Aktualizacje certyfikatu bezpiecznego rozruchu: wytyczne dla specjalistów IT i organizacji

Dotyczy
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Uwaga

  • Data publikacji oryginału: 26 czerwca 2025 r.
  • Identyfikator KB: 5062713

Uwaga

Dziennik zmian
Zmień datę Opis zmiany
5 maja 2026 r
30 marcu 2026 r
  • Rozwiązano znany problem "Aktualizacje certyfikatu bezpiecznego rozruchu mogą zakończyć się niepowodzeniem z identyfikatorem zdarzenia 1795 w maszynach wirtualnych funkcji Hyper-V"
24 marcu 2026 r.
  • Zaktualizowano znany problem "Aktualizacje certyfikatu bezpiecznego rozruchu mogą zakończyć się niepowodzeniem z identyfikatorem zdarzenia 1795 w maszynach wirtualnych funkcji Hyper-V"
16 marcu 2026 r
  • Usunięto sekcję "Przykładowe dane zaufania" w obszarze "Przykładowy skrypt zbierania danych zapasów bezpiecznego rozruchu", ponieważ jest nieaktualna.
3 marcu 2026 r
  • Ponownie sformatowano przykładowe dane wyjściowe w sekcji "Przygotowanie", aby pozostały w polu.
24 luty 2026 r
  • Zaktualizowano zawartość sekcji "Przykładowy skrypt zbierania danych zapasów bezpiecznego rozruchu" w sekcji " Przygotowanie".
  • Dodano nową sekcję "Przykładowe wyniki" w sekcji "Przygotowanie".
23 luty 2026 r
  • Zaktualizowano zawartość sekcji "Przykładowy skrypt zbierania danych zapasów bezpiecznego rozruchu" w sekcji " Przygotowanie".
13 luty 2026 r
  • Dodano pozycje "Przykładowe dane ufności" do sekcji " Przygotowanie".
  • Usunięto "skrypt zbierania dla oczekujących zdarzeń 1801 i 1808" z sekcji "Przygotowanie", ponieważ nie jest już potrzebny.
3 luty 2026 r
  • Przeniesiono i ponownie sformatowano typowe problemy w sekcji Rozwiązywanie problemów.
  • Dodano nowy powszechny problem: "Aktualizacje certyfikatu bezpiecznego rozruchu mogą zakończyć się niepowodzeniem z identyfikatorem zdarzenia 1795 w maszynach wirtualnych Hyper-V".
26 styczeń 2026 r
  • Zaktualizowano tekst w sekcji "Wspomaganie wdrażania automatycznego" z " Oba wspomagania wymagają danych diagnostycznych." na " Tylko wspomaganie wprowadzania funkcji kontrolowanych wymaga danych diagnostycznych.
11 listopada 2025 r. Poprawiono dwie literówki w sekcji "Obsługa wdrażania certyfikatu bezpiecznego rozruchu".
  • 0x0800 - Nazwa certyfikatu została zmieniona z "Microsoft UEFI CA 2023" na "Microsoft Option ROM UEFI CA 2023".
  • 0x1000 — zmieniono wartość "Microsoft Option ROM CA 2023" na "Microsoft UEFI CA 2023".
10 listopada 2025 r.
  • Poprawiono dwie literówki w sekcji "Nowy certyfikat": z " Microsoft Corporation KEK CA 2023" na " Microsoft Corporation KEK 2K CA 2023" oraz z " Microsoft Option ROM CA 2023" na " Microsoft Option ROM UEFI CA 2023".
  • Dodano nowe skrypty PowerShell pod nagłówkami "Sprawdzanie stanu bezpiecznego rozruchu we flocie: Czy bezpieczny rozruch jest włączony?" i "Przygotowanie".

W tym artykule:

Omówienie

Ten artykuł jest przeznaczony dla organizacji mających dedykowanych specjalistów IT, którzy aktywnie zarządzają aktualizacjami we wszystkich swoich flotach urządzeń. Większość tego artykułu koncentruje się na działaniach niezbędnych do pomyślnego wdrożenia nowych certyfikatów bezpiecznego rozruchu przez dział IT organizacji. Działania te obejmują testowanie oprogramowania układowego, monitorowanie aktualizacji urządzeń, inicjowanie wdrażania i diagnozowanie problemów w momencie ich pojawienia się. Przedstawiono wiele metod wdrażania i monitorowania. Oprócz tych podstawowych działań oferujemy kilka opcji pomocy we wdrażaniu, w tym opcję dołączenia urządzeń klienckich do udziału w kontrolowanym wdrażaniu funkcji (CFR, Controlled Feature Rollout), a w szczególności we wdrażaniu certyfikatów.

