การอัปเดตใบรับรองการบูตแบบปลอดภัย: คําแนะนําสําหรับผู้เชี่ยวชาญด้าน IT และองค์กร
นำไปใช้กับ
วันที่เผยแพร่ครั้งแรก: 26 มิถุนายน 2025
KB ID: 5062713
บทความนี้มีคําแนะนําสําหรับ:
องค์กร (องค์กร ธุรกิจขนาดเล็ก และการศึกษา) ที่มีอุปกรณ์และการอัปเดต Windows ที่มีการจัดการด้าน IT
หมายเหตุ: หากคุณเป็นเจ้าของอุปกรณ์ Windows ส่วนบุคคล โปรดไปที่บทความ อุปกรณ์ Windows สําหรับผู้ใช้ที่บ้าน ธุรกิจ และโรงเรียนที่มีการอัปเดตที่ได้รับการจัดการจาก Microsoft
|
เปลี่ยนวันที่ |
เปลี่ยนคําอธิบาย |
|---|---|
|
วันที่ 5 พฤษภาคม 2026 |
|
|
วันที่ 30 มีนาคม 2569 |
|
|
วันที่ 24 มีนาคม 2569 |
|
|
วันที่ 16 มีนาคม 2569 |
|
|
วันที่ 3 มีนาคม 2569 |
|
|
วันที่ 24 กุมภาพันธ์ 2569 |
|
|
วันที่ 23 กุมภาพันธ์ 2569 |
|
|
วันที่ 13 กุมภาพันธ์ 2569 |
|
|
วันที่ 3 กุมภาพันธ์ 2569 |
|
|
วันที่ 26 มกราคม 2569 |
|
|
วันที่ 11 พฤศจิกายน 2568 |
แก้ไขการพิมพ์ผิดสองตัวภายใต้ "การสนับสนุนการปรับใช้ใบรับรองการบูตแบบปลอดภัย"
|
|
วันที่ 10 พฤศจิกายน 2568 |
|
ในบทความนี้:
ภาพรวม
บทความนี้มีไว้สําหรับองค์กรที่มีผู้เชี่ยวชาญด้านไอทีโดยเฉพาะที่จัดการการอัปเดตในอุปกรณ์ของตน บทความนี้ส่วนใหญ่จะมุ่งเน้นไปที่กิจกรรมที่จําเป็นสําหรับแผนก IT ขององค์กรเพื่อให้ประสบความสําเร็จในการปรับใช้ใบรับรองการบูตแบบปลอดภัยใหม่ กิจกรรมเหล่านี้รวมถึงการทดสอบเฟิร์มแวร์ การตรวจสอบการอัปเดตอุปกรณ์ การเริ่มต้นการปรับใช้ และการวินิจฉัยปัญหาที่เกิดขึ้น มีการนําเสนอวิธีการปรับใช้และการตรวจสอบหลายวิธี นอกเหนือจากกิจกรรมหลักเหล่านี้แล้ว เรายังเสนอเครื่องมือช่วยเหลือการปรับใช้หลายอย่าง รวมถึงตัวเลือกในการเลือกเข้าร่วมอุปกรณ์ไคลเอ็นต์สําหรับการเข้าร่วม Controlled Feature Rollout (CFR) โดยเฉพาะสําหรับการปรับใช้ใบรับรอง
ปรับใช้หนังสือเล่นสําหรับผู้เชี่ยวชาญด้านไอที
วางแผนและดําเนินการอัปเดตใบรับรองการบูตแบบปลอดภัยในอุปกรณ์ของคุณผ่านการเตรียมความพร้อม การตรวจสอบ การปรับใช้ และการแก้ไข
การตรวจสอบสถานะการบูตแบบปลอดภัยในอุปกรณ์ทั้งหมดของคุณ: การบูตแบบปลอดภัยเปิดใช้งานอยู่หรือไม่
อุปกรณ์ส่วนใหญ่ที่ผลิตตั้งแต่ปี 2012 มีการสนับสนุนการบูตแบบปลอดภัย และจะจัดส่งมาพร้อมกับ Secure Boot ที่เปิดใช้งาน เมื่อต้องการตรวจสอบว่าอุปกรณ์เปิดใช้งานการบูตแบบปลอดภัยหรือไม่ ให้เลือกทําอย่างใดอย่างหนึ่งต่อไปนี้:
-
วิธี GUI: ไปที่เริ่มต้นการตั้งค่า > > ความเป็นส่วนตัว & ความปลอดภัย > ความปลอดภัยของ Windows > ความปลอดภัยของอุปกรณ์ ภายใต้ ความปลอดภัยของอุปกรณ์ ส่วนการบูตแบบปลอดภัยควรระบุว่าการบูตแบบปลอดภัยเปิดอยู่
-
วิธีการบรรทัดคําสั่ง: ที่พร้อมท์คําสั่งด้วยสิทธิ์ผู้ดูแลใน PowerShell ให้พิมพ์ Confirm-SecureBootUEFI แล้วกด Enter คําสั่งควรส่งกลับ True ที่ระบุว่าการบูตแบบปลอดภัยเปิดอยู่
ในการปรับใช้ขนาดใหญ่สําหรับกลุ่มอุปกรณ์ ซอฟต์แวร์การจัดการที่ผู้เชี่ยวชาญด้าน IT ใช้จะต้องตรวจสอบการเปิดใช้งานการบูตแบบปลอดภัย
ตัวอย่างเช่น วิธีการตรวจสอบสถานะการบูตแบบปลอดภัยบนอุปกรณ์ที่จัดการโดย Microsoft Intune คือการสร้างและปรับใช้สคริปต์การปฏิบัติตามข้อบังคับแบบกําหนดเอง Intune การตั้งค่าการปฏิบัติตามข้อบังคับ Intune ครอบคลุมอยู่ใน ใช้การตั้งค่าการปฏิบัติตามข้อบังคับแบบกําหนดเองสําหรับ Linux และอุปกรณ์ Windows กับ Microsoft Intune
ตัวอย่าง สคริปต์ Powershell เพื่อตรวจสอบว่าการบูตแบบปลอดภัยเปิดใช้งานอยู่หรือไม่:
# Initialize result object in preparation for checking Secure Boot state
$result = [PSCustomObject]@{
SecureBootEnabled = $null
}
try {
$result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop
Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)"
} catch {
$result.SecureBootEnabled = $null
Write-Warning "Unable to determine Secure Boot status: $_"
}
หากไม่ได้เปิดใช้งาน Secure Boot คุณสามารถข้ามขั้นตอนการอัปเดตด้านล่างเนื่องจากไม่สามารถใช้งานได้
วิธีการปรับใช้การอัปเดต
มีหลายวิธีในการกําหนดเป้าหมายอุปกรณ์สําหรับการอัปเดตใบรับรองการบูตแบบปลอดภัย รายละเอียดการปรับใช้ รวมถึงการตั้งค่าและเหตุการณ์จะกล่าวถึงต่อไปในเอกสารนี้ เมื่อคุณกําหนดเป้าหมายอุปกรณ์สําหรับการอัปเดต จะมีการตั้งค่าบนอุปกรณ์เพื่อระบุว่าอุปกรณ์ควรเริ่มกระบวนการนําใบรับรองใหม่ไปใช้ งานที่กําหนดเวลาไว้จะทํางานบนอุปกรณ์ทุก 12 ชั่วโมงและตรวจพบว่าอุปกรณ์ถูกกําหนดเป้าหมายสําหรับการอัปเดต เค้าร่างของสิ่งที่งานทํามีดังนี้:
-
Windows UEFI CA 2023 ถูกนําไปใช้กับ DB
-
หากอุปกรณ์มี Microsoft Corporation UEFI CA 2011 ใน DB งานนั้นจะใช้ Microsoft Option ROM UEFI CA 2023 และ Microsoft UEFI CA 2023 กับ DB
-
งานนี้จึงเพิ่ม Microsoft Corporation KEK 2K CA 2023
-
สุดท้าย งานที่กําหนดเวลาไว้จะอัปเดตตัวจัดการการเริ่มต้นระบบ Windows ให้เป็นตัวจัดการที่ลงชื่อโดย Windows UEFI CA 2023 Windows จะตรวจพบว่าจําเป็นต้องเริ่มระบบใหม่ก่อนจึงจะสามารถนําตัวจัดการการเริ่มต้นระบบไปใช้ได้ การอัปเดตตัวจัดการการเริ่มต้นระบบจะล่าช้ากว่าการเริ่มระบบใหม่ตามปกติ (เช่น เมื่อมีการอัปเดตรายเดือน) จากนั้น Windows จะพยายามใช้การอัปเดตตัวจัดการการเริ่มต้นระบบอีกครั้ง
แต่ละขั้นตอนข้างต้นต้องเสร็จสมบูรณ์ก่อนที่งานที่กําหนดเวลาไว้จะย้ายไปยังขั้นตอนถัดไป ในระหว่างกระบวนการนี้ บันทึกเหตุการณ์และสถานะอื่นๆ จะพร้อมใช้งานเพื่อช่วยในการตรวจสอบการปรับใช้ รายละเอียดเพิ่มเติมเกี่ยวกับการตรวจสอบและบันทึกเหตุการณ์มีอยู่ด้านล่างนี้
การอัปเดตใบรับรองการบูตแบบปลอดภัยทําให้สามารถอัปเดตในอนาคตเป็นตัวจัดการการเริ่มต้นระบบของปี 2023 ซึ่งมีความปลอดภัยมากกว่า การอัปเดตเฉพาะในตัวจัดการการเริ่มต้นระบบจะเปิดตัวในอนาคต
ขั้นตอนการปรับใช้
-
การเตรียมการ: อุปกรณ์สินค้าคงคลังและการทดสอบ
-
ข้อควรพิจารณาเกี่ยวกับเฟิร์มแวร์
-
การตรวจสอบ: ตรวจสอบการทํางานและพื้นฐานกองเรือของคุณ
-
การปรับใช้: อุปกรณ์เป้าหมายสําหรับการอัปเดต เริ่มต้นด้วยชุดย่อยขนาดเล็กและขยายตามการทดสอบที่ประสบความสําเร็จ
-
การแก้ไข: ตรวจสอบและแก้ไขปัญหาโดยใช้บันทึกและการสนับสนุนผู้จัดจําหน่าย
เตรียม
ฮาร์ดแวร์และเฟิร์มแวร์สินค้าคงคลัง สร้างตัวอย่างอุปกรณ์ที่เป็นตัวแทนตามผู้ผลิตระบบ รุ่นระบบ เวอร์ชัน BIOS/วันที่ เวอร์ชันผลิตภัณฑ์ BaseBoard เป็นต้น และทดสอบการอัปเดตบนอุปกรณ์เหล่านั้นก่อนที่จะปรับใช้ในวงกว้าง พารามิเตอร์เหล่านี้มักจะมีอยู่ในข้อมูลระบบ (MSINFO32) ใช้คําสั่ง PowerShell ตัวอย่างที่มีในการตรวจสอบสถานะการอัปเดตการบูตแบบปลอดภัยและอุปกรณ์สินค้าคงคลังทั่วทั้งองค์กรของคุณ
หมายเหตุ:
-
คําสั่งเหล่านี้ใช้ได้หากมีการเปิดใช้งานสถานะการบูตแบบปลอดภัย
-
คําสั่งเหล่านี้จํานวนมากต้องการสิทธิ์ระดับผู้ดูแลระบบในการทํางาน
ตัวอย่างสคริปต์การเก็บรวบรวมข้อมูลการบูตแบบปลอดภัย
คัดลอกและวางสคริปต์ตัวอย่างนี้และปรับเปลี่ยนตามที่จําเป็นสําหรับสภาพแวดล้อมของคุณ: สคริปต์การเก็บรวบรวมข้อมูลสินค้าคงคลัง Secure Boot ตัวอย่าง
ผลลัพธ์ตัวอย่าง:
{"UEFICA2023Status":"Updated","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null, "AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS", "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true, "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName": "Microsoft Corporation","OEMModelSystemFamily":"Surface","OEMModelNumber": "Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"11/03/2025", "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId": 1808,"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f", "Confidence":"UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null, "Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null, "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false, "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion": "10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer": "Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true, "SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}
ระดับความเชื่อมั่นในการบูตแบบปลอดภัย
|
ระดับความเชื่อมั่น |
ความหมาย |
ต้องดําเนินการ |
|
ความเชื่อมั่นสูง |
Microsoft ได้ตรวจสอบว่าคลาสอุปกรณ์นี้ปลอดภัยสําหรับการอัปเดต |
ปลอดภัยที่จะปรับใช้การอัปเดตใบรับรอง |
|
ภายใต้การสังเกต - ต้องการข้อมูลเพิ่มเติม |
Microsoft ยังคงรวบรวมข้อมูลการวินิจฉัยการบูตแบบปลอดภัยเกี่ยวกับอุปกรณ์เหล่านี้ |
รอการจัดประเภท Microsoft |
|
ไม่มีข้อมูลที่สังเกต - จําเป็นต้องดําเนินการ |
Microsoft ไม่รู้จักคลาสอุปกรณ์ |
องค์กรต้องทดสอบและวางแผนการเปิดตัว |
