Inledning
Windows-uppdateringar som släpptes den 13 februari 2024 omfattar möjligheten att tillämpa Windows UEFI CA 2023-certifikatet på UEFI Secure Boot Allowed Signature Database (DB). Genom att uppdatera DB kan enheter ta emot kommande uppdateringar för startinläsning som ingår i månatliga uppdateringar.
Detta är viktigt eftersom det befintliga certifikatet upphör att gälla och att flytta till det nya certifikatet är det första steget för att förbereda enheter för att arbeta med kommande uppdateringar för startinläsare som kommer att signeras kryptografiskt med hjälp av det nya certifikatet.
Uppdateringar av DB är kända för att ha kompatibilitetsproblem med vissa enheter. För att underlätta distributionen till Windows-enheter gäller inte uppdateringen av DB automatiskt. För företagsmiljöer är det viktigt att ha en kontrollerad distribution av uppdateringen efter noggrann validering med representativa enheter som finns i miljön för att undvika störningar.
En detaljerad beskrivning finns i Uppdatera Microsofts nycklar för säker start.
Vidta åtgärder
Distribuera DB-uppdateringen till representativa provtestenheter genom att följa distributionsanvisningarna i Uppdatera Microsoft Secure Boot Keys.
När en testenhet har uppdaterat DB bör det vara säkert att distribuera DB-uppdateringen till enheter med samma konfiguration av maskinvara och inbyggd programvara. Det kan du göra genom att ange följande registernyckel med hjälp av distributionsprogram som Grupprincip eller hantering av mobila enheter (MDM):
Registersökväg: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Namn: AvailableUpdates
Värde: 0x40
När enheten har startats om ska DB uppdateras. I vissa fall kan en andra omstart krävas.
Kända problem
Information om kända problem med den här uppdateringen finns i avsnittet Kända problem i KB5025885: Så här hanterar du återkallning av Windows Boot Manager för ändringar av säker start som är associerade med CVE-2023-24932.
