概要
2024 年 2 月 13 日以降にリリースされた Windows 更新プログラムには、Windows UEFI CA 2023 証明書を UEFI セキュア ブート許可署名データベース (DB) に適用する機能が含まれています。 DB を更新すると、デバイスは、毎月の更新プログラムに含まれる将来のブート ローダー更新プログラムを受け取ります。
既存の証明書の有効期限が切れ、新しい証明書に移行することが、新しい証明書を使用して暗号化署名される今後のブート ローダー更新プログラムを使用するデバイスを準備する最初の手順であるため、これは重要です。
DB の更新には、一部のデバイスとの互換性の問題が発生することがわかっています。 Windows デバイスへのロールアウトを容易にするために、DB への更新は自動的には適用されません。 エンタープライズ環境では、中断を回避するために、環境内に存在する代表的なデバイスを慎重に検証した後、更新プログラムのロールアウトを制御することが重要です。
詳細な説明については、「 Microsoft セキュア ブート キーの更新」を参照してください。
対処方法
「Microsoft Secure Boot Keys の更新」で説明されているデプロイ ガイダンスに従って、代表的なサンプル テスト デバイスに DB 更新プログラムをデプロイします。
テスト デバイスが DB を正常に更新した後は、同じハードウェアとファームウェア構成のデバイスに DB 更新プログラムをロールアウトしても安全です。 これを行うには、グループ ポリシーやモバイル デバイス管理 (MDM) などの展開ソフトウェアを使用して、次のレジストリ キーを設定します。
レジストリ パス: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
名前: AvailableUpdates
値: 0x40
デバイスを再起動した後、DB を更新する必要があります。 場合によっては、2 回目の再起動が必要になる場合があります。
既知の問題
この更新プログラムに関する既知の問題については、「KB5025885: CVE-2023-24932 に関連付けられているセキュア ブートの変更に対する Windows ブート マネージャーの失効を管理する方法」の「既知の問題」セクションを参照してください。