Applies ToWindows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10 Windows Server 2016 Windows Server 2019 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows Server, version 23H2

Introducción

Las actualizaciones de Windows publicadas el 13 de febrero de 2024 y posteriores incluyen la posibilidad de aplicar el certificado de Ca 2023 de UEFI de Windows a la base de datos de firmas permitidas de arranque seguro (DB) de UEFI. La actualización de la DB permitirá a los dispositivos recibir actualizaciones futuras del cargador de arranque que se incluyen en las actualizaciones mensuales.

Esto es importante porque el certificado existente expirará y pasar al nuevo certificado es el primer paso para preparar los dispositivos para trabajar con las próximas actualizaciones del cargador de arranque que se firmarán criptográficamente con el nuevo certificado.

Se sabe que las actualizaciones de la base de datos tienen problemas de compatibilidad con algunos dispositivos. Para facilitar la implementación en dispositivos Windows, la actualización a la DB no se aplica automáticamente. Para entornos empresariales, es importante tener una implementación controlada de la actualización después de una cuidadosa validación con dispositivos representativos presentes en el entorno para evitar interrupciones.

Para obtener una explicación detallada, consulta Actualización de claves de arranque seguro de Microsoft.

Tomar medidas

Implementa la actualización de la base de datos en dispositivos de prueba representativos siguiendo las instrucciones de implementación que se proporcionan en Actualización de claves de arranque seguro de Microsoft.

Después de que un dispositivo de prueba actualice correctamente la base de datos, debería ser seguro implementar la actualización de la base de datos en dispositivos con la misma configuración de hardware y firmware. Puede hacerlo configurando la siguiente clave del Registro mediante el uso de software de implementación, como una directiva de grupo o la administración de dispositivos móviles (MDM):

Ruta de registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Nombre: AvailableUpdates

Valor: 0x40

Una vez reiniciado el dispositivo, debería actualizarse la base de datos. En algunos casos, puede ser necesario un segundo reinicio.

Problemas conocidos

Para conocer los problemas conocidos de esta actualización, consulta la sección Problemas conocidos de KB5025885: Cómo administrar las revocaciones de Windows Boot Manager para los cambios de arranque seguro asociados con CVE-2023-24932.

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción de Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad