Застосовується до
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Вихідна дата публікації: 26 червня 2025 р.

Ідентифікатор KB: 5062713

У цій статті наведено рекомендації щодо:

Організації (для підприємств, малого бізнесу та освіти) з ІТ-пристроями та оновленнями Windows.

Примітка. Якщо ви – особа, яка володіє особистим пристроєм Windows, перейдіть до статті Пристрої Windows для домашніх користувачів, підприємств і навчальних закладів з оновленнями, які керуються корпорацією Майкрософт.

Змінити дату

Змінити опис

5 травня 2026 р.

30 березня 2026 р.

  • Вирішено відому проблему: "Оновлення сертифіката безпечного завантаження може не вдатися з ідентифікатором події 1795 на віртуальних машинах Hyper-V"

24 березня 2026 р.

  • Оновлено відому проблему "Оновлення сертифіката безпечного завантаження може не вдатися з ідентифікатором події 1795 на віртуальних машинах Hyper-V"

16 березня 2026 р.

  • Видалено розділ "Зразок довірчих даних" у розділі "Зразок сценарію збирання даних реєстру безпечного завантаження", оскільки він застарілий.

3 березня 2026 р.

  • Переформатовано зразок результату в розділі "Підготовка", щоб він лишився в полі.

24 лютого 2026 р.

  • Оновлено вміст для "Зразок сценарію збирання даних реєстру безпечного завантаження" в розділі "Підготовка". 

  • Додано новий розділ "Зразок виводу" в розділі "Підготовка".

23 лютого 2026 р.

  • Оновлено вміст для "Зразок сценарію збирання даних реєстру безпечного завантаження" в розділі "Підготовка".

13 лютого 2026 р.

  • Додано елементи "Зразок довірчих даних" до розділу "Підготовка". 

  • З розділу "Підготовка" видалено "сценарій колекції для відкладених подій 1801 і 1808", оскільки він більше не потрібен. 

3 лютого 2026 р.

  • Поширені проблеми переміщено та переформатовано в розділі Виправлення неполадок.

  • Додано нову поширену проблему: "Оновлення сертифіката безпечного завантаження може не вдатися з ідентифікатором події 1795 на віртуальних машинах Hyper-V".

26 січня 2026 р.

  • Оновлено текст у розділі "Допомога з автоматичного розгортання" з розділу "Обидва помічники потребують діагностичних даних". До "Для використання лише керованої допомоги з розгортання функцій потрібні діагностичні дані.

11 листопада 2025 р.

Виправлено дві помилки в розділі "Підтримка розгортання сертифіката безпечного завантаження".

  • 0x0800 - Ім'я сертифіката змінено з "Microsoft UEFI CA 2023" на "Microsoft Option ROM UEFI CA 2023".​​​​​​​

  • 0x1000 - Змінено "Microsoft Option ROM CA 2023" на "Microsoft UEFI CA 2023".

10 листопада 2025 р.

  • Виправлено дві помилки в розділі "Новий сертифікат": від "Microsoft Corporation KEK CA 2023" до "Microsoft Corporation KEK 2K CA 2023" і з "Microsoft Option ROM CA 2023" до "Microsoft Option ROM UEFI CA 2023".

  • Нові сценарії PowerShell додано під заголовками "Перевірка стану безпечного завантаження для вашого флоту: чи ввімкнуто безпечне завантаження? " та "Підготовка".

У цій статті:

Огляд

Цю статтю призначено для організацій, які мають спеціальних ІТ-фахівців, які активно керують оновленнями свого парку пристроїв. У більшості з цих статей описано дії, необхідні для успішного розгортання ІТ-відділом організації нових сертифікатів безпечного завантаження. До цих дій належать тестування мікропрограми, моніторинг оновлень пристроїв, ініціювання розгортання та діагностування проблем у міру їх виникнення. Представлено кілька методів розгортання та моніторингу. На додачу до цих основних дій, ми пропонуємо кілька засобів розгортання, зокрема можливість відмовитися від участі в розгортанні керованих функцій (CFR) на клієнтських пристроях, спеціально для розгортання сертифікатів.

