Inledning
Windows-uppdateringar som släpptes den 13 februari 2024 omfattar möjligheten att tillämpa Windows UEFI CA 2023-certifikatet på UEFI Secure Boot Allowed Signature Database (DB). Genom att uppdatera DB kan enheter ta emot kommande uppdateringar för startinläsning som ingår i månatliga uppdateringar.
Detta är viktigt eftersom det befintliga certifikatet upphör att gälla och att flytta till det nya certifikatet är det första steget för att förbereda enheter för att arbeta med kommande uppdateringar för startinläsare som kommer att signeras kryptografiskt med hjälp av det nya certifikatet.
Uppdateringar till DB är kända för att ha kompatibilitetsproblem med vissa enheter. För att underlätta distributionen till Windows-enheter gäller inte uppdateringen av DB automatiskt. För företagsmiljöer är det viktigt att ha en kontrollerad distribution av uppdateringen efter noggrann validering med representativa enheter som finns i miljön för att undvika störningar.
En detaljerad beskrivning finns i Uppdatera Microsofts nycklar för säker start.
Vidta åtgärder
Distribuera DB-uppdateringen till representativa provtestenheter genom att följa distributionsanvisningarna i Uppdatera Microsoft Secure Boot Keys.
När en testenhet har uppdaterat DB bör det vara säkert att distribuera DB-uppdateringen till enheter med samma konfiguration av maskinvara och inbyggd programvara. Det kan du göra genom att ange följande registernyckel med hjälp av distributionsprogram som grupprincip eller hantering av mobila enheter (MDM):
Registersökväg: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Namn: AvailableUpdates
Värde: 0x40
När enheten har startats om ska DB uppdateras. I vissa fall kan en andra omstart krävas.
Kända problem
Problem |
Nästa steg |
ARM64-baserade enheter är för närvarande blockerade från att installera DB-uppdateringen. |
Microsoft samarbetar med OEM-enhetsleverantörer för att uppdatera sin inbyggda programvara för att åtgärda ett problem med ARM64-baserad inbyggd programvara. |