簡介
2024 年 2 月 13 日及之後發行的 Windows 更新包括能夠將 Windows UEFI CA 2023 憑證套用至 UEFI 安全開機允許簽章資料庫 (DB) 。 更新 DB 可讓裝置接收每月更新中包含的未來開機載入器更新。
這點很重要,因為現有的憑證將會過期,而移至新的憑證是準備裝置以處理即將使用新憑證進行密碼編譯的開機載入器更新的第一個步驟。
已知 DB 的更新與某些裝置有相容性問題。 若要輕鬆推出至 Windows 裝置,DB 的更新並不會自動套用。 對於企業環境,在環境中有代表性裝置的謹慎驗證后,請務必控制更新的推出,以避免任何干擾。
如需詳細說明,請參閱 更新 Microsoft 安全開機密鑰。
採取行動
依照 更新 Microsoft 安全開機密鑰中提供的部署指導方針,將 DB 更新部署到具有代表性的範例測試裝置。
測試裝置成功更新 DB 之後,將 DB 更新推出至具有相同硬體和韌體設定的裝置應該是安全的。 您可以使用群組策略或行動裝置管理等部署軟體 (MDM) ,藉此設定下列登入機碼:
登入路徑: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
名稱: AvailableUpdates
值: 0x40
裝置重新啟動之後,應該會更新 DB。 在某些情況下,可能需要第二次重新啟動。
已知問題
如需此更新的已知問題,請參閱 KB5025885 中的 已知問題 一節:如何管理與 CVE-2023-24932 相關聯之安全開機變更的 Windows 開機管理員撤銷。