План дій із розгортання для ІТ-фахівців 

Плануйте та виконуйте оновлення сертифіката безпечного завантаження на вашому пристрої за допомогою підготовки, моніторингу, розгортання та виправлення.

Перевірка стану безпечного завантаження для вашого флоту: чи ввімкнуто безпечне завантаження? 

Більшість пристроїв, виготовлених з 2012 року, підтримують безпечне завантаження та постачаються з увімкненим безпечним завантаженням. Щоб переконатися, що на пристрої ввімкнуто безпечне завантаження, виконайте одну з таких дій: 

  • Метод GUI: Перейдіть до розділу Пускнастройки > > конфіденційність & безпеки> Безпека у Windows >безпеки пристрою. У розділі Безпека пристрою розділ Безпечне завантаження має вказувати на те, що безпечне завантаження ввімкнуто.

  • Метод командного рядка: У командному рядку в режимі адміністратора в PowerShell введіть Confirm-SecureBootUEFI, а потім натисніть клавішу Enter. Команда має повернути значення True, яке вказує на те, що безпечне завантаження ввімкнуто.

У великих масштабах розгортань для флоту пристроїв, програмне забезпечення для керування, що використовується ІТ-професіоналами, має забезпечити перевірку на ввімкнення безпечного завантаження. 

Наприклад, спосіб перевірити стан безпечного завантаження на пристроях під керуванням Microsoft Intune – створити та розгорнути Intune користувацький сценарій відповідності. Intune відповідність вимогам описано в розділі Використання спеціальних параметрів відповідності для пристроїв Linux і Windows із Microsoft Intune.  

Приклад сценарію PowerShell, який перевіряє, чи ввімкнуто безпечне завантаження:

# Initialize result object in preparation for checking Secure Boot state 

$result = [PSCustomObject]@{ 

   SecureBootEnabled = $null 

  

try { 

   $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 

   Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 

} catch { 

   $result.SecureBootEnabled = $null 

   Write-Warning "Unable to determine Secure Boot status: $_" 

Якщо безпечне завантаження не ввімкнуто, ви можете пропустити наведені нижче кроки оновлення, оскільки вони не застосовуються.

Розгортання оновлень

Існує кілька способів призначення пристроїв для оновлення сертифіката безпечного завантаження. Відомості про розгортання, включно з параметрами та подіями, будуть обговорюватися пізніше в цьому документі. Коли ви вибираєте пристрій для оновлення, на пристрої створюється параметр, який вказує на те, що пристрій повинен почати процес застосування нових сертифікатів. Заплановане завдання виконується на пристрої кожні 12 годин і виявляє, що пристрій призначено для оновлення. Структура завдання виглядає так:

  1. Windows UEFI CA 2023 застосовується до бази даних.

  2. Якщо пристрій має Microsoft Corporation UEFI CA 2011 у DB, то завдання застосовує Microsoft Option ROM UEFI CA 2023 і Microsoft UEFI CA 2023 до бази даних.

  3. Потім завдання додасть Microsoft Corporation KEK 2K CA 2023.

  4. Нарешті, заплановане завдання оновлює диспетчер завантаження Windows на той, який підписано Windows UEFI CA 2023. Windows виявить, що для застосування диспетчера завантаження потрібне перезавантаження. Оновлення диспетчера завантаження буде відкладено, доки перезавантаження не відбудеться природним чином (наприклад, коли буде застосовано щомісячні оновлення), а потім Windows знову спробує застосувати оновлення диспетчера завантаження.

Кожен із наведених вище кроків потрібно виконати, перш ніж заплановане завдання перейде до наступного кроку. Під час цього процесу журнали подій та інший стан будуть доступні для допомоги в моніторингу розгортання. Додаткові відомості про моніторинг і журнали подій наведено нижче.  

Оновлення сертифікатів безпечного завантаження дає змогу в майбутньому оновити диспетчер завантаження 2023, який є більш безпечним. Конкретні оновлення в Диспетчері завантаження будуть у майбутніх випусках.

Етапи розгортання 

  • Підготовка: інвентарні та тестові пристрої.

  • Зауваження щодо мікропрограми

  • Моніторинг. Перевірка роботи моніторингу та базового плану вашого флоту.

