Posodobitve potrdila za varni zagon: navodila za strokovnjake za IT in organizacije

Velja za
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Opomba

  • Prvotni datum objave: 26. junij 2025
  • ID zbirke znanja: 5062713

Opomba

Dnevnik sprememb
Spremeni datum Spremeni opis
5 maja, 2026
30 marca, 2026
  • Odpravljena je znana težava »Posodobitve potrdil za varen zagon morda ne bodo uspele z ID-jem dogodka 1795 v navideznih računalnikih Hyper-V«
24 marca, 2026
  • Posodobitve znane težave »Posodobitve potrdil za varen zagon morda ne bodo uspele z ID-jem dogodka 1795 v navideznih računalnikih Hyper-V«
16 marca, 2026
  • Odstranjen je bil razdelek »Vzorčni podatki o zaupanju« v razdelku »Vzorčni skript za zbiranje podatkov inventarja inventarja varnega zagona«, ker je zastarel.
3 marca, 2026
  • Preoblikujte vzorčni izhod v razdelku »Priprava«, tako da ostane v polju.
24 februarja, 2026
  • Posodobljena je bila vsebina »Vzorčni skript za zbiranje podatkov inventarja varnega zagona« v razdelku » Priprava«.
  • Dodan je bil nov razdelek »Vzorčni izhod« v razdelku »Priprava«.
23 februarja, 2026
  • Posodobljena je bila vsebina »Vzorčni skript za zbiranje podatkov inventarja varnega zagona« v razdelku » Priprava«.
13 februarja, 2026
  • Dodani so bili elementi »Vzorčni podatki o zaupanju« v razdelek » Priprava«.
  • Odstranjen je bil "skript za zbiranje za čakajoče dogodke 1801 in 1808" iz razdelka "Priprava", ker ni več potreben.
3 februarja, 2026
  • Premaknjene in preoblikovane pogoste težave v razdelku Odpravljanje težav.
  • Dodana je nova pogosta težava: »Posodobitve potrdil za varen zagon morda ne bodo uspele z ID-jem dogodka 1795 v navideznih računalnikih Hyper-V«.
26 januarja, 2026
  • Besedilo pod »Pomoč za samodejno uvajanje« je bilo posodobljeno iz »Za obe pomoči potrebujete diagnostične podatke« v »Diagnostične podatke zahteva samo pomoč za uvajanje nadzorovanih funkcij.
11 novembra, 2025 Popravljeni sta bili dve tipkarski napaki v razdelku »Podpora za uvajanje potrdila za varen zagon«.
  • 0x0800 - Ime potrdila je bilo spremenjeno iz »Microsoft UEFI CA 2023« v »Microsoft Option ROM UEFI CA 2023«.
  • 0x1000 - Spremenjeno »Microsoft Option ROM CA 2023« v »Microsoft UEFI CA 2023«.
10 novembra, 2025
  • Popravljeni dve tipkarski napaki v razdelku »Novo potrdilo«: iz » Microsoft Corporation KEK CA 2023« v » Microsoft Corporation KEK 2K CA 2023« in iz » Microsoft Option ROM CA 2023« v »Microsoft Option ROM UEFI CA 2023«.
  • Novi skripti PowerShell so bili dodani pod naslovi »Preverjanje stanja varnega zagona v vaši floti: Ali je omogočen varen zagon? « in »Priprava«.

V tem članku:

Pregled

Ta članek je namenjen organizacijam z namenskimi strokovnjaki za IT, ki aktivno upravljajo posodobitve v svoji skupini naprav. Večina tega članka se bo osredotočila na dejavnosti, ki so potrebne, da bo oddelek za IT organizacije uspešen pri uvajanju novih potrdil za varen zagon. Te dejavnosti vključujejo testiranje vdelane programske opreme, spremljanje posodobitev naprave, začetek uvajanja in diagnosticiranje težav, ko se pojavijo. Predstavljenih je več metod uvajanja in spremljanja. Poleg teh osnovnih dejavnosti ponujamo več pripomočkov za uvajanje, vključno z možnostjo vključitve odjemalskih naprav za sodelovanje v uvajanju nadzorovanih funkcij (CFR) posebej za uvajanje certifikatov.

Priročnik za uvajanje za strokovnjake za IT

Načrtujte in izvajajte posodobitve potrdil za varen zagon v celotni skupini naprav s pripravo, nadzorom, uvajanjem in odpravljanjem težav.

Preverjanje stanja varnega zagona v skupini vozil: Ali je varni zagon omogočen?

