Opomba
- Prvotni datum objave: 26. junij 2025
- ID zbirke znanja: 5062713
Opomba
- Ta članek vsebuje navodila za:
- Organizacije (podjetja, mala podjetja in izobraževanje) z napravami s sistemom Windows in posodobitvami, ki jih upravlja IT.
- Opomba: Če ste posameznik, ki ima osebno napravo s sistemom Windows, preberite članek Naprave s sistemom Windows za domače uporabnike, podjetja in šole s posodobitvami, ki jih upravlja Microsoft.
Dnevnik sprememb
| Spremeni datum | Spremeni opis |
|---|---|
| 5 maja, 2026 |
|
| 30 marca, 2026 |
|
| 24 marca, 2026 |
|
| 16 marca, 2026 |
|
| 3 marca, 2026 |
|
| 24 februarja, 2026 |
|
| 23 februarja, 2026 |
|
| 13 februarja, 2026 |
|
| 3 februarja, 2026 |
|
| 26 januarja, 2026 |
|
| 11 novembra, 2025 | Popravljeni sta bili dve tipkarski napaki v razdelku »Podpora za uvajanje potrdila za varen zagon«.
|
| 10 novembra, 2025 |
|
V tem članku:
Priročnik za uvajanje za strokovnjake za IT
- Preverjanje stanja varnega zagona v skupini vozil: Ali je varni zagon omogočen?
- Uvajanje posodobitev
- Koraki uvajanja
- Priprava
- Upoštevanje vdelane programske opreme
- Windows v virtualiziranih okoljih
- Spremljanje in uvajanje
- Pomoč pri avtomatiziranem uvajanju
- Metode uvajanja, ki niso zajete v avtomatiziranih pripomočkih
- Spremljanje dnevnikov dogodkov
- Strategije uvajanja
Pregled
Ta članek je namenjen organizacijam z namenskimi strokovnjaki za IT, ki aktivno upravljajo posodobitve v svoji skupini naprav. Večina tega članka se bo osredotočila na dejavnosti, ki so potrebne, da bo oddelek za IT organizacije uspešen pri uvajanju novih potrdil za varen zagon. Te dejavnosti vključujejo testiranje vdelane programske opreme, spremljanje posodobitev naprave, začetek uvajanja in diagnosticiranje težav, ko se pojavijo. Predstavljenih je več metod uvajanja in spremljanja. Poleg teh osnovnih dejavnosti ponujamo več pripomočkov za uvajanje, vključno z možnostjo vključitve odjemalskih naprav za sodelovanje v uvajanju nadzorovanih funkcij (CFR) posebej za uvajanje certifikatov.
Priročnik za uvajanje za strokovnjake za IT
Načrtujte in izvajajte posodobitve potrdil za varen zagon v celotni skupini naprav s pripravo, nadzorom, uvajanjem in odpravljanjem težav.
Preverjanje stanja varnega zagona v skupini vozil: Ali je varni zagon omogočen?
Večina naprav, proizvedenih od leta 2012, ima podporo za varen zagon in so dobavljene z omogočenim varnim zagonom. Če želite preveriti, ali je v napravi omogočen varni zagon, naredite nekaj od tega:
- Metoda GUI: Pojdite na začetni meni>Nastavitve>zasebnosti & varnosti>Varnost sistema Windows>varnosti naprave. V razdelku Varnost naprave mora biti v razdelku Varni zagon navedeno, da je varni zagon vklopljen.
- Metoda ukazne vrstice: V ukazni poziv s skrbniškimi ravnemi v PowerShell vnesite Confirm-SecureBootUEFI in pritisnite Enter. Ukaz bi moral vrniti True , kar pomeni, da je varni zagon vklopljen.
Pri obsežnih uvajanjih za skupino naprav bo morala programska oprema za upravljanje, ki jo uporabljajo strokovnjaki za IT, preveriti omogočanje varnega zagona.
Način za preverjanje stanja varnega zagona v napravah, ki jih upravlja Microsoft Intune, je na primer ustvarjanje in uvajanje skripta za skladnost s predpisi storitve Intune po meri. Nastavitve skladnosti s predpisi storitve Intune so zajete v razdelku Uporaba nastavitev skladnosti s predpisi po meri za naprave s sistemi Linux in Windows s storitvijo Microsoft Intune.