Podręcznik wdrażania dla informatyków

Zaplanuj i wykonaj aktualizacje certyfikatu bezpiecznego rozruchu we flocie urządzeń poprzez przygotowanie, monitorowanie, wdrożenie i korygowanie.

Weryfikacja stanu bezpiecznego rozruchu we flocie: czy bezpieczny rozruch jest włączony?

Większość urządzeń wyprodukowanych od 2012 roku obsługuje funkcję Bezpieczny rozruch i jest dostarczana z włączoną funkcją Bezpieczny rozruch. Aby sprawdzić, czy w urządzeniu jest włączony bezpieczny rozruch, wykonaj jedną z następujących czynności:

  • Metoda GUI: Przejdź do okna Start>Ustawienia>Prywatność & Zabezpieczenia>Zabezpieczenia Windows>Zabezpieczenia urządzenia. W obszarze Zabezpieczenia urządzenia sekcja Bezpieczny rozruch powinna wskazywać, że Bezpieczny rozruch jest włączony.
  • Metoda wiersza polecenia: W wierszu polecenia programu PowerShell z podwyższonym poziomem uprawnień wpisz polecenie Confirm-SecureBootUEFI , a następnie naciśnij klawisz Enter. Polecenie powinno zwrócić wartość True , co oznacza, że bezpieczny rozruch jest włączony.

W przypadku wdrożeń na dużą skalę dla floty urządzeń oprogramowanie do zarządzania używane przez specjalistów IT będzie musiało zapewnić sprawdzenie włączenia bezpiecznego rozruchu.

Na przykład metodą sprawdzenia stanu bezpiecznego rozruchu na urządzeniach zarządzanych przez usługę Microsoft Intune jest utworzenie i wdrożenie niestandardowego skryptu zgodności usługi Intune. Ustawienia zgodności usługi Intune zostały omówione w temacie Używanie niestandardowych ustawień zgodności dla urządzeń z systemami Linux i Windows z usługą Microsoft Intune.

Uwaga

  • Przykładowy skrypt programu PowerShell umożliwiający sprawdzenie, czy bezpieczny rozruch jest włączony:
  • # Initialize result object in preparation for checking Secure Boot state 
  • $result = [PSCustomObject]@{ 
  •    SecureBootEnabled = $null 
  • try { 
  •    $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 
  •    Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 
  • } catch { 
  •    $result.SecureBootEnabled = $null 
  •    Write-Warning "Unable to determine Secure Boot status: $_" 

Jeśli funkcja bezpiecznego rozruchu nie jest włączona, możesz pominąć poniższe kroki aktualizacji, ponieważ nie mają one zastosowania.

Jak są wdrażane aktualizacje

Istnieje wiele sposobów kierowania urządzeń dla aktualizacji certyfikatu bezpiecznego rozruchu. Szczegóły wdrożenia, w tym ustawienia i zdarzenia, zostaną omówione w dalszej części tego dokumentu. Gdy urządzenie jest przeznaczone do aktualizacji, na urządzeniu jest wprowadzane ustawienie wskazujące, że urządzenie powinno rozpocząć proces stosowania nowych certyfikatów. Zaplanowane zadanie jest uruchamiane na urządzeniu co 12 godzin i wykrywa, że urządzenie jest celem aktualizacji. Ogólny zarys zadania jest następujący:

  1. Interfejs UEFI systemu Windows CA 2023 jest stosowany do bazy danych.
  2. Jeśli urządzenie ma interfejs Microsoft Corporation UEFI CA 2011 w bazie danych, zadanie stosuje do bazy danych Microsoft Option ROM UEFI CA 2023 i Microsoft UEFI CA 2023 .
  3. Następnie zadanie dodaje Microsoft Corporation KEK 2K CA 2023.
  4. Na koniec zaplanowane zadanie aktualizuje menedżera rozruchu systemu Windows do tego podpisanego przez Windows UEFI CA 2023. System Windows wykryje, że przed zastosowaniem menedżera rozruchu konieczne jest ponowne uruchomienie. Aktualizacja menedżera rozruchu zostanie opóźniona do momentu, gdy ponowne uruchomienie nastąpi w sposób naturalny (na przykład w przypadku zastosowania comiesięcznych aktualizacji). Wtedy system Windows ponownie podejmie próbę zastosowania aktualizacji menedżera rozruchu.

Każdy z powyższych kroków musi zostać wykonany pomyślnie, zanim zaplanowane zadanie zostanie przeniesione do następnego kroku. W trakcie tego procesu będą dostępne dzienniki zdarzeń i inny stan ułatwiający monitorowanie wdrożenia. Więcej szczegółów na temat monitorowania i dzienników zdarzeń znajduje się poniżej.

Aktualizacja certyfikatów bezpiecznego rozruchu umożliwia przyszłą aktualizację Menedżera rozruchu 2023, który jest bezpieczniejszy. Konkretne aktualizacje Menedżera rozruchu zostaną udostępnione w przyszłych wersjach.

Procedura wdrażania

  • Przygotowanie: Inwentaryzacja i testowanie urządzeń.
  • Zagadnienia dotyczące oprogramowania układowego
  • Monitorowanie: Zweryfikuj działania monitoringu i zaplanuj bazę swojej floty.
  • Wdrożenie: Utwórz urządzenia docelowe dla aktualizacji, zaczynając od małych podzbiorów i rozszerzając je na podstawie pomyślnych testów.
  • Korygowanie: badanie i rozwiązywanie wszelkich problemów przy użyciu dzienników i pomocy technicznej dostawcy.

Przygotowanie

Inwentaryzacja sprzętu i oprogramowania układowego. Utwórz reprezentatywną próbkę urządzeń w oparciu o producenta systemu, model systemu, wersję/datę systemu BIOS, wersję produktu BaseBoard itp., a następnie przetestuj aktualizacje na tych urządzeniach przed szerokim wdrożeniem.  Parametry te są zwykle dostępne w obszarze Informacje o systemie (MSINFO32). Użyj dołączonych przykładowych poleceń programu PowerShell, aby sprawdzić stan aktualizacji bezpiecznego rozruchu oraz zinwentaryzować urządzenia w całej organizacji.

Uwaga

  • Te polecenia mają zastosowanie, jeśli stan bezpiecznego rozruchu jest włączony.
  • Aby wiele z tych poleceń działało, wymagane są uprawnienia administratora.

Przykładowy skrypt zbierania danych zapasów bezpiecznego rozruchu

Skopiuj i wklej ten przykładowy skrypt, a następnie zmodyfikuj go zgodnie z potrzebami danego środowiska: Przykładowy skrypt zbierania danych spisu bezpiecznego rozruchu.

Uwaga

  • Przykładowe dane wyjściowe:
  • {"UEFICA2023Status":"Zaktualizowano","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null,
    "AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS",
    "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true,
    "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName":
    "Microsoft Corporation","OEMModelSystemFamily":"Surface","OEMModelNumber":
    "Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"11/03/2025",
    "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId":
    1808,"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f",
    "Confidence":"UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB),
    3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null,
    "Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null,
    "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false,
    "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion":
    "10.0.26200","LastBootTime":"2026-02-19T04:28:00.50000000-08:00","BaseBoardManufacturer":
    "Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true,
    "SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}

Poziomy ufności bezpiecznego rozruchu

Poziom ufności Znaczenie Wymagane działanie
Wysoki poziom pewności Firma Microsoft potwierdziła, że ta klasa urządzeń jest bezpieczna dla aktualizacji Bezpieczne wdrażanie aktualizacji certyfikatu
Pod obserwacją — potrzeba więcej danych Firma Microsoft nadal zbiera dane diagnostyczne wdrożenia bezpiecznego rozruchu dotyczące tych urządzeń Poczekaj na klasyfikację firmy Microsoft
Nie zaobserwowano żadnych danych — wymagane działanie Klasa urządzenia nie jest znana firmie Microsoft Przedsiębiorstwo musi przeprowadzić testowanie i zaplanować wdrożenie
Chwilowo wstrzymane Znane problemy ze zgodnością Sprawdź dostępność aktualizacji systemu BIOS OEM; Poczekaj, aż firma Microsoft rozwiąże problem
Nieobsługiwane — znane ograniczenie Ograniczenia platformy lub sprzętu Dokument jako wyjątek

Pierwszym krokiem, jeśli bezpieczny rozruch jest włączony, jest sprawdzenie, czy istnieją oczekujące zdarzenia, które zostały ostatnio zaktualizowane lub są w trakcie aktualizowania certyfikatów bezpiecznego rozruchu. Szczególnie interesujące są ostatnie wydarzenia z lat 1801 i 1808. Te zdarzenia zostały szczegółowo opisane w temacie Zdarzenia aktualizacji zmiennych DBX i bezpiecznego rozruchu. Sprawdź również sekcję Monitorowanie i wdrażanie, aby dowiedzieć się, jak zdarzenia mogą wyświetlać stan oczekujących aktualizacji.

