Obs!
- Opprinnelig publiseringsdato: 26. juni 2025
- KB-ID: 5062713
Obs!
- Denne artikkelen har veiledning for:
- Organisasjoner (bedrifter, småbedrifter og utdanning) med IT-administrerte Windows-enheter og oppdateringer.
- Obs! Hvis du er en person som eier en personlig Windows-enhet, kan du gå til artikkelen Windows-enheter for hjemmebrukere, bedrifter og skoler med Microsoft-administrerte oppdateringer.
Endringslogg
| Endre dato | Endre beskrivelse |
|---|---|
| 5. mai 2026 kl. |
|
| Mars 30, 2026 |
|
| Mars 24, 2026 |
|
| Mars 16, 2026 |
|
| Mars 3, 2026 |
|
| Februar 24, 2026 |
|
| Februar 23, 2026 |
|
| Februar 13, 2026 |
|
| Februar 3, 2026 |
|
| 26. januar 2026 |
|
| 11. november 2025 kl. | Rettet to skrivefeil under «Støtte for distribusjon av Secure Boot-sertifikat».
|
| 10. november 2025 kl. |
|
I denne artikkelen:
Strategiplan for distribusjon for IT-profesjonelle
- Verifiser status for Secure Boot på tvers av flåten: Er Secure Boot aktivert?
- Slik distribueres oppdateringer
- Trinn for distribusjon
- Forberedelse
- Hensyn til fastvare
- Windows i virtualiserte miljøer
- Overvåking og distribusjon
- Automatisert distribusjonsassistanse
- Distribusjonsmetoder som ikke dekkes av automatiserte assistenter
- Overvåke hendelseslogger
- Strategier for distribusjon
Oversikt
Denne artikkelen er ment for organisasjoner med dedikerte IT-teknikere som aktivt administrerer oppdateringer på tvers av enhetsflåten. Mesteparten av denne artikkelen fokuserer på aktivitetene som er nødvendige for at IT-avdelingen i en organisasjon skal lykkes med å distribuere de nye Secure Boot-sertifikatene. Disse aktivitetene omfatter testing av fastvare, overvåking av enhetsoppdateringer, start distribusjon og diagnostisering av problemer etter hvert som de oppstår. Flere metoder for distribusjon og overvåking presenteres. I tillegg til disse kjerneaktivitetene tilbyr vi flere distribusjonshjelpemidler, inkludert muligheten til å velge klientenheter for deltakelse i en kontrollert funksjonsutrulling (CFR) spesielt for sertifikatdistribusjon.
Strategiplan for distribusjon for IT-eksperter
Planlegg og utfør sertifikatoppdateringer for sikker oppstart på tvers av enhetsflåten gjennom klargjøring, overvåking, distribusjon og utbedring.
Verifiser status for Secure Boot på tvers av flåten: Er Secure Boot aktivert?
De fleste enheter som er produsert etter 2012, har støtte for sikker oppstart og leveres med sikker oppstart aktivert. Hvis du vil bekrefte at en enhet har Secure Boot aktivert, gjør du ett av følgende:
- GUI-metode: Gå tilStart-innstillinger>>Personvern & Sikkerhet>Windows Sikkerhet>Enhetssikkerhet. Under Enhetssikkerhet skal Sikker oppstart-delen indikere at Sikker oppstart er aktivert.
- Metode for kommandolinje: Skriv inn Confirm-SecureBootUEFI i en hevet ledetekst i PowerShell, og trykk deretter Enter. Kommandoen skal returnere Sann som indikerer at sikker oppstart er aktivert.
I store distribusjoner for en enhetspark må administrasjonsprogramvaren som brukes av IT-eksperter kontrollere at Secure Boot er aktivert.
Metoden for å kontrollere tilstanden for sikker oppstart på Microsoft Intune-administrerte enheter er for eksempel å opprette og distribuere et egendefinert samsvarsskript for Intune. Samsvarsinnstillinger for Intune dekkes i Bruke egendefinerte samsvarsinnstillinger for Linux- og Windows-enheter med Microsoft Intune.
Obs!
