ROM UEFI CA 2023 ואת Microsoft UEFI CA 2023 על DB.

  3. לאחר מכן, המשימה מוסיפה את MICROSOFT Corporation KEK 2K CA 2023.

  4. לבסוף, המשימה המתוזמנת מעדמנת את מנהל האתחול של Windows למשימה החתומות על-ידי רשות האישורים (CA) של Windows UEFI 2023. Windows יזהה שנדרשת הפעלה מחדש לפני שניתן יהיה להחיל את מנהל האתחול. העדכון של מנהל האתחול יתעכב עד שההפעלה מחדש תתרחש באופן טבעי (למשל, בעת החלת עדכונים חודשיים), ולאחר מכן Windows ינסה שוב להחיל את העדכון של מנהל האתחול.

יש להשלים בהצלחה את כל השלבים שלעיל לפני שהמשימה המתוזמנת עוברת לשלב הבא. במהלך תהליך זה, יומני אירועים ומצב אחר יהיו זמינים לסיוע בניטור הפריסה. להלן פרטים נוספים על ניטור יומני אירועים ואירועים.  

עדכון אישורי האתחול המאובטח מאפשר עדכון עתידי למנהל האתחול של 2023, שהוא מאובטח יותר. עדכונים ספציפיים ב- Boot Manager יהיו בהפצות עתידיות.

שלבי פריסה 

  • הכנה: מכשירי מלאי ובדיקה.

  • שיקולי קושחה

  • ניטור: ודא שהניטור פועל ובצע בסיסי של הצי שלך.

  • פריסה: התקני יעד עבור עדכונים, החל בערכות משנה קטנות והרחבה בהתבסס על בדיקות מוצלחות.

  • תיקון: בדוק ופתור בעיות באמצעות יומני רישום ותמיכה של ספקים.

הכנה 

חומרה קושחה של מלאי. בנה מדגם מייצג של מכשירים המבוססים על יצרן המערכת, מודל המערכת, גירסת BIOS/תאריך, גירסת מוצר BaseBoard וכדומה, ובדוק עדכונים בדגימות אלה לפני פריסה רחבה.  פרמטרים אלה זמינים בדרך כלל במידע המערכת (MSINFO32). 

פקודות PowerShell לדוגמה לאיסוף המידע הן:

(Get-CIMInstance Win32_ComputerSystem).Manufacturer 

(Get-CIMInstance Win32_ComputerSystem).Model 

(Get-CIMInstance Win32_BIOS).Description + ", " + (Get-CIMInstance Win32_BIOS).ReleaseDate.ToString("MM/dd/yyyy") 

(Get-CIMInstance Win32_BaseBoard).Product 

שיקולי קושחה

פריסת אישורי האתחול המאובטח החדשים לצי המכשירים שלך דורשת ש בקושחת המכשיר יהיה תפקיד בהשלמת העדכון. בעוד ש- Microsoft מצפה שרוב קושחת המכשיר תבצע כצפוי, יש צורך בבדיקה זהירה לפני פריסת האישורים החדשים.

בדוק את מלאי החומרה שלך ובנה מדגם קטן ונציג של מכשירים בהתבסס על הקריטריונים הייחודיים הבאים, כגון: 

  • יצרן

  • מספר דגם

  • גירסת קושחה

  • גירסת לוח הבסיס של OEM וכן הלאה

לפני הפריסה רחבה במכשירים בצי שלך, מומלץ לבדוק את עדכוני האישור במכשירים לדוגמה מייצגים (כפי שהוגדרו על-ידי גורמים כגון יצרן, דגם, גירסת קושחה) כדי להבטיח שהעדכונים יעובדו בהצלחה. הדרכה מומלצת לגבי מספר המכשירים לדוגמה לבדיקה עבור כל קטגוריה ייחודית היא 4 או יותר.