Następnym krokiem jest spis urządzeń w całej organizacji. Zbierz następujące szczegóły za pomocą poleceń programu PowerShell, aby utworzyć reprezentatywny przykład:

Uwaga

  • Identyfikatory podstawowe (2 wartości)
  • 1. HostName — $env: COMPUTERNAME
  • 2. Czas kolekcji — Get-Date
  • Rejestr: Klucz główny bezpiecznego rozruchu (3 wartości)
  • 3. SecureBootEnabled — polecenie cmdlet lub HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot Confirm-SecureBootUEFI
  • 4. HighConfidenceOptOut — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
  • 5. AvailableUpdates — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
  • Rejestr: Klucz obsługi (3 wartości)
  • Rozdział 6. UEFICA2023Status -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • 7. WindowsUEFICA2023Capable — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • Rozdział 8. UEFICA2023Error — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • Rejestr: Atrybuty urządzenia (7 wartości)
  • 9. OEMManufacturerName — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • Rozdział 10. OEMModelSystemFamily — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • Rozdział 11. OEMModelNumber — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • Rozdział 12. FirmwareVersion — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • Rozdział 13. FirmwareReleaseDate — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • Rozdział 14. OSArchitecture - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • Rozdział 15. CanAttemptUpdateAfter — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • Dzienniki zdarzeń: Dziennik systemu (5 wartości)
  • Rozdział 16. LatestEventId — ostatnie zdarzenie bezpiecznego rozruchu
  • Rozdział 17. BucketID — wyodrębnione ze zdarzenia 1801/1808
  • Rozdział 18. Ufność — wyodrębnione ze zdarzenia 1801/1808
  • Rozdział 19. Event1801Count — liczba zdarzeń
  • Rozdział 20. Event1808Count — liczba zdarzeń
  • Zapytania WMI/CIM (4 wartości)
  • Rozdział 21. OSVersion — Get-CimInstance Win32_OperatingSystem
  • Rozdział 22. LastBootTime — Get-CimInstance Win32_OperatingSystem
  • Rozdział 23. Producent płyt przypodłogowych — Get-CimInstance Win32_BaseBoard
  • Rozdział 24. BaseBoardProduct - Get-CimInstance Win32_BaseBoard
  •      25. (Get-CIMInstance Win32_ComputerSystem). Producent
  •      26. (Get-CIMInstance Win32_ComputerSystem). Wzór
  •     27. (Get-CIMInstance Win32_BIOS). Description + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString("MM/dd/yyyy")
  •     28. (Get-CIMInstance Win32_BaseBoard). Produkt

Zagadnienia dotyczące oprogramowania układowego

Wdrożenie nowych certyfikatów bezpiecznego rozruchu we flocie urządzeń wymaga, aby oprogramowanie układowe urządzenia odegrało rolę w ukończeniu aktualizacji. Firma Microsoft oczekuje, że większość oprogramowania układowego urządzeń będzie działać zgodnie z oczekiwaniami, jednak przed wdrożeniem nowych certyfikatów konieczne jest dokładne przetestowanie.

Przeanalizuj spis sprzętu i zbuduj małą, reprezentatywną próbkę urządzeń na podstawie następujących unikatowych kryteriów, takich jak:

  • Producent
  • Numer modelu
  • Wersja oprogramowania układowego
  • Wersja płyty przypodłogowej OEM itp.

Przed szeroko zakrojonym wdrożeniem na urządzeniach we flocie zalecamy przetestowanie aktualizacji certyfikatów na reprezentatywnych przykładowych urządzeniach (zgodnie z definicją producenta, modelu, wersji oprogramowania układowego), aby upewnić się, że aktualizacje są pomyślnie przetwarzane. Zalecane wskazówki dotyczące liczby przykładowych urządzeń do przetestowania dla każdej unikatowej kategorii to 4 lub więcej.

Pomoże to zbudować zaufanie do procesu wdrażania i pomoże uniknąć nieprzewidzianych skutków dla szerszej floty.

W niektórych przypadkach może być wymagana aktualizacja oprogramowania układowego w celu pomyślnego zaktualizowania certyfikatów bezpiecznego rozruchu. W takich przypadkach zalecamy skontaktowanie się z producentem OEM, aby sprawdzić, czy jest dostępne zaktualizowane oprogramowanie układowe.

System Windows w środowiskach wirtualizowanych

W przypadku systemu Windows działającego w środowisku wirtualnym istnieją dwie metody dodawania nowych certyfikatów do zmiennych oprogramowania układowego bezpiecznego rozruchu:

  • Twórca środowiska wirtualnego (AWS, Azure, Hyper-V, VMware itp.) może dostarczyć aktualizację środowiska i dołączyć nowe certyfikaty do zwirtualizowanego oprogramowania układowego. To działa w przypadku nowych zwirtualizowanych urządzeń.
  • W przypadku systemu Windows działającego przez długi czas na maszynie wirtualnej aktualizacje mogą być stosowane za pośrednictwem systemu Windows, tak jak każde inne urządzenie, o ile zwirtualizowane oprogramowanie układowe obsługuje aktualizacje bezpiecznego rozruchu.

Monitorowanie i wdrażanie

Zalecamy rozpoczęcie monitorowania urządzeń przed wdrożeniem, aby upewnić się, że monitorowanie działa prawidłowo i masz z wyprzedzeniem dobre rozeznanie stanu floty. Opcje monitorowania zostały omówione poniżej.

Firma Microsoft udostępnia wiele metod wdrażania i monitorowania aktualizacji certyfikatów bezpiecznego rozruchu.

Asysty zautomatyzowanego wdrażania

Firma Microsoft zapewnia dwie asysty w zakresie wdrażania. Asysty te mogą okazać się przydatne we wdrażaniu nowych certyfikatów we flocie. Tylko asystent kontrolowanego wprowadzania funkcji wymaga danych diagnostycznych.

  • Opcja aktualizacji zbiorczych z zasobnikami ufności: Firma Microsoft może automatycznie uwzględniać grupy urządzeń o wysokim poziomie pewności w comiesięcznych aktualizacjach na podstawie udostępnionych dotychczas danych diagnostycznych z korzyścią dla systemów i organizacji, które nie mogą udostępniać danych diagnostycznych. Ten krok nie wymaga włączenia danych diagnostycznych.

    • Organizacjom i systemom, które mogą udostępniać dane diagnostyczne, daje to firmie Microsoft widoczność i pewność, że urządzenia mogą pomyślnie wdrażać certyfikaty. Więcej informacji na temat włączania danych diagnostycznych można znaleźć w: Konfigurowanie danych diagnostycznych systemu Windows w organizacji. Tworzymy "zasobniki" dla każdego unikatowego urządzenia (zgodnie z atrybutami obejmującymi producenta, wersję płyty głównej, producenta oprogramowania układowego, wersję oprogramowania układowego i dodatkowe punkty danych). W przypadku każdego zasobnika monitorujemy dowody sukcesu na wielu urządzeniach. Gdy będziemy widzieć wystarczającą liczbę udanych aktualizacji i nie będzie żadnych błędów, uznamy ten zasobnik za "wysoki poziom zaufania" i uwzględnimy te dane w comiesięcznych aktualizacjach zbiorczych. Gdy comiesięczne aktualizacje są stosowane do urządzenia w zasobniku o wysokim poziomie pewności, system Windows automatycznie zastosuje certyfikaty do zmiennych bezpiecznego rozruchu UEFI w oprogramowaniu układowym.
    • Zasobniki o wysokim poziomie pewności obejmują urządzenia, które poprawnie przetwarzają aktualizacje. Oczywiście nie wszystkie urządzenia będą dostarczać dane diagnostyczne, co może ograniczyć zaufanie firmy Microsoft do zdolności urządzenia do prawidłowego przetwarzania aktualizacji.
    • Asysta jest domyślnie włączona dla urządzeń o wysokim poziomie pewności i może zostać wyłączona za pomocą ustawienia specyficznego dla urządzenia. Więcej informacji zostanie udostępnionych w przyszłych wersjach systemu Windows.
  • Controlled Feature Rollout (CFR): Zarejestruj urządzenia na potrzeby wdrożenia zarządzanego przez firmę Microsoft, jeśli włączono dane diagnostyczne.

