Ievads
Windows atjauninājumi, kas izlaisti 2024. gada 13. februārī un pēc tam, ietver iespēju UEFI CA 2023 sertifikātu lietot UEFI drošas sāknēšanas atļautā paraksta datu bāzei (DB). Atjauninot DB, ierīces varēs saņemt turpmākos sāknēšanas ielādētāja atjauninājumus, kas iekļauti ikmēneša atjauninājumos.
Tas ir svarīgi, jo esoša sertifikāta derīgums beigsies un pāriešana uz jauno sertifikātu ir pirmā darbība ierīču sagatavošanai darbam ar gaidāmajiem palaišanas ielādētāja atjauninājumiem, kas tiks šifrēti parakstīti, izmantojot jauno sertifikātu.
Ir zināms, ka DB atjauninājumiem ir saderības problēmas ar dažām ierīcēm. Lai atvieglotu izvērššanu Windows ierīcēs, DB atjaunināšana netiek lietota automātiski. Uzņēmuma vidēm ir svarīgi nodrošināt atjauninājuma kontrolētu izvērššanu pēc rūpīgas apstiprināšanas ar prezentētājierīcēm, kas atrodas vidē, lai izvairītos no traucējumiem.
Detalizētu skaidrojumu skatiet rakstā Microsoft Secure Boot atslēgu atjaunināšana.
Rīcība
Izvietojiet DB atjauninājumu parauga testa ierīcēs, ņemot vērā izvietošanas norādījumus, kas sniegti raksta Microsoft drošo sāknēšanas atslēgu atjaunināšana.
Pēc tam, kad testa ierīce veiksmīgi atjaunina DB, noteikti instalē DB atjauninājumu ierīcēs ar tādu pašu aparatūras un aparātprogrammatūras konfigurāciju. To var izdarīt, iestatot tālāk norādīto reģistra atslēgu, izmantojot izvietošanas programmatūru, piemēram, grupas politiku vai mobilo ierīču pārvaldību (MDM):
Reģistra ceļš: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Vārds: AvailableUpdates
Vērtība: 0x40
Pēc ierīces restartēšanas DB ir jāatjaunina. Dažos gadījumos var būt nepieciešama otra restartēšana.
Zināmās problēmas
Zināmās problēmas ar šo atjauninājumu skatiet programmas KB5025885 sadaļā Zināmās problēmas: kā pārvaldīt Windows Boot Manager drošās palaišanas izmaiņas, kas saistītas ar CVE-2023-24932.