Opomba
- Primer skripta PowerShell za preverjanje, ali je omogočen varen zagon:
# Initialize result object in preparation for checking Secure Boot state$result = [PSCustomObject]@{SecureBootEnabled = $null}try {$result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction StopWrite-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)"} catch {$result.SecureBootEnabled = $nullWrite-Warning "Unable to determine Secure Boot status: $_"}
Če varni zagon ni omogočen, lahko preskočite spodnje korake posodobitve, ker jih ni mogoče uporabiti.
Uvajanje posodobitev
Na voljo je več načinov za ciljanje naprav za posodobitve potrdil varnega zagona. Podrobnosti uvajanja, vključno z nastavitvami in dogodki, bodo obravnavane v nadaljevanju tega dokumenta. Ko napravo ciljate na posodobitve, je v napravi nastavljena, ki označuje, da mora naprava začeti postopek uporabe novih potrdil. Načrtovano opravilo se v napravi zažene vsakih 12 ur in zazna, da je bila naprava namenjena posodobitvam. Oris naloge je naslednji:
- Windows UEFI CA 2023 se uporablja za zbirko podatkov.
- Če ima naprava v zbirki podatkov Microsoft Corporation UEFI CA 2011 , opravilo uporabi Microsoftovo možnost ROM UEFI CA 2023 in Microsoft UEFI CA 2023 za zbirko podatkov.
- Opravilo nato doda Microsoft Corporation KEK 2K CA 2023.
- Končno načrtovana naloga posodobi upravitelja zagona sistema Windows na tistega, ki ga je podpisal Windows UEFI CA 2023. Windows zazna, da je potreben ponovni zagon, preden lahko uporabite upravitelja zagona. Posodobitev upravitelja zagona bo odložena, dokler se vnovični zagon ne zgodi naravno (na primer ob uporabi mesečnih posodobitev), nato pa bo Windows znova poskušal uporabiti posodobitev upravitelja zagona.
Vsak od zgornjih korakov mora biti uspešno dokončan, preden se načrtovano opravilo premakne na naslednji korak. Med tem postopkom bodo na voljo dnevniki dogodkov in druga stanja za pomoč pri spremljanju uvajanja. Več podrobnosti o spremljanju in dnevnikih dogodkov je na voljo spodaj.
Posodabljanje potrdil za varen zagon omogoča prihodnjo posodobitev upravitelja zagona 2023, ki je varnejši. Posebne posodobitve v upravitelju zagona bodo na voljo v prihodnjih izdajah.
Koraki uvajanja
- Priprava: Inventarne in testne naprave.
- Kaj je treba upoštevati v zvezi z vdelano programsko opremo
- Spremljanje: Preverite dela za spremljanje in pripravite osnovni načrt za vozni park.
- Uvedba: Ciljne naprave za posodobitve, začnite z majhnimi podnabori in jih razširite na podlagi uspešnih preskusov.
- Popravki: raziščite in odpravite morebitne težave z dnevniki in podporo dobaviteljev.
Priprava
Inventar strojne in vdelane programske opreme. Ustvarite predstavitveni vzorec naprav na podlagi izdelovalca sistema, modela sistema, različice/datuma BIOS-a, različice izdelka BaseBoard itd. in pred obsežno uvedbo v teh napravah preskusite posodobitve. Ti parametri so pogosto na voljo v sistemskih informacijah (MSINFO32). Z vključenimi vzorčnimi ukazi PowerShell preverite stanje posodobitve varnega zagona in popisujte naprave v celotni organizaciji.
Opomba
- Ti ukazi veljajo, če je omogočeno stanje varnega zagona.
- Mnogi od teh ukazov za delovanje potrebujejo skrbniške pravice.
Vzorčni skript zbirke podatkov inventarja varnega zagona
Kopirajte in prilepite ta vzorčni skript ter ga po potrebi spremenite za svoje okolje: Vzorčni skript zbirke podatkov inventarja varnega zagona.
