Применяется к
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Дата публикации: 26 июня 2025 г.

Идентификатор базы знаний: 5062713

В этой статье содержатся рекомендации по следующим вопросам:

Организации (предприятия, малые предприятия и учебные заведения) с управляемыми ИТ-клиентами устройствами и обновлениями Windows.

Примечание. Если вы являетесь владельцем личного устройства Windows, перейдите к статье Устройства Windows для домашних пользователей, предприятий и учебных заведений с обновлениями под управлением Майкрософт.

Дата изменения

Описание изменений

5 мая 2026 г.

30 марта 2026 г.

  • Устранена известная проблема : "Обновление сертификата безопасной загрузки может завершиться ошибкой с идентификатором события 1795 на виртуальных машинах Hyper-V"

24 марта 2026 г.

  • Обновлена известная проблема : "Обновление сертификата безопасной загрузки может завершиться ошибкой с идентификатором события 1795 на виртуальных машинах Hyper-V"

16 марта 2026 г.

  • Удален раздел "Пример данных достоверности" в разделе "Пример сценария сбора данных инвентаризации безопасной загрузки", так как он устарел.

3 марта 2026 г.

  • Переформатировал выходные данные примера в разделе "Подготовка", чтобы он оставался в поле.

24 февраля 2026 г.

  • Обновлено содержимое для "Пример сценария сбора данных безопасной загрузки инвентаризации" в разделе "Подготовка". 

  • Добавлен новый раздел "Пример выходных данных" в разделе "Подготовка".

23 февраля 2026 г.

  • Обновлено содержимое для "Пример сценария сбора данных безопасной загрузки инвентаризации" в разделе "Подготовка".

13 февраля 2026 г.

  • Добавлены элементы "Примеры данных достоверности" в раздел "Подготовка". 

  • Удален скрипт сбора для ожидающих событий 1801 и 1808 из раздела Подготовка, так как он больше не нужен. 

3 февраля 2026 г.

  • Перемещены и переформатированы распространенные проблемы в разделе Устранение неполадок.

  • Добавлена новая распространенная проблема: "Обновление сертификата безопасной загрузки может завершиться ошибкой с идентификатором события 1795 на виртуальных машинах Hyper-V".

26 января 2026 г.

  • Обновлен текст в разделе "Помощь по автоматическому развертыванию" с "Для обеих вспомогательных служб требуются диагностические данные" на "Только для поддержки управляемого развертывания компонентов требуются диагностические данные.

11 ноября 2025 г.

Исправлены две опечатки в разделе "Поддержка развертывания сертификатов безопасной загрузки".

  • 0x0800 - Имя сертификата было изменено с "Microsoft UEFI CA 2023" на "Microsoft Option ROM UEFI CA 2023".​​​​​​​

  • 0x1000 — изменено значение "Microsoft Option ROM CA 2023" на "Microsoft UEFI CA 2023".

10 ноября 2025 г.

  • Исправлены две опечатки в разделе "Новый сертификат": от "Microsoft Corporation KEK CA 2023" до "Microsoft Corporation KEK 2K CA 2023" и от "Microsoft Option ROM CA 2023" до "Microsoft Option ROM UEFI CA 2023".

  • Новые скрипты PowerShell были добавлены под заголовками "Проверка состояния безопасной загрузки в вашем парке: включена ли безопасная загрузка?" и "Подготовка".

В этой статье:

Обзор

Эта статья предназначена для организаций с выделенными ИТ-специалистами, которые активно управляют обновлениями в своем парке устройств. Большая часть этой статьи посвящена действиям, необходимым ИТ-отделу организации для успешного развертывания новых сертификатов безопасной загрузки. Эти действия включают тестирование встроенного ПО, мониторинг обновлений устройств, инициализацию развертывания и диагностику возникающих проблем. Представлено несколько методов развертывания и мониторинга. В дополнение к этим основным действиям мы предлагаем несколько вспомогательных средств по развертыванию, включая возможность выбора клиентских устройств для участия в управляемом развертывании компонентов (CFR) специально для развертывания сертификатов.

Сборник схем развертывания для ИТ-специалистов 

Планируйте и выполняйте обновления сертификатов безопасной загрузки во всем парке устройств путем подготовки, мониторинга, развертывания и исправления.

Проверка состояния безопасной загрузки в вашем парке: включена ли безопасная загрузка? 

Большинство устройств, выпущенных с 2012 года, поддерживают безопасную загрузку и поставляются с включенной безопасной загрузкой. Чтобы убедиться, что на устройстве включена безопасная загрузка, выполните одно из следующих действий. 

  • Метод графического пользовательского интерфейса: Перейдите в раздел Пуск > Параметры > Конфиденциальность & безопасность > Безопасность Windowsбезопасность > устройства. В разделе Безопасность устройства в разделе Безопасная загрузка должно быть указано, что безопасная загрузка включена.

  • Метод командной строки: В командной строке с повышенными привилегиями в PowerShell введите Confirm-SecureBootUEFI и нажмите клавишу ВВОД. Команда должна возвращать значение True, указывающее, что безопасная загрузка включена.

В крупномасштабных развертываниях для парка устройств программное обеспечение для управления, используемое ИТ-специалистами, будет необходимо предоставить проверка для включения безопасной загрузки. 

Например, метод проверка состояния безопасной загрузки на устройствах, управляемых Microsoft Intune, заключается в создании и развертывании пользовательского скрипта соответствия Intune. Intune параметры соответствия описаны в разделе Использование настраиваемых параметров соответствия для устройств Linux и Windows с Microsoft Intune.  

Пример скрипта PowerShell для проверка, если включена безопасная загрузка:  

# Initialize result object in preparation for checking Secure Boot state 

$result = [PSCustomObject]@{ 

   SecureBootEnabled = $null 

  

try { 

   $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 

   Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 

} catch { 

   $result.SecureBootEnabled = $null 

   Write-Warning "Unable to determine Secure Boot status: $_" 

Если безопасная загрузка не включена, можно пропустить приведенные ниже действия по обновлению, так как они неприменимы.

Развертывание обновлений

Существует несколько способов назначения устройств для обновлений сертификатов безопасной загрузки. Сведения о развертывании, включая параметры и события, будут рассмотрены далее в этом документе. При выборе устройства для обновлений на устройстве делается параметр, указывающий, что устройство должно начать процесс применения новых сертификатов. Запланированная задача выполняется на устройстве каждые 12 часов и обнаруживает, что устройство предназначено для обновлений. Схема выполнения задачи выглядит следующим образом:

  1. К базе данных применяется ЦС Windows UEFI 2023.

  2. Если устройство имеет microsoft Corporation UEFI CA 2011 в базе данных, то задача применяет к базе данных UEFI CA 2023 и MICROSOFT UEFI CA 2023.

  3. Затем задача добавляет microsoft Corporation KEK 2K CA 2023.

  4. Наконец, запланированная задача обновляет диспетчер загрузки Windows до того, который подписан windows UEFI CA 2023. Windows обнаружит, что перед применением диспетчера загрузки требуется перезагрузка. Обновление диспетчера загрузки будет отложено до тех пор, пока перезапуск не произойдет естественным образом (например, при применении ежемесячных обновлений), а затем Windows снова попытается применить обновление диспетчера загрузки.

Каждый из описанных выше шагов должен быть успешно выполнен, прежде чем запланированная задача перейдет к следующему шагу. В ходе этого процесса журналы событий и другие состояния будут доступны для мониторинга развертывания. Дополнительные сведения о мониторинге и журналах событий приведены ниже.  

Обновление сертификатов безопасной загрузки позволяет в будущем обновить диспетчер загрузки 2023, который является более безопасным. Конкретные обновления диспетчера загрузки будут в будущих выпусках.

Этапы развертывания 

  • Подготовка. Инвентаризация и тестирование устройств.

  • Рекомендации по встроенному ПО

  • Мониторинг. Проверьте работу мониторинга и наведите базовый план для вашего парка.

  • Развертывание. Целевые устройства для обновлений, начиная с небольших подмножеств и расширяя их на основе успешных тестов.

  • Исправление. Изучите и устраните все проблемы с помощью журналов и поддержки поставщиков.

Подготовка 

Инвентаризация оборудования и встроенного ПО. Создайте репрезентативный образец устройств на основе производителя системы, модели системы, версии или даты BIOS, версии продукта baseboard и т. д. и протестируйте обновления на этих устройствах перед широким развертыванием.  Эти параметры обычно доступны в системных сведениях (MSINFO32). Используйте включенные примеры команд PowerShell для проверка состояния обновления безопасной загрузки и инвентаризации устройств в организации.

Примечания: 

  • Эти команды применяются, если состояние безопасной загрузки включено.

  • Для работы многих из этих команд требуются права администратора.

Пример сценария сбора данных инвентаризации безопасной загрузки

Скопируйте и вставьте этот пример скрипта и измените его при необходимости для своей среды: пример сценария сбора данных инвентаризации безопасной загрузки.

Пример вывода:

{"UEFICA2023Status":"Updated","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null, "AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS", "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true, "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName": "Microsoft Corporation","OEMModelSystemFamily":"Surface","OEMModelNumber": "Ноутбук Surface 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"11/03/2025", "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId": 1808,"BucketId":"04b339674931caf378feada64c64f0613227f70a7cd7258be63bb9e2d81767f", "Confidence":"UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null, "Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null, "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false, "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion": "10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer": "Microsoft Corporation", "BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true, "SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}

Уровни достоверности безопасной загрузки

Уровень доверия

Смысл

Требуется действие

Высокая достоверность

Корпорация Майкрософт подтвердила, что этот класс устройства безопасен для обновлений

Безопасное развертывание обновлений сертификатов

Под наблюдением — требуется больше данных

Корпорация Майкрософт по-прежнему собирает данные диагностики безопасного развертывания загрузки для этих устройств

Ожидание классификации Майкрософт

Нет наблюдаемых данных — требуется действие

Класс устройства не известен корпорации Майкрософт

Предприятие должно тестировать и планировать развертывание

Временно приостановлено

Известные проблемы совместимости

Проверьте наличие обновления BIOS oem; Дождитесь разрешения майкрософт

Не поддерживается — известное ограничение

Ограничения платформы или оборудования

Документ как исключение

Первым шагом, если включена безопасная загрузка, является проверка, если есть ожидающие события, которые недавно были обновлены или в процессе обновления сертификатов безопасной загрузки. Особый интерес представляют последние события в 1801 и 1808 годах. Эти события подробно описаны в разделе События обновления переменной безопасной загрузки DB и DBX. Кроме того, проверка разделе Мониторинг и развертывание, чтобы узнать, как события могут отображать состояние ожидающих обновлений.  

Следующий шаг — инвентаризация устройств в организации. Соберите следующие сведения с помощью команд PowerShell, чтобы создать репрезентативный пример: 

Базовые идентификаторы (2 значения)

      1. HostName — $env: COMPUTERNAME 

      2. CollectionTime — Get-Date 

Реестр: главный ключ безопасной загрузки (3 значения) 

     3. SecureBootEnabled — командлет Confirm-SecureBootUEFI или HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     4. HighConfidenceOptOut — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     5. Доступные обновления — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Реестр: обслуживающий ключ (3 значения) 

     6. UEFICA2023Status -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     7. WindowsUEFICA2023Справительное — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     8. UEFICA2023Error — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Реестр: атрибуты устройства (7 значений) 

      9. OEMManufacturerName — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     10. OEMModelSystemFamily — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     11. OEMModelNumber — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     12. FirmwareVersion — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     13. FirmwareReleaseDate — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     14. OSArchitecture — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     15. CanAttemptUpdateAfter — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

Журналы событий: системный журнал (5 значений) 

     16. LatestEventId — последнее событие безопасной загрузки 

     17. BucketID — извлечено из события 1801/1808 

     18. Достоверность — извлечено из события 1801/1808 

     19. Event1801Count — количество событий 

     20. Event1808Count — количество событий 

Запросы WMI/CIM (4 значения) 

     21. OSVersion — Get-CimInstance Win32_OperatingSystem 

     22. LastBootTime — Get-CimInstance Win32_OperatingSystem 

     23. BaseBoardManufacturer — Get-CimInstance Win32_BaseBoard 

     24. BaseBoardProduct — Get-CimInstance Win32_BaseBoard 

     25. (Get-CIMInstance Win32_ComputerSystem). Производителя  

     26. (Get-CIMInstance Win32_ComputerSystem). Модели  

    27. (Get-CIMInstance Win32_BIOS). Description + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString("MM/dd/yyyy")  

    28. (Get-CIMInstance Win32_BaseBoard). Продукта  

Рекомендации по встроенному ПО

Для развертывания новых сертификатов безопасной загрузки на вашем парке устройств необходимо, чтобы встроенное ПО устройства играло определенную роль в завершении обновления. Хотя корпорация Майкрософт ожидает, что большинство встроенного ПО устройства будет работать должным образом, перед развертыванием новых сертификатов необходимо тщательное тестирование.

Изучите инвентаризацию оборудования и создайте небольшую репрезентативную выборку устройств на основе следующих уникальных критериев, таких как: 

  • Изготовитель

  • Номер модели

  • Версия встроенного ПО

  • Версия основной платы OEM и т. д.

Перед широким развертыванием на устройствах в вашем автопарке рекомендуется протестировать обновления сертификатов на репрезентативных примерах устройств (в соответствии с такими факторами, как производитель, модель, версия встроенного ПО), чтобы убедиться, что обновления успешно обработаны. Рекомендуемое руководство по количеству примеров устройств для тестирования для каждой уникальной категории — 4 или более.

Это поможет повысить уверенность в процессе развертывания и избежать непредвиденных последствий для более широкого парка. 

В некоторых случаях для успешного обновления сертификатов безопасной загрузки может потребоваться обновление встроенного ПО. В таких случаях рекомендуется проверить наличие обновленного встроенного ПО у изготовителя оборудования устройства.

Windows в виртуализированных средах

Для Windows, работающей в виртуальной среде, существует два способа добавления новых сертификатов в переменные встроенного ПО безопасной загрузки:  

  • Создатель виртуальной среды (AWS, Azure, Hyper-V, VMware и т. д.) может предоставить обновление для среды и включить новые сертификаты в виртуализированное встроенное ПО. Это будет работать для новых виртуализированных устройств.

  • Для Windows, работающей в долгосрочной перспективе на виртуальной машине, обновления могут применяться через Windows, как и на любых других устройствах, если виртуализированное встроенное ПО поддерживает обновления безопасной загрузки.

Мониторинг и развертывание 

Мы рекомендуем начать мониторинг устройств перед развертыванием, чтобы убедиться, что мониторинг работает правильно и вы заранее хорошо знаете состояние парка. Параметры мониторинга рассматриваются ниже. 

Корпорация Майкрософт предоставляет несколько методов для развертывания и мониторинга обновлений сертификатов безопасной загрузки.

Автоматическое развертывание помогает 

Корпорация Майкрософт предоставляет две вспомогательные поддержку по развертыванию. Эта помощь может оказаться полезной при развертывании новых сертификатов в вашем флоте. Только для поддержки управляемого развертывания компонентов требуются диагностические данные.

  • Параметр для накопительных обновлений с контейнерами достоверности: Корпорация Майкрософт может автоматически включать группы устройств с высоким уровнем доверия в ежемесячные обновления на основе диагностических данных, к которым предоставлен доступ на сегодняшний день, в интересах систем и организаций, которые не могут совместно использовать диагностические данные. Для этого шага не требуется включать диагностические данные.

    • Для организаций и систем, которые могут совместно использовать диагностические данные, это дает корпорации Майкрософт видимость и уверенность в том, что устройства могут успешно развернуть сертификаты. Дополнительные сведения о включении диагностических данных см. в статье Настройка диагностических данных Windows в организации. Мы создаем "контейнеры" для каждого уникального устройства (как определено атрибутами, включая производителя, версию системной платы, производителя встроенного ПО, версию встроенного ПО и дополнительные точки данных). Для каждого контейнера мы отслеживаем данные об успешном выполнении на нескольких устройствах. После того как мы увидели достаточно успешных обновлений и без сбоев, мы рассмотрим контейнер с высокой достоверностью и включим эти данные в ежемесячные накопительные обновления. При применении ежемесячных обновлений к устройству в контейнере с высоким уровнем достоверности Windows автоматически применяет сертификаты к переменным безопасной загрузки UEFI в встроенном ПО.

    • Контейнеры с высоким уровнем достоверности включают устройства, которые правильно обрабатывают обновления. Естественно, не все устройства будут предоставлять диагностические данные, и это может ограничить уверенность Майкрософт в способности устройства правильно обрабатывать обновления.

    • Эта поддержка включена по умолчанию для устройств с высоким уровнем доверия и может быть отключена с помощью конкретного устройства. Дополнительные сведения будут доступны в будущих выпусках Windows.

  • Управляемое развертывание компонентов (CFR):  Выберите устройства для развертывания, управляемого Корпорацией Майкрософт, если включены диагностические данные.

    • Управляемое развертывание функций (CFR) можно использовать с клиентскими устройствами в парках организаций. Для этого требуется, чтобы устройства отправляли необходимые диагностические данные в корпорацию Майкрософт и сигналили о том, что устройство разрешает разрешение CFR на устройстве. Подробные сведения о том, как принять участие, описаны ниже.

    • Корпорация Майкрософт будет управлять процессом обновления этих новых сертификатов на устройствах Windows, где доступны диагностические данные и устройства участвуют в управляемом развертывании компонентов (CFR). Хотя CFR может помочь в развертывании новых сертификатов, организации не смогут полагаться на CFR для исправления своих автопарков. Для этого потребуется выполнить действия, описанные в этом документе в разделе о методах развертывания, не охваченных автоматизированными помощниками.

    • Ограничения: Существует несколько причин, по которым CFR может не работать в вашей среде. Например:

      • Диагностические данные недоступны или диагностические данные недоступны для использования в рамках развертывания CFR.

      • Устройства не поддерживаются клиентскими версиями Windows 11 и Windows 10 с расширенными обновлениями безопасности (ESU).

Методы развертывания, не охваченные автоматизированными помощниками

Выберите метод, соответствующий вашей среде. Избегайте смешивания методов на одном устройстве: 

  • Разделы реестра: управление развертыванием и мониторингом результатов.Существует несколько разделов реестра для управления поведением развертывания сертификатов и мониторинга результатов. Кроме того, существует два ключа для согласия на включение и выход из описанных выше средств развертывания. Дополнительные сведения о разделах реестра см. в разделе Раздел реестра Обновления для безопасной загрузки — устройства Windows с обновлениями, управляемыми ИТ.

  • групповая политика объекты (GPO): управление параметрами; мониторинг с помощью реестра и журналов событий.Корпорация Майкрософт будет предоставлять поддержку по управлению обновлениями безопасной загрузки с помощью групповая политика в будущем обновлении. Обратите внимание, что, так как групповая политика предназначен для параметров, мониторинг состояния устройства необходимо будет выполнять с помощью альтернативных методов, включая мониторинг разделов реестра и записей журнала событий.

  • WinCS (Windows Configuration System) CLI: используйте средства командной строки для клиентов, присоединенных к домену.Администраторы домена могут также использовать систему конфигурации Windows (WinCS), включенную в обновления ОС Windows, для развертывания обновлений безопасной загрузки на присоединенных к домену клиентах и серверах Windows. Он состоит из ряда программ командной строки (как традиционного исполняемого файла, так и модуля PowerShell) для локального запроса и применения конфигураций безопасной загрузки на компьютере. Дополнительные сведения см. в следующих статьях:

  • Microsoft Intune/Configuration Manager: Развертывание сценариев PowerShell. Поставщик служб конфигурации (CSP) будет предоставлен в будущем обновлении, чтобы разрешить развертывание с помощью Intune.

Журналы событий мониторинга

Предоставляются два новых события для развертывания обновлений сертификатов безопасной загрузки. Эти события подробно описаны в разделе События обновления базы данных безопасной загрузки и переменной DBX

  • Идентификатор события: 1801 Это событие является событием ошибки, которое указывает, что обновленные сертификаты не были применены к устройству. Это событие предоставляет некоторые сведения, относящиеся к устройству, включая атрибуты устройства, которые помогут сопоставить, какие устройства по-прежнему нуждаются в обновлении.

  • Идентификатор события: 1808 Это событие является информационным событием, которое указывает, что устройство имеет необходимые новые сертификаты безопасной загрузки, примененные к встроенному ПО устройства.

Стратегии развертывания 

Чтобы свести к минимуму риск, развертывайте обновления безопасной загрузки поэтапно, а не сразу. Начните с небольшого подмножества устройств, проверьте результаты, а затем развернитесь на дополнительные группы. Мы рекомендуем начать с подмножеств устройств и, по мере того как вы получите уверенность в этих развертываниях, добавить дополнительные подмножества устройств. Для определения того, что входит в подмножество, можно использовать несколько факторов, включая результаты тестирования на примерах устройств, структуру организации и т. д. 

Решение о том, какие устройства вы развертываете, зависит от вас. Здесь перечислены некоторые возможные стратегии. 

  • Большой парк устройств. Начните с использования описанных выше вспомогательных компонентов для наиболее распространенных устройств, которыми вы управляете. Параллельно сосредоточьтесь на менее распространенных устройствах, управляемых вашей организацией. Протестируйте небольшие примеры устройств и, если тестирование прошло успешно, выполните развертывание на остальных устройствах того же типа. Если тестирование создает проблемы, изучите причину проблемы и определите шаги по исправлению. Вы также можете рассмотреть классы устройств, которые имеют более высокую ценность в вашем парке, и приступить к тестированию и развертыванию, чтобы обеспечить обновление защиты этих устройств на ранних этапах.

  • Малый парк, большой ассортимент: Если парк, которыми вы управляете, содержит большое количество компьютеров, где тестирование отдельных устройств было бы недопустимым, рассмотрите возможность полагаться в значительной степени на две описанные выше вспомогательные средства, особенно для устройств, которые, скорее всего, будут общими устройствами на рынке. Сначала сосредоточьтесь на устройствах, критически важных для повседневной работы, тестирования и последующего развертывания. Продолжайте перемещаться вниз по списку устройств с высоким приоритетом, тестируя и развертывая во время мониторинга парка, чтобы убедиться, что помощники помогают с остальными устройствами.

Примечания 

  • Обратите внимание на старые устройства, особенно устройства, которые больше не поддерживаются производителем. Хотя встроенное ПО должно правильно выполнять операции обновления, некоторые из нее могут не выполняться. В случаях, когда встроенное ПО работает неправильно и устройство больше не поддерживается, рассмотрите возможность замены устройства, чтобы обеспечить защиту безопасной загрузки во всем парке.

  • Новые устройства, изготовленные за последние 1–2 года, могут уже иметь обновленные сертификаты, но не применить к системе подписанный диспетчер загрузки Windows UEFI CA 2023. Применение этого диспетчера загрузки является критически важным последним шагом в развертывании для каждого устройства.

  • После выбора устройства для обновлений может потребоваться некоторое время, прежде чем обновления будут завершены. Оцените 48 часов и одну или несколько перезапусков для применения сертификатов.

Часто задаваемые вопросы

Часто задаваемые вопросы см. в статье Вопросы и ответы по безопасной загрузке .

Устранение неполадок

Дополнительные сведения см. в документе По устранению неполадок .

Дополнительные ресурсы

Совет: Закладка этих дополнительных ресурсов.

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей