Inleiding
Windows-updates die zijn uitgebracht op en na 13 februari 2024 bevatten de mogelijkheid om het Windows UEFI CA 2023-certificaat toe te passen op UEFI Secure Boot Allowed Signature Database (DB). Als u de database bijwerkt, kunnen apparaten toekomstige updates voor het opstartlaadprogramma ontvangen die zijn opgenomen in maandelijkse updates.
Dit is belangrijk omdat het bestaande certificaat verloopt en het verplaatsen naar het nieuwe certificaat de eerste stap is bij het voorbereiden van apparaten om te werken met toekomstige updates voor het opstartlaadprogramma die cryptografisch worden ondertekend met behulp van het nieuwe certificaat.
Het is bekend dat updates voor de database compatibiliteitsproblemen hebben met sommige apparaten. Om de implementatie naar Windows-apparaten te vergemakkelijken, wordt de update van de database niet automatisch toegepast. Voor bedrijfsomgevingen is het belangrijk om een gecontroleerde implementatie van de update te hebben na zorgvuldige validatie met representatieve apparaten die aanwezig zijn in de omgeving om onderbrekingen te voorkomen.
Zie Microsoft Secure Boot Keys bijwerken voor een gedetailleerde uitleg.
Actie ondernemen
Implementeer de DB-update op representatieve voorbeeldtestapparaten door de implementatierichtlijnen te volgen in Microsoft Secure Boot Keys bijwerken.
Nadat een testapparaat de database heeft bijgewerkt, moet het veilig zijn om de DB-update uit te rollen op apparaten met dezelfde hardware- en firmwareconfiguratie. U kunt dit doen door de volgende registersleutel in te stellen met behulp van implementatiesoftware zoals Groepsbeleid of Mobile Device Management (MDM):
Registerpad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Naam: AvailableUpdates
Waarde: 0x40
Nadat het apparaat opnieuw is opgestart, moet de database worden bijgewerkt. In sommige gevallen kan een tweede herstart vereist zijn.
Bekende problemen
Voor bekende problemen met deze update raadpleegt u de sectie Bekende problemen in KB5025885: De intrekkingen van Windows Boot Manager beheren voor wijzigingen in beveiligd opstarten die zijn gekoppeld aan CVE-2023-24932.