Večina naprav, proizvedenih od leta 2012, ima podporo za varen zagon in so dobavljene z omogočenim varnim zagonom. Če želite preveriti, ali je v napravi omogočen varni zagon, naredite nekaj od tega:

  • Metoda GUI: Pojdite na začetni meni>Nastavitve>zasebnosti & varnosti>Varnost sistema Windows>varnosti naprave. V razdelku Varnost naprave mora biti v razdelku Varni zagon navedeno, da je varni zagon vklopljen.
  • Metoda ukazne vrstice: V ukazni poziv s skrbniškimi ravnemi v PowerShell vnesite Confirm-SecureBootUEFI in pritisnite Enter. Ukaz bi moral vrniti True , kar pomeni, da je varni zagon vklopljen.

Pri obsežnih uvajanjih za skupino naprav bo morala programska oprema za upravljanje, ki jo uporabljajo strokovnjaki za IT, preveriti omogočanje varnega zagona.

Način za preverjanje stanja varnega zagona v napravah, ki jih upravlja Microsoft Intune, je na primer ustvarjanje in uvajanje skripta za skladnost s predpisi storitve Intune po meri. Nastavitve skladnosti s predpisi storitve Intune so zajete v razdelku Uporaba nastavitev skladnosti s predpisi po meri za naprave s sistemi Linux in Windows s storitvijo Microsoft Intune.

Opomba

  • Primer skripta PowerShell za preverjanje, ali je omogočen varen zagon:
  • # Initialize result object in preparation for checking Secure Boot state 
  • $result = [PSCustomObject]@{ 
  •    SecureBootEnabled = $null 
  • try { 
  •    $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 
  •    Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 
  • } catch { 
  •    $result.SecureBootEnabled = $null 
  •    Write-Warning "Unable to determine Secure Boot status: $_" 

Če varni zagon ni omogočen, lahko preskočite spodnje korake posodobitve, ker jih ni mogoče uporabiti.

Uvajanje posodobitev

Na voljo je več načinov za ciljanje naprav za posodobitve potrdil varnega zagona. Podrobnosti uvajanja, vključno z nastavitvami in dogodki, bodo obravnavane v nadaljevanju tega dokumenta. Ko napravo ciljate na posodobitve, je v napravi nastavljena, ki označuje, da mora naprava začeti postopek uporabe novih potrdil. Načrtovano opravilo se v napravi zažene vsakih 12 ur in zazna, da je bila naprava namenjena posodobitvam. Oris naloge je naslednji:

  1. Windows UEFI CA 2023 se uporablja za zbirko podatkov.
  2. Če ima naprava v zbirki podatkov Microsoft Corporation UEFI CA 2011 , opravilo uporabi Microsoftovo možnost ROM UEFI CA 2023 in Microsoft UEFI CA 2023 za zbirko podatkov.
  3. Opravilo nato doda Microsoft Corporation KEK 2K CA 2023.
  4. Končno načrtovana naloga posodobi upravitelja zagona sistema Windows na tistega, ki ga je podpisal Windows UEFI CA 2023. Windows zazna, da je potreben ponovni zagon, preden lahko uporabite upravitelja zagona. Posodobitev upravitelja zagona bo odložena, dokler se vnovični zagon ne zgodi naravno (na primer ob uporabi mesečnih posodobitev), nato pa bo Windows znova poskušal uporabiti posodobitev upravitelja zagona.

Vsak od zgornjih korakov mora biti uspešno dokončan, preden se načrtovano opravilo premakne na naslednji korak. Med tem postopkom bodo na voljo dnevniki dogodkov in druga stanja za pomoč pri spremljanju uvajanja. Več podrobnosti o spremljanju in dnevnikih dogodkov je na voljo spodaj.

Posodabljanje potrdil za varen zagon omogoča prihodnjo posodobitev upravitelja zagona 2023, ki je varnejši. Posebne posodobitve v upravitelju zagona bodo na voljo v prihodnjih izdajah.

Koraki uvajanja

  • Priprava: Inventarne in testne naprave.
  • Kaj je treba upoštevati v zvezi z vdelano programsko opremo
  • Spremljanje: Preverite dela za spremljanje in pripravite osnovni načrt za vozni park.
  • Uvedba: Ciljne naprave za posodobitve, začnite z majhnimi podnabori in jih razširite na podlagi uspešnih preskusov.
  • Popravki: raziščite in odpravite morebitne težave z dnevniki in podporo dobaviteljev.

