Введение
Обновления Windows, выпущенные с 13 февраля 2024 г. и позже, включают возможность применения сертификата Windows UEFI CA 2023 к базе данных с разрешенной безопасной загрузкой UEFI. Обновление базы данных позволит устройствам получать будущие обновления загрузчика, которые включаются в ежемесячные обновления.
Это важно, так как срок действия существующего сертификата истекает, и переход на новый сертификат является первым шагом при подготовке устройств к работе с предстоящими обновлениями загрузчика, которые будут криптографически подписаны с помощью нового сертификата.
Обновления базы данных, как известно, имеют проблемы совместимости с некоторыми устройствами. Чтобы упростить развертывание на устройствах Windows, обновление базы данных не применяется автоматически. Для корпоративных сред важно иметь управляемое развертывание обновления после тщательной проверки с репрезентативными устройствами, присутствующими в среде, чтобы избежать каких-либо сбоев.
Подробное описание см. в разделе Обновление ключей безопасной загрузки Майкрософт.
Действие
Разверните обновление базы данных на репрезентативных тестовых устройствах, следуя рекомендациям по развертыванию, приведенным в разделе Обновление ключей безопасной загрузки Майкрософт.
После успешного обновления базы данных тестовое устройство должно быть безопасно развертывать обновление базы данных на устройствах с той же конфигурацией оборудования и встроенного ПО. Это можно сделать, задав следующий раздел реестра с помощью программного обеспечения развертывания, например групповой политики или управления мобильными устройствами (MDM):
Путь к реестру: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Имя: AvailableUpdates
Значение: 0x40
После перезапуска устройства база данных должна быть обновлена. В некоторых случаях может потребоваться второй перезапуск.
Известные проблемы
Сведения об известных проблемах с этим обновлением см. в разделе Известные проблемыв KB5025885. Управление отзывами диспетчера загрузки Windows для изменений безопасной загрузки, связанных с CVE-2023-24932.