Tweet
Microsoft ha señalado en KB5036210 que las actualizaciones de Windows del 13 de febrero de 2024 y posteriores instalarán el certificado Windows UEFI CA 2023
en la base de datos de firmas (DB) permitida de arranque seguro UEFI.
Esto permite que las próximas actualizaciones del gestor de arranque se instalen directamente a través de Windows Update.
Como escribe Microsoft, esto es importante "ya que el certificado existente caduca y cambiar al nuevo certificado es el primer paso para preparar los dispositivos
para que funcionen con las próximas actualizaciones del cargador de arranque que se cifrarán con el nuevo certificado".
Tenga en cuenta que algunos dispositivos pueden experimentar problemas de compatibilidad de bases de datos.
Por ejemplo, actualmente los dispositivos basados en ARM64 están excluidos.
Aquí Microsoft trabaja con los fabricantes OEM. Por lo tanto, actualmente las actualizaciones no se entregan automáticamente.
Por lo tanto, en las empresas, el cambio debería probarse primero en un dispositivo seleccionado antes de aplicarse a todos los dispositivos.
Para que los certificados se instalen a través de Windows Update, se debe realizar un cambio en el registro.
Tecla de Windows + R ingresa regedit, ábrelo y cambia a esta ruta
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SecureBoot
Luego haga doble clic en la parte derecha de la ventana AvailableUpdates y cambie el valor a 40.
Esto se puede configurar usando PowerShell
Se debe instalar la actualización de seguridad de febrero de 2024.
Inicie PowerShell (administrador) e ingrese este comando
(hexadecimal)
Iniciar una tarea programada de inicio:
Reinicia la PC dos veces
Ahora ingrese el siguiente comando en PowerShell (Administrador):
(en mi caso sin actuar aparece "false" antes de aplicar el trick)
PowerShell ahora debería generar un resultado "True"
Después de reiniciar la computadora dos veces, la entrada del registro se establece nuevamente en 0.
Las nuevas entradas aparecen en el programador de tareas y PowerShell también genera "True".
Programador de Tareas->>Biblioteca del programador de tareas->>Microsoft->>Windows->>PI->>Secure-Boot-Update
Programador de Tareas->>Biblioteca del programador de tareas->>Microsoft->>Windows->>PI->>SecureBootEncodeUEFI
en la base de datos de firmas (DB) permitida de arranque seguro UEFI.
Esto permite que las próximas actualizaciones del gestor de arranque se instalen directamente a través de Windows Update.
Como escribe Microsoft, esto es importante "ya que el certificado existente caduca y cambiar al nuevo certificado es el primer paso para preparar los dispositivos
para que funcionen con las próximas actualizaciones del cargador de arranque que se cifrarán con el nuevo certificado".
Tenga en cuenta que algunos dispositivos pueden experimentar problemas de compatibilidad de bases de datos.
Por ejemplo, actualmente los dispositivos basados en ARM64 están excluidos.
Aquí Microsoft trabaja con los fabricantes OEM. Por lo tanto, actualmente las actualizaciones no se entregan automáticamente.
Por lo tanto, en las empresas, el cambio debería probarse primero en un dispositivo seleccionado antes de aplicarse a todos los dispositivos.
Para que los certificados se instalen a través de Windows Update, se debe realizar un cambio en el registro.
Tecla de Windows + R ingresa regedit, ábrelo y cambia a esta ruta
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SecureBoot
Luego haga doble clic en la parte derecha de la ventana AvailableUpdates y cambie el valor a 40.
Esto se puede configurar usando PowerShell
Se debe instalar la actualización de seguridad de febrero de 2024.
Inicie PowerShell (administrador) e ingrese este comando
Código:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot " -Name "AvailableUpdates" -Value 0x40
Iniciar una tarea programada de inicio:
Código:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Reinicia la PC dos veces
Ahora ingrese el siguiente comando en PowerShell (Administrador):
Código:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
PowerShell ahora debería generar un resultado "True"
Después de reiniciar la computadora dos veces, la entrada del registro se establece nuevamente en 0.
Las nuevas entradas aparecen en el programador de tareas y PowerShell también genera "True".
Programador de Tareas->>Biblioteca del programador de tareas->>Microsoft->>Windows->>PI->>Secure-Boot-Update
Programador de Tareas->>Biblioteca del programador de tareas->>Microsoft->>Windows->>PI->>SecureBootEncodeUEFI