Opomba
- Vzorec izhoda:
- {"UEFICA2023Status":"Updated","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null,
"AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS",
"CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true,
"HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName":
"Microsoft Corporation","OEMModelSystemFamily":"Surface","OEMModelNumber":
"Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"11/03/2025",
"OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId":
1808,"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f",
"Confidence":"UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB),
3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null,
"Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null,
"Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false,
"Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion":
"10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer":
"Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true,
"SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}
Ravni zanesljivosti varnega zagona
| Raven zaupanja | Pomen | Potrebno je ukrepanje |
|---|---|---|
| Visoka raven zaupanja | Microsoft je preveril, ali je ta razred naprave varen za posodobitve | Posodobitve potrdil za varno uvajanje |
| V fazi opazovanja – potrebnih je več podatkov | Microsoft še vedno zbira diagnostične podatke o uvedbi varnega zagona o teh napravah | Počakajte na Microsoftovo klasifikacijo |
| Podatki niso opaženi – zahtevano je ukrepanje | Microsoft ne pozna razreda naprave | Podjetje mora preskusiti in načrtovati uvedbo |
| Začasno ustavljeno | Znane težave z združljivostjo | Preverite, ali je na voljo posodobitev BIOS-a proizvajalca strojne opreme; Počakajte, da Microsoft odpravi težavo |
| Ni podprto – znana omejitev | Omejitve platforme ali strojne opreme | Dokument kot izjema |
Če je varni zagon omogočen, morate najprej preveriti, ali obstajajo čakajoči dogodki, ki so bili nedavno posodobljeni ali ali so v postopku posodabljanja potrdil za varni zagon. Posebej zanimivi so najnovejši dogodki v letih 1801 in 1808. Ti dogodki so podrobno opisani v razdelku Secure Boot DB in dogodki spremenljive posodobitve DBX. Oglejte si tudi razdelek »Nadzorovanje in uvajanje«, kjer boste izvedeli, kako lahko dogodki prikažejo stanje čakajočih posodobitev.
Naslednji korak je popis naprav v celotni organizaciji. Z ukazi PowerShell zberite te podrobnosti, da ustvarite predstavitveni vzorec:
Opomba
- Osnovni identifikatorji (2 vrednosti)
- 1. HostName – $env: COMPUTERNAME
- 2. CollectionTime – Get-Date
- Register: glavni ključ varnega zagona (3 vrednosti)
- 3. SecureBootEnabled – Confirm-SecureBootUEFI ukaz »cmdlet« ali HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
- 4. HighConfidenceOptOut – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
- 5. AvailableUpdates – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
- Register: ključ za servisiranje (3 vrednosti)
- 6. UEFICA2023Status –HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
- 7. WindowsUEFICA2023Capable – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
- 8. UEFICA2023Error – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
- Register: Atributi naprave (7 vrednosti)
- 9. OEMManufacturerName – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
- 10. Zgornji delitelj OEMModelSystemFamily – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
- 11. OEMModelNumber – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
- 12. FirmwareVersion – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
- 13. FirmwareReleaseDate – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
- 14. OSArchitecture - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
- 15. CanAttemptUpdateAfter – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
- Dnevniki dogodkov: sistemski dnevnik (5 vrednosti)
- 16. LatestEventId – najnovejši dogodek varnega zagona
- 17. BucketID - pridobljeno iz dogodka 1801/1808
- 18. Zaupanje - izvlečeno iz dogodka 1801/1808
- 19. Event1801Count - Štetje dogodkov
- 20. Event1808Count - Štetje dogodkov
- Poizvedbe WMI/CIM (4 vrednosti)
- 21. OSVersion - Get-CimInstance Win32_OperatingSystem
- 22. LastBootTime - Get-CimInstance Win32_OperatingSystem
- 23. BaseBoardManufacturer - Get-CimInstance Win32_BaseBoard
- 24. BaseBoardIzdelek - Get-CimInstance Win32_BaseBoard
- 25. (Get-CIMInstance Win32_ComputerSystem). Proizvajalec
- 26. (Get-CIMInstance Win32_ComputerSystem). Model
- 27. (Get-CIMInstance Win32_BIOS). Opis + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString ("MM/dd/llll")
- 28. (Get-CIMInstance Win32_BaseBoard). Izdelek
Upoštevanje vdelane programske opreme
Uvajanje novih potrdil varnega zagona v skupino naprav zahteva, da vdelana programska oprema naprave igra vlogo pri dokončanju posodobitve. Medtem ko Microsoft pričakuje, da bo večina vdelane programske opreme delovala po pričakovanjih, je pred uvedbo novih potrdil potrebno skrbno testiranje.