Priprava

Inventar strojne in vdelane programske opreme. Ustvarite predstavitveni vzorec naprav na podlagi izdelovalca sistema, modela sistema, različice/datuma BIOS-a, različice izdelka BaseBoard itd. in pred obsežno uvedbo v teh napravah preskusite posodobitve.  Ti parametri so pogosto na voljo v sistemskih informacijah (MSINFO32). Z vključenimi vzorčnimi ukazi PowerShell preverite stanje posodobitve varnega zagona in popisujte naprave v celotni organizaciji.

Opomba

  • Ti ukazi veljajo, če je omogočeno stanje varnega zagona.
  • Mnogi od teh ukazov za delovanje potrebujejo skrbniške pravice.

Vzorčni skript zbirke podatkov inventarja varnega zagona

Kopirajte in prilepite ta vzorčni skript ter ga po potrebi spremenite za svoje okolje: Vzorčni skript zbirke podatkov inventarja varnega zagona.

Opomba

  • Vzorec izhoda:
  • {"UEFICA2023Status":"Updated","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null,
    "AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS",
    "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true,
    "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName":
    "Microsoft Corporation","OEMModelSystemFamily":"Surface","OEMModelNumber":
    "Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"11/03/2025",
    "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId":
    1808,"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f",
    "Confidence":"UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB),
    3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null,
    "Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null,
    "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false,
    "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion":
    "10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer":
    "Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true,
    "SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}

Ravni zanesljivosti varnega zagona

Raven zaupanja Pomen Potrebno je ukrepanje
Visoka raven zaupanja Microsoft je preveril, ali je ta razred naprave varen za posodobitve Posodobitve potrdil za varno uvajanje
V fazi opazovanja – potrebnih je več podatkov Microsoft še vedno zbira diagnostične podatke o uvedbi varnega zagona o teh napravah Počakajte na Microsoftovo klasifikacijo
Podatki niso opaženi – zahtevano je ukrepanje Microsoft ne pozna razreda naprave Podjetje mora preskusiti in načrtovati uvedbo
Začasno ustavljeno Znane težave z združljivostjo Preverite, ali je na voljo posodobitev BIOS-a proizvajalca strojne opreme; Počakajte, da Microsoft odpravi težavo
Ni podprto – znana omejitev Omejitve platforme ali strojne opreme Dokument kot izjema

Če je varni zagon omogočen, morate najprej preveriti, ali obstajajo čakajoči dogodki, ki so bili nedavno posodobljeni ali ali so v postopku posodabljanja potrdil za varni zagon. Posebej zanimivi so najnovejši dogodki v letih 1801 in 1808. Ti dogodki so podrobno opisani v razdelku Secure Boot DB in dogodki spremenljive posodobitve DBX. Oglejte si tudi razdelek »Nadzorovanje in uvajanje«, kjer boste izvedeli, kako lahko dogodki prikažejo stanje čakajočih posodobitev.

Naslednji korak je popis naprav v celotni organizaciji. Z ukazi PowerShell zberite te podrobnosti, da ustvarite predstavitveni vzorec:

Opomba

  • Osnovni identifikatorji (2 vrednosti)
  • 1. HostName – $env: COMPUTERNAME
  • 2. CollectionTime – Get-Date
  • Register: glavni ključ varnega zagona (3 vrednosti)
  • 3. SecureBootEnabled – Confirm-SecureBootUEFI ukaz »cmdlet« ali HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
  • 4. HighConfidenceOptOut – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
  • 5. AvailableUpdates – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
  • Register: ključ za servisiranje (3 vrednosti)
  • 6. UEFICA2023Status –HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • 7. WindowsUEFICA2023Capable – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • 8. UEFICA2023Error – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
  • Register: Atributi naprave (7 vrednosti)
  • 9. OEMManufacturerName – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 10. Zgornji delitelj OEMModelSystemFamily – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 11. OEMModelNumber – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 12. FirmwareVersion – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 13. FirmwareReleaseDate – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 14. OSArchitecture - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • 15. CanAttemptUpdateAfter – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
  • Dnevniki dogodkov: sistemski dnevnik (5 vrednosti)
  • 16. LatestEventId – najnovejši dogodek varnega zagona
  • 17. BucketID - pridobljeno iz dogodka 1801/1808
  • 18. Zaupanje - izvlečeno iz dogodka 1801/1808
  • 19. Event1801Count - Štetje dogodkov
  • 20. Event1808Count - Štetje dogodkov
  • Poizvedbe WMI/CIM (4 vrednosti)
  • 21. OSVersion - Get-CimInstance Win32_OperatingSystem
  • 22. LastBootTime - Get-CimInstance Win32_OperatingSystem
  • 23. BaseBoardManufacturer - Get-CimInstance Win32_BaseBoard
  • 24. BaseBoardIzdelek - Get-CimInstance Win32_BaseBoard
  •      25. (Get-CIMInstance Win32_ComputerSystem). Proizvajalec
  •      26. (Get-CIMInstance Win32_ComputerSystem). Model
  •     27. (Get-CIMInstance Win32_BIOS). Opis + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString ("MM/dd/llll")
  •     28. (Get-CIMInstance Win32_BaseBoard). Izdelek

Upoštevanje vdelane programske opreme

Uvajanje novih potrdil varnega zagona v skupino naprav zahteva, da vdelana programska oprema naprave igra vlogo pri dokončanju posodobitve. Medtem ko Microsoft pričakuje, da bo večina vdelane programske opreme delovala po pričakovanjih, je pred uvedbo novih potrdil potrebno skrbno testiranje.

Preglejte inventar strojne opreme in ustvarite majhen, reprezentativen vzorec naprav na podlagi teh edinstvenih meril, kot so:

  • Izdelovalec
  • Številka modela
  • Različica vdelane programske opreme
  • Različica OEM Baseboard itd.

Priporočamo, da posodobitve potrdil preskusite na reprezentativnih vzorčnih napravah (kot so dejavniki, kot so proizvajalec, model, različica vdelane programske opreme), da zagotovite, da so posodobitve uspešno obdelane. Priporočena navodila o številu vzorčnih naprav za testiranje za vsako edinstveno kategorijo so 4 ali več.

To bo pomagalo pri izgradnji zaupanja v vaš postopek uvajanja in pomagalo preprečiti nepričakovane vplive na vaš širši vozni park.

V nekaterih primerih bo za uspešno posodobitev potrdil varnega zagona morda potrebna posodobitev vdelane programske opreme. V teh primerih priporočamo, da pri proizvajalcu naprave preverite, ali je na voljo posodobljena strojna programska oprema.

Windows v virtualiziranih okoljih

Za Windows, ki se izvaja v navideznem okolju, obstajata dva načina za dodajanje novih potrdil v spremenljivke vdelane programske opreme varnega zagona:

  • Ustvarjalec virtualnega okolja (AWS, Azure, Hyper-V, VMware itd.) lahko zagotovi posodobitev okolja in vključi nova potrdila v virtualizirano vdelano programsko opremo. To bi delovalo za nove virtualizirane naprave.
  • Za Windows, ki se dolgoročno izvaja v VM, lahko posodobitve uporabite prek sistema Windows kot vse druge naprave, če virtualizirana vdelana programska oprema podpira posodobitve varnega zagona.

Spremljanje in uvajanje

Priporočamo, da začnete s spremljanjem naprav pred uvedbo, da se prepričate, da spremljanje deluje pravilno in da imate vnaprej dober občutek za stanje voznega parka. Možnosti spremljanja so obravnavane spodaj.

Microsoft ponuja več načinov za uvajanje in nadzor posodobitev potrdil za varen zagon.

Pomoč pri avtomatiziranem uvajanju

Microsoft ponuja dve pomoči pri uvajanju. Te pomoči se lahko izkažejo za koristne pri uvajanju novih certifikatov v vaš vozni park. Samo pomoč za uvajanje nadzorovanih funkcij zahteva diagnostične podatke.

  • Možnost za zbirne posodobitve z vedri zaupanja: Microsoft lahko samodejno vključi zelo zanesljive skupine naprav v mesečne posodobitve na podlagi diagnostičnih podatkov, ki so bili v skupni rabi do danes, kar koristi sistemom in organizacijam, ki diagnostičnih podatkov ne morejo dati v skupno rabo. Ta korak ne zahteva omogočanja diagnostičnih podatkov.

    • Organizacijam in sistemom, ki lahko dajejo diagnostične podatke v skupno rabo, Microsoft omogoča preglednost in zaupanje, da lahko naprave uspešno uvedejo potrdila. Več informacij o omogočanju diagnostičnih podatkov je na voljo v razdelku: Konfiguracija diagnostičnih podatkov sistema Windows v organizaciji. Za vsako enolično napravo ustvarjamo »vedra« (kot so opredeljena z atributi, ki vključujejo proizvajalca, različico matične plošče, proizvajalca vdelane programske opreme, različico vdelane programske opreme in dodatne podatkovne točke). Za vsako vedro spremljamo dokaze o uspehu v več napravah. Ko bomo videli dovolj uspešnih posodobitev in brez napak, bomo vedro obravnavali kot »visoko zaupanje« in te podatke vključili v mesečne zbirne posodobitve. Ko se mesečne posodobitve uporabijo za napravo v zelo zanesljivem vedru, Windows samodejno uporabi potrdila za spremenljivke varnega zagona UEFI v vdelani programski opremi.
    • Zelo zanesljiva vedra vključujejo naprave, ki pravilno obdelujejo posodobitve. Seveda vse naprave ne zagotavljajo diagnostičnih podatkov, kar lahko omeji Microsoftovo zaupanje v sposobnost naprave, da pravilno obdela posodobitve.
    • Ta pomoč je privzeto omogočena za naprave z visoko stopnjo zaupanja in jo je mogoče onemogočiti z nastavitvijo, specifično za napravo. Več informacij bo na voljo v prihodnjih izdajah sistema Windows.
  • Nadzorovano uvajanje funkcij (CFR): Privolite v naprave za uvajanje, ki ga upravlja Microsoft, če so omogočeni diagnostični podatki.

    • Nadzorovano uvajanje funkcij (CFR) se lahko uporablja z odjemalskimi napravami v skupinah organizacij. To zahteva, da naprave pošiljajo zahtevane diagnostične podatke Microsoftu in so sporočile, da naprava dovoljuje CFR v napravi. Podrobnosti o tem, kako se odločite, so opisane spodaj.

    • Microsoft bo upravljal postopek posodabljanja teh novih potrdil v napravah s sistemom Windows, kjer so na voljo diagnostični podatki in naprave sodelujejo v uvajanju nadzorovanih funkcij (CFR). Medtem ko lahko CFR pomaga pri uvajanju novih certifikatov, se organizacije ne bodo mogle zanašati na CFR za sanacijo svojih voznih parkov - to bo zahtevalo upoštevanje korakov, opisanih v tem dokumentu v razdelku o metodah uvajanja, ki niso zajete v avtomatizirani pomoči.

    • Omejitve: Obstaja nekaj razlogov, zakaj CFR morda ne deluje v vašem okolju. Primer:

      • Diagnostični podatki niso na voljo ali diagnostični podatki niso uporabni kot del uvedbe CFR.
      • Naprave niso nameščene v podprtih odjemalskih različicah sistema Windows 11 in Windows 10 z razširjenimi varnostnimi posodobitvami (ESU).

Metode uvajanja, ki niso zajete v avtomatiziranih pripomočkih

Izberite metodo, ki ustreza vašemu okolju. Izogibajte se načinom mešanja na isti napravi:

  • Registrski ključi: nadzirajte uvajanje in spremljajte rezultate.
    Na voljo je več registrskih ključev za nadzor delovanja uvajanja potrdil in za spremljanje rezultatov. Poleg tega obstajata dva ključa za vključitev in odjavo zgoraj opisanih pripomočkov za uvajanje. Če želite več informacij o registrskih ključih, glejte Posodobitve registrskega ključa za varen zagon – naprave s sistemom Windows s posodobitvami, ki jih upravlja IT.

  • Predmeti pravilnika skupine (GPO): upravljanje nastavitev; spremljanje prek registra in dnevnikov dogodkov.
    Microsoft bo v prihodnji posodobitvi zagotavljal podporo za upravljanje posodobitev varnega zagona s pravilnikom skupine. Ker je pravilnik skupine namenjen nastavitvam, je treba spremljanje stanja naprave opraviti z nadomestnimi metodami, vključno s spremljanjem registrskih ključev in vnosov v dnevnik dogodkov.

  • TCLI WinCS (konfiguracijski sistem Windows): uporabite orodja ukazne vrstice za odjemalce, ki so pridruženi domeni.
    Skrbniki domene lahko uporabijo tudi konfiguracijski sistem Windows (WinCS), ki je vključen v posodobitve operacijskega sistema Windows, za uvajanje posodobitev varnega zagona v odjemalce in strežnike sistema Windows, ki so pridruženi domeni. Sestavljen je iz niza pripomočkov ukazne vrstice (tako tradicionalne izvršljive datoteke kot modula PowerShell) za poizvedovanje in uporabo konfiguracij varnega zagona lokalno na računalniku. Več informacij je na voljo v teh člankih:

  • Microsoft Intune/Configuration Manager: Uvedba skriptov PowerShell. V prihodnji posodobitvi bo na voljo ponudnik konfiguracijskih storitev (CSP), ki bo omogočal uvajanje s storitvijo Intune.

Spremljanje dnevnikov dogodkov

Na voljo sta dva nova dogodka, ki bosta pomagala pri uvajanju posodobitev potrdil za varen zagon. Ti dogodki so podrobno opisani v razdelku Secure Boot DB in dogodki posodobitve spremenljivke DBX:

  • ID dogodka: 1801
    Ta dogodek je dogodek napake, ki pomeni, da posodobljena potrdila niso bila uporabljena za napravo. Ta dogodek vsebuje nekaj podrobnosti, ki so značilne za napravo, vključno z atributi naprave, ki bodo pomagale pri povezovanju naprav, ki jih je treba še posodobiti.
  • ID dogodka: 1808
    Ta dogodek je informativni dogodek, ki označuje, da so v napravi za vdelano programsko opremo naprave uporabljena zahtevana nova potrdila za varen zagon.

Strategije uvajanja

Če želite zmanjšati tveganje, posodobitve varnega zagona uvajajte postopoma in ne naenkrat. Začnite z majhno podmnožico naprav, preverite rezultate in nato razširite na dodatne skupine. Priporočamo, da začnete s podnabori naprav in ko pridobite zaupanje v te uvedbe, dodate dodatne podnabore naprav. Za določanje, kaj gre v podskupino, se lahko uporabi več dejavnikov, vključno z rezultati testov na vzorčnih napravah in organizacijski strukturi itd.

Odločitev o tem, katere naprave boste namestili, je odvisna od vas. Tukaj so navedene nekatere možne strategije.

  • Velika skupina naprav: začnite tako, da se zanašate na zgoraj opisane pripomočke za najpogostejše naprave, ki jih upravljate. Hkrati se osredotočite na manj pogoste naprave, ki jih upravlja vaša organizacija. Preskusite majhne vzorčne naprave in če je preskus uspešen, uvedite v drugih napravah iste vrste. Če preskušanje povzroči težave, raziščite vzrok za težavo in določite korake za odpravljanje težave. Razmislite tudi o razredih naprav, ki imajo večjo vrednost v vašem voznem parku, ter začnite s preskušanjem in uvajanjem, da zagotovite, da imajo te naprave že zgodaj posodobljeno zaščito.
  • Majhna flota, velika raznolikost: Če vozni park, ki ga upravljate, vsebuje veliko različnih naprav, pri katerih bi bilo testiranje posameznih naprav zelo nezahtevno, se v veliki meri zanašajte na dve pomoči zgoraj opisani, zlasti pri napravah, ki so verjetno običajni napravi na trgu. Najprej se osredotočite na naprave, ki so nujne za vsakodnevno delovanje, preskusite jih in nato uvedite. Nadaljujte s premikanjem navzdol po seznamu naprav z visoko prioriteto, preskušanjem in uvajanjem, medtem ko spremljate vozni park, da potrdite, da pomoč pomaga pri preostalih napravah.

Opombe

  • Bodite pozorni na starejše naprave, še posebej naprave, ki jih proizvajalec ne podpira več. Čeprav bi morala vdelana programska oprema pravilno izvesti postopke posodobitve, pa nekatere morda ne. V primerih, ko vdelana programska oprema ne deluje pravilno in naprava ni več podprta, razmislite o zamenjavi naprave, da zagotovite zaščito varnega zagona v celotnem voznem parku.
  • Nove naprave, proizvedene v zadnjih 1–2 letih, morda že imajo posodobljena potrdila, vendar morda v sistemu niso bile nameščene izdaje upravitelja zagona, s katerimi se je podpisal Windows UEFI CA 2023. Uporaba tega upravitelja zagona je pomemben zadnji korak pri uvajanju za vsako napravo.
  • Ko je naprava izbrana za posodobitve, lahko traja nekaj časa, preden se posodobitve dokončajo. Ocenite, da traja 48 ur in en ali več ponovnih zagonov, preden bodo potrdila uporabljena.

Pogosta vprašanja (FAQ)

Za pogosta vprašanja glejte članek Pogosta vprašanja o varnem zagonu .

Odpravljanje težav

Če želite več informacij, si oglejte dokument »Odpravljanje težav «.

Dodatni viri

Namig

Te dodatne vire dodajte med zaznamke.