|
หยุดชั่วคราว |
ปัญหาความเข้ากันได้ที่ทราบแล้ว |
ตรวจหาการอัปเดต BIOS ของ OEM รอให้ Microsoft แก้ไข |
|
ไม่สนับสนุน - ข้อจํากัดที่ทราบแล้ว |
ข้อจํากัดของแพลตฟอร์มหรือฮาร์ดแวร์ |
เอกสารเป็นข้อยกเว้น |
ขั้นตอนแรกหากเปิดใช้งานการบูตแบบปลอดภัยคือการตรวจสอบว่ามีเหตุการณ์ที่ค้างอยู่ซึ่งเพิ่งได้รับการอัปเดตหรืออยู่ในกระบวนการอัปเดตใบรับรองการบูตแบบปลอดภัยหรือไม่ ความสนใจที่เฉพาะเจาะจงคือเหตุการณ์ล่าสุดใน 1801 และ 1808 เหตุการณ์เหล่านี้อธิบายรายละเอียดในเหตุการณ์การอัปเดตตัวแปร DB และ DBX ของ Secure Boot นอกจากนี้ โปรดตรวจสอบส่วน การตรวจสอบและการปรับใช้ สําหรับวิธีที่เหตุการณ์สามารถแสดงสถานะของการอัปเดตที่ค้างอยู่
ขั้นตอนถัดไปคือสร้างอุปกรณ์สินค้าคงคลังทั่วทั้งองค์กรของคุณ รวบรวมรายละเอียดต่อไปนี้ด้วยคําสั่ง PowerShell เพื่อสร้างตัวอย่างที่เป็นตัวแทน:
ตัวระบุพื้นฐาน (ค่า 2 ค่า)
1. HostName - $env: COMPUTERNAME
2. CollectionTime - Get-Date
รีจิสทรี: คีย์หลักของการบูตแบบปลอดภัย (3 ค่า)
3. SecureBootEnabled - Confirm-SecureBootUEFI cmdlet หรือ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
4. HighConfidenceOptOut - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
5. AvailableUpdates - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
รีจิสทรี: คีย์การให้บริการ (3 ค่า)
6. UEFICA2023Status -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
7. WindowsUEFICA2023 สามารถเก็บได้ - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
8. UEFICA2023Error - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
รีจิสทรี: แอตทริบิวต์ของอุปกรณ์ (7 ค่า)
9. OEMManufacturerName - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
10. OEMModelSystemFamily - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
11. OEMModelNumber - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
12. FirmwareVersion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
13. FirmwareReleaseDate - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
14. OSArchitecture - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
15. CanAttemptUpdateAfter - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes
บันทึกเหตุการณ์: บันทึกของระบบ (5 ค่า)
16. LatestEventId - เหตุการณ์การบูตแบบปลอดภัยล่าสุด
17. BucketID - แยกจากเหตุการณ์ 1801/1808
18. ความเชื่อมั่น - แยกจากเหตุการณ์ 1801/1808
19. เหตุการณ์ 1801 นับ - จํานวนของเหตุการณ์
20. Event1808Count - จํานวนของเหตุการณ์
คิวรี WMI/CIM (4 ค่า)
21. OSVersion - Get-CimInstance Win32_OperatingSystem
22. LastBootTime - Get-CimInstance Win32_OperatingSystem
23. BaseBoardManufacturer - Get-CimInstance Win32_BaseBoard
24. BaseBoardProduct - Get-CimInstance Win32_BaseBoard
25. (Get-CIMInstance Win32_ComputerSystem) ผลิต
26. (Get-CIMInstance Win32_ComputerSystem) รุ่น
27. (Get-CIMInstance Win32_BIOS) คําอธิบาย + ", " + (Get-CIMInstance Win32_BIOS) ReleaseDate.ToString("MM/dd/yyyy")
28. (Get-CIMInstance Win32_BaseBoard) ผลิตภัณฑ์
ข้อควรพิจารณาเกี่ยวกับเฟิร์มแวร์
การปรับใช้ใบรับรองการบูตแบบปลอดภัยใหม่กับกลุ่มอุปกรณ์จําเป็นต้องให้เฟิร์มแวร์ของอุปกรณ์มีบทบาทในการทําการอัปเดตให้เสร็จสมบูรณ์ ขณะที่ Microsoft คาดหวังว่าเฟิร์มแวร์อุปกรณ์ส่วนใหญ่จะทํางานตามที่คาดไว้ คุณจําเป็นต้องทําการทดสอบอย่างระมัดระวังก่อนที่จะปรับใช้ใบรับรองใหม่
ตรวจสอบสินค้าคงคลังของฮาร์ดแวร์ของคุณและสร้างตัวอย่างขนาดเล็กที่เป็นตัวแทนของอุปกรณ์ตามเกณฑ์เฉพาะต่อไปนี้ เช่น:
-
ผู้ผลิต
-
หมายเลขรุ่น
-
เวอร์ชันเฟิร์มแวร์
-
OEM รุ่น Baseboard ฯลฯ
ก่อนที่จะปรับใช้อย่างกว้างขวางกับอุปกรณ์ในกองของคุณ เราขอแนะนําให้คุณทดสอบการอัปเดตใบรับรองบนอุปกรณ์ตัวอย่างที่เป็นตัวแทน (ตามที่กําหนดโดยปัจจัยต่างๆ เช่น ผู้ผลิต รุ่น เวอร์ชันเฟิร์มแวร์) เพื่อให้แน่ใจว่าการอัปเดตได้รับการประมวลผลเรียบร้อยแล้ว คําแนะนําที่แนะนําเกี่ยวกับจํานวนอุปกรณ์ตัวอย่างที่จะทดสอบสําหรับแต่ละประเภทที่ไม่ซ้ํากันคือ 4 หรือมากกว่า
ซึ่งจะช่วยสร้างความมั่นใจในกระบวนการปรับใช้ของคุณและช่วยหลีกเลี่ยงผลกระทบที่คาดไม่ถึงต่อกองยานของคุณในวงกว้าง
ในบางกรณี อาจจําเป็นต้องมีการอัปเดตเฟิร์มแวร์เพื่ออัปเดตใบรับรองการบูตแบบปลอดภัยให้เสร็จสมบูรณ์ ในกรณีเหล่านี้ เราขอแนะนําให้ตรวจสอบกับอุปกรณ์ของคุณ OEM เพื่อดูว่าเฟิร์มแวร์ที่อัปเดตพร้อมใช้งานหรือไม่
Windows ในสภาพแวดล้อมเสมือน
สําหรับ Windows ที่ทํางานในสภาพแวดล้อมเสมือน มีสองวิธีในการเพิ่มใบรับรองใหม่ไปยังตัวแปรเฟิร์มแวร์การบูตแบบปลอดภัย:
-
ผู้สร้างสภาพแวดล้อมเสมือน (AWS, Azure, Hyper-V, VMware ฯลฯ) สามารถมอบการอัปเดตสําหรับสภาพแวดล้อมและรวมใบรับรองใหม่ในเฟิร์มแวร์เสมือน วิธีนี้จะใช้ได้กับอุปกรณ์เสมือนใหม่
-
สําหรับ Windows ที่ใช้งานในระยะยาวใน VM การอัปเดตสามารถใช้งานผ่าน Windows ได้เช่นเดียวกับอุปกรณ์อื่นๆ หากเฟิร์มแวร์เสมือนรองรับการอัปเดต Secure Boot
การตรวจสอบและการปรับใช้
เราขอแนะนําให้คุณเริ่มการตรวจสอบอุปกรณ์ก่อนการปรับใช้เพื่อให้แน่ใจว่าการตรวจสอบทํางานอย่างถูกต้องและคุณมีความเหมาะสมกับสถานะของกองเรือล่วงหน้า ตัวเลือกการตรวจสอบจะกล่าวถึงด้านล่าง
Microsoft มีหลายวิธีในการปรับใช้และตรวจสอบการอัปเดตใบรับรองการบูตแบบปลอดภัย
ตัวช่วยการปรับใช้อัตโนมัติ
Microsoft มีตัวช่วยการปรับใช้สองตัว ความช่วยเหลือเหล่านี้อาจมีประโยชน์ในการช่วยในการปรับใช้ใบรับรองใหม่กับกองเรือของคุณ เฉพาะตัวช่วยการเปิดตัวฟีเจอร์ที่ควบคุมเท่านั้นที่จําเป็นต้องมีข้อมูลการวินิจฉัย
-
ตัวเลือกสําหรับการอัปเดตสะสมที่มีกลุ่มความเชื่อมั่น: Microsoft อาจรวมกลุ่มอุปกรณ์ที่มีความเชื่อมั่นสูงในการอัปเดตรายเดือนโดยอัตโนมัติตามข้อมูลการวินิจฉัยที่แชร์กับปัจจุบัน เพื่อประโยชน์แก่ระบบและองค์กรที่ไม่สามารถแชร์ข้อมูลการวินิจฉัยได้ ขั้นตอนนี้ไม่จําเป็นต้องมีข้อมูลการวินิจฉัยเพื่อเปิดใช้งาน
-
สําหรับองค์กรและระบบที่สามารถแชร์ข้อมูลการวินิจฉัย ช่วยให้ Microsoft สามารถมองเห็นและมั่นใจได้ว่าอุปกรณ์สามารถปรับใช้ใบรับรองได้สําเร็จ ข้อมูลเพิ่มเติมเกี่ยวกับการเปิดใช้งานข้อมูลการวินิจฉัยมีอยู่ใน: กําหนดค่าข้อมูลการวินิจฉัย Windows ในองค์กรของคุณ เรากําลังสร้าง "บักเก็ต" สําหรับอุปกรณ์เฉพาะแต่ละเครื่อง (ตามที่กําหนดโดยแอตทริบิวต์ที่มีผู้ผลิต รุ่นแผงวงจรแม่ ผู้ผลิตเฟิร์มแวร์ เวอร์ชันเฟิร์มแวร์ และจุดข้อมูลเพิ่มเติม) สําหรับถังแต่ละถังเรากําลังตรวจสอบหลักฐานความสําเร็จผ่านอุปกรณ์หลายเครื่อง เมื่อเราเห็นการอัปเดตที่ประสบความสําเร็จเพียงพอและไม่มีความล้มเหลวเราจะพิจารณาบักเก็ต "ความมั่นใจสูง" และรวมข้อมูลนั้นไว้ในการอัปเดตแบบสะสมรายเดือน เมื่อมีการปรับใช้การอัปเดตรายเดือนกับอุปกรณ์ในกลุ่มที่มีความเชื่อมั่นสูง Windows จะใช้ใบรับรองกับตัวแปรการบูตแบบปลอดภัย UEFI ในเฟิร์มแวร์โดยอัตโนมัติ
-
บักเก็ตที่มีความเชื่อมั่นสูงรวมถึงอุปกรณ์ที่กําลังประมวลผลการอัปเดตอย่างถูกต้อง โดยปกติแล้ว อุปกรณ์ไม่ได้ให้ข้อมูลการวินิจฉัยทั้งหมด และอาจจํากัดความมั่นใจของ Microsoft ในความสามารถของอุปกรณ์ในการประมวลผลการอัปเดตอย่างถูกต้อง
-
ความช่วยเหลือนี้เปิดใช้งานตามค่าเริ่มต้นสําหรับอุปกรณ์ที่มีความเชื่อมั่นสูง และสามารถปิดใช้งานได้ด้วยการตั้งค่าเฉพาะอุปกรณ์ จะมีการแชร์ข้อมูลเพิ่มเติมในการเผยแพร่ Windows ในอนาคต
-
-
การเปิดตัวฟีเจอร์ที่ควบคุม (CFR): เลือกรับอุปกรณ์สําหรับการปรับใช้ที่ Microsoft จัดการถ้ามีการเปิดใช้งานข้อมูลการวินิจฉัย
-
สามารถใช้ Controlled Feature Rollout (CFR) กับอุปกรณ์ไคลเอ็นต์ในกองงานขององค์กรได้ ซึ่งจําเป็นต้องให้อุปกรณ์ส่งข้อมูลการวินิจฉัยที่จําเป็นไปยัง Microsoft และมีสัญญาณว่าอุปกรณ์กําลังเลือกรับเพื่ออนุญาต CFR บนอุปกรณ์ รายละเอียดเกี่ยวกับวิธีเลือกรับได้อธิบายไว้ด้านล่าง
-
Microsoft จะจัดการกระบวนการอัปเดตสําหรับใบรับรองใหม่เหล่านี้บนอุปกรณ์ Windows ที่มีข้อมูลการวินิจฉัยและอุปกรณ์ที่เข้าร่วมในการเปิดตัวฟีเจอร์ที่ควบคุม (CFR) แม้ว่า CFR อาจช่วยในการปรับใช้ใบรับรองใหม่ แต่องค์กรจะไม่สามารถใช้ CFR เพื่อแก้ไขกลุ่มผลิตภัณฑ์ได้ แต่จะต้องทําตามขั้นตอนที่ระบุไว้ในเอกสารนี้ในส่วนเกี่ยวกับวิธีการปรับใช้ที่ไม่ครอบคลุมโดยความช่วยเหลืออัตโนมัติ
-
ขีด จำกัด: มีเหตุผลบางประการที่ CFR อาจไม่ทํางานในสภาพแวดล้อมของคุณ ตัวอย่างเช่น:
-
ไม่มีข้อมูลการวินิจฉัยหรือข้อมูลการวินิจฉัยใช้ไม่ได้เป็นส่วนหนึ่งของการปรับใช้ CFR
-
อุปกรณ์ไม่รองรับ Windows 11 ไคลเอ็นต์เวอร์ชันที่รองรับและ Windows 10 ที่มีการอัปเดตความปลอดภัยที่ขยายเวลา (ESU)
-
-
วิธีการปรับใช้ที่ไม่ครอบคลุมโดยตัวช่วยอัตโนมัติ
เลือกวิธีการที่เหมาะสมกับสภาพแวดล้อมของคุณ หลีกเลี่ยงการผสมวิธีการบนอุปกรณ์เดียวกัน:
-
รีจิสทรีคีย์: ควบคุมการปรับใช้และตรวจสอบผลลัพธ์มีรีจิสทรีคีย์หลายคีย์ที่พร้อมใช้งานสําหรับการควบคุมลักษณะการทํางานของการปรับใช้ใบรับรองและสําหรับการตรวจสอบผลลัพธ์ นอกจากนี้ยังมีคีย์สองแป้นในการเลือกรับและออกจากเครื่องมือช่วยเหลือการปรับใช้ที่อธิบายไว้ข้างต้น สําหรับข้อมูลเพิ่มเติมเกี่ยวกับรีจิสทรีคีย์ ดูที่ รีจิสทรีคีย์ Updates สําหรับการบูตแบบปลอดภัย - อุปกรณ์ Windows ที่มีการอัปเดตที่จัดการโดย IT
-
นโยบายกลุ่ม Objects (GPO): จัดการการตั้งค่า ตรวจสอบผ่านบันทึกรีจิสทรีและเหตุการณ์Microsoft จะให้การสนับสนุนสําหรับการจัดการการอัปเดตการบูตแบบปลอดภัยโดยใช้นโยบายกลุ่มในการอัปเดตในอนาคต โปรดทราบว่าเนื่องจากนโยบายกลุ่มใช้สําหรับการตั้งค่า การตรวจสอบสถานะของอุปกรณ์จะต้องดําเนินการโดยใช้วิธีอื่นรวมถึงการตรวจสอบรีจิสทรีคีย์และรายการบันทึกเหตุการณ์
-
WinCS (Windows Configuration System) CLI: ใช้เครื่องมือบรรทัดคําสั่งสําหรับไคลเอ็นต์ที่เข้าร่วมโดเมนผู้ดูแลโดเมนอาจใช้ Windows Configuration System (WinCS) ที่รวมอยู่ในการอัปเดตระบบปฏิบัติการ Windows เพื่อปรับใช้การอัปเดตการบูตแบบปลอดภัยในไคลเอ็นต์และเซิร์ฟเวอร์ของ Windows ที่เข้าร่วมโดเมน ประกอบด้วยชุดของโปรแกรมอรรถประโยชน์บรรทัดคําสั่ง (ทั้งโมดูลปฏิบัติการแบบดั้งเดิมและโมดูล PowerShell) เพื่อสอบถามและใช้การกําหนดค่าการบูตแบบปลอดภัยภายในเครื่องกับเครื่อง สําหรับข้อมูลเพิ่มเติม ให้ดูบทความต่อไปนี้:
-
Microsoft Intune/Configuration Manager: ปรับใช้สคริปต์ PowerShell ผู้ให้บริการการกําหนดค่า (CSP) จะมีอยู่ในการอัปเดตในอนาคตเพื่ออนุญาตให้ปรับใช้โดยใช้ Intune
การตรวจสอบบันทึกเหตุการณ์
มีการจัดเหตุการณ์ใหม่สองเหตุการณ์เพื่อช่วยในการปรับใช้การอัปเดตใบรับรองการบูตแบบปลอดภัย เหตุการณ์เหล่านี้อธิบายรายละเอียดในเหตุการณ์การอัปเดตตัวแปร DB และ DBX สําหรับ Secure Boot:
-
รหัสเหตุการณ์: 1801 เหตุการณ์นี้เป็นเหตุการณ์ข้อผิดพลาดที่ระบุว่าไม่มีการใช้ใบรับรองที่อัปเดตกับอุปกรณ์ เหตุการณ์นี้แสดงรายละเอียดบางอย่างที่เฉพาะเจาะจงสําหรับอุปกรณ์ รวมถึงแอตทริบิวต์ของอุปกรณ์ ซึ่งจะช่วยในความสัมพันธ์ระหว่างอุปกรณ์ที่ยังคงต้องการอัปเดต
-
รหัสเหตุการณ์: 1808 เหตุการณ์นี้เป็นเหตุการณ์ที่ให้ข้อมูลซึ่งระบุว่าอุปกรณ์มีใบรับรองการบูตแบบปลอดภัยที่จําเป็นต้องใช้ใหม่ที่ใช้กับเฟิร์มแวร์ของอุปกรณ์
กลยุทธ์การปรับใช้
เพื่อลดความเสี่ยง ให้ปรับใช้การอัปเดตการบูตแบบปลอดภัยเป็นระยะๆ แทนการปรับใช้ทั้งหมดในครั้งเดียว เริ่มต้นด้วยชุดย่อยของอุปกรณ์เล็กๆ ตรวจสอบผลลัพธ์ จากนั้นขยายไปยังกลุ่มเพิ่มเติม เราขอแนะนําให้คุณเริ่มต้นด้วยชุดย่อยของอุปกรณ์ และเมื่อคุณมั่นใจในการปรับใช้เหล่านั้น ให้เพิ่มชุดย่อยของอุปกรณ์เพิ่มเติม มีหลายปัจจัยที่สามารถใช้เพื่อกําหนดสิ่งที่อยู่ในชุดย่อย รวมถึงผลการทดสอบบนอุปกรณ์ตัวอย่างและโครงสร้างองค์กร เป็นต้น
การตัดสินใจเกี่ยวกับอุปกรณ์ที่คุณปรับใช้ขึ้นอยู่กับคุณ กลยุทธ์ที่เป็นไปได้บางอย่างจะแสดงอยู่ที่นี่
-
กองอุปกรณ์ขนาดใหญ่: เริ่มต้นด้วยการพึ่งพาความช่วยเหลือที่อธิบายไว้ข้างต้นสําหรับอุปกรณ์ทั่วไปที่คุณจัดการ ในแบบคู่ขนาน ให้มุ่งเน้นไปที่อุปกรณ์ที่ใช้กันทั่วไปน้อยกว่าซึ่งจัดการโดยองค์กรของคุณ ทดสอบอุปกรณ์ตัวอย่างขนาดเล็ก และถ้าการทดสอบประสบความสําเร็จ ให้ปรับใช้กับอุปกรณ์ที่เหลือที่มีชนิดเดียวกัน หากการทดสอบก่อให้เกิดปัญหา ให้ตรวจสอบสาเหตุของปัญหาและตรวจสอบขั้นตอนการแก้ไข คุณอาจต้องพิจารณาคลาสของอุปกรณ์ที่มีค่าสูงกว่าในกลุ่มของคุณ และเริ่มการทดสอบและปรับใช้เพื่อให้แน่ใจว่าอุปกรณ์เหล่านั้นได้อัปเดตการป้องกันไว้แล้วตั้งแต่ต้น
-
กองเรือขนาดเล็กหลากหลาย: หากกองเรือที่คุณกําลังจัดการมีเครื่องที่หลากหลายซึ่งการทดสอบอุปกรณ์แต่ละอย่างจะเป็นสิ่งห้ามให้พิจารณาใช้ความช่วยเหลือสองอย่างที่อธิบายไว้ข้างต้นโดยเฉพาะอย่างยิ่งสําหรับอุปกรณ์ที่มีแนวโน้มที่จะเป็นอุปกรณ์ทั่วไปในตลาด เริ่มแรกให้ความสําคัญกับอุปกรณ์ที่สําคัญต่อการดําเนินการแบบวันต่อวัน ทดสอบ และปรับใช้ ดําเนินการเลื่อนรายการอุปกรณ์ที่มีลําดับความสําคัญสูงทดสอบและปรับใช้ในขณะที่ตรวจสอบกองเรือเพื่อยืนยันว่าความช่วยเหลือกําลังช่วยเหลือเกี่ยวกับส่วนที่เหลือของอุปกรณ์
หมายเหตุ
-
ให้ความสนใจกับอุปกรณ์รุ่นเก่าโดยเฉพาะอย่างยิ่งอุปกรณ์ที่ไม่ได้รับการสนับสนุนจากผู้ผลิตอีกต่อไป แม้ว่าเฟิร์มแวร์ควรดําเนินการอัปเดตได้อย่างถูกต้อง แต่บางเฟิร์มแวร์อาจไม่ทํางาน ในกรณีที่เฟิร์มแวร์ทํางานไม่ถูกต้องและอุปกรณ์ไม่ได้รับการสนับสนุนอีกต่อไป ให้พิจารณาเปลี่ยนอุปกรณ์เพื่อให้แน่ใจว่ามีการป้องกันการบูตแบบปลอดภัยในอุปกรณ์ทั้งหมดของคุณ
-
อุปกรณ์ใหม่ที่ผลิตในช่วง 1-2 ปีที่ผ่านมาอาจมีใบรับรองที่อัปเดตอยู่แล้ว แต่อาจไม่มีตัวจัดการการบูตที่ลงนามใน Windows UEFI CA 2023 ที่ใช้กับระบบ การใช้ตัวจัดการการเริ่มต้นระบบนี้เป็นขั้นตอนสุดท้ายที่สําคัญในการปรับใช้สําหรับแต่ละอุปกรณ์
-
เมื่อเลือกอุปกรณ์สําหรับการอัปเดตแล้ว อาจต้องใช้เวลาสักครู่ก่อนที่การอัปเดตจะเสร็จสมบูรณ์ ประมาณ 48 ชั่วโมงและเริ่มระบบใหม่อย่างน้อยหนึ่งครั้งสําหรับใบรับรองที่จะใช้
คําถามที่ถามบ่อย (FAQ)
สําหรับคําถามที่ถามบ่อย ดูที่บทความ คําถามที่ถามบ่อยเกี่ยวกับ Secure Boot
การแก้ไขปัญหา
ดูเอกสาร การแก้ไขปัญหา สําหรับรายละเอียดเพิ่มเติม
ทรัพยากรเพิ่มเติม
เคล็ดลับ: บุ๊กมาร์กแหล่งข้อมูลเพิ่มเติมเหล่านี้
ต้องการความช่วยเหลือเพิ่มเติมหรือไม่
ต้องการตัวเลือกเพิ่มเติมหรือไม่
สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ
ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย
