Úvod
Aktualizácie Windowsu vydané 13. februára 2024 a po nich zahŕňajú možnosť použiť certifikát UEFI CA 2023 systému Windows na databázu povolených podpisov bezpečného spustenia UEFI. Aktualizácia databázy umožní zariadeniam prijímať budúce aktualizácie zavádzacieho nástroja, ktoré sú zahrnuté v mesačných aktualizáciách.
Je to dôležité, pretože platnosť existujúceho certifikátu uplynie a prechod na nový certifikát je prvým krokom pri príprave zariadení na prácu s nadchádzajúcimi aktualizáciami zavádzacieho načítania, ktoré budú kryptograficky podpísané pomocou nového certifikátu.
Aktualizácie databázy sú známe problémy s kompatibilitou niektorých zariadení. Ak chcete zjednodušiť zavádzanie do zariadení s Windowsom, aktualizácia databázy sa nepoužije automaticky. V prípade podnikových prostredí je dôležité mať riadené zavádzanie aktualizácie po dôkladnom overení so reprezentatívnymi zariadeniami prítomnými v prostredí, aby sa zabránilo prerušeniu.
Podrobné vysvetlenie nájdete v téme Aktualizácia kľúčov zabezpečeného spustenia od spoločnosti Microsoft.
Vykonať akciu
Nasaďte aktualizáciu databázy do reprezentatívnych vzorových testovacích zariadení podľa pokynov na nasadenie uvedených v aktualizácii kľúčov zabezpečeného spustenia od spoločnosti Microsoft.
Po úspešnej aktualizácii databázy testovacím zariadením by malo byť bezpečné zaviesť aktualizáciu databázy v zariadeniach s rovnakou konfiguráciou hardvéru a firmvéru. Môžete to urobiť nastavením nasledujúceho kľúča databázy Registry pomocou softvéru na nasadenie, ako je napríklad skupinová politika alebo správa mobilných zariadení (MDM):
Cesta k databáze Registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Meno: Dostupné súhrny
Hodnota: 0x40
Po reštartovaní zariadenia by sa mala databáza aktualizovať. V niektorých prípadoch sa môže vyžadovať druhý reštart.
Známe problémy
Problém |
Ďalší krok |
Zariadenia s architektúrou ARM64 majú momentálne zablokované používanie aktualizácie databázy. |
Spoločnosť Microsoft spolupracuje s dodávateľmi zariadení OEM, aby aktualizovala svoj firmvér tak, aby vyriešila problém s firmvérom založeným na technológii ARM64. |