บทนำ
การอัปเดต Windows ที่เผยแพร่ในวันที่ 13 กุมภาพันธ์ 2024 และหลังจากนั้นรวมถึงความสามารถในการนําใบรับรอง Windows UEFI CA 2023 ไปใช้กับ UEFI Secure Boot Allowed Signature Database (DB) การอัปเดต DB จะช่วยให้อุปกรณ์สามารถรับการอัปเดตตัวโหลดการบูตในอนาคตซึ่งรวมอยู่ในการอัปเดตรายเดือน
นี่เป็นสิ่งสําคัญเนื่องจากใบรับรองที่มีอยู่จะหมดอายุและการย้ายไปยังใบรับรองใหม่เป็นขั้นตอนแรกในการเตรียมอุปกรณ์เพื่อทํางานกับการอัปเดตตัวโหลดการบูตที่กําลังจะมาถึงซึ่งจะได้รับการเซ็นชื่อด้วยการเข้ารหัสลับโดยใช้ใบรับรองใหม่
การอัปเดต DB เป็นที่ทราบกันดีว่ามีปัญหาความเข้ากันได้กับอุปกรณ์บางเครื่อง เพื่อให้การเปิดตัวอุปกรณ์ Windows ง่ายขึ้น การอัปเดต DB จะไม่นําไปใช้โดยอัตโนมัติ สําหรับสภาพแวดล้อมขององค์กร การมีการควบคุมการเผยแพร่การอัปเดตหลังจากการตรวจสอบความถูกต้องอย่างระมัดระวังกับอุปกรณ์ที่เป็นตัวแทนที่อยู่ในสภาพแวดล้อมเพื่อหลีกเลี่ยงการหยุดชะงักใดๆ
สําหรับคําอธิบายโดยละเอียด โปรดดู การอัปเดตคีย์การบูตแบบปลอดภัยของ Microsoft
ดำเนิน
ปรับใช้การอัปเดต DB กับอุปกรณ์ทดสอบตัวอย่างตัวแทนโดยทําตามคําแนะนําการปรับใช้ที่มีอยู่ใน การอัปเดตคีย์การบูตแบบปลอดภัยของ Microsoft
หลังจากอุปกรณ์ทดสอบอัปเดต DB เสร็จเรียบร้อยแล้ว การเผยแพร่การอัปเดต DB ไปยังอุปกรณ์ที่มีการกําหนดค่าฮาร์ดแวร์และเฟิร์มแวร์เดียวกันจะปลอดภัย คุณสามารถทําได้โดยการตั้งค่ารีจิสทรีคีย์ต่อไปนี้โดยใช้ซอฟต์แวร์การปรับใช้ เช่น นโยบายกลุ่มหรือการจัดการอุปกรณ์เคลื่อนที่ (MDM):
เส้นทางรีจิสทรี: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
ชื่อ: AvailableUpdates
ค่า: 0x40
หลังจากอุปกรณ์เริ่มระบบใหม่ DB ควรได้รับการอัปเดต ในบางกรณี อาจจําเป็นต้องรีสตาร์ตครั้งที่สอง
ปัญหาที่ทราบแล้ว
สําหรับปัญหาที่ทราบเกี่ยวกับการอัปเดตนี้ ให้ดูส่วน ปัญหาที่ทราบ แล้ว ใน KB5025885: วิธีการจัดการการเพิกถอน Windows Boot Manager สําหรับการเปลี่ยนแปลงการบูตแบบปลอดภัยที่เกี่ยวข้องกับ CVE-2023-24932