Preglejte inventar strojne opreme in ustvarite majhen, reprezentativen vzorec naprav na podlagi teh edinstvenih meril, kot so:
- Izdelovalec
- Številka modela
- Različica vdelane programske opreme
- Različica OEM Baseboard itd.
Priporočamo, da posodobitve potrdil preskusite na reprezentativnih vzorčnih napravah (kot so dejavniki, kot so proizvajalec, model, različica vdelane programske opreme), da zagotovite, da so posodobitve uspešno obdelane. Priporočena navodila o številu vzorčnih naprav za testiranje za vsako edinstveno kategorijo so 4 ali več.
To bo pomagalo pri izgradnji zaupanja v vaš postopek uvajanja in pomagalo preprečiti nepričakovane vplive na vaš širši vozni park.
V nekaterih primerih bo za uspešno posodobitev potrdil varnega zagona morda potrebna posodobitev vdelane programske opreme. V teh primerih priporočamo, da pri proizvajalcu naprave preverite, ali je na voljo posodobljena strojna programska oprema.
Windows v virtualiziranih okoljih
Za Windows, ki se izvaja v navideznem okolju, obstajata dva načina za dodajanje novih potrdil v spremenljivke vdelane programske opreme varnega zagona:
- Ustvarjalec virtualnega okolja (AWS, Azure, Hyper-V, VMware itd.) lahko zagotovi posodobitev okolja in vključi nova potrdila v virtualizirano vdelano programsko opremo. To bi delovalo za nove virtualizirane naprave.
- Za Windows, ki se dolgoročno izvaja v VM, lahko posodobitve uporabite prek sistema Windows kot vse druge naprave, če virtualizirana vdelana programska oprema podpira posodobitve varnega zagona.
Spremljanje in uvajanje
Priporočamo, da začnete s spremljanjem naprav pred uvedbo, da se prepričate, da spremljanje deluje pravilno in da imate vnaprej dober občutek za stanje voznega parka. Možnosti spremljanja so obravnavane spodaj.
Microsoft ponuja več načinov za uvajanje in nadzor posodobitev potrdil za varen zagon.
Pomoč pri avtomatiziranem uvajanju
Microsoft ponuja dve pomoči pri uvajanju. Te pomoči se lahko izkažejo za koristne pri uvajanju novih certifikatov v vaš vozni park. Samo pomoč za uvajanje nadzorovanih funkcij zahteva diagnostične podatke.
Možnost za zbirne posodobitve z vedri zaupanja: Microsoft lahko samodejno vključi zelo zanesljive skupine naprav v mesečne posodobitve na podlagi diagnostičnih podatkov, ki so bili v skupni rabi do danes, kar koristi sistemom in organizacijam, ki diagnostičnih podatkov ne morejo dati v skupno rabo. Ta korak ne zahteva omogočanja diagnostičnih podatkov.
- Organizacijam in sistemom, ki lahko dajejo diagnostične podatke v skupno rabo, Microsoft omogoča preglednost in zaupanje, da lahko naprave uspešno uvedejo potrdila. Več informacij o omogočanju diagnostičnih podatkov je na voljo v razdelku: Konfiguracija diagnostičnih podatkov sistema Windows v organizaciji. Za vsako enolično napravo ustvarjamo »vedra« (kot so opredeljena z atributi, ki vključujejo proizvajalca, različico matične plošče, proizvajalca vdelane programske opreme, različico vdelane programske opreme in dodatne podatkovne točke). Za vsako vedro spremljamo dokaze o uspehu v več napravah. Ko bomo videli dovolj uspešnih posodobitev in brez napak, bomo vedro obravnavali kot »visoko zaupanje« in te podatke vključili v mesečne zbirne posodobitve. Ko se mesečne posodobitve uporabijo za napravo v zelo zanesljivem vedru, Windows samodejno uporabi potrdila za spremenljivke varnega zagona UEFI v vdelani programski opremi.
- Zelo zanesljiva vedra vključujejo naprave, ki pravilno obdelujejo posodobitve. Seveda vse naprave ne zagotavljajo diagnostičnih podatkov, kar lahko omeji Microsoftovo zaupanje v sposobnost naprave, da pravilno obdela posodobitve.
- Ta pomoč je privzeto omogočena za naprave z visoko stopnjo zaupanja in jo je mogoče onemogočiti z nastavitvijo, specifično za napravo. Več informacij bo na voljo v prihodnjih izdajah sistema Windows.
Nadzorovano uvajanje funkcij (CFR): Privolite v naprave za uvajanje, ki ga upravlja Microsoft, če so omogočeni diagnostični podatki.
Nadzorovano uvajanje funkcij (CFR) se lahko uporablja z odjemalskimi napravami v skupinah organizacij. To zahteva, da naprave pošiljajo zahtevane diagnostične podatke Microsoftu in so sporočile, da naprava dovoljuje CFR v napravi. Podrobnosti o tem, kako se odločite, so opisane spodaj.
Microsoft bo upravljal postopek posodabljanja teh novih potrdil v napravah s sistemom Windows, kjer so na voljo diagnostični podatki in naprave sodelujejo v uvajanju nadzorovanih funkcij (CFR). Medtem ko lahko CFR pomaga pri uvajanju novih certifikatov, se organizacije ne bodo mogle zanašati na CFR za sanacijo svojih voznih parkov - to bo zahtevalo upoštevanje korakov, opisanih v tem dokumentu v razdelku o metodah uvajanja, ki niso zajete v avtomatizirani pomoči.
Omejitve: Obstaja nekaj razlogov, zakaj CFR morda ne deluje v vašem okolju. Primer:
- Diagnostični podatki niso na voljo ali diagnostični podatki niso uporabni kot del uvedbe CFR.
- Naprave niso nameščene v podprtih odjemalskih različicah sistema Windows 11 in Windows 10 z razširjenimi varnostnimi posodobitvami (ESU).
Metode uvajanja, ki niso zajete v avtomatiziranih pripomočkih
Izberite metodo, ki ustreza vašemu okolju. Izogibajte se načinom mešanja na isti napravi:
Registrski ključi: nadzirajte uvajanje in spremljajte rezultate.
Na voljo je več registrskih ključev za nadzor delovanja uvajanja potrdil in za spremljanje rezultatov. Poleg tega obstajata dva ključa za vključitev in odjavo zgoraj opisanih pripomočkov za uvajanje. Če želite več informacij o registrskih ključih, glejte Posodobitve registrskega ključa za varen zagon – naprave s sistemom Windows s posodobitvami, ki jih upravlja IT.Predmeti pravilnika skupine (GPO): upravljanje nastavitev; spremljanje prek registra in dnevnikov dogodkov.
Microsoft bo v prihodnji posodobitvi zagotavljal podporo za upravljanje posodobitev varnega zagona s pravilnikom skupine. Ker je pravilnik skupine namenjen nastavitvam, je treba spremljanje stanja naprave opraviti z nadomestnimi metodami, vključno s spremljanjem registrskih ključev in vnosov v dnevnik dogodkov.TCLI WinCS (konfiguracijski sistem Windows): uporabite orodja ukazne vrstice za odjemalce, ki so pridruženi domeni.
Skrbniki domene lahko uporabijo tudi konfiguracijski sistem Windows (WinCS), ki je vključen v posodobitve operacijskega sistema Windows, za uvajanje posodobitev varnega zagona v odjemalce in strežnike sistema Windows, ki so pridruženi domeni. Sestavljen je iz niza pripomočkov ukazne vrstice (tako tradicionalne izvršljive datoteke kot modula PowerShell) za poizvedovanje in uporabo konfiguracij varnega zagona lokalno na računalniku. Več informacij je na voljo v teh člankih:Microsoft Intune/Configuration Manager: Uvedba skriptov PowerShell. V prihodnji posodobitvi bo na voljo ponudnik konfiguracijskih storitev (CSP), ki bo omogočal uvajanje s storitvijo Intune.
Spremljanje dnevnikov dogodkov
Na voljo sta dva nova dogodka, ki bosta pomagala pri uvajanju posodobitev potrdil za varen zagon. Ti dogodki so podrobno opisani v razdelku Secure Boot DB in dogodki posodobitve spremenljivke DBX:
-
ID dogodka: 1801
Ta dogodek je dogodek napake, ki pomeni, da posodobljena potrdila niso bila uporabljena za napravo. Ta dogodek vsebuje nekaj podrobnosti, ki so značilne za napravo, vključno z atributi naprave, ki bodo pomagale pri povezovanju naprav, ki jih je treba še posodobiti. -
ID dogodka: 1808
Ta dogodek je informativni dogodek, ki označuje, da so v napravi za vdelano programsko opremo naprave uporabljena zahtevana nova potrdila za varen zagon.
Strategije uvajanja
Če želite zmanjšati tveganje, posodobitve varnega zagona uvajajte postopoma in ne naenkrat. Začnite z majhno podmnožico naprav, preverite rezultate in nato razširite na dodatne skupine. Priporočamo, da začnete s podnabori naprav in ko pridobite zaupanje v te uvedbe, dodate dodatne podnabore naprav. Za določanje, kaj gre v podskupino, se lahko uporabi več dejavnikov, vključno z rezultati testov na vzorčnih napravah in organizacijski strukturi itd.
Odločitev o tem, katere naprave boste namestili, je odvisna od vas. Tukaj so navedene nekatere možne strategije.
- Velika skupina naprav: začnite tako, da se zanašate na zgoraj opisane pripomočke za najpogostejše naprave, ki jih upravljate. Hkrati se osredotočite na manj pogoste naprave, ki jih upravlja vaša organizacija. Preskusite majhne vzorčne naprave in če je preskus uspešen, uvedite v drugih napravah iste vrste. Če preskušanje povzroči težave, raziščite vzrok za težavo in določite korake za odpravljanje težave. Razmislite tudi o razredih naprav, ki imajo večjo vrednost v vašem voznem parku, ter začnite s preskušanjem in uvajanjem, da zagotovite, da imajo te naprave že zgodaj posodobljeno zaščito.
- Majhna flota, velika raznolikost: Če vozni park, ki ga upravljate, vsebuje veliko različnih naprav, pri katerih bi bilo testiranje posameznih naprav zelo nezahtevno, se v veliki meri zanašajte na dve pomoči zgoraj opisani, zlasti pri napravah, ki so verjetno običajni napravi na trgu. Najprej se osredotočite na naprave, ki so nujne za vsakodnevno delovanje, preskusite jih in nato uvedite. Nadaljujte s premikanjem navzdol po seznamu naprav z visoko prioriteto, preskušanjem in uvajanjem, medtem ko spremljate vozni park, da potrdite, da pomoč pomaga pri preostalih napravah.
Opombe
- Bodite pozorni na starejše naprave, še posebej naprave, ki jih proizvajalec ne podpira več. Čeprav bi morala vdelana programska oprema pravilno izvesti postopke posodobitve, pa nekatere morda ne. V primerih, ko vdelana programska oprema ne deluje pravilno in naprava ni več podprta, razmislite o zamenjavi naprave, da zagotovite zaščito varnega zagona v celotnem voznem parku.
- Nove naprave, proizvedene v zadnjih 1–2 letih, morda že imajo posodobljena potrdila, vendar morda v sistemu niso bile nameščene izdaje upravitelja zagona, s katerimi se je podpisal Windows UEFI CA 2023. Uporaba tega upravitelja zagona je pomemben zadnji korak pri uvajanju za vsako napravo.
- Ko je naprava izbrana za posodobitve, lahko traja nekaj časa, preden se posodobitve dokončajo. Ocenite, da traja 48 ur in en ali več ponovnih zagonov, preden bodo potrdila uporabljena.
Pogosta vprašanja (FAQ)
Za pogosta vprašanja glejte članek Pogosta vprašanja o varnem zagonu .
Odpravljanje težav
Če želite več informacij, si oglejte dokument »Odpravljanje težav «.
Dodatni viri
Namig
Te dodatne vire dodajte med zaznamke.
- Ciljna stran za uvedbo potrdila o varnem zagonu
- Pogosta vprašanja o varnem zagonu
- Naprave s sistemom Windows za podjetja in organizacije s posodobitvami, s katerimi upravlja oddelek za informacijsko tehnologijo
- Naprave s sistemom Windows za domače uporabnike, podjetja in šole s posodobitvami, s katerimi upravlja Microsoft
- Windows 11 in varni zagon
- Dogodki posodobitve spremenljivk DB in DBX varnega zagona
- Navodila za ustvarjanje in upravljanje ključa za varni zagon
- Varni zagon
- Posodabljanje ključev za varni zagon
- Navodila za uvedbo CVE-2023-24932 v podjetja
- Kako upravljati preklice storitve Upravitelj zagona sistema Windows za spremembe varnega zagona, povezane s CVE-2023-24932