简介
2024 年 2 月 13 日及之后发布的 Windows 更新包括将 Windows UEFI CA 2023 证书应用于 UEFI 安全启动允许签名数据库 (DB) 。 更新数据库将使设备能够接收将来的启动加载程序更新,这些更新包含在每月更新中。
这一点很重要,因为现有证书将过期,移动到新证书是准备设备以使用即将使用新证书进行加密签名的启动加载程序更新的第一步。
已知对 DB 的更新与某些设备存在兼容性问题。 为了简化到 Windows 设备的推出,DB 更新不会自动应用。 对于企业环境,请务必在对环境中存在的代表性设备进行仔细验证后,控制更新的推出,以避免出现任何中断。
有关详细说明,请参阅 更新 Microsoft 安全启动密钥。
采取操作
按照更新 Microsoft 安全启动密钥中提供的部署指南,将 DB 更新部署到具有代表性的示例测试设备。
测试设备成功更新 DB 后,应安全地将数据库更新部署到具有相同硬件和固件配置的设备。 为此,可以使用部署软件(如组策略或移动设备管理 (MDM) )设置以下注册表项:
注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
名字: AvailableUpdates
值: 0x40
重启设备后,应更新数据库。 在某些情况下,可能需要第二次重启。
已知问题
有关此更新的已知问题,请参阅KB5025885:如何管理与 CVE-2023-24932 关联的安全启动更改的 Windows 启动管理器吊销中的已知问题部分。