Inleiding
Windows-updates die zijn uitgebracht op en na 13 februari 2024 bevatten de mogelijkheid om het Windows UEFI CA 2023-certificaat toe te passen op UEFI Secure Boot Allowed Signature Database (DB). Als u de database bijwerkt, kunnen apparaten toekomstige updates voor het opstartlaadprogramma ontvangen die zijn opgenomen in maandelijkse updates.
Dit is belangrijk omdat het bestaande certificaat verloopt en het verplaatsen naar het nieuwe certificaat de eerste stap is bij het voorbereiden van apparaten om te werken met toekomstige updates voor het opstartlaadprogramma die cryptografisch worden ondertekend met behulp van het nieuwe certificaat.
Updates naar de database hebben compatibiliteitsproblemen met sommige apparaten. Om de implementatie naar Windows-apparaten te vergemakkelijken, wordt de update van de database niet automatisch toegepast. Voor bedrijfsomgevingen is het belangrijk om een gecontroleerde implementatie van de update te hebben na zorgvuldige validatie met representatieve apparaten die aanwezig zijn in de omgeving om onderbrekingen te voorkomen.
Zie Microsoft Secure Boot Keys bijwerken voor een gedetailleerde uitleg.
Actie ondernemen
Implementeer de DB-update op representatieve voorbeeldtestapparaten door de implementatierichtlijnen te volgen in Microsoft Secure Boot Keys bijwerken.
Nadat een testapparaat de database heeft bijgewerkt, moet het veilig zijn om de DB-update uit te rollen op apparaten met dezelfde hardware- en firmwareconfiguratie. U kunt dit doen door de volgende registersleutel in te stellen met behulp van implementatiesoftware zoals groepsbeleid of Mobile Device Management (MDM):
Registerpad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Naam: AvailableUpdates
Waarde: 0x40
Nadat het apparaat opnieuw is opgestart, moet de database worden bijgewerkt. In sommige gevallen kan een tweede herstart vereist zijn.
Bekende problemen
Probleem |
Volgende stap |
Arm64-apparaten zijn momenteel geblokkeerd voor het toepassen van de DB-update. |
Microsoft werkt samen met leveranciers van OEM-apparaten om hun firmware bij te werken om een probleem met op ARM64 gebaseerde firmware op te lossen. |