    • System Controlled Feature Rollout (CFR) może być używany z urządzeniami klienckimi we flotach organizacji. Wymaga to, aby urządzenia wysyłały wymagane dane diagnostyczne do firmy Microsoft i sygnalizowały, że urządzenie zezwala na CFR na urządzeniu. Szczegółowe informacje na temat tego, jak się zarejestrować, opisano poniżej.

    • Firma Microsoft będzie zarządzać procesem aktualizacji tych nowych certyfikatów na urządzeniach z systemem Windows, na których dostępne są dane diagnostyczne, a urządzenia uczestniczą w kontrolowanym wprowadzaniu funkcji (CFR). Chociaż CFR może pomóc we wdrażaniu nowych certyfikatów, organizacje nie będą mogły polegać na CFR w zakresie naprawy swoich flot – będzie to wymagało wykonania kroków opisanych w tym dokumencie w sekcji dotyczącej metod wdrażania, które nie są objęte zautomatyzowaną pomocą.

    • Ograniczenia: Istnieje kilka powodów, dla których CFR może nie działać w Twoim środowisku. Na przykład:

      • Nie są dostępne żadne dane diagnostyczne lub nie można ich używać w ramach wdrożenia CFR.
      • Urządzenia nie są objęte obsługiwanymi wersjami klienckimi systemu Windows 11 i Windows 10 z dodatkowymi aktualizacjami zabezpieczeń (ESU).

Metody wdrażania, które nie są objęte zautomatyzowanymi asystami

Wybierz metodę najlepiej dopasowaną do Twojego środowiska. Unikaj mieszania metod na tym samym urządzeniu:

  • Klucze rejestru: kontroluj wdrażanie i monitoruj wyniki.
    Dostępnych jest wiele kluczy rejestru umożliwiających kontrolowanie zachowania wdrażania certyfikatów i monitorowanie wyników. Ponadto istnieją dwa klucze do wyrażenia zgody na pomoc we wdrażaniu i rezygnacji z opisanej powyżej. Aby uzyskać więcej informacji kluczy rejestru, zobacz Aktualizacje kluczy rejestru dla funkcji bezpiecznego rozruchu — urządzenia z systemem Windows z aktualizacjami zarządzanymi przez dział IT.

  • Zasady grupy obiektów (GPO): Zarządzanie ustawieniami; monitorowanie za pośrednictwem rejestru i dzienników zdarzeń.
    Firma Microsoft zapewni obsługę zarządzania aktualizacjami bezpiecznego rozruchu za pomocą zasady grupy w przyszłej aktualizacji. Należy pamiętać, że ponieważ zasady grupy dotyczą ustawień, monitorowanie stanu urządzenia będzie musiało być wykonywane przy użyciu alternatywnych metod, w tym monitorowania kluczy rejestru i wpisów dziennika zdarzeń.

  • Interfejs wiersza polecenia WinCS (system konfiguracji systemu Windows): Użyj narzędzi wiersza polecenia dla klientów przyłączonych do domeny.
    Administratorzy domeny mogą alternatywnie użyć systemu konfiguracji systemu Windows (WinCS) zawartego w aktualizacjach systemu operacyjnego Windows, aby wdrożyć aktualizacje bezpiecznego rozruchu na klientach i serwerach Windows przyłączonych do domeny. Składa się z szeregu narzędzi wiersza polecenia (zarówno tradycyjnego pliku wykonywalnego, jak i modułu programu PowerShell) do wykonywania zapytań i stosowania konfiguracji bezpiecznego rozruchu lokalnie na komputerze. Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

  • Microsoft Intune/Configuration Manager: Wdrażanie skryptów programu PowerShell. Dostawca usług konfiguracji (CSP) zostanie udostępniony w przyszłej aktualizacji, aby umożliwić wdrożenie przy użyciu usługi Intune.

Monitorowanie dzienników zdarzeń

Udostępniane są dwa nowe zdarzenia, aby pomóc we wdrażaniu aktualizacji certyfikatów bezpiecznego rozruchu. Te zdarzenia są szczegółowo opisane w zdarzeniach aktualizacji zmiennych DB i DBX bezpiecznego rozruchu:

  • Identyfikator zdarzenia: 1801
    To zdarzenie jest zdarzeniem błędu wskazującym, że zaktualizowane certyfikaty nie zostały zastosowane do urządzenia. To zdarzenie podaje pewne szczegóły specyficzne dla urządzenia, w tym atrybuty urządzenia, które pomogą skorelować, które urządzenia wymagają jeszcze aktualizacji.
  • Identyfikator zdarzenia: 1808
    To zdarzenie jest zdarzeniem informacyjnym wskazującym, że urządzenie ma wymagane nowe certyfikaty bezpiecznego rozruchu zastosowane do oprogramowania układowego urządzenia.

Strategie wdrażania

Aby zminimalizować ryzyko, wdrażaj aktualizacje bezpiecznego rozruchu etapami, a nie wszystkie naraz. Zacznij od małego podzestawu urządzeń, zweryfikuj wyniki, a następnie rozszerz na dodatkowe grupy. Sugerujemy, aby zacząć od podzbiorów urządzeń, a następnie w miarę nabywania pewności co do tych wdrożeń dodawać kolejne podzestawy urządzeń. Aby określić, co wchodzi w skład podzbioru, można wykorzystać wiele czynników, w tym wyniki testów na przykładowych urządzeniach, strukturę organizacyjną itp.

Decyzja o wdrożeniu urządzeń należy do Ciebie. Niektóre możliwe strategie są wymienione tutaj.

  • Duża flota urządzeń: zacznij od polegania na pomocnikach opisanych powyżej dla najczęściej zarządzanych urządzeń. Równolegle skoncentruj się na mniej typowych urządzeniach zarządzanych przez Twoją organizację. Przetestuj urządzenia z małymi próbkami i, jeśli test zakończy się pomyślnie, wdróż je na pozostałych urządzeniach tego samego typu. Jeśli testy powodują problemy, zbadaj przyczynę problemu i określ kroki korygujące. Warto również rozważyć klasy urządzeń, które mają wyższą wartość w Twojej flocie, i rozpocząć testy oraz wdrażanie, aby wcześnie upewnić się, że te urządzenia mają zaktualizowane zabezpieczenia.
  • Mała flota, duża różnorodność: Jeśli flota, którą zarządzasz, składa się z wielu różnych maszyn, w przypadku których testowanie poszczególnych urządzeń byłoby niemożliwe, rozważ poleganie w dużym stopniu na dwóch urządzeniach pomocniczych opisanych powyżej, zwłaszcza w przypadku urządzeń, które prawdopodobnie będą popularnymi urządzeniami na rynku. Na początek skoncentruj się na urządzeniach, które mają kluczowe znaczenie dla codziennej pracy, przetestuj, a następnie wdróż. Kontynuuj przesuwanie w dół listy urządzeń o wysokim priorytecie, testuj i wdrażaj, jednocześnie monitorując flotę, aby potwierdzić, że asysty pomagają z pozostałymi urządzeniami.

Uwagi

  • Zwróć uwagę na starsze urządzenia, zwłaszcza takie, które nie są już obsługiwane przez producenta. Mimo że oprogramowanie układowe powinno poprawnie wykonywać operacje aktualizacji, niektóre mogą nie być widoczne. W przypadku, gdy oprogramowanie układowe nie działa prawidłowo i urządzenie nie jest już obsługiwane, rozważ jego wymianę, aby zapewnić ochronę bezpiecznego rozruchu w całej flocie.
  • Nowe urządzenia wyprodukowane w ciągu ostatnich 1–2 lat mogą mieć już zaktualizowane certyfikaty, ale do systemu może nie być zastosowany menedżer rozruchu podpisany przez Windows UEFI CA 2023. Zastosowanie tego menedżera rozruchu jest krytycznym ostatnim krokiem we wdrażaniu dla każdego urządzenia.
  • Po wybraniu urządzenia do aktualizacji może upłynąć trochę czasu, zanim aktualizacje zostaną ukończone. Szacuje się, że potrzeba 48 godzin i co najmniej jednego ponownego uruchomienia, aby certyfikaty zostały zastosowane.

Często zadawane pytania (FAQ)

Aby zapoznać się z często zadawanymi pytaniami, zobacz artykuł Często zadawane pytania dotyczące bezpiecznego rozruchu .

Rozwiązywanie problemów

Więcej szczegółów można znaleźć w dokumencie dotyczącym rozwiązywania problemów .

Dodatkowe zasoby

Porada

Dodaj te dodatkowe zasoby do zakładek.