Wprowadzenie
Aktualizacje systemu Windows wydane 13 lutego 2024 r. obejmują możliwość zastosowania certyfikatu WINDOWS UEFI CA 2023 do bazy danych UEFI Secure Boot Allowed Signature Database (DB). Aktualizacja bazy danych umożliwi urządzeniom otrzymywanie przyszłych aktualizacji modułu ładującego rozruch, które są zawarte w comiesięcznych aktualizacjach.
Jest to ważne, ponieważ istniejący certyfikat wygaśnie, a przejście do nowego certyfikatu jest pierwszym krokiem w przygotowaniu urządzeń do współpracy z nadchodzącymi aktualizacjami modułu ładującego rozruchu, które zostaną podpisane kryptograficznie przy użyciu nowego certyfikatu.
Wiadomo, że aktualizacje bazy danych mają problemy ze zgodnością z niektórymi urządzeniami. Aby ułatwić wdrożenie na urządzeniach z systemem Windows, aktualizacja bazy danych nie jest stosowana automatycznie. W środowiskach przedsiębiorstw ważne jest, aby mieć kontrolowane wdrożenie aktualizacji po starannej weryfikacji z reprezentatywnymi urządzeniami obecnymi w środowisku, aby uniknąć zakłóceń.
Aby uzyskać szczegółowe objaśnienie, zobacz Aktualizowanie kluczy bezpiecznego rozruchu firmy Microsoft.
Podejmij działanie
Wdróż aktualizację bazy danych na reprezentatywnych przykładowych urządzeniach testowych, postępjąc zgodnie ze wskazówkami dotyczącymi wdrażania zawartymi w artykule Aktualizowanie kluczy bezpiecznego rozruchu firmy Microsoft.
Po pomyślnej aktualizacji bazy danych na urządzeniu testowym powinno być bezpieczne wdrożenie aktualizacji bazy danych na urządzeniach z tą samą konfiguracją sprzętu i oprogramowania układowego. Możesz to zrobić, ustawiając następujący klucz rejestru przy użyciu oprogramowania wdrażania, takiego jak zasady grupy lub zarządzanie urządzeniami przenośnymi (MDM):
Ścieżka rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Nazwa: DostępneUpdates
Wartość: 0x40
Po ponownym uruchomieniu urządzenia baza danych powinna zostać zaktualizowana. W niektórych przypadkach może być wymagane ponowne uruchomienie komputera.
Znane problemy
Aby poznać znane problemy z tą aktualizacją, zobacz sekcję Znane problemy w KB5025885: Jak zarządzać odwołaniami Menedżera rozruchu systemu Windows w przypadku zmian bezpiecznego rozruchu skojarzonych z CVE-2023-24932.