Cập nhật Chứng chỉ Khởi động An toàn: Hướng dẫn dành cho các chuyên gia CNTT và tổ chức

Hết hạn chứng chỉ Khởi động An toàn

Cấu hình của cơ quan cấp chứng chỉ (CAs), còn được gọi là chứng chỉ, do Microsoft cung cấp như là một phần của cơ sở hạ tầng Khởi động An toàn, vẫn giữ nguyên kể từ Windows 8 và Windows Server 2012. Các chứng chỉ này được lưu trữ trong các biến Cơ sở dữ liệu Chữ ký (DB) và Khóa Exchange (KEK) trong vi chương trình. Microsoft đã cung cấp ba chứng chỉ giống nhau cho hệ sinh thái của nhà sản xuất thiết bị gốc (OEM) để bao gồm trong vi chương trình của thiết bị. Các chứng chỉ này hỗ trợ Khởi động An toàn trong Windows và cũng được sử dụng bởi hệ điều hành (HĐH) bên thứ ba. Các chứng chỉ sau đây do Microsoft cung cấp:

• Microsoft Corporation KEK CA 2011

• Microsoft Windows Production PCA 2011

• Microsoft Corporation UEFI CA 2011

Thay đổi gì?

Chứng chỉ Khởi động An toàn của Microsoft (Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, Microsoft Corporation UEFI CA 2011) sẽ bắt đầu hết hạn kể từ tháng 6 năm 2026 và sẽ hết hạn vào tháng 10 năm 2026. 

Các chứng chỉ mới năm 2023 đang được triển khai để duy trì tính bảo mật và tính liên tục của Khởi động An toàn. Thiết bị phải cập nhật lên chứng chỉ 2023 trước khi chứng chỉ 2011 hết hạn, nếu không chúng sẽ không tuân thủ bảo mật và gặp rủi ro.  

Các thiết bị Windows được sản xuất từ năm 2012 có thể đã hết hạn phiên bản chứng chỉ, phải được cập nhật. 

Thuật ngữ

Giấy chứng nhận

Xác minh trạng thái Khởi động An toàn trên toàn đội tàu của bạn: Khởi động An toàn có được bật không? 

Hầu hết các thiết bị được sản xuất từ năm 2012 đều có hỗ trợ Khởi động An toàn và được cung cấp tính năng Khởi động An toàn được bật. Để xác minh rằng thiết bị đã bật Khởi động An toàn, hãy thực hiện một trong các thao tác sau: 

• Phương pháp GUI: Chuyển đến Bắt đầu Cài > thiết >quyền & mật và > Bảo mật Windows > Mật Thiết bị. Trong Bảo mật thiết bị, mục Khởi động an toàn sẽ cho biết Khởi động An toàn đang bật.

• Phương pháp Dòng Lệnh: Tại dấu nhắc lệnh mức cao trong PowerShell, nhập Confirm-SecureBootUEFI, rồi nhấn Enter. Lệnh sẽ trả về True cho biết Khởi động An toàn đang bật.

Trong các triển khai quy mô lớn cho một đội thiết bị, phần mềm quản lý đang được các chuyên gia CNTT sử dụng sẽ cần phải cung cấp kiểm tra bật Khởi động An toàn. 

Ví dụ: phương pháp để kiểm tra trạng thái Khởi động An toàn trên các thiết bị do Microsoft Intune quản lý là tạo và triển khai tập lệnh tuân thủ tùy chỉnh Intune. Cài đặt tuân thủ của Intune được đề cập trong mục Sử dụng cài đặt tuân thủ tùy chỉnh cho các thiết bị chạy Linux và Windows với Microsoft Intune.  

Cách triển khai các bản cập nhật

Có nhiều cách để nhắm mục tiêu thiết bị cho các bản cập nhật chứng chỉ Khởi động An toàn. Chi tiết triển khai, bao gồm các thiết đặt và sự kiện, sẽ được thảo luận ở phần sau trong tài liệu này. Khi bạn nhắm mục tiêu một thiết bị để cập nhật, một cài đặt được thực hiện trên thiết bị để cho biết rằng thiết bị sẽ bắt đầu quá trình áp dụng các chứng chỉ mới. Một tác vụ đã lên lịch chạy trên thiết bị cứ 12 giờ một lần và phát hiện ra rằng thiết bị đã được nhắm mục tiêu cho các bản cập nhật. Đại cương của tác vụ như sau:

1. Windows UEFI CA 2023 được áp dụng cho DB.

2. Nếu thiết bị có Microsoft Corporation UEFI CA 2011 trong DB thì tác vụ áp dụng Microsoft Option ROM UEFI CA 2023 và Microsoft UEFI CA 2023 cho DB.

3. Nhiệm vụ sau đó thêm Microsoft Corporation KEK 2K CA 2023.

4. Cuối cùng, tác vụ đã lên lịch sẽ cập nhật trình quản lý khởi động Windows thành trình quản lý khởi động được ký bởi Windows UEFI CA 2023. Windows sẽ phát hiện thấy cần khởi động lại trước khi có thể áp dụng trình quản lý khởi động. Bản cập nhật trình quản lý khởi động sẽ bị trì hoãn cho đến khi quá trình khởi động lại diễn ra một cách tự nhiên (chẳng hạn như khi các bản cập nhật hàng tháng được áp dụng), sau đó Windows sẽ lại tìm cách áp dụng bản cập nhật trình quản lý khởi động.

Mỗi bước ở trên phải được hoàn thành thành công trước khi tác vụ đã lên lịch di chuyển đến bước tiếp theo. Trong quá trình này, nhật ký sự kiện và các trạng thái khác sẽ sẵn dùng để hỗ trợ việc giám sát việc triển khai. Dưới đây là thông tin chi tiết về việc giám sát và nhật ký sự kiện.  

Việc cập nhật Chứng chỉ Khởi động An toàn cho phép cập nhật trong tương lai cho Trình quản lý Khởi động 2023, an toàn hơn. Các bản cập nhật cụ thể trên Trình quản lý Khởi động sẽ có trong các bản phát hành trong tương lai.

Các bước triển khai 

• Chuẩn bị: Kiểm kê và kiểm tra thiết bị.

• Những điều cần cân nhắc về vi chương trình

• Giám sát: Xác minh công việc giám sát và định tuyến đội tàu của bạn.

• Triển khai: Nhắm mục tiêu thiết bị cho các bản cập nhật, bắt đầu với các tập hợp con nhỏ và mở rộng dựa trên các thử nghiệm thành công.

• Khắc phục: Điều tra và giải quyết mọi sự cố bằng nhật ký và hỗ trợ nhà cung cấp.

Chuẩn bị 

Kiểm kê phần cứng và vi chương trình. Xây dựng mẫu thiết bị tiêu biểu dựa trên Nhà sản xuất Hệ thống, Mô hình Hệ thống, Phiên bản/Ngày BIOS, Phiên bản Sản phẩm BaseBoard, v.v., và kiểm tra các bản cập nhật trên các mẫu đó trước khi triển khai rộng rãi.  Các tham số này thường có sẵn trong thông tin hệ thống (MSINFO32). 

Các lệnh PowerShell ví dụ để thu thập thông tin là:

Những điều cần cân nhắc về vi chương trình

Việc triển khai chứng chỉ Khởi động An toàn mới cho đội máy bay thiết bị của bạn yêu cầu vi chương trình thiết bị đóng vai trò trong việc hoàn tất bản cập nhật. Mặc dù Microsoft hy vọng rằng hầu hết các vi chương trình thiết bị sẽ hoạt động như mong đợi, nhưng cần phải kiểm tra cẩn thận trước khi triển khai các chứng chỉ mới.

Kiểm tra hàng tồn kho phần cứng của bạn và xây dựng mẫu thiết bị nhỏ, đại diện dựa trên các tiêu chí duy nhất sau đây như: 

• Nhà sản xuất

• Số Kiểu

• Phiên bản Vi chương trình

• Phiên bản Baseboard của OEM, v.v.

Trước khi triển khai rộng rãi cho các thiết bị trong đội máy bay của bạn, chúng tôi khuyên bạn nên kiểm tra các bản cập nhật chứng chỉ trên các thiết bị mẫu tiêu biểu (được xác định theo các yếu tố như nhà sản xuất, kiểu máy, phiên bản vi chương trình) để đảm bảo các bản cập nhật được xử lý thành công. Hướng dẫn được đề xuất về số lượng thiết bị mẫu để kiểm tra cho mỗi danh mục duy nhất là từ 4 trở lên.

Điều này sẽ hỗ trợ xây dựng sự tự tin trong quá trình triển khai của bạn và giúp tránh các tác động ngoài dự đoán đến hạm đội rộng hơn của bạn. 

Trong một số trường hợp, có thể cần có bản cập nhật vi chương trình để cập nhật thành công chứng chỉ Khởi động An toàn. Trong những trường hợp này, chúng tôi khuyên bạn nên kiểm tra với OEM thiết bị của mình để xem đã có vi chương trình cập nhật hay không.

Windows trong môi trường ảo hóa

Đối với Windows chạy trong môi trường ảo, có hai phương pháp để thêm chứng chỉ mới vào các biến phần mềm khởi động an toàn:  

• Người tạo ra môi trường ảo (AWS, Azure, Hyper-V, VMware, v.v.) có thể cung cấp bản cập nhật cho môi trường và bao gồm các chứng chỉ mới trong vi chương trình ảo hóa. Điều này sẽ hiệu quả với các thiết bị ảo hóa mới.

• Đối với Windows chạy lâu dài trong máy ảo, các bản cập nhật có thể được áp dụng thông qua Windows như bất kỳ thiết bị nào khác, nếu vi chương trình ảo hỗ trợ các bản cập nhật Khởi động An toàn.

Giám sát và triển khai 

Chúng tôi khuyên bạn nên bắt đầu giám sát thiết bị trước khi triển khai để đảm bảo rằng quá trình giám sát hoạt động đúng và bạn có ý thức rõ về tình trạng của hạm đội trước. Các tùy chọn giám sát được thảo luận dưới đây. 

Microsoft cung cấp nhiều phương pháp để triển khai và giám sát các bản cập nhật chứng chỉ Khởi động An toàn.

Hỗ trợ triển khai tự động 

Microsoft đang cung cấp hai hỗ trợ triển khai. Những hỗ trợ này có thể hữu ích trong việc hỗ trợ việc triển khai các chứng chỉ mới cho hạm đội của bạn. Cả hai hỗ trợ đều yêu cầu dữ liệu chẩn đoán.

• Tùy chọn cho các bản cập nhật tích lũy với bộ chứa tin cậy: Microsoft có thể tự động bao gồm các nhóm thiết bị có độ tin cậy cao trong các bản cập nhật hàng tháng dựa trên dữ liệu chẩn đoán được chia sẻ cho đến nay, để mang lại lợi ích cho các hệ thống và tổ chức không thể chia sẻ dữ liệu chẩn đoán. Bước này không yêu cầu bật dữ liệu chẩn đoán.

  • Đối với các tổ chức và hệ thống có thể chia sẻ dữ liệu chẩn đoán, nó cung cấp cho Microsoft khả năng hiển thị và sự tự tin rằng các thiết bị có thể triển khai thành công các chứng chỉ. Thông tin thêm về cách bật dữ liệu chẩn đoán có trong: Đặt cấu hình dữ liệu chẩn đoán Windows trong tổ chức của bạn. Chúng tôi đang tạo "bộ chứa" cho từng thiết bị duy nhất (như được định nghĩa theo các thuộc tính bao gồm nhà sản xuất, phiên bản bo mạch chủ, nhà sản xuất vi chương trình, phiên bản vi chương trình và các điểm dữ liệu bổ sung). Đối với mỗi bộ chứa, chúng tôi đang giám sát bằng chứng thành công trên nhiều thiết bị. Sau khi đã thấy đủ các bản cập nhật thành công và không gặp lỗi nào, chúng tôi sẽ xem xét bộ chứa "độ tin cậy cao" và đưa dữ liệu đó vào các bản cập nhật tích lũy hàng tháng. Khi các bản cập nhật hàng tháng được áp dụng cho thiết bị trong bộ chứa độ tin cậy cao, Windows sẽ tự động áp dụng các chứng chỉ cho các biến Khởi động An toàn UEFI trong vi chương trình.

  • Bộ chứa độ tin cậy cao bao gồm các thiết bị đang xử lý các bản cập nhật chính xác. Đương nhiên, không phải tất cả các thiết bị đều sẽ cung cấp dữ liệu chẩn đoán và điều này có thể giới hạn sự tự tin của Microsoft về khả năng xử lý chính xác các bản cập nhật của thiết bị.

  • Hỗ trợ này được bật theo mặc định cho các thiết bị có độ tin cậy cao và có thể bị tắt với cài đặt dành riêng cho thiết bị. Thông tin khác sẽ được chia sẻ trong các bản phát hành Windows trong tương lai.

• Triển khai Tính năng có Kiểm soát (CFR):  Chọn thiết bị để triển khai do Microsoft quản lý nếu dữ liệu chẩn đoán được bật.

  • Có thể sử dụng Triển khai Tính năng có Kiểm soát (CFR) với các thiết bị khách trong đội tàu của tổ chức. Điều này yêu cầu các thiết bị gửi dữ liệu chẩn đoán bắt buộc cho Microsoft và cho biết rằng thiết bị đang chọn tham gia để cho phép CFR trên thiết bị. Chi tiết về cách chọn tham gia được mô tả bên dưới.

  • Microsoft sẽ quản lý quy trình cập nhật cho các chứng chỉ mới này trên các thiết bị Windows có sẵn dữ liệu chẩn đoán và các thiết bị đang tham gia vào Triển khai Tính năng có Kiểm soát (CFR). Mặc dù CFR có thể hỗ trợ triển khai các chứng chỉ mới nhưng các tổ chức sẽ không thể dựa vào CFR để khắc phục đội tàu của mình – CFR sẽ yêu cầu thực hiện theo các bước được nêu trong tài liệu này trong mục về Các phương pháp triển khai không được hỗ trợ tự động bao gồm.

  • Hạn chế: Có một vài lý do khiến CFR có thể không hoạt động trong môi trường của bạn. Ví dụ:

    • Không có dữ liệu chẩn đoán hoặc không thể sử dụng dữ liệu chẩn đoán trong quá trình triển khai CFR.

    • Thiết bị không có trên các phiên bản máy khách được hỗ trợ của Windows 11 và Windows 10 bản cập nhật bảo mật mở rộng (ESU).

Các phương pháp triển khai không được hỗ trợ tự động hóa

Chọn phương pháp phù hợp với môi trường của bạn. Tránh các phương pháp trộn trên cùng một thiết bị: 

• Khóa đăng ký: Kiểm soát việc triển khai và giám sát kết quả.
  Có nhiều khóa đăng ký có sẵn để kiểm soát hành vi của việc triển khai các chứng chỉ và để giám sát các kết quả. Ngoài ra, có hai phím để chọn tham gia và không tham gia hỗ trợ triển khai được mô tả ở trên. Để biết thêm thông tin về khóa đăng ký, hãy xem khóa đăng ký Cập nhật Khởi động An toàn - Thiết bị Windows có các bản cập nhật do bộ quản lý CNTT quản lý.

• chính sách nhóm tượng (GPO): Quản lý cài đặt; giám sát thông qua nhật ký đăng ký và sự kiện.
  Microsoft sẽ cung cấp hỗ trợ để quản lý các bản cập nhật Khởi động An toàn bằng chính sách nhóm bản cập nhật trong tương lai. Lưu ý rằng vì chính sách nhóm cài đặt, nên việc giám sát trạng thái thiết bị sẽ cần phải được thực hiện bằng cách sử dụng các phương pháp thay thế bao gồm giám sát khóa đăng ký và mục nhật ký sự kiện.

• WINCS (Hệ thống Cấu hình Windows) CLI: Sử dụng công cụ dòng lệnh cho máy khách tham gia miền.
  Ngoài ra, người quản trị miền có thể sử dụng Hệ thống Cấu hình Windows (WinCS) có trong các bản cập nhật HĐH Windows để triển khai các bản cập nhật Khởi động An toàn trên các máy khách và máy chủ Windows đã tham gia miền. Nó bao gồm một loạt các tiện ích dòng lệnh (cả một thực thi truyền thống và một mô-đun PowerShell) để truy vấn và áp dụng cấu hình Khởi động An toàn trên máy tính. Để biết thêm thông tin, hãy xem API Hệ thống Cấu hình Windows (WinCS) để khởi động an toàn.

• Microsoft Intune/Configuration Manager: Triển khai tập lệnh PowerShell. Nhà cung cấp Dịch vụ Cấu hình (CSP) sẽ được cung cấp trong bản cập nhật trong tương lai để cho phép triển khai bằng cách sử dụng Intune.

Giám sát Nhật ký Sự kiện

Hai sự kiện mới đang được cung cấp để hỗ trợ triển khai các bản cập nhật chứng chỉ Khởi động An toàn. Các sự kiện này được mô tả chi tiết trong sự kiện cập nhật biến đổi Khởi động An toàn DB và DBX: 

• ID Sự kiện: 1801
  Sự kiện này là một sự kiện lỗi cho biết chứng chỉ cập nhật chưa được áp dụng cho thiết bị. Sự kiện này cung cấp một số thông tin chi tiết cụ thể cho thiết bị, bao gồm các thuộc tính của thiết bị, giúp tương quan những thiết bị nào vẫn cần cập nhật.

• ID Sự kiện: 1808
  Sự kiện này là một sự kiện thông tin cho biết rằng thiết bị đã áp dụng chứng chỉ Khởi động An toàn mới bắt buộc cho vi chương trình của thiết bị.

Chiến lược triển khai 

Để giảm thiểu rủi ro, hãy triển khai các bản cập nhật Khởi động An toàn theo giai đoạn thay vì tất cả cùng một lúc. Bắt đầu với một tập hợp con nhỏ các thiết bị, xác thực kết quả, rồi mở rộng đến các nhóm bổ sung. Chúng tôi khuyên bạn nên bắt đầu với các tập hợp con thiết bị và khi bạn có được sự tự tin trong những triển khai đó, hãy thêm các tập con thiết bị bổ sung. Nhiều yếu tố có thể được sử dụng để xác định những gì đi vào một tập hợp con, bao gồm các kết quả kiểm tra trên các thiết bị mẫu và cấu trúc tổ chức, v.v. 

Quyết định về thiết bị bạn triển khai tùy thuộc vào bạn. Một số chiến lược có thể có được liệt kê ở đây. 

• Đội tàu thiết bị lớn: bắt đầu bằng cách dựa vào các hỗ trợ được mô tả ở trên cho các thiết bị phổ biến nhất mà bạn quản lý. Song song, hãy tập trung vào các thiết bị ít phổ biến do tổ chức của bạn quản lý. Kiểm tra các thiết bị mẫu nhỏ và nếu việc kiểm tra thành công, hãy triển khai cho các thiết bị khác cùng loại. Nếu kiểm tra sản xuất các vấn đề, điều tra nguyên nhân của vấn đề và xác định các bước khắc phục. Bạn cũng có thể muốn xem xét các lớp thiết bị có giá trị cao hơn trong đội máy bay của bạn và bắt đầu thử nghiệm và triển khai để đảm bảo các thiết bị đó đã cập nhật bảo vệ sớm.

• Hạm đội nhỏ, đa dạng lớn: Nếu hạm đội bạn đang quản lý chứa một lượng lớn các máy móc mà trong đó việc thử nghiệm các thiết bị riêng lẻ sẽ là cấm, hãy xem xét phụ thuộc rất nhiều vào hai hỗ trợ được mô tả ở trên, đặc biệt là đối với các thiết bị có khả năng là các thiết bị phổ biến trên thị trường. Ban đầu tập trung vào các thiết bị rất quan trọng trong hoạt động hàng ngày, thử nghiệm và sau đó triển khai. Tiếp tục di chuyển xuống danh sách các thiết bị có mức ưu tiên cao, thử nghiệm và triển khai trong khi giám sát đội tàu để xác nhận rằng các hỗ trợ đang giúp phần còn lại của các thiết bị.

Lưu ý 

• Chú ý đến các thiết bị cũ hơn, đặc biệt là các thiết bị không còn được nhà sản xuất hỗ trợ. Mặc dù vi chương trình sẽ thực hiện các hoạt động cập nhật một cách chính xác, một số có thể không. Trong trường hợp vi chương trình không hoạt động đúng cách và thiết bị không còn được hỗ trợ, hãy cân nhắc việc thay thế thiết bị để đảm bảo bảo vệ Khởi động An toàn trên toàn đội máy của bạn.

• Các thiết bị mới được sản xuất trong 1-2 năm qua có thể đã có các chứng chỉ cập nhật tại chỗ nhưng có thể không áp dụng trình quản lý khởi động đã ký Windows UEFI CA 2023 cho hệ thống. Áp dụng trình quản lý khởi động này là bước quan trọng cuối cùng trong việc triển khai cho từng thiết bị.

• Sau khi thiết bị đã được chọn để cập nhật, có thể mất một thời gian trước khi các bản cập nhật hoàn tất. Ước tính 48 giờ và một hoặc nhiều lần khởi động lại để áp dụng chứng chỉ.

Các sự cố và đề xuất thường gặp

Hướng dẫn này đi chi tiết về cách hoạt động của quá trình cập nhật chứng chỉ Khởi động An toàn và trình bày một số bước để khắc phục sự cố nếu gặp phải sự cố trong quá trình triển khai tới thiết bị. Cập nhật vào phần này sẽ được thêm vào nếu cần.

Hỗ trợ triển khai chứng chỉ Khởi động An toàn 

Để hỗ trợ các bản cập nhật chứng chỉ Khởi động An toàn, Windows duy trì tác vụ đã lên lịch chạy 12 giờ một lần. Tác vụ sẽ tìm các bit trong khóa đăng ký AvailableUpdates cần xử lý. Các bit quan tâm được sử dụng trong việc triển khai các chứng chỉ nằm trong bảng sau đây. Cột Thứ tự cho biết thứ tự xử lý các bit.

Mỗi bit được xử lý bởi sự kiện đã lên lịch theo thứ tự được cung cấp trong bảng trên đây.

Tiến trình qua các bit sẽ trông như sau: 

1. Bắt đầu: 0x5944

2. 0x0040 → 0x5904 (Đã áp dụng thành công Windows UEFI CA 2023)

3. 0x0800 → 0x5104 (Đã áp dụng Microsoft UEFI CA 2023 nếu cần)

4. 0x1000 → 0x4104 (Đã áp dụng Microsoft Option ROM UEFI CA 2023 nếu cần)

5. 0x0004 → 0x4100 (Áp dụng Microsoft Corporation KEK 2K CA 2023)

6. 0x0100 → 0x4000 (Đã áp dụng trình quản lý khởi động đã ký Windows UEFI CA 2023)

Lưu ý

• Sau khi thao tác liên kết với một bit hoàn tất thành công, bit đó sẽ bị xóa khỏi phím AvailableUpdates .

• Nếu một trong các thao tác này không thành công, sự kiện sẽ được ghi nhật ký và thao tác sẽ được thử lại vào lần tiếp theo tác vụ đã lên lịch chạy.

• Nếu thiết 0x4000 bit được thiết lập, nó sẽ không được xóa. Sau khi đã xử lý tất cả các bit khác, khóa đăng ký AvailableUpdates sẽ được đặt thành 0x4000.

Vấn đề 1: Lỗi cập nhật KEK: Thiết bị cập nhật chứng chỉ để an toàn khởi động DB nhưng không tiến bộ quá khứ triển khai chứng chỉ khóa trao đổi khóa mới KEK an toàn khởi động. 

Lưu ý Hiện tại khi xảy ra sự cố này, một ID Sự kiện: 1796 sẽ được ghi nhật ký (xem Sự kiện cập nhật biến số Khởi động An toàn DB và DBX). Một sự kiện mới sẽ được cung cấp trong bản phát hành sau để cho biết sự cố cụ thể này. 

Khóa đăng ký AvailableUpdates trên thiết bị được đặt thành 0x4104 và không xóa bit 0x0004, ngay cả sau khi khởi động lại nhiều lần và thời gian đáng kể đã trôi qua. 

Vấn đề có thể là không có một KEK được ký bởi PK của OEM cho thiết bị. OEM kiểm soát PK cho thiết bị và chịu trách nhiệm ký chứng chỉ Microsoft KEK mới và trả lại cho Microsoft để có thể được bao gồm trong các bản cập nhật tích lũy hàng tháng. 

Nếu bạn gặp lỗi này, hãy kiểm tra với OEM của bạn để xác nhận rằng họ đã làm theo các bước được nêu trong Hướng dẫn Tạo và Quản lý Khóa Khởi động Bảo mật của Windows.  

Vấn đề 2: Lỗi vi chương trình: Khi áp dụng các bản cập nhật chứng chỉ, các chứng chỉ được trao cho phần vững để áp dụng cho các biến Secure Boot DB hoặc KEK. Trong một số trường hợp, vi chương trình sẽ trả về lỗi. 

Khi sự cố này xảy ra, Khởi động An toàn sẽ ghi nhật ký ID Sự kiện: 1795. Để biết thông tin về sự kiện này, hãy xem Sự kiện cập nhật biến số Khởi động An toàn DB và DBX. 

Chúng tôi khuyên bạn nên kiểm tra với OEM để xem liệu có bản cập nhật vi chương trình nào cho thiết bị để khắc phục sự cố này hay không.