פעולה זו תסייע לבנות ביטחון בתהליך הפריסה שלך ולסייע במניעת השפעות בלתי צפויות על הצי הרחב יותר שלך. 

במקרים מסוימים, ייתכן שיהיה צורך בעדכון קושחה כדי לעדכן בהצלחה את אישורי האתחול המאובטח. במקרים אלה, מומלץ לבדוק עם יצרן הציוד המקורי (OEM) של המכשיר שלך כדי לראות אם קושחה מעודכנת זמינה.

Windows בסביבות וירטואליות

עבור Windows הפועל בסביבה וירטואלית, קיימות שתי שיטות להוספת האישורים החדשים למשתנהי הקושחה של האתחול המאובטח:  

  • יוצר הסביבה הווירטואלית (AWS, Azure, Hyper-V, VMware וכדומה) יכול לספק עדכון עבור הסביבה ולכלול את האישורים החדשים בקושחה הווירטואלית. פעולה זו תותאם למכשירים וירטואליים חדשים.

  • עבור Windows הפועל לטווח ארוך במחשב וירטואלי, ניתן להחיל את העדכונים באמצעות Windows כמו כל מכשיר אחר, אם הקושחה הווירטואלית תומכת בעדכונים של אתחול מאובטח.

ניטור ופריסה 

אנו ממליצים להתחיל בניטור המכשיר לפני הפריסה כדי להבטיח שהניטור פועל כראוי ויש לך חוש טוב למצב הצי מראש. אפשרויות הניטור מתוארות להלן. 

Microsoft מספקת שיטות מרובות לפריסה ולניטור של עדכוני אישור האתחול המאובטח.

סיועים אוטומטיים בפריסה 

Microsoft מספקת שני מסייעי פריסה. סיועים אלה עשויים להיות שימושיים בסיוע בפריסת האישורים החדשים לצי שלך. שני הסיועים דורשים נתוני אבחון.

  • אפשרות לעדכונים מצטברים עם מיכלי מהימנות: Microsoft עשויה לכלול באופן אוטומטי קבוצות של מכשירים בעלי רמת מהימנות גבוהה בעדכונים חודשיים בהתבסס על נתוני אבחון ששותפו עד היום, כדי ליהנות ממערכות וארגונים שאינם יכולים לשתף נתוני אבחון. שלב זה אינו דורש הפעלה של נתוני אבחון.

    • עבור ארגונים ומערכות ה יכולים לשתף נתוני אבחון, הם מעניקים ל- Microsoft את הניראות והביטחון שמכשירים יכולים לפרוס בהצלחה את האישורים. מידע נוסף אודות הפיכת נתוני אבחון לזמינים ב: קביעת תצורה של נתוני אבחון של Windows בארגון שלך. אנו יוצרות "Buckets" עבור כל מכשיר ייחודי (כפי שהוגדר על-ידי תכונות הכוללות את היצרן, גירסת לוח האם, יצרן הקושחה, גירסת הקושחה ונקודות נתונים נוספות). עבור כל מיכל, אנו מנטרים אחר ראיות הצלחה במכשירים מרובים. לאחר שנראה מספיק עדכונים מוצלחים ולא נכשל, נשקול את הדלי "מהימנות גבוהה" ונכלול נתונים אלה בעדכונים המצטברים החודשיים. כאשר עדכונים חודשיים מוחלים על מכשיר במיכל בעל רמת מהימנות גבוהה, Windows יחיל באופן אוטומטי את האישורים על משתני האתחול המאובטח של UEFI בקושחה.

    • מיכלים בעלי רמת מהימנות גבוהה כוללים מכשירים מעבדים את העדכונים כראוי. באופן טבעי, לא כל המכשירים יספקו נתוני אבחון, וזה עלול להגביל את הביטחון של Microsoft ביכולתו של מכשיר לעבד את העדכונים כראוי.

    • סיוע זה מופעל כברירת מחדל עבור מכשירים בעלי רמת מהימנות גבוהה ובאפשרותך להפוך אותו ללא זמין עם הגדרה ספציפית למכשיר. מידע נוסף ישותף בהפצה עתידית של Windows.

  • פריסת תכונות מבוקרת (CFR):  ההצטרפות למכשירים עבור פריסה המנוהלת על-ידי Microsoft אם נתוני האבחון זמינים.

    • ניתן להשתמש בהחזרת תכונות מבוקרת (CFR) עם מכשירי לקוח בצי ארגוני. לשם כך, מכשירים שולחים נתוני אבחון נדרשים ל- Microsoft ותרשו שהמכשיר הצטרפות כדי לאפשר CFR במכשיר. פרטים על אופן ההצטרפות מתוארים להלן.

    • Microsoft תנהל את תהליך העדכון עבור אישורים חדשים אלה במכשירי Windows שבהם זמינים נתוני אבחון והמכשירים משתתפים בהפצת תכונות מבוקרת (CFR). למרות ש- CFR עשוי לסייע בפריסת האישורים החדשים, ארגונים לא יוכלו להשתמש ב- CFR כדי לתקנו את הציים שלהם – היא תדרוש ביצוע השלבים המתוארים במסמך זה בסעיף בנושא שיטות פריסה שלא מכוסות על-ידי סיועים אוטומטיים.

    • מגבלות: קיימות כמה סיבות לכך שייתכן ש- CFR לא יפעל בסביבה שלך. לדוגמה:

      • אין נתוני אבחון זמינים או בנתוני האבחון שאינם ניתנים לשימוש כחלק מפרוסת CFR.

      • מכשירים אינם נמצאים בגירסאות לקוח נתמכות של Windows 11 והתקנים Windows 10 עדכוני אבטחה מורחבים (ESU).

שיטות פריסה אינן מכוסות על-ידי סיועים אוטומטיים

בחר את השיטה המתאימה לסביבה שלך. הימנע משילוב שיטות באותו מכשיר: 

  • מפתחות רישום: שלוט בפריסה ונטר את התוצאות.קיימים מפתחות רישום מרובים זמינים לשליטה באופן הפעולה של פריסת האישורים ולניטור התוצאות. בנוסף, קיימים שני מקשים להצטרפות ויציאה מעזרי הפריסה המתוארים לעיל. לקבלת מידע נוסף על מפתחות הרישום, ראה מפתח רישום עדכונים עבור אתחול מאובטח - מכשירי Windows עם עדכונים המנוהלי על-ידי IT.

  • מדיניות קבוצתית אובייקטים (GPO): ניהול הגדרות; ניטור באמצעות יומני רישום ואירועים.Microsoft תספק תמיכה בניהול עדכוני האתחול המאובטח באמצעות מדיניות קבוצתית בעדכון עתידי. שים לב כי מאחר מדיניות קבוצתית מיועד להגדרות, יהיה צורך לבצע ניטור של מצב המכשיר באמצעות שיטות חלופיות, כולל ניטור מפתחות רישום וערכים ביומן האירועים.

  • WinCS (מערכת התצורה של Windows) CLI: השתמש בכלי שורת הפקודה עבור לקוחות המצורפים לתחום.מנהלי תחום יכולים לחילופין להשתמש במערכת התצורה של Windows (WinCS) הכלולה בעדכונים של מערכת ההפעלה Windows כדי לפרוס את עדכוני האתחול המאובטח בכל הלקוחות והשרתים המצורפים לתחום של Windows. הוא מורכב מסידרה של כלי שירות של שורת פקודה (הן הפעלה מסורתית והן מודול PowerShell) כדי לבצע שאילתה ולהחיל תצורות אתחול מאובטח באופן מקומי על מחשב. לקבלת מידע נוסף, ראה ממשקי API של מערכת התצורה של Windows (WinCS) עבור אתחול מאובטח.

  • מנהל התצורה/Intune/Microsoft: פרוס קבצי Script של PowerShell. ספק שירותי תצורה (CSP) י סופק בעדכון עתידי כדי לאפשר פריסה באמצעות Intune.

ניטור יומני אירועים

שני אירועים חדשים מסופקים כדי לסייע בפריסת עדכוני אישור האתחול המאובטח. אירועים אלה מתוארים בפירוט באירועי עדכון של משתני DB ו- DBX של אתחול מאובטח

  • מזהה אירוע: 1801 אירוע זה הוא אירוע שגיאה המציין שהאישורים המעודכנים לא הוחלו על המכשיר. אירוע זה מספק פרטים מסוימים ספציפיים למכשיר, כולל תכונות מכשיר, שיעזרו לך בתיאום המכשירים שעדיין זקוקים לעדכון.

  • מזהה אירוע: 1808 אירוע זה הוא אירוע לצורך מידע המציין שאישורי האתחול המאובטח החדש הנדרשים הוחלו על קושחת המכשיר.

אסטרטגיות פריסה 

כדי למזער את הסיכון, פרוס עדכוני אתחול מאובטח בשלבים ולא את כולם בבת אחת. התחל עם קבוצת משנה קטנה של מכשירים, אמת תוצאות ולאחר מכן הרחב לקבוצות נוספות. אנו מציעים שתתחיל עם קבוצות משנה של מכשירים, ו ככל שתשיג ביטחון בפריסות אלה, תוסיף קבוצות משנה נוספות של מכשירים. ניתן להשתמש בגורמים מרובים כדי לקבוע מה נכנס לתוך קבוצת משנה, כולל תוצאות בדיקה במכשירים לדוגמה ובמבנה הארגון וכו'. 

ההחלטה אילו מכשירים אתה פורס היא בהתאם לך. מספר אסטרטגיות אפשריות מפורטות כאן. 

  • צי מכשירים גדול: התחל על-ידי הת להסתכם בסיועים המתוארים לעיל עבור המכשירים הנפוצים ביותר שאתה מנהל. במקביל, התמקד במכשירים פחות נפוצים המנוהלות על-ידי הארגון שלך. בדוק התקנים לדוגמה קטנים, ואם הבדיקה מוצלחת, פרוס בשאר המכשירים מאותו סוג. אם הבדיקה גורמת לבעיות, בדוק את הגורם לבעיה וקבע את שלבי התיקון. מומלץ גם לשקול כיתות של מכשירים בעלי ערך גבוה יותר בצי ולהתחיל בבדיקה ובפריסה כדי להבטיח שמכשירים אלה עודכנו הגנה מוקדמת.

  • צי קטן, מגוון גדול: אם הצי שאתה מנהל מכיל מגוון רחב של מחשבים שבהם בדיקת מכשירים בודדים תהיה אסורה, שקול להשתמש במידה רבה בשני המסייעים המתוארים לעיל, במיוחד עבור מכשירים שעשויים להיות מכשירים נפוצים בשוק. תחילה התמקד במכשירים הקריטיים לפעולה יום-יום, בדוק ולאחר מכן פרוס. המשך להזיז את רשימת המכשירים בעדיפות גבוהה, לבדוק ולפרוס תוך ניטור הצי כדי לוודא שהסיועים מסייעים בשארית המכשירים.

הערות 

  • שים לב למכשירים ישנים יותר, במיוחד למכשירים שאינם נתמכים עוד על-ידי היצרן. בעוד הקושחה אמורה לבצע את פעולות העדכון כראוי, ייתכן שחלק לא. במקרים שבהם הקושחה אינה פועלת כראוי והמכשיר כבר אינו נתמך, שקול להחליף את המכשיר כדי להבטיח הגנת אתחול מאובטח בצי שלך.

  • מכשירים חדשים שיוצרו בשנים האחרונות 1-2 עשויים כבר לכלול את האישורים המעודכנים במקומם, אך ייתכן שמנהל האתחול החתום של Windows UEFI CA 2023 לא הוחל על המערכת. החלת מנהל אתחול זה היא שלב קריטי אחרון בפריסה עבור כל מכשיר.

  • לאחר בחירת מכשיר לעדכונים, ייתכן שיחלוף זמן מה עד להשלמת העדכונים. הערכת 48 שעות והפעלה מחדש אחת או יותר כדי שהאישורים יחולו.

שאלות נפוצות (שאלות נפוצות)

לקבלת שאלות נפוצות, עיין במאמר שאלות נפוצות בנושא אתחול מאובטח.

פתרון בעיות

במקטע זה

בעיות והמלצות נפוצות

מדריך זה מפרטים את אופן הפעולה של תהליך העדכון של אישור האתחול המאובטח ומציג כמה שלבים לפתרון בעיות אם המערכת נתקלה בבעיות במהלך הפריסה למכשירים. עדכונים למקטע זה יתווסף לפי הצורך.

תמיכה בפריסת אישור אתחול מאובטח 

לתמיכה בעדכונים של אישור האתחול המאובטח, Windows שומר משימה מתוזמנת הפועלת פעם אחת בכל 12 שעות. המשימה מחפש סיביות במפתח הרישום AvailableUpdates שיש לעבד. הסיביות של תחום העניין הנמצאות בשימוש בפריסת האישורים נמצאות בטבלה הבאה. העמודה סדר מציינת את הסדר שבו מתבצע עיבוד של הסיביות.

הזמנה

הגדרת סיביות

שימוש

1

0x0040

סיבית זו מורה למשימה המתוזמנת להוסיף את אישור Windows UEFI CA 2023 ל- Secure Boot DB. פעולה זו מאפשרת ל- Windows לתת אמון במנהלי אתחול החתמו על-ידי אישור זה.

2

0x0800

סיבית זו מורה לפעילות המתוזמנת להחיל את Microsoft UEFI CA 2023 על מסד הנתונים.  

אם 0x4000 מוגדרת גם היא, המשימה המתוזמנת תבדוק את מסד הנתונים ותחיל את Microsoft UEFI CA 2023 רק אם היא מוצאת את Microsoft Corporation UEFI CA 2011 שכבר נמצא במסד הנתונים.

3

0x1000

סיבית זו מורה למשימה המתוזמנת להחיל את MICROSOFT Option ROM CA 2023 על מסד הנתונים.

אם 0x4000 מוגדרת גם היא, המשימה המתוזמנת תבדוק את מסד הנתונים ותחיל את Microsoft Option ROM CA 2023 רק אם היא מוצאת את Microsoft Corporation UEFI CA 2011 שכבר נמצא במסד הנתונים. 

3 & 2

0x4000

סיבית זו משנה את אופן הפעולה של סיביות 0x0800 ו- 0x1000 כדי להחיל את Microsoft UEFI CA 2023 ו- Microsoft Option ROM CA 2023 אם מסד הנתונים כבר כולל את Microsoft Corporation UEFI CA 2011.   כדי להבטיח שפרופיל האבטחה של המכשיר יישאר זהה, סיבית זו מחילה אישורים חדשים אלה רק אם המכשיר אמין באישור Microsoft Corporation UEFI CA 2011. לא כל מכשירי Windows נותן אמון באישור זה.

4

0x0004

סיבית זו מורה למשימה המתוזמנת לחפש מפתח Exchange חתום על-ידי מפתח הפלטפורמה (PK) של המכשיר. ה- PK מנוהל על-ידי יצרן הציוד המקורי. יצרני ציוד מקורי (OEM) חותם על ה- KEK של Microsoft באמצעות ה- PK שלהם ומעבירים אותם ל- Microsoft במקום שבו הם כלולים בעדכונים המצטברים.

5

0x0100

סיבית זו מורה למשימה המתוזמנת להחיל את מנהל האתחול, החתום על-ידי רשות האישורים של Windows UEFI 2023, על מחיצת האתחול. פעולה זו תחליף את מנהל האתחול החתום של Microsoft Windows Production PCA 2011.

כל אחת מהסיביות מעובדת על-ידי האירוע המתוזמן בסדר הנתון בטבלה לעיל.

ההתקדמות בין הסיביות אמורה להיראות כך: 

  1. התחלה: 0x5944

  2. 0x0040 → 0x5904 (הוחל בהצלחה על Windows UEFI CA 2023)

  3. 0x0800 → 0x5104 (הוחל Microsoft UEFI CA 2023 במידת הצורך)

  4. 0x1000 → 0x4104 (הוחל על Microsoft Option ROM UEFI CA 2023 במידת הצורך)

  5. 0x0004 → 0x4100 (הוחל על Microsoft Corporation KEK 2K CA 2023)

  6. 0x0100 → 0x4000 (הוחל מנהל האתחול החתום של Windows UEFI CA 2023)

הערות

  • לאחר שהפעולה המשויכת לקצת הושלמה בהצלחה, סיבית זו אינה מסומנת ממפתח AvailableUpdates .

  • אם אחת מפעולות אלה נכשלת, אירוע נרשם והפעולה מתבצעת שוב בפעם הבאה שהמשימה המתוזמנת מופעלת.

  • אם 0x4000 סיביות מוגדרת, היא לא תנקה. לאחר עיבוד כל הסיביות האחרות, מפתח הרישום AvailableUpdates יוגדר כמפתח 0x4000.

בעיה 1: כשל בעדכון KEK: המכשיר מעדכן אישורים ל- DB של האתחול המאובטח, אך אינו מתקדם מעבר לפריסת אישור המפתח החדש של Exchange מפתח ב- KEK של האתחול המאובטח. 

הערה בשלב זה, כאשר בעיה זו מתרחשת, מזהה אירוע : 1796 יירשם (ראה אירועי עדכון משתנה של אתחול מאובטח ו- DBX). אירוע חדש יצוין במהדורה מאוחרת יותר כדי לציין בעיה ספציפית זו. 

מפתח הרישום AvailableUpdates במכשיר מוגדר ל- 0x4104 והוא אינו מנקה את 0x0004 סיביות, גם לאחר כמה אתחולים מחדש וזמן רב עבר. 

ייתכן שהבעיה היא שאין KEK החתום על-ידי ה- PK של יצרן הציוד המקורי עבור המכשיר. יצרן הציוד המקורי שולט ב- PK עבור המכשיר והוא אחראי לחתום על אישור KEK החדש של Microsoft ולהחזיר אותו ל- Microsoft כדי שניתן יהיה לכלול אותו בעדכונים המצטברים החודשיים. 

אם אתה נתקל בשגיאה זו, בדוק עם יצרן הציוד המקורי שלך כדי לוודא שהוא ביצע את השלבים המתוארים בהדרכה ליצירת מפתח אתחול מאובטח של Windows ולהנהלה.  

בעיה 2: שגיאות קושחה: בעת החלת עדכוני האישור, האישורים נמסרים אל הקושחה כדי להחיל על משתני DB או KEK של אתחול מאובטח. במקרים מסוימים, הקושחה תחזיר שגיאה. 

כאשר בעיה זו מתרחשת, אתחול מאובטח ירשום מזהה אירוע: 1795. לקבלת מידע אודות אירוע זה, ראה אירועי עדכון משתני DB ו- DBX של אתחול מאובטח

מומלץ לבדוק עם יצרן הציוד המקורי אם קיים עדכון קושחה זמין עבור המכשיר כדי לפתור בעיה זו.

משאבים נוספים

עצה: סמן משאבים נוספים אלה בסימניה.

משאבי תמיכת לקוחות של Microsoft

כדי לפנות לתמיכה של Microsoft, ראה: 

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות