Windows 10/11 Ручное обновление сертификатов Secure Boot в Windows

  • Автор темы Автор темы akok
  • Дата начала Дата начала
Актуально для Windows 10 и 11

Переводчик Google
akok

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
26,858
Решения
29
Реакции
14,323
Microsoft совместно с OEM-партнёрами готовит обновление сертификатов, которые станут новыми доверенными корнями для UEFI Secure Boot. Обновления базы данных (DB) и ключей обмена (KEK) будут внедряться поэтапно. Первое обновление DB доступно как опциональное обновление с 13 февраля 2024 года для всех устройств с включённым Secure Boot.

Что такое Secure Boot?​

Secure Boot — это функция безопасности UEFI, которая гарантирует запуск только доверенного ПО на этапе загрузки системы. Она проверяет цифровые подписи всех компонентов загрузки с использованием набора доверенных ключей.
Secure Boot использует иерархию доверия, где:
  • Platform Key (PK) управляется OEM и подписывает обновления KEK;
  • KEK подписывает обновления Allowed Signature DB (доверенные модули) и DBX (отозванные модули).
1760263426388.webp

Предварительные шаги перед обновлением DB​

  1. Проверка UEFI и прошивки: убедитесь, что версия прошивки актуальна.
  2. Резервное копирование данных и ключей BitLocker:
    • Для устройств с BitLocker: убедитесь, что ключи восстановления сохранены в Azure AD, MSA или на USB.
    • Для локальных аккаунтов: распечатайте ключи или сохраните их в защищённом месте.

Шаги для ручного применения обновления DB​

1. Установите обновление безопасности февраля 2024 года или более позднее.
2. Откройте PowerShell с правами администратора и выполните команду:
PowerShell: 
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot” -Name “AvailableUpdates” -Value 0x40
3. Запустите задачу планировщика:
Код: 
Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”
4. Перезагрузите устройство дважды.
5. Проверьте успешность обновления командой PowerShell. Если вывод True — обновление прошло успешно.
PowerShell: 
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’
1760264385092.webp

Важные рекомендации​

  • Для организаций: сначала тестируйте на отдельных устройствах, чтобы избежать проблем с прошивкой.
  • Microsoft будет постепенно приостанавливать обновления для устройств с обнаруженными проблемами прошивки до их исправления.
  • Это первое масштабное DB-обновление; предыдущие обновления касались только DBX.

Полезные ссылки:

Источник:
 

Похожие темы

mike 1
Новости Состоялся релиз Kaspersky Security Center Windows версии 15.1 (обновление 2)
Ответы
0
Просмотры
202
mike 1
mike 1
akok
  • Статья Статья
⚠️Google выпустила обновление Chrome с критическими исправлениями безопасности (140.0.7339.185/.186)
Ответы
0
Просмотры
244
akok
akok
NickM
обновление "firmware BIOS" на ноутбуке "MSI" автоматически включает и блокирует настройку "VMD controller"
Ответы
1
Просмотры
408
akok
akok
Назад
Сверху Снизу