HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot
Windows 安全启动密钥创建和管理指南 | Microsoft Learn
UEFI 的 BCD 系统存储设置 | Microsoft Learn
KB5036210:将 Windows UEFI CA 2023 证书部署到安全启动允许的签名数据库 (DB) - Microsoft 支持
Updating Microsoft Secure Boot keys | Windows IT Pro blog
Revoking vulnerable Windows boot managers | Windows IT Pro blog
调查使用 CVE-2022-21894 的攻击的指南:BlackLotus 活动 |Microsoft 安全博客
注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot 中添加一个名为 AvailableUpdates 的 REG_DWORD 类型值,数据为 0x10(即十进制的16),并强制覆盖(/f 参数)。
但是,请注意:修改注册表需要管理员权限,并且不当的修改可能导致系统不稳定。因此,在执行前请确保你了解此操作的含义。
另外,根据微软文档,Secure Boot 的 AvailableUpdates 注册表值用于配置安全启动的更新。0x10 这个值可能表示某种更新选项,但具体含义需要参考官方文档。
由于这是一个系统关键位置,请谨慎操作。
以下是将此命令转换为 PowerShell 命令的几种方法:
方法1:使用 PowerShell 的 reg.exe(与cmd中相同)
方法2:使用 PowerShell 的 Set-ItemProperty
但是,注意:在 PowerShell 中,我们可以使用 .NET 方法或直接使用 PowerShell 驱动注册表。不过,对于 Secure Boot 相关的设置,我们通常建议使用官方工具或组策略。
由于我们是在 HKEY_LOCAL_MACHINE 下操作,需要管理员权限。
我们使用方法2的 PowerShell 命令如下:
我来分析这个注册表命令并提供一些重要说明:
命令解析
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x10 /f参数说明:
-
reg add- 添加注册表项 -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot- 安全启动相关配置路径 -
/v AvailableUpdates- 值名称为 AvailableUpdates -
/t REG_DWORD- 数据类型为32位整数 -
/d 0x10- 数据值为16(十六进制0x10) -
/f- 强制覆盖,不提示确认
使用方式
方法1:直接运行
以管理员身份打开CMD,粘贴命令执行
方法2:PowerShell
# 以管理员身份运行PowerShell
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot" /v AvailableUpdates /t REG_DWORD /d 0x10 /f方法3:批处理文件
@echo off
echo 正在配置安全启动设置...
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot" /v AvailableUpdates /t REG_DWORD /d 0x10 /f
if %errorlevel% equ 0 (
echo 配置成功!
) else (
echo 配置失败,请以管理员身份运行。
)
pause验证操作
执行后可以验证设置:
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot" /v AvailableUpdatesKB5036210:将 Windows UEFI CA 2023 证书部署到安全启动允许的签名数据库 (DB)
应用对象
简介
2024 年 2 月 13 日及之后发布的 Windows 更新包括将 Windows UEFI CA 2023 证书应用于 UEFI 安全启动允许签名数据库 (DB) 。 更新数据库将使设备能够接收将来的启动加载程序更新,这些更新包含在每月更新中。
这一点很重要,因为现有证书将过期,移动到新证书是准备设备以使用即将使用新证书进行加密签名的启动加载程序更新的第一步。
已知对 DB 的更新与某些设备存在兼容性问题。 为了简化到 Windows 设备的推出,DB 更新不会自动应用。 对于企业环境,请务必在对环境中存在的代表性设备进行仔细验证后,控制更新的推出,以避免出现任何中断。
有关详细说明,请参阅 更新 Microsoft 安全启动密钥。
采取操作
按照更新 Microsoft 安全启动密钥中提供的部署指南,将 DB 更新部署到具有代表性的示例测试设备。
测试设备成功更新 DB 后,应安全地将数据库更新部署到具有相同硬件和固件配置的设备。 为此,可以使用部署软件(如组策略或移动设备管理 (MDM) )设置以下注册表项:
注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
名字: AvailableUpdates
值: 0x40
重启设备后,应更新数据库。 在某些情况下,可能需要第二次重启。
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x10 /f
命令是用于在注册表中添加一个名为 "AvailableUpdates" 的 DWORD 值,并将其设置为十六进制值 "0x10"。此操作需要管理员权限才能执行。
这个命令的作用是向以下注册表路径添加一个新的键值对:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot
键名称:AvailableUpdates
键类型:REG_DWORD
键值数据:0x10
请注意,使用 /f 参数可以强制执行命令,即使可能存在冲突或警告。在更改注册表之前,请确保你了解相应区域的功能和后果,以避免不必要的问题。同时,为了避免对系统稳定性和安全性造成风险,建议在对注册表进行修改之前备份注册表或创建系统还原点。
这个命令的作用是在注册表中创建一个键值对,具体作用如下:
路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot
键名称:AvailableUpdates
键类型:REG_DWORD
键值数据:0x10
Secure Boot 是一项安全功能,旨在保护计算机免受恶意软件和未经授权的操作系统启动的攻击。在某些情况下,可能需要配置 Secure Boot 的行为,以满足特定的需求。
上述命令将在 Secureboot 注册表路径下创建一个名为 "AvailableUpdates" 的 DWORD 键,并将其设置为十六进制值 "0x10"。具体来说,这个键值对的含义取决于实际使用情况。
通过此命令,你可以向 Secureboot 注册表路径添加一个自定义的键值对,来定制和配置 Secure Boot 的行为。请注意,在修改注册表之前,请确保你了解相应区域的功能和后果,并且具备管理员权限,以避免不必要的问题。同时,为了保证系统的稳定性和安全性,建议在对注册表进行修改之前备份注册表或创建系统还原点。
浙公网安备 33010602011771号