  • Розгортання: цільові пристрої для оновлень, починаючи з невеликих підмножиних і розширюючись на основі успішних тестів.

  • Виправлення: дослідження та вирішення будь-яких проблем за допомогою журналів і підтримки постачальників.

Підготовка 

Інвентарне обладнання та мікропрограма. Створіть репрезентативний зразок пристроїв на основі виробника системи, системної моделі, версії ТА дати BIOS, версії BaseBoard тощо, а також перевіряйте оновлення на цих пристроях перед широким розгортанням.  Ці параметри зазвичай доступні в системних відомостях (MSINFO32). Скористайтеся включеними зразками команд PowerShell, щоб перевірити стан оновлення безпечного завантаження та інвентаризувати пристрої в організації.

Примітки.: 

  • Ці команди застосовуються, якщо ввімкнуто стан безпечного завантаження.

  • Для роботи багатьох із цих команд потрібні права адміністратора.

Зразок сценарію збирання даних реєстру безпечного завантаження

Скопіюйте та вставте цей зразок сценарію та змініть його, якщо потрібно, для середовища: Зразок сценарію збирання даних реєстру безпечного завантаження.

Зразок виводу:

{"UEFICA2023Status":"Оновлено","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null, "AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS", "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true, "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName": "Microsoft Corporation","OEMModelSystemFamily":"Surface","OEMModelNumber": "Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"03.11.2025", "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId": 1808,"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f", "Confidence":"UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null, "Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null, "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false, "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion": "10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer": "Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true, "SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}

Надійні рівні безпечного завантаження

Довірчий рівень

Значення

Потрібна дія

Висока впевненість

Корпорація Майкрософт перевіряла, що цей клас пристрою безпечний для оновлень

Безпечне розгортання оновлень сертифікатів

У розділі Спостереження – потрібні додаткові дані

Корпорація Майкрософт все ще збирає діагностичні дані про ці пристрої з розгортання безпечного завантаження

Зачекайте, доки не буде класифікації Microsoft

Дані не спостерігаються – потрібна дія

Клас пристрою не відомий корпорації Майкрософт

Для підприємств необхідно перевірити та розгорнути план

Тимчасово призупинено

Відомі проблеми сумісності

Перевірити наявність оновлення BIOS виробника оригінального обладнання; Зачекайте, доки корпорація Майкрософт вирішить проблему

Не підтримується – відоме обмеження

Обмеження платформи або обладнання

Документ як виняток

Перший крок, якщо безпечне завантаження ввімкнуто, полягає в тому, щоб перевірити, чи є відкладені події, які нещодавно оновилися, або в процесі оновлення сертифікатів безпечного завантаження. Конкретні інтереси представляють останні події в 1801 і 1808 роках. Ці події докладно описано в події оновлення бази даних безпечного завантаження та змінних DBX. Див. також розділ Моніторинг і розгортання, щоб дізнатися, як події можуть відображати стан відкладених оновлень.  

Наступний крок – інвентаризація пристроїв у всій організації. Зберіть наведені нижче відомості за допомогою команд PowerShell, щоб створити репрезентативний зразок. 

Основні ідентифікатори (2 значення)

      1. HostName – $env: ІМ'Я КОМП'ЮТЕРА 

      2. Час збирання – Get-Date 

Реєстр: головний ключ безпечного завантаження (3 значення) 

     3. SecureBootEnabled – командлет Confirm-SecureBootUEFI або HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     4. HighConfidenceOptOut – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     5. AvailableUpdates – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Реєстр: Ключ обслуговування (3 значення) 

     6. UEFICA2023Status –HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     7. WindowsUEFICA2023Capable – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     8. UEFICA2023Error – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Реєстр: Атрибути пристрою (7 значень) 

      9. OEMManufacturerName – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     10. OEMModelSystemFamily – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     11. OEMModelNumber – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     12. FirmwareVersion – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     13. FirmwareReleaseDate – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     14.Architecture – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     15. CanAttemptUpdateAfter – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

Журнали подій: системний журнал (5 значень) 

     16. LatestEventId – остання подія безпечного завантаження 

     17. BucketID – витяг з події 1801/1808 

     18. Впевненість – витяг з події 1801/1808 

     19. Подія1801Count – кількість подій 

     20. Подія1808Count – кількість подій 

Запити WMI/CIM (4 значення) 

     21. OSVersion – Get-CimInstance Win32_OperatingSystem 

     22. Час останнього завантаження – Get-CimInstance Win32_OperatingSystem 

     23. BaseBoardManufacturer – Get-CimInstance Win32_BaseBoard 

     24. BaseBoardProduct – Get-CimInstance Win32_BaseBoard 

     25. (Get-CIMInstance Win32_ComputerSystem). Виробник  

     26. (Get-CIMInstance Win32_ComputerSystem). Модель  

    27. (Get-CIMInstance Win32_BIOS). Description + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString("MM/dd/yyyy")  

    28. (Get-CIMInstance Win32_BaseBoard). Продукт  

Зауваження щодо мікропрограми

Розгортання нових сертифікатів безпечного завантаження на вашому флоті пристроїв вимагає, щоб мікропрограма пристрою відіграє роль у завершенні оновлення. Хоча корпорація Майкрософт очікує, що більшість мікропрограм пристрою працюватиме належним чином, перед розгортанням нових сертифікатів необхідне ретельне тестування.

Перевірте запаси обладнання та створіть невеликий репрезентативний зразок пристроїв на основі таких унікальних умов, як: 

  • Виробник

  • Номер моделі

  • Версія мікропрограми

  • Базова версія OEM тощо.

Перш ніж розгортати широко на пристроях вашого флоту, радимо перевірити оновлення сертифіката на репрезентативні зразки пристроїв (як визначено виробником, моделлю, версією мікропрограми), щоб забезпечити успішну обробку оновлень. Рекомендовані рекомендації щодо кількості зразків пристроїв для тестування для кожної унікальної категорії – 4 або більше.

Це допоможе підвищити довіру до процесу розгортання та уникнути непередбачуваних наслідків для вашого ширшого флоту. 

У деяких випадках для успішного оновлення сертифікатів безпечного завантаження може знадобитися оновлення мікропрограми. У таких випадках радимо перевірити наявність оновленої мікропрограми за допомогою виробника оригінального обладнання.

Windows у віртуалізованих середовищах

Для Windows, запущеної у віртуальному середовищі, є два способи додавання нових сертифікатів до змінних мікропрограм безпечного завантаження:  

  • Автор віртуального середовища (AWS, Azure, Hyper-V, VMware тощо) може надати оновлення для середовища та включити нові сертифікати в віртуалізовану мікропрограму. Це дасть змогу використовувати нові віртуалізовані пристрої.

  • Для Windows, яка працює в довгостроковій перспективі у ВМ, оновлення можна застосовувати через Windows, як і будь-які інші пристрої, якщо віртуалізована мікропрограма підтримує оновлення безпечного завантаження.

Моніторинг і розгортання 

Перш ніж розгортати пристрій, радимо почати моніторинг, щоб переконатися, що моніторинг працює належним чином і у вас є сенс для стану флоту заздалегідь. Нижче описано варіанти моніторингу. 

Корпорація Майкрософт пропонує кілька способів розгортання та моніторингу оновлень сертифіката безпечного завантаження.

Помічники з автоматизованого розгортання 

Корпорація Майкрософт надає два помічники з розгортання. Ці помічники можуть виявитися корисними для допомоги у розгортанні нових сертифікатів до вашого флоту. Для використання лише керованої допомоги з розгортання функцій потрібні діагностичні дані.

  • Варіант сукупних оновлень із довірчими блоками: Корпорація Майкрософт може автоматично включати групи пристроїв із високою довірою в щомісячні оновлення на основі діагностичних даних, які ділитися на сьогоднішній день, для систем і організацій, які не можуть надавати спільний доступ до діагностичних даних. Для цього кроку не потрібно вмикати діагностичні дані.

    • Організації та системи, які можуть надавати спільний доступ до діагностичних даних, дають корпорації Майкрософт впевненість у тому, що пристрої можуть успішно розгорнути сертифікати. Докладні відомості про ввімкнення діагностичних даних див. в статті Настроювання діагностичних даних Windows в організації. Ми створюємо "блоки" для кожного унікального пристрою (як визначено атрибутами виробника, версії материнської плати, виробника мікропрограми, версії мікропрограми та додаткових точок даних). Для кожного блоку ми відстежуємо докази успіху на кількох пристроях. Після того, як ми побачили достатньо успішних оновлень і помилок, ми розглянемо блок "висока впевненість" і включатимемо ці дані в щомісячні сукупні оновлення. Коли щомісячні оновлення застосовуються до пристрою в сегменті високої достовірності, Windows автоматично застосує сертифікати до змінних безпечного завантаження UEFI в мікропрограмі.

    • Сегменти високої достовірності включають пристрої, які обробляють оновлення належним чином. Природно, що не всі пристрої надаватимуть діагностичні дані, і це може обмежити довіру корпорації Майкрософт до здатності пристрою обробляти оновлення належним чином.

    • Цей помічник увімкнуто за замовчуванням для пристроїв із високою довірчою підтримкою, і його можна вимкнути за допомогою певних настройок пристрою. Докладніше буде надано в майбутніх випусках Windows.

  • Розгортання керованих функцій (CFR):  Виберіть пристрої для розгортання під керуванням Microsoft, якщо діагностичні дані ввімкнуто.

    • Функцію розгортання керованих функцій (CFR) можна використовувати з клієнтськими пристроями в автопарках організації. Для цього потрібно, щоб пристрої надсилали необхідні діагностичні дані до корпорації Майкрософт і сигналізували, що пристрій увімкнуто, щоб дозволити CFR на пристрої. Докладні відомості про те, як приєднатися, див. нижче.

    • Корпорація Майкрософт керуватиме процесом оновлення цих нових сертифікатів на пристроях Windows, де доступні діагностичні дані, а також пристроями, які беруть участь у розгортанні керованих функцій (CFR). Хоча CFR може допомогти в розгортанні нових сертифікатів, організації не зможуть покладатися на CFR для усунення своїх флотів – це потрібно буде виконати кроки, описані в цьому документі в розділі про методи розгортання, не охоплені автоматизованими помічниками.

    • Обмеження: CFR може не працювати у вашому середовищі з кількох причин. Приклади.

      • Діагностичні дані недоступні, або діагностичні дані не можна використовувати як частину розгортання CFR.

      • Пристрої не підтримуються в клієнтських версіях Windows 11 та Windows 10 з подовженими оновленнями системи безпеки (ESU).

Методи розгортання, на які не поширюються автоматичні помічники

Виберіть спосіб, який підходить вашому середовищу. Уникайте поєднання методів на одному пристрої: 

  • Розділи реєстру: керування розгортанням і відстеженням результатів.Існує кілька розділів реєстру для керування поведінкою розгортання сертифікатів і для моніторингу результатів. Крім того, є два ключі для вибору та виходу з допоміжних засобів розгортання, описаних вище. Докладні відомості про розділи реєстру див. в статті Оновлення розділу реєстру для безпечного завантаження – пристрої Windows з оновленнями, керованими ІТ.

  • Групова політика Об'єкти (GPO): Керування параметрами; моніторинг за допомогою реєстру та журналів подій.Корпорація Майкрософт надаватиме підтримку для керування оновленнями безпечного завантаження за допомогою Групова політика в майбутньому оновленні. Зверніть увагу, що оскільки Групова політика призначено для настройок, моніторинг стану пристрою потрібно буде виконувати за допомогою альтернативних методів, зокрема моніторингу розділів реєстру та записів журналу подій.

  • CLI WinCS (система конфігурації Windows): використовуйте засоби командного рядка для клієнтів, підключених до домену.Адміністратори домену можуть також використовувати систему конфігурації Windows (WinCS), включену в оновлення ОС Windows, щоб розгортати оновлення безпечного завантаження для клієнтів і серверів Windows, підключених до домену. Він складається з ряду утиліт командного рядка (як традиційного виконуваного файлу, так і модуля PowerShell) для запиту та застосування локальних конфігурацій безпечного завантаження до комп'ютера. Докладні відомості див. в таких статтях:

  • Microsoft Intune/Configuration Manager: Розгортання сценаріїв PowerShell. Постачальник послуг конфігурації (CSP) буде надано в майбутньому оновленні, щоб дозволити розгортання за допомогою Intune.

Журнали подій моніторингу

Для розгортання оновлень сертифіката безпечного завантаження надаються дві нові події. Ці події докладно описано в події оновлення бази даних безпечного завантаження та змінної DBX

  • Код події: 1801 Ця подія – подія помилки, яка вказує на те, що оновлені сертифікати не застосовано до пристрою. Ця подія надає певні відомості, які стосуються пристрою, зокрема атрибути пристрою, які допоможуть у узгодженні пристроїв, які все ще потребують оновлення.

  • Код події: 1808 Ця подія є інформаційною подією, яка вказує на те, що пристрій має необхідні нові сертифікати безпечного завантаження, застосовані до мікропрограми пристрою.

Стратегії розгортання 

Щоб мінімізувати ризик, розгортайте оновлення безпечного завантаження поетапно, а не одночасно. Почніть із невеликої підмножини пристроїв, перевірте результати, а потім розгорніть до додаткових груп. Радимо почати з підмножині пристроїв і, як ви отримуєте впевненість у цих розгортаннях, додати додаткові підмножині пристроїв. За допомогою кількох факторів можна визначити, що входить у підмножину, зокрема результати тестування на зразках пристроїв і структурі організації тощо. 

Рішення про те, які пристрої ви розгортаєте для вас. Нижче наведено деякі можливі стратегії. 

  • Великий автопарк пристрою: почніть із використання описаних вище помічників для найпоширеніших пристроїв, якими ви керуєте. Паралельно зосередьтеся на менш поширених пристроях, якими керує ваша організація. Випробуйте невеликі зразки пристроїв і, якщо тестування буде успішним, розгорніть їх на інших пристроях того самого типу. Якщо перевірка спричиняє проблеми, з'ясуйте причину проблеми та визначте кроки виправлення. Ви також можете розглянути класи пристроїв, які мають вищу цінність у вашому флоті, і почати тестування та розгортання, щоб переконатися, що ці пристрої мають оновлений захист на місці рано.

  • Малий флот, великий сорт: Якщо флот, яким ви керуєте, містить багато різних машин, де тестування окремих пристроїв було б заборонним, радимо покладатися на дві допомоги, описані вище, особливо для пристроїв, які, ймовірно, будуть поширеними пристроями на ринку. Спочатку зосередьтеся на пристроях, критично важливих для повсякденної роботи, перевіряйте, а потім розгортайте їх. Продовжуйте переходити списком пристроїв із високим пріоритетом, тестуванням і розгортанням під час моніторингу флоту, щоб переконатися, що помічники допомагають з рештою пристроїв.

Примітки 

  • Зверніть увагу на старіші пристрої, особливо пристрої, які більше не підтримуються виробником. Хоча мікропрограма повинна виконувати операції оновлення належним чином, деякі можуть не виконуватися. Якщо мікропрограма не працює належним чином і пристрій більше не підтримується, радимо замінити пристрій, щоб забезпечити захист від безпечного завантаження у вашому флоті.

  • Нові пристрої, виготовлені протягом останніх 1–2 років, можуть уже мати оновлені сертифікати, але, можливо, до системи не застосовано диспетчер завантаження Windows UEFI CA 2023. Застосування цього диспетчера завантаження є критичним останнім кроком у розгортанні для кожного пристрою.

  • Після вибору пристрою для оновлення може знадобитися деякий час, перш ніж оновлення буде завершено. Приблизно 48 годин і одне або кілька перезавантажень для сертифікатів, які застосовуються.

Запитання й відповіді (запитання й відповіді)

Запитання й відповіді див. в статті Запитання й відповіді про безпечне завантаження .

Виправлення неполадок

Докладні відомості див. в документі про виправлення неполадок .

Додаткові ресурси

Порада.: Закладка цих додаткових ресурсів.

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей