Вступ
Оновлення Windows, випущені 13 лютого 2024 року та після них, включають можливість застосування сертифіката Windows UEFI CA 2023 до дозволеної бази даних підписів безпечного завантаження UEFI (DB). Оновлення бази даних дасть змогу пристроям отримувати майбутні оновлення завантажувача, включені в щомісячні оновлення.
Це важливо, оскільки термін дії наявного сертифіката завершиться, а перехід до нового сертифіката – це перший крок підготовки пристроїв до роботи з майбутніми оновленнями завантажувача, які будуть криптографічно підписані за допомогою нового сертифіката.
Оновлення бази даних, як відомо, мають проблеми сумісності з деякими пристроями. Щоб полегшити розгортання на пристроях Windows, оновлення до бази даних не застосовується автоматично. Для корпоративних середовищ важливо мати контрольоване розгортання оновлення після ретельної перевірки з репрезентативними пристроями, присутніми в середовищі, щоб уникнути перебоїв.
Докладне пояснення див. в статті Оновлення ключів безпечного завантаження Microsoft.
Вжити заходів
Розгорніть оновлення бази даних на репрезентативні зразки тестових пристроїв, дотримуючись інструкцій із розгортання, наведених у статті Оновлення ключів безпечного завантаження Microsoft.
Після успішного оновлення бази даних на тестовому пристрої необхідно безпечно розгортати оновлення DB для пристроїв із тією ж конфігурацією обладнання та мікропрограм. Для цього настройте наведений нижче розділ реєстру, використовуючи програмне забезпечення для розгортання, наприклад групову політику або керування мобільними пристроями (MDM).
Шлях реєстру: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Ім'я: Доступні оновлення
Значення: 0x40
Після перезавантаження пристрою буде оновлено базу даних. У деяких випадках може знадобитися друге перезавантаження.
Відомі проблеми
Відомі проблеми з цим оновленням див. в розділі Відомі проблемив KB5025885: Керування відкликаннями Диспетчера завантаження Windows для зміни безпечного завантаження, пов'язані з CVE-2023-24932.