Oppdateringer for sertifikat for sikker oppstart: veiledning for IT-teknikere og organisasjoner

Gjelder for
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Obs!

  • Opprinnelig publiseringsdato: 26. juni 2025
  • KB-ID: 5062713

Obs!

Endringslogg
Endre dato Endre beskrivelse
5. mai 2026 kl.
Mars 30, 2026
  • Løste det kjente problemet «Sertifikatoppdateringer for sikker oppstart kan mislykkes med hendelses-ID 1795 på Hyper-V-virtuelle maskiner»
Mars 24, 2026
  • Oppdaterte det kjente problemet Sertifikatoppdateringer for sikker oppstart kan mislykkes med hendelses-ID 1795 på virtuelle Hyper-V-maskiner.
Mars 16, 2026
  • Fjernet delen «Eksempel på konfidensdata» under «Eksempel på skript for innsamling av Secure Boot Inventory-data» siden den er utdatert.
Mars 3, 2026
  • Formaterte prøveutdataene på nytt under "Forberedelse"-delen, slik at de holder seg innenfor boksen.
Februar 24, 2026
  • Oppdaterte innholdet for «Eksempel på skript for innsamling av lager ved sikker oppstart» under « Forberedelse»-delen.
  • La til en ny seksjon «Eksempelutdata» under «Forberedelse»-delen.
Februar 23, 2026
  • Oppdaterte innholdet for «Eksempel på skript for innsamling av lager ved sikker oppstart» under « Forberedelse»-delen.
Februar 13, 2026
  • La til elementene "Eksempel på konfidensdata" i " Forberedelse"-delen.
  • Fjernet «Innsamlingsskript for ventende hendelser 1801 og 1808» fra «Forberedelse»-delen siden det ikke lenger er nødvendig.
Februar 3, 2026
  • Flyttet og formaterte vanlige problemer i feilsøkingsdelen.
  • La til et nytt vanlig problem: «Sertifikatoppdateringer for sikker oppstart kan mislykkes med hendelses-ID 1795 på virtuelle Hyper-V-maskiner».
26. januar 2026
  • Oppdaterte teksten under Automatisk distribusjonsassistent fra « Begge assistentene krever diagnosedata». til « Bare assistenten for kontrollert funksjonsutrulling krever diagnosedata.
11. november 2025 kl. Rettet to skrivefeil under «Støtte for distribusjon av Secure Boot-sertifikat».
  • 0x0800 - Sertifikatnavnet ble endret fra «Microsoft UEFI CA 2023» til «Microsoft Option ROM UEFI CA 2023».
  • 0x1000 – endret «Microsoft Option ROM CA 2023» til «Microsoft UEFI CA 2023».
10. november 2025 kl.
  • Rettet to skrivefeil under «Nytt sertifikat»: fra « Microsoft Corporation KEK CA 2023» til « Microsoft Corporation KEK 2K CA 2023» og fra « Microsoft Option ROM CA 2023» til « Microsoft Option ROM UEFI CA 2023».
  • Nye PowerShell-skript ble lagt til under overskriftene «Bekrefter sikker oppstartsstatus på tvers av flåten: Er sikker oppstart aktivert?» og «Forberedelse».

I denne artikkelen:

Oversikt

Denne artikkelen er ment for organisasjoner med dedikerte IT-teknikere som aktivt administrerer oppdateringer på tvers av enhetsflåten. Mesteparten av denne artikkelen fokuserer på aktivitetene som er nødvendige for at IT-avdelingen i en organisasjon skal lykkes med å distribuere de nye Secure Boot-sertifikatene. Disse aktivitetene omfatter testing av fastvare, overvåking av enhetsoppdateringer, start distribusjon og diagnostisering av problemer etter hvert som de oppstår. Flere metoder for distribusjon og overvåking presenteres. I tillegg til disse kjerneaktivitetene tilbyr vi flere distribusjonshjelpemidler, inkludert muligheten til å velge klientenheter for deltakelse i en kontrollert funksjonsutrulling (CFR) spesielt for sertifikatdistribusjon.

Strategiplan for distribusjon for IT-eksperter

Planlegg og utfør sertifikatoppdateringer for sikker oppstart på tvers av enhetsflåten gjennom klargjøring, overvåking, distribusjon og utbedring.

Verifiser status for Secure Boot på tvers av flåten: Er Secure Boot aktivert?

De fleste enheter som er produsert etter 2012, har støtte for sikker oppstart og leveres med sikker oppstart aktivert. Hvis du vil bekrefte at en enhet har Secure Boot aktivert, gjør du ett av følgende:

  • GUI-metode: Gå tilStart-innstillinger>>Personvern & Sikkerhet>Windows Sikkerhet>Enhetssikkerhet. Under Enhetssikkerhet skal Sikker oppstart-delen indikere at Sikker oppstart er aktivert.
  • Metode for kommandolinje: Skriv inn Confirm-SecureBootUEFI i en hevet ledetekst i PowerShell, og trykk deretter Enter. Kommandoen skal returnere Sann som indikerer at sikker oppstart er aktivert.

I store distribusjoner for en enhetspark må administrasjonsprogramvaren som brukes av IT-eksperter kontrollere at Secure Boot er aktivert.

Metoden for å kontrollere tilstanden for sikker oppstart på Microsoft Intune-administrerte enheter er for eksempel å opprette og distribuere et egendefinert samsvarsskript for Intune. Samsvarsinnstillinger for Intune dekkes i Bruke egendefinerte samsvarsinnstillinger for Linux- og Windows-enheter med Microsoft Intune.

Obs!

  • Eksempel på Powershell-skript for å kontrollere om sikker oppstart er aktivert:
  • # Initialize result object in preparation for checking Secure Boot state 
  • $result = [PSCustomObject]@{ 
  •    SecureBootEnabled = $null 
  • try { 
  •    $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 
  •    Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 
  • } catch { 
  •    $result.SecureBootEnabled = $null 
  •    Write-Warning "Unable to determine Secure Boot status: $_" 

Hvis Sikker oppstart ikke er aktivert, kan du hoppe over oppdateringstrinnene nedenfor siden de ikke gjelder.

Slik distribueres oppdateringer

Det finnes flere måter å målrette enheter for oppdateringer for Secure Boot-sertifikatet på. Distribusjonsdetaljer, inkludert innstillinger og hendelser, vil bli diskutert senere i dette dokumentet. Når du målretter mot oppdateringer for en enhet, gjøres det en innstilling på enheten som angir at enheten skal begynne prosessen med å ta i bruk de nye sertifikatene. En planlagt oppgave kjøres på enheten hver 12. time og oppdager at enheten er mål for oppdateringene. Her er en disposisjon over hva aktiviteten gjør:

  1. Windows UEFI CA 2023 brukes på DB.
  2. Hvis enheten har Microsoft Corporation UEFI CA 2011 i databasen, gjelder oppgaven Microsoft Option ROM UEFI CA 2023 og Microsoft UEFI CA 2023 til databasen.
  3. Oppgaven legger deretter til Microsoft Corporation KEK 2K CA 2023.
  4. Til slutt oppdaterer den planlagte oppgaven Windows-oppstartsbehandlingen til den som er signert av Windows UEFI CA 2023. Windows oppdager at det er nødvendig med en omstart før oppstartsbehandlingen kan tas i bruk. Oppdateringen for oppstartsbehandling blir forsinket til omstarten skjer naturlig (for eksempel når månedlige oppdateringer tas i bruk), og deretter vil Windows på nytt prøve å bruke oppdateringen for oppstartsbehandling.

Hvert av trinnene over må fullføres før den planlagte oppgaven går videre til neste trinn. I løpet av denne prosessen vil hendelseslogger og annen status være tilgjengelig som hjelp til overvåking av distribusjonen. Du finner mer informasjon om overvåking og hendelseslogger nedenfor.

Oppdatering av Secure Boot-sertifikatene muliggjør en fremtidig oppdatering til 2023 Boot Manager, som er sikrere. Spesifikke oppdateringer for Boot Manager kommer i fremtidige utgivelser.

Trinn for distribusjon

  • Forberedelse: Lage og teste enheter.
  • Hensyn til fastvare
  • Overvåking: Bekreft overvåkingsarbeid og baseline flåten din.
  • Distribusjon: Målenheter for oppdateringer, som starter med små delsett og utvides basert på vellykkede tester.
  • Utbedring: Undersøk og løs eventuelle problemer ved hjelp av logger og leverandørstøtte.

Forberedelse

Lagermaskinvare og fastvare. Bygg et representativt utvalg av enheter basert på systemprodusent, systemmodell, BIOS-versjon/-dato, BaseBoard-produktversjon og så videre, og test oppdateringer på disse enhetene før omfattende distribusjon.  Disse parameterne er vanligvis tilgjengelige i systeminformasjon (MSINFO32). Bruk de medfølgende eksempelkommandoene for PowerShell til å kontrollere oppdateringsstatus for Sikker oppstart og for å registrere enheter på tvers av organisasjonen.

Obs!

  • Disse kommandoene gjelder hvis Secure Boot-tilstanden er aktivert.
  • Mange av disse kommandoene trenger administratorrettigheter for å fungere.

Eksempel på skript for innsamling av Secure Boot Inventory Data Collection

Kopier og lim inn dette eksempelskriptet, og endre det etter behov for miljøet: Eksempel på skript for innsamling av beholdning av sikker oppstart.

Obs!

  • Eksempel på utdata:
  • {"UEFICA2023Status":"Updated","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null,
    "AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS",
    "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true,
    "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName":
    "Microsoft Corporation","OEMModelSystemFamily":"overflate","OEMModelNumber":
    "Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"11/03/2025",
    "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId":
    1808,"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f",
    «Konfidens»:«UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB),
    3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null,
    "Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null,
    "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false,
    "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion":
    "10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer":
    "Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true,
    "SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}

Klargjøringsnivåer for sikker oppstart

Konfidensnivå Betydning Handling kreves
Høy konfidens Microsoft har validert at denne enhetsklassen er trygg for oppdateringer Trygg å distribuere sertifikatoppdateringer
Under observasjon – mer data kreves Microsoft samler fortsatt diagnosedata for utrulling av sikker oppstart om disse enhetene Vent på Microsoft-klassifisering
Ingen data observert – handling kreves Enhetsklassen er ikke kjent for Microsoft Organisasjonen må teste og planlegge utrulling
Midlertidig stanset Kjente kompatibilitetsproblemer Se etter OEM BIOS-oppdatering; Vent på at Microsoft løser problemet
Støttes ikke – kjent begrensning Plattform- eller maskinvarebegrensninger Dokument som unntak

Det første trinnet hvis Secure Boot er aktivert, er å kontrollere om det finnes ventende hendelser som nylig har blitt oppdatert eller i ferd med å oppdatere Secure Boot-sertifikatene. Av spesiell interesse er de siste hendelsene i 1801 og 1808. Disse hendelsene er beskrevet i detalj i Secure Boot DB- og DBX-variabeloppdateringshendelser. Se også avsnittet Overvåking og distribusjon for hvordan hendelsene kan vise tilstanden til ventende oppdateringer.

Neste trinn er å vurdere beholdningen av enhetene på tvers av organisasjonen. Samle inn følgende detaljer med PowerShell-kommandoer for å bygge et representativt eksempel:

Obs!

  • Grunnleggende identifikatorer (2 verdier)
  • 1. HostName - $env: COMPUTERNAME
  • 2. CollectionTime – Get-Date
  • Register: Hovednøkkel for Secure Boot (3 verdier)
  • 3. SecureBootEnabled – Confirm-SecureBootUEFI cmdlet eller HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
  • 4. HighConfidenceOptOut – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
  • 5. TilgjengeligeOppdateringer – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
  • Register: Servicenøkkel (3 verdier)
  • 6. UEFICA2023Status –HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • 7. WindowsUEFICA2023Capable – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • 8. UEFICA2023Error – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • Register: Enhetsattributter (7 verdier)
  • 9. OEMManufacturerName – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 10. OEMModelSystemFamily – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 11. OEMModelNumber – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 12. Fastvareversjon – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 13. FirmwareReleaseDate – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 14. OSArchitecture – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 15. CanAttemptUpdateAfter – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • Hendelseslogger: Systemlogg (5 verdier)
  • 16. LatestEventId – nyeste sikker oppstartshendelse
  • 17. BucketID – hentet fra hendelsen 1801/1808
  • 18. Konfidens – hentet fra hendelsen 1801/1808
  • 19. Event1801Count – antall hendelser
  • 20. Event1808Count – antall hendelser
  • WMI/CIM-spørringer (4 verdier)
  • 21. OSVersion – Get-CimInstance Win32_OperatingSystem
  • 22. LastBootTime – Get-CimInstance Win32_OperatingSystem
  • 23. BaseBoardManufacturer – Get-CimInstance Win32_BaseBoard
  • 24. BaseBoardProduct - Get-CimInstance Win32_BaseBoard
  •      25. (Get-CIMInstance Win32_ComputerSystem). Produsent
  •      26. (Get-CIMInstance Win32_ComputerSystem). Modell
  •     27. (Get-CIMInstance Win32_BIOS). Beskrivelse + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString("MM/dd/åååå")
  •     28. (Get-CIMInstance Win32_BaseBoard). Produkt

Hensyn til fastvare

Distribusjon av de nye Secure Boot-sertifikatene til enhetsparken krever at enhetsfastvaren spiller en rolle i fullføringen av oppdateringen. Selv om Microsoft forventer at mesteparten av enhetens fastvare vil fungere som forventet, er det nødvendig med nøye testing før de nye sertifikatene distribueres.

Undersøk maskinvarebeholdningen og bygg et lite, representativt utvalg av enheter basert på følgende unike kriterier, som:

  • Produsent
  • Modellnummer
  • Fastvareversjon
  • OEM Baseboard-versjon osv.

Før du distribuerer bredt til enheter i flåten din, anbefaler vi at du tester sertifikatoppdateringene på representative eksempelenheter (som definert av faktorer som produsent, modell, fastvareversjon) for å sikre at oppdateringene behandles på riktig måte. Anbefalt veiledning om antall eksempelenheter som skal testes for hver unike kategori, er 4 eller flere.

Dette vil bidra til å bygge tillit til distribusjonsprosessen og bidra til å unngå uforutsette konsekvenser for den bredere flåten.

I noen tilfeller kan det være nødvendig med en fastvareoppdatering for å oppdatere Secure Boot-sertifikatene. I slike tilfeller anbefaler vi at du sjekker med enhetsprodusenten for å se om oppdatert fastvare er tilgjengelig.

Windows i virtualiserte miljøer

For Windows som kjører i et virtuelt miljø, finnes det to metoder for å legge til de nye sertifikatene i fastvarevariablene for Secure Boot:

  • Oppretteren av det virtuelle miljøet (AWS, Azure, Hyper-V, VMware osv.) kan gi en oppdatering for miljøet og inkludere de nye sertifikatene i den virtualiserte fastvaren. Dette vil fungere for nye virtualiserte enheter.
  • For Windows som kjører langvarig i en virtuell maskin, kan oppdateringene brukes gjennom Windows som alle andre enheter, hvis den virtualiserte fastvaren støtter oppdateringer for sikker oppstart.

Overvåking og distribusjon

Vi anbefaler at du starter enhetsovervåkingen før distribusjon for å sikre at overvåkingen fungerer som den skal, og at du har en god følelse av tilstanden til flåten på forhånd. Overvåkingsalternativer beskrives nedenfor.

Microsoft tilbyr flere metoder for distribusjon og overvåking av sertifikatoppdateringer for sikker oppstart.

Automatisert distribusjonshjelp

Microsoft tilbyr to distribusjonsassister. Disse assistene kan vise seg å være nyttige for å hjelpe til med utplasseringen av de nye sertifikatene til flåten din. Det er bare assistenten for styrt funksjonsutrulling som krever diagnosedata.

  • Alternativ for kumulative oppdateringer med konfidenssamlinger: Microsoft kan automatisk inkludere enhetsgrupper med høyt tillit i månedlige oppdateringer basert på diagnosedata som er delt til dags dato, til fordel for systemer og organisasjoner som ikke kan dele diagnosedata. Dette trinnet krever ikke at diagnosedata aktiveres.

    • For organisasjoner og systemer som kan dele diagnosedata, gir det Microsoft synlighet og tillit til at enheter kan distribuere sertifikatene. Du finner mer informasjon om aktivering av diagnosedata i: Konfigurere Windows-diagnosedata i organisasjonen. Vi oppretter «samlinger» for hver unike enhet (som definert av attributter som inkluderer produsent, hovedkortversjon, fastvareprodusent, fastvareversjon og flere datapunkter). For hver samling overvåker vi suksessbevis over flere enheter. Når vi har sett nok vellykkede oppdateringer og ingen feil, vil vi vurdere samlingen som «høy konfidens» og inkludere disse dataene i de månedlige kumulative oppdateringene. Når månedlige oppdateringer brukes på en enhet i en samling med høy konfidens, bruker Windows automatisk sertifikatene på UEFI Secure Boot-variablene i fastvaren.
    • Samlinger med høy konfidens inkluderer enheter som behandler oppdateringene på riktig måte. Ikke alle enheter leverer naturligvis diagnosedata, og dette kan begrense Microsofts tillit til enhetens evne til å behandle oppdateringene på riktig måte.
    • Denne assistenten er aktivert som standard for enheter med høy konfidens og kan deaktiveres med en enhetsspesifikk innstilling. Mer informasjon vil bli delt i fremtidige Windows-versjoner.
  • Controlled Feature Rollout (CFR): Velg enheter for Microsoft-administrert distribusjon hvis diagnosedata er aktivert.

    • Controlled Feature Rollout (CFR) kan brukes med klientenheter i organisasjonshlåter. Dette krever at enheter sender nødvendige diagnosedata til Microsoft og har signalisert at enheten velger å tillate CFR på enheten. Detaljer om hvordan du melder deg på, er beskrevet nedenfor.

    • Microsoft administrerer oppdateringsprosessen for disse nye sertifikatene på Windows-enheter der diagnosedata er tilgjengelige, og enhetene deltar i Controlled Feature Rollout (CFR). Selv om CFR kan hjelpe til med distribusjon av de nye sertifikatene, vil ikke organisasjoner kunne stole på CFR for å utbedre flåtene sine – det vil kreve å følge trinnene som er skissert i dette dokumentet i avsnittet om distribusjonsmetoder som ikke dekkes av automatiserte assistanser.

    • Begrensninger: Det er flere grunner til at CFR kanskje ikke fungerer i miljøet ditt. Eksempel:

      • Ingen diagnosedata er tilgjengelige, eller diagnosedataene kan ikke brukes som en del av CFR-distribusjonen.
      • Enheter er ikke på støttede klientversjoner av Windows 11 og Windows 10 med utvidede sikkerhetsoppdateringer (ESU).

Distribusjonsmetoder som ikke dekkes av automatiserte assistenter

Velg metoden som passer til ditt miljø. Unngå å blande metoder på samme enhet:

  • Registernøkler: Kontroller distribusjon og overvåk resultater.
    Det finnes flere registernøkler som er tilgjengelige for å kontrollere virkemåten til distribusjonen av sertifikatene, og for å overvåke resultatene. Det finnes i tillegg to verktøy for å melde seg inn og ut av distribusjonshjelpemidlene som er beskrevet ovenfor. Hvis du vil ha mer informasjon om registernøklene, kan du se Oppdateringer av registernøkler for sikker oppstart – Windows-enheter med IT-administrerte oppdateringer.

  • gruppepolicyobjekter (GPO): Administrer innstillinger; overvåk via register og hendelseslogger.
    Microsoft vil gi støtte for administrasjon av oppdateringer for sikker oppstart ved hjelp av gruppepolicy i en fremtidig oppdatering. Vær oppmerksom på at siden gruppepolicy er for innstillinger, må overvåking av enhetsstatusen gjøres ved hjelp av alternative metoder, inkludert overvåking av registernøkler og oppføringer i hendelsesloggen.

  • WinCS (Windows Configuration System) CLI: Bruk kommandolinjeverktøy for klienter som tilhører domener.
    Domeneadministratorer kan alternativt bruke Windows Configuration System (WinCS) som er inkludert i oppdateringer for Windows-operativsystemet, til å distribuere Secure Boot-oppdateringer på tvers av domenetilknyttede Windows-klienter og -servere. Den består av en rekke kommandolinjeverktøy (både en tradisjonell kjørbar fil og en PowerShell-modul) for spørring og bruk konfigurasjoner for sikker oppstart lokalt på en maskin. Hvis du vil ha mer informasjon, kan du se følgende artikler:

  • Microsoft Intune/Konfigurasjonsbehandling: Distribuer PowerShell-skript. En Configuration Service Provider (CSP) vil bli angitt i en fremtidig oppdatering for å tillate distribusjon ved hjelp av Intune.

Overvåke hendelseslogger

To nye hendelser leveres for å hjelpe til med distribusjon av oppdateringer for Secure Boot-sertifikatet. Disse hendelsene er beskrevet i detalj i Secure Boot DB- og DBX-variable oppdateringshendelser:

  • Hendelses-ID: 1801
    Denne hendelsen er en feilhendelse som indikerer at de oppdaterte sertifikatene ikke har blitt brukt på enheten. Denne hendelsen gir noen detaljer som er spesifikke for enheten, inkludert enhetsattributter, som vil hjelpe deg med å koordinere hvilke enheter som fortsatt må oppdateres.
  • Hendelses-ID: 1808
    Denne hendelsen er en informasjonshendelse som angir at enheten har de nødvendige nye Secure Boot-sertifikatene brukt på enhetens fastvare.

Distribusjonsstrategier

For å minimere risikoen bør du distribuere Secure Boot-oppdateringer i faser i stedet for å samle alle på én gang. Begynn med et lite delsett av enheter, valider resultatene og utvid deretter til flere grupper. Vi foreslår at du begynner med delsett av enheter og, etter hvert som du blir trygg på disse distribusjonene, legger til flere delsett med enheter. Flere faktorer kan brukes til å bestemme hva som inngår i et delsett, inkludert testresultater på prøveenheter og organisasjonsstruktur osv.

Avgjørelsen om hvilke enheter du distribuerer, er opp til deg. Noen mulige strategier er oppført her.

  • Stor enhetsflåte: Begynn med å stole på assistene som er beskrevet ovenfor for de vanligste enhetene du administrerer. Parallelt kan du fokusere på de mindre vanlige enhetene som administreres av organisasjonen. Test små eksempelenheter, og hvis testingen er vellykket, distribuer til resten av enhetene av samme type. Hvis testingen produserer problemer, må du undersøke årsaken til problemet og bestemme utbedringstrinn. Du bør også vurdere klasser av enheter som har høyere verdi i flåten din, og begynne å teste og distribuere for å sikre at disse enhetene har oppdatert beskyttelse på plass tidlig.
  • Liten flåte, stort utvalg: Hvis flåten du administrerer inneholder et stort utvalg av maskiner der testing av individuelle enheter ville være uoverkommelig, bør du vurdere å stole sterkt på de to assistene beskrevet ovenfor, spesielt for enheter som sannsynligvis vil være vanlige enheter på markedet. Fokuser først på enheter som er kritiske for den daglige driften, og test og distribuer deretter. Fortsett å bevege deg nedover listen over høyt prioriterte enheter, teste og distribuere mens du overvåker flåten for å bekrefte at assistene hjelper til med resten av enhetene.

Obs!

  • Vær oppmerksom på eldre enheter, spesielt enheter som ikke lenger støttes av produsenten. Fastvaren skal utføre oppdateringsoperasjonene riktig, men noen kan hende det ikke fungerer. I tilfeller der fastvaren ikke fungerer som den skal, og enheten ikke lenger støttes, kan du vurdere å erstatte enheten for å sikre Secure Boot-beskyttelse på tvers av flåten.
  • Nye enheter produsert i løpet av de siste 1–2 årene har kanskje allerede de oppdaterte sertifikatene på plass, men har kanskje ikke den Windows UEFI CA 2023-signerte oppstartsbehandlingen brukt på systemet. Å ta i bruk denne oppstartsbehandlingen er et kritisk siste trinn i distribusjonen for hver enhet.
  • Når en enhet er valgt for oppdateringer, kan det ta litt tid før oppdateringene er fullført. Beregn at det tar 48 timer og én eller flere omstarter for at sertifikatene skal gjelde.

Vanlige spørsmål

Hvis du har vanlige spørsmål, kan du se artikkelen om vanlige spørsmål om sikker oppstart .

Feilsøking

Se feilsøkingsdokumentet for mer informasjon.

Flere ressurser

Tips

Legg til bokmerke for disse ekstra ressursene.