- Eksempel på Powershell-skript for å kontrollere om sikker oppstart er aktivert:
# Initialize result object in preparation for checking Secure Boot state$result = [PSCustomObject]@{SecureBootEnabled = $null}try {$result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction StopWrite-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)"} catch {$result.SecureBootEnabled = $nullWrite-Warning "Unable to determine Secure Boot status: $_"}
Hvis Sikker oppstart ikke er aktivert, kan du hoppe over oppdateringstrinnene nedenfor siden de ikke gjelder.
Slik distribueres oppdateringer
Det finnes flere måter å målrette enheter for oppdateringer for Secure Boot-sertifikatet på. Distribusjonsdetaljer, inkludert innstillinger og hendelser, vil bli diskutert senere i dette dokumentet. Når du målretter mot oppdateringer for en enhet, gjøres det en innstilling på enheten som angir at enheten skal begynne prosessen med å ta i bruk de nye sertifikatene. En planlagt oppgave kjøres på enheten hver 12. time og oppdager at enheten er mål for oppdateringene. Her er en disposisjon over hva aktiviteten gjør:
- Windows UEFI CA 2023 brukes på DB.
- Hvis enheten har Microsoft Corporation UEFI CA 2011 i databasen, gjelder oppgaven Microsoft Option ROM UEFI CA 2023 og Microsoft UEFI CA 2023 til databasen.
- Oppgaven legger deretter til Microsoft Corporation KEK 2K CA 2023.
- Til slutt oppdaterer den planlagte oppgaven Windows-oppstartsbehandlingen til den som er signert av Windows UEFI CA 2023. Windows oppdager at det er nødvendig med en omstart før oppstartsbehandlingen kan tas i bruk. Oppdateringen for oppstartsbehandling blir forsinket til omstarten skjer naturlig (for eksempel når månedlige oppdateringer tas i bruk), og deretter vil Windows på nytt prøve å bruke oppdateringen for oppstartsbehandling.
Hvert av trinnene over må fullføres før den planlagte oppgaven går videre til neste trinn. I løpet av denne prosessen vil hendelseslogger og annen status være tilgjengelig som hjelp til overvåking av distribusjonen. Du finner mer informasjon om overvåking og hendelseslogger nedenfor.
Oppdatering av Secure Boot-sertifikatene muliggjør en fremtidig oppdatering til 2023 Boot Manager, som er sikrere. Spesifikke oppdateringer for Boot Manager kommer i fremtidige utgivelser.
Trinn for distribusjon
- Forberedelse: Lage og teste enheter.
- Hensyn til fastvare
- Overvåking: Bekreft overvåkingsarbeid og baseline flåten din.
- Distribusjon: Målenheter for oppdateringer, som starter med små delsett og utvides basert på vellykkede tester.
- Utbedring: Undersøk og løs eventuelle problemer ved hjelp av logger og leverandørstøtte.
Forberedelse
Lagermaskinvare og fastvare. Bygg et representativt utvalg av enheter basert på systemprodusent, systemmodell, BIOS-versjon/-dato, BaseBoard-produktversjon og så videre, og test oppdateringer på disse enhetene før omfattende distribusjon. Disse parameterne er vanligvis tilgjengelige i systeminformasjon (MSINFO32). Bruk de medfølgende eksempelkommandoene for PowerShell til å kontrollere oppdateringsstatus for Sikker oppstart og for å registrere enheter på tvers av organisasjonen.
Obs!
- Disse kommandoene gjelder hvis Secure Boot-tilstanden er aktivert.
- Mange av disse kommandoene trenger administratorrettigheter for å fungere.
Eksempel på skript for innsamling av Secure Boot Inventory Data Collection
Kopier og lim inn dette eksempelskriptet, og endre det etter behov for miljøet: Eksempel på skript for innsamling av beholdning av sikker oppstart.
Obs!
- Eksempel på utdata:
- {"UEFICA2023Status":"Updated","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null,
"AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS",
"CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true,
"HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName":
"Microsoft Corporation","OEMModelSystemFamily":"overflate","OEMModelNumber":
"Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"11/03/2025",
"OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId":
1808,"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f",
«Konfidens»:«UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB),
3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null,
"Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null,
"Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false,
"Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion":
"10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer":
"Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true,
"SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}
Klargjøringsnivåer for sikker oppstart
| Konfidensnivå | Betydning | Handling kreves |
|---|---|---|
| Høy konfidens | Microsoft har validert at denne enhetsklassen er trygg for oppdateringer | Trygg å distribuere sertifikatoppdateringer |
| Under observasjon – mer data kreves | Microsoft samler fortsatt diagnosedata for utrulling av sikker oppstart om disse enhetene | Vent på Microsoft-klassifisering |
| Ingen data observert – handling kreves | Enhetsklassen er ikke kjent for Microsoft | Organisasjonen må teste og planlegge utrulling |
| Midlertidig stanset | Kjente kompatibilitetsproblemer | Se etter OEM BIOS-oppdatering; Vent på at Microsoft løser problemet |
| Støttes ikke – kjent begrensning | Plattform- eller maskinvarebegrensninger | Dokument som unntak |
Det første trinnet hvis Secure Boot er aktivert, er å kontrollere om det finnes ventende hendelser som nylig har blitt oppdatert eller i ferd med å oppdatere Secure Boot-sertifikatene. Av spesiell interesse er de siste hendelsene i 1801 og 1808. Disse hendelsene er beskrevet i detalj i Secure Boot DB- og DBX-variabeloppdateringshendelser. Se også avsnittet Overvåking og distribusjon for hvordan hendelsene kan vise tilstanden til ventende oppdateringer.
Neste trinn er å vurdere beholdningen av enhetene på tvers av organisasjonen. Samle inn følgende detaljer med PowerShell-kommandoer for å bygge et representativt eksempel:
Obs!
- Grunnleggende identifikatorer (2 verdier)
- 1. HostName - $env: COMPUTERNAME
- 2. CollectionTime – Get-Date
- Register: Hovednøkkel for Secure Boot (3 verdier)
- 3. SecureBootEnabled – Confirm-SecureBootUEFI cmdlet eller HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
- 4. HighConfidenceOptOut – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
- 5. TilgjengeligeOppdateringer – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
- Register: Servicenøkkel (3 verdier)
- 6. UEFICA2023Status –HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
- 7. WindowsUEFICA2023Capable – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
- 8. UEFICA2023Error – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
- Register: Enhetsattributter (7 verdier)
- 9. OEMManufacturerName – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
- 10. OEMModelSystemFamily – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
- 11. OEMModelNumber – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
- 12. Fastvareversjon – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
- 13. FirmwareReleaseDate – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
- 14. OSArchitecture – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
- 15. CanAttemptUpdateAfter – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
- Hendelseslogger: Systemlogg (5 verdier)
- 16. LatestEventId – nyeste sikker oppstartshendelse
- 17. BucketID – hentet fra hendelsen 1801/1808
- 18. Konfidens – hentet fra hendelsen 1801/1808
- 19. Event1801Count – antall hendelser
- 20. Event1808Count – antall hendelser
- WMI/CIM-spørringer (4 verdier)
- 21. OSVersion – Get-CimInstance Win32_OperatingSystem
- 22. LastBootTime – Get-CimInstance Win32_OperatingSystem
- 23. BaseBoardManufacturer – Get-CimInstance Win32_BaseBoard
- 24. BaseBoardProduct - Get-CimInstance Win32_BaseBoard
- 25. (Get-CIMInstance Win32_ComputerSystem). Produsent
- 26. (Get-CIMInstance Win32_ComputerSystem). Modell
- 27. (Get-CIMInstance Win32_BIOS). Beskrivelse + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString("MM/dd/åååå")
- 28. (Get-CIMInstance Win32_BaseBoard). Produkt
Hensyn til fastvare
Distribusjon av de nye Secure Boot-sertifikatene til enhetsparken krever at enhetsfastvaren spiller en rolle i fullføringen av oppdateringen. Selv om Microsoft forventer at mesteparten av enhetens fastvare vil fungere som forventet, er det nødvendig med nøye testing før de nye sertifikatene distribueres.
Undersøk maskinvarebeholdningen og bygg et lite, representativt utvalg av enheter basert på følgende unike kriterier, som:
- Produsent
- Modellnummer
- Fastvareversjon
- OEM Baseboard-versjon osv.
Før du distribuerer bredt til enheter i flåten din, anbefaler vi at du tester sertifikatoppdateringene på representative eksempelenheter (som definert av faktorer som produsent, modell, fastvareversjon) for å sikre at oppdateringene behandles på riktig måte. Anbefalt veiledning om antall eksempelenheter som skal testes for hver unike kategori, er 4 eller flere.
Dette vil bidra til å bygge tillit til distribusjonsprosessen og bidra til å unngå uforutsette konsekvenser for den bredere flåten.
I noen tilfeller kan det være nødvendig med en fastvareoppdatering for å oppdatere Secure Boot-sertifikatene. I slike tilfeller anbefaler vi at du sjekker med enhetsprodusenten for å se om oppdatert fastvare er tilgjengelig.
Windows i virtualiserte miljøer
For Windows som kjører i et virtuelt miljø, finnes det to metoder for å legge til de nye sertifikatene i fastvarevariablene for Secure Boot:
- Oppretteren av det virtuelle miljøet (AWS, Azure, Hyper-V, VMware osv.) kan gi en oppdatering for miljøet og inkludere de nye sertifikatene i den virtualiserte fastvaren. Dette vil fungere for nye virtualiserte enheter.
- For Windows som kjører langvarig i en virtuell maskin, kan oppdateringene brukes gjennom Windows som alle andre enheter, hvis den virtualiserte fastvaren støtter oppdateringer for sikker oppstart.
Overvåking og distribusjon
Vi anbefaler at du starter enhetsovervåkingen før distribusjon for å sikre at overvåkingen fungerer som den skal, og at du har en god følelse av tilstanden til flåten på forhånd. Overvåkingsalternativer beskrives nedenfor.
Microsoft tilbyr flere metoder for distribusjon og overvåking av sertifikatoppdateringer for sikker oppstart.
Automatisert distribusjonshjelp
Microsoft tilbyr to distribusjonsassister. Disse assistene kan vise seg å være nyttige for å hjelpe til med utplasseringen av de nye sertifikatene til flåten din. Det er bare assistenten for styrt funksjonsutrulling som krever diagnosedata.
Alternativ for kumulative oppdateringer med konfidenssamlinger: Microsoft kan automatisk inkludere enhetsgrupper med høyt tillit i månedlige oppdateringer basert på diagnosedata som er delt til dags dato, til fordel for systemer og organisasjoner som ikke kan dele diagnosedata. Dette trinnet krever ikke at diagnosedata aktiveres.
- For organisasjoner og systemer som kan dele diagnosedata, gir det Microsoft synlighet og tillit til at enheter kan distribuere sertifikatene. Du finner mer informasjon om aktivering av diagnosedata i: Konfigurere Windows-diagnosedata i organisasjonen. Vi oppretter «samlinger» for hver unike enhet (som definert av attributter som inkluderer produsent, hovedkortversjon, fastvareprodusent, fastvareversjon og flere datapunkter). For hver samling overvåker vi suksessbevis over flere enheter. Når vi har sett nok vellykkede oppdateringer og ingen feil, vil vi vurdere samlingen som «høy konfidens» og inkludere disse dataene i de månedlige kumulative oppdateringene. Når månedlige oppdateringer brukes på en enhet i en samling med høy konfidens, bruker Windows automatisk sertifikatene på UEFI Secure Boot-variablene i fastvaren.
- Samlinger med høy konfidens inkluderer enheter som behandler oppdateringene på riktig måte. Ikke alle enheter leverer naturligvis diagnosedata, og dette kan begrense Microsofts tillit til enhetens evne til å behandle oppdateringene på riktig måte.
- Denne assistenten er aktivert som standard for enheter med høy konfidens og kan deaktiveres med en enhetsspesifikk innstilling. Mer informasjon vil bli delt i fremtidige Windows-versjoner.
Controlled Feature Rollout (CFR): Velg enheter for Microsoft-administrert distribusjon hvis diagnosedata er aktivert.
Controlled Feature Rollout (CFR) kan brukes med klientenheter i organisasjonshlåter. Dette krever at enheter sender nødvendige diagnosedata til Microsoft og har signalisert at enheten velger å tillate CFR på enheten. Detaljer om hvordan du melder deg på, er beskrevet nedenfor.
Microsoft administrerer oppdateringsprosessen for disse nye sertifikatene på Windows-enheter der diagnosedata er tilgjengelige, og enhetene deltar i Controlled Feature Rollout (CFR). Selv om CFR kan hjelpe til med distribusjon av de nye sertifikatene, vil ikke organisasjoner kunne stole på CFR for å utbedre flåtene sine – det vil kreve å følge trinnene som er skissert i dette dokumentet i avsnittet om distribusjonsmetoder som ikke dekkes av automatiserte assistanser.
Begrensninger: Det er flere grunner til at CFR kanskje ikke fungerer i miljøet ditt. Eksempel:
- Ingen diagnosedata er tilgjengelige, eller diagnosedataene kan ikke brukes som en del av CFR-distribusjonen.
- Enheter er ikke på støttede klientversjoner av Windows 11 og Windows 10 med utvidede sikkerhetsoppdateringer (ESU).
Distribusjonsmetoder som ikke dekkes av automatiserte assistenter
Velg metoden som passer til ditt miljø. Unngå å blande metoder på samme enhet:
Registernøkler: Kontroller distribusjon og overvåk resultater.
Det finnes flere registernøkler som er tilgjengelige for å kontrollere virkemåten til distribusjonen av sertifikatene, og for å overvåke resultatene. Det finnes i tillegg to verktøy for å melde seg inn og ut av distribusjonshjelpemidlene som er beskrevet ovenfor. Hvis du vil ha mer informasjon om registernøklene, kan du se Oppdateringer av registernøkler for sikker oppstart – Windows-enheter med IT-administrerte oppdateringer.gruppepolicyobjekter (GPO): Administrer innstillinger; overvåk via register og hendelseslogger.
Microsoft vil gi støtte for administrasjon av oppdateringer for sikker oppstart ved hjelp av gruppepolicy i en fremtidig oppdatering. Vær oppmerksom på at siden gruppepolicy er for innstillinger, må overvåking av enhetsstatusen gjøres ved hjelp av alternative metoder, inkludert overvåking av registernøkler og oppføringer i hendelsesloggen.WinCS (Windows Configuration System) CLI: Bruk kommandolinjeverktøy for klienter som tilhører domener.
Domeneadministratorer kan alternativt bruke Windows Configuration System (WinCS) som er inkludert i oppdateringer for Windows-operativsystemet, til å distribuere Secure Boot-oppdateringer på tvers av domenetilknyttede Windows-klienter og -servere. Den består av en rekke kommandolinjeverktøy (både en tradisjonell kjørbar fil og en PowerShell-modul) for spørring og bruk konfigurasjoner for sikker oppstart lokalt på en maskin. Hvis du vil ha mer informasjon, kan du se følgende artikler:Microsoft Intune/Konfigurasjonsbehandling: Distribuer PowerShell-skript. En Configuration Service Provider (CSP) vil bli angitt i en fremtidig oppdatering for å tillate distribusjon ved hjelp av Intune.
Overvåke hendelseslogger
To nye hendelser leveres for å hjelpe til med distribusjon av oppdateringer for Secure Boot-sertifikatet. Disse hendelsene er beskrevet i detalj i Secure Boot DB- og DBX-variable oppdateringshendelser:
-
Hendelses-ID: 1801
Denne hendelsen er en feilhendelse som indikerer at de oppdaterte sertifikatene ikke har blitt brukt på enheten. Denne hendelsen gir noen detaljer som er spesifikke for enheten, inkludert enhetsattributter, som vil hjelpe deg med å koordinere hvilke enheter som fortsatt må oppdateres. -
Hendelses-ID: 1808
Denne hendelsen er en informasjonshendelse som angir at enheten har de nødvendige nye Secure Boot-sertifikatene brukt på enhetens fastvare.
Distribusjonsstrategier
For å minimere risikoen bør du distribuere Secure Boot-oppdateringer i faser i stedet for å samle alle på én gang. Begynn med et lite delsett av enheter, valider resultatene og utvid deretter til flere grupper. Vi foreslår at du begynner med delsett av enheter og, etter hvert som du blir trygg på disse distribusjonene, legger til flere delsett med enheter. Flere faktorer kan brukes til å bestemme hva som inngår i et delsett, inkludert testresultater på prøveenheter og organisasjonsstruktur osv.
Avgjørelsen om hvilke enheter du distribuerer, er opp til deg. Noen mulige strategier er oppført her.
- Stor enhetsflåte: Begynn med å stole på assistene som er beskrevet ovenfor for de vanligste enhetene du administrerer. Parallelt kan du fokusere på de mindre vanlige enhetene som administreres av organisasjonen. Test små eksempelenheter, og hvis testingen er vellykket, distribuer til resten av enhetene av samme type. Hvis testingen produserer problemer, må du undersøke årsaken til problemet og bestemme utbedringstrinn. Du bør også vurdere klasser av enheter som har høyere verdi i flåten din, og begynne å teste og distribuere for å sikre at disse enhetene har oppdatert beskyttelse på plass tidlig.
- Liten flåte, stort utvalg: Hvis flåten du administrerer inneholder et stort utvalg av maskiner der testing av individuelle enheter ville være uoverkommelig, bør du vurdere å stole sterkt på de to assistene beskrevet ovenfor, spesielt for enheter som sannsynligvis vil være vanlige enheter på markedet. Fokuser først på enheter som er kritiske for den daglige driften, og test og distribuer deretter. Fortsett å bevege deg nedover listen over høyt prioriterte enheter, teste og distribuere mens du overvåker flåten for å bekrefte at assistene hjelper til med resten av enhetene.
Obs!
- Vær oppmerksom på eldre enheter, spesielt enheter som ikke lenger støttes av produsenten. Fastvaren skal utføre oppdateringsoperasjonene riktig, men noen kan hende det ikke fungerer. I tilfeller der fastvaren ikke fungerer som den skal, og enheten ikke lenger støttes, kan du vurdere å erstatte enheten for å sikre Secure Boot-beskyttelse på tvers av flåten.
- Nye enheter produsert i løpet av de siste 1–2 årene har kanskje allerede de oppdaterte sertifikatene på plass, men har kanskje ikke den Windows UEFI CA 2023-signerte oppstartsbehandlingen brukt på systemet. Å ta i bruk denne oppstartsbehandlingen er et kritisk siste trinn i distribusjonen for hver enhet.
- Når en enhet er valgt for oppdateringer, kan det ta litt tid før oppdateringene er fullført. Beregn at det tar 48 timer og én eller flere omstarter for at sertifikatene skal gjelde.
Vanlige spørsmål
Hvis du har vanlige spørsmål, kan du se artikkelen om vanlige spørsmål om sikker oppstart .
Feilsøking
Se feilsøkingsdokumentet for mer informasjon.
Flere ressurser
Tips
Legg til bokmerke for disse ekstra ressursene.
- Målside for utrulling av sertifikat for sikker oppstart
- Vanlige spørsmål om sikker oppstart
- Windows-enheter for bedrifter og organisasjoner med IT-administrerte oppdateringer
- Windows-enheter for hjemmebrukere, bedrifter og skoler med Microsoft-administrerte oppdateringer
- Windows 11 og sikker oppstart
- Oppdateringshendelser for variabel for sikker oppstart og DBX
- Veiledning for oppretting og administrasjon av nøkler for sikker oppstart
- Sikker oppstart
- Oppdatere Secure Boot-nøkler
- Distribusjonsveiledning for CVE-2023-24932 for bedrifter
- Slik administrerer du tilbakekallinger av Windows Boot Manager for endringer i sikker oppstart knyttet til CVE-2023-24932