Introdução
As atualizações do Windows lançadas em e após 13 de fevereiro de 2024 incluem a capacidade de aplicar o certificado WINDOWS UEFI CA 2023 ao DB (Banco de Dados de Assinatura Permitido de Inicialização Segura) da UEFI. A atualização do DB permitirá que os dispositivos recebam atualizações futuras do carregador de inicialização incluídas em atualizações mensais.
Isso é importante porque o certificado existente expirará e migrar para o novo certificado é a primeira etapa na preparação de dispositivos para trabalhar com as próximas atualizações do carregador de inicialização que serão assinadas criptograficamente usando o novo certificado.
Atualizações para o DB são conhecidos por ter problemas de compatibilidade com alguns dispositivos. Para facilitar a distribuição para dispositivos Windows, a atualização para o DB não se aplica automaticamente. Para ambientes corporativos, é importante ter uma distribuição controlada da atualização após uma validação cuidadosa com dispositivos representativos presentes no ambiente para evitar qualquer interrupção.
Para obter uma explicação detalhada, consulte Atualizando as chaves de inicialização seguras da Microsoft.
Tome medidas
Implante a atualização do DB em dispositivos de teste de exemplo representativos seguindo as diretrizes de implantação fornecidas em Atualizar chaves de inicialização seguras da Microsoft.
Depois que um dispositivo de teste atualizar com êxito o DB, deve ser seguro distribuir a atualização de DB para dispositivos com a mesma configuração de hardware e firmware. Você pode fazer isso definindo a seguinte chave do registro usando software de implantação, como Política de Grupo ou MDM (gerenciamento de dispositivo móvel):
Caminho do registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Nome: AvailableUpdates
Valor: 0x40
Depois que o dispositivo for reiniciado, o BD deve ser atualizado. Em alguns casos, uma segunda reinicialização pode ser necessária.
Problemas conhecidos
Problema |
Próxima etapa |
No momento, os dispositivos baseados em ARM64 estão impedidos de aplicar a atualização do DB. |
A Microsoft está trabalhando com fornecedores de dispositivos OEM para atualizar seu firmware para resolver um problema com firmware baseado em ARM64. |