概要
2024 年 2 月 13 日以降にリリースされた Windows 更新プログラムには、Windows UEFI CA 2023 証明書を UEFI セキュア ブート許可署名データベース (DB) に適用する機能が含まれています。 DB を更新すると、デバイスは、毎月の更新プログラムに含まれる将来のブート ローダー更新プログラムを受け取ります。
既存の証明書の有効期限が切れ、新しい証明書に移行することが、新しい証明書を使用して暗号化署名される今後のブート ローダー更新プログラムを使用するデバイスを準備する最初の手順であるため、これは重要です。
DB への更新は、一部のデバイスとの互換性に問題があることがわかっている。 Windows デバイスへのロールアウトを容易にするために、DB への更新は自動的には適用されません。 エンタープライズ環境では、中断を回避するために、環境内に存在する代表的なデバイスを慎重に検証した後、更新プログラムのロールアウトを制御することが重要です。
詳細な説明については、「 Microsoft セキュア ブート キーの更新」を参照してください。
対処方法
「Microsoft Secure Boot Keys の更新」で説明されているデプロイ ガイダンスに従って、代表的なサンプル テスト デバイスに DB 更新プログラムをデプロイします。
テスト デバイスが DB を正常に更新した後は、同じハードウェアとファームウェア構成のデバイスに DB 更新プログラムをロールアウトしても安全です。 これを行うには、グループ ポリシーやモバイル デバイス管理 (MDM) などの展開ソフトウェアを使用して、次のレジストリ キーを設定します。
レジストリ パス: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
名前: AvailableUpdates
値: 0x40
デバイスを再起動した後、DB を更新する必要があります。 場合によっては、2 回目の再起動が必要になる場合があります。
既知の問題
|
問題 |
次の手順 |
|
ARM64 ベースのデバイスは現在、DB 更新プログラムの適用をブロックされています。 |
Microsoft は、OEM デバイス ベンダーと協力してファームウェアを更新し、ARM64 ベースのファームウェアに関する問題に対処しています。 |
