Se aplică la
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data inițială publicată: 26 iunie 2025

ID KB: 5062713

Acest articol conține instrucțiuni pentru:

Organizații (întreprinderi, firme mici și educație) cu dispozitive și actualizări Windows gestionate de IT.

Notă: dacă sunteți o persoană care deține un dispozitiv Windows personal, accesați articolul Dispozitive Windows pentru utilizatori la domiciliu, firme și școli cu actualizări gestionate de Microsoft.

Modificare dată

Modificare descriere

5 mai 2026

30 martie 2026

  • S-a remediat problema cunoscută, "Actualizările certificatului de bootare securizată pot să nu reușească cu ID-ul de eveniment 1795 pe mașinile virtuale Hyper-V"

24 martie 2026

  • S-a actualizat problema cunoscută, "Actualizările certificatului de bootare securizată pot să nu reușească cu ID-ul de eveniment 1795 pe mașinile virtuale Hyper-V"

16 martie 2026

  • S-a eliminat secțiunea "Date de încredere eșantion" de sub "Script de colectare date de inventar pentru bootare securizată eșantion", deoarece este depășită.

3 martie 2026

  • Reformatat eșantionul de ieșire sub secțiunea "Pregătire", astfel încât să rămână în casetă.

24 februarie 2026

  • S-a actualizat conținutul pentru "Exemplu de script de colectare a datelor de inventar pentru bootare securizată" sub secțiunea "Pregătire". 

  • S-a adăugat o nouă secțiune "Eșantion de ieșire" sub secțiunea "Pregătire".

23 februarie 2026

  • S-a actualizat conținutul pentru "Exemplu de script de colectare a datelor de inventar pentru bootare securizată" sub secțiunea "Pregătire".

13 februarie 2026

  • S-au adăugat elementele "Date de încredere eșantion" la secțiunea "Pregătire". 

  • S-a eliminat "scriptul de colecție pentru evenimentele în așteptare 1801 și 1808" din secțiunea "Pregătire", deoarece nu mai este necesar. 

3 februarie 2026

  • Au fost mutate și reformatate problemele uzuale din secțiunea Depanare.

  • S-a adăugat o nouă problemă comună: "Actualizările certificatului de bootare securizată pot să nu reușească cu ID-ul de eveniment 1795 pe mașinile virtuale Hyper-V".

26 ianuarie 2026

  • S-a actualizat textul de sub "Asistență implementare automată" de la "Ambele asistări necesită date de diagnosticare". la "Doar asistența controlată pentru implementarea caracteristicilor necesită date de diagnostic.

11 noiembrie 2025

S-au corectat două greșeli de tastare sub "Suport de implementare certificat de bootare securizată".

  • 0x0800 - Numele certificatului a fost modificat de la "Microsoft UEFI CA 2023" la "Microsoft Option ROM UEFI CA 2023".​​​​​​​

  • 0x1000 - Modificat "Microsoft Option ROM CA 2023" în "Microsoft UEFI CA 2023".

10 noiembrie 2025

  • Corectate două greșeli de tastare sub "New Certificate": de la "Microsoft Corporation KEK CA 2023" la "Microsoft Corporation KEK 2K CA 2023" și de la "Microsoft Option ROM CA 2023" la "Microsoft Option ROM UEFI CA 2023".

  • Au fost adăugate scripturi PowerShell noi sub anteturile "Verificarea stării bootării securizate în flota dvs.: Este activată bootarea sigură? " și "Pregătire".

În acest articol:

Prezentare generală

Acest articol este destinat organizațiilor cu profesioniști IT dedicați care gestionează în mod activ actualizările în flota de dispozitive. Cea mai mare parte a acestui articol se va concentra pe activitățile necesare pentru ca departamentul IT al unei organizații să aibă succes în implementarea noilor certificate de bootare securizată. Printre aceste activități se numără testarea firmware-ului, monitorizarea actualizărilor dispozitivelor, inițierea implementării și diagnosticarea problemelor pe măsură ce apar. Sunt prezentate mai multe metode de implementare și monitorizare. În plus față de aceste activități de bază, oferim mai multe ajutoare de implementare, inclusiv opțiunea de a opta pentru dispozitive client pentru participarea la un set controlat de caracteristici (CFR) special pentru implementarea certificatelor.

Fișa de redare a implementării pentru profesioniștii IT 

Planificați și efectuați actualizări ale certificatului de boot securizat în întreaga flotă de dispozitive, prin pregătire, monitorizare, implementare și remediere.

Verificarea stării Secure Boot în flota dvs.: Bootarea sigură este activată? 

Majoritatea dispozitivelor fabricate începând cu 2012 au suport pentru Bootare sigură și sunt livrate cu Secure Boot activat. Pentru a verifica dacă un dispozitiv are Secure Boot activat, alegeți una dintre următoarele variante: 

  • Metodă GUI: Accesați Start setări > >Securitate & confidențialitate> Securitate Windows > Securitate dispozitive. Sub Securitate dispozitiv, secțiunea Bootare sigură ar trebui să indice faptul că este activată bootarea sigură.

  • Metodă linie de comandă: Într-o linie de comandă cu drepturi sporite în PowerShell, tastați Confirmare-SecureBootUEFI, apoi apăsați enter. Comanda ar trebui să returneze True, indicând faptul că este activată bootarea sigură.

În implementările la scară largă pentru o flotă de dispozitive, software-ul de gestionare utilizat de profesioniștii IT va trebui să furnizeze o verificare pentru activarea bootării securizate. 

De exemplu, metoda de a verifica starea bootării securizate pe dispozitivele gestionate de Microsoft Intune este să creați și să implementați un script de conformitate particularizat Intune. Intune setările de conformitate sunt descrise în Utilizarea setărilor de conformitate particularizate pentru dispozitivele Linux și Windows cu Microsoft Intune.  

Exemplu de script Powershell pentru a verifica dacă este activată bootul securizat:

# Initialize result object in preparation for checking Secure Boot state 

$result = [PSCustomObject]@{ 

   SecureBootEnabled = $null 

  

try { 

   $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 

   Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 

} catch { 

   $result.SecureBootEnabled = $null 

   Write-Warning "Unable to determine Secure Boot status: $_" 

Dacă opțiunea Bootare sigură nu este activată, puteți omite pașii de actualizare de mai jos, deoarece aceștia nu se aplică.

Cum sunt implementate actualizările

Există mai multe modalități de a direcționa dispozitivele pentru actualizările certificatului secure Boot. Detaliile de implementare, inclusiv setările și evenimentele, vor fi discutate mai târziu în acest document. Atunci când direcționați un dispozitiv pentru actualizări, se face o setare pe dispozitiv pentru a indica faptul că dispozitivul ar trebui să înceapă procesul de aplicare a noilor certificate. O activitate planificată rulează pe dispozitiv la fiecare 12 ore și detectează că dispozitivul a fost direcționat pentru actualizări. O schiță a ceea ce face activitatea este după cum urmează:

  1. Windows UEFI CA 2023 se aplică la baza de date.

  2. Dacă dispozitivul are Microsoft Corporation UEFI CA 2011 în DB, atunci activitatea aplică Microsoft Option ROM UEFI CA 2023 și Microsoft UEFI CA 2023 la DB.

  3. Activitatea adaugă apoi Microsoft Corporation KEK 2K CA 2023.

  4. În sfârșit, activitatea programată actualizează managerul de boot Windows la cel semnat de Windows UEFI CA 2023. Windows va detecta că este necesară o repornire înainte de a putea aplica managerul de boot. Actualizarea managerului de boot va fi amânată până când repornirea are loc în mod natural (de exemplu, atunci când se aplică actualizări lunare), apoi Windows va încerca din nou să aplice actualizarea managerului de boot.

Fiecare dintre pașii de mai sus trebuie finalizat cu succes înainte ca activitatea planificată să se mute la pasul următor. În timpul acestui proces, jurnalele de evenimente și alte stări vor fi disponibile pentru a ajuta la monitorizarea implementării. Mai multe detalii despre monitorizare și jurnalele de evenimente sunt furnizate mai jos.  

Actualizarea certificatelor secure boot permite o actualizare viitoare a Managerului de boot 2023, care este mai sigură. Actualizările specifice ale Managerului de boot vor fi în edițiile viitoare.

Pașii de implementare 

  • Pregătire: inventar și dispozitive de testare.

  • Considerații legate de firmware

  • Monitorizare: Verificați lucrările de monitorizare și referința flotei dvs.

  • Implementare: dispozitive țintă pentru actualizări, începând cu subseturi mici și extinzând pe baza testelor reușite.

  • Remediere: investigați și rezolvați orice probleme utilizând asistența pentru jurnale și furnizori.

Pregătirea 

Hardware și firmware de inventar. Construiți un eșantion reprezentativ de dispozitive bazate pe producătorul sistemului, modelul de sistem, versiunea/data BIOS, versiunea produsului BaseBoard etc. și testați actualizările pe aceste dispozitive înainte de o implementare extinsă.  Acești parametri sunt disponibili de obicei în informațiile de sistem (MSINFO32). Utilizați comenzile PowerShell eșantion incluse pentru a verifica starea actualizării bootării securizate și pentru dispozitivele de inventar din organizația dvs.

Note: 

  • Aceste comenzi se aplică dacă este activată starea Secure Boot.

  • Multe dintre aceste comenzi au nevoie de privilegii de administrator pentru a funcționa.

Sample Secure Boot Inventory Data Collection script

Copiați și lipiți acest script eșantion și modificați după cum este necesar pentru mediul dvs.: Scriptul de colectare a datelor de inventar pentru bootare securizată eșantion.

Eșantion ieșire:

{"UEFICA2023Status":"Updated","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null, "AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS", "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true, "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName": "Microsoft Corporation","OEMModelSystemFamily":"Surface","OEMModelNumber": "Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"03.11.2025", "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId": 1808,"BucketId":"04b339674931caf378feadaa64c64f061327f70a7cd7258be63bb9e2d81767f", "Confidence":"UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null, "Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null, "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false, "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion": "10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer": "Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true, "SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}

Niveluri de încredere pentru bootare securizată

Nivel de încredere

Sensul

Acțiune necesară

Nivel înalt de încredere

Microsoft a validat că această clasă de dispozitiv este sigură pentru actualizări

Se pot implementa actualizări de certificate în siguranță

Sub observație - Mai multe date necesare

Microsoft colectează în continuare date de diagnosticare secure boot roll out despre aceste dispozitive

Așteptați clasificarea Microsoft

Nicio dată observată - Acțiune necesară

Clasa dispozitivului nu este cunoscută de Microsoft

Enterprise trebuie să testați și să planificați implementarea

În pauză temporară

Probleme cunoscute de compatibilitate

Căutați actualizareA BIOS OEM; Așteptați ca Microsoft să se rezolve

Neacceptat - Limitare cunoscută

Limitări de platformă sau hardware

Document ca excepție

Primul pas dacă este activat Secure Boot este să verificați dacă există evenimente în așteptare care au fost actualizate recent sau în procesul de actualizare a certificatelor Secure Boot. De interes specific sunt evenimentele cele mai recente din 1801 și 1808. Aceste evenimente sunt descrise în detaliu în evenimentele de actualizare a variabilei Secure Boot DB și DBX. De asemenea, consultați secțiunea Monitorizare și implementare pentru a afla cum pot afișa evenimentele starea actualizărilor în așteptare.  

Următorul pas este să inventariați dispozitive din întreaga organizație. Colectați următoarele detalii cu ajutorul comenzilor PowerShell pentru a construi un eșantion reprezentativ: 

Identificatori de bază (2 valori)

      1. HostName - $env: NUMECOMPUTER 

      2. CollectionTime - Get-Date 

Registry: cheia principală Secure Boot (3 valori) 

     3. SecureBootEnabled - cmdlet sau HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot Confirm-SecureBootUEFI

     4. HighConfidenceOptOut - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     5. AvailableUpdates - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Registry: cheie de servicii (3 valori) 

     6. UEFICA2023Status -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     7. WindowsUEFICA2023Capable - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     8. UEFICA2023Error - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Registry: Atribute dispozitiv (7 valori) 

      9. OEMManufacturerName - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     10. OEMModelSystemFamily - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     11. OEMModelNumber - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     12. FirmwareVersion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     13. FirmwareReleaseDate - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     14. OSArchitecture - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     15. CanAttemptUpdateAfter - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

Jurnale de evenimente: Jurnal de sistem (5 valori) 

     16. LatestEventId - cel mai recent eveniment Secure Boot 

     17. BucketID - extras din evenimentul 1801/1808 

     18. Încredere - extras din evenimentul 1801/1808 

     19. Evenimentul1801Count - numărul de evenimente 

     20. Eveniment1808Count - numărul de evenimente 

Interogări WMI/CIM (4 valori) 

     21. OSVersion - Get-CimInstance Win32_OperatingSystem 

     22. LastBootTime - Get-CimInstance Win32_OperatingSystem 

     23. BaseBoardManufacturer - Get-CimInstance Win32_BaseBoard 

     24. BaseBoardProduct - Get-CimInstance Win32_BaseBoard 

     25. (Get-CIMInstance Win32_ComputerSystem). Producator  

     26. (Get-CIMInstance Win32_ComputerSystem). Model  

    27. (Get-CIMInstance Win32_BIOS). Description + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString("LL/dd/yyyy")  

    28. (Get-CIMInstance Win32_BaseBoard). Produs  

Considerații legate de firmware

Implementarea noilor certificate Secure Boot pentru flota de dispozitive necesită ca firmware-ul dispozitivului să joace un rol în finalizarea actualizării. Deși Microsoft se așteaptă ca majoritatea firmware-ului dispozitivului să funcționeze așa cum vă așteptați, este necesară o testare atentă înainte de a implementa noile certificate.

Examinați inventarul de hardware și construiți un eșantion mic, reprezentativ de dispozitive, pe baza următoarelor criterii unice, cum ar fi: 

  • Producător

  • Număr model

  • Versiune firmware

  • Versiunea OEM a tablei de bază etc.

Înainte de a implementa pe scară largă pe dispozitivele din flota dvs., vă recomandăm să testați actualizările certificatelor pe dispozitive eșantion reprezentative (așa cum sunt definite de factori precum producătorul, modelul, versiunea de firmware) pentru a vă asigura că actualizările sunt procesate cu succes. Îndrumările recomandate privind numărul de dispozitive eșantion de testat pentru fiecare categorie unică sunt de 4 sau mai multe.

Acest lucru va contribui la consolidarea încrederii în procesul de implementare și va ajuta la evitarea impactului neprevăzut asupra flotei mai largi. 

În unele cazuri, poate fi necesară o actualizare de firmware pentru a actualiza cu succes certificatele Secure Boot. În aceste cazuri, vă recomandăm să consultați producătorul OEM al dispozitivului pentru a vedea dacă este disponibil firmware actualizat.

Windows în medii virtualizate

Pentru Windows care rulează într-un mediu virtual, există două metode de adăugare a noilor certificate la variabilele de firmware Secure Boot:  

  • Creatorul mediului virtual (AWS, Azure, Hyper-V, VMware etc.) poate oferi o actualizare pentru mediu și poate include noile certificate în firmware-ul virtualizat. Acest lucru ar funcționa pentru noile dispozitive virtualizate.

  • Pentru Windows care rulează pe termen lung într-o mașină virtuală, actualizările pot fi aplicate prin Windows la fel ca orice alte dispozitive, dacă firmware-ul virtualizat acceptă actualizări secure Boot.

Monitorizare și implementare 

Vă recomandăm să începeți monitorizarea dispozitivului înainte de implementare, pentru a vă asigura că monitorizarea funcționează corect și că aveți un bun simț pentru starea flotei în avans. Opțiunile de monitorizare sunt discutate mai jos. 

Microsoft oferă mai multe metode pentru implementarea și monitorizarea actualizărilor certificatelor de bootare securizată.

Asistență pentru implementarea automată 

Microsoft oferă două asistență pentru implementare. Aceste asistenți se pot dovedi utile pentru a ajuta la implementarea noilor certificate pentru flota dvs. Doar asistența pentru implementarea controlată a caracteristicilor necesită date de diagnostic.

  • Opțiune pentru actualizări cumulative cu bucketuri de încredere: Microsoft poate include automat grupuri de dispozitive de mare încredere în actualizările lunare, pe baza datelor de diagnosticare partajate până în prezent, pentru a beneficia de sistemele și organizațiile care nu pot partaja date de diagnosticare. Acest pas nu necesită activarea datelor de diagnosticare.

    • Pentru organizațiile și sistemele care pot partaja date de diagnosticare, oferă Microsoft vizibilitatea și încrederea că dispozitivele pot implementa cu succes certificatele. Sunt disponibile mai multe informații despre activarea datelor de diagnosticare în: Configurarea datelor de diagnosticare Windows în organizația dvs. Creăm "bucketuri" pentru fiecare dispozitiv unic (așa cum sunt definite de atributele care includ producătorul, versiunea plăcii de bază, producătorul firmware-ului, versiunea firmware și puncte de date suplimentare). Pentru fiecare recipient, monitorizăm dovezile succesului pe mai multe dispozitive. După ce am văzut suficiente actualizări de succes și nicio eroare, vom lua în considerare bucketul "nivel înalt de încredere" și vom include datele respective în actualizările cumulative lunare. Atunci când sunt aplicate actualizări lunare la un dispozitiv într-un bucket de mare încredere, Windows va aplica automat certificatele variabilelor de boot secure UEFI în firmware.

    • Bucketurile de mare încredere includ dispozitivele care procesează corect actualizările. Desigur, nu toate dispozitivele vor furniza date de diagnosticare, iar acest lucru poate limita încrederea Microsoft în capacitatea unui dispozitiv de a procesa corect actualizările.

    • Această asistență este activată în mod implicit pentru dispozitivele de mare încredere și poate fi dezactivată cu o setare specifică dispozitivului. Mai multe informații vor fi partajate în edițiile windows viitoare.

  • Lansare controlată a caracteristicilor (CFR):  Optați pentru dispozitive pentru implementarea gestionată de Microsoft dacă sunt activate datele de diagnosticare.

    • Lansarea controlată a caracteristicilor (CFR) poate fi utilizată cu dispozitive client din flotele de organizații. Acest lucru necesită ca dispozitivele să trimită date de diagnosticare necesare la Microsoft și să fi indicat că dispozitivul optează să permită CFR pe dispozitiv. Detalii despre cum să vă înscrieți sunt descrise mai jos.

    • Microsoft va gestiona procesul de actualizare pentru aceste certificate noi pe dispozitivele Windows unde sunt disponibile date de diagnosticare și dispozitivele participă la lansarea controlată a caracteristicilor (CFR). Deși CFR poate ajuta la implementarea noilor certificate, organizațiile nu se vor putea baza pe CFR pentru a-și remedia flotele- va fi necesar să urmați pașii subliniați în acest document în secțiunea despre Metodele de implementare neacoperite de asistența automată.

    • Limitări: Există câteva motive pentru care CFR poate să nu funcționeze în mediul dvs. De exemplu:

      • Nu sunt disponibile date de diagnosticare sau datele de diagnosticare nu se pot utiliza ca parte a implementării CFR.

      • Dispozitivele nu se află în versiunile de client acceptate de Windows 11 și Windows 10 cu actualizări de securitate extinse (ESU).

Metodele de implementare neacoperite de asistența automată

Alegeți metoda care se potrivește mediului dvs. Evitați amestecarea metodelor pe același dispozitiv: 

  • Chei de registry: controlați implementarea și monitorizați rezultatele.Există mai multe chei de registry disponibile pentru controlul comportamentului implementării certificatelor și pentru monitorizarea rezultatelor. În plus, există două chei pentru a renunța la ajutoarele de implementare descrise mai sus. Pentru mai multe informații despre cheile de registry, consultați Cheia de registry Actualizări pentru Bootare sigură - dispozitive Windows cu actualizări gestionate de IT.

  • Politică de grup Objects (GPO): Gestionați setările; monitorizați prin jurnale de registry și evenimente.Microsoft va oferi asistență pentru gestionarea actualizărilor secure Boot utilizând Politică de grup într-o actualizare viitoare. Rețineți că, deoarece Politică de grup este pentru setări, monitorizarea stării dispozitivului va trebui efectuată utilizând metode alternative, inclusiv monitorizarea cheilor de registry și a intrărilor din jurnalul de evenimente.

  • WinCS (Sistem de configurare Windows) CLI: Utilizați instrumente în linia de comandă pentru clienții asociați la domeniu.Ca alternativă, administratorii de domeniu pot utiliza sistemul de configurare Windows (WinCS) inclus în actualizările sistemului de operare Windows pentru a implementa actualizările bootării securizate pe toți clienții și serverele Windows asociate la domeniu. Aceasta constă dintr-o serie de utilitare de linie de comandă (atât un executabil tradițional, cât și un modul PowerShell) pentru a interoga și a aplica local configurațiile Secure Boot pe o mașină. Pentru mai multe informații, consultați următoarele articole:

  • Microsoft Intune/Configuration Manager: Implementați scripturi PowerShell. Un Furnizor de servicii de configurare (CSP) va fi furnizat într-o actualizare viitoare pentru a permite implementarea utilizând Intune.

Monitorizarea jurnalelor de evenimente

Două evenimente noi sunt furnizate pentru a ajuta la implementarea actualizărilor certificatului de bootare securizată. Aceste evenimente sunt descrise în detaliu în evenimentele de actualizare a variabilei Secure Boot DB și DBX

  • ID eveniment: 1801 Acest eveniment este un eveniment de eroare care indică faptul că certificatele actualizate nu au fost aplicate la dispozitiv. Acest eveniment oferă câteva detalii specifice dispozitivului, inclusiv atributele dispozitivului, care vă vor ajuta să corelați dispozitivele care trebuie în continuare actualizate.

  • ID eveniment: 1808 Acest eveniment este un eveniment informativ care indică faptul că dispozitivul are noile certificate Secure Boot necesare aplicate la firmware-ul dispozitivului.

Strategii de implementare 

Pentru a minimiza riscul, implementați actualizări secure Boot în etape, nu simultan. Începeți cu un subset mic de dispozitive, validați rezultatele, apoi extindeți la grupuri suplimentare. Vă sugerăm să începeți cu subseturi de dispozitive și, pe măsură ce câștigați încredere în aceste implementări, adăugați subseturi suplimentare de dispozitive. Mai mulți factori pot fi utilizați pentru a determina ce intră într-un subset, inclusiv rezultatele testelor pe dispozitivele eșantion și structura organizației etc. 

Decizia cu privire la dispozitivele pe care le implementați depinde de dvs. Câteva strategii posibile sunt listate aici. 

  • Flota mare de dispozitive: începeți prin a vă baza pe asistența descrisă mai sus pentru cele mai comune dispozitive pe care le gestionați. În paralel, concentrați-vă pe dispozitivele mai puțin comune gestionate de organizația dvs. Testați dispozitive mici eșantion și, dacă testarea reușește, implementați pe restul dispozitivelor de același tip. Dacă testarea produce probleme, investigați cauza problemei și determinați pașii de remediere. De asemenea, se recomandă să luați în considerare clasele de dispozitive care au o valoare mai mare în flota dvs. și să începeți testarea și implementarea, pentru a vă asigura că dispozitivele respective au o protecție actualizată la început.

  • Flota mica, o mare varietate: Dacă flota pe care o gestionați conține o mare varietate de mașini în care testarea dispozitivelor individuale ar fi prohibitivă, luați în considerare să vă bazați pe cele două asistări descrise mai sus, mai ales pentru dispozitivele care ar putea fi dispozitive comune pe piață. Inițial, concentrați-vă pe dispozitivele care sunt esențiale pentru funcționarea de zi cu zi, testați și apoi implementați. Continuați mutarea în jos a listei de dispozitive cu înaltă prioritate, testarea și implementarea în timp ce monitorizarea flotei pentru a confirma că asistența sunt de ajutor cu restul dispozitivelor.

Note 

  • Fiți atent la dispozitivele mai vechi, în special la dispozitivele care nu mai sunt acceptate de producător. Deși firmware-ul ar trebui să efectueze corect operațiunile de actualizare, este posibil ca unele să nu funcționeze. În cazurile în care firmware-ul nu funcționează corect și dispozitivul nu mai este în asistență, luați în considerare înlocuirea dispozitivului pentru a asigura protecția Secure Boot în întreaga flotă.

  • Noile dispozitive fabricate în ultimii 1-2 ani pot avea deja instalate certificatele actualizate, dar este posibil să nu aibă managerul de boot semnat Windows UEFI CA 2023 aplicat la sistem. Aplicarea acestui manager de boot este un ultim pas critic în implementarea pentru fiecare dispozitiv.

  • După ce un dispozitiv a fost selectat pentru actualizări, poate dura un timp înainte ca actualizările să se finalizeze. Estimați 48 de ore și una sau mai multe reporniri pentru certificatele de aplicat.

Întrebări frecvente (Întrebări frecvente)

Pentru întrebări frecvente, consultați articolul Întrebări frecvente despre bootul securizat .

Depanare

Consultați documentul Depanare pentru mai multe detalii.

Resurse suplimentare

Sfat: Marcați aceste resurse suplimentare.

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate