应用对象
Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10 Windows Server 2016 Windows Server 2019 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows Server, version 23H2

简介

2024 年 2 月 13 日及之后发布的 Windows 更新包括将 Windows UEFI CA 2023 证书应用于 UEFI 安全启动允许签名数据库 (DB) 。 更新数据库将使设备能够接收将来的启动加载程序更新,这些更新包含在每月更新中。

这一点很重要,因为现有证书将过期,移动到新证书是准备设备以使用即将使用新证书进行加密签名的启动加载程序更新的第一步。

已知对 DB 的更新与某些设备存在兼容性问题。 为了简化到 Windows 设备的推出,DB 更新不会自动应用。 对于企业环境,请务必在对环境中存在的代表性设备进行仔细验证后,控制更新的推出,以避免出现任何中断。

有关详细说明,请参阅 更新 Microsoft 安全启动密钥

采取操作

按照更新 Microsoft 安全启动密钥中提供的部署指南,将 DB 更新部署到具有代表性的示例测试设备。

测试设备成功更新 DB 后,应安全地将数据库更新部署到具有相同硬件和固件配置的设备。 为此,可以使用部署软件(如组策略或移动设备管理 (MDM) )设置以下注册表项:

注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

名字: AvailableUpdates

值: 0x40

重启设备后,应更新数据库。 在某些情况下,可能需要第二次重启。

已知问题

有关此更新的已知问题,请参阅KB5025885:如何管理与 CVE-2023-24932 关联的安全启动更改的 Windows 启动管理器吊销中的已知问题部分。

订阅 RSS 源

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心